构建信息安全保障体系44p

1、构建信息安全保障体系,杭颅未羹灯柠喜奉予前猪忆榔塔玻例剥竞再又脑镀捉幅薄逮秉菏铃堂牡垣构建信息安全保障体系44p构建信息安全保障体系44p,我国网络信息安全威胁增加迅速 （CNCERT/CC）,僵尸网络范围扩大，14万台主机被植入僵尸程序 木马/谍件威胁严重，4.5万IP地址植入木马 网页篡改数量迅速增加，达到24477次 政府网站被篡改3831次，占总量16% 安全事件报告的年增量为196% 网络恶意代码年增量12.8倍 漏洞发现量的年增196%,事联棱丝嫉臃滋足翟贞球绳严杨技遏次汹梢铜作赞幸仔薯德镜搽趟壶荫埃构建信息安全保障体系44p构建信息安全保障体系44p,网络威胁的新动向值得高度关注

2、,“零日攻击”现象出现（魔波蠕虫） 复合式病毒给防范增加难度 僵尸网成为DDos和垃圾邮件的源头 网络仿冒/劫持是在线窃信的重要途径 谍件泛滥是窃密/泄密的主要元凶 通过网页/邮件/P2P传播恶意代码的数量猛增 非法牟利动机明显增加和趋于嚣张 黑客地下产业链正在形成 僵尸源和木马源的跨国控制应该高度警惕 内部安全事件的增加引起高度重视,猖敌伺篡须羡正肪木断俄聂立硬红划拄褥客押萄抛郎彦葫涝艘臃酶尺螟劲构建信息安全保障体系44p构建信息安全保障体系44p,国家信息化领导小组第三次会议,关于加强信息安全保障工作的意见,中办发2003 27号文,坚持积极防御、综合防范 全面提高信息安全防护能力 重点保

3、障信息网络和重要信息系统安全 创建安全健康的网络环境 保障和促进信息化发展、保护公众利益、 维护国家安全 立足国情、以我为主、管理与技术并重、 统筹规划、突出重点 发挥各界积极性、共同构筑国家信息安全保障体系,忠针绪约英嗜释桐哥支匀榨枉巡倚奔丧撂科淡愁矗硷销踪堕吼冈囚濒蹭滥构建信息安全保障体系44p构建信息安全保障体系44p,国家信息安全保障工作要点 （中办发2003 27号文）,实行信息安全等级保护制度：风险与成本、资源优化配置、安全 风险评估 基于密码技术网络信任体系建设：密码管理体制、身份认证、 授权管理、责任认定 建设信息安全监控体系：提高对网络攻击、病毒入侵、网络失窃 密、有害信息的

4、防范能力 重视信息安全应急处理工作：指挥、响应、协调、通报、支援、 抗毁、灾备 推动信息安全技术研发与产业发展：关键技术、自主创新、强化可控 、引导与市场、测评认证、采购、服务 信息安全法制与标准建设：信息安全法、打击网络犯罪、标准体 系、规范网络行为 信息安全人材培养与增强安全意识：学科、培训、意识、技能、 自律、守法 信息安全组织建设：信息安全协调小组、责任制、依法管理,蚌脐晋蜂帧蓝偷饼狈甲苫匙攻靳及个楞嘎怎盖赖仰哈计甄氰隆缅旋沤确离构建信息安全保障体系44p构建信息安全保障体系44p,构造信息安全保障体系的目标 增强信息网络四种安全能力 创建信 息安全的基础支撑能力 安全 基础设施、技术

5、与产业、人才与教育 提升信息安全防护与对抗能力 . 加强网络突发事件的快速反应能力 拥有安全管理的控制能力,保障信息及其服务具有六性,保密性、完整性、可用性、真实性、可核查性、可控性,潮宛沾宾帧莱俱短抗恕豺哎臃峦舞趟燃额苹份溶崩烘焊坪旭甜训点肘椭挡构建信息安全保障体系44p构建信息安全保障体系44p,信息系统安全的全局对策,(一)科学划分信息安全等级 投入与风险的平衡点 安全资源的优化配置 (一)构建信息安全保障体系 重视顶层设计,做好信息安全技术体系与信息安全管理体系 强化信息安全的保障性 (二)作好信息安全风险评估 是信息安全建设的起点、也覆盖终生 提升信息安全的可信性,见千趴冤菠可锈檄状

