信息安全保障和对策.ppt_三一文库31doc.com

资源描述

《信息安全保障和对策.ppt》由会员分享，可在线阅读，更多相关《信息安全保障和对策.ppt（84页珍藏版）》请在三一文库上搜索。

1、信息安全保障和对策,信息安全保障工作专题研讨会吕诚昭国务院信息化工作办公室 2004年3月9日云南大理,主要内容,国家信息安全保障体系介绍对信息安全若干具体问题的讨论对信息安全保障的认识（供参阅）关于信息安全保障体系框架介绍（供参阅）,国家信息安全保障体系介绍,贯彻落实关于加强信息安全保障工作的意见（中办200327号文件）,国家信息化领导小组第三次会议,审议并通过了关于加强信息安全保障工作的意见,国家网络与信息安全协调小组第二次会议,对贯彻落实关于加强信息安全保障工作的意见做出了具体工作安排,全国信息安全保障工作会议,黄菊同志做主报告对贯彻落实关于加强信息安全保

2、障工作的意见做出了进一步的部署,关于中办200327号文件,我国第一个全面关于信息安全保障工作的文件文件对中央各部委、各行业和各地区的信息安全保障工作做出原则性战略性的规定是我国今后一段时期内信息安全保障工作的纲领性文件,关于加强信息安全保障工作意见的主要内容,国家信息安全保障的战略方针和目标国家信息安全保障的近期战略目标加强信息安全保障工作的基本原则信息安全保障的主要工作,我国信息安全保障的战略方针,积极防御综合防范,我国信息安全保障的战略目标,全面提高信息安全防护能力重点保障基础信息网络和重要信息系统安全创建安全健康的网络环境保障和促进信息化发展,保护公众利益，维护国

3、家安全,我国信息安全保障的重点,保障基础信息网络的安全公共电信网络、广电传输网络、互联网保障重要信息系统的安全党政核心信息系统、国防信息系统、税务、海关、银行、证券、电力、民航、铁路等信息系统加强信息内容安全的管理,积极防御,用发展的思路来解决信息安全问题，从发展中求安全，以安全保发展分级、分类、分阶段实施信息安全保障立足安全防护，加强预警和应急处置加强追踪、取证和打击犯罪等反制手段从更深层次和长远考虑，要有必要的信息对抗能力和手段，实现对网络和信息系统安全可控,综合防范,保护、检测、反应（恢复、反制）、预警构成信息安全综合防范体系从预防、监控、应急处理和打击犯罪等环节从法

4、律、管理、运行、技术、人才等各个方面采取多种技术和管理措施通过全社会的共同努力，全面提升信息安全防护能力,国家信息安全保障的近期战略目标,经过五年左右的努力基本形成国家信息安全保障体系,加强信息安全保障工作的基本原则,立足国情，以我为主，管理与技术并重正确处理安全与发展的关系，以安全保发展，从发展中求安全统筹规划，突出重点，加强信息安全的基础性工作明确国家、企业、个人的责任和义务，充分发挥各方面的作用，全社会共同构筑国家信息安全保障体系,立足国情，以我为主,立足我国信息化发展的现状立足我国信息安全的现状立足我国信息产业的现状在关键安全技术研发方面，坚持以我为主开发有自主知识

5、产权和自主可控的先进技术,坚持管理与技术并重-1,信息安全保障首先是高技术的对抗必须具备一定的物质和技术手段落后就要挨打，落后就要受制于人大力发展信息安全技术和信息产业加快培养信息安全专业技术人才,坚持管理与技术并重-2,科学的管理是信息技术转化为信息安全保障能力的必要条件 90%以上的成功攻击是利用了已知的漏洞或者已经提供了软件修改或“补丁”的漏洞(美国国防部系统) 充分发挥我们的政治优势、制度优势，增强政治责任心，切实加强信息安全管理,从发展中求安全,必须适应经济全球化加快发展和我国加入WTO、对外开放进一步扩大的新形势，用开放的眼光和思路，解决信息安全保障问题只有大力发展信息化

