沈昌祥--重要信息系统等级保护建设整改技术框架.ppt

结 束 语 坚持科学发展观，认真贯彻落实27号文件精神，搞好国家重要信息系统等级保护的建设整改工作 重要信息系统等级保护建设整改技术框架 国家信息化专家咨询委员会委员 沈昌祥 院士 一、 美国信息安全的国家战略 美国从1998年起将网络安全由“政策” “计划”逐步提升为国家战略 美国在2007年8月成立了《第44届总统网络空间安全委员会》，经过一年半的工作，形成了《提交第44届总统的保护网络空间安全的报告》 报告以二战时期“阿尔法和英格码”事件为警示，提出：网络安全是美国在一个竞争更加激烈的新国际环境中面临的最大安全挑战之一 报告认为，过去20年来，美国一直在努力设计一种战略来应对这些新型威胁和保护自身利益，但始终都不算成功。无效的网络安全以及信息基础设施在激烈竞争中受到攻击，削弱了美国力量，使国家处于风险之中。 报告提出了十二项、25条建议，分别从制定战略、设立部门、制定法律法规、身份管理、技术研发等方面进行了阐述。 尤其是第一条，建议设定一条基本原则，即网络空间是国家一项关键资产，美国将动用国家力量的所有工具对其施以保护，以确保国家和公众安全、经济繁荣以及关键服务对美国公众的顺畅提供 报告认为： 仅仅靠自愿采取行动是远远不够的 美国必须评估风险并按重要性对各种风险进行等级划分，在此基础上制定出保护网络空间的最低标准，以确保网络空间的关键服务即便在美国遭受攻击的情况下也能不间断地工作 2009年2月，按奥巴马指示开展了60天的安全评估 2009年5月29日，奥巴马公布了《网络空间政策评估——保障可信和强健的信息和通信基础设施》的报告 奥巴马在演讲词中强调，美国21世纪的经济繁荣将依赖于网络安全。他将网络安全威胁定位为“我们举国面临的最严重的国家经济和国家安全挑战之一”，并宣布“从现在起，我们的数字基础设施将被视为国家战略资产。保护这一基础设施将成为国家安全的优先事项。” 同时制定了十条近期计划，十二条中期计划 近期的行动计划包括： 1.任命一名信息安全政策协调官员，负责协调全国的网络空间安全政策和活动；在国家安全委员会内建立一个网络空间安全理事会，受政策协调官员的指导，向国家安全委员会和国家经济委员会报告，以协调部门间的信息空间安全相关战略和政策的制定。 2．制定一个不断更新的保护信息和通信基础设施的国家战略。 3．将网络空间安全作为总统的关键管理优先事项并制定业绩指标。 4．在国家安全委员会的网络空间安全理事会内指定一名负责隐私和公民自由的官员。 5．对重要的网络空间安全相关事项开展跨机构的立法优先级分析，并制定协调一致的政策指导，用来明确各机构的网络空间安全角色、职责和权力的运用。 近期的行动计划包括： 6．发起一个增强国家级的网络空间安全公众意识的教育运动。 7．制定美国政府对国际网络空间安全政策框架的立场，加强国际合作关系。 8．制定网络空间安全事件响应计划；展开对话，以加强公私合作关系。 9．与其他总统行政办公室的实体相合作，制订研发战略框架，侧重于变革性的网络空间安全技术；向研究界提供网络空间安全事件数据，便于其开发工具、测试理论以及寻找可行的解决办法。 10．建立基于网络空间安全的身份管理战略。 中期的行动计划包括： 1．针对各机构间对有关网络运行的法律解释和适用政策的不同意见，改进分歧解决程序。 2．使用管理和预算办公室（OMB）的项目评估框架，以确保各部门在实现网络安全目标时使用了基于绩效的预算编制。 3．增大对关键的教育项目和研发活动的支持，以确保国家在信息时代经济中的持续竞争能力。 4．制定一项扩大和培训劳动力的战略，包括吸引和留住联邦政府中的网络安全专业人才。 5．确定最高效和最有效的机制，以实现战略预警，维持态势感知，以及向事件响应能力提供信息支持。 6．制定一套威胁的场景和指标，用于风险管理决策、恢复计划和确定研发重点。 7．制定一个政府和私营部门之间预防、发现和响应网络事件的协作流程。 中期的行动计划包括： 8．建立网络空间安全相关的信息共享机制，并且需要解决对隐私和专有信息关注，使参与信息共享的各方都能受益。 9．制定在自然灾害、危机或冲突情况下用于紧急通信能力的解决方案，同时确保网络的中立性。 10．扩大与主要盟国之间的网络事件和脆弱性信息的共享，寻求能够改善经济和安全利益，且同时保护公民自由和隐私权的双边和多边协定。 11．鼓励学术研究和工业实验室合作，建立成果转移路径和激励机制，促进研究和技术开发创新的应用。 12．从基础设施的目标和研发框架出发，确定国家和国际标准化机构的目标。 13．实施互操作的身份管理系统，以建立对网上交易的信心，并增强隐私保护。 14．完善政府采购战略，改善市场激励措施，鼓励采用安全与强健的硬件及软件产品、新的安全创新成果以及安全管理