信息安全保障体系课件

构建信息安全保障体系的思考曲成义研究员2003年9月1构建信息安全保障曲成义研究员2003年9月1全球信息化发展信息化成为经济发展的重要推动力信息化引发全球的产业革命信息化成为国际经济竞争的焦点信息化成为国力和经济增长力的重要标志信息化是全球经济和社会发展的大趋势2全球信息化发展信息化成为经济发展的重要推动力2全球信息化动向1993：美国提出“信息高速公路”（NII）1994：ITU会议戈尔提出GII1995：G7会议支持GII1996：日本“电子信息技术开发计划”1997：欧盟提出“信息社会计划”1998：马来西亚“多媒体走廊”1999：新加坡实施“智慧岛”（IT-2000）制订ICT-212000：全球信息社会宪章（G8）影响—动力、知识—潜能、挑战—机遇3全球信息化动向1993：美国提出“信息高速公路”（NII）3中央关于国家十五计划的建议（中央十五届五次全会公报）大力推进国民经济和社会信息化信息化是覆盖现代化建设全局的战略举措信息化带动工业化，发挥后发优势，跨越式发展政府行政管理要运用数字化、网络化技术，加速信息化步伐4中央关于国家十五计划的建议（中央十五届五次全会公报）大力推互联网推动企业（部门）信息平台的重构Intranet/Extranet/Internet互联网将成为国家重要的基础设施美国：40%网民、30%金融、25%产品、30%股市互联网刺激了信息产业的迅速发展软件业、硬件制造业、信息服务业网络经济是新经济的集中表现互联网是新兴数字化业务的摇篮EC、EG、DE、DM、NM、CW、AM互联网的崛起5互联网推动企业（部门）信息平台的重构互联网的崛起5互联网存在的六大问题无主管的自由王国：有害信息、非法联络、违规行为不设防的网络空间：国家安全、企业利益、个人隐私法律约束脆弱黑客犯罪、知识侵权、避税跨国协调困难过境信息控制、跨国黑客打击、关税民族化和国际化的冲突文化传统、价值观、语言文字网络资源紧缺

IP地址、域名、带宽6互联网存在的六大问题无主管的自由王国：6网上黑客与计算机犯罪网上攻击事件每年以10倍速度增涨（一次/20秒）黑客攻击手段1000~1500种98年黑客攻击美国防部的Analiza案件99年40家银行的电子购物账户密码曝光2000年2月7日攻击美国知名网站案件：

损失$12亿，影响百万网民

Yahoo、Amazon、CNN、Buy、eBay、Etrade

网上勒索：CDUniverse用户信用卡被曝光美国网络安全造成损失$170亿/年美国金融界计算机犯罪损失$100亿/年7网上黑客与计算机犯罪网上攻击事件每年以10倍速有害信息污染黄色信息：涉及1%网站，10亿美元年营业额邪教信息：法轮功80个反宣传网站虚假新闻：美校园炸弹恐吓事件、网上股市欺诈宣扬暴力：炸药配方政治攻击：政治演变论

垃圾邮件：1000件/人年、损失几百亿美元8有害信息污染黄色信息：涉及1%网站，10亿美元年营业额8网络病毒的蔓延和破坏活体计算机病毒达14000种（4万种、10/天）网络病毒有更大的破坏性（占52%）1988年莫里斯事件（UNIX/Email）：6000台、$9000万1998年的CIH病毒（系统程序和硬盘数据）：2000万台计算机1999年的梅利莎案件（Window/Email）：$8000万2000年的爱虫病毒：1200万台、$几十亿2001年的红色代码、尼姆达病毒：蠕虫/木马/黑客2002年的求职信病毒2003年的冲击波病毒9网络病毒的蔓延和破坏活体计算机病毒达14000种（4万种机要信息流失与信息间谍潜入国家机密信息、企业关键信息、个人隐私

