構(gòu)建積極防御綜合防范的信息安全保障框架_第1頁
構(gòu)建積極防御綜合防范的信息安全保障框架_第2頁
構(gòu)建積極防御綜合防范的信息安全保障框架_第3頁
構(gòu)建積極防御綜合防范的信息安全保障框架_第4頁
構(gòu)建積極防御綜合防范的信息安全保障框架_第5頁
已閱讀5頁,還剩26頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、構(gòu)建積極防御綜合防范的信息安全保障框架 國家信息化專家咨詢委員會委員 院士2004-071一、我國信息安全保障的 戰(zhàn)略方針和任務(wù)2國家信息化領(lǐng)導(dǎo)小組第三次會議審議并通過了國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見,其中關(guān)于加強信息安全保障工作的總體要求是: 堅持積極防御、綜合防范的方針,全面提高信息安全防護能力,重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全,創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境,保障和促進信息化發(fā)展,保護公眾利益,維護國家安全。3加強信息安全保障工作的總體要求和主要原則實行信息安全等級保護加強以密碼技術(shù)為基礎(chǔ)的信息保護和網(wǎng)絡(luò)信任體系建設(shè) 建設(shè)和完善信息安全監(jiān)控體系 重視信息安全應(yīng)急處理工作加

2、強信息安全技術(shù)研究開發(fā),推進信息安全產(chǎn)業(yè)發(fā)展 加強信息安全法制建設(shè)和標(biāo)準(zhǔn)化建設(shè) 加快信息安全專業(yè)人才培養(yǎng),增強全民信息安全意識 保證信息安全資金加強對信息安全工作的領(lǐng)導(dǎo),建立健全信息安全責(zé)任制 42004年1月9日至10日,在全國信息安全保障工作會議上中共中央政治局常委、國務(wù)院副總理黃菊重要講話中指出了必須充分認識做好信息安全保障工作的極端重要性。5黃菊再次強調(diào):加強信息安全保障工作,必須堅持積極防御、綜合防范的方針。如何貫徹這個方針,爭取五年時間初步建成我國信息安全保障體系,任務(wù)艱巨而光榮。6二、信息安全保障體系的基本構(gòu)架7信息安全保障體系的基本構(gòu)架四個層面,兩個支撐,一個確保信息安全法制體

3、系加強信息安全法制建設(shè)和標(biāo)準(zhǔn)化建設(shè)層面一:建立信息安全法制體系。確立信息化領(lǐng)域法規(guī)框架,做到有法可依,有法必依。8信息安全組織管理體系信息安全法制體系信息安全保障體系的基本構(gòu)架四個層面,兩個支撐,一個確保信息安全保障體系的基本構(gòu)架實行信息安全等級保護加強對信息安全工作的領(lǐng)導(dǎo),建立健全信息安全責(zé)任制 層面二:完善國家信息安全組織管理體系。強化管理機構(gòu)的職能,建立高效能的、職責(zé)分工明確的行政管理和業(yè)務(wù)組織體系。加強國家信息安全保障的綜合協(xié)調(diào)工作。9信息安全保障體系的基本構(gòu)架四個層面,兩個支撐,一個確保信息安全技術(shù)保障體系信息安全組織管理體系信息安全法制體系建設(shè)和完善信息安全監(jiān)控體系 重視信息安全應(yīng)

4、急處理工作層面三:強化國家信息安全技術(shù)防護體系。采用先進技術(shù)手段,確保網(wǎng)絡(luò)和電信傳輸、應(yīng)用區(qū)域邊界、應(yīng)用環(huán)境等環(huán)節(jié)的安全,既能防外部攻擊,又能防內(nèi)部作案。加強信息安全技術(shù)研究開發(fā),推進信息安全產(chǎn)業(yè)發(fā)展10信息安全技術(shù)保障體系信息安全組織管理體系信息安全法制體系信息安全保障體系的基本構(gòu)架國家信息基礎(chǔ)設(shè)施信息安全平臺及安全基礎(chǔ)設(shè)施四個層面,兩個支撐,一個確保層面四:加強信息安全平臺及基礎(chǔ)設(shè)施建設(shè)。建立安全事件應(yīng)急響應(yīng)中心、數(shù)據(jù)備份和災(zāi)難恢復(fù)設(shè)施;發(fā)揮密碼在保障體系中的基礎(chǔ)和核心作用,加強密碼基礎(chǔ)設(shè)施(KMI/PKI)的建設(shè)。加強以密碼技術(shù)為基礎(chǔ)的信息保護和網(wǎng)絡(luò)信任體系建設(shè)11信息安全保障體系的基本

