《信息安全保障和对策培训课件》由会员分享,可在线阅读,更多相关《信息安全保障和对策培训课件(84页珍藏版)》请在金锄头文库上搜索。
1、信息安全保障和对策,信息安全保障工作专题研讨会 吕诚昭 国务院信息化工作办公室 2004年3月9日 云南大理,主要内容,国家信息安全保障体系介绍 对信息安全若干具体问题的讨论 对信息安全保障的认识(供参阅) 关于信息安全保障体系框架介绍 (供参阅),国家信息安全保障体系介绍,贯彻落实 关于加强信息安全保障工作的意见 (中办200327号文件),国家信息化领导小组第三次会议,审议并通过了 关于加强信息安全保障工作的意见,全国信息安全保障工作会议,黄菊同志做主报告 对贯彻落实 关于加强信息安全保障工作的意见 做出了进一步的部署,关于中办200327号文件,我国第一个全面关于信息安全保障工作的文件
2、文件对中央各部委、各行业和各地区的信息安全保障工作做出原则性战略性的规定 是我国今后一段时期内信息安全保障工作的纲领性文件,关于加强信息安全保障工作意见的主要内容,国家信息安全保障的战略方针和目标 国家信息安全保障的近期战略目标 加强信息安全保障工作的基本原则 信息安全保障的主要工作,我国信息安全保障的战略方针,积极防御 综合防范,我国信息安全保障的战略目标,全面提高信息安全防护能力 重点保障基础信息网络和重要信息系统安全 创建安全健康的网络环境 保障和促进信息化发展,保护公众利益,维护国家安全,我国信息安全保障的重点,保障基础信息网络的安全 公共电信网络、广电传输网络、互联网 保障重要信息系
3、统的安全 党政核心信息系统、国防信息系统、税务、海关、银行、证券、电力、民航、铁路等信息系统 加强信息内容安全的管理,积极防御,用发展的思路来解决信息安全问题,从发展中求安全,以安全保发展 分级、分类、分阶段实施信息安全保障 立足安全防护,加强预警和应急处置 加强追踪、取证和打击犯罪等反制手段 从更深层次和长远考虑,要有必要的信息对抗能力和手段,实现对网络和信息系统安全可控,综合防范,保护、检测、反应(恢复、反制)、预警构成信息安全综合防范体系 从预防、监控、应急处理和打击犯罪等环节 从法律、管理、运行、技术、人才等各个方面 采取多种技术和管理措施 通过全社会的共同努力,全面提升信息安全防护能
4、力,国家信息安全保障的近期战略目标,经过五年左右的努力 基本形成国家信息安全保障体系,加强信息安全保障工作的基本原则,立足国情,以我为主,管理与技术并重 正确处理安全与发展的关系,以安全保发展,从发展中求安全 统筹规划,突出重点,加强信息安全的基础性工作 明确国家、企业、个人的责任和义务,充分发挥各方面的作用,全社会共同构筑国家信息安全保障体系,立足国情,以我为主,立足我国信息化发展的现状 立足我国信息安全的现状 立足我国信息产业的现状 在关键安全技术研发方面,坚持以我为主 开发有自主知识产权和自主可控的先进技术,坚持管理与技术并重-1,信息安全保障首先是高技术的对抗 必须具备一定的物质和技术
5、手段 落后就要挨打,落后就要受制于人 大力发展信息安全技术和信息产业 加快培养信息安全专业技术人才,坚持管理与技术并重-2,科学的管理是信息技术转化为信息安全保障能力的必要条件 90%以上的成功攻击是利用了已知的漏洞或者已经提供了软件修改或“补丁”的漏洞(美国国防部系统) 充分发挥我们的政治优势、制度优势,增强政治责任心,切实加强信息安全管理,从发展中求安全,必须适应经济全球化加快发展和我国加入WTO、对外开放进一步扩大的新形势,用开放的眼光和思路,解决信息安全保障问题 只有大力发展信息化,才能为解决信息安全问题提供物质和技术保障 发展信息产业,增强我国的国际竞争力;国际制衡有利于安全,以安全