Web发布、电子邮件、文件传送的泄漏予谋性窃取政治和经济情报

CIA统计入侵美国要害系统的案件

年增长率为30%14%部门出现过网上失密网上失密占总量的70%，年增长100%10机要信息流失与信息间谍潜入国家机密信息、企业关键信息、个网络自身的脆弱性网络系统的安全脆弱点

Solaris:34漏洞/99年，W2000有上万个Bug、TCP/IP

网络的扩展与业务负荷澎涨：

信息量半年长一倍，网民年增涨30%网络带宽瓶颈和信息拥挤社会与经济对网络的巨大依赖性：

US：30%股市、25%产品、30%金融、50%人口灾难恢复的脆弱性

“AOL”96年10小时系统故障影响700万用户2000年2.7事件8大网站瘫痪24~72小时

11网络自身的脆弱性网络系统的安全脆弱点11网络安全产品的自控权安全产品(出厂.分销.安装.升级)：

隐通道、嵌入病毒、缺陷、可恢复密钥、恶意代码大量外购安全产品缺少自控权我国缺少配套的安全产品控制政策和机制我国安全产业还比较稚嫩是重大安全隐患之一12网络安全产品的自控权安全产品(出厂.分销.安装.升级)：信息战与网络恐怖活动有组织、大规模的网络攻击预谋行为：

网络恐怖活动——恐怖集团行为信息战争——国家行为

针对信息要害目标的恶性破坏无硝烟的战争：

跨国界、隐蔽性、低花费、跨领域高技术性、情报不确定性要害目标：

金融支付中心、证券交易中心空中交管中心、铁路调度中心电信网管中心、军事指挥中心电力调度中心、关键信息基础设施13信息战与网络恐怖活动有组织、大规模的网络攻击预谋行为：1网上权益纠纷和违规行为

知识产权侵犯（内容产品转发、盗用、赚钱）名誉权侵犯隐私权侵犯（10个数据库/个人，隐私成为非法商品）消费权纠纷（延误、差错、否认、风险）网上避税（5亿英磅/年，流失、转移）网上非法赌博网上非法联络（密码邮件、P2P、信息隐藏）14网上权益纠纷和违规行为知识产权侵犯（内容产品转发、盗用、Hacker(黑客）MMMMaster(主攻手）zzzzzzzzZombie（僵尸）美2.7黑客案件的攻击方式分布式拒决服务（DDoS）漏洞方案用户权控制权木马注入清痕迹留后门15HackerMMMMasterzzzzzzzzZombie美Hacker(黑客）MMMMaster(主攻手）zzzzzzzzZombie（僵尸）Target（目标机）美2.7黑客案件的攻击方式分布式拒决服务（DDoS）16HackerMMMMasterzzzzzzzzZombieT美国2.7黑客事件的启示互联网正在成为国家重要基础设施

一亿多网民（50%）3000万人参予网上购物，$1000亿元交易额30%的股市交易、30%金融、25%产品互联网威胁给社会带来巨大冲击

CNN的100万网民阅读网络新闻受阻

Amason的820万注册用户无法购书3天总损失高达$12亿互联网安全问题正在进入国家战略层

克林顿2月16日召开网络安全高峰会议支持$900万建立高科技安全研究所拔款$20亿建基础设施打击网络恐怖活动17美国2.7黑客事件的启示互联网正国家信息化领导小组第三次会议《关于加强信息安全保障工作的意见》—中办发[2003]27号文—坚持积极防御、综合防范全面提高信息安全防护能力重点保障信息网络和重要信息系统安全创建安全健康的网络环境保障和促进信息化发展、保护公众利益、维护国家安全立足国情、以我为主、管理与技术并重、统筹规划、突出重点发挥各界积极性、共同构筑国家信息安全保障体系

