信息安全现状和发展.ppt

信息安全现状和发展 2 目录 引言信息系统潜在威胁安全需求和基本技术信息安全保障体系典型网络安全产品信息安全发展结语 3 引言 信息化快速发展 使信息化环境所面临的各种主动和被动攻击的情形越来越严峻 信息系统客观存在的大量漏洞 极易被敌对势力或黑客利用来对系统进行攻击 美国在2007年9月成立网络司令部 核心任务是保证本国网络安全和袭击他国核心网络 有攻也有防 被外界称为 黑客 司令部 对我国信息安全形成了严重的威胁 我国信息化建设和反台独军事斗争准备的紧迫形势下 党政军各类信息系统和信息本身的安全问题已经成为积极防御和体系对抗的重要环节 4 引言 2006年5月中办和国办发布 2006 2020年国家信息化发展战略 对未来我国信息化发展的目标 任务 战略重点以及措施等都做出了系统部署 九大战略重点 推进国民经济信息化 推行电子政务 建设先进网络文化 推进社会信息化 完善综合信息基础设施 加强信息资源的开发利用 提高信息产业竞争力 建设国家信息安全保障体系 提高国民信息应用能力 造就信息化人才队伍 5 引言 2006年4月 国家信息化领导小组副组长曾培炎副总理对国家信息化专家咨询委员会提出的要求有四条 一是总结信息化发展的历史经验和教训 研究信息化发展的趋势规律 探索符合中国国情的信息化模式 二是研究信息领域的重大技术问题 如集成电路设计与制造 新一代移动通信 下一代互联网 数字电视 信息安全等技术 实现关键领域的突破 三是研究推广应用信息技术的政策措施 四是研究有利于推进信息化的体制机制 6 信息系统潜在威胁 被动攻击 一般在信息系统的外部进行 对信息网络本身一般不造成损坏 系统仍可正常运行 但有用的信息可能被盗窃并被用于非法目的 信息窃取 攻击者从传输信道 存储介质等处窃取信息 密码破译 对截获的已加密信息进行密码破译 从中获取有价值的信息 信息流量分析 对网络中的信息流量和信息流向进行分析 得出有价值的情报 7 信息系统潜在威胁 主动攻击 直接进入信息系统内部 往往会影响系统的运行 造成巨大的损失 并给信息网络带来灾难性的后果 入侵 利用系统或网络漏洞 远程访问 盗取口令 借系统管理之名等方法进入系统 进行攻击 假冒 假冒合法用户身份 执行与合法用户同样的操作 行欺骗和攻击之实 窜改 插入 重放 阻塞 施放病毒 进入被攻击系统后的攻击手段 抵赖 对发送或接收行为进行抵赖 8 信息系统潜在威胁 黑客攻击手法 9 信息系统潜在威胁 10 安全需求和基本技术 安全五性需求 真实性机密性完整性不可抵赖性可用性 安全基本技术身份认证加密保护数据完整性数字签名访问控制安全管理 11 信息安全保障体系 经历了三代 通信保密 COMSEC 时代 19世纪70年代前 重点是通过密码技术解决通信保密问题 主要安全威胁是搭线窃听和密码分析 采用的保障措施就是加密 确保保密性和完整性 其时代标志是1949年Shannon发表的 保密通信的信息理论 和1977年美国国家标准局公布的数据加密标准 DES 12 信息安全保障体系 信息安全 INFOSEC 时代 20世纪70 90年代 重点是确保计算机和网络的硬件 软件和传输 存储和处理的信息的安全 主要安全威胁是非法访问 恶意代码 网络入侵 病毒破坏等 主要保障措施是安全操作系统 TCB 防火墙 防病毒软件 漏洞扫描 入侵检测 PKI VPN和安全管理等 其时代标志是1985美国国防部公布的可信计算机系统评价准则 TCSEC 和ISO的安全评估准则CC ISO15408 13 信息安全保障体系 信息安全保障 IA 时代 90年代后期至今 不仅是对信息的保护 也包括信息系统的保护和防御 包括了对信息的保护 检测 反应和恢复能力 信息保障强调信息系统整个生命周期的防御和恢复 同时安全问题的出现和解决方案也超越了纯技术范畴 典型标志是美国国家安全局制定的 信息保障技术框架 IATF 14 信息安全保障体系 信息保障 InformationAssurance 概念最早由美国防部在1995年 S 3600 1信息作战 指令中提出 通过确保信息和信息系统的可用性 完整性 鉴别性 保密性和不可抵赖性来保护信息和信息系统的信息作战行动 包括综合利用保护 探测和响应能力恢复系统的功能 信息保障概念很快被政府各部门和工业界广泛接受 1998年5月22日 美国政府颁发了 保护美国关键基础设施 总统令 PDD 63 围绕 信息保障 成立了多个组织 其中包括全国信息保障委员会 全国信息保障同盟 关键基础设施保障办公室 首席信息官委员会 联邦计算机事件响应能动组等10多个全国性机构 15 信息安全保障体系 美国国家安全局 NSA 在1998年发布了信息保障技术框架 IATF 2002年9月发布了3 1版 16 多层防护案例 信息安全保障体系 骨干网 骨干网 帧中继电路 SDH信道 IP局域网 IP局域网 IP局域网 骨干节点 ATM接入交换机 ATM交换机节点 路由器 无ATM交换机节点 路由器 路由器 PSTN ISDN 拨号服务器 ATM接入交换机 广域网 