国家信息安全保障体系基础 - 中国通信标准化协会.pdf

国家信息安全保障体系基础 电信网信息安全及标准化论坛 吕诚昭 国务院信息化工作办公室 全国信息安全标准化技术委员会 2006年5月23 日 北京·南粤苑 国家信息安全保障的近期战略目标 经过五年左右的努力 基本形成国家信息安全保障体系 主要内容 • 对信息安全保障的认识 • 信息安全保障体系总体框架 • 国家信息安全保障体系简介 对信息安全保障的认识 • 信息技术的脆弱性影响信息安全 • 谁对信息安全构成威胁? • 对信息安全认识的发展过程 • 值得研究的信息安全经验 信息技术的脆弱性影响信息安全 • 网络攻击、网上计算机病毒传播、网上失 窃密等 主要是利用信息技术的脆弱性（漏洞） • 对信息技术产品的漏洞分析和控制以及对 信息系统的安全风险评估是信息安全保障 的基础 • 信息安全保障是高技术环境下的对抗 信息技术的脆弱性(漏洞)呈快速发展趋势 （CERT/CC提供） 年份 报告的脆弱性数目 1998 262 1999 417 2000 1090 2001 2437 2002 4129 2003 3784 2004 3780 2005 5990 2006 Q1 1597 信息技术漏洞分类 • 可能造成危害的信息技术漏洞主要有三类: • 产品设计、生产过程中的缺陷或错误，可 被利用来进行攻击和窃密 • 用于网络和信息系统的网络维护管理的某 些服务功能，可被非正常地利用 • 在信息技术产品中有意设置的后门，专门 用于控制、攻击和窃密等目的 谁对信息安全构成威胁? 国家 由政府主导，有很好的组织和充足的财力； 利用国外的服务引 擎来收集来自被认为是敌对国的信息 黑客 攻击网络和系统以发现在运行系统中的弱点或其它错误的一些个 人 恐怖分子/计算机恐怖 代表使用暴力或威胁使用暴力以迫使政府或社会同意其条件的恐 怖分子或团伙 分子 有组织的犯罪 有协调的犯罪行为，包括赌博、诈骗、泛毒和许多其它的行为 其它犯罪团体 犯罪社团之一，一般没有好的组织或财力。通常只有很少的几个 人，完全是一个人的行为 国际媒体 向纸业和娱乐业的媒体收集并散发——有时是非授权的——新闻 的组织。包括收集任何时间关于任何一个人的任意一件新闻 工业竞争者 在市场竞争中运行的国内或国际企业常以企业间谍的形式致力于 非授权收集关于竞争对手或外国政府的信息 有怨言的员工 怀有危害局域网络或系统想法的气愤、不满的员工 值得关注的数字-1 • FBI 的观点：