单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,提升信息安全风险评估意识强化信息安全保障体系建设,提升信息安全风险评估意识强化信息安全保障体系建设,1,信息安全面临的威胁,网上黑客与计算机欺诈,网络病毒的蔓延和破坏,有害信息内容污染与舆情误导,机要信息流失与“谍件”潜入,内部人员误用、滥用、恶用,IT产品的失控(分发式威胁),物理临近式威胁,网上恐怖活动与信息战,网络的脆弱性和系统漏洞,2,信息安全面临的威胁网上黑客与计算机欺诈2,网络突发事件正在引起全球关注,2000年2月7日美国网上恐怖事件造成巨大损失,(DDos、八大重要网站、$12亿美元),2001年日本东京国际机场航管失灵,影响巨大,(红色病毒、几百架飞机无法起降、千人行程受阻),2003年美国银行的ATM网遭入侵,损失惨重,(Slammer、几十亿美元),2004年震荡波几天波及全球,2005年Card System公司4000万张卡用户信息被盗,(美国最大的窃密事件、植入特洛伊木马、假冒消费),网络正在成为恐怖组织联络和指挥工具,(,911、伦敦事件,),9.11事件造成世贸中心1200家企业信息网络荡然无存,(有DRP/NCP的400家企业能够恢复和生存),网络舆情的爆发波及到物理社会的稳定,信息网络的失窃密事件层出不穷,3,网络突发事件正在引起全球关注 2,我国网络信息安全入侵事件态势严竣,(CNCERT/CC 05年度报告数据),收到信息安全事件报告12万件(04年的2倍),监测发现2万台计算机被木马远程控制(04年的2倍),发现1.4万个网站遭黑客篡改,其中政府网站2千(04年的2倍),网络钓鱼(身份窃取)事件报告400件(04年的2倍),监测发现70万台计算机被植入谍件(源头主要在国外),发现僵尸网络143个(受控计算机250万台),4,我国网络信息安全入侵事件态势严竣 收到信息安全事件报告1,互联网信息安全威胁的某些新动向,僵尸网络威胁兴起,谍件泛滥值得严重关注,网络钓鱼的获利动机明显,网页篡改(嵌入恶意代码),诱人上当,DDoS开始用于敲诈,木马潜伏孕育着杀机,获利和窃信倾向正在成为主流,5,互联网信息安全威胁的某些新动向,领导重视、管理较严、常规的系统和外防机制基本到位,深层隐患值得深思,内控机制脆弱,高危漏洞存在,信息安全域界定与边控待探索,风险自评估能力弱,灾难恢复不到位,用户自控权不落实,-,“重要信息系统”安全态势与深层隐患,(案例考察),6,领导重视、管理较严、常规的系统和外防机制基本到位“重要信息系,国家信息化领导小组第三次会议,关于加强信息安全保障工作的意见,中办发2003 27号文,坚持积极防御、综合防范,全面提高信息安全防护能力,重点保障信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展、保护公众利益、,维护国家安全,立足国情、以我为主、管理与技术并重、,统筹规划、突出重点,发挥各界积极性、共同构筑国家信息安全保障体系,7,国家信息化领导小组第三次会议 关于加,国家信息安全保障工作要点,实行信息安全等级保护制度,:,风险与成本、资源优化配置、安全,风险评估,基于密码技术网络信任体系建设,:,密码管理体制、身份认证、,授权管理、责任认定,建设信息安全监控体系,:,提高对网络攻击、病毒入侵、网络失窃,密、有害信息的防范能力,重视信息安全应急处理工作,:,指挥、响应、协调、通报、支援、,抗毁、灾备,推动信息安全技术研发与产业发展,:,关键技术、自主创新、强,化可控、引导与市场、测评认证、采购、服务,信息安全法制与标准建设,:,信息安全法、打击网络犯罪、标准体,系、规范网络行为,信息安全人材培养与增强安全意识,:,学科、培训、意识、技能、,自律、守法,信息安全组织建设,:,信息安全协调小组、责任制、依法管理,8,国家信息安全保障工作要点 