18国家信息化领导小组第三次会议《关于加国家信息安全保障工作要点

实行信息安全等级保护制度：风险与成本、资源优化配置、安全风险评估

基于密码技术网络信任体系建设：密码管理体制、身份认证、授权管理、责任认定

建设信息安全监控体系：提高对网络攻击、病毒入侵、网络失窃密、有害信息的防范能力

重视信息安全应急处理工作：指挥、响应、协调、通报、支援、抗毁、灾备

推动信息安全技术研发与产业发展：关键技术、自主创新、强化可控、引导与市场、测评认证、采购、服务

信息安全法制与标准建设：信息安全法、打击网络犯罪、标准体系、规范网络行为

信息安全人材培养与增强安全意识：学科、培训、意识、技能、自律、守法信息安全组织建设：信息安全协调小组、责任制、依法管理19国家信息安全保障工作要点实行信息信息安全保障体系20信息安全保障体系20发展与安全——保驾护航资产与威胁——保障能力防护与检测——纵深防御成本与风险——等级保护技术与管理——综合治理培训与自律——以人为本强度与弱点——均衡设计落实七项策略21发展与安全——保驾护航落实七项策略21增加网络四种安全能力信息安全防护能力隐患发现能力网络应急反应能力信息对抗能力保障信息及其服务具有五性机密性、完整性、真实性、可用性、可控性22增加网络四种安全能力信息安全防护能力保障信息及其服务具有五组织管理技术保障信息安全基础设施产业支撑人材教育和培养法规与标准国家信息安全保障体系一个体系、六个要素23组织管理技术保障信息安全基础设施产业支撑人材教育和培养法规与行政管理体制技术管理体制信息系统安全管理准则（ISO17799）管理策略组织与人员资产分类与安全控制配置与运行网络信息安全域与通信安全异常事件与审计信息标记与文档物理与环境开发与维护作业连续性保障符合性信息安全组织管理24行政管理体制信息安全组织管理24创建一个具有一批高级信息安全人材、雄厚的安全技术队伍、普及安全意识和技术的人材大环境学历教育：专业设置、课程配套高级人材培养：研究生学院、博士后流动站职业和技能培训：上岗和在职培训、考核认证制度信息安全意识提升：学会、协会、论坛、媒体网上教育：信息安全课件、网上课堂信息安全出版物：技术型、普及型信息安全人材教育与培养25创建一个具有一批高级信息安全人材、雄厚的安全技术队伍、普及安推动安全产业发展，支撑安全保障体系建设掌握安全产品的自主权、自控权建设信息安全产品基地形成信息安全产品配套的产业链造就出世界品牌的安全骨干企业安全产品制造业、集成业、服务业全面发展尽快配套信息安全产业管理政策（准入、测评、资质、扶植、采购）重视TBT条款运用，保护密码为代表的国内安全产品市场信息安全产业26推动安全产业发展，支撑安全保障体系建设信息安全产业26加强信息安全标准化技术委员会工作积极参予国际信息安全标准制订活动注意采用国际与国外先进标准抓紧制订国家标准和协调行业标准重视强制性和保护性（TBT）标准的制订推动信息安全产品标准互操性的测试和认证兼容性和可扩展性的需要信息安全法规与标准（标准）27加强信息安全标准化技术委