网络安全体系基础架构建设知识幻灯片课件

《网络安全体系基础架构建设知识幻灯片课件》由会员分享，可在线阅读，更多相关《网络安全体系基础架构建设知识幻灯片课件（90页珍藏版）》请在金锄头文库上搜索。

1、1,网络安全体系基础架构建设知识,天融信公司 罗 春,2,姓名：罗春 手机：13666152010 邮箱： 成都市电子商务学会受聘专家 系统分析师（原系统分析员） CISA（国际注册信息系统审计师） CISP（国家注册信息安全工程师） 高级程序员，系统集成项目经理 MCSE，MCDBA，MCP,讲师简介,3,国际社会对信息安全的共识,1998年以来的历届联合国大会，均专门商讨信息安全概念和主要威胁； 1999年，俄罗斯向联合国提交了从国际安全的角度来看信息和电信领域的发展报告，遭到西方国家强烈抵制； 2006年10月20日，俄罗斯联合中国等国，继续提交了报告决议草案，最终169票对1票通过，唯

2、一投反对票的国家是美国。,4,中国面临的信息安全风险因素,基础信息网络和重要信息系统的安全防护能力不强 泄密隐患严重 信息技术自主可控能力不高 对外风险意识欠缺，防范措施不够，缺乏对国外信息技术产品和服务采购中的风险控制,5,中国面临的信息安全事故,基础信息网络和重要信息系统的安全防护能力不强 2006年统计大陆被木马控制计算机约4.5万台 2002年深圳证券交易所通信中断，停止交易 2002年北京首都国际机场离港系统技术故障 2005年北京铁路局5.1售票系统临时性故障 2006年中国银联系统中断6小时 2006年中国民航离港系统技术故障,6,中国面临的信息安全现状,基础信息网络和重要信息系

3、统的安全防护能力不强 重视不够，投入不足 安全体系不完善，整体安全十分脆弱 软硬件特别是高端产品严重依赖国外 国家安全意识不强,7,中国面临的信息安全风险因素,泄密隐患严重 情报机构网上窃密活动猖獗 信息时代泄密途径日益增多 新兴技术发展导致保密形势严峻,8,中国面临的信息安全风险因素,信息技术自主可控能力不高 核心器件和核心软件还大量依赖国外 大规模集成电路技术 集成电路专用设备 操作系统和数据库90是外国公司产品 通信技术、电子视听核心技术没有掌握 新型元器件方面的核心技术基础非常薄弱,9,中国面临的信息安全风险因素,对外风险意识欠缺，防范措施不够 缺少对采购国外信息技术产品和服务的限制

4、尚未建立外商投资安全审查机制 互联网基础设施对国外高度依赖DNS问题 国内.CN域名注册量少于.COM顶级域名注册量,10,有关电子标签的两次政协提案,电子标签：非接触自动识别技术，通过射频信号识别目标对象并获取相关数据，无须人工干预； 2007年期间，杨匡满等政协委员再次递交了关于国家强制性标准全国产品与服务统一代码（NPC）的推广应用工作必须立即恢复的再提议案，签名提案委员72人，成为政协史上最大提案；2006年，59名； NPC是我国自主创新、完全拥有知识产权的国家强制性标准，2003年由国家质检总局发布，2005年宣布取消； EPC是美国EPC Global公司推出的产品电子代码，20

5、04年进入中国，中国物品编码中心（国家质检总局、国家标准委所属机构）为其代理单位； 日本坚决抵制EPC，建立了自己的UID；德国、韩国。,11,网络安全体系基础架构,12,中国早期参考的信息安全体系标准,美国国防部早在80年代就针对国防部门的计算机安全保密成立了国家计算机安全中心（NCSC） 1983 年NCSC公布了可信计算机系统评估准则TCSEC-Trusted Computer System Evaluation Criteria，俗称橘皮书 NCSC于1987年出版了一系列有关可信计算机数据库、可信计算机网络等的指南等（俗称彩虹系列），根据所采用的安全策略、系统所具备的安全功能将系统分

6、为四类七个安全级别。将计算机系统的可信程度划分为D、C1、C2、B1、B2、B3和A1七个层次。,13,中国早期参考的信息安全体系标准,TCSEC带动了国际计算机安全的评估研究，90年代西欧四国（英、法、荷、德）联合提出了信息技术安全评估标准（ITSEC），ITSEC（又称欧洲白皮书）除了吸收TCSEC 的成功经验外，首次提出了信息安全的保密性、完整性、可用性的概念 美国不甘心TCSEC的影响被ITSEC取代，他们联合其他国家于1991年1月宣布制定了通用安全评估准则CC，并于1996年1月出版了1.0版。CC标准吸收了各先进国家对现代信息系统信息安全的经验与知识，对未来信息安全的研究与应用带

7、来重大影响中国根据该准则制订了计算机信息系统安全保护等级划分准则 GB17859-1999,14,目前最新的信息安全体系发展状况,1994年，国务院发布了中华人民共和国计算机信息系统安全保护条例，该条例是计算机信息系统安全保护的法律基础。 其中第九条规定“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。” 公安部组织制订了计算机信息系统安全保护等级划分准则的国家标准，并于1999年9月13日由国家质量技术监督局审查通过并正式批准发布，已于 2001年1月1日执行。,15,信息安全等级保护相关文件间的关系,政策文件,四大标准,技术标准,管理标

