收藏
下载资源

构建信息安全保障体系

上传人:大米 文档编号:569806884 上传时间:2024-07-31 格式:PPT 页数:44 大小:872KB
返回 下载 相关 举报
构建信息安全保障体系_第1页
第1页 / 共44页
构建信息安全保障体系_第2页
第2页 / 共44页
构建信息安全保障体系_第3页
第3页 / 共44页
构建信息安全保障体系_第4页
第4页 / 共44页
构建信息安全保障体系_第5页
第5页 / 共44页
点击查看更多>>
资源描述

《构建信息安全保障体系》由会员分享,可在线阅读,更多相关《构建信息安全保障体系(44页珍藏版)》请在金锄头文库上搜索。

1、1 1构建信息安全保障体系构建信息安全保障体系曲成义曲成义 研究员研究员2008.52008.52 2我国网络信息安全威胁增加迅速我国网络信息安全威胁增加迅速 (CNCERT/CCCNCERT/CCCNCERT/CCCNCERT/CC)n n僵尸网络范围扩大,僵尸网络范围扩大,僵尸网络范围扩大,僵尸网络范围扩大,14141414万台主机被植入僵尸程序万台主机被植入僵尸程序万台主机被植入僵尸程序万台主机被植入僵尸程序n n木马木马木马木马/ / / /谍件威胁严重,谍件威胁严重,谍件威胁严重,谍件威胁严重,4.54.54.54.5万万万万IPIPIPIP地址植入木马地址植入木马地址植入木马地址植

2、入木马n n网页篡改数量迅速增加,达到网页篡改数量迅速增加,达到网页篡改数量迅速增加,达到网页篡改数量迅速增加,达到24477244772447724477次次次次n n政府网站被篡改政府网站被篡改政府网站被篡改政府网站被篡改3831383138313831次,占总量次,占总量次,占总量次,占总量16%16%16%16%n n安全事件报告的年增量为安全事件报告的年增量为安全事件报告的年增量为安全事件报告的年增量为196%196%196%196%n n网络恶意代码年增量网络恶意代码年增量网络恶意代码年增量网络恶意代码年增量12.812.812.812.8倍倍倍倍n n漏洞发现量的年增漏洞发现量的

3、年增漏洞发现量的年增漏洞发现量的年增196%196%196%196%3 3网络威胁的新动向值得高度关注网络威胁的新动向值得高度关注n n“零日攻击零日攻击零日攻击零日攻击”现象出现(魔波蠕虫)现象出现(魔波蠕虫)现象出现(魔波蠕虫)现象出现(魔波蠕虫)n n复合式病毒给防范增加难度复合式病毒给防范增加难度复合式病毒给防范增加难度复合式病毒给防范增加难度n n僵尸网成为僵尸网成为僵尸网成为僵尸网成为DDosDDosDDosDDos和垃圾邮件的源头和垃圾邮件的源头和垃圾邮件的源头和垃圾邮件的源头n n网络仿冒网络仿冒网络仿冒网络仿冒/ / / /劫持是在线窃信的重要途径劫持是在线窃信的重要途径劫持

4、是在线窃信的重要途径劫持是在线窃信的重要途径n n谍件泛滥是窃密谍件泛滥是窃密谍件泛滥是窃密谍件泛滥是窃密/ / / /泄密的主要元凶泄密的主要元凶泄密的主要元凶泄密的主要元凶n n通过网页通过网页通过网页通过网页/ / / /邮件邮件邮件邮件/P2P/P2P/P2P/P2P传播恶意代码的数量猛增传播恶意代码的数量猛增传播恶意代码的数量猛增传播恶意代码的数量猛增n n非法牟利动机明显增加和趋于嚣张非法牟利动机明显增加和趋于嚣张非法牟利动机明显增加和趋于嚣张非法牟利动机明显增加和趋于嚣张n n黑客地下产业链正在形成黑客地下产业链正在形成黑客地下产业链正在形成黑客地下产业链正在形成n n僵尸源和木