员会工作信息安全法规与标准27密码算法、密钥管理及应用类PKI/PMI类信息安全评估和保障等级类电子证据类内容安全分级及标识类信息安全边界控制及传输安全类身份识别及鉴别协议类网络应急响应与处理类入侵检测框架类信息安全管理类资源访问控制类安全体系结构与协议类安全产品接口与集成管理类信息系统安全工程实施规范类XML、CSCW、Web安全应用类信息安全法规与标准（标准）28密码算法、密钥管理及应用类信息安全法规与标准28电子文档与数字签章类数据保密与公开类网络信息内容安全监管类网络信息犯罪与惩治类个人数据保密类（隐私法）数字内容产品版权保护类电子商务运营监管类（EC、NB、NS）网上交易税法类网络信息企业市场准入类密码研制、生产与应用管理类网络媒体监管类网上娱乐活动监管类网上通信联络监管类信息安全法信息安全法规与标准（法规）29电子文档与数字签章类信息安全法规与标准29基于数字证书的信任体系（PKI/CA）信息安全测评与认证体系（CC/TCSEC）应急响应与支援体系（CERT）计算机病毒防治与服务体系（A-Virus）灾难恢复基础设施（DRI）密钥管理基础设施（KMI）信息安全基础设施（社会公共服务类）30信息安全基础设施30网上信息内容安全监控体系网络犯罪监察与防范体系电子信息保密监管体系网络侦控与反窃密体系网络预警与网络反击体系信息安全基础设施（信息安全执法类）31信息安全基础设施31信息安全技术保障框架32信息安全技术保障框架32组建研发国家队与普遍推动相结合推动自主知识产权与专利建设技术工程中心与加速产品孵化加大技术研发专项基金全面推动与突出重点的技术研发基础类：风险控制、体系结构、协议工程、有效评估、工程方法关键类：密码、安全基、内容安全、抗病毒、IDS、VPN、强审计系统类：PKI、PMI、DRI、网络预警、集成管理、KMI应用类：EC、EG、NB、NS、NM、WF、XML、CSCW物理与环境类：TEMPST、物理识别前瞻性：免疫、量子、漂移、语义理解自主研发与创新33自主研发与创新33法规：外购产品与服务的安全承诺管理：对分发式威胁的控制和操作规律规范技术：安全加固安全配置漏洞扫描恶意功能发现系统监控外购产品与服务的可控性34法规：外购产品与服务的安全承诺外购产品与服务的可控性34网络信息安全域的划分与隔离控制内部网安全服务与控制策略外部网安全服务与控制策略互联网安全服务与控制策略公共干线的安全服务与控制策略（有线、无线、卫星）计算环境的安全服务机制多级设防与科学布署策略全局安全检测、集成管理、联动控制与恢复（PDR²）建立网络纵深防御体系35建立网络纵深防御体系35信息网络安全纵深防御框架核心内网局域计算环境（安全域a）专用外网局域计算环境（安全域m）公共服务网局域计算环境（安全域n）Internet、TSP、PSTN、VPN网络通信基础设施（光纤、无线、卫星）信息安全基础设施(PKI、PMI、KMI、CERT、DRI)网络安全边界36信息网络安全纵深防御框架核心内网专用外网公共服务网Inter纵深型防御技术关注点