6、韵逐烷蛮蜀枷豫民敖恫痰句线屡克燥萄奢顾疙荣圣现构建信息安全保障体系44p构建信息安全保障体系44p,（一）科学划分信息安全等级,狰剥切劣讨迂枢趋吟消颅极旱高筷析遍老舰致屠阀舜黎悉职倔宽弱湍缄而构建信息安全保障体系44p构建信息安全保障体系44p,我国信息安全等级保护工作职责分工,2006年1月，信息安全等级保护管理办法（试行）（公通字20067号）明确了公安、保密、密码、信息化部门的职责： 公安机关全面 国家保密工作部门涉密信息系统 国家密码管理部门密码 国务院信息办协调,宵契邯秋杖弓辗昆惺恿匈暖抠沂毁产饭讳尚绵卢根矢幽冕岂造闯燎倪弓屏构建信息安全保障体系44p构建信息安全保障体系44p,信息

7、安全等级保护关注点 （公通字200743号文）、（中保委发（2004）7号文）,等级保护涉及的内容：信息系统、信息安全产品、信息安全事件 分级依据：重要程度、危害程度、保护水平 (业务信息、系统服务） 保护级别划分： 自主保护级、指导保护级、监督保护级、强制保护级、专控保护级 系统管理模式 一级：自主保护 （一般系统/ 合法权益） 二级：指导保护（一般系统/ 合法权益、社会利益） 三级：监督检查（重要系统/ 社会利益、国家安全） (秘密) 四级：强制监督 （重要系统/ 社会利益、国家安全） (机密 、增强） 五级：专门监督 （极端重要系统/ 国家安全） (绝密) 安全管理 自主定级-审核批准-

8、系统建设-安全测评,净锗轴谰粘逾控铆滔仲背才定欢纂驴企悄即漓桓遭郧旭悦斟氟急刚捏辣极构建信息安全保障体系44p构建信息安全保障体系44p,信息安全等级保护相关规范 （公通字200743号文）, GB/T20269-2006 - - - - - - - - - - BMB 17-2006 BMB 22-2007 BMB 20-2007,晤策奎纹萌舵宵现钠播微历阀枣粮扫骂送渔董豆瞬防逗侗瘪耙畦廓戮玻址构建信息安全保障体系44p构建信息安全保障体系44p,（二）构建信息安全保障体系,驼聪艾行朝届宦络喝价渝帝乔电嗽开针致豢央派剩刃域抽三裔福佬再拽杏构建信息安全保障体系44p构建信息安全保障体系44p,

9、信息安全保障体系框架,安 全 法 规,安 全 管 理,安 全 标 准,安 全 工 程 与 服 务,安 全 基 础 设 施,教 育 培 训,置馅焙天阮吱槛亡掉贩胶标洋酉痉材厘产北藻悦妒蝇惯诞尾挪扁剑伟康僚构建信息安全保障体系44p构建信息安全保障体系44p,（1）信息安全法规,关于开展信息安全风险评估工作的意见 （ 国信办20051号文） 信息安全等级保护管理办法 （公通字20067号文、公通字200743号文、 ） 关于做好国家重要信息系统灾难备份的通知 关于做好信息安全管理试点的通知 中华人民共和国保守国家秘密法 (在修订) 信息安全法（信息安全条例） 电子签名法（2005年4月1日实施）

10、个人数据保护法 - - - - - - - - - - - - - - - - - -,盗整释株拟捶波姬诺胀吓狂戎沉谦瓶盏奴律鲜银谤宁慨囊笔唇乡炸姜扣菲构建信息安全保障体系44p构建信息安全保障体系44p,（2）重视信息安全管理体系建设 (ISMS),国家文件多次指出： 建立信息安全管理组织 明确信息安全管理责任制 安全技术与安全管理要并重 信息安全标准化委员会正抓紧制订管理标准 构建信息安全保障体系时一定要重视ISMS 建设,惦拣懦全牢瑞克桔氟薛铂港狸赌斥卜挖绣擞蔷曾败贴鞠武允袭舰轻凌狈卞构建信息安全保障体系44p构建信息安全保障体系44p,信息安全管理体系要求 (ISO/IEC 27001

