國(guó)家信息安全保障體系概述.ppt

1、本資料來源,國(guó)家信息安全保障體系框架探索,曲成義 研究員 2002.8,信息安全保障體系建設(shè)的策略,信息安全防護(hù)能力 隱患發(fā)現(xiàn)能力 網(wǎng)絡(luò)應(yīng)急反應(yīng)能力 信息對(duì)抗能力,發(fā)展與安全保駕護(hù)航 資產(chǎn)與威脅保障能力 防護(hù)與檢測(cè)縱深防御 成本與風(fēng)險(xiǎn)適度安全 技術(shù)與管理綜合治理 培訓(xùn)與自律以人為本 強(qiáng)度與弱點(diǎn)均衡設(shè)計(jì),信息安全保障體系框架,信息安全組織管理體系,1、行政管理體制 國(guó)家領(lǐng)導(dǎo)層 國(guó)家協(xié)調(diào)層 國(guó)家執(zhí)行層 地區(qū)和部委層 2、技術(shù)咨詢體制 信息化專家咨詢委員會(huì) 法規(guī)、標(biāo)準(zhǔn)、資質(zhì)認(rèn)可等委員會(huì) 技術(shù)研究與工程開發(fā)隊(duì)伍建設(shè) 學(xué)會(huì)與產(chǎn)業(yè)協(xié)會(huì),3、信息系統(tǒng)安全管理準(zhǔn)則（參照ISO 17799） 管理策略 組織與人

2、員 資產(chǎn)分類與安全控制 配置與運(yùn)行 網(wǎng)絡(luò)信息安全域與通信安全 異常事件與審計(jì) 信息標(biāo)記與文檔 物理與環(huán)境 開發(fā)與維護(hù) 作業(yè)連續(xù)性保障 符合性,信息安全技術(shù)保障體系,1、加強(qiáng)自主研發(fā)與創(chuàng)新 組建研發(fā)國(guó)家隊(duì)與普遍推動(dòng)相結(jié)合 推動(dòng)自主知識(shí)產(chǎn)權(quán)與專利 建設(shè)技術(shù)工程中心與加速產(chǎn)品孵化 加大技術(shù)研發(fā)專項(xiàng)基金 全面推動(dòng)與突出重點(diǎn)的技術(shù)研發(fā) 基礎(chǔ)類：風(fēng)險(xiǎn)控制、體系結(jié)構(gòu)、協(xié)議工程、有效評(píng)估、工程方法 關(guān)鍵類：密碼、安全基、內(nèi)容安全、抗病毒、RBAC 、 IDS、VPN、強(qiáng)審計(jì) 系統(tǒng)類： PKI、PMI、DRI、KMI 、網(wǎng)絡(luò)預(yù)警、集成管理 應(yīng)用類：EC、EG、NB、NS、NM、WF、XML、CSCW 物理與環(huán)境

3、類：TEMPEX、物理識(shí)別 前瞻類：免疫技術(shù)、量子密碼、漂移技術(shù)、語義理解識(shí)別,2、建立縱深防御體系 網(wǎng)絡(luò)信息安全域的劃分與隔離控制 內(nèi)部網(wǎng)安全服務(wù)與控制策略（Intranet） 外部網(wǎng)安全服務(wù)與控制策略（Extranet) 互聯(lián)網(wǎng)安全服務(wù)與控制策略（Internet） 公共干線的安全服務(wù)與控制策略（有線、無線、衛(wèi)星） 計(jì)算環(huán)境的安全服務(wù)機(jī)制 多級(jí)設(shè)防與科學(xué)布署策略 全局安全檢測(cè)、集成管理、聯(lián)動(dòng)控制與恢復(fù)（PDR）,3、推動(dòng)信息系統(tǒng)安全工程（ISSE）的控制方法 安全需求挖掘 安全功能定義 安全要素設(shè)計(jì) 全程安全控制 風(fēng)險(xiǎn)管理 有效評(píng)估（CC/TCSEC/IATF） 威脅級(jí)別（Tn） 資產(chǎn)價(jià)值