5、構(gòu)架國家信息基礎(chǔ)設(shè)施信息安全平臺及安全基礎(chǔ)設(shè)施信息安全技術(shù)保障體系信息安全組織管理體系信息安全法制體系四個層面,兩個支撐,一個確保信息安全經(jīng)費保障體系 保證信息安全資金 支撐一:確定國家信息安全經(jīng)費支持規(guī)劃。明確信息安全保障體系建設(shè)經(jīng)費占信息化經(jīng)費的比例12信息安全經(jīng)費保障體系信息安全保障體系的基本構(gòu)架國家信息基礎(chǔ)設(shè)施信息安全人才保障體系信息安全平臺及安全基礎(chǔ)設(shè)施信息安全技術(shù)保障體系信息安全組織管理體系信息安全法制體系四個層面,兩個支撐,一個確保加快信息安全專業(yè)人才培養(yǎng),增強全民信息安全意識支撐二:確立信息安全人才教育和培訓(xùn)體系。信息安全應(yīng)列為一級學(xué)科,進行學(xué)歷教育,除培養(yǎng)大批高質(zhì)量的專門人才

6、外,還須進行社會化的培訓(xùn)和普及教育,以提高全民的信息安全素質(zhì)。13信息安全保障體系的基本構(gòu)架信息安全法制體系信息安全組織管理體系國家信息基礎(chǔ)設(shè)施信息安全技術(shù)保障體系信息安全平臺及安全基礎(chǔ)設(shè)施信息安全經(jīng)費保障體系信息安全人才保障體系四個層面,兩個支撐,一個確保加強信息安全保障工作的總體要求和主要原則一個確保:確保國家關(guān)鍵信息基礎(chǔ)設(shè)施的安全運行14三、積極防御的技術(shù)框架15對工作流程相對固定的重要信息系統(tǒng)主要由操作應(yīng)用、共享服務(wù)和網(wǎng)絡(luò)通信三個環(huán)節(jié)組成。如果信息系統(tǒng)中每一個使用者都通過可信終端認證和授權(quán),其操作都是符合規(guī)定的,網(wǎng)絡(luò)上也不會被竊聽和插入,那么就不會產(chǎn)生攻擊性共享服務(wù)資源的事故,就能保證

7、整個信息系統(tǒng)的安全,以此來構(gòu)建積極防御、綜合防范的防護框架16 可信計算平臺可信終端確保用戶的合法性和資源的一致性,使用戶只能按照規(guī)定的權(quán)限和訪問控制規(guī)則進行操作,能做到什么樣權(quán)限級別的人只能做與其身份規(guī)定的訪問操作,只要控制規(guī)則是合理的,那么整個信息系統(tǒng)資源訪問過程是安全的。這樣構(gòu)成了安全可信的應(yīng)用環(huán)境(子信息系統(tǒng))17 安全共享服務(wù)邊界應(yīng)用安全邊界設(shè)備(如安全網(wǎng)關(guān)等)保護共享服務(wù)資源,其具有身份認證和安全審計功能,將共享服務(wù)器(如數(shù)據(jù)庫服務(wù)器、WEB服務(wù)器、郵件服務(wù)器等)與非法訪問者隔離,防止意外的非授權(quán)用戶的訪問(如非法接入的非可信終端)。這樣共享服務(wù)端不必作繁重的訪問控制,從而減輕服務(wù)

