提升信息安全風險評估意識強化信息安全保障體系建設課件

提升信息安全風險評估意識強化信息安全保障體系建設提升信息安全風險評估意識強化信息安全保障體系建設1信息安全面臨的威脅網上黑客與計算機欺詐網絡病毒的蔓延和破壞有害信息內容污染與輿情誤導機要信息流失與“諜件”潛入內部人員誤用、濫用、惡用IT產品的失控（分發(fā)式威脅）物理臨近式威脅網上恐怖活動與信息戰(zhàn)網絡的脆弱性和系統漏洞2信息安全面臨的威脅網上黑客與計算機欺詐2網絡突發(fā)事件正在引起全球關注2000年2月7日美國網上恐怖事件造成巨大損失

（DDos、八大重要網站、$12億美元）2001年日本東京國際機場航管失靈，影響巨大

（紅色病毒、幾百架飛機無法起降、千人行程受阻）2003年美國銀行的ATM網遭入侵，損失慘重

（Slammer、幾十億美元）

2004年震蕩波幾天波及全球2005年CardSystem公司4000萬張卡用戶信息被盜

（美國最大的竊密事件、植入特洛伊木馬、假冒消費）網絡正在成為恐怖組織聯絡和指揮工具（911、倫敦事件）9.11事件造成世貿中心1200家企業(yè)信息網絡蕩然無存

（有DRP/NCP的400家企業(yè)能夠恢復和生存）網絡輿情的爆發(fā)波及到物理社會的穩(wěn)定信息網絡的失竊密事件層出不窮3網絡突發(fā)事件正在引起全球關注2我國網絡信息安全入侵事件態(tài)勢嚴竣(CNCERT/CC05年度報告數據)

收到信息安全事件報告12萬件(04年的2倍)監(jiān)測發(fā)現2萬臺計算機被木馬遠程控制(04年的2倍)發(fā)現1.4萬個網站遭黑客篡改,其中政府網站2千(04年的2倍)網絡釣魚(身份竊取)事件報告400件(04年的2倍)監(jiān)測發(fā)現70萬臺計算機被植入諜件(源頭主要在國外)發(fā)現僵尸網絡143個(受控計算機250萬臺)4我國網絡信息安全入侵事件態(tài)勢嚴竣收到信息安全事件報告1互聯網信息安全威脅的某些新動向

僵尸網絡威脅興起諜件泛濫值得嚴重關注網絡釣魚的獲利動機明顯網頁篡改(嵌入惡意代碼),誘人上當DDoS開始用于敲詐

木馬潛伏孕育著殺機獲利和竊信傾向正在成為主流5互聯網信息安全威脅的某些新動向領導重視、管理較嚴、常規(guī)的系統和外防機制基本到位深層隱患值得深思

內控機制脆弱高危漏洞存在信息安全域界定與邊控待探索風險自評估能力弱災難恢復不到位用戶自控權不落實----------“重要信息系統”安全態(tài)勢與深層隱患（案例考察）6領導重視、管理較嚴、常規(guī)的系統和外防機制基本到位“重要信息系國家信息化領導小組第三次會議《關于加強信息安全保障工作的意見》—中辦發(fā)[2003]27號文—

堅持積極防御、綜合防范全面提高信息安全防護能力

重點保障信息網絡和重要信息系統安全創(chuàng)建安全健康的網絡環(huán)境保障和促進信息化發(fā)展、保護公眾利益、維護國家安全立足國情、以我為主、管理與技術并重、統籌規(guī)劃、突出重點

發(fā)揮各界積極性、共同構筑國家信息安全保障體系

7國家信息化領導小組第三次會議《關于加國家信息安全保障工作要點

實行信息安全等級保護制度：風險與成本、資源優(yōu)化配置、安全風險評估

基于密碼技術網絡信任體系建設：密碼管理體制、身份認證、授權管理、責任認定

建設信息安全監(jiān)控體系：提高對網絡攻擊、病毒入侵、網絡失竊密、有害信息的防范能力

重視信息安全應急處理工作：指揮、響應、協調、通報、支援、抗毀、災備

推動信息安全技術研發(fā)與產業(yè)發(fā)展：關鍵技術、自主創(chuàng)新、強化可控、引導與市場、測評認證、采購、服務

信息安全法制與標準建設：信息安全法、打擊網絡犯罪、標準體系、規(guī)范網絡行為

信息安全人材培養(yǎng)與增強安全意識：學科、培訓、意識、技能、自律、守法

信息安全組織建設：信息安全協調小組、責任制、依法管理8國家信息安全保障工作要點實行信息國家信息安全保障工作高層會議(2004.1.9)

