信息安全现状和发展知识分享

《信息安全现状和发展知识分享》由会员分享，可在线阅读，更多相关《信息安全现状和发展知识分享（34页珍藏版）》请在金锄头文库上搜索。

1、信息安全现状和发展,2,目录,引言 信息系统潜在威胁 安全需求和基本技术 信息安全保障体系 典型网络安全产品 信息安全发展 结语,3,引言,信息化快速发展，使信息化环境所面临的各种主动和被动攻击的情形越来越严峻，信息系统客观存在的大量漏洞，极易被敌对势力或黑客利用来对系统进行攻击。 美国在2007年9月成立网络司令部，核心任务是保证本国网络安全和袭击他国核心网络，有攻也有防，被外界称为“黑客”司令部，对我国信息安全形成了严重的威胁。 我国信息化建设和反军事斗争准备的紧迫形势下，党政军各类信息系统和信息本身的安全问题已经成为积极防御和体系对抗的重要环节。,5,引言,2006年4月，国家信息化领导

2、小组副组长曾培炎副总理对国家信息化专家咨询委员会提出的要求有四条：一是总结信息化发展的历史经验和教训，研究信息化发展的趋势规律，探索符合中国国情的信息化模式。二是研究信息领域的重大技术问题。如集成电路设计与制造、新一代移动通信、下一代互联网、数字电视、信息安全等技术，实现关键领域的突破。三是研究推广应用信息技术的政策措施。四是研究有利于推进信息化的体制机制。,6,信息系统潜在威胁,被动攻击：一般在信息系统的外部进行，对信息网络本身一般不造成损坏，系统仍可正常运行，但有用的信息可能被盗窃并被用于非法目的。 信息窃取：攻击者从传输信道、存储介质等处窃取信息。 密码破译：对截获的已加密信息进行密码破

3、译，从中获取有价值的信息。 信息流量分析：对网络中的信息流量和信息流向进行分析，得出有价值的情报。,7,信息系统潜在威胁,主动攻击：直接进入信息系统内部，往往会影响系统的运行，造成巨大的损失，并给信息网络带来灾难性的后果。 入侵：利用系统或网络漏洞，远程访问、盗取口令，借系统管理之名等方法进入系统，进行攻击。 假冒：假冒合法用户身份、执行与合法用户同样的操作，行欺骗和攻击之实。 窜改、插入、重放、阻塞、施放病毒：进入被攻击系统后的攻击手段。 抵赖：对发送或接收行为进行抵赖。,8,信息系统潜在威胁,黑客攻击手法,9,信息系统潜在威胁,10,安全需求和基本技术,安全五性需求,真实性 机密性 完整性

4、 不可抵赖性 可用性,安全基本技术 身份认证 加密保护 数据完整性 数字签名 访问控制 安全管理,11,信息安全保障体系,经历了三代： 通信保密（COMSEC）时代： 19世纪70年代前，重点是通过密码技术解决通信保密问题，主要安全威胁是搭线窃听和密码分析，采用的保障措施就是加密，确保保密性和完整性。 其时代标志是1949年Shannon发表的保密通信的信息理论和1977年美国国家标准局公布的数据加密标准（DES）。,12,信息安全保障体系,信息安全（INFOSEC）时代：20世纪7090年代，重点是确保计算机和网络的硬件、软件和传输、存储和处理的信息的安全。主要安全威胁是非法访问、恶意代码、

5、网络入侵、病毒破坏等。主要保障措施是安全操作系统(TCB)、防火墙、防病毒软件、漏洞扫描、入侵检测、PKI、VPN和安全管理等。 其时代标志是1985美国国防部公布的可信计算机系统评价准则（TCSEC）和ISO的安全评估准则CC（ISO 15408）。,13,信息安全保障体系,信息安全保障（IA）时代：90年代后期至今，不仅是对信息的保护，也包括信息系统的保护和防御，包括了对信息的保护、检测、反应和恢复能力。信息保障强调信息系统整个生命周期的防御和恢复，同时安全问题的出现和解决方案也超越了纯技术范畴。 典型标志是美国国家安全局制定的信息保障技术框架(IATF)。,14,信息安全保障体系,信息保

6、障(Information Assurance)概念最早由美国防部在1995年S-3600.1信息作战指令中提出：“通过确保信息和信息系统的可用性、完整性、鉴别性、保密性和不可抵赖性来保护信息和信息系统的信息作战行动，包括综合利用保护、探测和响应能力恢复系统的功能”。 信息保障概念很快被政府各部门和工业界广泛接受，1998年5月22日，美国政府颁发了保护美国关键基础设施总统令（PDD-63）。围绕“信息保障”成立了多个组织，其中包括全国信息保障委员会、全国信息保障同盟、关键基础设施保障办公室、首席信息官委员会、联邦计算机事件响应能动组等10多个全国性机构。,15,信息安全保障体系,美国国家安全

7、局（NSA）在1998年发布了信息保障技术框架（IATF），2002年9月发布了3.1版。,16,多层防护案例,信息安全保障体系,骨干网,骨干网,帧中继 电路,SDH信道,IP局域网,IP局域网,IP局域网,骨干节点,ATM接入 交换机,ATM 交换机节点,路由器,无ATM 交换机节点,路由器,路由器,PSTN/ISDN,拨号 服务器,ATM接入 交换机,广域网,17,信息安全保障体系,信息保障不只是依靠安全防护措施对信息和信息系统进行静态的安全防护，而是基于整个信息保障体系，最终实现对于信息和信息系统持续的动态的安全性保证。这个保障体系包括由防护、检测、响应、恢复（PDRR）等四个环节组成的

