信息安全保障體系與總體框架

1、主講內(nèi)容主講內(nèi)容信息安全保障體系與信息安全保障體系與總體框架總體框架主講內(nèi)容主講內(nèi)容v 信息是社會(huì)發(fā)展的重要戰(zhàn)略資源。國際上圍繞信息的獲取、使用和控制信息是社會(huì)發(fā)展的重要戰(zhàn)略資源。國際上圍繞信息的獲取、使用和控制的斗爭愈演愈烈，信息安全成為維護(hù)國家安全和社會(huì)穩(wěn)定的一個(gè)焦點(diǎn)，的斗爭愈演愈烈，信息安全成為維護(hù)國家安全和社會(huì)穩(wěn)定的一個(gè)焦點(diǎn)，各國都給以極大的關(guān)注與投入。各國都給以極大的關(guān)注與投入。v 網(wǎng)絡(luò)信息安全已成為急待解決、影響國家大局和長遠(yuǎn)利益的重大關(guān)鍵問網(wǎng)絡(luò)信息安全已成為急待解決、影響國家大局和長遠(yuǎn)利益的重大關(guān)鍵問題，它不但是發(fā)揮信息革命帶來的高效率、高效益的有力保證，而且是題，它不但是發(fā)揮信

2、息革命帶來的高效率、高效益的有力保證，而且是對抗霸權(quán)主義、抵御信息侵略的重要屏障，信息安全保障能力是對抗霸權(quán)主義、抵御信息侵略的重要屏障，信息安全保障能力是2121世紀(jì)世紀(jì)綜合國力、經(jīng)濟(jì)競爭實(shí)力和生存能力的重要組成部分，是世紀(jì)之交世界綜合國力、經(jīng)濟(jì)競爭實(shí)力和生存能力的重要組成部分，是世紀(jì)之交世界各國在奮力攀登的制高點(diǎn)。各國在奮力攀登的制高點(diǎn)。v 網(wǎng)絡(luò)信息安全問題如果解決不好將全方位地危及我國的政治、軍事、經(jīng)網(wǎng)絡(luò)信息安全問題如果解決不好將全方位地危及我國的政治、軍事、經(jīng)濟(jì)、文化、社會(huì)生活的各個(gè)方面，使國家處于信息戰(zhàn)和高度經(jīng)濟(jì)金融風(fēng)濟(jì)、文化、社會(huì)生活的各個(gè)方面，使國家處于信息戰(zhàn)和高度經(jīng)濟(jì)金融風(fēng)險(xiǎn)的

3、威脅之中。險(xiǎn)的威脅之中。1、信息與網(wǎng)絡(luò)安全的重要性及嚴(yán)峻性1、信息與網(wǎng)絡(luò)安全的重要性及嚴(yán)峻性（Cont.）v 我國信息化建設(shè)需要的大量基礎(chǔ)設(shè)備依靠國外引進(jìn)，無法保證我們的安全利我國信息化建設(shè)需要的大量基礎(chǔ)設(shè)備依靠國外引進(jìn)，無法保證我們的安全利用和有效監(jiān)控。因此，解決我國的信息安全問題不能依靠外國，只能走獨(dú)立用和有效監(jiān)控。因此，解決我國的信息安全問題不能依靠外國，只能走獨(dú)立自主的發(fā)展道路。自主的發(fā)展道路。v 目前我國信息與網(wǎng)絡(luò)安全的防護(hù)能力處于發(fā)展的初級(jí)階段，許多應(yīng)用系統(tǒng)處目前我國信息與網(wǎng)絡(luò)安全的防護(hù)能力處于發(fā)展的初級(jí)階段，許多應(yīng)用系統(tǒng)處于不設(shè)防狀態(tài)。要用我國自己的安全設(shè)備加強(qiáng)信息與網(wǎng)絡(luò)的安全性