信息安全的重要性：IT增長25%、GDP的6%、強烈依賴

信息安全的重大案例信息安全存在的問題

一個并重、兩手抓、三個同步新思路、新眼光，建立信息安全保障體系

關鍵技術產品要自主可控認真落實中央27號文件9國家信息安全保障工作高層會議信息安全的重要性：IT增長2《國家信息安全戰(zhàn)略報告》

—國信[2005]2號文—

維護國家在網絡空間的根本利益確保國家的經濟、政治、文化和信息的安全三大信息基礎設施、八大重要信息系統、信息內容信息安全基礎支撐能力信息安全防護與對抗能力網絡突發(fā)事件快速反應能力網絡輿情駕馭能力綜合治理、協調聯動、群防群治政策、標準、管理、技術、產業(yè)、人材、理論

構筑國家信息安全保障體系信息安全長效機制信息安全戰(zhàn)略的主動權------

10《國家信息安全戰(zhàn)略報告》維護國家《2006-2020年國家信息化發(fā)展戰(zhàn)略》

—中辦[2006]11號文—

第

(八)部分:“建設國家信息安全保障體系”實現信息化與信息安全協調發(fā)展增強信息基礎設施和重要信息系統抗毀能力增強國家信息安全保障能力研究國際信息安全先進理論、先進技術掌握核心安全技術、提高關鍵設備裝備能力促進我國信息安全技術和產業(yè)的自主發(fā)展完善國家信息安全長效機制------

11《2006-2020年國家信息化發(fā)展戰(zhàn)略》“信息安全”內涵保值威脅威脅發(fā)起者資產擁有者對策脆弱性風險系統資產使命貶值利用增加濫用與破壞發(fā)現意識到減少降低合法與可用？12“信息安全”內涵保值威脅威脅發(fā)起者資產擁有者對策脆弱性風險系信息安全概念演變早期：通信保密階段（ComSec），通信內容保密為主中期：信息安全階段（InfoSec），信息自身的靜態(tài)防護為主近期：信息保障階段（InformationAssurance—IA），強調動態(tài)的、縱深的、生命周期的、整個信息系統資產的信息對抗。我們當前所指“信息安全”=“信息保障”，即“在整個生命周期中，處在縱深防御和動態(tài)對抗的信息系統，為保障其中數據及服務的完整性、保密性、可用性（防拒絕和破壞）、真實性（交互雙方的數據、人員的身份和權限、設施的鑒別）、可控性（監(jiān)控、審計、取證、防有害內容傳播）、可靠性而抵制各類威脅所提供的一種能力13信息安全概念演變早期：通信保密階段（ComSec），通信內容信息系統安全整體對策(一)構建信息安全保障體系(二)作好信息安全風險評估14信息系統安全整體對策14

(一)構建信息安全保障體系1515電子政務安全保障體系框架安全法規(guī)安全管理安全標準安全工程與服務安全基礎設施安全技術與產品16電子政務安全保障體系框架安安安安安安16信息安全法規(guī)《關于開展信息安全風險評估工作的意見》

（國信辦[2005]1號文）《信息安全等級保護管理辦法（試行）》

（公通字[2006]7號文）《中華人民共和國保守國家秘密法》(在修訂)《信息安全法》（信息安全管理條例）《電子簽名法》（2005年4月1日實施）------------17信息安全法規(guī)《關于開展信息安全風險評估工作的意見》17行政管理體制:國家網絡信息安全協調小組，部門，地區(qū)技術管理體制:CSO信息系統安全管理準則（ISO17799）--GBxxxx管理策略組織與人員資產分類與安全控制配置與運行網絡信息安全域與通信安全異常事件與審計信息標記與文檔物理與環(huán)境開發(fā)與維護作業(yè)連續(xù)性保障符合性信息安全組織管理18行政管理體制:國家網絡信息安全協調小組，部門，地區(qū)信息安全組國家信息安全標準化委員會安全功能定義安全要素設計：物理、網絡、系統、應用、管理全程安全控制風險全程管理安全有效評估強壯性策略（02.4.15成立.十個工作組）標準體系與協調（含可信計算）涉密信息系統保密密碼算法與模塊PKI/PMI安全評估應急處理安全管理(風險評估)電子證據身份標識與鑒別操作系統與數據國家報批搞16項、送審稿25項、研制近70項19國家信息安全標準化委員會安全功能定義（02.4.15成立.十信息系統安全工程和服務安全需求分析：威脅，弱點，風險，資產、使命、對策、安全體系結構與功能定義安全要素設計：物理、網絡、系統、應用、管理安全系統構建與集成管理服務全程的信息安全風險評估信息系統強壯性策略、（ISSE，IATF，CC，TESEC）20信息系統安全工程和服務安全需求分析：威脅，弱點，風險，資

