《构建信息安全保障体系的思考》由会员分享,可在线阅读,更多相关《构建信息安全保障体系的思考(44页珍藏版)》请在金锄头文库上搜索。
1、1,构建信息安全保障 体系的思考,2003年9月,2,全球信息化发展,信息化成为经济发展的重要推动力 信息化引发全球的产业革命 信息化成为国际经济竞争的焦点 信息化成为国力和经济增长力的重要标志 信息化是全球经济和社会发展的大趋势,苏州贷款,3,全球信息化动向,1993:美国提出“信息高速公路”(NII) 1994:ITU会议戈尔提出GII 1995:G7会议支持GII 1996:日本“电子信息技术开发计划” 1997:欧盟提出“信息社会计划” 1998:马来西亚“多媒体走廊” 1999:新加坡实施“智慧岛”(IT-2000)制订ICT-21 2000:全球信息社会宪章(G8)影响动力、知识潜
2、能、挑战机遇,4,互联网推动企业(部门)信息平台的重构 Intranet/Extranet/Internet 互联网将成为国家重要的基础设施 美国:40%网民、30%金融、25%产品、30%股市 互联网刺激了信息产业的迅速发展 软件业、硬件制造业、信息服务业 网络经济是新经济的集中表现 互联网是新兴数字化业务的摇篮 EC、EG、DE、DM、NM、CW、AM,互联网的崛起,5,互联网存在的六大问题,无主管的自由王国:有害信息、非联络、违规行为不设防的网络空间:国家安全、企业利益、个人隐私律约束脆弱黑客犯罪、知识侵权、避税跨国协调困难过境信息控制、跨国黑客打击、关税民族化和国际化的冲突文化传统、价
3、值观、语言文字网络资源紧缺IP地址、域名、带宽,6,网上黑客与计算机犯罪,网上攻击事件每年以10倍速度增涨(一次/20秒)黑客攻击手段10001500种98年黑客攻击美国防部的Analiza案件99年40家银行的电子购物账户密码曝光2000年2月7日攻击美国知名网站案件:损失$12亿,影响百万网民Yahoo、Amazon、CNN、Buy、eBay、Etrade网上勒索:CDUniverse 用户信用卡被曝光美国网络安全造成损失$170亿/年美国金融界计算机犯罪损失$100亿/年,7,有害信息污染,黄色信息:涉及1%网站,10亿美元年营业额邪教信息:80个反宣传网站虚假新闻:美校园炸弹恐吓事件、
4、网上股市欺诈宣扬暴力:炸药配方政治攻击:政治演变论垃圾邮件:1000件/人年、损失几百亿美元,8,网络病毒的蔓延和破坏,活体计算机病毒达14000种(4万种、10/天)网络病毒有更大的破坏性(占52%)1988年莫里斯事件(UNIX/Email):6000台、$9000万1998年的CIH病毒(系统程序和硬盘数据):2000万台计算机1999年的梅利莎案件(Window/Email):$8000万2000年的爱虫病毒:1200万台、$几十亿2001年的红色代码、尼姆达病毒:蠕虫/木马/黑客2002年的求职信病毒2003年的冲击波病毒,9,机要信息流失与信息间谍潜入,国家机密信息、企业关键信息、
5、个人隐私Web发布、电子邮件、文件传送的泄漏予谋性窃取政治和经济情报CIA统计入侵美国要害系统的案件年增长率为30%14%部门出现过网上失密网上失密占总量的70% ,年增长100%,10,网络自身的脆弱性,网络系统的安全脆弱点Solaris:34漏洞/99年,W2000有上万个Bug、TCP/IP网络的扩展与业务负荷澎涨:信息量半年长一倍,网民年增涨30%网络带宽瓶颈和信息拥挤社会与经济对网络的巨大依赖性:US:30%股市、25%产品、30%金融、50%人口灾难恢复的脆弱性“AOL”96年10小时系统故障影响700万用户2000年2.7事件8大网站瘫痪2472小时,11,网络安全产品的自控权,