6、保发展,只有高度重视和切实加强信息安全保障工作,才能促进信息化的健康发展 信息安全是发展面临的问题同时也是发展的内容,统筹规划,突出重点,重点保障基础信息网络和重要信息系统的安全 信息化发展的不同阶段和不同的信息系统,有着不同的安全需求 各地区、各部门处于信息化发展的不同阶段,必须从各自的实际出发,确定工作重点,进行信息安全建设和管理 统筹兼顾,综合平衡安全风险和建设成本,科学配置和集成信息安全资源,全社会共同构筑国家信息安全保障体系,明确国家、企业、个人的责任和义务,充分发挥各方面的作用,全社会共同构筑国家信息安全保障体系 信息安全从涉及政权巩固到涉及政权巩固和生产力的发展,全面影响国家安全
7、 从自扫门前雪到依靠全社会的力量,信息安全保障的主要工作,建立健全信息安全责任制(1) 信息安全保障的基础性工作(4) 信息安全保障的支撑性工作(4),信息安全保障的主要工作-健全责任制,加强对信息安全工作的领导 建立健全信息安全责任制,信息安全保障的主要工作-基础性工作,实行信息安全等级保护, 重视信息安全风险评估 加强以密码技术为基础的信息保护 和网络信任体系建设 建设和完善信息安全监控体系 重视信息安全应急处理工作,信息安全保障的主要工作-支撑性工作,加强信息安全技术研究开发, 推进信息安全产业发展 加强信息安全法制建设和标准化建设 加快信息安全人才培养, 增强全民信息安全意识 保证信息
8、安全资金,加强对信息安全工作的领导建立健全信息安全责任制,各级党委和政府要高度重视信息安全工作,加强对信息安全工作的领导。要抓紧建立健全信息安全管理体制,明确主管领导,落实责任部门 建立和落实信息安全管理责任制。安全建设和安全管理,按照谁主管谁负责、谁运营谁负责的要求,由各主管部门和运营单位负责,为什么强调建立健全信息安全责任制,信息安全意识普遍薄弱、安全管理制度不健全、责任不落实 落实“谁主管谁负责、谁运营谁负责”是关键 从中央到地方、落实到基层单位和企业 落实到信息安全保障的所有工作中,国家网络与信息安全协调小组,组长:黄菊 副组长:曾培炎、熊光楷 国家网络与信息安全协调小组负责国家信息安
9、全保障的综合协调工作,加强各方面的协调配合,信息安全管理涉及到多个部门,工作中难免有一定的交叉 按照职能分工,各司其职,勇于负责 主动配合,互相支持,形成合力,共同履行信息安全管理的职责 军地结合、军民合作,形成军民互动、寓军于民、优势互补、协调发展,实行信息安全等级保护,建立信息安全等级保护制度。 信息化发展的不同阶段和不同的信息系统有着不同的安全需求 从实际出发,综合平衡安全成本和风险,保障重点 国家重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统 制定信息安全等级保护的管理办法和技术指南,为什么要实行等级保护,信息安全的等级是客观存在的 信息和系统的(互)依赖性、重要
10、性、威胁和脆弱性 有利于突出重点,加强安全建设和管理 有利于控制安全的成本 有利于个人数据(隐私)的保护,实行等级保护是信息安全保障的基本政策,分级分类实现必要的足够的承担适度风险的安全(适度安全) 等级保护涉及到信息系统的重要性、秘密性和密码管理等多方面 各部门、各单位都要根据等级保护制度的要求,结合各自的特点,建立相应的安全保护策略、计划和措施,信息安全等级保护相关的法规,1994年颁布的中华人民共和国计算机信息系统安全保护条例决定:实行等级保护 网络信息安全条例及其配套管理办法和实施指南(正在制定),信息安全等级保护相关的标准,1999年颁布国标计算机信息系统安全保护等级评估准则(GB1
11、7859)(可信计算安全准则TCSEC) 2001年颁布国标信息技术安全性评估准则(GB/T18336 )(通用准则CC) 研究制定信息系统方面的等级保护标准,等级保护制度需要在发展中完善,我国目前缺少的是可实施的标准 信安标委正在组织制定相关标准 需要协调多部门(公安部、保密局和国密办等)共同实施等级保护制度 从实际出发, 分级、分类、分阶段实施,在应用过程中完善,重视信息安全风险评估工作,对网络与信息系统的安全威胁、薄弱环节、防护措施等进行分析评估 根据网络与信息系统的重要性、涉密程度和所面临的信息安全风险等因素进行安全建设和管理,为什么重视信息安全风险评估工作,信息系统存在安全风险 由于
