网络安全体系基础架构建设知识v2网络安全体系基础架构建设知识

《网络安全体系基础架构建设知识v2网络安全体系基础架构建设知识》由会员分享，可在线阅读，更多相关《网络安全体系基础架构建设知识v2网络安全体系基础架构建设知识（80页珍藏版）》请在金锄头文库上搜索。

1、网络安全体系 基础架构建设知识天融信公司 罗 春1 1姓名：罗春姓名：罗春手机：手机：1366615201013666152010邮箱：邮箱： 成都市电子商务学会受聘专家成都市电子商务学会受聘专家系统分析师（原系统分析员）系统分析师（原系统分析员）CISACISA（国际注册信息系统审计师）（国际注册信息系统审计师）CISPCISP（国家注册信息安全工程师）（国家注册信息安全工程师）高级程序员，系统集成项目经理高级程序员，系统集成项目经理MCSEMCSE，MCDBAMCDBA，MCPMCP讲师简介2 2国际社会对信息安全的共识1998年以来的历届联合国大会，均专门商 讨信息安全概念和主要威胁；

2、1999年，俄罗斯向联合国提交了从国际 安全的角度来看信息和电信领域的发展 报告，遭到西方国家强烈抵制； 2006年10月20日，俄罗斯联合中国等国 ，继续提交了报告决议草案，最终169票 对1票通过，唯一投反对票的国家是美国 。3 3中国面临的信息安全风险因素基础信息网络和重要信息系统的安全防护 能力不强 泄密隐患严重 信息技术自主可控能力不高 对外风险意识欠缺，防范措施不够，缺乏 对国外信息技术产品和服务采购中的风险 控制4 4中国面临的信息安全事故基础信息网络和重要信息系统的安全防护 能力不强 2006年统计大陆被木马控制计算机约4.5万 台 2002年深圳证券交易所通信中断，停止交 易

3、 2002年北京首都国际机场离港系统技术故 障 2005年北京铁路局5.1售票系统临时性故障 2006年中国银联系统中断6小时 2006年中国民航离港系统技术故障5 5中国面临的信息安全现状基础信息网络和重要信息系统的安全防护 能力不强 重视不够，投入不足 安全体系不完善，整体安全十分脆弱 软硬件特别是高端产品严重依赖国外 国家安全意识不强6 6中国面临的信息安全风险因素泄密隐患严重 情报机构网上窃密活动猖獗 信息时代泄密途径日益增多 新兴技术发展导致保密形势严峻7 7中国面临的信息安全风险因素信息技术自主可控能力不高 核心器件和核心软件还大量依赖国外 大规模集成电路技术 集成电路专用设备 操

4、作系统和数据库90是外国公司产品 通信技术、电子视听核心技术没有掌握 新型元器件方面的核心技术基础非常薄弱8 8中国面临的信息安全风险因素对外风险意识欠缺，防范措施不够 缺少对采购国外信息技术产品和服务的限 制 尚未建立外商投资安全审查机制 互联网基础设施对国外高度依赖DNS问题 国内.CN域名注册量少于.COM顶级域名注册 量9 9有关电子标签的两次政协提案电子标签：非接触自动识别技术，通过射频信号识别目 标对象并获取相关数据，无须人工干预； 2007年期间，杨匡满等政协委员再次递交了关于 国家强制性标准全国产品与服务统一代码（NPC）的推 广应用工作必须立即恢复的再提议案，签名提案委员 7

5、2人，成为政协史上最大提案；2006年，59名； NPC是我国自主创新、完全拥有知识产权的国家强制性 标准，2003年由国家质检总局发布，2005年宣布取消； EPC是美国EPC Global公司推出的产品电子代码，2004 年进入中国，中国物品编码中心（国家质检总局、国家 标准委所属机构）为其代理单位； 日本坚决抵制EPC，建立了自己的UID；德国、韩国。 。1010网络安全体系基础架构1111中国早期参考的信息安全体系标 准美国国防部早在80年代就针对国防部门的计算机安全保 密成立了国家计算机安全中心（NCSC） 1983 年NCSC公布了可信计算机系统评估准则TCSEC- Trusted

