國家信息安全保障體系框架

國家信息安全保障

體系框架探索曲成義研究員2002.8信息安全保障體系

建設的策略信息安全防護能力隱患發(fā)現(xiàn)能力網(wǎng)絡應急反應能力信息對抗能力發(fā)展與安全——保駕護航資產(chǎn)與威脅——保障能力防護與檢測——縱深防御成本與風險——適度安全技術與管理——綜合治理培訓與自律——以人為本強度與弱點——均衡設計信息安全保障體系框架組織管理技術保障基礎設施產(chǎn)業(yè)支撐人材培養(yǎng)環(huán)境建設國家信息安全保障體系框架信息安全組織管理體系1、行政管理體制國家領導層國家協(xié)調(diào)層國家執(zhí)行層地區(qū)和部委層2、技術咨詢體制信息化專家咨詢委員會法規(guī)、標準、資質(zhì)認可…等委員會技術研究與工程開發(fā)隊伍建設學會與產(chǎn)業(yè)協(xié)會3、信息系統(tǒng)安全管理準則（參照ISO17799）管理策略組織與人員資產(chǎn)分類與安全控制配置與運行網(wǎng)絡信息安全域與通信安全異常事件與審計信息標記與文檔物理與環(huán)境開發(fā)與維護作業(yè)連續(xù)性保障符合性信息安全技術保障體系1、、加加強強自自主主研研發(fā)發(fā)與與創(chuàng)創(chuàng)新新組建建研研發(fā)發(fā)國國家家隊隊與與普普遍遍推推動動相相結(jié)結(jié)合合推動動自自主主知知識識產(chǎn)產(chǎn)權權與與專專利利建設設技技術術工工程程中中心心與與加加速速產(chǎn)產(chǎn)品品孵孵化化加大大技技術術研研發(fā)發(fā)專專項項基基金金全面面推推動動與與突突出出重重點點的的技技術術研研發(fā)發(fā)基礎礎類類：：風風險險控控制制、、體體系系結(jié)結(jié)構(gòu)構(gòu)、、協(xié)協(xié)議議工工程程、、有有效效評評估估、、工工程程方方法法關鍵鍵類類：：密密碼碼、、安安全全基基、、內(nèi)內(nèi)容容安安全全、、抗抗病病毒毒、、RBAC、、IDS、、VPN、、強強審審計計系統(tǒng)統(tǒng)類類：：PKI、、PMI、、DRI、、KMI、、網(wǎng)網(wǎng)絡絡預預警警、、集集成成管管理理應用用類類：：EC、、EG、、NB、、NS、、NM、、WF、、XML、、CSCW物理理與與環(huán)環(huán)境境類類：：TEMPEX、、物物理理識識別別前瞻瞻類類：：免免疫疫技技術術、、量量子子密密碼碼、、漂漂移移技技術術、、語語義義理理解解識識別別2、、建建立立縱縱深深防防御御體體系系網(wǎng)絡絡信信息息安安全全域域的的劃劃分分與與隔隔離離控控制制內(nèi)部部網(wǎng)網(wǎng)安安全全服服務務與與控控制制策策略略（Intranet））外部部網(wǎng)網(wǎng)安安全全服服務務與與控控制制策策略略（Extranet)互聯(lián)聯(lián)網(wǎng)網(wǎng)安安全全服服務務與與控控制制策策略略（Internet））公共共干干線線的的安安全全服服務務與與控控制制策策略略（有有線線、、無無線線、、衛(wèi)衛(wèi)星星））計算算環(huán)環(huán)境境的的安安全全服服務務機機制制多級級設設防防與與科科學學布布署署策策略略全局局安安全全檢檢測測、、集集成成管管理理、、聯(lián)聯(lián)動動控控制制與與恢恢復復（PDR2）縱深防御體系的安全控制機制公眾服務層信息交換層防火墻業(yè)務處理層防火墻VPN安全網(wǎng)關關鍵業(yè)務層WWW服務器WWW服務器WWW服務器IntranetInternetExtranet3、、推推動動信信息息系系統(tǒng)統(tǒng)安安全全工工程程（（ISSE））的的控控