page 7
信息安全概述
信息安全的发展历史
20世纪80年代末以后
20世纪60年代前
• 电话、电报、传真 • 强调的是信息的保密性 • 对安全理论和技术的研究只 侧重于密码学 • 通信安全，即COMSEC
60年代到80年代
• 计算机软硬件极大发展 • 关注保密性、完整性和可用 性目标 • 信息安全，即INFOSEC • 代表性成果是美国的 TCSEC和欧洲的ITSEC测评 标准
page 3
信息安全概述
什么是信息？
消息、信号、数据、情报和知识 信息本身是无形的，借助于信息媒体以多种形式存在或传播：
• 存储在计算机、磁带、纸张等介质中 • 记忆在人的大脑里 • 通过网络、打印机、传真机等方式进行传播 信息借助媒体而存在，对现代企业来说具有价值，就成为信息资产： • 计算机和网络中的数据 • 硬件、软件、文档资料 • 关键人员 • 组织提供的服务 具有价值的信息资产面临诸多威胁，需要妥善保护
page 16
信息安全概述
从什么方面考虑信息安全？
法律法规与 合同要求
组织原则目标 和业务需要
风险评估 的结果
page 17
信息安全概述
常规的技术措施
物理安全技术：环境安全、设备安全、媒体安全 系统安全技术：操作系统及数据库系统的安全性 网络安全技术：网络隔离、访问控制、VPN、入侵检测、扫描评估 应用安全技术：Email安全、Web访问安全、内容过滤、应用系统安全 数据加密技术：硬件和软件加密，实现身份认证和数据信息的CIA特性 认证授权技术：口令认证、SSO认证（例如Kerberos）、证书认证等 访问控制技术：防火墙、访问控制列表等 审计跟踪技术：入侵检测、日志审计、辨析取证 防病毒技术：单机防病毒技术逐渐发展成整体防病毒体系 灾难恢复和备份技术：业务连续性技术，前提就是对数据的备份
page 8
信息安全概述
信息安全基本目标
C onfidentiality I ntegrity A vailability
page 9
信息安全概述
企业重大泄密事件屡屡发生
page 10
信息安全概述
敏感信息遭受篡改也会导致恶劣后果
page 11
信息安全概述
破坏导致系统瘫痪后果非常严重
page 12
A
可用性（Availability）—— 确保授权用户或实体对信息及资源的正常使 用不会被异常拒绝，允许其可靠而及时地访问信息及资源。
CIA三元组是信息安全的目标，也是基本原则，与之相反的是DAD三元组：
D 泄
漏
isclosure
A 篡
改
lteration
D 破
坏
estruction
page 13
信息安全概述
ISO27001-2013信息安全管理体系 建立培训
内容目录
• 信息安全概述 • 风险评估与管理 • ISO27001 － 信息安全管理体系规范 • ISO27002－信息安全管理实施细则 • 信息安全管理体系认证
page 2
• 信息安全概述 • 风险评估与风险管理 • ISO27001 － 信息安全管理体系规范 • ISO27002 － 信息安全管理实施细则 • 信息安全管理体系认证
page 18
病毒防护 访问控制 网络入侵检测
信息安全概述
C.I.A.和D.A.D.
C
保密性（Confidentiality）—— 确保信息在存储、使用、传输过程中不 会泄漏给非授权用户或实体。
完整性（Integrity）—— 确保信息在存储、使用、传输过程中不会被非授
I
权篡改，防止授权用户或实体不恰当地修改信息，保持信息内部和外部的
一致性。
• 互联网技术飞速发展，信息 无论是对内还是对外都得到极 大开放
• 信息安全从CIA中又衍生出 可控性、抗抵赖性、真实性等 特性，并且从单一的被动防护 向全面而动态的防护、检测、 响应、恢复发展
• 信息保障（Information Assurance），从整体角度考 虑安全体系建设
• 美国的IATF规范
page 15
信息安全概述
信息安全的重要性
信息作为资产，就像其他重要的商务资产那样，有价值，因而要妥善保护 信息安全是国家安全的需要 信息安全是维持组织竞争优势、赢利能力、守法性和企业形象的保障之一 信息安全是保护个人隐私与财产的需要 许多组织都曾面临过严重的威胁，包括基于计算机的欺诈和蓄意破坏 现在，组织又面临更复杂的威胁，例如计算机病毒、黑客和拒绝服务攻击 网络技术的高速发展增加了对计算机系统未授权访问的机会 组织跨地区分布，集中式的、专家控制为主的信息安全管理系统比较困难 许多信息系统的设计本身就不安全 通过技术手段获得的安全是有限的，还应该通过恰当的管理和程序来支持
page 4
信息安全概述
企业信息安全管理关注的信息类型
内部信息
组织不想让其竞争对 手知道的信息
客户信息
顾客/客户不想让组织 泄漏的信息
共享息
需要与其他业务伙伴 分享的信息
page 5
信息安全概述
信息的处理方式
创建
使用
传递
更改
page 6
存储 销毁
信息安全概述
什么是信息安全？
采取措施保护信息资产，使之不 因偶然或者恶意侵犯而遭受破坏、更 改及泄露，保证信息系统能够连续、 可靠、正常地运行，使安全事件对业 务造成的影响减到最小，确保组织业 务运行的连续性。
Confidentiality 机密性
Integrity 完整性
Availability 可用性
page 14
信息安全概述
其他概念和原则
私密性（Privacy）—— 个人和组织控制私用信息采集、存储和分发的权利。 身份识别（Identification）—— 用户向系统声称其真实身份的方式。 身份认证（Authentication）—— 测试并认证用户的身份。 授权（Authorization）—— 为用户分配并校验资源访问权限的过程。 可追溯性（Accountability）—— 确认系统中个人行为和活动的能力。 抗抵赖性（Non-repudiation）—— 确保信息创建者就是真正的发送者的能力。 审计（Audit）—— 对系统记录和活动进行独立复查和审核，确保遵守性