实行信息,国家信息安全保障工作高层会议,(2004.1.9),信息安全的重要性,:,IT增长25%、GDP的6%、强烈依赖,信息安全的重大案例,信息安全存在的问题,一个并重、两手抓、三个同步,新思路、新眼光,建立信息安全保障体系,关键技术产品要自主可控,认真落实中央27号文件,9,国家信息安全保障工作高层会议 信息安全的重要性:IT增长2,国家信息安全战略报告,国信2005 2号文,维护国家在网络空间的根本利益,确保国家的经济、政治、文化和信息的安全,三大信息基础设施、八大重要信息系统、信息内容,信息安全基础支撑能力,信息安全防护与对抗能力,网络突发事件快速反应能力,网络舆情驾驭能力,综合治理、协调联动、群防群治,政策、标准、管理、技术、产业、人材、理论,构筑国家信息安全保障体系,信息安全长效机制,信息安全战略的主动权-,10,国家信息安全战略报告 维护国家,2006-2020年国家信息化发展战略,中办2006 11号文,第,(八)部分:“建设国家信息安全保障体系”,实现信息化与信息安全协调发展,增强信息基础设施和重要信息系统抗毁能力,增强国家信息安全保障能力,研究国际信息安全先进理论、先进技术,掌握核心安全技术、提高关键设备装备能力,促进我国信息安全技术和产业的自主发展,完善国家信息安全长效机制,-,11,2006-2020年国家信息化发展战略,“信息安全”内涵,保值,威胁,威胁发起者,资产拥有者,对策,脆弱性,风险,系统资产,使命,贬值,利用,增加,滥用与破坏,发现,意识到,减少,降低,合法与可用,?,12,“信息安全”内涵保值威胁威胁发起者资产拥有者对策脆弱性风险系,信息安全概念演变,早期:通信保密阶段(ComSec),通信内容保密为主,中期:信息安全阶段(InfoSec),信息自身的静态防护为主,近期:信息保障阶段(Information Assurance,IA),,强调动态的、纵深的、生命周期的、整个信息系统资产的信息对抗。,我们当前所指“信息安全”=“信息保障”,,即,“在整个生命周期中,处在纵深防御和动态对抗的信息系统,为保障其中数据及服务的完整性、保密性、可用性(防拒绝和破坏)、真实性(交互双方的数据、人员的身份和权限、设施的鉴别)、可控性(监控、审计、取证、防有害内容传播)、可靠性而抵制各类威胁所提供的一种能力,13,信息安全概念演变早期:通信保密阶段(ComSec),通信内容,信息系统安全整体对策,(一)构建,信息安全保障体系,(二)作好,信息安全风险评估,14,信息系统安全整体对策14,(一)构建,信息安全保障体系,15,15,电子政务安全保障体系框架,安,全,法,规,安,全,管,理,安,全,标,准,安,全,工,程,与,服,务,安,全,基,础,设,施,安,全,技,术,与,产,品,16,电子政务安全保障体系框架安安安安安安16,信息安全法规,关于开展信息安全风险评估工作的意见,(,国信办20051号文),信息安全等级保护管理办法(试行),(公通字20067号文),中华人民共和国保守国家秘密法,(在修订,),信息安全法,(,信息安全管理条例),电子签名法,(2005年4月1日实施),-,17,信息安全法规关于开展信息安全风险评估工作的意见17,行政管理体制:,国家网络信息安全协调小组,部门,地区,技术管理体制:,CSO,信息系统安全管理准则(ISO 17799)-,GBxxxx,管理策略,组织与人员,资产分类与安全控制,配置与运行,网络信息安全域与通信安全,异常事件与审计,信息标记与文档,物理与环境,开发与维护,作业连续性保障,符合性,信息安全组织管理,18,行政管理体制:国家网络信息安全协调小组,部门,地区信息安全组,国家信息安全标准化委员会,安全功能定义,安全要素设计:,物理、网络、系统、应用、管理,全程安全控制,风险全程管理,安全有效评估,强壮性策略,(02.4.15成立.