國家信息安全保障體系框架探索

1、國家信息安全保障體系框架探索曲成義 研究員2002.81信息安全保障體系建設的策略信息安全防護能力隱患發(fā)現(xiàn)能力網(wǎng)絡應急反應能力信息對抗能力發(fā)展與安全保駕護航資產與威脅保障能力防護與檢測縱深防御成本與風險適度安全技術與管理綜合治理培訓與自律以人為本強度與弱點均衡設計信息安全保障體系框架組織管理技術保障基礎設施產業(yè)支撐人材培養(yǎng)環(huán)境建設國家信息安全保障體系框架信息安全組織管理體系1、行政管理體制國家領導層國家協(xié)調層國家執(zhí)行層地區(qū)和部委層2、技術咨詢體制信息化專家咨詢委員會法規(guī)、標準、資質認可等委員會技術研究與工程開發(fā)隊伍建設學會與產業(yè)協(xié)會3、信息系統(tǒng)安全管理準則（參照ISO 17799）管理策略組織

2、與人員資產分類與安全控制配置與運行網(wǎng)絡信息安全域與通信安全異常事件與審計信息標記與文檔物理與環(huán)境開發(fā)與維護作業(yè)連續(xù)性保障符合性信息安全技術保障體系1、加強自主研發(fā)與創(chuàng)新組建研發(fā)國家隊與普遍推動相結合推動自主知識產權與專利建設技術工程中心與加速產品孵化加大技術研發(fā)專項基金全面推動與突出重點的技術研發(fā)基礎類：風險控制、體系結構、協(xié)議工程、有效評估、工程方法關鍵類：密碼、安全基、內容安全、抗病毒、RBAC 、 IDS、VPN、強審計系統(tǒng)類： PKI、PMI、DRI、KMI 、網(wǎng)絡預警、集成管理應用類：EC、EG、NB、NS、NM、WF、XML、CSCW物理與環(huán)境類：TEMPEX、物理識別前瞻類：免疫

3、技術、量子密碼、漂移技術、語義理解識別2、建立縱深防御體系網(wǎng)絡信息安全域的劃分與隔離控制內部網(wǎng)安全服務與控制策略（Intranet）外部網(wǎng)安全服務與控制策略（Extranet)互聯(lián)網(wǎng)安全服務與控制策略（Internet）公共干線的安全服務與控制策略（有線、無線、衛(wèi)星）計算環(huán)境的安全服務機制多級設防與科學布署策略全局安全檢測、集成管理、聯(lián)動控制與恢復（PDR）縱深防御體系的安全控制機制公眾服務層信息交換層防火墻業(yè)務處理層防火墻VPN安全網(wǎng)關關鍵業(yè)務層WWW服務器WWW服務器WWW服務器IntranetInternetExtranet3、推動信息系統(tǒng)安全工程（ISSE）的控制方法安全需求挖掘安全功

4、能定義安全要素設計全程安全控制風險管理有效評估（CC/TCSEC/IATF）威脅級別（Tn）資產價值等級（Vn）安全機制強度等級（SMLn)安全技術保障強壯性級別（IATRn）理解信息保護需求（服務）描述風險情況的特征執(zhí)行決策決定將做什么描述可以做什么理解任務目標風險管理周期風 險 管 理 過 程比較和對比可用攻擊研究敵方行為理論開創(chuàng)任務影響理論比較和對比各種行為行動決策對策識別與特征描述任務關鍵性參數(shù)權衡脆弱性與攻擊的識別與特征描述威脅的識別與特征描述任務影響的識別與描述基礎研究與事件分離系統(tǒng)改進風險分析風 險 決 策 流 程保障技術保 障評 估擁有者確 信對 策風 險資 產給出證據(jù)產生需要

