构建信息安全保障体系研讨.pptxVIP

本资料来源构建信息安全保障体系曲成义 研究员2008.5我国网络信息安全威胁增加迅速 （CNCERT/CC）僵尸网络范围扩大，14万台主机被植入僵尸程序木马/谍件威胁严重，4.5万IP地址植入木马网页篡改数量迅速增加，达到24477次政府网站被篡改3831次，占总量16%安全事件报告的年增量为196%网络恶意代码年增量12.8倍漏洞发现量的年增196%网络威胁的新动向值得高度关注“零日攻击”现象出现（魔波蠕虫）复合式病毒给防范增加难度僵尸网成为DDos和垃圾邮件的源头网络仿冒/劫持是在线窃信的重要途径谍件泛滥是窃密/泄密的主要元凶通过网页/邮件/P2P传播恶意代码的数量猛增非法牟利动机明显增加和趋于嚣张黑客地下产业链正在形成僵尸源和木马源的跨国控制应该高度警惕内部安全事件的增加引起高度重视国家信息化领导小组第三次会议《关于加强信息安全保障工作的意见》—中办发[2003] 27号文— 坚持积极防御、综合防范 全面提高信息安全防护能力 重点保障信息网络和重要信息系统安全 创建安全健康的网络环境 保障和促进信息化发展、保护公众利益、 维护国家安全 立足国情、以我为主、管理与技术并重、 统筹规划、突出重点 发挥各界积极性、共同构筑国家信息安全保障体系 实行信息安全等级保护制度：风险与成本、资源优化配置、安全 风险评估 基于密码技术网络信任体系建设：密码管理体制、身份认证、 授权管理、责任认定 建设信息安全监控体系：提高对网络攻击、病毒入侵、网络失窃 密、有害信息的防范能力 重视信息安全应急处理工作：指挥、响应、协调、通报、支援、 抗毁、灾备 推动信息安全技术研发与产业发展：关键技术、自主创新、强化可控 、引导与市场、测评认证、采购、服务 信息安全法制与标准建设：信息安全法、打击网络犯罪、标准体 系、规范网络行为 信息安全人材培养与增强安全意识：学科、培训、意识、技能、 自律、守法 信息安全组织建设：信息安全协调小组、责任制、依法管理国家信息安全保障工作要点 （中办发[2003] 27号文） 构造信息安全保障体系的目标 增强信息网络四种安全能力 １　创建信 息安全的基础支撑能力 安全 基础设施、技术与产业、人才与教育 ２　提升信息安全防护与对抗能力 Ｗ.Ｐ.Ｄ.Ｒ.Ｒ.Ａ ３　加强网络突发事件的快速反应能力 ４　拥有安全管理的控制能力 保障信息及其服务具有六性 保密性、完整性、可用性、真实性、可核查性、可控性 信息系统安全的全局对策(一)科学划分信息安全等级投入与风险的平衡点安全资源的优化配置(一)构建信息安全保障体系 重视顶层设计,做好信息安全技术体系与信息安全管理体系强化信息安全的保障性(二)作好信息安全风险评估是信息安全建设的起点、也覆盖终生提升信息安全的可信性 （一）科学划分信息安全等级 我国信息安全等级保护工作职责分工2006年1月，《信息安全等级保护管理办法（试行）》（公通字〔2006〕7号）明确了公安、保密、密码、信息化部门的职责： 公安机关 全面 国家保密工作部门 涉密信息系统 国家密码管理部门 密码 国务院信息办 协调 信息安全等级保护关注点 （公通字[2007]43号文）、（中保委发（2004）7号文） 等级保护涉及的内容：信息系统、信息安全产品、信息安全事件分级依据：重要程度、危害程度、保护水平(业务信息、系统服务）保护级别划分： 自主保护级、指导保护级、监督保护级、强制保护级、专控保护级系统管理模式 一级：自主保护 （一般系统/ 合法权益） 二级：指导保护（一般系统/ 合法权益、社会利益） 三级：监督检查（重要系统/ 社会利益、国家安全） —— (秘密) 四级：强制监督 （重要系统/ 社会利益、国家安全） —— (机密 、增强） 五级：专门监督 （极端重要系统/ 国家安全）—— (绝密)安全管理 自主定级-----审核批准----系统建设----安全测评 信息安全等级保护相关规范 （公通字[2007]43号文）信息系统安全等级保护定级指南信息系统安全等级保护实施指南信息安全技术信息系统安全管理要求GB/T20269--2006信息系统安全等级保护测评要求 - - - - - - - - - -涉及国家秘密的计算机信息系统分级保护技术要求 BMB 17-2006涉及国家秘密的计算机信息系统分级保护测评指南 BMB 22-2007涉及国家秘密的信息系统分级保护管理规范 BMB 20-2007 （二）构建信息安全保障体系信息安全保障体系框架安全法规安全管理安全标准安全工程与服务安全基础设施教育培训（1）信息安全法规《关于开展信息安全风险评估工作的意见》 （ 国信办[2005]1号文）《信息安全等级保护管理办法》 （公通字[2006]7号文、公通字[2007]43号文、 ） 《关于做好国