做好新型信息技術發(fā)展應用的信息安全等級保護工作.pptVIP

做好新型信息技術發(fā)展應用的 信息安全等級保護工作,國家信息化專家咨詢委員會委員 沈昌祥 院士,目 錄,我國信息安全面臨的新問題與新挑戰(zhàn),信息安全等級保護制度適用于 新型信息技術應用的信息安全保障,信息安全等級保護技術框架,當前，我國信息化發(fā)展正進入全面深化的新階段。 工業(yè)控制信息化 三網融合 物聯網 云計算 等新型信息技術發(fā)展應用，給我國網絡與信息安全保障工作提出了新任務，對信息安全等級保護工作進行了全面挑戰(zhàn)。,2010年“網震”病毒事件破壞了伊朗核設施，震驚全球。這標志著網絡攻擊從傳統(tǒng)“軟攻擊”階段升級為直接攻擊電力、金融、通信、核設施等核心要害系統(tǒng)的“硬摧毀”階段。應對APT已成為確保國家關鍵基礎設施安全，保障國家安全、社會穩(wěn)定、經濟發(fā)展、人民生活安定的核心問題。 傳統(tǒng)的封堵安全防護做法難以解決封閉實時處理的工業(yè)控制系統(tǒng)安全問題。,工業(yè)控制系統(tǒng),電信網、廣電網和互聯網三網融合后，信息安全風險將主要來自于網絡開放性、終端復雜性、信息可信性等方面。信息量急劇增加，信息內容控制將對信息保密防范技術提出更高要求。終端智能化和移動等多接入方式，使其將面臨更復雜的攻擊。 另外，大規(guī)模的用戶數量將給監(jiān)管帶來重大挑戰(zhàn)。也存在原有法律與三網融合新要求相沖突的問題。應建立新的監(jiān)管體制和法律體系。,三網融合,物聯網將傳感、通信和信息處理整合成網路系統(tǒng)。把物品與互聯網連接起來，實現智能化識別、定位、跟蹤監(jiān)控和管理，這必然會成為影響社會穩(wěn)定、國家安全的重要因素之一。 物聯網運用大量感知節(jié)點（智能設備和傳感器），將成為竊取情報、盜竊隱私的攻擊對象，而且龐大節(jié)點以集群方式連接將對網絡通信的依賴更加敏感，對分布式的物聯網核心網絡的管理平臺安全性、可信性要求更高。 另外，對數據傳輸的安全性和身份認證的可信性提出了更高的要求。,物 聯 網,云計算是一種能夠動態(tài)伸縮的虛擬化資源，通過網絡以服務的方式提供給用戶的計算模式，用戶不需要知道如何管理那些支持云計算的基礎設施。其安全風險在于： （1）由不可控、不可信的云經營商統(tǒng)管IT資源和計算基礎設施。 （2）更大規(guī)模異構共享和虛擬動態(tài)的運營環(huán)境難以控制。,云 計 算,如何保證云中IT資源安全、用戶隱私保護以及云計算環(huán)境的可信可靠，已成為阻礙云計算進一步發(fā)展的主要因素。 另外，制定相應的云計算法律法規(guī)，明確用戶和運營商法律責任也是發(fā)展云計算必不可少的。,新型信息技術應用系統(tǒng)都是依托網絡技術構建不同應用模式的計算環(huán)境。,工業(yè)控制系統(tǒng)：,三網融合：,物聯網：,云計算：,信息安全等級保護是按信息處理系統(tǒng)的計算資源和信息資源重要程度不同實施不同保護強度的保障措施。 安全保護等級劃分準則（GB/17859-1999）核心是對信息系統(tǒng)從三個方面實施保護。,針對計算資源（軟硬件）構建保護環(huán)境，以可信計算基（TCB）為基礎，層層擴充，對計算資源進行保護。,針對信息資源（數據及應用）構建業(yè)務流程控制鏈，以訪問控制為核心，實行主體（用戶）按策略規(guī)則訪問客體（信息資源）。,保證資源安全必須實行科學管理，強調最小權限管理，尤其是高等級系統(tǒng)實行三權分離管理體制，不許設超級用戶。,針對上述四類新應用，按GB/17859要求，構建在 安全管理中心 支持下的 計算環(huán)境 區(qū)域邊界 通信網絡 三重防御體系是必要的，可行的。 具體設計可參照（GB/T25070-2010）,要加強定級對象信息系統(tǒng)整體防護，建設管理中心支持下的計算環(huán)境、區(qū)域邊界、通信網絡三重防護體系結構。,要重點做好操作人員使用的終端防護，把住攻擊發(fā)起的源頭關，做到操作使用安全。,防內為主，內外兼防，提高計算節(jié)點自身防護能力，減少從外部入口上的封堵。,加強技術平臺支持下的安全管理，應與業(yè)務處理、監(jiān)控及日常安全管理制度相結合。,為便于技術方案實施，整改時不改或少改原有的應用系統(tǒng)。以信息處理流程制定安全策略，實施訪問控制。,下面以云計算為例，介紹等級保護技術框架。 云中心一般由用戶網絡接入、訪問應用邊界、計算環(huán)境和管理平臺組成（如下圖所示），可形成虛擬應用、虛擬計算節(jié)點以及虛擬（邏輯）計算環(huán)境，由此構建可信計算安全主體結構。,服務管理員,平臺層,軟件應用層,云中心組成架構,用戶終端,運維管理,用戶終端,應用多用戶,應用虛擬化,中間層服務,數據庫服務,基礎架構層,虛擬化服務,服務器,網絡,存儲,物理資源,業(yè)務管理,安全管理,訪問接口,WEB,WEB 服務,通信 網絡,可信云計算體系安全架構,可信接入邊界,用戶 終端,可信通信網絡,可信計算設備,系統(tǒng) 安全 審計,安全管理中心,在安全管理中心支撐下的 可信計算環(huán)境 可信邊界 可信通信網絡 三重防護架構,可信計算環(huán)境,計 算 節(jié) 點,1、可信云計算環(huán)境,可信鏈傳遞,可信接入平臺,用戶服務請求,服務提供,可信云計算環(huán)境,可信鏈傳遞,可信接入平臺,用戶服務請求,服務提供,可信鏈傳遞：從基礎設施可信根出發(fā)，度量基礎設施、計算平臺可信，驗證虛擬計算資源可信，支持應用服務的可信。確保計算環(huán)境可信。,2、可信云計算應用邊界,可信鏈傳遞,可信接入平臺,用戶服務請求,服務提供,可信接入：驗證用戶請求和連接的計算資源可信,3、可信云計算通信網絡,可信接入邊界,用戶 終端,可信通信網絡,可信計算設備,系統(tǒng) 安全 審計,安全管理中心,可信計算環(huán)境,計 算 節(jié) 點,保證用戶與云中心通信安全可信,4、可信云計