6、 Computer System Evaluation Criteria，俗称橘 皮书 NCSC于1987年出版了一系列有关可信计算机数据库、 可信计算机网络等的指南等（俗称彩虹系列），根据所 采用的安全策略、系统所具备的安全功能将系统分为四 类七个安全级别。将计算机系统的可信程度划分为D、 C1、C2、B1、B2、B3和A1七个层次。1212中国早期参考的信息安全体系标 准TCSEC带动了国际计算机安全的评估研究，90年代西欧 四国（英、法、荷、德）联合提出了信息技术安全评估 标准（ITSEC），ITSEC（又称欧洲白皮书）除了吸收 TCSEC 的成功经验外，首次提出了信息安全的保密性、 完

7、整性、可用性的概念 美国不甘心TCSEC的影响被ITSEC取代，他们联合其他 国家于1991年1月宣布制定了通用安全评估准则CC，并 于1996年1月出版了1.0版。CC标准吸收了各先进国家对 现代信息系统信息安全的经验与知识，对未来信息安全 的研究与应用带来重大影响中国根据该准则制订了 计算机信息系统安全保护等级划分准则 GB17859-1999 1313目前最新的信息安全体系发展状 况1994年，国务院发布了中华人民共和国计算机信息系 统安全保护条例，该条例是计算机信息系统安全保护 的法律基础。 其中第九条规定“计算机信息系统实行安全等级保护。 安全等级的划分标准和安全等级保护的具体办法，

8、由公 安部会同有关部门制定。” 公安部组织制订了计算机信息系统安全保护等级划分 准则的国家标准，并于1999年9月13日由国家质量技 术监督局审查通过并正式批准发布，已于 2001年1月1 日执行。1414信息安全等级保护相关文件间的 关系政策文件政策文件四大标准四大标准技术标准技术标准管理标准管理标准提供指导提供指导提供方法提供方法安全等级化的信息系统安全等级化的信息系统提供技术要求提供技术要求提供管理要求提供管理要求1515信息系统安全等级保护实施政策 文件政策文件政策文件国务院147号令 中华人民共和国计算机信息系统安全保护条例 中办发200327号 国家信息化领导小组关于加强信息安全保

9、障工作的意见 公通字200466号 关于信息安全等级保护工作的实施意见 公通字200743号 信息安全等级保护管理办法1616信息系统安全等级保护实施的标 准法规四大标准四大标准v信息安全技术 信息系统安全等级保护定级指南GB/T 22240-2008 v信息安全技术 信息系统安全等级保护基本要求GB/T 22239-2008 v信息系统安全等级保护实施指南（国家标准报批稿 ） v信息系统安全等级保护测评准则（国家标准报批稿 ）1717信息系统安全等级保护实施技术 标准计算机信息系统安全保护等级划分准则（GB 17859-1999） 信息安全技术 信息系统通用安全技术要求（GB/T 20271

10、-2006） 信息安全技术 网络基础安全技术要求（GB/T 20270-2006） 信息安全技术 操作系统安全技术要求（GB/T 20272-2006） 信息安全技术 数据库管理系统安全技术要求（GB/T 20273-2006 ） 信息安全技术 服务器技术要求（GB/T 21028-2007） 信息安全技术 终端计算机系统安全等级技术要求（GA/T 671- 2006） 涉及国家秘密的信息系统分级保护技术要求（BMB17-2006） 技术标准技术标准1818信息系统安全等级保护实施管理 标准管理标准管理标准v信息安全技术 信息系统安全管理要求（GB/T 20269-2006） v信息安全技术