8、器的壓力,以防拒絕服務(wù)攻擊18 全程保護網(wǎng)絡(luò)通信采用IPSec 實現(xiàn)網(wǎng)絡(luò)通信全程安全保密。IPSec工作在操作系統(tǒng)內(nèi)進行,實現(xiàn)源到目的端的全程通信安全保護,確保傳輸連接的真實性和數(shù)據(jù)的機密性、一致性 ,防止非法的竊聽和插入19綜上所述,可信的應(yīng)用操作平臺、安全的共享服務(wù)資源邊界保護和全程安全保護的網(wǎng)絡(luò)通信,構(gòu)成了工作流程相對固定的生產(chǎn)系統(tǒng)的信息安全防護框架。(如下圖所示) 圖:工作流程相對固定的生產(chǎn)系統(tǒng)安全解決方案全程IPSec 服務(wù)器安全邊界設(shè)備可信計算 平臺可信計算 平臺 全程IPSec 安全域一可信計算 平臺可信計算 平臺 安全域二安全隔離設(shè)備全程IPSec 共享資源安全管理中心密碼管理

9、中心20要實現(xiàn)上述終端、邊界和通信有效的保障,還需要授權(quán)管理的管理中心以及可信配置的密碼管理中心的支撐21從技術(shù)層面上可以分為以下五個環(huán)節(jié):應(yīng)用環(huán)境安全 應(yīng)用區(qū)域邊界安全 網(wǎng)絡(luò)和通信傳輸安全安全管理中心 密碼管理中心即:兩個中心支持下的三重防護體系結(jié)構(gòu) 應(yīng)用環(huán)境安全: 包括單機、C/S、B/S模式,采用身份認證、訪問控制、密碼加密、安全審計等機制,構(gòu)成可信應(yīng)用環(huán)境22從技術(shù)層面上可以分為以下五個環(huán)節(jié):應(yīng)用環(huán)境安全 應(yīng)用區(qū)域邊界安全 網(wǎng)絡(luò)和通信傳輸安全安全管理中心 密碼管理中心即:兩個中心支持下的三重防護體系結(jié)構(gòu) 應(yīng)用區(qū)域邊界安全: 通過部署邊界保護措施控制對內(nèi)部局域網(wǎng)的訪問,實現(xiàn)局域網(wǎng)與廣域網(wǎng)

10、之間的安全。采用安全網(wǎng)關(guān)、防火墻等隔離過濾機制,保護共享資源的可信連接23從技術(shù)層面上可以分為以下五個環(huán)節(jié):應(yīng)用環(huán)境安全 應(yīng)用區(qū)域邊界安全 網(wǎng)絡(luò)和通信傳輸安全安全管理中心 密碼管理中心即:兩個中心支持下的三重防護體系結(jié)構(gòu) 網(wǎng)絡(luò)和通信傳輸安全: 包括實現(xiàn)局域網(wǎng)互聯(lián)過程的安全,旨在確保通信的機密性、一致性和可用性。采用密碼加密、完整性校驗和實體鑒別等機制,實現(xiàn)可信連接和安全通信24從技術(shù)層面上可以分為以下五個環(huán)節(jié):應(yīng)用環(huán)境安全 應(yīng)用區(qū)域邊界安全 網(wǎng)絡(luò)和通信傳輸安全安全管理中心 密碼管理中心即:兩個中心支持下的三重防護體系結(jié)構(gòu) 安全管理中心: 提供認證、授權(quán)、實施訪問控制策略等運行安全服務(wù)25從技術(shù)層面上可以分為以下五個環(huán)節(jié):應(yīng)用環(huán)境安全 應(yīng)用區(qū)域邊界安全 網(wǎng)絡(luò)和通信傳輸安全安全管理中心 密碼管理中心密碼管理中心: 提供互聯(lián)互通密碼配置、公鑰證書和傳統(tǒng)的對稱密鑰的管理,為信息系統(tǒng)提供密碼服務(wù)支持即:兩個中心支持下的三重防護體系結(jié)構(gòu)26對于復(fù)雜的重要系統(tǒng):構(gòu)成三縱(公共區(qū)域、專用區(qū)域、涉密區(qū)域)三橫(應(yīng)用環(huán)境、應(yīng)用區(qū)域邊界、網(wǎng)絡(luò)通信)和兩個中心的安全防護框架。(如下圖所示)27圖:信息安全技術(shù)防護框架28三種不同性質(zhì)的應(yīng)用區(qū)域在各自采用相應(yīng)的安全保障措施之后,互相之間有一定的溝通,應(yīng)該采用安全隔離與信息交換設(shè)備進行連接在

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論