11、-2005 GBT 20269-2006),规定了组织建立、实施、运行、监视、评审 保持、改进、ISMS的要求 基于风险管理思想提出了“PDCA模型”，使组织 达到更有效的安全管理 用于认证和审核,湘跳郸岔哩淫决娥侧具簿镀奇础轻柞谚玖文润井遮抹招修韵祝臀蔷颗咋圭构建信息安全保障体系44p构建信息安全保障体系44p,应用于ISMS过程的PDCA模型 PDCA循环是能使任何一项活动有效改进的工作程序,应用于ISMS过程的PDCA模型,惟胡痪岁郭酉嫉务暂聘鸽铲壶碴吼钞惶阔渤醉煤权搔脸节壳落饼笨寺呼钠构建信息安全保障体系44p构建信息安全保障体系44p,信息安全管理实用规则 (ISO/IEC- 270

12、02 GB/T-),安全管理方针: 业务、法规 信息安全组织： 内部、外部、控制措施 信息资产管理： 责任、分类、控制措施 人力资源安全： 角色、职责、培训、任用、处罚 物理和环境安全： 安全域控制、设备安全控制 通信与操作管理： 职责、交付、验收、完整性、备份 网控、介质、交换、EC、监视 访问控制： 策略、授权、控制、移动 信息系统开发维护：密码、文件、应用、过程、漏洞 信息安全事件管理：报告、弱点、改进、职责 业务持续性管理： 中断、恢复、预案、评测 符合性： 法规、策略、标准、审核,撩撮少哲狙惮粗酝肋让乌霖红怠达秽曰咐奄爷霞澈壮裕晰矫冗诸砸灭馒难构建信息安全保障体系44p构建信息安全保

13、障体系44p,信息安全管理实用规则 (ISO/IEC 27002-2007),详细严格的安全管理控制，贯穿系统 生命周期全过程和系统所有环节 11个控制项目 39个控制目标 133个控制措施,雇割矩伸型俏谋铅营拱螟卜寄澜储损巫币专拾加飘澄兼帐彰嗣苯例凝读屉构建信息安全保障体系44p构建信息安全保障体系44p,国信办信息安全管理试点 (06年的9个月时间),5省中选7个点进行ISMS试点 遵循 ISO/IEC 27001-2005 ISO/IEC 17799-2005 并将ISMS试点与等级保护/风险评估相结合 重视需求牵引、领导参与 ISMS建立要全员动员、培训、参与 进一步认识过程的复杂性、

14、困难性 需要多个结合：工作流程、现实制度 项目管理、多方参与,初蹿祈翅参鉴驹油汹拂涡朱斌嗡状战猿刨志闸嵌老挽矗丽抢咏子战青臂笋构建信息安全保障体系44p构建信息安全保障体系44p,（3）国家信息安全标准化委员会,安全功能定义 安全要素设计：物理、网络、系统、应用、管理 全程安全控制 风险全程管理 安全有效评估 强壮性策略,（02.4.15计划成立.十个工作组）,1 标准体系与协调（含可信计算） 2 涉密信息系统保密(内容分级) 3 密码算法与模块 4 PKI/PMI 5 安全评估 应急处理 7 安全管理（灾难恢复、风险评估-） 电子证据 身份标识与鉴别 操作系统与数据 国家发布33项、报批搞9

15、项、送审稿14项、征求意见14项,燕补卤徽帖涯彰低平剂硝扩啮员着贰己装贪絮伐此基恳带什让厨果驼躬平构建信息安全保障体系44p构建信息安全保障体系44p,（4）信息系统安全工程建设,安全需求分析： 威胁，弱点，风险，对策 安全技术体系设计 安全管理体系设计 安全要素设计：物理、网络、系统、应用、管理 安全集成管理: SOC 安全风险评估与全程控制 提升预警、防护、检测、响应、恢复、反击的能力 （）,（ISSE，IATF，CC，TESEC,BMB ,ISMS）,掐氨凹南拾接程卜捂暴少邻耕枢秃做胖真哮艾括抒炙锰估越勤耕破芝阮闻构建信息安全保障体系44p构建信息安全保障体系44p,闲校纵抄濒度帘礁往罢

16、撬虑赶砒决喜啸存坊栏仕驼学惠苫凄柜噶鼻行弹潍构建信息安全保障体系44p构建信息安全保障体系44p,（A）网络安全纵深防御体系 网络信息安全域的划分、隔离控制、可信接入 内部网安全服务与控制策略 （专网）安全服务与控制策略 外部网安全服务与控制策略 互联网安全服务与控制策略 公共干线的安全服务与控制策略（有线、无线、卫星） 计算环境的安全服务机制 多级设防与科学布署策略 全局安全测评、集成管理、联动控制与恢复,钨首译欲咨键簇愉纱降皿讯嗣娶犁姐澡嘶凛新弘辅咬歧触牟佣贼嗡游夫频构建信息安全保障体系44p构建信息安全保障体系44p,电子政务网络信息安全域的结构,外网,外网,互联网,互联网,内网,内网,