6、安全产品(出厂.分销.安装.升级):隐通道、嵌入病毒、缺陷、可恢复密钥、恶意代码大量外购安全产品缺少自控权我国缺少配套的安全产品控制政策和机制我国安全产业还比较稚嫩是重大安全隐患之一,12,信息战与网络恐怖活动,有组织、大规模的网络攻击预谋行为:网络恐怖活动恐怖集团行为信息战争国家行为针对信息要害目标的恶性破坏无硝烟的战争:跨国界、隐蔽性、低花费、跨领域高技术性、情报不确定性要害目标:金融支付中心、证券交易中心 空中交管中心、铁路调度中心 电信网管中心、军事指挥中心电力调度中心、关键信息基础设施,13,网上权益纠纷和违规行为,知识产权侵犯(内容产品转发、盗用、赚钱)名誉权侵犯隐私权侵犯(10个
7、数据库/个人,隐私成为非商品)消费权纠纷(延误、差错、否认、风险)网上避税(5亿英磅/年,流失、转移)网上非赌博网上非联络(密码邮件、P2P、信息隐藏),14,Hacker (黑客),美2.7黑客案件的攻击方式 分布式拒决服务(DDoS),漏洞 方案 用户权 控制权 木马注入 清痕迹 留后门,15,美2.7黑客案件的攻击方式 分布式拒决服务(DDoS),16,美国2.7黑客事件的启示,互联网正在成为国家重要基础设施一亿多网民(50%)3000万人参予网上购物,$1000亿元交易额30%的股市交易、30%金融、25%产品互联网威胁给社会带来巨大冲击CNN的100万网民阅读网络新闻受阻Amason
8、的820万注册用户无购书3天总损失高达$12亿互联网安全问题正在进入国家战略层克林顿2月16日召开网络安全高峰会议支持$900万建立高科技安全研究所拔款$20亿建基础设施打击网络恐怖活动,17,国家信息化领导小组第三次会议,关于加强信息安全保障工作的意见,中办发2003 27号文,坚持积极防御、综合防范全面提高信息安全防护能力重点保障信息网络和重要信息系统安全创建安全健康的网络环境保障和促进信息化发展、保护公众利益、维护国家安全立足国情、以我为主、管理与技术并重、统筹规划、突出重点发挥各界积极性、共同构筑国家信息安全保障体系,18,国家信息安全保障工作要点,实行信息安全等级保护制度:风险与成本
9、、资源优化配置、安全 风险评估基于密码技术网络信任体系建设:密码管理体制、身份认证、 授权管理、责任认定建设信息安全监控体系:提高对网络攻击、病毒入侵、网络失窃 密、有害信息的防范能力重视信息安全应急处理工作:指挥、响应、协调、通报、支援、抗毁、灾备推动信息安全技术研发与产业发展:关键技术、自主创新、强化可控、引导与市场、测评认证、采购、服务信息安全制与标准建设:信息安全、打击网络犯罪、标准体系、规范网络行为信息安全人材培养与增强安全意识:学科、培训、意识、技能、自律、守信息安全组织建设:信息安全协调小组、责任制、依管理,19,信息安全保障体系,20,发展与安全保驾护航 资产与威胁保障能力 防
10、护与检测纵深防御 成本与风险等级保护 技术与管理综合治理 培训与自律以人为本 强度与弱点均衡设计,落实七项策略,21,增加网络四种安全能力,信息安全防护能力隐患发现能力网络应急反应能力信息对抗能力,保障信息及其服务具有五性,机密性、完整性、真实性、可用性、可控性,22,组织管理,技术保障,信息安全基础设施,产业支撑,人材教育和培养,规与标准,国家信息安全保障体系,一个体系、六个要素,23,行政管理体制 技术管理体制 信息系统安全管理准则(ISO 17799) 管理策略 组织与人员 资产分类与安全控制 配置与运行 网络信息安全域与通信安全 异常事件与审计 信息标记与文档 物理与环境 开发与维护
11、作业连续性保障 符合性,信息安全组织管理,24,创建一个具有一批高级信息安全人材、雄厚的安全技术队伍、普及安全意识和技术的人材大环境 学历教育:专业设置、课程配套 高级人材培养:研究生学院、博士后流动站 职业和技能培训:上岗和在职培训、考核认证制度 信息安全意识提升:学会、协会、论坛、媒体 网上教育:信息安全课件、网上课堂 信息安全出版物:技术型、普及型,信息安全人材教育与培养,25,推动安全产业发展,支撑安全保障体系建设 掌握安全产品的自主权、自控权 建设信息安全产品基地 形成信息安全产品配套的产业链 造就出世界品牌的安全骨干企业 安全产品制造业、集成业、服务业全面发展 尽快配套信息安全产业