8、信息保障体系。,18,信息安全保障体系,PDRR： 防护（P）：采用相关安全策略、机制、管理、服务和安全产品，实现系统的安全防护。 检测（D）：使用实时监控、入侵检测、漏洞扫描等技术，对系统进行安全检测。 响应（R）：对安全事件作出快速反应，尽量减少和控制对系统影响的程度。 恢复（R）：对遭受破坏的系统数据和系统服务进行恢复和重建。,19,信息安全保障体系,信息安全保障体系是以往著名安全体系的发展： 信息系统安全工程（ISSE）：信息保护系统的需求分析、定义、设计、实施和评估。 信息系统生命周期：系统的启动、建设、安装、评估、运维、废弃六个阶段。 风险管理：调整和权衡影响安全保障的每一个因素的

9、目标，从而获得适当的总体信息安全保障。 公共准则（CC）：系统的安全功能要求（11类，保护轮廓PP），和满足该要求的安全保证要求（7个等级，安全目标ST）,20,信息安全保障体系,2003年中共中央办公厅和国务院办公厅转发国家信息化领导小组关于加强信息安全保障工作的意见的通知（中办发200327号），第一次把信息安全提到了促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度，并提出了“积极防御、综合防范”的信息安全管理方针。 2003年7月成立了国家计算机网络应急技术处理协调中心（CNCERT/ CC），协调全国的CERT组织对全国范围内计算机应急处理有关的数据进行统计，协同处理大

10、规模网络安全事件，为国家重要部门提供应急处理服务。,21,信息安全保障体系,2005年9月，国务院信息化工作办公室引发电子政务信息安全等级保护实施指南（试行），将我国信息安全分五级防护：自主保护级、指导保护级、监督保护级、强制保护级、专控保护级。 最近，中共中央办公厅、国务院办公厅印发了2006-2020年国家信息化发展战略，将建设国家信息安全保障体系列入我国信息化发展的战略重点。,22,信息安全保障体系,国家计算机网络应急技术处理协调中心统计，今年上半年监测到大陆地区1,000,372个IP地址的主机被植入木马，比去年全年的44,717个IP地址增加了20多倍。 据有关方面统计，美国每年由于

11、网络安全问题而遭受的经济损失超过170亿美元，德国、英国也均在数十亿美元，法国为100亿法郎，日本、新加坡问题也很严重。 据国家计算机网络应急技术处理协调中心估计，我国网络犯罪形成的黑色产业链的年产值已超过2.38亿元，造成的经济损失超过了76亿元。,23,信息安全保障体系,国防上的各类军事电子信息装备与系统，各类武器平台电子信息装备，以及各种军用软件、电子基础产品、国防电子信息基础设施的建设等都需要信息安全保障。 国家的各种重大电子信息系统工程的建设、党政网络建设、政务系统建设等，还有商用、民用的电子信息软件、组件、整机和系统等也都需要信息安全的保障。 只要有信息系统的存在，就一定有信息安全

12、的需要，信息安全已经成为信息系统的一个必要的组成部分了。,24,信息安全保障体系,信息安全系统组成,国家保密局在2001年发布的“涉及国家秘密的计算机信息系统安全保密方案设计指南”，BMJ2-2001,25,信息安全保障体系,2005年，中国网络安全产品市场的总销售额达44.61亿元，比2004年增长了9.69亿元。 国家信息化安全市场分为五个安全领域：国家基础设施信息化、电子政务、电子商务、产业信息化和城市信息化（包括人民生活信息化）。 国家信息基础设施包括国防、金融、电力、工业、商业、政府等范畴内信息基础设施，其安全建设存在着巨大建设空白，需要在国家信息化领导小组统一领导和各相关部门的配合

13、下，建立国家基础设施信息安全的专门防护、监管、应急与威慑力量，建设提供国家基础设施安全装备与技术的产业骨干企业体系。,26,信息安全发展,宽带无线移动通信安全：如何保证4G融合的系统？,27,信息安全发展,网络中心企业服务的安全 NCES是美军国防转型的一个重点，是为满足网络中心战的需要，从公共运作环境（COE）演变而来的一种新型分布式的服务架构。 以服务的可视、可访问、可理解、可信、可互操作和可响应为目标。,28,信息安全发展,网络中心企业服务的安全：IA是9个核心企业服务之一，并嵌入到所有其它服务中,29,多区域协作和全局联动安全：防火墙与入侵检测联动,信息安全发展,30,多区域协作和全局

14、联动安全：入侵检测与主机监控间联动,信息安全发展,31,结语,信息安全系统是国家重要的信息基础设施，关系着我信息主权乃至国家主权的维护，最终将关系到军队和国家的存亡，因此是国防和国家安全的重要组成部分。 信息安全保障是保护信息系统，保护信息化进程，保护国家和社会安定所必须的。,32,结语,从技术上说，信息保障对信息和信息系统的安全的要求是从根基做起，动态、全时空和全过程地做好主动防御、综合防范，向广度延伸，向纵深发展。,33,结语,在技术保障体系下： 要建立国家信息安全保障基础设施。 要加快信息安全立法，建立信息安全法制体系。 要建立国家信息安全组织管理体系，加强国家信息安全机构及职能，建立高效能的、职责分工明确的行政管理和业务组织体系，建立信息安全标准和评估体系。 要建立国家信息安全技术保障体系，使用科学技术，实施安全的防护保障。,34,结语,我国“十一五”重点： 一方面将加强信息安全等级保护、风险评估、应急体系和灾难备份、网络信息安全监控等网络和信息安全保障体系的建设。 另一方面将大力开展关键核心技术的研发和网络安全技术平台的建设，尽快建立网络安全技术保障体系。,