信息安全域的划分信息安全域的边界的安全控制逻辑隔离/物理隔离/VPN/网络监控

信息安全机制的纵深多级布署多级配置/适度安全/设施联动

租用公共干线（TSP）的安全保障有线/无线/卫星37纵深型防御技术关注点信息安全域的划分37边界逻辑隔离

VLANNAT

防火墙安全网关

VPN38边界逻辑隔离VLAN38网络物理隔离技术物理级（电磁辐射）屏蔽、干扰终端级（双网机）双盘型、双区型传输信道级

非加密信道、加密信道网络级（网闸）信息交换型：SMTP、FIP信息共享型：Web/Browser系统互操作型：B/A/D39网络物理隔离技术物理级（电磁辐射）39公共干线安全保障技术网络阻塞攻击/洪流攻击/服务窃取/破坏网管保护用户通信流/控制通信流/网管通信流透明性/可用性/保密性/完整性

NAT/IPsec/SNMPv3/Tunnel/I&A/VPN/WEP40公共干线安全保障技术网络阻塞攻击/洪流攻击/服务窃取/破安全需求分析：

威胁，弱点，风险，对策安全功能定义安全要素设计：物理、网络、系统、应用、管理全程安全控制风险全程管理安全有效评估强壮性策略（ISSE，IATF，CC，TESEC）信息系统安全工程和服务41安全需求分析：威胁，弱点，风险，对策（ISSE，IATF比较和对比可用攻击研究敌方行为理论开创任务影响理论比较和对比各种行为行动决策对策识别与特征描述任务关键性参数权衡脆弱性与攻击的识别与特征描述威胁的识别与特征描述任务影响的识别与描述基础研究与事件分离系统改进风险分析风险管理流程42比较和对比研究敌方开创任务比较和对比行动决策对策识别任务关键信息安全有效评估流程提供采取降低影响完成保护安全保证技术提供者系统评估者安全保证信心风险对策资产使命资产拥有者价值给出证据生成保证具有43信息安全有效评估流程提供采取降低影响完成保护安全保证技术提供威胁级别（Tn）资产价值等级（Vn）安全机制强度等级（SMLn)安全技术保障强壮性级别（IATRn）

IATRn=f（Vn、Tn、SMLn、EALn）信息安全保障强壮性策略44威胁级别（Tn）信息安全保障强壮性策略44企业（部门）信息安全保障系统建设企业（部门）信息安全的关注点信息系统使命和系统价值保护核心竞争力与竞争情报的保护管理、生产、交易、客户和供应信息链的安全保护国家信息安全保障体系框架指导下进行遵循国家相关的标准、法规和政策充分享用国家提供的信息安全基础设施的支撑能力自主和可控的利用信息安全产业提供的产品和服务在信息系统的生命周期中进行信息安全全面规划使命确立、结构设计、威胁分析、脆弱性分析、风险分析、安全需求挖掘、安全体系设计、采购与实施、运行操作、维护更新。在信息网络5个层次上进行信息安全服务和机制全局设计部署物理层、系统层、网络层、应用（数据）层、管理层重视信息安全保障体系建设中的动态防护和纵深防御的策略45企业（部门）信息安全保障系统建设企业（部门）信息安全的关注点构建信息安全保障体系的思考曲成义研究员2003年9月46构建信息安全保障曲成义研究员2003年9月1全球信息化发展信息化成为经济发展的重要推动力信息化引发全球的产业革命信息化成为国际经济竞争的焦点信息化成为国力和经济增长力的重要标志信息化是全球经济和社会发展的大趋势47全球信息化发展信息化成为经济发展的重要推动力2全球信息化动向1993：美国提出“信息高速公路”（NII）1994：ITU会议戈尔提出GII1995：G7会议支持GII1996：日本“电子信息技术开发计划”1997：欧盟提出“信息社会计划”1998：马来西亚“多媒体走廊”1999：新加坡实施“智慧岛”（IT-2000）制订ICT-212000：全球信息社会宪章（G8）影响—动力、知识—潜能、挑战—机遇48全球信息化动向1993：美国提出“信息高速公路”（NII）3中央关于国家十五计划的建议（中央十五届五次全会公报）大力推进国民经济和社会信息化信息化是覆盖现代化建设全局的战略举措信息化带动工业化，发挥后发优势，跨越式发展政府行政管理要运用数字化、网络化技术，加速信息化步伐49中央关于国家十五计划的建议（中央十五届五次全会公报）大力推互联网推动企业（部门）信息平台的重构Intranet/Extranet/Internet互联网将成为国家重要的基础设施美国：40%网民、30%金融、25%产品、30%股市互联网刺激了信息产业的迅速发展软件业、硬件制造业、信息服务业网络经济是新经济的集中表现互联网是新兴数字化业务的摇篮EC、EG、DE、DM、NM、CW、AM互联网的崛起50互联网推动企业（部门）信息平台的重构互联网的崛起5互联网存在的六大问题无主管的自由王国：有害信息、非法联络、违规行为不设防的网络空间：国家安全、企业利益、个人隐私法律约束脆弱黑客犯罪、知识侵权、避税跨国协调困难过境信息控制、跨国黑客打击、关税民族化和国际化的冲突文化传统、价值观、语言文字网络资源紧缺

