結合實踐構建電子政務信息安全保障體系.ppt

结合实践构建电子政务信息安全保障体系的思路和框架 2005年4月 北京启明星辰信息技术有限公司 首席战略官 潘柱廷 摘要 构建信息安全保障体系 原则和要求 了解威胁（4类） 了解资产和业务（ITA、安全域） 了解保障措施（产品和服务） 思路（7类模型） 框架（PPT+AIDARC） 当前构建“保障”体系的要点—检测 问题 什么是信息安全？ 到底要解决那些问题？ 怎么实施信息安全建设？ 问题 什么是信息安全？ 通过回答最根本的问题，帮助我们探究事物的本原。 到底要解决那些问题？ 明确工作的目标和要求，从一个大的广泛的概念中寻找自身的定位。 怎么实施信息安全建设？ 通过回答最实际的问题，帮助我们获得需要的实效。 1. 原则、要求 中办发27号文 十六届四中全会文件 中办发[2003]27号 国家信息化领导小组关于 加强信息安全保障工作的意见 （2003年8月26日） 加强信息安全保障工作-总体要求 总体要求： 坚持积极防御、综合防范的方针， 全面提高信息安全防护能力， 重点保障基础信息网络和重要信息系统安全， 创建安全健康的网络环境， 保障和促进信息化发展， 保护公众利益，维护国家安全。 加强信息安全保障工作-主要原则 主要原则： 立足国情，以我为主， 坚持管理与技术并重； 正确处理安全与发展的关系，以安全保发展，在发展中求安全； 统筹规划，突出重点，强化基础性工作； 明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。 加强信息安全保障工作-九项任务 系统等级保护和风险管理 基于密码技术的信息保护和信任体系 网络信息安全监控体系 应急处理体系 加强技术研究，推进产业发展 法制建设、标准化建设 人才培养与全民安全意识 保证信息安全资金 加强对信息安全保障工作的领导，建立健全信息安全管理责任制 十六届四中全会文件 《中共中央关于加强党的执政能力建设的决定》 摘要 三、加强党的执政能力建设的指导思想、总体目标和主要任务 … … 全党要紧紧围绕上述任务，立足现实、着眼长远，抓住重点、整体推进，不断研究新情况、解决新问题、创建新机制、增长新本领，全面加强和改进党的建设，使党的执政方略更加完善、执政体制更加健全、执政方式更加科学、执政基础更加巩固。 摘要—关于信息（1） 五、坚持党的领导、人民当家作主和依法治国的有机统一，不断提高发展社会主义民主政治的能力 （三）改革和完善决策机制，推进决策的科学化、民主化。... ... 有组织地广泛联系专家学者，建立多种形式的决策咨询机制和信息支持系统。 摘要—关于信息（2） 八、坚持独立自主的和平外交政策，不断提高应对国际局势和处理国际事务的能力 （四）始终把国家主权和安全放在第一位，坚决维护国家安全。针对传统安全威胁和非传统安全威胁的因素相互交织的新情况，增强国家安全意识，完善国家安全战略，抓紧构建维护国家安全的科学、协调、高效的工作机制。坚决防范和打击各种敌对势力的渗透、颠覆和分裂活动，有效防范和应对来自国际经济领域的各种风险，确保国家的政治安全、经济安全、文化安全和信息安全。 摘要—关于信息（3） 坚持国防建设与经济建设协调发展，建设一支现代化、正规化的革命军队，确保国防安全，是党执政的一项重大战略任务。... ... 坚持积极防御的军事战略方针，积极推进中国特色军事变革和军事斗争准备，坚定不移地走中国特色的精兵之路，按照建设信息化军队、打赢信息化战争的目标，提高信息化条件下的防卫作战能力。... ... 信息安全工作的思路 专业厂商要协助客户完善保障体系 专业厂商要协助客户完善保障体系 问题 什么是信息安全？ 到底要解决那些问题？ 怎么实施信息安全建设？ 2、了解威胁 威胁环境——攻击事件层出不穷 威胁环境——漏洞越来越多 威胁环境——危害没有停歇的时候 威胁环境——漏洞变成实际危害的速度越来越快 威胁环境——攻击越来越高级却越来越容易 威胁环境——威胁金字塔 威胁环境——攻击技术大融合 威胁环境总结 危害的频度、范围越来越大 攻击的技术含量越来越大 攻击的技术成本越来越低 攻击的法律风险还难于真正体现 … … 威胁的总结 恶意代码 人为发起的越权和入侵类 病毒、蠕虫等传播类 发起的拒绝服务攻击类 违规操作 误操作 违规业务 恶意信息 恶意传播有害信息 垃圾信息（垃圾短信、垃圾邮件等） 信息泄漏 物理问题 设备故障 环境事故 自然灾害 针对威胁的主要技术 针对恶意代码 防火墙、防病毒、入侵检测、漏洞扫描… 违规操作 流量监控、审计、应用系统安全措施… 恶意信息 内容监控、内容过滤、加密… 物理问题 容灾、备份… 问题 什么是信息安全？ 到底要解决那些问题？ 怎么实施信息安全建设？ 3、了解资产和业务 作安全必须