《CISP0102信息安全保障基本实践》由会员分享,可在线阅读,更多相关《CISP0102信息安全保障基本实践(113页珍藏版)》请在金锄头文库上搜索。
1、讲师名字:樊山,信息安全保障实践,课程内容,2,2,知识域:信息安全保障工作概况,知识子域:国外信息安全保障情况了解发达国家信息安全状况和信息安全保障的主要举措了解发达国家信息安全方面主要动态知识子域:我国信息安全保障工作总体情况了解我国信息安全保障工作发展阶段理解国家信息安全保障基本原则了解国家信息安全保障建设主要内容,3,3,国外信息安全保障情况,发达国家信息安全状况发达国家信息安全保障的主要举措,4,4,发达国家信息安全保障的主要举措,信息安全是国家安全的重要组成部分已成为世界各国的共识;各国纷纷出台自己的信息安全战略和政策,加强自身的国家信息安全保障体系建设。,5,5,6,国外信息安全
2、保障体系的最新趋势,战略:发布网络安全战略、政策评估报告、推进计划等文件政治:通过设立网络安全协调机构、设立协调官,强化集中领导和综合协调军事:陆续成立网络战司令部,开展大规模攻防演练,招募网络战精英人才,加快军事网络和通信系统的升级改造,网络战成为热门话题外交:信息安全问题的国际交流与对话增多,美欧盟友之间网络协同攻防倾向愈加明显,信息安全成为国际多边或双边谈判的实质性内容科技:各国寻求走突破性跨越式发展路线推进技术创新,力求在科技发展上保持和占据优势地位关键基础设施仍然是信息安全保障的最核心内容,美国信息安全保障战略:一个轮回 三届政府 四个文件,7,网络空间国家安全战略框架,1998年5
3、月,克林顿政府发布了第63号总统令(PDD63):克林顿政府对关键基础设施保护的政策,2000年1月,克林顿政府发布了信息系统保护国家计划V1.0,提出了美国政府在21世纪之初若干年的网络空间安全发展规划。,2001年10月16日,布什政府意识到了911之后信息安全的严峻性,发布了第13231号行政令信息时代的关键基础设施保护,宣布成立“总统关键基础设施保护委员会”,简称PCIPB,代表政府全面负责国家的网络空间安全工作,2003年2月,在征求国民意见的基础上,发布了保护网际空间的国家战略的正式版本,对原草案版本做了大篇幅的改动,重点突出国家政府层面上的战略任务,这是一个非常大的跨越,2010
4、年3月2日, 奥巴马政府部分解密了CNCI, 包括3个重要目标,12个倡议,美国CNCI:网络“曼哈顿计划”,2008年1月2日发布的国家安全总统令54/国土安全总统令23,建立了国家网络安全综合计划(CNCI)。三道防线建立第一线防御:减少当前漏洞和隐患,预防入侵;全面应对各类威胁:增强反间能力,加强供应链安全来抵御各种威胁;强化未来安全环境:增强研究、开发和教育以及投资先进的技术来构建将来的环境。 十二项任务,8,国家网际空间战略,2017/7/20,9,国家网际空间战略,2017/7/20,10,构建网络空间政策 战略方针 成功的构建过程 认识到面临的挑战 创建的原则,网络空间的未来 我
5、们所寻求的未来 开放和可操作:网络空间的使用 安全和可靠:持续的网络空间 通过准则的稳定 我们在未来网络空间中的作用 外交:加强伙伴关系 国防:劝阻和遏制 发展:建设繁荣和安全,政策重点 经济:促进国际标准和创新,开放的市场 保护我们的网络:提高安全性,可靠性和灵活性 执法:扩展的协作和法治 军事:21世纪的安全挑战做准备 互联网治理:促进有效和包容性的结构 国际发展的能力建设,安全与繁荣 互联网自由:支持基本自由和隐私,继续前进,美国信息安全保障的重点对象,2001年美国出台美国爱国者法案,定义“关键基础实施”的含义;“关键基础实施”定义为关系到美国生死存亡的物理和虚拟的系统和资产,这些系统