IP地址、域名、带宽51互联网存在的六大问题无主管的自由王国：6网上黑客与计算机犯罪网上攻击事件每年以10倍速度增涨（一次/20秒）黑客攻击手段1000~1500种98年黑客攻击美国防部的Analiza案件99年40家银行的电子购物账户密码曝光2000年2月7日攻击美国知名网站案件：

损失$12亿，影响百万网民

Yahoo、Amazon、CNN、Buy、eBay、Etrade

网上勒索：CDUniverse用户信用卡被曝光美国网络安全造成损失$170亿/年美国金融界计算机犯罪损失$100亿/年52网上黑客与计算机犯罪网上攻击事件每年以10倍速有害信息污染黄色信息：涉及1%网站，10亿美元年营业额邪教信息：法轮功80个反宣传网站虚假新闻：美校园炸弹恐吓事件、网上股市欺诈宣扬暴力：炸药配方政治攻击：政治演变论

垃圾邮件：1000件/人年、损失几百亿美元53有害信息污染黄色信息：涉及1%网站，10亿美元年营业额8网络病毒的蔓延和破坏活体计算机病毒达14000种（4万种、10/天）网络病毒有更大的破坏性（占52%）1988年莫里斯事件（UNIX/Email）：6000台、$9000万1998年的CIH病毒（系统程序和硬盘数据）：2000万台计算机1999年的梅利莎案件（Window/Email）：$8000万2000年的爱虫病毒：1200万台、$几十亿2001年的红色代码、尼姆达病毒：蠕虫/木马/黑客2002年的求职信病毒2003年的冲击波病毒54网络病毒的蔓延和破坏活体计算机病毒达14000种（4万种机要信息流失与信息间谍潜入国家机密信息、企业关键信息、个人隐私

Web发布、电子邮件、文件传送的泄漏予谋性窃取政治和经济情报

CIA统计入侵美国要害系统的案件

年增长率为30%14%部门出现过网上失密网上失密占总量的70%，年增长100%55机要信息流失与信息间谍潜入国家机密信息、企业关键信息、个网络自身的脆弱性网络系统的安全脆弱点

Solaris:34漏洞/99年，W2000有上万个Bug、TCP/IP

网络的扩展与业务负荷澎涨：

信息量半年长一倍，网民年增涨30%网络带宽瓶颈和信息拥挤社会与经济对网络的巨大依赖性：

US：30%股市、25%产品、30%金融、50%人口灾难恢复的脆弱性

“AOL”96年10小时系统故障影响700万用户2000年2.7事件8大网站瘫痪24~72小时

56网络自身的脆弱性网络系统的安全脆弱点11网络安全产品的自控权安全产品(出厂.分销.安装.升级)：

隐通道、嵌入病毒、缺陷、可恢复密钥、恶意代码大量外购安全产品缺少自控权我国缺少配套的安全产品控制政策和机制我国安全产业还比较稚嫩是重大安全隐患之一57网络安全产品的自控权安全产品(出厂.分销.安装.升级)：信息战与网络恐怖活动有组织、大规模的网络攻击预谋行为：

网络恐怖活动——恐怖集团行为信息战争——国家行为

针对信息要害目标的恶性破坏无硝烟的战争：

跨国界、隐蔽性、低花费、跨领域高技术性、情报不确定性要害目标：

金融支付中心、证券交易中心空中交管中心、铁路调度中心电信网管中心、军事指挥中心电力调度中心、关键信息基础设施58信息战与网络恐怖活动有组织、大规模的网络攻击预谋行为：1网上权益纠纷和违规行为

