1、關于信息安全概述第一張，PPT共五十六頁，創作于2022年6月一、信息安全概論第二張，PPT共五十六頁，創作于2022年6月我的信息感受電腦的不斷普及露天電影家庭影院銀行業務電話的改變郵局業務電子郵件電子商務第三張，PPT共五十六頁，創作于2022年6月信息化出現的新問題IT泡沫破裂失業，再就業的起點更高互聯網經營模式是什么？網上信息可信度差垃圾電子郵件安全病毒攻擊第四張，PPT共五十六頁，創作于2022年6月信息安全形勢嚴峻2000年問題總算平安過渡黑客攻擊攪得全球不安計算機病毒兩年來網上肆虐白領犯罪造成巨大商業損失數字化能力的差距造成世界上不平等競爭信息戰陰影威脅數字化和平第五張，PPT共

2、五十六頁，創作于2022年6月Information and Network Security We will demonstrate that 62% of all systems can be penetrated in less than 30 minutes. More than half of all attacks will come from inside your own organizationfrom TNN.com第六張，PPT共五十六頁，創作于2022年6月什么是安全國際標準化委員會為數據處理系統和采取的技術的和管理的安全保護，保護計算機硬件、軟件、數據不因偶然的或惡意

3、的原因而遭到破壞、更改、顯露。美國國防部國家計算機安全中心要討論計算機安全首先必須討論對安全需求的陳述， . 。 一般說來，安全的系統會利用一些專門的安全特性來控制對信息的訪問，只有經過適當授權的人，或者以這些人的名義進行的進程可以讀、寫、創建和刪除這些信息。公安部計算機管理監察司計算機安全是指計算機資產安全，即計算機信息系統資源和信息資源不受自然和人為有害因素的威脅和危害。第七張，PPT共五十六頁，創作于2022年6月信息安全的級別按照范圍和處理方式的不同，通常將信息安全劃分為三個級別：第1級為計算機安全第2級為網絡安全第3級為信息系統安全第八張，PPT共五十六頁，創作于2022年6月安全的

4、幾個要素可用性授權實體有權訪問數據。機密性信息不暴露給未授權實體或進程。完整性保證數據不被未授權修改。可控性控制授權范圍內的信息流向及操作方式。可審查性對出現的安全問題提供依據與手段。第九張，PPT共五十六頁，創作于2022年6月安全威脅的來源外部滲入未被授權使用計算機的人。內部滲入者被授權使用計算機，但不能訪問某些數據、程序或資源，它包括冒名頂替:使用別人的用戶名和口令進行操作；隱蔽用戶:逃避審計和訪問控制的用戶；濫用職權者被授權使用計算機和訪問系統資源，但濫用職權者。第十張，PPT共五十六頁，創作于2022年6月安全威脅的幾種類型冒名頂替廢物搜尋身份識別錯誤不安全服務配置初始化乘虛而入代碼

5、炸彈病毒更新或下載特洛伊木馬間諜行為撥號進入算法考慮不周隨意口令口令破解口令圈套竊聽偷竊安全威脅線纜連接身份鑒別編程系統漏洞物理威脅第十一張，PPT共五十六頁，創作于2022年6月安全的目標保障安全的基本目標就是要能具備安全保護能力隱患發現能力應急反應能力信息對抗能力 采取積極的防御措施，保護網絡免受攻擊、損害；具有容侵能力，使得網絡在即使遭受入侵的情況下也能夠提供安全、穩定、可靠的服務 能夠及時、準確、自動地發現各種安全隱患特別是系統漏洞，并及時消除安全隱患 萬一網絡崩潰，或出現了其它安全問題，能夠以最短的時間、最小的代價恢復系統，同時使用戶的信息資產得到最大程度的保護 信息對抗能力已經不只

6、是科技水平的體現，更是綜合國力的體現。未來的戰爭無疑是始于信息戰，以網絡為基礎的信息對抗將在一定程度上決定戰爭的勝負 第十二張，PPT共五十六頁，創作于2022年6月二、信息安全概況第十三張，PPT共五十六頁，創作于2022年6月信息安全概況CERT有關安全事件的統計1988-19891326Incidents19891988Year1990-19999,8593,7342,1342,5732,412 2,3401,334773406252Incidents1999199819971996199519941993199219911990Year2000-2003137,52982,09452,

