网络安全体系基础架构建设知识.pptVIP

网络安全体系基础架构建设知识 讲师简介 国际社会对信息安全的共识 1998年以来的历届联合国大会，均专门商讨信息安全概念和主要威胁； 1999年，俄罗斯向联合国提交了《从国际安全的角度来看信息和电信领域的发展》报告，遭到西方国家强烈抵制； 2006年10月20日，俄罗斯联合中国等国，继续提交了报告决议草案，最终169票对1票通过，唯一投反对票的国家是美国。 中国面临的信息安全风险因素 基础信息网络和重要信息系统的安全防护能力不强 泄密隐患严重 信息技术自主可控能力不高 对外风险意识欠缺，防范措施不够，缺乏对国外信息技术产品和服务采购中的风险控制 中国面临的信息安全事故 基础信息网络和重要信息系统的安全防护能力不强 2006年统计大陆被木马控制计算机约4.5万台 2002年深圳证券交易所通信中断，停止交易 2002年北京首都国际机场离港系统技术故障 2005年北京铁路局5.1售票系统临时性故障 2006年中国银联系统中断6小时 2006年中国民航离港系统技术故障 中国面临的信息安全现状 基础信息网络和重要信息系统的安全防护能力不强 重视不够，投入不足 安全体系不完善，整体安全十分脆弱 软硬件特别是高端产品严重依赖国外 国家安全意识不强 中国面临的信息安全风险因素 泄密隐患严重 情报机构网上窃密活动猖獗 信息时代泄密途径日益增多 新兴技术发展导致保密形势严峻 中国面临的信息安全风险因素 信息技术自主可控能力不高 核心器件和核心软件还大量依赖国外 大规模集成电路技术 集成电路专用设备 操作系统和数据库90％是外国公司产品 通信技术、电子视听核心技术没有掌握 新型元器件方面的核心技术基础非常薄弱 中国面临的信息安全风险因素 对外风险意识欠缺，防范措施不够 缺少对采购国外信息技术产品和服务的限制 尚未建立外商投资安全审查机制 互联网基础设施对国外高度依赖－DNS问题 国内.CN域名注册量少于.COM顶级域名注册量 有关电子标签的两次政协提案 电子标签：非接触自动识别技术，通过射频信号识别目标对象并获取相关数据，无须人工干预； 2007年两会期间，杨匡满等政协委员再次递交了《关于国家强制性标准全国产品与服务统一代码（NPC）的推广应用工作必须立即恢复的再提议案》，签名提案委员72人，成为政协史上最大提案；2006年，59名； NPC是我国自主创新、完全拥有知识产权的国家强制性标准，2003年由国家质检总局发布，2005年宣布取消； EPC是美国EPC Global公司推出的产品电子代码，2004年进入中国，中国物品编码中心（国家质检总局、国家标准委所属机构）为其代理单位； 日本坚决抵制EPC，建立了自己的UID；德国、韩国。。 网络安全体系基础架构 中国早期参考的信息安全体系标准 美国国防部早在80年代就针对国防部门的计算机安全保密成立了国家计算机安全中心（NCSC） 1983 年NCSC公布了可信计算机系统评估准则TCSEC-Trusted Computer System Evaluation Criteria，俗称橘皮书 NCSC于1987年出版了一系列有关可信计算机数据库、可信计算机网络等的指南等（俗称彩虹系列），根据所采用的安全策略、系统所具备的安全功能将系统分为四类七个安全级别。将计算机系统的可信程度划分为D、C1、C2、B1、B2、B3和A1七个层次。 中国早期参考的信息安全体系标准 TCSEC带动了国际计算机安全的评估研究，90年代西欧四国（英、法、荷、德）联合提出了信息技术安全评估标准（ITSEC），ITSEC（又称欧洲白皮书）除了吸收TCSEC 的成功经验外，首次提出了信息安全的保密性、完整性、可用性的概念 美国不甘心TCSEC的影响被ITSEC取代，他们联合其他国家于1991年1月宣布制定了通用安全评估准则CC，并于1996年1月出版了1.0版。CC标准吸收了各先进国家对现代信息系统信息安全的经验与知识，对未来信息安全的研究与应用带来重大影响－中国根据该准则制订了《计算机信息系统安全保护等级划分准则 GB17859-1999》 目前最新的信息安全体系发展状况 1994年，国务院发布了《中华人民共和国计算机信息系统安全保护条例》，该条例是计算机信息系统安全保护的法律基础。 其中第九条规定“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。” 公安部组织制订了《计算机信息系统安全保护等级划分准则》的国家标准，并于1999年9月13日由国家质量技术监督局审查通过并正式批准发布，已于 2001年1月1日执行。 信息安全等级保护相关文件间的关系 信息系统安全等级保护实施政策文件 国务院147号令－ 《中华人民共和国计算机信息系统安全保护条例》 中办发[2003]27号－ 《国家