5、马源的跨国控制应该高度警惕僵尸源和木马源的跨国控制应该高度警惕僵尸源和木马源的跨国控制应该高度警惕僵尸源和木马源的跨国控制应该高度警惕n n内部安全事件的增加引起高度重视内部安全事件的增加引起高度重视内部安全事件的增加引起高度重视内部安全事件的增加引起高度重视4 4国家信息化领导小组第三次会议 关于加强信息安全保障工作的意见 中办发2003 27号文 坚持积极防御、综合防范坚持积极防御、综合防范 全面提高信息安全防护能力全面提高信息安全防护能力 重点保障信息网络和重要信息系统安全重点保障信息网络和重要信息系统安全 创建安全健康的网络环境创建安全健康的网络环境 保障和促进信息化发展、保护公众利益

6、、保障和促进信息化发展、保护公众利益、 维护国家安全维护国家安全 立足国情、以我为主、管理与技术并重、立足国情、以我为主、管理与技术并重、 统筹规划、突出重点统筹规划、突出重点 发挥各界积极性、共同构筑国家信息安全保障体发挥各界积极性、共同构筑国家信息安全保障体系系 5 5国家信息安全保障工作要点 (中办发(中办发2003 272003 27号文)号文) 实行信息安全等级保护制度:实行信息安全等级保护制度:风险与成本、资源优化配置、安全风险与成本、资源优化配置、安全 风险评估风险评估 基于密码技术网络信任体系建设:基于密码技术网络信任体系建设:密码管理体制、身份认证、密码管理体制、身份认证、

7、授权管理、责授权管理、责任认定任认定 建设信息安全监控体系:建设信息安全监控体系:提高对网络攻击、病毒入侵、网络失窃提高对网络攻击、病毒入侵、网络失窃 密、有害信息的防范能力密、有害信息的防范能力 重视信息安全应急处理工作:重视信息安全应急处理工作:指挥、响应、协调、通报、支援、指挥、响应、协调、通报、支援、 抗毁、灾备抗毁、灾备 推动信息安全技术研发与产业发展:推动信息安全技术研发与产业发展:关键技术、自主创新、强化可控关键技术、自主创新、强化可控 、引导与市场、引导与市场、测评认证、采购、服务测评认证、采购、服务 信息安全法制与标准建设:信息安全法制与标准建设:信息安全法、打击网络犯罪、标

8、准体信息安全法、打击网络犯罪、标准体 系、规范网络行为系、规范网络行为 信息安全人材培养与增强安全意识:信息安全人材培养与增强安全意识:学科、培训、意识、技能、学科、培训、意识、技能、 自律、守自律、守法法 信息安全组织建设:信息安全组织建设:信息安全协调小组、责任制、依法管理信息安全协调小组、责任制、依法管理 6 6构造信息安全保障体系的目标 增强信息网络四种安全能力 创建信创建信 息安全的基础支撑能力息安全的基础支撑能力 安全安全 基础设施、技术与产业、人才与教育基础设施、技术与产业、人才与教育 提升信息安全防护与对抗能力提升信息安全防护与对抗能力 . . . . . . 加强网络突发事件

9、的快速反应能力加强网络突发事件的快速反应能力 拥有安全管理的控制能力拥有安全管理的控制能力 保障信息及其服务具有六性 保密性、完整性、可用性、真实性、可核查性、可控性保密性、完整性、可用性、真实性、可核查性、可控性7 7 信息系统安全的全局对信息系统安全的全局对策策(一一)科学划分信息安全等科学划分信息安全等级n n投入与投入与投入与投入与风险风险的的的的平衡点平衡点平衡点平衡点n n安全安全安全安全资资源的源的源的源的优优化配置化配置化配置化配置(一一)构建构建信息安全保障体系信息安全保障体系n n 重视顶层设计重视顶层设计重视顶层设计重视顶层设计, ,做好做好做好做好信息安全技术体系信息安