7、65821,756Incidents2003200220012000Year第十四張，PPT共五十六頁，創作于2022年6月CERT有關安全事件的統計1995-1999 417262311345171Vulnerabilities19991998199719961995Year2000-20068,0645,9903,7803,7844,1292,4371,090Vulnerabilities2006200520042003200220012000YearTotal vulnerabilities reported (1995-2006): 30,780 第十五張，PPT共五十六頁，創作于20

8、22年6月三、信息安全體系第十六張，PPT共五十六頁，創作于2022年6月 安全必要性信息安全體系伴隨互聯網發展重要信息變得非常容易被獲取個人數據重要企業資源政府機密網絡攻擊變的越來越便利黑客（crack）技術在全球范圍內共享易用型操作系統和開發環境普及第十七張，PPT共五十六頁，創作于2022年6月信息安全體系第十八張，PPT共五十六頁，創作于2022年6月信息安全體系第十九張，PPT共五十六頁，創作于2022年6月P2DR（Policy、Protection、Detection、Response）模型是安全管理基本思想，貫穿IP網絡的各個層次安全體系結構 安全模型P2DR防護 a 檢 測響

9、 應安全策略第二十張，PPT共五十六頁，創作于2022年6月信息通訊環境基本的通訊模型senderreceiver信源編碼信道編碼信道傳輸通信協議通信的保密模型通信安全-60年代（COMSEC）信源編碼信道編碼信道傳輸通信協議密碼senderreceiverenemy第二十一張，PPT共五十六頁，創作于2022年6月網絡通訊的信息安全模型仲裁方公證方控制方發方收方敵方第二十二張，PPT共五十六頁，創作于2022年6月從信息安全到信息保障通信保密（COMSEC）：60年代計算機安全（COMPUSEC）：60-70年代信息安全（INFOSEC）：80-90年代信息保障（IA）：90年代-第二十三張

10、，PPT共五十六頁，創作于2022年6月四、信息系統安全保障體系第二十四張，PPT共五十六頁，創作于2022年6月什么是信息保障Information Assurance保護（Protect）檢測（Detect）反應（React）恢復（Restore）保護Protect檢測Detect恢復Restore反應ReactIA第二十五張，PPT共五十六頁，創作于2022年6月PDRR保護（Protect）采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否認性。檢測（Detect）利用高級術提供的工具檢查系統存在的可能提供黑客攻擊、白領犯罪、病毒泛濫脆弱性。反應（React）對危及安全

11、的事件、行為、過程及時作出響應處理，杜絕危害的進一步蔓延擴大，力求系統尚能提供正常服務。恢復（Restore）一旦系統遭到破壞，盡快恢復系統功能，盡早提供正常的服務。第二十六張，PPT共五十六頁，創作于2022年6月國內外現狀及發展趨勢美國：1998年5月22日總統令(PDD-63)：保護美國關鍵基礎設施圍繞“信息保障”成立了多個組織，包括：全國信息保障委員會、全國信息保障同盟、關鍵基礎設施保障辦公室、首席信息官委員會、聯邦計算機事件響應行動組等十多個全國性機構1998年美國國家安全局（NSA）制定了信息保障技術框架（IATF）,提出了“深度防御策略”，確定了包括網絡與基礎設施防御、區域邊界防

12、御、計算環境防御和支撐性基礎設施的深度防御目標2000年1月，發布保衛美國計算機空間保護信息系統的國家計劃。分析了美國關鍵基礎設施所面臨的威脅，確定了計劃的目標和范圍，制定出聯邦政府關鍵基礎設施保護計劃（民用機構和國防部），以及私營部門、洲和地方政府的關鍵基礎設施保障框架。第二十七張，PPT共五十六頁，創作于2022年6月國內外現狀及發展趨勢俄羅斯：1995年頒布聯邦信息、信息化和信息保護法，為提供高效益、高質量的信息保障創造條件，明確界定了信息資源開放和保密的范疇，提出了保護信息的法律責任。1997年出臺俄羅斯國家安全構想。明確提出“保障國家安全應把保障經濟安全放在第一位”，而“信息安全又是