4、，需要大于不設(shè)防狀態(tài)。要用我國自己的安全設(shè)備加強(qiáng)信息與網(wǎng)絡(luò)的安全性，需要大力發(fā)展基于自主技術(shù)的信息安全產(chǎn)業(yè)，而自主技術(shù)的發(fā)展又必須從信息與網(wǎng)力發(fā)展基于自主技術(shù)的信息安全產(chǎn)業(yè)，而自主技術(shù)的發(fā)展又必須從信息與網(wǎng)絡(luò)安全的基礎(chǔ)研究著手，全面提高創(chuàng)新能力。絡(luò)安全的基礎(chǔ)研究著手，全面提高創(chuàng)新能力。v 當(dāng)前我國的信息與網(wǎng)絡(luò)安全研究處于忙于封堵現(xiàn)有信息系統(tǒng)的安全漏洞，以致宏觀安全體系研究上的投入嚴(yán)重不足，這樣做是不能從根本上解決問題的，急需從安全體系結(jié)構(gòu)整體的高度開展強(qiáng)有力的研究工作，從而能夠?yàn)榻鉀Q我國的信息與網(wǎng)絡(luò)安全提供一個(gè)整體的理論指導(dǎo)和基礎(chǔ)構(gòu)件的支撐，并為信息與網(wǎng)絡(luò)安全的工程奠定堅(jiān)實(shí)的基礎(chǔ)，推動(dòng)我國信息

5、安全產(chǎn)業(yè)的發(fā)展。主講內(nèi)容主講內(nèi)容 2 2、信息安全保證技術(shù)框架、信息安全保證技術(shù)框架(IATF)(IATF)v信息安全保證技術(shù)框架（信息安全保證技術(shù)框架（Information Assurance Technical Framework：IATF）將計(jì)算機(jī)信息系統(tǒng)分）將計(jì)算機(jī)信息系統(tǒng)分4個(gè)部分：個(gè)部分：本地計(jì)算環(huán)境本地計(jì)算環(huán)境區(qū)域邊界區(qū)域邊界網(wǎng)絡(luò)和基礎(chǔ)設(shè)施網(wǎng)絡(luò)和基礎(chǔ)設(shè)施支撐基礎(chǔ)設(shè)施支撐基礎(chǔ)設(shè)施2.1 2.1 信息安全保證技術(shù)框架信息安全保證技術(shù)框架(IATF)(IATF)v 信息安全保證技術(shù)框架將計(jì)算機(jī)信息系統(tǒng)分信息安全保證技術(shù)框架將計(jì)算機(jī)信息系統(tǒng)分4個(gè)部分：個(gè)部分：本地計(jì)算環(huán)境本地計(jì)算環(huán)境服

6、務(wù)器服務(wù)器客戶端及其上面的應(yīng)用（如打印服務(wù)、目錄服務(wù)等）客戶端及其上面的應(yīng)用（如打印服務(wù)、目錄服務(wù)等）操作系統(tǒng)操作系統(tǒng)數(shù)據(jù)庫數(shù)據(jù)庫基于主機(jī)的監(jiān)控組件（病毒檢測、入侵檢測）基于主機(jī)的監(jiān)控組件（病毒檢測、入侵檢測） 2 2、信息安全保證技術(shù)框架、信息安全保證技術(shù)框架(IATF)(IATF)v信息安全保證技術(shù)框架（信息安全保證技術(shù)框架（Information Assurance Technical Framework：IATF）將計(jì)算機(jī)信息系統(tǒng)分）將計(jì)算機(jī)信息系統(tǒng)分4個(gè)部分：個(gè)部分：本地計(jì)算環(huán)境本地計(jì)算環(huán)境區(qū)域邊界區(qū)域邊界網(wǎng)絡(luò)和基礎(chǔ)設(shè)施網(wǎng)絡(luò)和基礎(chǔ)設(shè)施支撐基礎(chǔ)設(shè)施支撐基礎(chǔ)設(shè)施2.2 2.2 信息安全保

7、證技術(shù)框架信息安全保證技術(shù)框架(IATF)(IATF)區(qū)域邊界區(qū)域邊界 區(qū)域是指在單一安全策略管理下、通過網(wǎng)絡(luò)連接起來的計(jì)算設(shè)備的集區(qū)域是指在單一安全策略管理下、通過網(wǎng)絡(luò)連接起來的計(jì)算設(shè)備的集合合 區(qū)域邊界是區(qū)域與外部網(wǎng)絡(luò)發(fā)生信息交換的部分區(qū)域邊界是區(qū)域與外部網(wǎng)絡(luò)發(fā)生信息交換的部分 區(qū)域邊界確保進(jìn)入的信息不會(huì)影響區(qū)域內(nèi)資源的安全，而離開的信息區(qū)域邊界確保進(jìn)入的信息不會(huì)影響區(qū)域內(nèi)資源的安全，而離開的信息是經(jīng)過合法授權(quán)的是經(jīng)過合法授權(quán)的 網(wǎng)絡(luò)和基礎(chǔ)設(shè)施網(wǎng)絡(luò)和基礎(chǔ)設(shè)施支撐基礎(chǔ)設(shè)施支撐基礎(chǔ)設(shè)施 2 2、信息安全保證技術(shù)框架、信息安全保證技術(shù)框架(IATF)(IATF)v信息安全保證技術(shù)框架（信息安全保