10、全技术体系信息安全技术体系信息安全技术体系与与与与信息安全管理体系信息安全管理体系信息安全管理体系信息安全管理体系n n强化信息安全的强化信息安全的强化信息安全的强化信息安全的保障性保障性保障性保障性(二二)作好信息安全作好信息安全风险评估估n n是信息安全建设的是信息安全建设的是信息安全建设的是信息安全建设的起点起点起点起点、也覆盖、也覆盖、也覆盖、也覆盖终生终生终生终生n n提升信息安全的提升信息安全的提升信息安全的提升信息安全的可信性可信性可信性可信性8 8 (一)科学划分信息安全等级(一)科学划分信息安全等级9 9 我国信息安全等级保护工作职责分工2006年1月,信息安全等级保护管理办

11、法(试行)(公通字20067号)明确了公安、保密、密码、信息化部门的职责:公安机关全面国家保密工作部门涉密信息系统国家密码管理部门密码国务院信息办协调1010 信息安全等级保护信息安全等级保护关注点关注点 (公通字公通字公通字公通字200743200743号文)、(中保委发(号文)、(中保委发(号文)、(中保委发(号文)、(中保委发(20042004)7 7号文)号文)号文)号文) n n等级保护涉及的内容:等级保护涉及的内容:等级保护涉及的内容:等级保护涉及的内容:信息系统、信息安全产品信息系统、信息安全产品信息系统、信息安全产品信息系统、信息安全产品、信息安全事件信息安全事件信息安全事件信

12、息安全事件n n分级依据:分级依据:分级依据:分级依据:重要程度、危害程度、保护水平重要程度、危害程度、保护水平重要程度、危害程度、保护水平重要程度、危害程度、保护水平 ( (业务信息、系统服务)业务信息、系统服务)业务信息、系统服务)业务信息、系统服务)n n保护级别划分:保护级别划分:保护级别划分:保护级别划分: 自主保护级、指导保护级、监督保护级、强制保护级、专控保护级自主保护级、指导保护级、监督保护级、强制保护级、专控保护级自主保护级、指导保护级、监督保护级、强制保护级、专控保护级自主保护级、指导保护级、监督保护级、强制保护级、专控保护级n n系统管理模式系统管理模式系统管理模式系统管

13、理模式 一级:自主保护一级:自主保护一级:自主保护一级:自主保护 (一般系统(一般系统(一般系统(一般系统/ / 合法权益)合法权益)合法权益)合法权益) 二级:指导保护(一般系统二级:指导保护(一般系统二级:指导保护(一般系统二级:指导保护(一般系统/ / 合法权益、社会利益)合法权益、社会利益)合法权益、社会利益)合法权益、社会利益) 三级:监督检查(重要系统三级:监督检查(重要系统三级:监督检查(重要系统三级:监督检查(重要系统/ / 社会利益、国家安全)社会利益、国家安全)社会利益、国家安全)社会利益、国家安全) ( (秘密秘密秘密秘密) ) 四级:强制监督四级:强制监督四级:强制监督

14、四级:强制监督 (重要系统(重要系统(重要系统(重要系统/ / 社会利益、国家安全)社会利益、国家安全)社会利益、国家安全)社会利益、国家安全) ( (机密机密机密机密 、增强)增强)增强)增强) 五级:专门监督五级:专门监督五级:专门监督五级:专门监督 (极端重要系统(极端重要系统(极端重要系统(极端重要系统/ / 国家安全)国家安全)国家安全)国家安全) ( (绝密绝密绝密绝密) )n n安全管理安全管理安全管理安全管理 自主定级自主定级自主定级自主定级-审核批准审核批准审核批准审核批准-系统建设系统建设系统建设系统建设-安全测评安全测评安全测评安全测评1111 信息安全等级保护信息安全等

15、级保护相关规范相关规范 (公通字公通字公通字公通字200743200743号文)号文)号文)号文)n nn nn nGB/T20269-GB/T20269-20062006n nn n - - - - - - - - - - - - - - - - - - - -n n BMB 17-2006 BMB 17-2006n n BMB 22-2007 BMB 22-2007n n BMB 20-2007 BMB 20-2007 1212 (二)(二)构建信息安全保障体系构建信息安全保障体系1313信 息 安 全 保 障 体 系 框 架安全法规安全管理安全标准安全工程与服务安全基础设施教育培训141