十个工作组),标准体系与协调(含可信计算),涉密信息系统保密,密码算法与模块,PKI/PMI,安全评估,应急处理,安全管理(风险评估),电子证据,身份标识与鉴别,操作系统与数据,国家报批搞16项、送审稿25项、研制近70项,19,国家信息安全标准化委员会安全功能定义(02.4.15成立.十,信息系统安全工程和服务,安全需求分析:,威胁,弱点,风险,资产、使命、对策、,安全体系结构与功能定义,安全要素设计:,物理、网络、系统、应用、管理,安全 系统构建与集成管理服务,全程的信息安全风险评估,信息系统 强壮性策略、,(ISSE,IATF,CC,TESEC),20,信息系统安全工程和服务 安全需求分析:威胁,弱点,风险,资,信息加密技术,(对称、公开、可恢复、量子、隐藏),鉴别与,认证,(口令/密码、动态口令/ToKen、CA/签名、物理识别),访问控制技术,(ACL、RBAC、DAC、MAC、能力表、AA),网络边界安全技术,(FW、Proxy、NG、GAP、UTM),病毒防治技术,(防、查、杀、清),网络隐患扫描与发现,(缺陷、后门、嵌入、恶意代码),内容识别与过滤技术,(关键字、特征、上下文、自然语言),主机内控防护技术,(监控、检测、防泄、管理、审计),信息安全技术领域,21,信息加密技术(对称、公开、可恢复、量子、隐藏)信息安全技术,信息安全风险评估技术,(收集、分析、检测、滲透、管理),网络检测、预警和攻击技术,(IDS、Agent、面防、追踪、反击、陷阱),“内容”产权保护技术,(数字水印、安全容器、加密、签名),“安全基”技术,(补丁、配置、清除、监视、加固、监视、升级),审计与取证,(全局审计、审计保护、反向工程、恢复提取),备份与容灾,(,SAN、NAS、集群、冗余、镜象),可信计算,(TCG、TCPA、TSS、TPM、TWC、-),信息安全集成管理,(信息共享、协同联动、策略牵引),信息安全技术领域,22,信息安全风险评估技术(收集、分析、检测、滲透、管理)信息安全,信息网络安全域纵深防御框架,核心内网,局域计算环境,(安全域a),专用外网,局域计算环境,(安全域m),公共服务网,局域计算环境,(安全域n),Internet、TSP、PSTN、VPN,网络通信基础设施,(光纤、无线、卫星),信息安全基础设施,(PKI、PMI、KMI、CERT、DRI),网络安全边界,23,信息网络安全域纵深防御框架核心内网专用外网公共服务网Inte,EG用主流的信息安全产品,防范外部入侵类,放火墙、防病毒、入侵检测、,物理隔离,防控内部作案类,强审计、主机内控、主机安保,、,系统级安全类,加密、,鉴别,、授权、扫描、,灾备,、过滤、,物理安全、集成管理、,安全测评,24,EG用主流的信息安全产品 防范外部入侵类24,信息安全基础设施的支撑,数字证书认证体系(CA/PKI),网络应急支援体系(CERT),灾难恢复基础设施(DRI),病毒防治服务体系(AVERT),产品与系统安全检测、评估体系(CC/TCSEC),密钥管理基础设施(KMI),授权管理基础设施(AA/PMI),信息安全事件通报与会商体系,网络监控与预警体系,信息保密检查体系,信息安全偵控体系,网络舆情掌控与治理体系,25,信息安全基础设施的支撑数字证书认证体系(CA/PKI)2,信息安全保障体系建设的目标,1)增加信息网络四种安全能力,信息安全防护能力,隐患发现能力,网络应急反应能力,信息对抗能力,2)保障信息及其服务具有六性,保密性、完整性、可用性、,真实性、可核查性(可控性)、可靠性,26,信息安全保障体系建设的目标 信息安全防护能力2)保障信息及其,(二),作好,信息安全风险评估,27,27,提升信息安全风险评估意识,社会、经济、政治、文化对信息化的强烈依赖,作业连续性保障(BCM/BCP)引起普遍关注,信息安全保障体系建设(IA)成为焦点,实施信息安全的风险管理正在被认同,提升信息安全风险评估意识和能力是当务之急,信息安全风险评估,既是信息安全建设的,起点,也覆盖,终生,创建一个安全的信息化环境,保障信息化健康发展,28,提升信息安全风险评估意识,威胁,脆弱性,防护