构建信息安全保障体系的思考讲义.pptVIP

构建信息安全保障 体系的思考;全球信息化发展;全球信息化动向;互联网推动企业（部门）信息平台的重构 Intranet/Extranet/Internet 互联网将成为国家重要的基础设施 美国：40%网民、30%金融、25%产品、30%股市 互联网刺激了信息产业的迅速发展 软件业、硬件制造业、信息服务业 网络经济是新经济的集中表现 互联网是新兴数字化业务的摇篮 EC、EG、DE、DM、NM、CW、AM; 互联网存在的六大问题; 网上黑客与计算机犯罪;有害信息污染;网络病毒的蔓延和破坏;机要信息流失与信息间谍潜入;网络自身的脆弱性;网络安全产品的自控权;信息战与网络恐怖活动;网上权益纠纷和违规行为;Hacker (黑客）;Hacker (黑客）;美国2.7黑客事件的启示 ;国家信息化领导小组第三次会议 ;国家信息安全保障工作要点 ;信息安全保障体系;发展与安全——保驾护航 资产与威胁——保障能力 防护与检测——纵深防御 成本与风险——等级保护 技术与管理——综合治理 培训与自律——以人为本 强度与弱点——均衡设计;增加网络四种安全能力;组织管理;行政管理体制 技术管理体制 信息系统安全管理准则（ISO 17799） 管理策略 组织与人员 资产分类与安全控制 配置与运行 网络信息安全域与通信安全 异常事件与审计 信息标记与文档 物理与环境 开发与维护 作业连续性保障 符合性 ;创建一个具有一批高级信息安全人材、雄厚的安全技术队伍、普及安全意识和技术的人材大环境 学历教育：专业设置、课程配套 高级人材培养：研究生学院、博士后流动站 职业和技能培训：上岗和在职培训、考核认证制度 信息安全意识提升：学会、协会、论坛、媒体 网上教育：信息安全课件、网上课堂 信息安全出版物：技术型、普及型;推动安全产业发展，支撑安全保障体系建设 掌握安全产品的自主权、自控权 建设信息安全产品基地 形成信息安全产品配套的产业链 造就出世界品牌的安全骨干企业 安全产品制造业、集成业、服务业全面发展 尽快配套信息安全产业管理政策（准入、测评、资质、扶植、采购） 重视TBT条款运用，保护密码为代表的国内安全产品市场;加强信息安全标准化技术委员会工作 积极参予国际信息安全标准制订活动 注意采用国际与国外先进标准 抓紧制订国家标准和协调行业标准 重视强制性和保护性（TBT）标准的制订 推动信息安全产品标准互操性的测试和认证 兼容性和可扩展性的需要;密码算法、密钥管理及应用类 PKI/PMI类 信息安全评估和保障等级类 电子证据类 内容安全分级及标识类 信息安全边界控制及传输安全类 身份识别及鉴别协议类 网络应急响应与处理类 入侵检测框架类 信息安全管理类 资源访问控制类 安全体系结构与协议类 安全产品接口与集成管理类 信息系统安全工程实施规范类 XML、CSCW、Web安全应用类;电子文档与数字签章类 数据保密与公开类 网络信息内容安全监管类 网络信息犯罪与惩治类 个人数据保密类（隐私法） 数字内容产品版权保护类 电子商务运营监管类（EC、NB、NS） 网上交易税法类 网络信息企业市场准入类 密码研制、生产与应用管理类 网络媒体监管类 网上娱乐活动监管类 网上通信联络监管类 信息安全法; 基于数字证书的信任体系（PKI/CA） 信息安全测评与认证体系（CC/TCSEC） 应急响应与支援体系（CERT） 计算机病毒防治与服务体系（A-Virus） 灾难恢复基础设施（DRI） 密钥管理基础设施（KMI）; 网上信息内容安全监控体系 网络犯罪监察与防范体系 电子信息保密监管体系 网络侦控与反窃密体系 网络预警与网络反击体系;信息安全技术保障框架; 组建研发国家队与普遍推动相结合 推动自主知识产权与专利 建设技术工程中心与加速产品孵化 加大技术研发专项基金 全面推动与突出重点的技术研发 基础类：风险控制、体系结构、协议工程、有效评估、工程方法 关键类：密码、安全基、内容安全、抗病毒、IDS、VPN、强审计 系统类： PKI、PMI、DRI、网络预警、集成管理、KMI 应用类：EC、EG、NB、NS、NM、WF、XML、CSCW 物理与环境类：TEMPST、物理识别 前瞻性：免疫、量子、漂移、语义理解;法规：外购产品与服务的安全承诺 管理：对分发式威胁的控制和操作规律规范 技术： 安全加固 安全配置 漏洞扫描 恶意功能发现 系统监控; 网络信息安全域的划分与隔离控制 内部网安全服务与控制策略 外部网安全服务与控制策略 互联网安全服务与控制策略 公共干线的安全服务与控制策略（有线、无线、卫星） 计算环境的安全服务机制 多级设防与科学布署策略 全局安全检测、集成管理、联动控制与恢复（PDR2）;信息网络安