16、4(1)信息安全法规关于开展信息安全关于开展信息安全风险评风险评估工作的意估工作的意见见 ( 国信国信办办2005120051号文)号文)信息安全等信息安全等级级保保护护管理管理办办法法 (公通字(公通字2006720067号文、公通字号文、公通字200743200743号文、号文、 ) 关于做好国家重要信息系关于做好国家重要信息系统统灾灾难备难备份的通知份的通知关于做好信息安全管理关于做好信息安全管理试试点的通知点的通知中中华华人民共和国保守国家秘密法人民共和国保守国家秘密法 ( (在修在修订订) )信息安全法信息安全法(信息安全条例)信息安全条例)电电子子签签名法名法(20052005年年

17、4 4月月1 1日日实实施)施) 个人数据保个人数据保护护法法 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -1515 (2)重视信息安全管理体系建设(ISMS) 国家文件多次指出:国家文件多次指出: 建立信息安全管理组织建立信息安全管理组织 明确信息安全管理责任制明确信息安全管理责任制 安全技术与安全管理要并重安全技术与安全管理要并重 信息安全标准化委员会正抓紧制订管理标准信息安全标准化委员会正抓紧制订管理标准 构建信息安全保障体系时一定要重视构建信息安全保障体系时一定要重视ISMS ISMS 建

18、设建设 1616 信息安全管理体系要求 (ISO/IEC 27001-2005 GBT 20269-2006) (ISO/IEC 27001-2005 GBT 20269-2006) 规定了组织建立、实施、运行、监视、评审规定了组织建立、实施、运行、监视、评审 保持、改进、保持、改进、ISMSISMS的要的要求求 基于风险管理思想提出了基于风险管理思想提出了“ “PDCAPDCA模型模型” ”,使组织,使组织 达到更有效的安全管理达到更有效的安全管理 用于认证和审核用于认证和审核 1717 应用于ISMS过程的PDCA模型 PDCA循环是能使任何一项活动有效改进的工作程序相关方受控的信息安全信

19、息安全要求和期望相关方检查Check建立ISMS实施和运行ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do处置Act应用于ISMS过程的PDCA模型1818 信息安全管理实用规则 (ISO/IEC- 27002 GB/T-) (ISO/IEC- 27002 GB/T-) 安全管理方针安全管理方针: : 业务、法规业务、法规 信息安全组织信息安全组织: 内部、外部、控制措施内部、外部、控制措施 信息资产管理信息资产管理: 责任、分类、控制措施责任、分类、控制措施 人力资源安全人力资源安全: 角色、职责、培训、任用、处罚角色、职责、培训、任用、处罚 物理和环境安全物理和环境安全:

20、安全域控制、设备安全控制安全域控制、设备安全控制 通信与操作管理通信与操作管理: 职责、交付、验收、完整性、备份职责、交付、验收、完整性、备份 网控、介质、交换、网控、介质、交换、ECEC、监视、监视 访问控制:访问控制: 策略、授权、控制、移动策略、授权、控制、移动 信息系统开发维护信息系统开发维护:密码、文件、应用、过程、漏洞:密码、文件、应用、过程、漏洞 信息安全事件管理信息安全事件管理:报告、弱点、改进、职责:报告、弱点、改进、职责 业务持续性管理业务持续性管理: 中断、恢复、预案、评测中断、恢复、预案、评测 符合性符合性: 法规、策略、标准、审核法规、策略、标准、审核 1919 信息

21、安全管理实用规则 (ISO/IEC 27002-2007) (ISO/IEC 27002-2007) 详细严格的安全管理控制,贯穿系统生命周期全过程和系统所有环节 1111个控制项目个控制项目 3939个控制目标个控制目标 133133个控制措施个控制措施 2020 国信办信息安全管理试点(06(06年的年的9 9个月时间个月时间) ) 5 5省中选省中选7 7个点进行个点进行ISMSISMS试点试点 遵循遵循 ISO/IEC 27001-2005 ISO/IEC 17799-ISO/IEC 27001-2005 ISO/IEC 17799-20052005 并将并将ISMSISMS试点与等级

22、保护试点与等级保护/ /风险评估相结合风险评估相结合 重视需求牵引、领导参与重视需求牵引、领导参与 ISMSISMS建立要全员动员、培训、参与建立要全员动员、培训、参与 进一步认识过程的复杂性、困难性进一步认识过程的复杂性、困难性 需要多个结合:工作流程、现实制度需要多个结合:工作流程、现实制度 项目管理、多方参与项目管理、多方参与 2121(3)国家信息安全标准化委员会安安全全功功能能定定义义 安安全全要要素素设设计计:物物理理、网网络络、系系统统、应应用用、管管理理 全全程程安安全全控控制制 风风险险全全程程管管理理 安安全全有有效效评评估估 强强壮壮性性策策略略(02.4.1502.4.

