《国家信息安全政策和标准解读(崔书昆)》由会员分享,可在线阅读,更多相关《国家信息安全政策和标准解读(崔书昆)(68页珍藏版)》请在金锄头文库上搜索。
1、我国信息安全 面临的挑战及应对措施,崔书昆 2013.07.02,2012年11月8日党的十八大报告指出:粮食安全、能源资源安全、网络安全等全球性问题更加突出。建设下一代信息基础设施,发展现代信息技术产业体系,健全信息安全保障体系,推进信息网络技术广泛运用。与时俱进加强军事战略指导,高度关注海洋、太空、网络空间安全。,一、我国网络和信息安全面临严峻挑战,(一)基础网络和重要信息系统的安全形势严峻我国网络和信息系统,是各种黑客组织、网络犯罪集团、敌对势力,进行网络窃密、攻击与犯罪的共同目标,其各种不法活动愈演愈烈。据国家计算机网络应急技术处理协调中心(CNCERT)通报的2012 年全年检测情况
2、及相关材料分析 :,1、我国信息基础设施安全问题突出(1)CNVD通报漏洞风险339个。(2)发现境内52324个网站被植入后门,同比增长213.7%。(3)网络钓鱼猖獗,全年发现针对我网站的网络钓鱼页面22308个。(4)移动互联网恶意程序样本162981个,较2011年增长25倍,其中82.5%针对安卓平台。(5)发现流量大于1G的DDOS攻击1022起,为2011年3倍。,2、境外对我网络的攻击情况严重,攻击来源于美国者居首 。 (1)境外机构利用木马或僵尸网络控制境内主机,全年发现境外有73,286个IP地址为木马和僵尸网络控制服务器使用,参与控制中国境内主机1419.7万个。美国居首
3、。( 2)利用境外注册域名传播恶意代码。按月平均有65.5%在境外注册,严重威胁我网络安全。 ( 3)境外敌对势力通过植入后门或仿冒等,仿冒境内网站的境外IP美国占83.2%。,(二)新技术、新应用的出现带来信息安全新问题1、工业控制系统安全引起严重关切以计算机技术为基础的工业控制系统(ICS,俗称工控机)早已应用于工业生产和军事装备,而且广泛用于与人们日常生活密切相关的金融(如ATM机)、供水、供电、物流、照明和车辆等领域。工控系统从单机发展到专网,继而逐步进入局域网、广域网、互联网,使各类控制系统暴露在网络攻击之下,事故频频出现,给信息安全带来新忧患。,2010年美、以制造的工控STUXN
4、ET蠕虫(国内称震网病毒、超级病毒等)攻击了伊朗核设施,使伊朗核计划推迟一至两年。成为所谓“APT“(先进持续攻击)的新例证。2012年6月1日美国纽约时报揭密从小布什至奥巴马,如何策划美以网络战部门开发病毒战武器,并用于攻击伊朗核设施的。震网病毒重锤敲响了工控领域的警钟。为网络战开启了新领域,此种技术可能成为广泛扩散的网络战武器,诱发新的网络战军备竞赛。,2、云计算安全正成为新的关注点“云计算”是当今国际性的热门话题,美国、日本和欧洲各国都在举国家之力推行云计算。 云计算在我国正在我国急速升温。云计算和海量数据处理,有人称为“云-海”技术。云计算我国尚缺乏成熟的自主技术,现有的安全技术与管理
5、措施还不足以有效应对面临的云计算安全挑战。,云计算分公有、私有、混合及行业云等四类部署方式;广泛网络接入、快速弹性伸缩、计量付费服务、按需自助服务和资源池化共享等五种特点。云计算具有强大计算能力、海量存储空间和易扩展性等巨大优势。在商务上,云计算将传统以购买消费方式转化为以租用为消费的新IT生态圈。同时,云计算存在明显的安全隐患。由于云计算尚处于发展初期,国际国内都缺乏统一技术标准,安全机制不完善,存在未知风险,特别是虚拟化监管还存在不少薄弱环节。2011年索尼公司多个服务器被攻破,用户数据泄露,影响到近亿人。中国云计算联盟提示,目前云计算存在共享漏洞、数据泄露、不安全程序接口、内部作案以及未