信息加密技術（對稱、公開、可恢復、量子、隱藏)

鑒別與認證（口令/密碼、動態(tài)口令/ToKen、CA/簽名、物理識別）

訪問控制技術（ACL、RBAC、DAC、MAC、能力表、AA）

網絡邊界安全技術（FW、Proxy、NG、GAP、UTM）

病毒防治技術（防、查、殺、清）

網絡隱患掃描與發(fā)現（缺陷、后門、嵌入、惡意代碼）

內容識別與過濾技術（關鍵字、特征、上下文、自然語言）

主機內控防護技術（監(jiān)控、檢測、防泄、管理、審計）信息安全技術領域21信息加密技術（對稱、公開、可恢復、量子、隱藏)信息安全技術信息安全風險評估技術（收集、分析、檢測、滲透、管理）網絡檢測、預警和攻擊技術（IDS、Agent、面防、追蹤、反擊、陷阱）

“內容”產權保護技術（數字水印、安全容器、加密、簽名）

“安全基”技術（補丁、配置、清除、監(jiān)視、加固、監(jiān)視、升級）審計與取證（全局審計、審計保護、反向工程、恢復提取）

備份與容災（SAN、NAS、集群、冗余、鏡象）

可信計算（TCG、TCPA、TSS、TPM、TWC、----）信息安全集成管理（信息共享、協同聯動、策略牽引）信息安全技術領域22信息安全風險評估技術（收集、分析、檢測、滲透、管理）信息安全信息網絡安全域縱深防御框架核心內網局域計算環(huán)境（安全域a）專用外網局域計算環(huán)境（安全域m）公共服務網局域計算環(huán)境（安全域n）Internet、TSP、PSTN、VPN網絡通信基礎設施（光纖、無線、衛(wèi)星）信息安全基礎設施(PKI、PMI、KMI、CERT、DRI)網絡安全邊界23信息網絡安全域縱深防御框架核心內網專用外網公共服務網InteEG用主流的信息安全產品防范外部入侵類放火墻、防病毒、入侵檢測、物理隔離防控內部作案類強審計、主機內控、主機安保、系統級安全類加密、鑒別、授權、掃描、災備、過濾、物理安全、集成管理、安全測評24EG用主流的信息安全產品防范外部入侵類24信息安全基礎設施的支撐數字證書認證體系（CA/PKI）網絡應急支援體系（CERT）災難恢復基礎設施（DRI）病毒防治服務體系（AVERT）產品與系統安全檢測、評估體系（CC/TCSEC）密鑰管理基礎設施（KMI）授權管理基礎設施（AA/PMI）信息安全事件通報與會商體系網絡監(jiān)控與預警體系信息保密檢查體系信息安全偵控體系網絡輿情掌控與治理體系25信息安全基礎設施的支撐數字證書認證體系（CA/PKI）2信息安全保障體系建設的目標1）增加信息網絡四種安全能力信息安全防護能力隱患發(fā)現能力網絡應急反應能力信息對抗能力2）保障信息及其服務具有六性保密性、完整性、可用性、真實性、可核查性（可控性）、可靠性26信息安全保障體系建設的目標信息安全防護能力2）保障信息及其

(二)作好信息安全風險評估2727

提升信息安全風險評估意識

社會、經濟、政治、文化對信息化的強烈依賴作業(yè)連續(xù)性保障（BCM/BCP）引起普遍關注

信息安全保障體系建設（IA）成為焦點實施信息安全的風險管理正在被認同提升信息安全風險評估意識和能力是當務之急

信息安全風險評估既是信息安全建設的起點也覆蓋終生創(chuàng)建一個安全的信息化環(huán)境保障信息化健康發(fā)展

28提升信息安全風險評估意識威脅脆弱性防護措施風險資產防護需求價值抗擊利用增加增加暴露被滿足引出增加擁有風險管理要素關系圖29威脅脆弱性防護措施風險資產防護需求價值抗擊利用增加增加暴露被信息系統安全風險管理比較和對比可用攻擊研究敵方行為理論開創(chuàng)任務影響理論比較和對比各種行為行動決策對策識別與特征描述任務關鍵性參數權衡脆弱性與攻擊的識別與特征描述威脅的識別與特征描述任務影響的識別與描述基礎研究與事件分離系統改進風險分析30信息系統安全風險管理比較和對比研究敵方開創(chuàng)任務比較和對比行動信息系統安全風險評估的特征信息系統是一個巨型復雜系統（系統要素、安全要素）信息系統受制于外部因素（物理環(huán)境、行政管理、人員）信息系統安全風險評估是一項系統工程發(fā)現隱患、采取對策、提升強度、總結經驗自評估、委托評估、檢察評估31信息系統安全風險評估的特征信息系統是一個巨型復雜系統（系統要信息系統安全評估目的提供采取降低影響完成保護安全保證技術提供者系統評估者安全保證信心風險對策資產使命資產擁有者價值給出證據生成保證具有32信息系統安全評估目的提供采取降低影響完成保護安全保證技術提供