11、信息系统安全工程管理要求（GB/T 20282-2006） v涉及国家秘密的信息系统分级保护管理规范（BMB20-2007） v v信息技术 安全技术 信息安全管理体系要求（GB/T 22080-2008） v信息技术 安全技术 信息安全管理实用规则（GB/T 22081-2008）1919近期新增国家信息安全标准GB/T 20945-2007 信息安全技术 信息系统安全审计产品技术要求和测试评价方法 GB/T 20979-2007 信息安全技术 虹膜识别系统技术要求 GB/T 20983-2007 信息安全技术 网上银行系统信息安全保障评估准则 GB/T 20984-2007 信息安全技术

12、信息安全风险评估规范 GB/T 20987-2007 信息安全技术 网上证券交易系统信息安全保障评估准则 GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范 GB/T 21028-2007 信息安全技术 服务器安全技术要求 GB/T 21050-2007 信息安全技术 网络交换机安全技术要求(评估保证级3) GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求 GB/T 21053-2007 信息安全技术 公钥基础设施 PKI系统安全等级保护技术要求 GB/T 21054-2007 信息安全技术 公钥基础设施 PKI系统安全等级保护评估准则 GB/Z 2028

13、3-2006 信息安全技术 保护轮廓和安全目标的产生指南 GB/Z 20985-2007 信息技术 安全技术 信息安全事件管理指南 GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南 GB/T 22080-2008 信息技术 安全技术 信息安全管理体系要求 GB/T 22081-2008 信息技术 安全技术 信息安全管理实用规则2020网络安全体系基础架构的主要建设 过程运维方案设计运维方案设计技术方案设计技术方案设计管理方

14、案设计管理方案设计安全平台选型安全平台选型综合风险分析综合风险分析业务人员访谈业务人员访谈管理人员访谈管理人员访谈技术人员访谈技术人员访谈安全培训服务安全培训服务应急响应服务应急响应服务安全通告服务安全通告服务安全监控服务安全监控服务后期服务后期服务项目监理项目监理现有措施评估现有措施评估安全威胁评估安全威胁评估资产弱点评估资产弱点评估信息资产赋值信息资产赋值帮助分析需求帮助分析需求帮助总体规划帮助总体规划帮助设计方案帮助设计方案承包工程实施承包工程实施监控、响应监控、响应安全认证咨询安全认证咨询需求分析需求分析总体规划总体规划详细设计详细设计工程实施工程实施运行维护运行维护安全认证安全认证信

15、息系统安全建设与运营维护信息系统安全建设与运营维护信息资产识别信息资产识别风险分析与评估风险分析与评估设计总体方案设计总体方案制定安全策略制定安全策略制定安全方针制定安全方针安全总体规划安全总体规划安全产品选型安全产品选型安全方案设计安全方案设计工程验收工程验收服务实施服务实施产品实施产品实施设计实施方案设计实施方案制定实施计划制定实施计划安全工程实施安全工程实施安全审计服务安全审计服务安全优化服务安全优化服务安全加固服务安全加固服务安全检测服务安全检测服务安全运行维护安全运行维护安全认证安全认证体系建设体系建设风险评估风险评估标准导入标准导入安全认证咨询安全认证咨询人、工具、标准人、工具、标准人、标准人、标准人、产品人、产品人、产品人、产品人、工具、平台人、工具、平台人、标准人、标准信息系统安全建设咨询服务信息系统安全建设咨询服务安全运行维护服务安全运行维护服务系统现状分析系统现状分析安全认证咨询服务安全认证咨询服务2121网络安全体系基础架构前的准备工 作风险评估准备保护对象分析威胁分析脆弱性分析控制措施分析确定风险后果确定风险概率确定风险等级安全风险评估报告信息安全技术 信息安全风险评估规范（GB/T 20984-2007）2222网络安全集成商的选择企业主要 相关资质国家涉密集成资质国家涉密集成资质信息系统集成资质信息系统集成资质国家安全服