我国信息安全的若干基本问题.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 基于NSA提供数字的分析 美国国防部系统90%以上的成功攻击是利用了已知的漏洞，或者 已经提供了软件修改或“补丁”的漏洞 可以说明美国国防部系统并非全部采用边界物理隔离 安全成本可能是考虑的重要因素 问题10： 适应互联互通的需求而提高保密技术水平， 还是坚持物理隔离而限制互联互通？ 网络边界保护的主要技术 防火墙：在内外网络之间建立边界，帮助网络抵抗攻击 虚拟专用网（加密隧道）：在重要网络之间，以保护要穿越未加保护的管道的安全网络之间的信息传输 卫兵（ GUARD）：在需要共享安全域之间的信息时使用 计算机病毒防护系统 各种隔离技术 问题11： 解决信息保密与信息共享的矛盾 是否是推动电子政发展的一个关键？ 怎么解决？ 问题12： 信息安全等级保护是否应当遵循一致的技术路线？ NSA的信息安全经验3 在所有要求的网络安全方面，在处理顶级机密军事信息的系统和控制国家重要基础设施某一段的系统之间没有多少差别 这两个系统都需要保障或信任，即信任系统设计合理： — 通过一套安全标准进行的独立评估 —即使在遭受恶意攻击或人为破坏的情况下，在其生命周期内能够正常运行 NSA的信息安全经验4 攻击总是通过最薄弱的环节，必须在系统的各个环节上进行信息保护 三面围起的城堡是不安全的 几乎在一切情况下，国家安全系统的网络安全要求与电子商务或重要基础设施的网络安全要求是完全一样的 研究的挑战、安全的特点和开发模型也十分相似 问题13： 终端的可信计算方案 能保证安全吗？ 值得思考的问题 TCG声称其可信计算方案不应用于军事和政府 通过网络认证终端的可信是否会引起新的安全问题？ 问题14： 网络可信方案对我国信息安全产业有什么影响？ 可能的影响 可信计算的牵头企业是通用信息技术产品制造企业 通过路由器融合信息安全专用功能是否意味着产业的垄断趋势？ 信息安全专用产品制造企业如何应对？ 问题15： 是否存在一个放之四海而皆准 的完全可信方案？ 问题16： 一个严格可信可控的互联网 是否会影响互联网的可用性？ 保证可用性是互联网的最初设计目标 可控性和灵活性是一对矛盾 问题17： 对信息服务机构的的行政许可或认可是否有利于信息服务业的发展？ 管理与市场的矛盾 经验教训：每当要加强服务业的发展，服务业的市场就降低1-2个百分点 问题是：增加了对服务机构过多的行政许可 许可和认可限制了信息服务的渗透性、广泛性和灵活性 问题18： 中国信息安全的解决方案问题讨论 力不从心的现状 不适当的行政许可或认证认可→ 限制了国内信息安全服务机构的数量→ 缺少足够的市场竞争→ 国内整体信息安全服务水平降低→ 不得不引进国外服务机构→ 担心信息安全不能得到保障→ 行政许可与认证认可的本质区别是什么？ 仅仅是换一个管理部门？ 我国信息安全产品认证的关键问题 适应信息化发展和国家安全的需求，着实提高产品安全的检测水平 避免重复检测，重复收费，推动产业发展  如果所提问题符合国情， 欢迎参加讨论！ 谢谢！ * * 。 * 。 * 。 * * * * * * * * 关于我国信息安全的若干基本问题 中国信息协会信息安全专业委员会 2005年年会 吕诚昭 国务院信息化工作办公室 2005年8月20日 宁夏.银川 立足国情是建设国家信息安全保障体系的关键 立足我国信息化的现状和发展趋势 立足我国信息安全的现状和发展趋势 立足我国信息产业的现状和发展趋势 要立足国情就必须研究和了解国情 研究这些基本问题的必要性 对互联网的作用和影响远远没有充分认识 对基于互联网的信息安全也远远没有充分认识 需要适应我国信息化发展和国家安全的需求，不断探索和创新 说明 提出问题以供思考，通过讨论求得共识 所提问题不是对相关工作的全面评价 问题1： 对我国信息安全攻击来源 的判断 FBI对美国信息安全的统计分析 来自外部的攻击：20% 来自内部的攻击：80% 对我国银行系统的安全统计分析 来自内部： 80% 来自内部外部勾结：15% 来自外部： 5% 资料来源