6、，才能为解决信息安全问题提供物质和技术保障发展信息产业，增强我国的国际竞争力；国际制衡有利于安全,以安全保发展,统筹规划，突出重点,重点保障基础信息网络和重要信息系统的安全信息化发展的不同阶段和不同的信息系统，有着不同的安全需求各地区、各部门处于信息化发展的不同阶段，必须从各自的实际出发，确定工作重点，进行信息安全建设和管理统筹兼顾，综合平衡安全风险和建设成本，科学配置和集成信息安全资源,全社会共同构筑国家信息安全保障体系,明确国家、企业、个人的责任和义务，充分发挥各方面的作用，全社会共同构筑国家信息安全保障体系信息安全从涉及政权巩固到涉及政权巩固和生产力的发展，全面影响国家安全从

7、自扫门前雪到依靠全社会的力量,信息安全保障的主要工作,建立健全信息安全责任制（1）信息安全保障的基础性工作（4）信息安全保障的支撑性工作（4）,信息安全保障的主要工作 -健全责任制,加强对信息安全工作的领导建立健全信息安全责任制,信息安全保障的主要工作 -基础性工作,实行信息安全等级保护, 重视信息安全风险评估加强以密码技术为基础的信息保护和网络信任体系建设建设和完善信息安全监控体系重视信息安全应急处理工作,信息安全保障的主要工作 -支撑性工作,加强信息安全技术研究开发，推进信息安全产业发展加强信息安全法制建设和标准化建设加快信息安全人才培养，增强全民信息安全意识保证信

8、息安全资金,加强对信息安全工作的领导建立健全信息安全责任制,各级党委和政府要高度重视信息安全工作，加强对信息安全工作的领导。要抓紧建立健全信息安全管理体制，明确主管领导，落实责任部门建立和落实信息安全管理责任制。安全建设和安全管理，按照谁主管谁负责、谁运营谁负责的要求，由各主管部门和运营单位负责,为什么强调建立健全信息安全责任制,信息安全意识普遍薄弱、安全管理制度不健全、责任不落实落实“谁主管谁负责、谁运营谁负责”是关键从中央到地方、落实到基层单位和企业落实到信息安全保障的所有工作中,国家网络与信息安全协调小组,组长：黄菊副组长：曾培炎、周永康、熊光楷国家网络与信息安全协调小组负

9、责国家信息安全保障的综合协调工作,加强各方面的协调配合,信息安全管理涉及到多个部门，工作中难免有一定的交叉按照职能分工，各司其职，勇于负责主动配合，互相支持，形成合力，共同履行信息安全管理的职责军地结合、军民合作，形成军民互动、寓军于民、优势互补、协调发展,实行信息安全等级保护,建立信息安全等级保护制度。信息化发展的不同阶段和不同的信息系统有着不同的安全需求从实际出发，综合平衡安全成本和风险，保障重点国家重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统制定信息安全等级保护的管理办法和技术指南,为什么要实行等级保护,信息安全的等级是客观存在的信息和系统的（互）

10、依赖性、重要性、威胁和脆弱性有利于突出重点，加强安全建设和管理有利于控制安全的成本有利于个人数据（隐私）的保护,实行等级保护是信息安全保障的基本政策,分级分类实现必要的足够的承担适度风险的安全（适度安全）等级保护涉及到信息系统的重要性、秘密性和密码管理等多方面各部门、各单位都要根据等级保护制度的要求，结合各自的特点，建立相应的安全保护策略、计划和措施,信息安全等级保护相关的法规,1994年颁布的中华人民共和国计算机信息系统安全保护条例决定：实行等级保护网络信息安全条例及其配套管理办法和实施指南（正在制定）,信息安全等级保护相关的标准,1999年颁布国标计算机信息系统安全保护等级评

