构建积极防御综合防范的信息安全保障框架.pptx

构建积极防御综合防范的信息安全保障框架 ;一、我国信息安全保障的 战略方针和任务;国家信息化领导小组第三次会议审议并通过了《国家信息化领导小组关于加强信息安全保障工作的意见》，其中关于加强信息安全保障工作的总体要求是： 坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。;加强信息安全保障工作的总体要求和主要原则 实行信息安全等级保护 加强以密码技术为基础的信息保护和网络信任体系建设 建设和完善信息安全监控体系 重视信息安全应急处理工作 加强信息安全技术研究开发，推进信息安全产业发展 加强信息安全法制建设和标准化建设 加快信息安全专业人才培养，增强全民信息安全意识 保证信息安全资金 加强对信息安全工作的领导，建立健全信息安全责任制 ;2004年1月9日至10日，在全国信息安全保障工作会议上中共中央政治局常委、国务院副总理黄菊重要讲话中指出了必须充分认识做好信息安全保障工作的极端重要性。; 黄菊再次强调：加强信息安全保障工作，必须坚持积极防御、综合防范的方针。 如何贯彻这个方针，争取五年时间初步建成我国信息安全保障体系，任务艰巨而光荣。;二、信息安全保障体系的基本构架;信息安全保障体系的基本构架;信息安全组织管理体系;信息安全保障体系的基本构架;信息安全技术保障体系;信息安全保障体系的基本构架;信 息 安 全 经 费 保 障 体 系;信息安全保障体系的基本构架;三、积极防御的技术框架;对工作流程相对固定的重要信息系统 主要由操作应用、共享服务和网络通信三个环节组成。如果信息系统中每一个使用者都通过可信终端认证和授权，其操作都是符合规定的，网络上也不会被窃听和插入，那么就不会产生攻击性共享服务资源的事故，就能保证整个信息系统的安全，以此来构建积极防御、综合防范的防护框架; 可信计算平台 可信终端确保用户的合法性和资源的一致性，使用户只能按照规定的权限和访问控制规则??行操作，能做到什么样权限级别的人只能做与其身份规定的访问操作，只要控制规则是合理的，那么整个信息系统资源访问过程是安全的。这样构成了安全可信的应用环境（子信息系统）; 安全共享服务边界 应用安全边界设备（如安全网关等）保护共享服务资源，其具有身份认证和安全审计功能，将共享服务器（如数据库服务器、WEB服务器、邮件服务器等）与非法访问者隔离，防止意外的非授权用户的访问（如非法接入的非可信终端）。这样共享服务端不必作繁重的访问控制，从而减轻服务器的压力，以防拒绝服务攻击; 全程保护网络通信 采用IPSec 实现网络通信全程安全保密。IPSec工作在操作系统内进行，实现源到目的端的全程通信安全保护，确保传输连接的真实性和数据的机密性、一致性 ，防止非法的窃听和插入;综上所述，可信的应用操作平台、安全的共享服务资源边界保护和全程安全保护的网络通信，构成了工作流程相对固定的生产系统的信息安全防护框架。（如下图所示） ;要实现上述终端、边界和通信有效的保障，还需要授权管理的管理中心以及可信配置的密码管理中心的支撑; 从技术层面上可以分为以下五个环节： 应用环境安全 应用区域边界安全 网络和通信传输安全 安全管理中心 密码管理中心 即：两个中心支持下的三重防护体系结构 ; 从技术层面上可以分为以下五个环节： 应用环境安全 应用区域边界安全 网络和通信传输安全 安全管理中心 密码管理中心 即：两个中心支持下的三重防护体系结构 ; 从技术层面上可以分为以下五个环节： 应用环境安全 应用区域边界安全 网络和通信传输安全 安全管理中心 密码管理中心 即：两个中心支持下的三重防护体系结构 ; 从技术层面上可以分为以下五个环节： 应用环境安全 应用区域边界安全 网络和通信传输安全 安全管理中心 密码管理中心 即：两个中心支持下的三重防护体系结构 ; 从技术层面上可以分为以下五个环节： 应用环境安全 应用区域边界安全 网络和通信传输安全 安全管理中心 密码管理中心 ;对于复杂的重要系统： 构成三纵（公共区域、专用区域、涉密区域）三横（应用环境、应用区域边界、网络通信）和两个中心的安全防护框架。（如下图所示）;图：信息安全技术防护框架;三种不同性质的应用区域在各自采用相应的安全保障措施之后，互相之间有一定的沟通，应该采用安全隔离与信息交换设备进行连接 在重要应用域之间，也需要采用安全隔离与信息交换设备进行边界保护;目前我国信息安全建设正处在一个关键时期，我们必须把握住正确的研究方向，制定相应的发展战略，走符合我国国情的发展道路，利用国际先进技术，开发安全高效、简洁廉价，具有自主知识产权的信息安全产品，从而