信息安全風險評估是提升

信息安全體系強度重要保證

信息系統資產是有價資產脆弱性/威脅力力圖使資產貶值影響/風險分析風險評估：發(fā)現、預防、降低、轉移、補償、承受采取措施以提升系統安全強度保護信息系統資產價值（保密性、完整性、可用性）完成系統的使命

33信息安全風險評估是提升信息系統生命周期中

安全保障與評估策劃與組織開發(fā)與采購信息系統安全保障與評估實施與交付運行與維護更新與廢棄34信息系統生命周期中

安全保障與評估策劃與組織開發(fā)與采購信息系國家對信息安全風險評估工作高度重視

國信辦[2005]5號文件<信息系統風險評估試點工作方案>“國信辦”與“安標委”

《信息安全風險評估規(guī)范》（GB/T報批稿）

“國信辦”抓緊風險評估試點、宣貫和推廣（05、06年）“保密局”涉密信息領域風險評估規(guī)范”科技部“

信息安全風險評估方法、工具、模型研制35國家對信息安全風險評估工作國信辦[2005]5號文件35國內信息安全評估機構的現狀國家信息安全標準化委員會（“信息安全評估工作組-WG5）國家信息安全測評中心（信息技術安全性評估準則-GB/T18336）（EG信息系統安全保障評估準則）

公安部（計算機信息系統安全保護等級劃分準則-GB17859-1999）（計算機信息系統安全等級保護通用技術要求-GA/T390-2002）

國家保密局（涉及國家秘密的計算機信息系統安全保密測評指南-BMZ3-2001）

北京市信息辦（黨政機關信息系統安全測評規(guī)范）上海市信息辦（信息系統安全測評規(guī)范）解放軍（信息系統安全評估規(guī)范）其它36國內信息安全評估機構的現狀國家信息安全標準化委員會（“信息安建立國家信息安全評估體系信息安全評估標準和規(guī)范體系

IT產品、IT系統、IT服務信息安全評估監(jiān)管體系

對評估組織與評估行為的監(jiān)管(等級,資質,規(guī)則)信息安全評估組織體系，在認監(jiān)委、信息辦領導下

認可機構認證機構評估技術支援中心（實驗室）專家委員會檢測、評估機構檢測、評估機構評估操作層技術支持層認證層認可監(jiān)管層37建立國家信息安全評估體系信息安全評估標準和規(guī)范體系認可機構認國際信息系統安全測評狀況NIACAPDICSCAPNSTISSIFIPS102

行業(yè)與企業(yè)的風險評估投入明顯（1%——5%）38國際信息系統安全測評狀況NIACAP38信息系統安全評估方法定性分析與定量結合評估機構與評估專家結合評估考查與評估檢測結合技術安全與管理安全結合39信息系統安全評估方法定性分析與定量結合39信息系統安全分析與檢測管理安全分析

組織、人員、制度、資產控制、物理、操作、連續(xù)性、應急過程安全分析

威脅、風險、脆弱性、需求、策略、方案、符合性分發(fā)、運行、維護、更新、廢棄技術安全分析與檢測

安全機制、功能和強度分析網絡設施、安全設施及主機配置安全分析網絡設備和主機設備脆弱性分析系統穿透性測試40信息系統安全分析與檢測管理安全分析40風險評估實施步驟(1)風險評估的準備(2)資產識別(3)威脅識別(4)脆弱性識別(5)已有安全措施的確認(6)風險分析(7)風險評估文件記錄(8)風險評估對策41風險評估實施步驟41風險評估流程42風險評估流程42

風險分析示意圖43風險分析示意圖43風險評估工具（1）風險評估管理工具

基于安全標準、基于知識、基于模型采點、收集、描述、分析（2）風險評估檢測工具

脆弱性掃描：網絡、主機、數據庫、網站、滲透性測試：黑客、病毒、木馬、諜件、劫持、拒絕、破譯（3）風險評估輔助工具

入侵檢測、安全審計、拓撲發(fā)現、資產收集知識庫、漏洞庫、算法庫、模型庫、指標庫44風險評估工具44信息安全風險評估試點成效顯著（05年）

提高了風險意識、培育自評估能力（8個試點、幾千人日）三要素的識別與賦值能力有所提高、（并探索行業(yè)細則）發(fā)現和消除大量隱患、提升了安全強度（表層與深層）