13、經濟安全的重中之重。2000年普京總統批準了國家信息安全學說，明確了聯邦信息安全建設的任務、原則和主要內容。第一次明確了俄羅斯在信息領域的利益是什么，受到的威脅是什么，以及為確保信息安全首先要采取的措施等。第二十八張，PPT共五十六頁，創作于2022年6月國內外現狀及發展趨勢中國：制定了一系列基本管理辦法“中華人民共和國計算機安全保護條例”“中華人民共和國商用密碼管理條例”“計算機信息網絡國際聯網管理暫行辦法”“計算機信息網絡國際聯網安全保護管理辦法”“計算機信息系統安全等級劃分標準”等刑法修訂中，增加了有關計算機犯罪的條款尚未形成完整的體系第二十九張，PPT共五十六頁，創作于2022年6月信

14、息保障體系的組成法律與政策體系標準與規范體系人才培養體系產業支撐體系技術保障體系組織管理體系第三十張，PPT共五十六頁，創作于2022年6月信息系統安全管理準則管理策略組織與人員資產分類與安全控制配置與運行網絡信息安全域與通信安全異常事件與審計信息標記與文檔物理環境開發與維護作業連續性保障符合性第三十一張，PPT共五十六頁，創作于2022年6月信息安全管理的地位人管理技術預警W反擊C恢復P保護P檢測D反應R第三十二張，PPT共五十六頁，創作于2022年6月信息安全管理的層次與內容宏觀管理（政府）方針政策法規標準微觀管理（機構）規章制度策略措施第三十三張，PPT共五十六頁，創作于2022年6月信

15、息安全管理的發展歷史發展階段管人管密碼 管密鑰管口令管配置管產品測評管產品采購管系統安全管等級劃分第三十四張，PPT共五十六頁，創作于2022年6月管密碼FIPS PUB 46-1Data Encryption StandardFIPS PUB 74Guidelines for Implementing And Using the NBS Data Encryption StandardFIPS PUB 140 :General Security Requirements for Equipment Using the Data Encryption StandardAES,CA,PKI第三十

16、五張，PPT共五十六頁，創作于2022年6月管密鑰FIPS PUB 171Key Management Using ANSIX9.17FIPS PUB 185Escrowed Encryption StandardKMCKMI第三十六張，PPT共五十六頁，創作于2022年6月管口令FIPS PUB 48 Guidelines ion Evaluation of Techniques for Automated Personal Identification 4/1/77FIPS PUB 112Standards on Password Usage 5/30/85CSC-STD-002-85,D

17、oD口令管理指南第三十七張，PPT共五十六頁，創作于2022年6月管產品測評80年代：美國DoD TCSEC，（橘皮書。彩虹系列）90年代：英、法、德、荷ITSEC（白皮書）90年代末至今：六國七方：CC (Common Criteria)第三十八張，PPT共五十六頁，創作于2022年6月 管產品采購NCSC-TG-002可信產品評估廠商指南（亮藍皮書）NCSC-TG-024可信系統采購指南（紫皮書）Vol.1/4 : 計算機安全需求導購介紹Vol.2/4 : RFP規范和陳述語言導購輔助Vol.3/4 : 計算機安全契約數據要求列表及數據項描述指南Vol.4/4 : 如何評價一個投標建議書導

18、購與簽約者輔助第三十九張，PPT共五十六頁，創作于2022年6月管系統安全（一）英國標準協會（BSI）于1995年制定BS7799信息安全管理體系標準，1999年修訂改版：77991 ： 信息安全管理操作規則77992 ： 信息安全管理系統規范77991已經在2000年末被采納為國際標準，即：ISO/TEC17799信息安全管理操作規則第四十張，PPT共五十六頁，創作于2022年6月安全管理的微觀粒度在加細ISO/IEC17799建立機構的安全策略機構的安全基礎設施資產的分類和控制人員安全物理與環境安全通信與操作管理訪問控制系統開發與維護業務連續性管理20多個要素120多個測試點第四十一張，P