8、證技術(shù)框架（Information Assurance Technical Framework：IATF）將計(jì)算機(jī)信息系統(tǒng)分）將計(jì)算機(jī)信息系統(tǒng)分4個(gè)部分：個(gè)部分：本地計(jì)算環(huán)境本地計(jì)算環(huán)境區(qū)域邊界區(qū)域邊界網(wǎng)絡(luò)和基礎(chǔ)設(shè)施網(wǎng)絡(luò)和基礎(chǔ)設(shè)施支撐基礎(chǔ)設(shè)施支撐基礎(chǔ)設(shè)施2.3 2.3 信息安全保證技術(shù)框架信息安全保證技術(shù)框架(IATF)(IATF)v網(wǎng)絡(luò)和基礎(chǔ)設(shè)施在區(qū)域之間提供連接網(wǎng)絡(luò)和基礎(chǔ)設(shè)施在區(qū)域之間提供連接, ,包括包括局域網(wǎng)（局域網(wǎng)（LAN）校園網(wǎng)（校園網(wǎng)（CAN）城域網(wǎng)（城域網(wǎng)（MAN）廣域網(wǎng)等廣域網(wǎng)等v其中包括在網(wǎng)絡(luò)節(jié)點(diǎn)間（如路由器和交換其中包括在網(wǎng)絡(luò)節(jié)點(diǎn)間（如路由器和交換機(jī)）傳遞信息的傳輸部件（

9、如：衛(wèi)星，微機(jī)）傳遞信息的傳輸部件（如：衛(wèi)星，微波，光纖等），以及其他重要的網(wǎng)絡(luò)基礎(chǔ)波，光纖等），以及其他重要的網(wǎng)絡(luò)基礎(chǔ)設(shè)施組件如網(wǎng)絡(luò)管理組件、域名服務(wù)器及設(shè)施組件如網(wǎng)絡(luò)管理組件、域名服務(wù)器及目錄服務(wù)組件等目錄服務(wù)組件等 2 2、信息安全保證技術(shù)框架、信息安全保證技術(shù)框架(IATF)(IATF)v信息安全保證技術(shù)框架（信息安全保證技術(shù)框架（Information Assurance Technical Framework：IATF）將計(jì)算機(jī)信息系統(tǒng)分）將計(jì)算機(jī)信息系統(tǒng)分4個(gè)部分：個(gè)部分：本地計(jì)算環(huán)境本地計(jì)算環(huán)境區(qū)域邊界區(qū)域邊界網(wǎng)絡(luò)和基礎(chǔ)設(shè)施網(wǎng)絡(luò)和基礎(chǔ)設(shè)施支撐基礎(chǔ)設(shè)施支撐基礎(chǔ)設(shè)施2.4 2.4

10、信息安全保證技術(shù)框架信息安全保證技術(shù)框架(IATF)(IATF)v對網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的安全要求主要是對網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的安全要求主要是鑒別鑒別訪問控制訪問控制機(jī)密性機(jī)密性完整性完整性抗抵賴性抗抵賴性可用性可用性2.4 2.4 信息安全保證技術(shù)框架信息安全保證技術(shù)框架(IATF)(IATF)v支撐基礎(chǔ)設(shè)施提供了一個(gè)支撐基礎(chǔ)設(shè)施提供了一個(gè)IA機(jī)制在網(wǎng)絡(luò)、機(jī)制在網(wǎng)絡(luò)、區(qū)域及計(jì)算環(huán)境內(nèi)進(jìn)行安全管理、提供安區(qū)域及計(jì)算環(huán)境內(nèi)進(jìn)行安全管理、提供安全服務(wù)所使用的基礎(chǔ)全服務(wù)所使用的基礎(chǔ)v主要為以下內(nèi)容提供安全服務(wù)：主要為以下內(nèi)容提供安全服務(wù)：終端用戶工作站終端用戶工作站web服務(wù)服務(wù)應(yīng)用應(yīng)用文件文件DNS服務(wù)服務(wù)目