采用了多種評估模式并總結經驗（自評、委托、檢查）實效性/關鍵性/涉密性/常規(guī)性等系統的分類指導風險評估方法、工具、平臺有所創(chuàng)新

應急予案、離線評估、管理軟件、識別知識化、多種評估方法—----評估過程的風險控制對策（管理、協議、技術、機制）全程的風險評估分類試點（規(guī)劃、設計、實施、運行、更新）評估協同機制的探索（業(yè)主、建設、評估三方協同）體系與深層隱患的評估開始引起重視45信息安全風險評估試點成效顯著（05年）信息安全風險評估試點狀況（06年）

正在制訂培訓計劃、提高風險意識和培育自評估能力策劃宣貫國家信息安全風險評估規(guī)范、并探索行業(yè)細則出臺政府相關風險評估的規(guī)定（政府令）制訂部門和地區(qū)的全局評估計劃和選擇試范點推動屬地原則和縱向支持的原則組織培訓信息安全評估人才和組建隊伍

探索各種評估模式的試點采用（自評、委托、檢查）對實效性/關鍵性/涉密性/常規(guī)性等試點系統的進行選擇考慮風險評估方法、工具、平臺的采用對評估試點階段的選擇（規(guī)劃、設計、實施、運行、更新）向有關部門提出培訓、支援、規(guī)范、規(guī)則、試點----等建議46信息安全風險評估試點狀況（06年）大力推進信息安全風險評估工作

提高信息安全風險評估意識”信息安全風險評估規(guī)范“即將出臺和宣貫風險評估試點將進一步擴展和推廣風險評估制度化、等級化、建立長效機制風險評估方法、工具、平臺深入開發(fā)和推薦風險評估技術基礎設施的建設風險評估機構的行政準入許可相關標準規(guī)范的制訂相關法規(guī)的出臺

47大力推進信息安全風險評估工作提高信息信息系統安全整體對策(一)構建信息安全保障體系

（重視頂層設計）(二)作好信息安全風險評估

（是起點、也覆蓋終生）48信息系統安全整體對策48提升信息安全風險評估意識強化信息安全保障體系建設提升信息安全風險評估意識強化信息安全保障體系建設49信息安全面臨的威脅網上黑客與計算機欺詐網絡病毒的蔓延和破壞有害信息內容污染與輿情誤導機要信息流失與“諜件”潛入內部人員誤用、濫用、惡用IT產品的失控（分發(fā)式威脅）物理臨近式威脅網上恐怖活動與信息戰(zhàn)網絡的脆弱性和系統漏洞50信息安全面臨的威脅網上黑客與計算機欺詐2網絡突發(fā)事件正在引起全球關注2000年2月7日美國網上恐怖事件造成巨大損失

（DDos、八大重要網站、$12億美元）2001年日本東京國際機場航管失靈，影響巨大

（紅色病毒、幾百架飛機無法起降、千人行程受阻）2003年美國銀行的ATM網遭入侵，損失慘重

（Slammer、幾十億美元）

2004年震蕩波幾天波及全球2005年CardSystem公司4000萬張卡用戶信息被盜

（美國最大的竊密事件、植入特洛伊木馬、假冒消費）網絡正在成為恐怖組織聯絡和指揮工具（911、倫敦事件）9.11事件造成世貿中心1200家企業(yè)信息網絡蕩然無存

（有DRP/NCP的400家企業(yè)能夠恢復和生存）網絡輿情的爆發(fā)波及到物理社會的穩(wěn)定信息網絡的失竊密事件層出不窮51網絡突發(fā)事件正在引起全球關注2我國網絡信息安全入侵事件態(tài)勢嚴竣(CNCERT/CC05年度報告數據)

收到信息安全事件報告12萬件(04年的2倍)監(jiān)測發(fā)現2萬臺計算機被木馬遠程控制(04年的2倍)發(fā)現1.4萬個網站遭黑客篡改,其中政府網站2千(04年的2倍)網絡釣魚(身份竊取)事件報告400件(04年的2倍)監(jiān)測發(fā)現70萬臺計算機被植入諜件(源頭主要在國外)發(fā)現僵尸網絡143個(受控計算機250萬臺)52我國網絡信息安全入侵事件態(tài)勢嚴竣收到信息安全事件報告1互聯網信息安全威脅的某些新動向