6、知风险等。,3、智能移动终端的安全问题复杂 2009年我国从2G手机跨入了3G时代,各类智能手机、平板电脑等智能化的移动终端呈现爆炸式增长,已跃居世界首位,由此催生出移动互联网时代。智能移动终端、移动互联网的发展,极大地推动了经济、社会的发展。同时其安全也凸现出来,据腾信发布的手机安全报告:一是移动终端上计算机病毒、木马等恶意软件大规模繁衍,2013年一季度仅腾信就发现病毒样本97367个,其中95%从安卓系统截获。,二是个人数据、隐私泄露问题。个人帐号、密码、照片、位置、行程、通信记录、人际关系直至个人生活记录等在移动终端上应有尽有,一旦泄露,轻则危及个人信息安全,重则危及个人隐私、工作秘密
7、,甚至生命安全。三是移动支付存在安全隐患。手机常用作交易、资金支付的手段,易于出现安全问题。移动智能终端安全 防护,有赖于出台有关法律法规和标准,更需要企业增进防护措施,用户自身应提高防范意识。,4、下一代互联网、物联网的安全开始显露下一代互联网即IPV6网是我国十二五期间重点建设项目,目前在科教网已初具规模。其安全问题不可忽视。物联网正以超出想象的速度发展,最近智能电网、射频(RFID)技术等随着有关标准的制定和施行,正崭露头角。其安全保障问题业已提上日程。上述问题有理论问题,更是实践问题,只有在发展实践中才能逐步解决。,(三)核心信息技术和安全防护技术严重受制于人以计算机和通信为核心的信息
8、技术,虽然在我国应用广泛,但核心技术如芯片、系统软件、数据库、关键应用软件和中间件、控制系统软件和机件、安全可信技术等,基本上都掌握在美国、欧洲和日本等发达国家受里手中,他们利用控制的核心技术、专利、国际标准、定价权、贸易规则、市场等方面的优势,阻止中国的创新努力,打压中国的自主发展,占领与控制中国市场,妄图使中国永远处于落后状态,永远作他们的经济附庸和产品的消费市场。,(四)日益尖锐的国际网络空间斗争敲响了警钟近几年来,以美国为首的西方国家有计划、有预谋地提出“网络空间(cyber space)”的称霸理论,并明目张胆地将其定义为继陆、海、空、天后的第五维“作战空间”,加剧了世界范围的信息领
9、域的尖锐斗争和网络空间的军备竞赛。据外国媒体报道,估计世界上有30多个国家建立了网军,有100多个国家正发展网络战能力。我周边国家如俄、日、印、韩、朝等,都已经或正在制定、修改其国家网络和信息安全战略,建立规模化的网络攻防力量。我国面临网络空间斗争的空前压力和现实威胁。,二、我国应对网络和信息安全风险的对策,党中央和国务院一贯重视网络和信息安全。先后制定过许多法律、政策和法规。如中华人民共和国保守国家秘密法、中华人民共和国计算机信息系统安全保护条例、中央办公厅和国务院办公厅联合发布的27号文件、国务院关于大力推进信息化发展和切实保障信息安全的若干意见、全国人大常委会关于加强网络信息保护的决定。
10、此外,在其他相关法律、法规中也有不少关于这方面的要求。下面重点介绍四个文件及标准化情况。,(一)法律法规制定1、1994年中华人民共和国计算机信息系统安全保护条例1994年2月18日,中华人民共和国国务院发布147 号令,颁布了行政法规中华人民共和国计算机信息系统安全保护条例(以下简称条例)。该条例共分五章三十一条:第一章总则,第一条至第七条第二章安全保护制度,第八条至第十六条第三章安全监督,第十七条至第十九条第四章法律责任,第二十条至二十七条第五章附则,第二十八条至三十一条。,条例第一章总则 第二条,定义了计算机信息系统的内涵, 称“本条例所称的计算机信息系统,是指由计算机及其相关的和配套的
11、设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。”条例 第一章第三条规范了计算机信息系统安全保护的内容,称:“计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行”。,条例第二章安全保护制度 ,第九条规定了对计算机信息系统划分安全保护等级,并按其等级进行保护的基本制度:“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。 ”上述法规是等级保护工作和标准制定工作的法
