做好新型信息技术发展应用信息安全等级保护工作

1、做好新型信息技术发展应用做好新型信息技术发展应用信息安全等级保护工作信息安全等级保护工作当前，我国信当前，我国信息化发展正进息化发展正进入全面深化的入全面深化的新阶段新阶段这些这些新型信息技术发展应用新型信息技术发展应用，给我国网络与信，给我国网络与信息安全保障工作提出了新任务，对信息安全等息安全保障工作提出了新任务，对信息安全等级保护工作进行了全面挑战级保护工作进行了全面挑战1 工业控制系统工业控制系统 1）我国信息安全面临的新问题与新挑战）我国信息安全面临的新问题与新挑战 2 三网融合三网融合 3 物物 联联 网网 4 云云 计计 算算 输入输入/输出输出计量传感器计量传感器现场设备现场设

2、备远程控制远程控制智能电子设备智能电子设备远程控制单元远程控制单元通信通信协议协议以太网以太网串口串口无线无线监控监控/数据采集数据采集服务器服务器应急管理系统应急管理系统集散控制系统集散控制系统现场设备现场设备 控制器控制器 通信网络通信网络 监控管理监控管理工业控制系统：工业控制系统：2）信息安全等级保护制度适用于新型信息技术应）信息安全等级保护制度适用于新型信息技术应用的信息安全保障用的信息安全保障 三网融合：三网融合： 综综 合合 业业 务务 应应 用用 电电 信信 广广 电电 互联网互联网 业业 务务 融融 合合 网网 络络 基基 础础 设设 施施 物联网：物联网：传传感感器器域域

3、网络网络通信通信 应用处理应用处理 环境环境 用用 户户 软件即服务（软件即服务（SaaS）（行业应用、工具应用等）（行业应用、工具应用等）平台平台即服务（即服务（PaaS）（可扩展的运行环境、数据存储等）（可扩展的运行环境、数据存储等）基础架构即服务（基础架构即服务（IaaS）（虚拟服务器、存储、网络）（虚拟服务器、存储、网络） 硬件设施硬件设施 云计算：云计算：You canBe likeGod1、可信、可信You canBe likeGod2、可控、可控You canBe likeGod3、可管、可管 针对信息资源（数据及应用）构针对信息资源（数据及应用）构建业务流程控制链，以访问控制建

4、业务流程控制链，以访问控制为核心，实行主体（用户）按策为核心，实行主体（用户）按策略规则访问客体（信息资源）略规则访问客体（信息资源） 保证资源安全必须实行科学管理保证资源安全必须实行科学管理，强调最小权限管理，尤其是高，强调最小权限管理，尤其是高等级系统实行三权分离管理体制等级系统实行三权分离管理体制，不许设超级用户，不许设超级用户1要坚持正确的技术路线，从国情出发，要坚持正确的技术路线，从国情出发，按需适度安全，逐步发展完善按需适度安全，逐步发展完善2 要重点做好操作人员使用的终端防护，把要重点做好操作人员使用的终端防护，把住攻击发起的源头关，做到操作使用安全住攻击发起的源头关，做到操作使

5、用安全345 加强技术平台支持下的安全管理，应与业务处加强技术平台支持下的安全管理，应与业务处理、监控及日常安全管理制度相结合理、监控及日常安全管理制度相结合 为便于技术方案实施，整改时不改或少改原有为便于技术方案实施，整改时不改或少改原有的应用系统。以信息处理流程制定安全策略，的应用系统。以信息处理流程制定安全策略，实施访问控制实施访问控制信息系统云化是指其信息处理流程在云计算中心信息系统云化是指其信息处理流程在云计算中心完成。因此云计算中心负有安全保障责任，也有完成。因此云计算中心负有安全保障责任，也有信息系统用户的行为安全责任信息系统用户的行为安全责任3）新型信息技术应用的新型信息技术应

6、用的等级保护等级保护技术框架技术框架云计算中心可以同时运行多个不同安全级别的信云计算中心可以同时运行多个不同安全级别的信息系统。云计算中心安全级别不低于承运最高等息系统。云计算中心安全级别不低于承运最高等级信息系统的级别级信息系统的级别可信计算是指：可信计算是指：计算处理结果与预期的相一致，计算处理结果与预期的相一致，中间过程可控制管理、可度量验证中间过程可控制管理、可度量验证 服务管理员服务管理员 平台层平台层 软件应用层软件应用层 运维管理运维管理 应用多用户应用多用户 应用虚拟化应用虚拟化 中间层服务中间层服务 数据库服务数据库服务 基础架构层基础架构层 虚拟化服务虚拟化服务 服务器服务

7、器 网络网络 存储存储 物理资源物理资源 业务管理业务管理 安全管理安全管理 访问接口访问接口 WEB WEB服务服务 通信通信 网络网络 用户用户接入边界接入边界计算环境计算环境管理平台管理平台可信接入边界可信接入边界 用户用户 终端终端 可信通可信通信网络信网络 可信计算设备可信计算设备 应用服务资源应用服务资源 平台平台 虚拟层虚拟层 计算单元计算单元系统系统 安全安全 审计审计安全管理中心安全管理中心可信计算环境可信计算环境计计算算节节点点在安全管理中心支撑下的在安全管理中心支撑下的可信计算环境可信计算环境可信边界可信边界可信通信网络可信通信网络 三重防护架构三重防护架构可信链传递可信

8、链传递可信接入平台可信接入平台 用户服务请求用户服务请求 服务提供服务提供 计算环境计算环境 应用服务应用服务 计算平台计算平台虚拟化虚拟化基础设施基础设施（可信根）（可信根） 计算节点计算节点控控制制流流程程可可信信可信链传递可信链传递从基础设施可信根出发从基础设施可信根出发度量基础设施、计算平台度量基础设施、计算平台验证虚拟计算资源可信验证虚拟计算资源可信支持应用服务的可信支持应用服务的可信确保计算环境可信确保计算环境可信可信链传递可信链传递可信接入平台可信接入平台 用户服务请求用户服务请求 服务提供服务提供 计算环境计算环境 应用服务应用服务 计算平台计算平台虚拟化虚拟化基础设施基础设施

9、（可信根）（可信根）计算节点计算节点控控制制流流程程可可信信可信接入可信接入验证用户请求和连接的计验证用户请求和连接的计算资源可信算资源可信可信接入边界可信接入边界 用户用户 终端终端 可信通可信通信网络信网络 可信计算设备可信计算设备 系统系统 安全安全 审计审计安全管理中心安全管理中心可信计算环境可信计算环境应用服务资源应用服务资源 平台平台 虚拟层虚拟层 计算单元计算单元计计算算节节点点保证用户与云中心通信安全可保证用户与云中心通信安全可信信可信接入边界可信接入边界 用户用户 终端终端 可信通可信通信网络信网络 可信计算设备可信计算设备 系统系统 安全安全 审计审计安全管理中心安全管理中心可信计算环境可信计算环境应用服务资源