国家信息安全保障体系基础.pptVIP

关于我国信息安全的若干基本问题 2005年计算机安全学术交流年会 吕诚昭 国务院信息化工作办公室 2005年8月6日 青海.西宁 立足国情是建设国家信息安全保障体系的关键 立足我国信息化的现状和发展趋势 立足我国信息安全的现状和发展趋势 立足我国信息产业的现状和发展趋势 要立足国情就必须研究和了解国情 为什么要研究这些基本问题？ 互联网的作用和影响远远没有充分认识 基于互联网的信息安全也远远没有充分认识 需要适应我国信息化发展的需求，不断探索和创新 提出问题以供思考和讨论，不是对相关工作的全面评价 问题1： 对我国信息安全攻击来源 的判断 FBI对美国信息安全的统计分析 来自外部的攻击：20% 来自内部的攻击：80% 对我国银行系统的安全统计分析 来自内部： 80% 来自内部外部勾结：15% 来自外部： 5% 资料来源：曲成义 NSA 提供的数字 50%的最具破坏性的攻击来自内部人员 美国专家提供的数字 55%的信息破坏是由于误操作 我国信息安全攻击来源是什么分布？ 尚未有权威的全面统计数字 缺少对我国信息安全攻击来源的整体判断 通过网络检测的攻击次数不等于成功攻击的次数（敲门不等于入室） 对攻击来源的判断是实现综合防范的重要依据 问题2： 在我国由于信息安全 所造成的损失的统计 FBI关于由于计算机犯罪所造成的经济损失的统计 2003年7月发布的统计，美国的损失超过2000亿美元，其中 产权信息的窃取 702亿美元 拒绝服务 656亿美元 计算机病毒 274亿美元 内部网络滥用 118亿美元 （人为故意）破坏行为 52亿美元 金融欺诈 102亿美元 系统入侵（渗透） 28亿美元? 我国由于信息安全所造成的经济损失是多少？ 只有个别案例而尚未有全面的统计数字 （成功）攻击的次数不能说明经济损失 信息安全所造成的经济损失是确定信息安全成本的重要依据 问题3： 对我国信息网络脆弱性的判断 信息技术的脆弱性(漏洞)呈快速发展趋势 对我国信息网络脆弱性是否有正确的判断？ 互联网的广泛应用可能使网络的互联互通发生了变化 在发生突发事件的情况下，能否保证用户的有效接入？ 缺少全面认真地研究和分析 对网络与信息系统脆弱性的正确判断是积极防御、综合防范的基础 问题4： 商业密码算法是否应当是 国家秘密？ 中办27号文件的要求 按照满足需求、方便使用、加强管理的原则，修改完善密码管理法规，建立健全适应信息化发展的密码管理体制 问题5： 商业密码管理如何适应 改革开放的大环境？ 密码管理体制面临的挑战 面临电子政务特别是电子商务的开放环境 面临全球漫游的通信环境（无线通信、互联网等） 面临通用信息系统的密码管理（操作系统等） 密码管理工作必须适应经济全球化和进一步开放的大环境 封闭管理与开放环境的矛盾 封闭管理一般适用于规模相对小并容易控制的环境 开放环境是面向全社会的大环境 管理上往往表现出力不从心 过分管理又限制了发展 密码管理是加强开放系统管理的重要手段 问题6： 我国的信息保密管理工作如何实现多部门协同配合？ 我国信息保密工作涉及多部门 信息保密工作涉及：保密制度检查、行政处罚、刑事处罚、密码应用和管理、密码分析破译等多方面 保密管理涉及：保密管理部门、各相关行政部门、公安机关、国家安全机关、密码管理部门、密码分析部门等多个管理部门 分家还是协同共管？ 问题7： 信息保密管理是否也要考虑 成本？ NSA的信息安全经验1 信息系统安全的基本动力仍然是防止信息的非法授权泄露，即保密性，但是这不再是唯一的关注点 当信息系统互相连接成局域网和广域网，并组成保密的或非保密的采用互联网协议时，除了保密性，还需要防止对信息的非授权修改，及数据的完整性；还需要防止拒绝服务攻击，保证数据的可用性 是否存在不考虑成本的绝对保密措施？ 保护信息的保密性、完整性和可用性都需要考虑成本 考虑成本，就要平衡损失与投入，要考虑时效，要考虑综合防范 问题8： 不适当的保密是否造成了 一个怪圈？ 一个值得注意的怪圈 （不适当的）保密→ 保守→ 落后→ （大规模）引进 → 无密可保或不能有效保密→ 加强保密→ 怪圈影响举例 影响了以军带民，以民促军→技术落后（历史的教训） 有两弹一星，却要引进