11、估准则（GB17859）（可信计算安全准则TCSEC） 2001年颁布国标信息技术安全性评估准则（GB/T18336 ）（通用准则CC）研究制定信息系统方面的等级保护标准,等级保护制度需要在发展中完善,我国目前缺少的是可实施的标准信安标委正在组织制定相关标准需要协调多部门（公安部、保密局和国密办等）共同实施等级保护制度从实际出发，分级、分类、分阶段实施，在应用过程中完善,重视信息安全风险评估工作,对网络与信息系统的安全威胁、薄弱环节、防护措施等进行分析评估根据网络与信息系统的重要性、涉密程度和所面临的信息安全风险等因素进行安全建设和管理,为什么重视信息安全风险评估工作,信息系统存在

12、安全风险由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响信息安全风险管理是信息安全管理的核心信息安全风险评估是风险管理的基础，信息安全建设和管理的起点和基础,信息安全风险评估的目的,目的：避免、控制、减少、转移风险提高隐患发现能力是做好风险评估的关键：信息技术产品安全漏洞和“后门”分析信息系统安全隐患与薄弱环节分析信息安全风险评估标准和规范尚不完善（国内外）,信息系统与信息产品评估的区别,信息系统风险评估涉及信息资源的各方面：信息（信息秘密）以及人员、设备、资金和信息技术等产品：市场流通，系统：非流通产品评估：可以通过第三中介机构信息系统风

13、险评估的管理者：谁主管谁负责、谁运营谁负责,加强以密码技术为基础的信息保护和网络信任体系建设,按照满足需求、方便使用、加强管理的原则，修改完善密码管理法规，建立健全适应信息化发展的密码管理体制建立协调管理机制，规范和加强以身份认证、授权管理、责任确定等为主要内容的网络信任体系建设,密码管理体制面临的挑战,面临电子政务特别是电子商务的开放环境面临全球漫游的通信环境（WLAN、移动通信、互联网等）面临通用信息系统的密码管理（操作系统等）密码管理工作必须适应经济全球化和进一步开放的大环境,PKI体制中需要解决的问题,解决(2002年)我国PKI建设中的“三无”状态：无关于PKI的国家标

14、准（信安标委负责）已经制定了9个相关标准无数字签名法规（法制办负责）正在征求意见无明确的主管部门（信息产业部和国密办牵头组织PKI协调机构）,重视PKI系统自身的安全,PKI系统自身的安全是信任的基础 “象PKI这样的关键基础设施应当使用美国技术建造。我对把信任度不明、质量不明的外国软件集成到关键的美国系统中，感到担忧”。 NSA信息保障部部长丹尼尔.G.沃尔夫,PKI的建设要以业务需求为导向,按等级保护的要求，要以业务需求为导向规划网络信任体系的建设 PKI技术不能解决所有的信息安全问题比如：DDOS 、灾难恢复、密码破译等单一技术方案不符合综合防范的要求,建立和完善信息安全

15、监控体系,基础信息网络的运营单位和各重要信息系统要根据实际情况建立和完善信息安全监控系统提高对网络攻击、病毒传播、网络失窃密的防范能力有效的检测是实现正确反应的前提,重视信息安全应急处理工作,国家和社会各方面都必须重视信息安全应急处理工作进一步完善国家信息安全应急处理协调机制建立健全信息安全通报制度制定和不断完善信息安全应急处置预案加强信息安全应急支援服务队伍建设,对信息安全应急处理的认识,信息安全保障由静态到动态的发展安全事件的类型：一般安全事件（incident）紧急安全事件（emergency）灾难事件（disaster）应急处理成本和代价高于一般事件的处理检测与

16、响应：检测的成本低于应急处理,信息安全事件检测与响应,检测攻击和非法入侵开发稳健的情报和执法功能，保持与法律的一致以实时的方式共享攻击警报和信息建立响应、重建和恢复能力,系统建设要考虑灾难恢复-1,信息与系统的恢复是信息安全保障的重要环节各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复灾难备份建设要从实际出发（考虑成本），提倡资源共享、互为备份鼓励社会力量参与灾难备份设施建设和提供技术服务注意网络结构的抗毁性,系统建设要考虑灾难恢复-2,灾难恢复是应急处理的组成部分灾难是低概率事件，灾难备份投资大平战结合，充分利用数据备份资源为日常事件反应和应急处理服务,加强信息安