11、錄服務(wù)等目錄服務(wù)等信息安全相關(guān)機(jī)構(gòu)信息安全相關(guān)機(jī)構(gòu)v 主管部門主管部門 公安部 國家保密局 國家密碼管理局 安全部 中國工業(yè)和信息化部安全協(xié)調(diào)司v 第三方測評認(rèn)證機(jī)構(gòu)第三方測評認(rèn)證機(jī)構(gòu) 公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量檢驗(yàn)中心 國家保密局涉密信息系統(tǒng)安全保密測評中心 國家密碼管理局商用密碼檢測中心 中國信息安全測評中心 解放軍測評中心 中國信息安全認(rèn)證中心v 行業(yè)協(xié)會(huì)行業(yè)協(xié)會(huì) 中國信息產(chǎn)業(yè)商會(huì) 信息安全產(chǎn)業(yè)分會(huì) 依托單位：中國信息安全測評中心 中國信息協(xié)會(huì) 信息安全專業(yè)委員會(huì)秘書處設(shè)在國家信息中心信息安全研究與服務(wù)中心。 中國互聯(lián)網(wǎng)協(xié)會(huì) 網(wǎng)絡(luò)與信息安全工作委員會(huì)秘書處設(shè)在國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)

12、處理協(xié)調(diào)中心 信息安全相關(guān)機(jī)構(gòu)（信息安全相關(guān)機(jī)構(gòu)（Cont.Cont.）國家及行業(yè)重要性的政策性及技術(shù)性文件國家及行業(yè)重要性的政策性及技術(shù)性文件v 中辦中辦200327號(hào)文件：國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息號(hào)文件：國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見；安全保障工作的意見；v 公信安公信安2007861號(hào)文件號(hào)文件:關(guān)于開展全國重要信息系統(tǒng)安全關(guān)于開展全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知；等級(jí)保護(hù)定級(jí)工作的通知；v 國保國保200516號(hào)文件：關(guān)于印發(fā)號(hào)文件：關(guān)于印發(fā)涉及國家秘密的信息系涉及國家秘密的信息系統(tǒng)等級(jí)保護(hù)管理辦法統(tǒng)等級(jí)保護(hù)管理辦法；頒布；頒布涉及國家秘密的信息系統(tǒng)涉

13、及國家秘密的信息系統(tǒng)等級(jí)保護(hù)技術(shù)要求等級(jí)保護(hù)技術(shù)要求國家保密標(biāo)準(zhǔn)的通知；國家保密標(biāo)準(zhǔn)的通知；v 公通字公通字200466號(hào)文件：號(hào)文件：關(guān)于信息安全等級(jí)保護(hù)工作的關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見實(shí)施意見；v 2005年年9月國信辦：月國信辦：電子政務(wù)等級(jí)保護(hù)實(shí)施指南電子政務(wù)等級(jí)保護(hù)實(shí)施指南；v 公通字公通字20067號(hào)文件：號(hào)文件：信息安全等級(jí)保護(hù)管理辦法信息安全等級(jí)保護(hù)管理辦法試行；試行；v 信息安全風(fēng)險(xiǎn)評估指南信息安全風(fēng)險(xiǎn)評估指南：2006年元月；年元月；v 信息安全等級(jí)保護(hù)信息系統(tǒng)運(yùn)行安全管理要求信息安全等級(jí)保護(hù)信息系統(tǒng)運(yùn)行安全管理要求。主講內(nèi)容主講內(nèi)容vM_1: 整體定位模型和方法整

14、體定位模型和方法vM_2: 信息體系架構(gòu)信息體系架構(gòu)vM_3: 信息安全屬性概念信息安全屬性概念vM_4: 管理模型和方法管理模型和方法vM_5: 技術(shù)功能模型和方法技術(shù)功能模型和方法vM_6: 評價(jià)和決策模型和方法評價(jià)和決策模型和方法vM_7: 工程模型和方法工程模型和方法思考信息安全問題的思考信息安全問題的7 7大模型大模型思考信息安全問題的思考信息安全問題的7 7大模型大模型v M_1: 整體定位模型和方法 闡述信息安全的整體定位和結(jié)構(gòu)，綜合構(gòu)架和執(zhí)行的方法v M_2: 信息體系架構(gòu) 表述我們要保護(hù)的對象及其結(jié)構(gòu)v M_3: 信息安全屬性概念 闡述信息安全要達(dá)到的目標(biāo)v M_4: 管理模