僵尸網絡威脅興起諜件泛濫值得嚴重關注網絡釣魚的獲利動機明顯網頁篡改(嵌入惡意代碼),誘人上當DDoS開始用于敲詐

木馬潛伏孕育著殺機獲利和竊信傾向正在成為主流53互聯網信息安全威脅的某些新動向領導重視、管理較嚴、常規(guī)的系統和外防機制基本到位深層隱患值得深思

內控機制脆弱高危漏洞存在信息安全域界定與邊控待探索風險自評估能力弱災難恢復不到位用戶自控權不落實----------“重要信息系統”安全態(tài)勢與深層隱患（案例考察）54領導重視、管理較嚴、常規(guī)的系統和外防機制基本到位“重要信息系國家信息化領導小組第三次會議《關于加強信息安全保障工作的意見》—中辦發(fā)[2003]27號文—

堅持積極防御、綜合防范全面提高信息安全防護能力

重點保障信息網絡和重要信息系統安全創(chuàng)建安全健康的網絡環(huán)境保障和促進信息化發(fā)展、保護公眾利益、維護國家安全立足國情、以我為主、管理與技術并重、統籌規(guī)劃、突出重點

發(fā)揮各界積極性、共同構筑國家信息安全保障體系

55國家信息化領導小組第三次會議《關于加國家信息安全保障工作要點

實行信息安全等級保護制度：風險與成本、資源優(yōu)化配置、安全風險評估

基于密碼技術網絡信任體系建設：密碼管理體制、身份認證、授權管理、責任認定

建設信息安全監(jiān)控體系：提高對網絡攻擊、病毒入侵、網絡失竊密、有害信息的防范能力

重視信息安全應急處理工作：指揮、響應、協調、通報、支援、抗毀、災備

推動信息安全技術研發(fā)與產業(yè)發(fā)展：關鍵技術、自主創(chuàng)新、強化可控、引導與市場、測評認證、采購、服務

信息安全法制與標準建設：信息安全法、打擊網絡犯罪、標準體系、規(guī)范網絡行為

信息安全人材培養(yǎng)與增強安全意識：學科、培訓、意識、技能、自律、守法

信息安全組織建設：信息安全協調小組、責任制、依法管理56國家信息安全保障工作要點實行信息國家信息安全保障工作高層會議(2004.1.9)

信息安全的重要性：IT增長25%、GDP的6%、強烈依賴

信息安全的重大案例信息安全存在的問題

一個并重、兩手抓、三個同步新思路、新眼光，建立信息安全保障體系

關鍵技術產品要自主可控認真落實中央27號文件57國家信息安全保障工作高層會議信息安全的重要性：IT增長2《國家信息安全戰(zhàn)略報告》

—國信[2005]2號文—

維護國家在網絡空間的根本利益確保國家的經濟、政治、文化和信息的安全三大信息基礎設施、八大重要信息系統、信息內容信息安全基礎支撐能力信息安全防護與對抗能力網絡突發(fā)事件快速反應能力網絡輿情駕馭能力綜合治理、協調聯動、群防群治政策、標準、管理、技術、產業(yè)、人材、理論

構筑國家信息安全保障體系信息安全長效機制信息安全戰(zhàn)略的主動權------

58《國家信息安全戰(zhàn)略報告》維護國家《2006-2020年國家信息化發(fā)展戰(zhàn)略》

—中辦[2006]11號文—

第

(八)部分:“建設國家信息安全保障體系”實現信息化與信息安全協調發(fā)展增強信息基礎設施和重要信息系統抗毀能力增強國家信息安全保障能力研究國際信息安全先進理論、先進技術掌握核心安全技術、提高關鍵設備裝備能力促進我國信息安全技術和產業(yè)的自主發(fā)展完善國家信息安全長效機制------

59《2006-2020年國家信息化發(fā)展戰(zhàn)略》“信息安全”內涵保值威脅威脅發(fā)起者資產擁有者對策脆弱性風險系統資產使命貶值利用增加濫用與破壞發(fā)現意識到減少降低合法與可用？60“信息安全”內涵保值威脅威脅發(fā)起者資產擁有者對策脆弱性風險系信息安全概念演變早期：通信保密階段（ComSec），通信內容保密為主中期：信息安全階段（InfoSec），信息自身的靜態(tài)防護為主近期：信息保障階段（InformationAssurance—IA），強調動態(tài)的、縱深的、生命周期的、整個信息系統資產的信息對抗。我們當前所指“信息安全”=“信息保障”，即“在整個生命周期中，處在縱深防御和動態(tài)對抗的信息系統，為保障其中數據及服務的完整性、保密性、可用性（防拒絕和破壞）、真實性（交互雙方的數據、人員的身份和權限、設施的鑒別）、可控性（監(jiān)控、審計、取證、防有害內容傳播）、可靠性而抵制各類威脅所提供的一種能力61信息安全概念演變早期：通信保密階段（ComSec），通信內容信息系統安全整體對策(一)構建信息安全保障體系(二)作好信息安全風險評估62信息系統安全整體對策14

