网络安全态势和对策.ppt

网络安全态势和对策,曲成义 研究员,2014年10月,网络空间/赛博空间（ Ceberspace） “网络空间”正在成为人类生存发展最重要的 虚拟空间，它是支撑应用信息集合和治理的基础环境，它是服务于人类社会发展、经济繁荣、文化兴旺、生活富裕的重要的基础设施，如： . 互联网、物联网、泛在网 。 EG网、EC网、工控网 . 内网、专网、外网 。电信网、广电网、互联网 。有线网、无线网、卫星网 。移动互联网、车联网、容延容断网、数字战场网、传感网,网络空间安全态势严峻,”网络空间战“的三大使命: -情报战: 态势感知。窃密与反窃密-谍件、遥控木马、破解、窃听、勾结。 -系统战: 网络交战。信息 系统破坏 / 防护-数字武器、数字战场、国家重要基础设施 -心理战 : 军事威摄。网络舆论煽动 / 滲透 / 篡改与治理-WEB20、 P2P、WAP、WEB 情报窃取是网络战的前导：严重的斯诺登事件，世界反应极大 窃密与反窃密斗争日显突出、电子窃密是其重要手段 “国家情报战略”（防止网络间谍和窃密） 信息系统制瘫是核心 ：国家重要基础设施（水、电、气、油、交、网、国防、金融 ） 因此一定要站在“网络战”的高度看待“信息安全保密” “信息安全保密”不再是个人和部门的问题，是网络战争的 重要使命，是国家命运安危的大局 要提升信息安全意识： 高度重视、规范管理、提高警惕、严密防予、遏制破获、追溯反击,我国信息网络安全保密态势严峻,网络攻击的新动向要高度关注 。网络攻击中获取经济利益明显，黑色产业链已经形成； 僵尸网络是网络攻击者的基本手段和资源平台 跨国的攻击源头给我们增加了治理难度； 网络空间中“国家与组织之间”窃密和对抗要值得高度关注； 网络钓鱼网站的攻击近期发展很快,骗取钱财和隐私 网站被植入木马的达万个 ”国家信息泄密案件展”触目惊心，： 。设备漏洞、系统漏洞、管理漏洞 。违法操作、违规操作、误操作 。内部犯罪、内外勾结、外部侵入,5,移动互联网恶意程序扩散,移动互联网恶意程序是指运行在包括智能手机在内的具有移动通信功能的移动终端上，存在窃听用户电话、窃取用户信息、破坏用户数据、擅自使用付费业务、发送垃圾信息、推送广告或欺诈信息、影响移动终端运行、危害互联网网络安全等恶意行为的计算机程序。 移动互联网恶意程序的内涵比手机病毒广的多，如手机吸费软件不属于手机病毒，但属于移动互联网恶意程序。,公民的隐私安全问题突出 涉及公众个人信息的隐私泄露，如银行卡、借记卡、信用卡、网络与手机支付等个人的账号密码隐私信息的窃取，给公众带来大量麻烦、威胁和损害，且呈上升趋势，严重干扰信息网络的大发展和大应用。 当年开放社区网站遭攻击，大量用户登录名和密码泄露，国内最大隐私泄露案，教训严重。,国家领导人 严肃指出： “把握信息化发展的方向、维护国家在 网络空间 的安全和利益成为信息时代的重大战略课题.” “ 没有网络安全就没有国家安全“ ” 要从大势出发、总体布局、统筹各方、创新发展，努力建设网络安全强国,国家领导对国家信息安全严重关注： （2012年）,讲话,网络空间信息安全态势严重 信息安全是国家安全中最重要的安全 2 当前信息技术受制于人，管理分散，协调薄弱 要有高度的“忧患意识”和“风险意识 ” 3 对信息安全要有危机感和紧迫感， 要 抓紧信息安全的“战略研究”和“顶层设计” 4 加强统筹规划、资源整合、加大财政投入、抓技术攻关、 要打破霸权、推进产品安全的“自主可控”、强化基础设施 5 抓紧新型信息技术应用的安全保障 6 加强重要政府部门的信息安全保密的防护 7 重点领域要开展信息安全专项检查 、定位，打破国外垄断（产品和服务），给出整改措施,推进信息化发展和切实保障信息安全 （国务院出台意见),。保障经济结构调整、转变发展方式、改善民生、国家安全 。推进信息化发展和保障信息安全 。针对信息获取、利用、控制的国际竞争环境 。建立健全信息安全保障体系，等级保护，分级保护 。保障重要信息系统和网络基础设施安全 。应对 移动互联网安全面临的严重挑战 。提高 能力 。强化互联网安全接入、减少点数和提升网站安全服务能力 。加强政府和涉密信息的安全管理，服务安全、外包安全 。建立政府网站的统一标识、审核、监管能力 。强化个人数据保护、安全共享、接入安全管理 。落实等级保护和分级保护能力、 。保障国家重大基础设施、工控系统的安全 。