,*,国家信息平安保障体系框架探索,曲成义 研究员,2002.8,信息平安保障体系建设的策略,信息平安防护能力,隐患发现能力,网络应急反响能力,信息对抗能力,开展与平安保驾护航,资产与威胁保障能力,防护与检测纵深防御,本钱与风险适度平安,技术与管理综合治理,培训与自律以人为本,强度与弱点均衡设计,信息平安保障体系框架,组织管理,技术保障,基础设施,产业支撑,人材培养,环境建设,国家信息安全保障体系框架,信息平安组织管理体系,1、行政管理体制,国家领导层,国家协调层,国家执行层,地区和部委层,2、技术咨询体制,信息化专家咨询委员会,法规、标准、资质认可等委员会,技术研究与工程开发队伍建设,学会与产业协会,3、信息系统平安管理准那么参照ISO 17799,管理策略,组织与人员,资产分类与平安控制,配置与运行,网络信息平安域与通信平安,异常事件与审计,信息标记与文档,物理与环境,开发与维护,作业连续性保障,符合性,信息平安技术保障体系,1、加强自主研发与创新,组建研发国家队与普遍推动相结合,推动自主知识产权与专利,建设技术工程中心与加速产品孵化,加大技术研发专项基金,全面推动与突出重点的技术研发,根底类:风险控制、体系结构、协议工程、有效评估、工程方法,关键类:密码、平安基、内容平安、抗病毒、RBAC、IDS、VPN、强审计,系统类:PKI、PMI、DRI、KMI、网络预警、集成管理,应用类:EC、EG、NB、NS、NM、WF、XML、CSCW,物理与环境类:TEMPEX、物理识别,前瞻类:免疫技术、量子密码、漂移技术、语义理解识别,2、建立纵深防御体系,网络信息平安域的划分与隔离控制,内部网平安效劳与控制策略Intranet,外部网平安效劳与控制策略Extranet),互联网平安效劳与控制策略Internet,公共干线的平安效劳与控制策略有线、无线、卫星,计算环境的平安效劳机制,多级设防与科学布署策略,全局平安检测、集成管理、联动控制与恢复PDR,纵深防御体系的安全控制机制,公众服务层,信息交换层,防火墙,业务处理层,防火墙,VPN,安全网关,关键业务层,WWW,服务器,WWW,服务器,WWW,服务器,Intranet,Internet,Extranet,3、推动信息系统平安工程ISSE的控制方法,平安需求挖掘,平安功能定义,平安要素设计,全程平安控制,风险管理,有效评估CC/TCSEC/IATF,威胁级别Tn,资产价值等级Vn,平安机制强度等级SMLn),平安技术保障强壮性级别IATRn,理解信息保护,需求(服务),描述风险,情况的特征,执行决策,决定,将做什么,描述,可以做什么,理解任务,目标,风险管理周期,风 险 管 理 过 程,比较和对比,可用攻击,研究敌方,行为理论,开创任务,影响理论,比较和对比,各种行为,行动决策,对策识别,与特征描述,任务关键性,参数权衡,脆弱性与攻,击的识别与,特征描述,威胁的识别,与特征描述,任务影响的,识别与描述,基础研究与事件分离,系统改进,风险分析,风 险 决 策 流 程,保障技术,保 障,评 估,拥有者,确 信,对 策,风 险,资 产,给出证据,产生,需要,减少,到,系统有效评估流程,信息,价值,威胁级别,T1,T2,T3,T4,T5,T6,T7,V1,SML1,EAL1,SML1,EAL1,SML1,EAL1,SML1,EAL2,SML1,EAL2,SML1,EAL2,SML1,EAL2,V2,SML1,EAL1,SML1,EAL1,SML1,EAL1,SML2,EAL2,SML2,EAL2,SML2,EAL3,SML2,EAL3,V3,SML1,EAL1,SML1,EAL2,SML1,EAL2,SML2,EAL3,SML2,EAL3,SML2,EAL4,SML2,EAL4,V4,SML2,EAL1,SML2,EAL2,SML2,EAL3,SML3,EAL4,SML3,EAL5,SML3,EAL5,SML3,EAL6,V5,SML2,EAL2,SML2,EAL3,SML3,EAL4,SML3,EAL5,SML3,EAL6,SML3,EAL6,SML3,EAL7,强 建 性 程 度IATF,4、平安技术产品与系统互操作性策略,体系结构,平安协议,产品标准,平安策略与协定,平安根底设施,信息平安根底设施,1、大力推动国家信息平安根底的建设,根底性、支撑性、效劳性、公益性,国家专项基金启动,建立资质认证机制,建立监理机制,形成社会化效劳和行政监管体系,2、社会公共效劳类,基于数字证书的信任体系PKI/CA,信息平安测评与评估体系CC/TCSEC/IATF,应急响应与支援体系CERT,计算机病毒防治与效劳体系A-Virus,灾难恢复根底设施DRI,密钥管理根底设施KMI,基于数字证书的信任体系PKI/CA,GRCA,安全,网闸,NBCA,PMA,GCA,GRA,GRA,GCA,GRA,GRA,GCA,GCA,GRA,SCA,GRA,CCA,ICA,3、信息平安执法类,网上信息内容平安监控体系,网络犯罪监察与防范体系,电子信息保密监管体系,网络侦控与反窃密体系,网络预警与网络还击体系,信息平安产业支撑,推动平安产业开展,支撑平安保障体系建设,掌握平安产品的自主权、自控权,建设信息平安产品基地,形成信息平安产品配套的产业链,造就出世界品牌的平安骨干企业,平安产品制造业、集成业、效劳业全面开展,尽快配套信息平安产业管理政策准入、测评、资质、扶植、,重视TBT条款运用,保护密码为代表的国内平安产品市场,信息平安教育与人材培养,创立一个具有一批高级信息平安人材、雄厚的平安技术队伍、普及平安意识和技术的人材大环境,学历教育:专业设置、课程配套,高级人材培养:研究生学院、博士后流动站,职业和技能培训:上岗和在职培训、考核认证制度,信息平安意识提升:学会、协会、论坛、媒体,网上教育:信息平安课件、网上课堂,信息平安出版物,信息平安标准与法规环境,1、强力推动信息平安标准化工作,加强信息平安标准化技术委员会工作,积极参予国际信息平安标准制订活动,注意采用国际与国外先进标准,抓紧制订国家标准和协调行业标准,重视强制性和保护性TBT标准的制订,推动信息平安产品标准互操性的测试和认证,兼容性和可扩展性的需要,公平、公正、公开机制,2、加强信息平安标准的研发、评审、审批,密码算法、密钥管理及应用类,PKI/PMI类,信息平安评估和保障等级类,电子证据类,内容平安分级及标识类,信息平安边界控制及传输平安类,身份识别及鉴别协议类,网络应急响应与处理类,入侵检测框架类,信息平安管理类,资源访问控制类,平安体系结构与协议类,平安产品接口与集成管理类,信息系统平安工程实施标准类,XML、CSCW、Web平安应用类,3、加快信息平安法规的制订,建立和加强国家信息平安法规咨询委员会的工作,规划先行,急用先上,借鉴国外先进经验,结合我国国情,采取措施缩短需求与立法的时间差,4、相关法规需求,电子文档与数字签章类,数据保密与公开类,网络信息内容平安监管类,网络信息犯罪与惩治类,个人数据保密类隐私法,数字内容产品版权保护类,电子商务运营监管类EC、NB、NS,网上交易税法类,网络信息企业市场准入类,密码研制、生产与应用管理类,网络媒体监管类,网上娱乐活动监管类,网上通信联络监管类,