12、系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响 信息安全风险管理是信息安全管理的核心 信息安全风险评估是风险管理的基础,信息安全建设和管理的起点和基础,信息安全风险评估的目的,目的: 避免、控制、减少、转移风险 提高隐患发现能力是做好风险评估的关键: 信息技术产品安全漏洞和“后门”分析 信息系统安全隐患与薄弱环节分析 信息安全风险评估标准和规范尚不完善(国内外),信息系统与信息产品评估的区别,信息系统风险评估涉及信息资源的各方面: 信息(信息秘密)以及人员、设备、资金 和信息技术等 产品:市场流通,系统:非流通 产品评估:可以通过第三中介机构 信息系统风险评估的管理者
13、: 谁主管谁负责、谁运营谁负责,加强以密码技术为基础的信息保护和网络信任体系建设,按照满足需求、方便使用、加强管理的原则,修改完善密码管理法规,建立健全适应信息化发展的密码管理体制 建立协调管理机制,规范和加强以身份认证、授权管理、责任确定等为主要内容的网络信任体系建设,密码管理体制面临的挑战,面临电子政务特别是电子商务的开放环境 面临全球漫游的通信环境(WLAN、移动通信、互联网等) 面临通用信息系统的密码管理(操作系统等) 密码管理工作必须适应经济全球化和进一步开放的大环境,PKI体制中需要解决的问题,解决(2002年)我国PKI建设中的“三无”状态: 无关于PKI的国家标准(信安标委负责
14、) 已经制定了9个相关标准 无数字签名法规(法制办负责) 正在征求意见 无明确的主管部门(信息产业部和国密办牵头组织PKI协调机构 ),重视PKI系统自身的安全,PKI系统自身的安全是信任的基础 “象PKI这样的关键基础设施应当使用美国技术建造。我对把信任度不明、质量不明的外国软件集成到关键的美国系统中,感到担忧”。 NSA信息保障部部长 丹尼尔.G.沃尔夫,PKI的建设要以业务需求为导向,按等级保护的要求,要以业务需求为导向规划网络信任体系的建设 PKI技术不能解决所有的信息安全问题 比如:DDOS 、灾难恢复、密码破译等 单一技术方案不符合综合防范的要求,建立和完善信息安全监控体系,基础信
15、息网络的运营单位和各重要信息系统要根据实际情况建立和完善信息安全监控系统 提高对网络攻击、病毒传播、网络失窃密的防范能力 有效的检测是实现正确反应的前提,重视信息安全应急处理工作,国家和社会各方面都必须重视信息安全应急处理工作 进一步完善国家信息安全应急处理协调机制 建立健全信息安全通报制度 制定和不断完善信息安全应急处置预案 加强信息安全应急支援服务队伍建设,对信息安全应急处理的认识,信息安全保障由静态到动态的发展 安全事件的类型: 一般安全事件(incident) 紧急安全事件(emergency) 灾难事件(disaster) 应急处理成本和代价高于一般事件的处理 检测与响应:检测的成本
16、低于应急处理,信息安全事件检测与响应,检测攻击和非法入侵 开发稳健的情报和执法功能,保持与法律的一致 以实时的方式共享攻击警报和信息 建立响应、重建和恢复能力,系统建设要考虑灾难恢复-1,信息与系统的恢复是信息安全保障的重要环节 各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复 灾难备份建设要从实际出发(考虑成本),提倡资源共享、互为备份 鼓励社会力量参与灾难备份设施建设和提供技术服务 注意网络结构的抗毁性,系统建设要考虑灾难恢复-2,灾难恢复是应急处理的组成部分 灾难是低概率事件,灾难备份投资大 平战结合,充分利用数据备份资源为日常事件反应和应急处理服务,加强信息安全技术研究开发推进信息安全产业发展,加强信息安全关键技术和相关核心技术的研究,提高自主创新能力和技术转化能力,加快产业化进程 加强对引进产品的安全可控技术研究 注意研究新技术、新业务应用可能带来的信息安全问题 进一步加强技术研发与产业的结合,提高研发成果转化率,自主创新与自主可控,发展自主知识产权的信息技术有利于: -解决可能 “预埋”的病毒、“后门”或预先设置 的各种安全缺陷等 -采
