构建信息安全保障 体系的思考.ppt

全球信息化发展 信息化成为经济发展的重要推动力 信息化引发全球的产业革命 信息化成为国际经济竞争的焦点 信息化成为国力和经济增长力的重要标志 信息化是全球经济和社会发展的大趋势 发展与安全——保驾护航 资产与威胁——保障能力 防护与检测——纵深防御 成本与风险——等级保护 技术与管理——综合治理 培训与自律——以人为本 强度与弱点——均衡设计 行政管理体制 技术管理体制 信息系统安全管理准则（ISO 17799） 管理策略 组织与人员 资产分类与安全控制 配置与运行 网络信息安全域与通信安全 异常事件与审计 信息标记与文档 物理与环境 开发与维护 作业连续性保障 符合性 创建一个具有一批高级信息安全人材、雄厚的安全技术队伍、普及安全意识和技术的人材大环境 学历教育：专业设置、课程配套 高级人材培养：研究生学院、博士后流动站 职业和技能培训：上岗和在职培训、考核认证制度 信息安全意识提升：学会、协会、论坛、媒体 网上教育：信息安全课件、网上课堂 信息安全出版物：技术型、普及型 推动安全产业发展，支撑安全保障体系建设 掌握安全产品的自主权、自控权 建设信息安全产品基地 形成信息安全产品配套的产业链 造就出世界品牌的安全骨干企业 安全产品制造业、集成业、服务业全面发展 尽快配套信息安全产业管理政策（准入、测评、资质、扶植、采购） 重视TBT条款运用，保护密码为代表的国内安全产品市场 加强信息安全标准化技术委员会工作 积极参予国际信息安全标准制订活动 注意采用国际与国外先进标准 抓紧制订国家标准和协调行业标准 重视强制性和保护性（TBT）标准的制订 推动信息安全产品标准互操性的测试和认证 兼容性和可扩展性的需要 密码算法、密钥管理及应用类 PKI/PMI类 信息安全评估和保障等级类 电子证据类 内容安全分级及标识类 信息安全边界控制及传输安全类 身份识别及鉴别协议类 网络应急响应与处理类 入侵检测框架类 信息安全管理类 资源访问控制类 安全体系结构与协议类 安全产品接口与集成管理类 信息系统安全工程实施规范类 XML、CSCW、Web安全应用类 电子文档与数字签章类 数据必威体育官网网址与公开类 网络信息内容安全监管类 网络信息犯罪与惩治类 个人数据必威体育官网网址类（隐私法） 数字内容产品版权保护类 电子商务运营监管类（EC、NB、NS） 网上交易税法类 网络信息企业市场准入类 密码研制、生产与应用管理类 网络媒体监管类 网上娱乐活动监管类 网上通信联络监管类 信息安全法 基于数字证书的信任体系（PKI/CA） 信息安全测评与认证体系（CC/TCSEC） 应急响应与支援体系（CERT） 计算机病毒防治与服务体系（A-Virus） 灾难恢复基础设施（DRI） 密钥管理基础设施（KMI） 网上信息内容安全监控体系 网络犯罪监察与防范体系 电子信息必威体育官网网址监管体系 网络侦控与反窃密体系 网络预警与网络反击体系 组建研发国家队与普遍推动相结合 推动自主知识产权与专利 建设技术工程中心与加速产品孵化 加大技术研发专项基金 全面推动与突出重点的技术研发 基础类：风险控制、体系结构、协议工程、有效评估、工程方法 关键类：密码、安全基、内容安全、抗病毒、IDS、VPN、强审计 系统类： PKI、PMI、DRI、网络预警、集成管理、KMI 应用类：EC、EG、NB、NS、NM、WF、XML、CSCW 物理与环境类：TEMPST、物理识别 前瞻性：免疫、量子、漂移、语义理解 法规：外购产品与服务的安全承诺 管理：对分发式威胁的控制和操作规律规范 技术： 安全加固 安全配置 漏洞扫描 恶意功能发现 系统监控 网络信息安全域的划分与隔离控制 内部网安全服务与控制策略 外部网安全服务与控制策略 互联网安全服务与控制策略 公共干线的安全服务与控制策略（有线、无线、卫星） 计算环境的安全服务机制 多级设防与科学布署策略 全局安全检测、集成管理、联动控制与恢复（PDR2） 信息网络安全纵深防御框架 威胁级别（Tn） 资产价值等级（Vn） 安全机制强度等级（SMLn) 安全技术保障强壮性级别（IATRn） IATRn = f（Vn 、Tn 、SMLn 、EALn） 信息安全技术保障框架 自主研发与创新 外购产品与服务的可控性 建立网络纵深防御体系 核心内网 局域计算环境 （安全域a） 专用外网 局域计算环境 （安全域m） 公共服务网 局域计算环境 （安全域n） Internet、TSP、PSTN、VPN 网络通信基础设施 （光纤、无线、卫星） 信息安全基础设施 (PKI、PMI、KMI、CERT、DRI) 网络安全边界 纵深型防御技术关注点 信息安全域的划分 信息安全域的边界的安全控制 逻辑隔离/物理隔离/VPN/网络监控 信息安全