强化智慧城市的安全保障体系建设,人大关于加强网络信息安全保护决定 （人大常委会),。保护公民身份和隐私电子通道不得出售、窃取、违约 。依法使用公民信息 。依法收集个人信息，不得泄露、损害、丢失 。拥有者要采取安全对策保护个人信息 。发布者要依法管理执行 。服务提供者要加强管理、安全传输 。在入网和发布时要与用户签订用户保护协议 。向个人网端发商业信息要征得个人意见 。用户发现隐私泄露，可要求删除和制止 。对窃取和出售者，可举报、控告，依法处置 。主管和应用部门要依法采取措施保护个人信息 。违规者依法警告、处置,党的十八大报告曾指出：,。 坚持走中国特色的”新型工业化、信息化、 城镇化、 农业现代化“ 的道路 。促进新四化同步发展 。建设下一代信息基础设施、 。 发展现代信息技术产业体系 。 。 推进“信息化与工业化”的融合 报告中特别指出 ： “健全信息安全保障体系”,国务院发布促进信息消费和 扩大内需意见中指出 ： -国发32号文- 。提升公共服务信息化水平 信息资源共享、开发、利用、服务、智慧城市建设 。加强信息消费环境建设 安全可信、保护个人信息 规范信息消费市场秩序 。完善支持政策 审批改革、财税支持 改善企业融资环境 完善电信服务 开展信息消费监控和试点,网络空间对抗中保护国家重点目标,一）国家电子政府、国防等重要渋密领域 二）国家重要基础设施（3工程） 电力、金融、民航、铁路、海关、证券、保险、税务 广电网、电信网、互联网 三）智慧城市 重要信息化的支撑设施 。 智慧城市 的云服务平台，物联网智能处理中心 。 四）重大产业及供应链体系 产业的网络化、信息化、协同化、服务化、国际化 跨行业、跨地区、跨国界的运作模式 信息化支撑的产业供应链快速发展,国家信息安全规划中的关键点：,一。加快信息安全保障体系建设 1.信任体系 身份认证、授权管理、审计评价、灾码保障 2. 应急容灾体系 预案、监测、感知、预警、通报、密容 3. 监控审计体系 网络监测、网站管理、外包监管、保密监管 二。强化重点领域信息安全保障 4. 重要信息系统安全 金融、能源、交通、军工、国计民生、政务、智慧城 市，防攻击/篡改/病毒/瘫痪/窃密，保障交换、共享、 协同和服务的安全 5。基础信息网络安全（电信、广电、互联网） 态势感知、攻击防护、域名管理、播出管理、三网融合 5. 国家信息基础网络 （电信、广电、互联网）,国家信息安全规划中的关键点,6. 工业控制系统安全（嵌入式系统安全） 核、电、油、气、水、交通、城市基础设施、军工 自主可控、组网管理、安全配置、安全检测 国家政务信息安全 配置管理、接入管理、安全检查、网站管理 8。国家涉密信息系统 分级保护、保密管理、保密基础设施、网络渋密监察 三。 夯实信息安全基础设施 9. 信息技术产品安全自主可控 集成电路、基础软件、计算机、通信设备、数控机床 自主可控、服务管理、核查审计、试点推广 10. 信息安全技术 保密、密码、可信、电子签名等安全技术 云计算、物联网、移动互联、三网融合等新技术安全 信息技术产品供应链安全,国家信息安全规划的关键点,11. 信息安全产业发展 支撑措施、兼并重组、政府采购、国家骨干、产业专项 发展信息安全服务业 信息安全标准化 政府主导、社会参与、国际接轨、推广应用、支撑新型 信息技术的发展 13 信息安全基础性工作（测评、漏洞） 等级保护、安全测评、风险评估、改进防护 漏洞管理、产品认证 信息安全战略研究 网络空间安全态势研究、国家信息安全战略制定 信息安全发展规划、国际信息安全的话语权和影响力,“部门 “信息系统安全的全局对策,(一)科学划分信息安全保护等级 投入与风险的平衡点 安全资源的优化配置 (二)构建信息安全保障体系 重视顶层设计,做好信息安全技术体系与信息安全管理体系 强化信息安全的信任链（信任根、可信接入、可信计算、可信管控） (三)作好信息安全测评与风险评估 是信息安全建设的起点、也覆盖终生 提升信息安全的可信性,落实信息安全等级保护与分级保护,“等级保护”与“分级保护涉及的内容：信息系统、信息安全产品、 信息安全事件 分级依据：重要程度、危害程度（业务信息、系统服务） ”分级保护“划分: 三级（秘密、机密、 绝密） ”等级保护“划分：-五级- -分级保护：三级 一级：自主保护 （一般系统/ 合法权益） 二级：指导保护（一般系统/ 合法权益、社会利益） 三级：监督检查（重要系统/ 社会利益、国家安全） (秘密) 四级：强制监督 （重要系统/ 社会利益、国家安全） (机密 、增强） 五级：专门监督 （极端重要系统/ 国家安全） - (绝密) 安全管理 自主定级-审核批准-备案-系统建设-安全测评,构建“信息安全保障体系” 增强信息系统的五种安全能力 创建系统的信任体系 认证、授权、责任 提升系统安全检测与防护能力 . 