构建信息安全保障体系研讨.pptxVIP

构建信息安全保障体系曲成义 研究员2008.51我国网络信息安全威胁增加迅速（CNCERT/CC）t 僵尸网络范围扩大，14万台主机被植入僵尸程序t 木马/谍件威胁严重，4.5万IP地址植入木马t 网页篡改数量迅速增加，达到24477次t 政府网站被篡改3831次，占总量16%t 安全事件报告的年增量为196%t 网络恶意代码年增量12.8倍t 漏洞发现量的年增196%2网络威胁的新动向值得高度关注t “零日攻击”现象出现（魔波蠕虫）t 复合式病毒给防范增加难度t 僵尸网成为DDos和垃圾邮件的源头t 网络仿冒/劫持是在线窃信的重要途径t 谍件泛滥是窃密/泄密的主要元凶t 通过网页/邮件/P2P传播恶意代码的数量猛增t 非法牟利动机明显增加和趋于嚣张t 黑客地下产业链正在形成t 僵尸源和木马源的跨国控制应该高度警惕t 内部安全事件的增加引起高度重视3国家信息化领导小组第三次会议《关于加强信息安全保障工作的意见》—中办发[2003] 27号文—? 坚持积极防御、综合防范? 全面提高信息安全防护能力? 重点保障信息网络和重要信息系统安全? 创建安全健康的网络环境? 保障和促进信息化发展、保护公众利益、维护国家安全? 立足国情、以我为主、管理与技术并重、统筹规划、突出重点? 发挥各界积极性、共同构筑国家信息安全保障体系4国家信息安全保障工作要点（中办发[2003] 27号文）? 实行信息安全等级保护制度：风险与成本、资源优化配置、安全风险评估? 基于密码技术网络信任体系建设：密码管理体制、身份认证、授权管理、责任认定? 建设信息安全监控体系：提高对网络攻击、病毒入侵、网络失窃密、有害信息的防范能力? 重视信息安全应急处理工作：指挥、响应、协调、通报、支援、抗毁、灾备? 推动信息安全技术研发与产业发展：关键技术、自主创新、强化可控、引导与市场、测评认证、采购、服务? 信息安全法制与标准建设：信息安全法、打击网络犯罪、标准体系、规范网络行为? 信息安全人材培养与增强安全意识：学科、培训、意识、技能、自律、守法? 信息安全组织建设：信息安全协调小组、责任制、依法管理5构造信息安全保障体系的目标? 增强信息网络四种安全能力１?创建信 息安全的基础支撑能力????? 安全 基础设施、技术与产业、人才与教育２?提升信息安全防护与对抗能力? Ｗ.Ｐ.Ｄ.Ｒ.Ｒ.Ａ３?加强网络突发事件的快速反应能力４?拥有安全管理的控制能力? 保障信息及其服务具有六性保密性、完整性、可用性、真实性、可核查性、可控性6信息系统安全的全局对策(一)科学划分信息安全等级t 投入与风险的平衡点t 安全资源的优化配置(一)构建信息安全保障体系t 重视顶层设计,做好信息安全技术体系与信息安全管理体系t 强化信息安全的保障性(二)作好信息安全风险评估t 是信息安全建设的起点、也覆盖终生t 提升信息安全的可信性7（一）科学划分信息安全等级8我国信息安全等级保护工作职责分工2006年1月，《信息安全等级保护管理办法（试行）》（公通字〔2006〕7号）明确了公安、保密、密码、信息化部门的职责：公安机关全面国家保密工作部门 涉密信息系统国家密码管理部门 密码国务院信息办协调9信息安全等级保护关注点（公通字[2007]43号文）、（中保委发（2004）7号文）t 等级保护涉及的内容：信息系统、信息安全产品、信息安全事件t 分级依据：重要程度、危害程度、保护水平 (业务信息、系统服务）t 保护级别划分：自主保护级、指导保护级、监督保护级、强制保护级、专控保护级t 系统管理模式一级：自主保护 （一般系统/ 合法权益）二级：指导保护（一般系统/ 合法权益、社会利益）三级：监督检查（重要系统/ 社会利益、国家安全） —— (秘密)四级：强制监督 （重要系统/ 社会利益、国家安全） —— (机密 、增强）五级：专门监督 （极端重要系统/ 国家安全）—— (绝密)t 安全管理自主定级-----审核批准----系统建设----安全测评10信息安全等级保护相关规范（公通字[2007]43号文）t 信息系统安全等级保护定级指南t 信息系统安全等级保护实施指南t 信息安全技术信息系统安全管理要求GB/T20269--2006t 信息系统安全等级保护测评要求t - - - - - - - - - -t 涉及国家秘密的计算机信息系统分级保护技术要求BMB 17-2006t 涉及国家秘密的计算机信息系统分级保护测评指南BMB 22-2007t 涉及国家秘密的信息系统分级保护管理规范BMB 20-200711（二）构建信息安全保障体系12信 息 安 全 保 障 体 系 框 架安全法规安全管理安全标准安全工程与服务安全基础设施教育培训13（1）信息安全法规? 《关于开展信息安全风险评估工作的意见》（ 国信办[2005