19、PT共五十六頁，創作于2022年6月管系統安全（二）ISO/IEC13335IT安全管理方針（GMITS）系列，可以作為替代：ISO/IEC13335-1 : 1996 IT安全的概念與模型ISO/IEC13335-2 : 1997 IT安全管理和計劃制定ISO/IEC13335-3 : 1998 IT安全管理技術ISO/IEC13335-4 : 2000 安全措施的選擇ISO/IEC13335-5 : 網絡安全管理方針（未公布）第四十二張，PPT共五十六頁，創作于2022年6月管系統安全（三）NIST SP 800 (Special Publication 800-series)SP 800

20、-12, 計算機安全手冊（Computer Security Handbook)SP 800-14, 公認【安全】原則與操作（Generally Accepted Security Principles & Practices）SP 800-18, 安全計劃開發指南（Guide for Developing Security Plans）SP 800-23,聯邦機構安全保障和采購指南/使用可信或經評估的產品指南（Guide to Federal Organizations on Security Assurance and Acquisition/ Use of Tested/Evaluate

21、d Products)SP 800-26,IT系統自我評估指南 (Self-Assessment Guide for IT Systems)第四十三張，PPT共五十六頁，創作于2022年6月管理安全等級劃分計算機信息系統安全等級保護管理要求第一級：用戶自主保護級實施計劃管理第二級：系統審計保護級實施操作規程管理第三級：安全標記保護級實施標準化過程管理第四級：結構化保護級實施安全生態管理第五級：訪問驗證保護級實施安全文化管理第四十四張，PPT共五十六頁，創作于2022年6月美國制定信息系統保護計劃v1.0三個目標準備和防范檢測和響應建立牢固的根基第四十五張，PPT共五十六頁，創作于2022年6月

22、十個步驟準備和防范步驟1：確認關鍵基礎設施資產以及相互依賴性，發現其脆弱性檢測與響應步驟2：檢測攻擊和非法入侵步驟3：開發穩健的情報和執法功能，保持法律的一致步驟4：以實時的方式共享攻擊警告和信息步驟5：建立響應、重建和回復能力第四十六張，PPT共五十六頁，創作于2022年6月十個步驟建立牢固的根基步驟6：為支持程序15，加強研究和開發步驟7：培訓和雇用足夠數量的安全專家步驟8：進行拓展，使公知曉提高計算機安全的必要性步驟9：通過立法和撥款，支持程序18步驟10：在計劃的每一步驟和部分中，要完全保護公民的自由權、隱私權以及私有數據第四十七張，PPT共五十六頁，創作于2022年6月IATF美國國

23、家安全局制定的信息保障技術框架（IATF）1998年開始，已發布V3.0三保衛、一支撐保衛網絡基礎設施保衛邊界和外部連接保衛局域計算環境支撐基礎設施無線安全www安全FirewallsVPNsPeripheral Sharing SwitchRemote AccessMultiple Domain SolutionsMobile CodeOperating SystemsBiometricsSingle Level WebTokensMobile CodeSecure MessagingKMI/PKIPKI ProtectionClass 4 PKI DirectoryDetect and R

24、espondIDS第四十八張，PPT共五十六頁，創作于2022年6月TCPA 組織Open membership to companies developing security technology,products and servicesStructureMembers135+ member companiesSteering Committee consisting of Compaq, HP, IBM, Intel, MicrosoftAd-hoc WorkgroupsTechnical,Marketing,LegalTechnical WorkgroupsBIOS,PKI,Conf

25、irmance第四十九張，PPT共五十六頁，創作于2022年6月ObjectivesDevelop an Industry standard specificationProviding a ubiquitous and standardized means to address trustworthiness of computing platformsImproving the authenticity,Integrity, and privacy of Internet-based communications and commercePromote the adoption of the TCPA SpecificationAffordable and InteroperableExportableAdaptable to work with existing standards and evolving solutions第五十張，PPT共五十六頁，創作于2022年6月TCPA Specification ScopeTrusted DomainsOperating SystemHardware, BIOSStandardsTechnolo