(一)構建信息安全保障體系6315電子政務安全保障體系框架安全法規(guī)安全管理安全標準安全工程與服務安全基礎設施安全技術與產品64電子政務安全保障體系框架安安安安安安16信息安全法規(guī)《關于開展信息安全風險評估工作的意見》

（國信辦[2005]1號文）《信息安全等級保護管理辦法（試行）》

（公通字[2006]7號文）《中華人民共和國保守國家秘密法》(在修訂)《信息安全法》（信息安全管理條例）《電子簽名法》（2005年4月1日實施）------------65信息安全法規(guī)《關于開展信息安全風險評估工作的意見》17行政管理體制:國家網絡信息安全協調小組，部門，地區(qū)技術管理體制:CSO信息系統安全管理準則（ISO17799）--GBxxxx管理策略組織與人員資產分類與安全控制配置與運行網絡信息安全域與通信安全異常事件與審計信息標記與文檔物理與環(huán)境開發(fā)與維護作業(yè)連續(xù)性保障符合性信息安全組織管理66行政管理體制:國家網絡信息安全協調小組，部門，地區(qū)信息安全組國家信息安全標準化委員會安全功能定義安全要素設計：物理、網絡、系統、應用、管理全程安全控制風險全程管理安全有效評估強壯性策略（02.4.15成立.十個工作組）標準體系與協調（含可信計算）涉密信息系統保密密碼算法與模塊PKI/PMI安全評估應急處理安全管理(風險評估)電子證據身份標識與鑒別操作系統與數據國家報批搞16項、送審稿25項、研制近70項67國家信息安全標準化委員會安全功能定義（02.4.15成立.十信息系統安全工程和服務安全需求分析：威脅，弱點，風險，資產、使命、對策、安全體系結構與功能定義安全要素設計：物理、網絡、系統、應用、管理安全系統構建與集成管理服務全程的信息安全風險評估信息系統強壯性策略、（ISSE，IATF，CC，TESEC）68信息系統安全工程和服務安全需求分析：威脅，弱點，風險，資

信息加密技術（對稱、公開、可恢復、量子、隱藏)

鑒別與認證（口令/密碼、動態(tài)口令/ToKen、CA/簽名、物理識別）

訪問控制技術（ACL、RBAC、DAC、MAC、能力表、AA）

網絡邊界安全技術（FW、Proxy、NG、GAP、UTM）

病毒防治技術（防、查、殺、清）

網絡隱患掃描與發(fā)現（缺陷、后門、嵌入、惡意代碼）

內容識別與過濾技術（關鍵字、特征、上下文、自然語言）

主機內控防護技術（監(jiān)控、檢測、防泄、管理、審計）信息安全技術領域69信息加密技術（對稱、公開、可恢復、量子、隱藏)信息安全技術信息安全風險評估技術（收集、分析、檢測、滲透、管理）網絡檢測、預警和攻擊技術（IDS、Agent、面防、追蹤、反擊、陷阱）

“內容”產權保護技術（數字水印、安全容器、加密、簽名）

“安全基”技術（補丁、配置、清除、監(jiān)視、加固、監(jiān)視、升級）審計與取證（全局審計、審計保護、反向工程、恢復提?。?/p>

備份與容災（SAN、NAS、集群、冗余、鏡象）

可信計算（TCG、TCPA、TSS、TPM、TWC、----）信息安全集成管理（信息共享、協同聯動、策略牽引）信息安全技術領域70信息安全風險評估技術（收集、分析、檢測、滲透、管理）信息安全信息網絡安全域縱深防御框架核心內網局域計算環(huán)境（安全域a）專用外網局域計算環(huán)境（安全域m）公共服務網局域計算環(huán)境（安全域n）Internet、TSP、PSTN、VPN網絡通信基礎設施（光纖、無線、衛(wèi)星）信息安全基礎設施(PKI、PMI、KMI、CERT、DRI)網絡安全邊界71信息網絡安全域縱深防御框架核心內網專用外網公共服務網InteEG用主流的信息安全產品防范外部入侵類放火墻、防病毒、入侵檢測、物理隔離防控內部作案類強審計、主機內控、主機安保、系統級安全類加密、鑒別、授權、掃描、災備、過濾、物理安全、集成管理、安全測評72EG用主流的信息安全產品防范外部入侵類24信息安全基礎設施的支撐數字證書認證體系（CA/PKI）網絡應急支援體系（CERT）災難恢復基礎設施（DRI）病毒防治服務體系（AVERT）產品與系統安全檢測、評估體系（CC/TCSEC）密鑰管理基礎設施（KMI）授權管理基礎設施（AA/PMI）信息安全事件通報與會商體系網絡監(jiān)控與預警體系信息保密檢查體系信息安全偵控體系網絡輿情掌控與治理體系73信息安全基礎設施的支撐數字證書認證體系（CA/PKI）2信息安全保障體系建設的目標1）增加信息網絡四種安全能力信息安全防護能力隱患發(fā)現能力網絡應急反應能力信息對抗能力2）保障信息及其服務具有六性保密性、完整性、可用性、真實性、可核查性（可控性）、可靠性74信息安全保障體系建設的目標信息安全防護能力2）保障信息及其