知识产权侵犯（内容产品转发、盗用、赚钱）名誉权侵犯隐私权侵犯（10个数据库/个人，隐私成为非法商品）消费权纠纷（延误、差错、否认、风险）网上避税（5亿英磅/年，流失、转移）网上非法赌博网上非法联络（密码邮件、P2P、信息隐藏）59网上权益纠纷和违规行为知识产权侵犯（内容产品转发、盗用、Hacker(黑客）MMMMaster(主攻手）zzzzzzzzZombie（僵尸）美2.7黑客案件的攻击方式分布式拒决服务（DDoS）漏洞方案用户权控制权木马注入清痕迹留后门60HackerMMMMasterzzzzzzzzZombie美Hacker(黑客）MMMMaster(主攻手）zzzzzzzzZombie（僵尸）Target（目标机）美2.7黑客案件的攻击方式分布式拒决服务（DDoS）61HackerMMMMasterzzzzzzzzZombieT美国2.7黑客事件的启示互联网正在成为国家重要基础设施

一亿多网民（50%）3000万人参予网上购物，$1000亿元交易额30%的股市交易、30%金融、25%产品互联网威胁给社会带来巨大冲击

CNN的100万网民阅读网络新闻受阻

Amason的820万注册用户无法购书3天总损失高达$12亿互联网安全问题正在进入国家战略层

克林顿2月16日召开网络安全高峰会议支持$900万建立高科技安全研究所拔款$20亿建基础设施打击网络恐怖活动62美国2.7黑客事件的启示互联网正国家信息化领导小组第三次会议《关于加强信息安全保障工作的意见》—中办发[2003]27号文—坚持积极防御、综合防范全面提高信息安全防护能力重点保障信息网络和重要信息系统安全创建安全健康的网络环境保障和促进信息化发展、保护公众利益、维护国家安全立足国情、以我为主、管理与技术并重、统筹规划、突出重点发挥各界积极性、共同构筑国家信息安全保障体系