15、型和方法 闡述信息安全管理v M_5: 技術(shù)功能模型和方法 闡述信息安全的功能及其關(guān)系，如：PDR等v M_6: 評價(jià)和決策模型和方法 闡述信息安全的評價(jià)和決策方法，如：風(fēng)險(xiǎn)評估等v M_7: 工程模型和方法 體現(xiàn)了信息安全的基于過程的工程方法，比如PDCA等M_3: M_3: 信息安全屬性信息安全屬性v經(jīng)典的安全目標(biāo)（屬性）經(jīng)典的安全目標(biāo)（屬性）- CIA Confidentiality 保密性保密性 Integrity 完整性完整性 Availability 可用性可用性安全目標(biāo)：安全屬性和安全管理屬性安全目標(biāo)：安全屬性和安全管理屬性v7個(gè)信息安全屬性個(gè)信息安全屬性 保密性保密性Confi

16、dentiality 完整性完整性Integrity 可用性可用性Availability 真實(shí)性真實(shí)性Authenticity 不可否認(rèn)性不可否認(rèn)性Non-Reputation 可追究性可追究性Accountability 可控性可控性Controllabilityv7個(gè)信息安全管理屬性個(gè)信息安全管理屬性 目標(biāo)性目標(biāo)性Focus 執(zhí)行性執(zhí)行性Execution 效益性效益性Cost-effective 時(shí)效性時(shí)效性Time-bound 適應(yīng)性適應(yīng)性Adaptive 全局性全局性Coherence 合規(guī)性合規(guī)性Compliance參考：人民銀行的描述參考：人民銀行的描述v重大應(yīng)用系統(tǒng)業(yè)務(wù)工作的

17、連續(xù)可用性重大應(yīng)用系統(tǒng)業(yè)務(wù)工作的連續(xù)可用性v業(yè)務(wù)工作責(zé)任的不可否認(rèn)性業(yè)務(wù)工作責(zé)任的不可否認(rèn)性v業(yè)務(wù)數(shù)據(jù)和信息的真實(shí)完整性業(yè)務(wù)數(shù)據(jù)和信息的真實(shí)完整性v涉及國際秘密和行業(yè)敏感信息的保密性涉及國際秘密和行業(yè)敏感信息的保密性v什么人、可以訪問什么資源、有什么權(quán)限什么人、可以訪問什么資源、有什么權(quán)限、以及控制授權(quán)范圍內(nèi)的信息流向及行為、以及控制授權(quán)范圍內(nèi)的信息流向及行為方式等的可控性方式等的可控性人行信息安全保障體系框架人行信息安全保障體系框架v中國人民銀行科技司于2002年9月至12月組織了中國人民銀行信息安全保障體系框架的研究編寫。人行框架的主要內(nèi)容人行框架的主要內(nèi)容v3個(gè)戰(zhàn)略階段 規(guī)范加強(qiáng)、集中整合、綜合保障v6項(xiàng)任務(wù) 保邊、護(hù)線、強(qiáng)內(nèi)、應(yīng)急、規(guī)范、嚴(yán)管v5個(gè)能力 預(yù)警、保護(hù)、檢測與評估、應(yīng)急響應(yīng)、災(zāi)難恢復(fù)v基本策略 適度集中、控制風(fēng)險(xiǎn) 突出重點(diǎn)、分級(jí)保護(hù) 統(tǒng)籌規(guī)劃、分步實(shí)施人民銀行信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)人民銀行信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)v人民銀行信息系統(tǒng)網(wǎng)絡(luò)規(guī)劃為涉密網(wǎng)、業(yè)務(wù)網(wǎng)和互聯(lián)網(wǎng)三大類，即總體安全框架“三縱三橫兩平臺(tái)一端”中 “三縱”所指的內(nèi)容。如圖所示：v 本框架所稱涉密網(wǎng)，是指連接總行、分行和省會(huì)首府中心支行，專門用于國家秘密信息和人民銀行內(nèi)部涉密公文的傳輸，嚴(yán)格按照國家有關(guān)部門要求運(yùn)行管理的網(wǎng)絡(luò)系統(tǒng)及其承載業(yè)務(wù)，該網(wǎng)與業(yè)務(wù)網(wǎng)和互聯(lián)網(wǎng)物理隔離。v 本框架所稱