报告 - 国家统计联网直报门户.pptVIP

一、信息安全形势 （一）信息化持续快速发展：云计算、物联网-----马局长：展开双臂，迎接信息化！ （二）伴随着风险和威胁： 1.传统：拒绝服务、病毒、蠕虫、黑客入侵、漏洞…… 2.云风险：云服务的恶意使用、数据丢失或泄漏、恶意内部人员 账户/服务劫持、不安全的云软件、未知风险预测…… 3.物联网主要风险：无线安全、不安全的芯片/软件、企业、公民隐私问题、ID真实性问题…… （三）国际： 美国政府高度重视美国的国家网络安全， 5月发布《网络空间国际战略》、7月发布《网络空间军事行动战略》提出战略倡议，加快美国在网络空间的军事扩张步伐；北约8月发布新的《网络安全战略》；英国、印度、新西兰等------网络空间安全已为越来越多的国家和政府所重视。 （四）国内： 近几年密集出台信息安全政策（如等级保护、分级保护等），发布多项信息安全国家标准，加快信息安全保障能力的建设。 二、统计信息系统身份认证体系情况介绍 （一）背景：企业一套表系统是在公安部备案的信息安全等级三级的应用系统，是“四大工程”的核心。受到了统计系统和社会各界的广泛关注，对系统的安全保障能力也提出了更高的要求。 尤其上报数据的企业用户，经济数据是企业的最高机密，直接关系经济利益，因此更关心报送系统是否可信、上报的数据是否被第三方窃取等。 身份认证系统是保障信息安全的基础。 （五）身份认证系统可以解决哪些安全问题 1.保护企业数据（可信、防窃取、防篡改等）； 2.保障应用系统安全； 3.满足国家公安部等信息安全主管部门的要求。 三、身份认证系统原理和操作 （四）常见问题 1、每张证书有效期为三年，到期后需重新申请证书； 2、在一套表系统中注册了子账户的用户，多个子账户可以同时使用其主账户的证书登录系统，进行报送； 3、支持口令同步：在应用系统中修改账户口令后，再到身份认证系统下载证书时，使用修改后的口令。（与应用系统程序接合实现，各自建应用节点可自行实现） 4、问题解答手册（可在门户网站下载） 四、工作要求 1、原则：本地发证，各单位应于12月30日前准备好本地身份认证系统发证环境。 2、各单位应组织所属企业于1月31日前，完成证书下载工作。 国家统计局企业一套表身份认证系统 介绍和工作要求 国家统计局数据管理中心 安全管理处 张杰 2011年12月 目 录 一、信息安全形势 二、统计信息系统身份认证体系情况介绍 三、身份认证系统原理和操作步骤 四、工作要求 （五）面对风险、形势，技术解决的基础----身份认证 身份可信、资源可控、行为可查 问题 可查 可信 可控 信息安全、认证为先。你是谁？这是信息安全首要解决的问题。通过数字证书，可以实现强身份认证，解决信息系统中“你是谁”的问题。 在身份认证的基础上，基于数字证书可以进一步解决保密性、完整性和防抵赖等问题。 身份认证系统是信息安全的基础设施。 三类身份认证方式： 1、密码识别 根据所知道的信息来证明身份 用户名+密码、动态口令 2、生物识别 根据独一无二的身体特征 指纹、虹膜、人脸识别等 3、证物识别 根据所拥有的物品来证明身份 数字证书（Ukey）、智能卡 为什么说数字证书系统是信息安全的基础设施？ 比对项 数字证书 用户名/口令 生物特征 口令 动态口令 安全性 高 低 中 中 认证范围 用户、设备认证 只认证用户 只认证用户 只认证用户 加解密/防篡改/防抵赖 可以实现 不能实现 不能实现 不能实现 技术可靠性 高 高 高 不高，误识别 可扩展性 高 低 低 低 标准化程度 高 低 低 低 管理与维护成本 中 较高 高 高 投资规模 中 低 中 高 身份认证方式比较 数字证书是国际和国内主流的电子认证方式； 数字证书是网络世界唯一合法（电子签名法）的身份证。 （六）法律法规的要求 《中华人民共和国电子签名法》(中华人民共和国主席令第十八号) 2004年8月28日颁布，明确了电子签名的法律地位； 《电子认证服务密码管理办法》（国家密码管理局公告第2号）2005年3月31日国家密码管理局； 《证书认证系统密码及其相关安全技术规范》 国家密码管理局2005年6月23日发布，明确了PKI技术在安全认证领域的基础地位； 《信息安全技术　信息系统安全等级保护基本要求》中对第三级应用系统必须使用双因素进行用户认证，并有九项要求：身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制。由身份认证系统（ＰＫＩ／ＣＡ）实现上述（红色字体）五项安全要求。 （七）身份认证应用现状 国际：美国联邦、日本等均