6、和资产的功能丧失或遭到破坏,会对国家安全、经济稳定、国家公众健康与安全产生严重影响。2003年12月发布国土安全总统令/HSPD-7确定了17个关键基础设施;2008年3月国土安全部将关键制造业类为第18项关键基础设施;目前美国的关键基础设施和主要资源部门;,11,美国信息安全保障组织机构,网络安全协调官:负责领导白宫“网络安全办公室”,制定和发布国家信息安全政策首任网络安全协调官霍华德施密特,被喻为“网络沙皇”国土安全部(DHS)、国家安全局(NSA)、国防部(DOD)、联邦调查局(FBI)、中央情况报局(CIA)、国家标准技术研究所(NIST)等6个机构具体执行不同的分管职责公私合作机构:
7、国家基础设施顾问委员会(NIAC)、信息共享和分析中心(ISAC)、网络安全全国联盟(NCSA)等等,12,美国信息安全保障基本做法,1993年克林顿政府提出兴建“国家信息基础设施”(信息高速公路),1998年首次提出信息安全的概念和意义;1998年5月国家安全局制定了信息保障技术框架;2000年公布首个信息系统保护国家计划;2002年下半年,以国土安全战略为引导,布什政府逐步出台一系列国家安全政策,将信息保障战略纳入总体国家战略之中:2003年2月,发布网络空间安全国家战略、保护关键基础设施和重要资产的国家战略,13,美国信息安全保障基本做法,2005年美国建立了国家漏洞库(NVD),利用技
8、术优势掌握全球最全面的信息安全漏洞信息2008年1月8日,布什以第54号国家安全总统令和第23号国土安全总统令的形式签署国家网络安全综合计划这项计划高度强调国家意志,被称为信息安全的“曼哈顿计划;目标:保护没有网络安全,防止美国遭到敌对的电子攻击,并能对敌方展开在线攻击;预算:高达300-400亿美元属于高度机密,2010年3月奥巴马政府公开了其部分内容要求美国政府与安全有关的部门参与实施,14,英国信息安全保障体系建设动态,全面紧跟美国,2009年6月,英国发布首份国家网络安全战略,宣布成立“网络安全办公室”和“网络安全运行中心”,提出建立新的网络管理机构的具体措施。注重信息安全标准组织建设
9、,重视将本国标准向海外推广,积极参与国际信息安全标准制定。英国BSI 7799标准享誉全球,已成为国际标准,并主导ISO/IEC 27000系列标准强化网络监控,规定警方和国家安全、税务等监察部门有权监控电子邮件和移动电话等系统,成为西方大国中唯一的政府可以要求网络用户交出加密资料密钥的国家,15,英国信息安全保障的重点对象,英国国计民生不可或缺的许多关键服务依赖信息技术,有10个部分被认为是在提供“基本服务”。(1)通信(数字、语音、邮递、无线通信等)(2)应急服务(救护、消防、警察、营救等)(3)能源(电力、石油等)(4)金融(资产管理、金融设施、银行、市场)(5)食品(生产、进口、加工、
10、配送、零售)(6)政府和公共服务(中央、地区和地方政府、议会和立法机关、司法、国家安全)(7)公共安全(化学、生物、辐射和核恐怖袭击;危及百姓生活的事件)(8)健康(医疗保健、公共卫生)(9)交通(航空、海运、铁路、公路)(10)水(饮用水、污水),16,英国信息安全保障组织机构,国家基础设施安全协调中心负责信息安全工作的跨部门机构运行着英国的计算机应急响应小组信息保障中央主办局和民事应急局负责信息安全工作的重要政府机构,17,英国信息安全保障基本做法,立法工作1984年制定数据保护法1990年出台反计算机滥用法1997年实施电信诈骗法2000年出台信息自由法1998年贸易和工业部发表加强竞争
11、力白皮书:确定了英国建设信息社会的方式2005年英国政府制定发表了信息保障管理框架:作为信息安全保障战略。,18,19,英国信息安全保障基本做法,2009年6月,英国政府推出首份国家网络安全战略,宣布成立“网络安全办公室”和“网络安全运行中心”,提出了建立网络管理机制的具体措施英国建立了两个国家级的计算机应急响应小组英国政府计算机响应小组英国国防部计算机应急响应小组注重政府信息系统安全采用网络逻辑隔离、PKI等安全技术加强政务外网安全构建支持“身份联合管理”的内部电子邮件系统注重标准制定,BS7799是国际信息安全管理标准ISO27000的前身注重网络监管是唯一政府可以要求网络用户交出加密密钥
