创建电子政务安全保障空间体系.pptVIP

创建电子政务安全保障空间体系 卫士通信息产业股份有限公司 吴鸿钟 博士 副总工 背景 1998年5月22日，克林顿总统根据保护关键基础设施总统委员会的有关建议发布了著名的第63号总统令（PDD-63）明确要求最迟到2003年，各种关键基础设施的信息系统受到攻击时，联邦政府、各州和地方政府以及各个民营部门要确保国民的健康和安全，提供最基本的公众服务，对于基本电信、能源、金融的重点行业，要能够保证有条不紊的运行。 俄罗斯提出了《国家信息安全学说》，作为官方保障俄罗斯联邦信息安全的目的、任务、原则和主要内容的观点的总和； 日本政府已将信息安全问题从防范一般性高技术犯罪提升到保障国家安全的层面，从国家利益的高度强调信息化发展和信息安全问题； 在加强法制建设方面，美国、英国、澳大利亚、德国、日本等国家都制定了不同的法律和行业、地区规定。 我国从2002年1月，国家成立了电子政务标准化总体组，全面启动电子政务标准化工作，在技术上为电子政务打造一个良好的平台。 2003年27号文件，明确进行信息安全保障的十条指导性意见。 内网安全保障子空间 外网安全保障子空间 门户安全保障子空间 安全服务保障子空间 网络控制 边界控制 终端控制 技术体系 依托统一的国家电子政务通信传输网络，整合建设电子政务外网，支持电子政务业务系统的运行，支持跨部门、跨地区的信息资源共享，支持电子政务业务的互联互通和信息交换，促进政府监管能力和服务水平的提高。 总体安全需求 三个方面 理念 P-POT-PDRR模型 技术思路 解决方案：一KEY通系统 关键功能 抗非法进入单机攻击 抗存储信息的窃取攻击 抗非法外设拷贝信息攻击 抗内、外网切换攻击 抗非法访问服务器攻击 防安全程序卸载攻击 防系统安全模式启动攻击 抗网络侦听攻击 抗非法接入网络终端攻击 抗存储介质泄密攻击 抗非法拨号上网泄密的攻击 抗应用程序非法修改攻击 抗应用程序流程攻击 解决方案：统一用户管理 门户网站的安全与防护 基于PKI/CA的身份认证 主页防篡改 安全服务体系框架 谢谢！预祝本次论坛圆满成功！ * * 统一的电子政务内网 党委 人大 部门 政协 政府 统一的电子政务外网 党委 人大 部门 政协 政府 党委/政府两套电子政务内网 党委/政府两套政务外网 门户网站 行业纵向网 行业纵向办公网 行业纵向业务网 副省级以上电子政务内网 副省级以上电子政务外网 Internet 中央 人大 部委 政协 政府 中央 人大 部委 政协 政府 中办机要网 国办机要网 逻辑隔离 现状 网络安全策划实施阶段 网络安全维护阶段 安全咨询 安全风险评估 整体解决方案 需求分析 策略制定 方案实施 整体网络安全 安全管理监控 定期安全评估 网络安全培训 紧急事件响应 定期系统加固 定期策略修改 安全保障空间体系 安全保障空间体系 内网安全保障子空间 R R R R R R R 统一网络管理 统一密码管理 统一策略管理 省 市 县 乡/镇 一级内网(专网) 二级内网(专网) 三级内网(PSTN) 网络控制 电子政务内网 非法挪用 非法连接 非法无线 非法使用 非法代理 安全文件柜 IP和MAC绑定 涉密终端保护系统IP/MAC更改 涉密终端保护系统审计上网状态 数字证书 用户身份认证 涉密终端保护系统限制无线 安全文件柜 涉密终端 保护系统 普密终端设备 边界控制 系统级 终端控制 安全登录 外设控制 系统监控 Windows Linux 软驱/光驱/USB/串口/并口 网络共享监控、系统帐户 文件创建/修改/复制/删除审计 操作审计 是否存在代理与Internet连接 网络连接 是否存在拨号/无线连接Internet 非法连接 文件存放 是否非法存在涉密文件 口令检查 是否符合BMZ1-2000的要求 是否符合BMZ1-2000的要求 日志检查 主机定位 IP/MAC绑定 涉密终端保护系统 外网安全保障子空间 外网建设的目标和任务 满足政府公用网络安全可信的需求 要具有自身 的特点 等级保护 纵深防御 抗DDOS 外网安全保障子空间 实体身份的确定 实体权限的控制 信息的真实可用 层次间关系： 在策略核心指导下，三 个要素紧密结合，协同 作用，最终实现信息安 全的四个功能； 核心思想： 通过人员组织、安全技 术以及运行操作三个支 撑体系的综合作用，构 成一个完整的信息安全 管理体系； 鉴别 信息加密 安全信令 网管安全 外网安全保障技术 身份识别 人员配置 人员培训 密 钥 管 理 设 备 管 理 证 书 管 理 人 事 安 全 介质安全 设备安全 环境安全 电磁泄露防护 电磁辐射评测 通信网络安全 端系统安全 传输安全 信 息 安 全 数 据 安 全 人