23、15计划成立计划成立. .十个工作组)十个工作组)1 1 标准体系与协调(含可信计算)标准体系与协调(含可信计算)2 2 涉密信息系涉密信息系统统保密保密( (内容分内容分级级) )3 3 密密码码算法与模算法与模块块4 PKI/PMI4 PKI/PMI5 5 安全安全评评估估 应应急急处处理理 7 7 安全管理(灾安全管理(灾难难恢复、恢复、风风险评险评估估-) 电电子子证证据据 身份身份标识标识与与鉴别鉴别 操作系操作系统统与数据与数据国家国家发发布布3333项项、报报批搞批搞9 9项项、送、送审审稿稿1414项项、征求意、征求意见见1414项项2222(4)信息系统安全工程建设 安全需求

24、分析:安全需求分析: 威威胁胁,弱点,弱点,风险风险,对对策策 安全技安全技术术体系体系设计设计 安全管理体系安全管理体系设计设计 安全要素安全要素设计设计:物理、网物理、网络络、系、系统统、应应用、管理用、管理 安全集成管理安全集成管理: : SOCSOC安全安全风险评风险评估与全程控制估与全程控制 提升预警、防护提升预警、防护、检测、响应、恢复、反击的能、检测、响应、恢复、反击的能力力()()(ISSEISSE,IATFIATF,CCCC,TESEC,BMB ,ISMSTESEC,BMB ,ISMS)23232424 (A)网络安全纵深防御体系网络信息安全域的划分、隔离控制、可信接入内部网

25、安全服务与控制策略(专网)安全服务与控制策略外部网安全服务与控制策略互联网安全服务与控制策略公共干线的安全服务与控制策略(有线、无线、卫星)计算环境的安全服务机制多级设防与科学布署策略全局安全测评、集成管理、联动控制与恢复2525电子政务网络信息安全域的结构外网外网互联网互联网内网内网内网物理隔离逻辑隔离内网(VPN-私有专线或公共通信网)外网互联网外网(VPN-公共通信网)互联网(Internet)节点1节点N节点22626 信息安全域的科学划分 内网、内网、( (专网专网) ) 、外网、互联网、外网、互联网 信息安全域边界的安全控制 逻辑隔离逻辑隔离/ /物理隔离物理隔离 信息安全机制的纵

26、深多级布署 多级配置多级配置/ /集成管理集成管理/ /设施联动设施联动 公共干线(TSP)的安全保障 有线有线/ /无线无线/ /卫星卫星纵深型防御技术关注点纵深型防御技术关注点2727 防火墙/UTM 安全网关 NAT 应用代理 VLAN 可信接入(TNCTNC、NACNAC、NAPNAP) VPN网络边界逻辑隔离网络边界逻辑隔离2828网络边界物理隔离技术 物理级(电电磁域、物理域磁域、物理域)屏蔽(室屏蔽(室/ /线线)、干)、干扰扰器(器(端、端、线线)、区域保、区域保护护 终端级(隔离卡隔离卡)双机型、双双机型、双盘盘型、双区型型、双区型 传输信道级(端端加密)端端加密) 专专用信

27、道:用信道:VPNVPN、IPIP密密码码机机 电电路交路交换换方式(方式(PVCPVC):):认证认证与与链链路加密路加密网络级(物理隔离与信息交物理隔离与信息交换换) 物理切断:安全物理切断:安全岛岛交交换换 单单向网向网闸闸:开放:开放环环境信息境信息单单向向进进入秘密入秘密级环级环境境双向网双向网闸闸: 物理隔离网物理隔离网络环络环境内安全域境内安全域间间的信息交的信息交换换、 共享和互操作共享和互操作 2929 基于时间“t”的动态过程防御# Pt# Pt:入侵防护时间(:入侵防护时间(ProtectionProtection)# Dt# Dt:入侵检测时间(:入侵检测时间(Dete