12、律基础。遵从法律原则制定技术标准是世界标准界的基本原则和通例。,2、2003年进一步加强国家信息安全保障工作的意见,即中办27号文件该文件概括了当时的主要工作:(1)加强信息安全保障工作的总体要求和主要原则,实行积极防御,综合防范原则。(2)实行信息安全等级保护制度。( 3)加强以密码技术为基础的信息保护和网络信任体系建设(4 )建设和完善信息安全监控体系。(5)重视信息安全应急处理工作 。,(6)加强信息安全技术研究开发,推进信息安全产业发展。(7)加强信息安全法制建设和标准化建设。(8)加强信息安全人才培养,增强全民信息安全意识。(9)保证信息安全资金。(10)加强对信息安全保障工作的领导
13、,建立健全信息安全管理责任制。,3、2012年国务院23号文件 2012年5月9日,国务院召开国务院常务会议,研究部署推进信息化发展,保障信息安全工作。6月28日国 务院正式发布了会议通过的国务院关于大力推进信息化发展和切实保障信息安全的若干意见,即国发201223号文件。这个文件是新时期一个纲领性文件,将大大推进我国信息化和信息安全工作的发展。,23号文件前言指出:大力推进信息化发展和切实保障信息安全,对调整经济结构、转变发展方式、保障和改善民生、维护国家安全具有重大意义。当前,世界各国信息化快速发展,信息技术的应用促进了全球资源的优化配置和发展模式创新,互联网对政治、经济、社会和文化的影响
14、更加深刻。围绕信息获取、利用和控制的国际竞争日趋激烈 ,保障信息安全成为各国重要议题。,文件正文分八个部分;1、指导思想和主要目标(2)(1)指导思想以邓小平理论和“三个代表”重要思想为指导,深入贯彻落实科学发展观,坚持积极利用、科学发展、依法管理、确保安全,加强统筹协调和顶层设计,健全信息安全保障体系,切实增强信息安全保障能力,维护国家信息安全,促进经济平稳较快发展和社会和谐稳定。,(2)主要目标重点领域信息化水平明显提高。下一代信息基础设施 初步建成。信息产业转型升级取得突破。集成电路、系统软件、关键元器件等领域取得一批重大创新成果,国家信息安全保障体系基本形成。重要信息系统和基础信息网络
15、安全防护能力明显增强,信息化装备的安全可控水平明显提高,信息安全等级保护等基础性工作明显加强。,2、实施“宽带中国”工程,构建下一代信息基础设施(3) 3、推动信息化和工业化深度融合,提高经济发展信息化水平(5) 4、加快社会领域信息化,推进先进网络文化 建设(4) 5、推进农业农村信息化,实现信息强农惠农(2) 6、健全安全防护和管理,保障重点领域信息安全(4),(1)确保重要信息系统和基础信息网络安全。能源、交通、金融等领域涉及国计民生的重要信息系统和电信网、广播电视网、互联网等基础信息网络,要同步规划、同步建设、同步运行安全 防护设施,强化技术防范,严格安全管理,切实提高防攻击、放篡改、
16、防病毒、防瘫痪、防窃密能力。加大无线电安全管理和重要信息系统无线电频率保障力度。加强互联网网站、地址、域名和接入服务单位 的管理,完善信息共享机制,规范互联网服务市场秩序。(2)加强政府和涉密信息系统安全管理。严格政府信息技术服务外包的安全管理,为政府机关提供服务的数据中心、云计算服务平台等要设在境内,禁止办公用计算机安装与工作无关的软件。建立政府网站开办审核、统一标识、监测和,和举报制度。减少政府机关的互联网连接点数量,加强安全和保密防护监测。落实涉密信息系统分级保护制度,强化涉密信息系统审查机制。(3)保障工业控制系统安全。加强核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要领域工业控制系统,以及物联网应用、数字城市建设中的安全防护和管理,定期开展安全检查和风险评估。重点对可能危及生命和公共财产安全的工业控制系统加强监管。对重点领域使用的关键产品开展安全测评,实行安全风险和漏洞通报制度。,