17、全技术研究开发推进信息安全产业发展,加强信息安全关键技术和相关核心技术的研究，提高自主创新能力和技术转化能力，加快产业化进程加强对引进产品的安全可控技术研究注意研究新技术、新业务应用可能带来的信息安全问题进一步加强技术研发与产业的结合，提高研发成果转化率,自主创新与自主可控,发展自主知识产权的信息技术有利于： -解决可能 “预埋”的病毒、“后门”或预先设置的各种安全缺陷等 -采取有效的安全措施，如信息加密等自主的信息产业并不等于安全，对改变信息技术的脆弱性并没有直接关系面对我国信息产业的现状和经济全球化的大趋势，需要研究安全可控技术,技术研发与产业发展面临的挑战,自主创新能力缺乏

18、技术转化能力弱，投入不足产业化进程慢，市场需要进一步规范对信息产品的安全可控技术研究需要进一步加强对信息网络抗攻击能力研究缺乏对信息技术的安全漏洞分析和控制能力需要进一步提高,推进信息安全认证认可工作,推进认证认可工作规范和加强信息安全产品测评认证,关于信息安全产品认证认可,信息安全产品的认证，包括对安全产品和相关产品的安全模块的认证依据法规和有关方面授权的认证机构有多家认监委牵头组织推进信息安全产品认证认可工作,信息安全产品认证认可要解决的问题,提高我国对信息安全产品的测评水平是实现信息安全保障的当务之急重复测评，重复认证和重复收费问题影响我国信息产业的发展,信息安全产品认

19、证认可的基本原则,按“四个统一”的原则规范我国信息安全认证认可体制统一标准、技术法规和合格评定程序统一目录统一标志统一收费标准安全产品检测机构与认证机构分离,加强信息安全法制建设,充分运用现行法律法规，规范网络行为，维护网络秩序抓紧研究制定信息安全法确立信息安全的法律原则和基本制度，明确社会各方面保障信息安全的责任和义务加强信息安全执法队伍建设,信息安全法律体系需要完善,保障工作若干任务需要法律支持：风险管理和评估、认证认可、监控、应急处理、灾难恢复、信息通报与共享等网络信任体系的法规正在制定商用密码管理的法规需要进一步完善,网络信息安全条例,已经列入2003年国务院立法

20、计划国信办牵头制定网络信息安全条例委托公安部先期起草各项主要工作的落实为立法做铺垫是所有部门与全社会共同的责任、共同参与、立法公开,加强信息安全理论和战略研究,国信办正在组织信息安全战略研究以信息安全战略指导和规划信息安全保障体系建设充分估计网络与信息系统的安全威胁、（互）依赖性和脆弱性是制定安全战略的基础,加强信息安全标准化建设,加强信息安全标准化工作抓紧制定急需的信息安全管理和技术标准形成与国际标准衔接的具有中国特色的信息安全标准体系重视标准信息推广应用工作,关于全国信息安全标准化技术委员会,2002年我国信息安全标准的情况：信息安全标准缺口较大多管理部门分别制定相

21、关标准两个信息安全评估标准需要协调国家标管委、信息产业部和信息办协商于2002年建立了全国信息安全标准化技术委员会,信安标委的工作,2003年制定的标准：16项 2004年将制定的标准：25项 2005年计划将制定标准：20-30项推进信息安全标准研究课题：36项加强标准的宣传贯彻的力度将向全社会公开标准草案：进一步加强标准制定的公开性,加快信息安全人才培养增强全民信息安全意识,要加强信息安全学科、专业和培训机构建设，加快信息安全人才培养加强信息安全宣传工作，大力普及信息安全知识和基本技能加强各级干部的信息安全培训开展全社会特别是对青少年的信息安全教育和法律法规教育增强全民