4、等級(jí)（Vn） 安全機(jī)制強(qiáng)度等級(jí)（SMLn) 安全技術(shù)保障強(qiáng)壯性級(jí)別（IATRn）,風(fēng) 險(xiǎn) 管 理 過 程,風(fēng) 險(xiǎn) 決 策 流 程,系統(tǒng)有效評(píng)估流程,強(qiáng) 建 性 程 度（IATF）,4、安全技術(shù)產(chǎn)品與系統(tǒng)互操作性策略 體系結(jié)構(gòu) 安全協(xié)議 產(chǎn)品標(biāo)準(zhǔn) 安全策略與協(xié)定 安全基礎(chǔ)設(shè)施,信息安全基礎(chǔ)設(shè)施,1、大力推動(dòng)國(guó)家信息安全基礎(chǔ)的建設(shè) 基礎(chǔ)性、支撐性、服務(wù)性、公益性 國(guó)家專項(xiàng)基金啟動(dòng) 建立資質(zhì)認(rèn)證機(jī)制 建立監(jiān)理機(jī)制 形成社會(huì)化服務(wù)和行政監(jiān)管體系,2、社會(huì)公共服務(wù)類 基于數(shù)字證書的信任體系（PKI/CA） 信息安全測(cè)評(píng)與評(píng)估體系（CC/TCSEC/IATF） 應(yīng)急響應(yīng)與支援體系（CERT） 計(jì)算機(jī)病毒防

5、治與服務(wù)體系（A-Virus） 災(zāi)難恢復(fù)基礎(chǔ)設(shè)施（DRI） 密鑰管理基礎(chǔ)設(shè)施（KMI）,基于數(shù)字證書的信任體系（PKI/CA）,3、信息安全執(zhí)法類 網(wǎng)上信息內(nèi)容安全監(jiān)控體系 網(wǎng)絡(luò)犯罪監(jiān)察與防范體系 電子信息保密監(jiān)管體系 網(wǎng)絡(luò)偵控與反竊密體系 網(wǎng)絡(luò)預(yù)警與網(wǎng)絡(luò)反擊體系,信息安全產(chǎn)業(yè)支撐,推動(dòng)安全產(chǎn)業(yè)發(fā)展，支撐安全保障體系建設(shè) 掌握安全產(chǎn)品的自主權(quán)、自控權(quán) 建設(shè)信息安全產(chǎn)品基地 形成信息安全產(chǎn)品配套的產(chǎn)業(yè)鏈 造就出世界品牌的安全骨干企業(yè) 安全產(chǎn)品制造業(yè)、集成業(yè)、服務(wù)業(yè)全面發(fā)展 盡快配套信息安全產(chǎn)業(yè)管理政策（準(zhǔn)入、測(cè)評(píng)、資質(zhì)、扶植、） 重視TBT條款運(yùn)用，保護(hù)密碼為代表的國(guó)內(nèi)安全產(chǎn)品市場(chǎng),信息安全教育

6、與人材培養(yǎng),創(chuàng)建一個(gè)具有一批高級(jí)信息安全人材、雄厚的安全技術(shù)隊(duì)伍、普及安全意識(shí)和技術(shù)的人材大環(huán)境 學(xué)歷教育：專業(yè)設(shè)置、課程配套 高級(jí)人材培養(yǎng)：研究生學(xué)院、博士后流動(dòng)站 職業(yè)和技能培訓(xùn)：上崗和在職培訓(xùn)、考核認(rèn)證制度 信息安全意識(shí)提升：學(xué)會(huì)、協(xié)會(huì)、論壇、媒體 網(wǎng)上教育：信息安全課件、網(wǎng)上課堂 信息安全出版物,信息安全標(biāo)準(zhǔn)與法規(guī)環(huán)境,1、強(qiáng)力推動(dòng)信息安全標(biāo)準(zhǔn)化工作 加強(qiáng)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)工作 積極參予國(guó)際信息安全標(biāo)準(zhǔn)制訂活動(dòng) 注意采用國(guó)際與國(guó)外先進(jìn)標(biāo)準(zhǔn) 抓緊制訂國(guó)家標(biāo)準(zhǔn)和協(xié)調(diào)行業(yè)標(biāo)準(zhǔn) 重視強(qiáng)制性和保護(hù)性（TBT）標(biāo)準(zhǔn)的制訂 推動(dòng)信息安全產(chǎn)品標(biāo)準(zhǔn)互操性的測(cè)試和認(rèn)證 兼容性和可擴(kuò)展性的需要 公平、公正、公開機(jī)制,2、加強(qiáng)信息安全標(biāo)準(zhǔn)的研發(fā)、評(píng)審、審批 密碼算法、密鑰管理及應(yīng)用類 PKI/PMI類 信息安全評(píng)估和保障等級(jí)類 電子證據(jù)類 內(nèi)容安全分級(jí)及標(biāo)識(shí)類 信息安全邊界控制及傳輸安全類 身份識(shí)別及鑒別協(xié)議類 網(wǎng)絡(luò)應(yīng)急響應(yīng)與處理類 入侵檢測(cè)框架類 信息安全管理類 資源訪問控制類 安全體系結(jié)構(gòu)與協(xié)議類 安全產(chǎn)品接口與集成管理類 信息系統(tǒng)安全工