5、減少到系統(tǒng)有效評估流程信息價值威脅級別T1T2T3T4T5T6T7V1SML1EAL1SML1EAL1SML1EAL1SML1EAL2SML1EAL2SML1EAL2SML1EAL2V2SML1EAL1SML1EAL1SML1EAL1SML2EAL2SML2EAL2SML2EAL3SML2EAL3V3SML1EAL1SML1EAL2SML1EAL2SML2EAL3SML2EAL3SML2EAL4SML2EAL4V4SML2EAL1SML2EAL2SML2EAL3SML3EAL4SML3EAL5SML3EAL5SML3EAL6V5SML2EAL2SML2EAL3SML3EAL4SML3EAL5S

6、ML3EAL6SML3EAL6SML3EAL7強 建 性 程 度（IATF）4、安全技術產品與系統(tǒng)互操作性策略體系結構安全協(xié)議產品標準安全策略與協(xié)定安全基礎設施信息安全基礎設施1、大力推動國家信息安全基礎的建設基礎性、支撐性、服務性、公益性國家專項基金啟動建立資質認證機制建立監(jiān)理機制形成社會化服務和行政監(jiān)管體系2、社會公共服務類基于數(shù)字證書的信任體系（PKI/CA）信息安全測評與評估體系（CC/TCSEC/IATF）應急響應與支援體系（CERT）計算機病毒防治與服務體系（A-Virus）災難恢復基礎設施（DRI）密鑰管理基礎設施（KMI）基于數(shù)字證書的信任體系（PKI/CA）GRCA安全網(wǎng)閘N

7、BCAPMAGCAGRAGRAGCAGRAGRAGCAGCAGRASCAGRACCAICA3、信息安全執(zhí)法類網(wǎng)上信息內容安全監(jiān)控體系網(wǎng)絡犯罪監(jiān)察與防范體系電子信息保密監(jiān)管體系網(wǎng)絡偵控與反竊密體系網(wǎng)絡預警與網(wǎng)絡反擊體系信息安全產業(yè)支撐推動安全產業(yè)發(fā)展，支撐安全保障體系建設掌握安全產品的自主權、自控權建設信息安全產品基地形成信息安全產品配套的產業(yè)鏈造就出世界品牌的安全骨干企業(yè)安全產品制造業(yè)、集成業(yè)、服務業(yè)全面發(fā)展盡快配套信息安全產業(yè)管理政策（準入、測評、資質、扶植、）重視TBT條款運用，保護密碼為代表的國內安全產品市場信息安全教育與人材培養(yǎng)創(chuàng)建一個具有一批高級信息安全人材、雄厚的安全技術隊伍、普及

8、安全意識和技術的人材大環(huán)境學歷教育：專業(yè)設置、課程配套高級人材培養(yǎng)：研究生學院、博士后流動站職業(yè)和技能培訓：上崗和在職培訓、考核認證制度信息安全意識提升：學會、協(xié)會、論壇、媒體網(wǎng)上教育：信息安全課件、網(wǎng)上課堂信息安全出版物信息安全標準與法規(guī)環(huán)境1、強力推動信息安全標準化工作加強信息安全標準化技術委員會工作積極參予國際信息安全標準制訂活動注意采用國際與國外先進標準抓緊制訂國家標準和協(xié)調行業(yè)標準重視強制性和保護性（TBT）標準的制訂推動信息安全產品標準互操性的測試和認證兼容性和可擴展性的需要公平、公正、公開機制2、加強信息安全標準的研發(fā)、評審、審批密碼算法、密鑰管理及應用類PKI/PMI類信息安全評估和保障等級類電子證據(jù)類內容安全分級及標識類信息安全邊界控制及傳輸安全類身份識別及鑒別協(xié)議類網(wǎng)絡應急響應與處理類入侵檢測框架類信息安全管理類資源訪問控制類安全體系結構與協(xié)議類安全產品接口與集成管理類信息系統(tǒng)安全工程實施規(guī)范類XML、CSCW、Web安全應用類3、加快信息安全法規(guī)的制訂建立和加強國家信息安全法規(guī)咨詢委員會的工作規(guī)劃先行，急用先上借鑒國外先進經(jīng)驗，結合我國國情采取措施縮短需求與立法的時間差4、相關法規(guī)需求