28、ctionDetection)# Rt# Rt:入侵事件反应恢复时间:入侵事件反应恢复时间(Response/RecoveryResponse/Recovery) 要求PtDt+Rt “资产”价值损失资产拥有者承受能力 预警(预警(WarningWarning)要长备不卸懈)要长备不卸懈 反击(反击(A A)要有所准备)要有所准备(B B)动态防御技术模型()动态防御技术模型(WPDRRA)WPDRRA)3030 风险评估与系统漏洞的预先发现(风险评估与系统漏洞的预先发现(SCANSCAN) 网络威胁检测、预警网络威胁检测、预警 信息系统边界防护信息系统边界防护(FW/UTM/NG)(FW/U

29、TM/NG) 入侵检测诊断、防护(入侵检测诊断、防护(IDS/IPS/IPMIDS/IPS/IPM) 应急预案与机制快速启动应急预案与机制快速启动 备份、修复与容灾备份、修复与容灾 虚拟资产的从新部署虚拟资产的从新部署 动态拓扑结构的调整动态拓扑结构的调整 积极防御机制的启动积极防御机制的启动 陷阱、隐蔽、追踪、取证陷阱、隐蔽、追踪、取证 侦探、预警、反击、制瘫侦探、预警、反击、制瘫动态防御技术的关注点动态防御技术的关注点3131密码管理体制密码管理体制身份认证:身份认证:PKI/CAPKI/CA、TOKEN - - -TOKEN - - -授权管理:授权管理:PMI/AAPMI/AA、ACL

30、 - -ACL - - -责任认定:责任认定:全局全局审计审计(C)基于密码技术网络信任体系建设)基于密码技术网络信任体系建设 (中办发(中办发(中办发(中办发2003 272003 272003 272003 27号文)号文)号文)号文)3232数字认证与网络信任体系的建设(CA/ PKI) 适应开放型、大时空、无限边界适应开放型、大时空、无限边界 提供真实性、完整性、保密性、抗否认性提供真实性、完整性、保密性、抗否认性 可以构建良好的信任环境可以构建良好的信任环境 支持安全的交往支持安全的交往/ /交换交换/ /交易多种业务对象交易多种业务对象 PKI/CAPKI/CA在在EGEG中广泛应

31、用中广泛应用3333(D) 强 化 内 部 审 计 全局审计网网络级络级、数据、数据库级库级、应应用用级级、主机、主机级级(服(服务务器、端机)器、端机)介介质级质级 审计信息的安全加固保密性、完整性、防拷保密性、完整性、防拷贝贝、可重、可重现现、防假冒、防假冒 审计信息的证据有效性法律上、管理上、技法律上、管理上、技术术上(恢复、反向工程)上(恢复、反向工程) 审计点前移 事后-事中-事前3434(E)网络信息产品安全可控技术 针对“分发式威胁” 隐通道、嵌入病毒、缺陷、可恢复密钥、恶意代码隐通道、嵌入病毒、缺陷、可恢复密钥、恶意代码采用自控技术: 扫描、发现、补丁、配置、扫描、发现、补丁、

32、配置、 清除、监视、加固、升级(清除、监视、加固、升级(B B级)级) 用户重新获取自控权3535 信息安全事件监控予警信息安全事件监控予警 信息安全事件通报:信息安全事件通报:定级(定级(GB/Z 209822007GB/Z 209822007) 启动应急予案启动应急予案 事件应急抑制:事件应急抑制:物理、网络、主机、应用、服务物理、网络、主机、应用、服务 事件应急根除事件应急根除 事件应急恢复:事件应急恢复:恢复、抢救、灾备、回退恢复、抢救、灾备、回退 应急审计评估:应急审计评估:设施、数据、服务、审计、修订设施、数据、服务、审计、修订 “灾难恢复”是BCM关键之一,是“应急恢复”的最后一