17 信息安全保障体系 信息保障不只是依靠安全防护措施对信息和信息系统进行静态的安全防护 而是基于整个信息保障体系 最终实现对于信息和信息系统持续的动态的安全性保证 这个保障体系包括由防护 检测 响应 恢复 PDRR 等四个环节组成的信息保障体系 18 信息安全保障体系 PDRR 防护 P 采用相关安全策略 机制 管理 服务和安全产品 实现系统的安全防护 检测 D 使用实时监控 入侵检测 漏洞扫描等技术 对系统进行安全检测 响应 R 对安全事件作出快速反应 尽量减少和控制对系统影响的程度 恢复 R 对遭受破坏的系统数据和系统服务进行恢复和重建 19 信息安全保障体系 信息安全保障体系是以往著名安全体系的发展 信息系统安全工程 ISSE 信息保护系统的需求分析 定义 设计 实施和评估 信息系统生命周期 系统的启动 建设 安装 评估 运维 废弃六个阶段 风险管理 调整和权衡影响安全保障的每一个因素的目标 从而获得适当的总体信息安全保障 公共准则 CC 系统的安全功能要求 11类 保护轮廓PP 和满足该要求的安全保证要求 7个等级 安全目标ST 20 信息安全保障体系 2003年中共中央办公厅和国务院办公厅转发 国家信息化领导小组关于加强信息安全保障工作的意见 的通知 中办发 2003 27号 第一次把信息安全提到了促进经济发展 维护社会稳定 保障国家安全 加强精神文明建设的高度 并提出了 积极防御 综合防范 的信息安全管理方针 2003年7月成立了国家计算机网络应急技术处理协调中心 CNCERT CC 协调全国的CERT组织对全国范围内计算机应急处理有关的数据进行统计 协同处理大规模网络安全事件 为国家重要部门提供应急处理服务 21 信息安全保障体系 2005年9月 国务院信息化工作办公室引发 电子政务信息安全等级保护实施指南 试行 将我国信息安全分五级防护 自主保护级 指导保护级 监督保护级 强制保护级 专控保护级 最近 中共中央办公厅 国务院办公厅印发了 2006 2020年国家信息化发展战略 将建设国家信息安全保障体系列入我国信息化发展的战略重点 22 信息安全保障体系 国家计算机网络应急技术处理协调中心统计 今年上半年监测到大陆地区1 000 372个IP地址的主机被植入木马 比去年全年的44 717个IP地址增加了20多倍 据有关方面统计 美国每年由于网络安全问题而遭受的经济损失超过170亿美元 德国 英国也均在数十亿美元 法国为100亿法郎 日本 新加坡问题也很严重 据国家计算机网络应急技术处理协调中心估计 我国网络犯罪形成的黑色产业链的年产值已超过2 38亿元 造成的经济损失超过了76亿元 23 信息安全保障体系 国防上的各类军事电子信息装备与系统 各类武器平台电子信息装备 以及各种军用软件 电子基础产品 国防电子信息基础设施的建设等都需要信息安全保障 国家的各种重大电子信息系统工程的建设 党政网络建设 政务系统建设等 还有商用 民用的电子信息软件 组件 整机和系统等也都需要信息安全的保障 只要有信息系统的存在 就一定有信息安全的需要 信息安全已经成为信息系统的一个必要的组成部分了 24 信息安全保障体系 信息安全系统组成 国家保密局在2001年发布的 涉及国家秘密的计算机信息系统安全保密方案设计指南 BMJ2 2001 25 信息安全保障体系 2005年 中国网络安全产品市场的总销售额达44 61亿元 比2004年增长了9 69亿元 国家信息化安全市场分为五个安全领域 国家基础设施信息化 电子政务 电子商务 产业信息化和城市信息化 包括人民生活信息化 国家信息基础设施包括国防 金融 电力 工业 商业 政府等范畴内信息基础设施 其安全建设存在着巨大建设空白 需要在国家信息化领导小组统一领导和各相关部门的配合下 建立国家基础设施信息安全的专门防护 监管 应急与威慑力量 建设提供国家基础设施安全装备与技术的产业骨干企业体系 26 信息安全发展 宽带无线移动通信安全 如何保证4G融合的系统 27 信息安全发展 网络中心企业服务的安全NCES是美军国防转型的一个重点 是为满足网络中心战的需要 从公共运作环境 COE 演变而来的一种新型分布式的服务架构 以服务的可视 可访问 可理解 可信 可互操作和可响应为目标 28 信息安全发展 网络中心企业服务的安全 IA是9个核心企业服务之一 并嵌入到所有其它服务中 29 多区域协作和全局联动安全 防火墙与入侵检测联动 信息安全发展 30 多区域协作和全局联动安全 入侵检测与主机监控间联动 信息安全发展 31 结语 信息安全系统是国家重要的信息基础设施 关系着我信息主权乃至国家主权的维护 最终将关系到军队和国家的存亡 因此是国防和国家安全的重要组成部分 信息安全保障是保护信息系统 保护信息化进程 保护国家和社会安定所必须的 32 结语 从技术上说 信息保障对信息和信息系统的安全的要求是从根基做起 动态 全时空和全过程地做好主动防御 综合防范 向广度延伸 向纵深发展 33 结语 在技术保障体系下 要建立国家信息安全保障基础设施 要加快信息安全立法 建立信息安