8、准,提供指导,提供方法,安全等级化的信息系统,提供技术要求,提供管理要求,16,信息系统安全等级保护实施政策文件,政策文件,国务院147号令 中华人民共和国计算机信息系统安全保护条例 中办发200327号 国家信息化领导小组关于加强信息安全保障工作的意见 公通字200466号 关于信息安全等级保护工作的实施意见 公通字200743号 信息安全等级保护管理办法,17,信息系统安全等级保护实施的标准法规,四大标准,信息安全技术 信息系统安全等级保护定级指南 GB/T 22240-2008 信息安全技术 信息系统安全等级保护基本要求 GB/T 22239-2008 信息系统安全等级保护实施指南（国家

9、标准报批稿） 信息系统安全等级保护测评准则（国家标准报批稿）,18,信息系统安全等级保护实施技术标准,计算机信息系统安全保护等级划分准则（GB 17859-1999） 信息安全技术 信息系统通用安全技术要求（GB/T 20271-2006） 信息安全技术 网络基础安全技术要求（GB/T 20270-2006） 信息安全技术 操作系统安全技术要求（GB/T 20272-2006） 信息安全技术 数据库管理系统安全技术要求（GB/T 20273-2006） 信息安全技术 服务器技术要求（GB/T 21028-2007） 信息安全技术 终端计算机系统安全等级技术要求（GA/T 671-2006） 涉

10、及国家秘密的信息系统分级保护技术要求（BMB17-2006） ,技术标准,19,信息系统安全等级保护实施管理标准,管理标准,信息安全技术 信息系统安全管理要求（GB/T 20269-2006） 信息安全技术 信息系统安全工程管理要求（GB/T 20282-2006） 涉及国家秘密的信息系统分级保护管理规范（BMB20-2007） 信息技术 安全技术 信息安全管理体系要求（GB/T 22080-2008） 信息技术 安全技术 信息安全管理实用规则（GB/T 22081-2008）,20,近期新增国家信息安全标准,GB/T 20945-2007 信息安全技术信息系统安全审计产品技术要求和测试评价方

11、法 GB/T 20979-2007 信息安全技术虹膜识别系统技术要求 GB/T 20983-2007 信息安全技术网上银行系统信息安全保障评估准则 GB/T 20984-2007 信息安全技术信息安全风险评估规范 GB/T 20987-2007 信息安全技术网上证券交易系统信息安全保障评估准则 GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范 GB/T 21028-2007 信息安全技术服务器安全技术要求 GB/T 21050-2007 信息安全技术网络交换机安全技术要求(评估保证级3) GB/T 21052-2007 信息安全技术信息系统物理安全技术要求 GB/T 2105

12、3-2007 信息安全技术公钥基础设施PKI系统安全等级保护技术要求 GB/T 21054-2007 信息安全技术公钥基础设施PKI系统安全等级保护评估准则 GB/Z 20283-2006 信息安全技术 保护轮廓和安全目标的产生指南 GB/Z 20985-2007 信息技术 安全技术 信息安全事件管理指南 GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南 GB/T 22080-2008 信息技术 安全技术 信息安全管理体系

13、要求 GB/T 22081-2008 信息技术 安全技术 信息安全管理实用规则,21,网络安全体系基础架构的主要建设过程,运维方案设计,技术方案设计,管理方案设计,安全平台选型,综合风险分析,业务人员访谈,管理人员访谈,技术人员访谈,安全培训服务,应急响应服务,安全通告服务,安全监控服务,后期服务,项目监理,现有措施评估,安全威胁评估,资产弱点评估,信息资产赋值,帮助分析需求,帮助总体规划,帮助设计方案,承包工程实施,监控、响应,安全认证咨询,需求分析,总体规划,详细设计,工程实施,运行维护,安全认证,信息系统安全建设与运营维护,信息资产识别,风险分析与评估,设计总体方案,制定安全策略,制定安

14、全方针,安全总体规划,安全产品选型,安全方案设计,工程验收,服务实施,产品实施,设计实施方案,制定实施计划,安全工程实施,安全审计服务,安全优化服务,安全加固服务,安全检测服务,安全运行维护,安全认证,体系建设,风险评估,标准导入,安全认证咨询,人、工具、标准,人、标准,人、产品,人、产品,人、工具、平台,人、标准,信息系统安全建设咨询服务,安全运行维护服务,系统现状分析,安全认证咨询服务,22,网络安全体系基础架构前的准备工作,风险评估准备,保护对象分析,威胁分析,脆弱性分析,控制措施分析,确定风险后果,确定风险概率,确定风险等级,安全风险评估报告,信息安全技术 信息安全风险评估规范（GB/

15、T 20984-2007）,23,网络安全集成商的选择企业主要相关资质,国家涉密集成资质,信息系统集成资质,国家安全服务资质,24,网络安全产品的选择国家安全相关资质,25,网络安全产品的选择密码产品相关资质,26,网络安全产品的选择业界主要安全相关资质,安全产品的品质保障 EAL系列产品认证,电信接入品质保障 电信进网试用批文,避免贴牌产品知识产权证明,入侵漏洞库质量CVE兼容认证,27,网络安全措施简介,28,主机安全措施简介,29,应用安全措施简介,30,数据安全措施简介,31,网络安全体系基础架构的主要涉及层面,物理安全,技术需求,管理需求,信息安全需求,网络安全,主机安全,应用安全,

16、数据安全,安全管理制度,安全管理机构,人员安全管理,系统建设管理,系统运维管理,32,物理安全（三级）,物理位置的选择,物理访问控制,防盗窃和防破坏,防雷击,防火,防水和防潮,防静电,温湿度控制,电力供应A3,电磁防护S3,物理安全需求分析,33,机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内； 机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。,物理位置的选择,物理安全需求分析,34,机房出入口应安排专人值守，控制、鉴别和记录进入的人员； 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围； 应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域； 重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。,物理访问控制,物理安全需求分析,35,应将主要设备放置在机房内； 应将设备或主要部件进行固定，并设置明显的不易除去的标记； 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中； 应对