33、道防线(F)应急予案与响应流程3636我国灾难恢复等级划分:六级、七要素我国灾难恢复等级划分:六级、七要素 大致可以分为二类:大致可以分为二类:数据类、应用类数据类、应用类 “ “第第1 1级级” ”:数据介质转移(异地存放、安全保管、定期更新)数据介质转移(异地存放、安全保管、定期更新) “ “第第2 2级级” ”:备用场地支持(异地介质存放、系统硬件网络可调)备用场地支持(异地介质存放、系统硬件网络可调) “ “第第3 3级级” ”:电子传送和部分设备支持(网络传送、磁盘镜像复电子传送和部分设备支持(网络传送、磁盘镜像复制)制) “ “第第4 4级级” ”:电子传送和完整设备支持(网络传送

34、、网络与系统就电子传送和完整设备支持(网络传送、网络与系统就绪)绪) “ “第第5 5级级” ”:实时数据传送及完整设备支持(关键数据实时复制、实时数据传送及完整设备支持(关键数据实时复制、网网 络系统就绪、人机切换)络系统就绪、人机切换) “ “第第6 6级级” ”:数据零丢失和远程(在线实时镜像、作业动态分配、数据零丢失和远程(在线实时镜像、作业动态分配、 实时实时 无缝切换)无缝切换) “信息系统灾难恢复规范”( (安标委安标委 GB/T 209882007GB/T 209882007) )3737它是业务持续性保证的要素重视等级保护与灾难恢复级别的选择遵循灾难恢复的规范与标准数据级灾备

35、是容灾的基础和起点灾难恢复的集约化建设灾难恢复的社会化服务选择自主建设的几大原则灾难恢复建设的关注点3838 (三)(三)重视信息安全风险评估重视信息安全风险评估3939信息系统安全风险评估的特征信息系统安全风险评估的特征n n信息系统是一个巨型复杂系统(系统要素、安全要素)信息系统是一个巨型复杂系统(系统要素、安全要素)信息系统是一个巨型复杂系统(系统要素、安全要素)信息系统是一个巨型复杂系统(系统要素、安全要素)n n信息系统受制于外部因素(物理环境、行政管理、人员)信息系统受制于外部因素(物理环境、行政管理、人员)信息系统受制于外部因素(物理环境、行政管理、人员)信息系统受制于外部因素(

36、物理环境、行政管理、人员)n n信息系统安全风险评估是一项系统工程信息系统安全风险评估是一项系统工程信息系统安全风险评估是一项系统工程信息系统安全风险评估是一项系统工程n n发现隐患、采取对策、提升强度、总结经验发现隐患、采取对策、提升强度、总结经验发现隐患、采取对策、提升强度、总结经验发现隐患、采取对策、提升强度、总结经验n n自评估自评估自评估自评估/ /委托评估、检查评估委托评估、检查评估委托评估、检查评估委托评估、检查评估4040信息系统安全评估方法信息系统安全评估方法n n定性分析与定量结合定性分析与定量结合定性分析与定量结合定性分析与定量结合n n评估机构与评估专家结合评估机构与评

37、估专家结合评估机构与评估专家结合评估机构与评估专家结合n n评估考查与评估检测结合评估考查与评估检测结合评估考查与评估检测结合评估考查与评估检测结合n n技术安全与管理安全结合技术安全与管理安全结合技术安全与管理安全结合技术安全与管理安全结合4141信息系统安全分析与检测信息系统安全分析与检测n n管理安全分析管理安全分析管理安全分析管理安全分析 组织、人员、制度、资产控制、物理、操作、连续性、应急组织、人员、制度、资产控制、物理、操作、连续性、应急组织、人员、制度、资产控制、物理、操作、连续性、应急组织、人员、制度、资产控制、物理、操作、连续性、应急n n过程安全分析过程安全分析过程安全分析