3 建立系统安全监控与与审计能力 SOC 4 加强系统的应急反应和容灾能力 BCM 5 强化系统安全管理和可控能力 ISMS,保障信息及其服务具有六性,保密性、完整性、可用性、可信性、可核查性、可控性,风险评估与系统漏洞的预先发现（SCAN） 网络威胁检测、预警 信息系统边界防护(FW/UTM/NG) 入侵检测诊断、防护（IDS/IPS/IPM） 系统监控与强审计 应急预案与机制快速启动 备份、修复与容灾 动态拓扑结构的优化调整 积极防御机制的启动陷阱、隐蔽、追踪、取证侦探、预警、反击、制瘫,建全信息安全保障技术体系 -检测与防护技术的关注点-,信息安全域的科学划分 内网、(专网) 、外网、互联网 信息安全域边界的安全控制 逻辑隔离/物理隔离 信息安全机制的纵深多级布署 多级配置/集成管理/设施联动 (SOC) 公共干线（TSP）的安全保障 有线/无线/卫星,构建信息安全保障技术体系 -纵深防御技术关注点-,网络信息安全纵深防御框架,核心内网 局域计算环境 （安全域a）,专用外网 局域计算环境 （安全域m）,公共服务网 局域计算环境 （安全域n）,Internet、TSP、PSTN、VPN 网络通信基础设施 （光纤、无线、卫星）,信息安全基础设施 (PKI、PMI、KMI、CERT、DRI),网络安全边界,关注工控网络系统的安全防护 工信部 451号文 1. 工控系统管理要求 2. 工控系统组网管理要求 3. 工控系统配置管理要求 4. 设备选择与升级管理要求 5。数据管理要求 6。应急管理要求 7。工控系统安全测评、漏洞发布和风险评估 数据采集与监控 ( SCADA) 发布式控制系统 (DCS) 过程控制系统 (PCS) 可编程逻辑控制器 (PLC) SCADA、DCS、PCS、PLC IT,重视IT新技术应用的安全挑战 -掌控新技术应用中的“安全控制点”-,- 移动互联网：智能端机的安全 - 云计算：虚拟化、服务化、集约化的三化安全 -物联网 ：感知端的安全 (要害部位） - 智能位置服务（LBS）：位置隐私的安全 - Web2.0 （微博）：内容安全 - 大数据：海量治理的安全 - 网络多维化： 可视、可听、可感的安全 “安全性”成为新的挑战、要高度重视,抓好智慧城市物联网安全 （）顶层设计、全局规划 多样化环境、多样化主体、多样化传输（模式、协议、标准） （ ）从”三个“层次落实 “感知端”与“传递层”、“智能层” （）从”五个“领域入手 信任体系、检测防护、监控审计、应急容灾、管理体系 （）保证信息及服务的”六性“ 保密性、完整性、可用性、真实性、可核查性、可控性 （5）特别关注“感知端”与“传递层”和“智能层”之间 系统全局的安全协同设计 关键是 保障大数据的安全,认真应对“云计算”安全的挑战,-“虚拟化”、“服务化”、“集约化 ”- 云计算的 三化 带来应用效果，也带来安全挑战 。“ 虚拟化”管理的脆弱性 （生成、分配、迁移、回收） 。 “ 服务化”的可视性和可核查性 。“集约化”的应用边界的隔离和可控性 。,强化 “ 云计算”系统安全的对策,(一)科学划分云计算的安全保护等级（四部委文件） 投入与风险的平衡点 安全资源的优化配置 (二)构建云计算的安全保障体系 重视顶层设计,做好云计算安全技术体系与安全管理体系 强化云计算安全四个可信要素 可信根、可信平台、可信接入、可信管理 (三)作好云计算安全测评与风险评估 是云计算安全建设的起点、也覆盖终生 提升云计算安全的可信性,做好信息安全保障体系的顶层设计,抓好信息安全的关注点 信息系统价值保护 信息系统使命完成 信息系统安全的保护目标 在国家信息安全保障体系框架指导下进行 遵循国家相关的标准、法规和政策： 等级保护、安全接入、工控安全、自主可控 充分享用国家提供的信息安全基础设施的支撑能力 自主和可控的利用信息安全产品和服务 在信息系统全生命周期中进行信息安全全局规划 使命确立、结构设计、威胁分析、脆弱性分析、风险分析、安全需求挖掘、 信息安全技术体系设计、信息安全管理体系设计、应急予