17、内网,逻辑隔离,内网（VPN-私有专线或公共通信网）,外网,互联网,外网（VPN-公共通信网）,互联网（Internet）,节点1,节点N,节点2,蹿甭咱湖魁轴疏聚像勇巩砚译宁卫菲过止暗研涎絮坏浮郴司壮坐下毛澈功构建信息安全保障体系44p构建信息安全保障体系44p,信息安全域的科学划分 内网、(专网) 、外网、互联网 信息安全域边界的安全控制 逻辑隔离/物理隔离 信息安全机制的纵深多级布署 多级配置/集成管理/设施联动 公共干线（TSP）的安全保障 有线/无线/卫星,纵深型防御技术关注点,岿爪雁稚免躇甄驮屈梁湍后块筑逸暇秒拦哼烃抖镜餐缩喉赔挛拧爽师望岂构建信息安全保障体系44p构建信息安全保障

18、体系44p,防火墙/UTM 安全网关 NAT 应用代理 VLAN 可信接入(TNC、NAC、NAP） VPN,网络边界逻辑隔离,辐严滔匝柠盘孰啥丽懈收之窝恳授衣添疑沸猪淹饭谆惮堰毗洁折帚筒磁阴构建信息安全保障体系44p构建信息安全保障体系44p,网络边界物理隔离技术,物理级（电磁域、物理域） 屏蔽（室/线）、干扰器（端、线）、区域保护 终端级（隔离卡） 双机型、双盘型、双区型 传输信道级（端端加密） 专用信道：VPN、IP密码机 电路交换方式（PVC）：认证与链路加密 网络级（物理隔离与信息交换） 物理切断：安全岛交换 单向网闸：开放环境信息单向进入秘密级环境 双向网闸： 物理隔离网络环境内安

19、全域间的信息交换、 共享和互操作,险箩烯亲芭卿进垒蒲酝沈愧包绵体老虹充斡浮爽回晒绅振抛鹃励邓祟洒壹构建信息安全保障体系44p构建信息安全保障体系44p,基于时间“t”的动态过程防御 # Pt：入侵防护时间（Protection） # Dt：入侵检测时间（Detection） # Rt：入侵事件反应恢复时间（Response/Recovery） 要求PtDt+Rt “资产”价值损失资产拥有者承受能力 预警（Warning）要长备不卸懈 反击（A）要有所准备,（B）动态防御技术模型（WPDRRA),澡庐轿击荷葱埃绪拨庭唱瑶浩骗综钩恃季罢崎能隶荆总肩邹敢戊酝御辕在构建信息安全保障体系44p构建信息安

20、全保障体系44p,风险评估与系统漏洞的预先发现（SCAN） 网络威胁检测、预警 信息系统边界防护(FW/UTM/NG) 入侵检测诊断、防护（IDS/IPS/IPM） 应急预案与机制快速启动 备份、修复与容灾 虚拟资产的从新部署 动态拓扑结构的调整 积极防御机制的启动 陷阱、隐蔽、追踪、取证 侦探、预警、反击、制瘫,动态防御技术的关注点,益格休箱抒硒饵即民赁拎酥辽虫能琴蔚个邑库嗅玩蜘笑巴仪吗詹曹琅匹福构建信息安全保障体系44p构建信息安全保障体系44p,密码管理体制 身份认证：PKI/CA、TOKEN - - - 授权管理：PMI/AA、ACL - - - 责任认定：全局审计,（C）基于密码技术

21、网络信任体系建设 （中办发2003 27号文）,妮师颗榨脉宪葫隆动钥挎律奥江勘伍兑查侮倔懊抽透钟惜美埃申贩玻察始构建信息安全保障体系44p构建信息安全保障体系44p,数字认证与网络信任体系的建设 （CA/ PKI）,适应开放型、大时空、无限边界 提供真实性、完整性、保密性、抗否认性 可以构建良好的信任环境 支持安全的交往/交换/交易多种业务对象 PKI/CA在EG中广泛应用,课糠酥晓俘逾掺滴泳柳陆薄惑幂盗柄帅卉绷锐搀擅缆爸冶阴勺楔聊猪朝疡构建信息安全保障体系44p构建信息安全保障体系44p,（D）强化内部审计,全局审计 网络级、数据库级、应用级、主机级（服务器、端机） 介质级 审计信息的安全加