38、过程安全分析 威胁、风险、脆弱性、需求、策略、方案、符合性威胁、风险、脆弱性、需求、策略、方案、符合性威胁、风险、脆弱性、需求、策略、方案、符合性威胁、风险、脆弱性、需求、策略、方案、符合性 分发、运行、维护、更新、废弃分发、运行、维护、更新、废弃分发、运行、维护、更新、废弃分发、运行、维护、更新、废弃n n技术安全分析与检测技术安全分析与检测技术安全分析与检测技术安全分析与检测 安全机制、功能和强度分析、安全机制、功能和强度分析、安全机制、功能和强度分析、安全机制、功能和强度分析、 网络设施、安全设施及主机配置安全分析、脆弱性分析网络设施、安全设施及主机配置安全分析、脆弱性分析网络设施、安全

39、设施及主机配置安全分析、脆弱性分析网络设施、安全设施及主机配置安全分析、脆弱性分析 系统穿透性测试系统穿透性测试系统穿透性测试系统穿透性测试n n系统测试中风险的防范系统测试中风险的防范系统测试中风险的防范系统测试中风险的防范 事前:保密事前:保密事前:保密事前:保密/ /持续持续持续持续/ /透明协议、应急予案、备份、测试床透明协议、应急予案、备份、测试床透明协议、应急予案、备份、测试床透明协议、应急予案、备份、测试床/ /离线离线离线离线 事中:测试监控、现场控制、应急对策事中:测试监控、现场控制、应急对策事中:测试监控、现场控制、应急对策事中:测试监控、现场控制、应急对策 事后:消除残留

40、、现场清理、原特权回复、原系统回复事后:消除残留、现场清理、原特权回复、原系统回复事后:消除残留、现场清理、原特权回复、原系统回复事后:消除残留、现场清理、原特权回复、原系统回复 4242信息安全风险评估试点成效显著(国信办)国信办) 提高了风险意识提高了风险意识 、培育自评估能力(、培育自评估能力(8 8个试点、几千人日)个试点、几千人日) 三要素的识别与赋值能力有所提高、(并探索行业细则)三要素的识别与赋值能力有所提高、(并探索行业细则) 发现和消除大量隐患、提升了安全强度(表层与深层)发现和消除大量隐患、提升了安全强度(表层与深层) 采用了多种评估模式并总结经验(自评、委托、检查)采用了

41、多种评估模式并总结经验(自评、委托、检查) 实效性实效性 / /关键性关键性 / /涉密性涉密性/ /常规性常规性 等系统的等系统的 分类指导分类指导 风险评估方法、工具、平台有所创新风险评估方法、工具、平台有所创新 应急予案、离线评估、管理软件、识别知识化、多种评估方法应急予案、离线评估、管理软件、识别知识化、多种评估方法 - - - - - - - - 评估过程的风险控制对策(管理、协议、技术、机制)评估过程的风险控制对策(管理、协议、技术、机制) 全程的风险评估分类试点(规划、设计、实施、运行、更新)全程的风险评估分类试点(规划、设计、实施、运行、更新) 评估协同机制的探索(业主、建设、

42、评估三方协同)评估协同机制的探索(业主、建设、评估三方协同) 体系与深层隐患的评估开始引起重视体系与深层隐患的评估开始引起重视4343 信息系统安全的全局对信息系统安全的全局对策策(一一)科学划分信息安全等科学划分信息安全等级n n投入与投入与投入与投入与风险风险的的的的平衡点平衡点平衡点平衡点n n安全安全安全安全资资源的源的源的源的优优化配置化配置化配置化配置(一一)构建构建信息安全保障体系信息安全保障体系n n 重视顶层设计重视顶层设计重视顶层设计重视顶层设计, ,做好做好做好做好信息安全技术体系信息安全技术体系信息安全技术体系信息安全技术体系与与与与信息安全管理体系信息安全管理体系信息安全管理体系信息安全管理体系n n强化信息安全的强化信息安全的强化信息安全的强化信息安全的保障性保障性保障性保障性(二二)作好信息安全作好信息安全风险评估估n n是信息安全建设的是信息安全建设的是信息安全建设的是信息安全建设的起点起点起点起点、也覆盖、也覆盖、也覆盖、也覆盖终生终生终生终生n n提升信息安全的提升信息安全的提升信息安全的提升信息安全的可信性可信性可信性可信性4444谢谢 谢谢 ! !

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 资格认证/考试 > 自考

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号