12、管理政策(准入、测评、资质、扶植、采购) 重视TBT条款运用,保护密码为代表的国内安全产品市场,信息安全产业,26,加强信息安全标准化技术委员会工作 积极参予国际信息安全标准制订活动 注意采用国际与国外先进标准 抓紧制订国家标准和协调行业标准 重视强制性和保护性(TBT)标准的制订 推动信息安全产品标准互操性的测试和认证 兼容性和可扩展性的需要,信息安全规与标准 (标准),27,密码算、密钥管理及应用类 PKI/PMI类 信息安全评估和保障等级类 电子证据类 内容安全分级及标识类 信息安全边界控制及传输安全类 身份识别及鉴别协议类 网络应急响应与处理类 入侵检测框架类 信息安全管理类 资源访问
13、控制类 安全体系结构与协议类 安全产品接口与集成管理类 信息系统安全工程实施规范类 XML、CSCW、Web安全应用类,信息安全规与标准 (标准),28,电子文档与数字签章类 数据保密与公开类 网络信息内容安全监管类 网络信息犯罪与惩治类 个人数据保密类(隐私) 数字内容产品版权保护类 电子商务运营监管类(EC、NB、NS) 网上交易税类 网络信息企业市场准入类 密码研制、生产与应用管理类 网络媒体监管类 网上娱乐活动监管类 网上通信联络监管类 信息安全,信息安全规与标准 (规),29,基于数字证书的信任体系(PKI/CA) 信息安全测评与认证体系(CC/TCSEC) 应急响应与支援体系(CE
14、RT) 计算机病毒防治与服务体系(A-Virus) 灾难恢复基础设施(DRI) 密钥管理基础设施(KMI),信息安全基础设施 (社会公共服务类),30,网上信息内容安全监控体系 网络犯罪监察与防范体系 电子信息保密监管体系 网络侦控与反窃密体系 网络预警与网络反击体系,信息安全基础设施 (信息安全执类),31,信息安全技术保障框架,32,组建研发国家队与普遍推动相结合 推动自主知识产权与专利 建设技术工程中心与加速产品孵化 加大技术研发专项基金 全面推动与突出重点的技术研发 基础类:风险控制、体系结构、协议工程、有效评估、工程方 关键类:密码、安全基、内容安全、抗病毒、IDS、VPN、强审计
15、系统类: PKI、PMI、DRI、网络预警、集成管理、KMI 应用类:EC、EG、NB、NS、NM、WF、XML、CSCW 物理与环境类:TEMPST、物理识别 前瞻性:免疫、量子、漂移、语义理解,自主研发与创新,33,规:外购产品与服务的安全承诺 管理:对分发式威胁的控制和操作规律规范 技术: 安全加固 安全配置 漏洞扫描 恶意功能发现 系统监控,外购产品与服务的可控性,34,网络信息安全域的划分与隔离控制 内部网安全服务与控制策略 外部网安全服务与控制策略 互联网安全服务与控制策略 公共干线的安全服务与控制策略(有线、无线、卫星) 计算环境的安全服务机制 多级设防与科学布署策略 全局安全检
16、测、集成管理、联动控制与恢复(PDR),建立网络纵深防御体系,35,信息网络安全纵深防御框架,核心内网 局域计算环境 (安全域a),专用外网 局域计算环境 (安全域m),公共服务网 局域计算环境 (安全域n),Internet、TSP、PSTN、VPN 网络通信基础设施 (光纤、无线、卫星),信息安全基础设施 (PKI、PMI、KMI、CERT、DRI),网络安全边界,36,纵深型防御技术关注点,信息安全域的划分信息安全域的边界的安全控制逻辑隔离/物理隔离/VPN/网络监控信息安全机制的纵深多级布署多级配置/适度安全/设施联动租用公共干线(TSP)的安全保障有线/无线/卫星,37,边界逻辑隔离,VLANNAT防火墙安全网关VPN,38,网络物理隔离技术,物理级(电磁辐射) 屏蔽、干扰终端级(双网机) 双盘型、双区型传输信道级非加密信道、加密信道 网络级(网闸) 信息交换型:SMTP、FIP 信息共享型:Web/Browser 系统互操作型:B/A/D,