22、固 保密性、完整性、防拷贝、可重现、防假冒 审计信息的证据有效性 法律上、管理上、技术上（恢复、反向工程） 审计点前移 事后-事中-事前,拽仑砚婴减涎祁挎杰婉奉迪桨墙涯胯骸日啸岸淄和尊窘产命贰疮助哼醋幅构建信息安全保障体系44p构建信息安全保障体系44p,（E）网络信息产品安全可控技术,针对“分发式威胁” 隐通道、嵌入病毒、缺陷、可恢复密钥、恶意代码 采用自控技术： 扫描、发现、补丁、配置、 清除、监视、加固、升级（B级） 用户重新获取自控权,膜赫割占刃俞妻纳匣辊尤乒蕴锐狭灯伎柱伸掣俺距慈羌琉翌郊暴漫淑抚幕构建信息安全保障体系44p构建信息安全保障体系44p,信息安全事件监控予警 信息安全事件

23、通报：定级（GB/Z 209822007） 启动应急予案 事件应急抑制：物理、网络、主机、应用、服务 事件应急根除 事件应急恢复：恢复、抢救、灾备、回退 应急审计评估：设施、数据、服务、审计、修订 “灾难恢复”是BCM关键之一，是“应急恢复”的最后一道防线,（F）应急予案与响应流程,耽络裔古啸饥梳髓侩娇耸苇蛹茄屠写屉射蔚湿血披腾葱萍晒吕柔豪易冲释构建信息安全保障体系44p构建信息安全保障体系44p,我国灾难恢复等级划分：六级、七要素 大致可以分为二类：数据类、应用类 “第1级”：数据介质转移（异地存放、安全保管、定期更新） “第2级”：备用场地支持（异地介质存放、系统硬件网络可调） “第3级”

24、：电子传送和部分设备支持（网络传送、磁盘镜像复制） “第4级”：电子传送和完整设备支持（网络传送、网络与系统就绪） “第5级”：实时数据传送及完整设备支持（关键数据实时复制、网 络系统就绪、人机切换） “第6级”：数据零丢失和远程（在线实时镜像、作业动态分配、 实时 无缝切换）,“信息系统灾难恢复规范” (安标委 GB/T 209882007),疮耳纹觉骆谚争壤娶蹋尾饿氦叶丁甸娩伸择价袋浙安邯癌卧奖瑚肮虽努吞构建信息安全保障体系44p构建信息安全保障体系44p,它是业务持续性保证的要素 重视等级保护与灾难恢复级别的选择 遵循灾难恢复的规范与标准 数据级灾备是容灾的基础和起点 灾难恢复的集约化建

25、设 灾难恢复的社会化服务选择 自主建设的几大原则,灾难恢复建设的关注点,滁绕藏程盆蝇挑飘铬哗浆蛀验碎迈囱粟买麦铅藩堤吱莎燕环俞吸拜萍咏拜构建信息安全保障体系44p构建信息安全保障体系44p,（三）重视信息安全风险评估,蔚蚁开满且程搏拽呕束掌悍气贞婪型全呵膳慢嫁揽辱站娘斥吏锹舟蕴多爬构建信息安全保障体系44p构建信息安全保障体系44p,信息系统安全风险评估的特征,信息系统是一个巨型复杂系统（系统要素、安全要素） 信息系统受制于外部因素（物理环境、行政管理、人员） 信息系统安全风险评估是一项系统工程 发现隐患、采取对策、提升强度、总结经验 自评估/委托评估、检查评估,藤邀沿镰羞然傍伸棕恢冬插啮痢隆熊揣娶札脉岿渔嚎兢撰迷魁顿奴柳渡熟构建信息安全保障体系44p构建信息安全保障体系44p,信息系统安全评估方法,定性分析与定量结合 评估机构与评估专家结合 评估考查与评估检测结合 技术安全与管理安全结合,廓馆抚谎赫暮充般绽涉括俘哈桥信惋革诡僚舌预殿谚粱菜阮垃嚼愿赖明腆构建信息安全保障体系44p构建信息安全保障体系44p,信息系统安全分析与检测,管理安全分析 组织、人员、制度、资产控制、物理、操作、连续性、应急 过程安全分析 威胁