63国家信息化领导小组第三次会议《关于加国家信息安全保障工作要点

实行信息安全等级保护制度：风险与成本、资源优化配置、安全风险评估

基于密码技术网络信任体系建设：密码管理体制、身份认证、授权管理、责任认定

建设信息安全监控体系：提高对网络攻击、病毒入侵、网络失窃密、有害信息的防范能力

重视信息安全应急处理工作：指挥、响应、协调、通报、支援、抗毁、灾备

推动信息安全技术研发与产业发展：关键技术、自主创新、强化可控、引导与市场、测评认证、采购、服务

信息安全法制与标准建设：信息安全法、打击网络犯罪、标准体系、规范网络行为

信息安全人材培养与增强安全意识：学科、培训、意识、技能、自律、守法信息安全组织建设：信息安全协调小组、责任制、依法管理64国家信息安全保障工作要点实行信息信息安全保障体系65信息安全保障体系20发展与安全——保驾护航资产与威胁——保障能力防护与检测——纵深防御成本与风险——等级保护技术与管理——综合治理培训与自律——以人为本强度与弱点——均衡设计落实七项策略66发展与安全——保驾护航落实七项策略21增加网络四种安全能力信息安全防护能力隐患发现能力网络应急反应能力信息对抗能力保障信息及其服务具有五性机密性、完整性、真实性、可用性、可控性67增加网络四种安全能力信息安全防护能力保障信息及其服务具有五组织管理技术保障信息安全基础设施产业支撑人材教育和培养法规与标准国家信息安全保障体系一个体系、六个要素68组织管理技术保障信息安全基础设施产业支撑人材教育和培养法规与行政管理体制技术管理体制信息系统安全管理准则（ISO17799）管理策略组织与人员资产分类与安全控制配置与运行网络信息安全域与通信安全异常事件与审计信息标记与文档物理与环境开发与维护作业连续性保障符合性信息安全组织管理69行政管理体制信息安全组织管理24创建一个具有一批高级信息安全人材、雄厚的安全技术队伍、普及安全意识和技术的人材大环境学历教育：专业设置、课程配套高级人材培养：研究生学院、博士后流动站职业和技能培训：上岗和在职培训、考核认证制度信息安全意识提升：学会、协会、论坛、媒体网上教育：信息安全课件、网上课堂信息安全出版物：技术型、普及型信息安全人材教育与培养70创建一个具有一批高级信息安全人材、雄厚的安全技术队伍、普及安推动安全产业发展，支撑安全保障体系建设掌握安全产品的自主权、自控权建设信息安全产品基地形成信息安全产品配套的产业链造就出世界品牌的安全骨干企业安全产品制造业、集成业、服务业全面发展尽快配套信息安全产业管理政策（准入、测评、资质、扶植、采购）重视TBT条款运用，保护密码为代表的国内安全产品市场信息安全产业71推动安全产业发展，支撑安全保障体系建设信息安全产业26加强信息安全标准化技术委员会工作积极参予国际信息安全标准制订活动注意采用国际与国外先进标准抓紧制订国家标准和协调行业标准重视强制性和保护性（TBT）标准的制订推动信息安全产品标准互操性的测试和认证兼容性和可扩展性的需要信息安全法规与标准（标准）72加强信息安全标准化技术委员会工作信息安全法规与标准27密码算法、密钥管理及应用类PKI/PMI类信息安全评估和保障等级类电子证据类内容安全分级及标识类信息安全边界控制及传输安全类身份识别及鉴别协议类网络应急响应与处理类入侵检测框架类信息安全管理类资源访问控制类安全体系结构与协议类安全产品接口与集成管理类信息系统安全工程实施规范类XML、CSCW、Web安全应用类信息安全法规与标准（标准）73密码算法、密钥管理及应用类信息安全法规与标准28电子文档与数字签章类数据保密与公开类网络信息内容安全监管类网络信息犯罪与惩治类个人数据保密类（隐私法）数字内容产品版权保护类电子商务运营监管类（EC、NB、NS）网上交易税法类网络信息企业市场准入类密码研制、生产与应用管理类网络媒体监管类网上娱乐活动监管类网上通信联络监管类信息安全法信息安全法规与标准（法规）74电子文档与数字签章类信息安全法规与标准29基于数字证书的信任体系（PKI/CA）信息安全测评与认证体系（CC/TCSEC）应急响应与支援体系（CERT）计算机病毒防治与服务体系（A-Virus）灾难恢复基础设施（DRI）密钥管理基础设施（KMI）信息安全基础设施（社会公共服务类）75信息安全基础设施30网上信息内容安全监控体系网络犯罪监察与防范体系电子信息保密监管体系网络侦控与反窃密体系网络预警与网络反击体系信息安全基础设施（信息安全执法类）76信息安全基础设施31信息安全技术保障框架77信息安全技术保障框架32组建研发国家队与普遍推动相结合推动自主知识产权与专利建设技术工程中心与加速产品孵化加大技术研发专项基金全面推动与突出重点的技术研发基础类：风险控制、体系结构、协议工程、有效评估、工程方法关键类：密码、安全基、内容安全、抗病毒、IDS、VPN、强审计系统类：PKI、PMI、DRI、网络预警、集成管理、KMI应用类：EC、EG、NB、NS、NM、WF、XML、CSCW物理与环境类：TEMPST、物理识别前瞻性：免疫、量子、漂移、语义理解自主研发与创新78自主研发与创新33法规：外购产品与服务的安全承诺管理：对分发式威胁的控制和操作规律规范技术：安全加固安全配置漏洞扫描恶意功能发现系统监控外购产品与服务的可控性79法规：外购产品与服务的安全承诺外购产品与服务的可控性34网络信息安全域的划分与隔离控制内部网安全服务与控制策略外部网安全服务与控制策略互联网安全服务与控制策略公共干线的安全服务与控制策略（有线、无线、卫星）计算环境的安全服务机制多级设防与科学布署策略全局安全检测、集成管理、联动控制与恢复（PDR²）建立网络纵深防