22、信息安全意识，自觉规范网络行为,保证信息安全资金,信息安全建设是信息化的有机组成部分，必须与信息化同步规划，同步建设各部门、各地区在信息化建设中，要同步考虑信息安全建设的内容，并保证信息安全运行维护费用国家重点支持信息安全的基础性工作和基础设施建设,关于意见的实施,各部门、各地区要根据本意见的精神结合实际制订实施计划将信息安全保障工作落到实处,对信息安全若干具体问题的回答,关于电子政务安全保障问题关于安全隔离与交换问题关于灾难恢复问题,关于电子政务安全保障问题,电子政务系统包括多领域的重要信息系统不同领域的电子政务保障体系不一定相同电子政务安全保障是国家信息安全保障体系的重要部

23、分按意见的要求，具体实施电子政务安全保障,重要的是确定信息的密级,电子政务内网与外网之间实行物理隔离电子政务外网与互联网之间实行逻辑隔离是重大的进步业务单位（部门）的内部局域网是源信息的载体内部局域网上的信息只有需要互联互通时才放在内网或外网上确定信息密级是业务部门的责任,电子政务系统网络的分层结构,电子政务系统的网络的三层结构：基础电信网：SDH、ATM以及各种传输设备数据通信网：路由器等业务网：服务器、路由器以及各种计算设备数据通信网应该具有多网孔结构以增强抗毁性基础电信网和数据通信网可以统筹规划、建设和管理在不同网络层面采取不同的安全措施,关于安全隔离与交换问题,安

24、全隔离与交换的方式物理隔离是无奈的选择物理隔离不能解决信息安全保障的所有问题,安全隔离与交换的方式(NIST)-1,信息系统的边界主机通过控制与内部网适当隔离外部服务器可以位于边界保护设备（比如防火墙）的外部或者在一个与内联网分离的网络上所有的互联网接入都要通过互联网接入点；该接入点受信息系统拥有者或者主管单位的管理和控制，并且满足主管单位的需求：通过物理或技术的方式与其他单位的信息系统隔离,安全隔离与交换的方式(NIST)-2,所有与互联网、外部网络或外部信息系统的连接都要通过代理服务器、网关或防火墙单位信息系统与互联网，或者其他公共或商用广域网络之间的公共广域连接需要一个信息保护

25、网（IPN） IPN的作为入口的一个点并且负责保护信息系统边界或外部连接,物理隔离是无奈的选择,适当的物理隔离是必要的安全漏洞的控制是一个难题信息技术产品安全漏洞的分析（发现新漏洞）信息产品和系统的安全评估（对已知漏洞的控制）,什么样的隔离与交换是物理隔离？,物理隔离不等于物理断开隔离与交换依赖于：有效的安全审计和控制对应用的限制安全审计和控制是有条件的隔离与交换与等级保护的关系？隔离与交换是否能完全防范外部入侵和攻击？,重视对安全隔离与交换技术的研究,对不同等级的信息在同一个网络中存在的安全隔离与控制技术的研究尚不深入对国外研究和应用的情况不十分了解 IPN（信息保护

26、网）是什么？ GUARD(卫兵，护卫)是什么？,物理隔离是否解决信息安全保障的所有问题？,信息和系统的可用性、可控性、不可否认性内部攻击内外勾结的攻击误操作（据2000年统计，信息破坏的55%是由于误操作）灾害,内部网络（安全域）规模过大所面临的问题,接入方式可能失控主动和被动，有线和无线，恶意预设的“逻辑炸弹” 通过网络节点可能使物理隔离失效管理的复杂度提高,关于信息资源的保护,信息资源包括信息以及相关资源，人员、设备、资金和信息技术等涉密系统安全不仅仅是保密问题保障体系：综合防范非涉密系统也有保密问题法规、标准、管理国家、集体、个人的信息资源都需要保护,灾难备份是灾难恢复的基础,灾难备份是灾难恢复的基础灾难备份包括数据备份和系统功能备份数据备份的途径：国家、社会或自主系统功能备份：不同系统的要求不同,灾难备份要以业务需求为导向,数据处理、调度控制等系统对灾难备份的要求可能不同不同安全等级的系统对灾难备份的要求也可能不同数据存储的方式不同，灾难备份的方式也可能不同： -物理分布存储 -物理集中存储 -逻辑集中、物理分布存储,谢谢！请提宝贵意见！,

展开阅读全文