12、的国家,20,德国信息安全保障体系建设动态,世界上第一个建立电子政务标准的国家。1991年,德国在内政部下建立信息安全局(BSI),负责处理与网络空间相关的所有问题。重视关键基础设施信息安全保障,建立日尔曼人的“基线”防御。1997年建立部际关键基础设施工作组;2005年出台信息基础设施保护计划和关键基础设施保护的基线保护概念,21,法国信息安全保障体系建设动态,2003年12月总理办公室提出强化信息系统安全国家计划并得到政府批准实施,四大目标:确保国家领导通信安全;确保政府信息通信安全;建立计算机济能力;将法国信息系统安全纳入欧盟颞部法国安全政策范围。2009年7月7日,成立国家级“网络和信
13、息安全局”,置于总理领导之下,隶属国防部。,其他西方国家信息安全保障体系建设动态,加拿大:2004年提出了国家安全政策;2004年11月发布国家关键基础设施保护战略;2010年10月3日,发布加拿大网络安全战略。澳大利亚:把信息网络技术作为国家经济和社会发展的重要推动力量。制定并采取一系列与信息安全有关的政策和措施,把建立安全可靠的网络空间作为信息安全保障的战略目标。,22,23,重点保护对象:经济、国内和外交政策、科学和技术、国家信息和通信系统、国防、司法、灾害响应机构:俄罗斯联邦安全理事会;俄罗斯联邦安全局(国家安全管理机关,信息安全工作主管和执法机关);俄罗斯技术和出口控制局;俄罗斯联邦
14、保卫局、信息技术和通信部基本做法:俄罗斯国家安全纲要作为信息安全战略;注重安全测评;实施信息安全分级管理。,俄罗斯信息安全保障体系建设动态,24,亚太地区信息安全保障体系建设动态,日本:实施了“保障型”信息安全战略;强调“信息安全保障是日本综合安全保障体系的核心” 。韩国:将信息安全视为使馆国防安全的重大战略问题,不断加大信息安全保障系统管理力度,加快信息安全系统的建设步伐;在2010年建立信息安全司令部,以维护韩国的国家网络安全。,25,日本,重点保护对象:通信、政府和行政管理服务、金融、民航、铁路、后勤保障、电力、天然气、医疗服务、水机构:日本IT战略本部、国家信息安全中心、信息安全政策理
15、事会、经济贸易产业省、国家警察厅基本做法:1992年建立国家计算机应急响应协调中心;2001年实施建设先进信息和电信网络社会基本法,同年公布确保电子政务实施过程中的信息安全行动方案;2003年经济经济贸易产业省开发多种信息安全评估系统;2004年国家警察厅在每个地区局建立反高科技犯罪科;2005年成立国家信息安全中心以美国网络空间安全国家战略为蓝本,发布日本计算机安全战略。,26,印度,重点保护对象:银行和金融、保险、民航、电信、原子能、电力、邮政、铁路、太空、石油和天然气、国防、执法机关机构:国家信息委员会、国家信息安全协调中心、信息基础设施保护中心、信息技术局、印度计算机应急响应小组基本做
16、法:2000年,颁布信息安全法;积极推广互联网和IT基础设施建设等;2009年印度政府宣布开发“中央监控系统”,直接连接国内所有通信服务商,实现对印度境内所有电话和互联网通信的监听,27,分析总结重点保护对象,各国之间历史、国情、文化不同,具体的重点保护对象也有所差异,但共同特点是将与国家安全、社会稳定和民生密切相关的关键基础设施作为信息安全保障的重点;国际关键信息基础设施保护手册(CIIP Handbook)2008/2009显示,所有国家最常被提到的关键部门都是现代化社会的核心部门,也是被破坏后可能造成极大规模灾害的部门;其中银行和金融被全部24个接受CIIP调查的国家列为国家关键基础设施。,