(二)作好信息安全風險評估7527

提升信息安全風險評估意識

社會、經濟、政治、文化對信息化的強烈依賴作業(yè)連續(xù)性保障（BCM/BCP）引起普遍關注

信息安全保障體系建設（IA）成為焦點實施信息安全的風險管理正在被認同提升信息安全風險評估意識和能力是當務之急

信息安全風險評估既是信息安全建設的起點也覆蓋終生創(chuàng)建一個安全的信息化環(huán)境保障信息化健康發(fā)展

76提升信息安全風險評估意識威脅脆弱性防護措施風險資產防護需求價值抗擊利用增加增加暴露被滿足引出增加擁有風險管理要素關系圖77威脅脆弱性防護措施風險資產防護需求價值抗擊利用增加增加暴露被信息系統安全風險管理比較和對比可用攻擊研究敵方行為理論開創(chuàng)任務影響理論比較和對比各種行為行動決策對策識別與特征描述任務關鍵性參數權衡脆弱性與攻擊的識別與特征描述威脅的識別與特征描述任務影響的識別與描述基礎研究與事件分離系統改進風險分析78信息系統安全風險管理比較和對比研究敵方開創(chuàng)任務比較和對比行動信息系統安全風險評估的特征信息系統是一個巨型復雜系統（系統要素、安全要素）信息系統受制于外部因素（物理環(huán)境、行政管理、人員）信息系統安全風險評估是一項系統工程發(fā)現隱患、采取對策、提升強度、總結經驗自評估、委托評估、檢察評估79信息系統安全風險評估的特征信息系統是一個巨型復雜系統（系統要信息系統安全評估目的提供采取降低影響完成保護安全保證技術提供者系統評估者安全保證信心風險對策資產使命資產擁有者價值給出證據生成保證具有80信息系統安全評估目的提供采取降低影響完成保護安全保證技術提供

信息安全風險評估是提升

信息安全體系強度重要保證

信息系統資產是有價資產脆弱性/威脅力力圖使資產貶值影響/風險分析風險評估：發(fā)現、預防、降低、轉移、補償、承受采取措施以提升系統安全強度保護信息系統資產價值（保密性、完整性、可用性）完成系統的使命

81信息安全風險評估是提升信息系統生命周期中

安全保障與評估策劃與組織開發(fā)與采購信息系統安全保障與評估實施與交付運行與維護更新與廢棄82信息系統生命周期中

安全保障與評估策劃與組織開發(fā)與采購信息系國家對信息安全風險評估工作高度重視

國信辦[2005]5號文件<信息系統風險評估試點工作方案>“國信辦”與“安標委”

《信息安全風險評估規(guī)范》（GB/T報批稿）

“國信辦”抓緊風險評估試點、宣貫和推廣（05、06年）“保密局”涉密信息領域風險評估規(guī)范”科技部“

信息安全風險評估方法、工具、模型研制83國家對信息安全風險評估工作國信辦[2005]5號文件35國內信息安全評估機構的現狀國家信息安全標準化委員會（“信息安全評估工作組-WG5）國家信息安全測評中心（信息技術安全性評估準則-GB/T18336）（EG信息系統安全保障評估準則）

公安部（計算機信息系統安全保護等級劃分準則-GB17859-1999）（計算機信息系統安全等級保護通用技術要求-GA/T390-2002）

國家保密局（涉及國家秘密的計算機信息系統安全保密測評指南-BMZ3-2001）

北京市信息辦（黨政機關信息系統安全測評規(guī)范）上海市信息辦（信息系統安全測評規(guī)范）解放軍（信息系統安全評估規(guī)范）其它84國內信息安全評估機構的現狀國家信息安全標準化委員會（“信息安建立國家信息安全評估體系信息安全評估標準和規(guī)范體系

IT產品、IT系統、IT服務信息安全評估監(jiān)管體系

對評估組織與評估行為的監(jiān)管(等級,資質,規(guī)則)信息安全評估組織體系，在認監(jiān)委、信息辦領導下

認可機構認證機構評估技術支援中心（實驗室）專家委員會檢測、評估機構檢測、評估機構評估操作層技術支持層認證層認可監(jiān)管層85建立國家信息安全評估體系信息安全評估標準和規(guī)范體系認可機構認國際信息系