制制方方法法安全全需需求求挖挖掘掘安全全功功能能定定義義安全全要要素素設設計計全程程安安全全控控制制風險險管管理理有效效評評估估（（CC/TCSEC/IATF））威脅脅級級別別（（Tn））資產(chǎn)產(chǎn)價價值值等等級級（（Vn））安全全機機制制強強度度等等級級（（SMLn)安全全技技術術保保障障強強壯壯性性級級別別（（IATRn））理解信息保護需求（服務）描述風險情況的特征執(zhí)行決策決定將做什么描述可以做什么理解任務目標風險管理周期風險險管管理理過過程程比較和對比可用攻擊研究敵方行為理論開創(chuàng)任務影響理論比較和對比各種行為行動決策對策識別與特征描述任務關鍵性參數(shù)權衡脆弱性與攻擊的識別與特征描述威脅的識別與特征描述任務影響的識別與描述基礎研究與事件分離系統(tǒng)改進風險分析風險險決決策策流流程程保障技術保障評估擁有者確信對策風險資產(chǎn)給出證據(jù)產(chǎn)生需要減少到系統(tǒng)統(tǒng)有有效效評評估估流流程程信息價值威脅級別T1T2T3T4T5T6T7V1SML1EAL1SML1EAL1SML1EAL1SML1EAL2SML1EAL2SML1EAL2SML1EAL2V2SML1EAL1SML1EAL1SML1EAL1SML2EAL2SML2EAL2SML2EAL3SML2EAL3V3SML1EAL1SML1EAL2SML1EAL2SML2EAL3SML2EAL3SML2EAL4SML2EAL4V4SML2EAL1SML2EAL2SML2EAL3SML3EAL4SML3EAL5SML3EAL5SML3EAL6V5SML2EAL2SML2EAL3SML3EAL4SML3EAL5SML3EAL6SML3EAL6SML3EAL7強建建性性程程度度（（IATF））4、、安安全全技技術術產(chǎn)產(chǎn)品品與與系系統(tǒng)統(tǒng)互互操操作作性性策策略略體系系結(jié)結(jié)構(gòu)構(gòu)安全全協(xié)協(xié)議議產(chǎn)品品標標準準安全全策策略略與與協(xié)協(xié)定定安全全基基礎礎設設施施信息息安安全全基基礎礎設設施施1、、大大力力推推動動國國家家信信息息安安全全基基礎礎的的建建設設基礎礎性性、、支支撐撐性性、、服服務務性性、、公公益益性性國家家專專項項基基金金啟啟動動建立立資資質(zhì)質(zhì)認認證證機機制制建立立監(jiān)監(jiān)理理機機制制形成成社社會會化化服服務務和和行行政政監(jiān)監(jiān)管管體體系系2、、社社會會公公共共服服務務類類基于于數(shù)數(shù)字字證證書書的的信信任任體體系系（（PKI/CA））信息息安安全全測測評評與與評評估估體體系系（（CC/TCSEC/IATF））應急急響響應應與與支支援援體體系系（（CERT））計算算機機病病毒毒防防治治與與服服務務體體系系（（A-Virus））災難難恢恢復復基基礎礎設設施施（（DRI））密鑰鑰管管理理基基礎礎設設施施（（KMI））基于于數(shù)數(shù)字字證證書書的的信信任任體體系系（（PKI/CA））GRCA安全網(wǎng)閘NBCAPMAGCAGRAGRAGCAGRAGRAGCAGCAGRASCAGRACCAICA3、、信信息息安安全全執(zhí)執(zhí)法法類類網(wǎng)上上信信息息內(nèi)內(nèi)容容安安全全監(jiān)監(jiān)控控體體系系網(wǎng)絡絡犯犯罪罪監(jiān)監(jiān)察察與與防防范范體體系系電子子信信息息保保密密監(jiān)監(jiān)管管體體系系網(wǎng)絡絡偵偵控控與與反反竊竊密密體體系系網(wǎng)絡絡預預警警與與網(wǎng)網(wǎng)絡絡反反擊擊體體系系信息息安安全全產(chǎn)產(chǎn)業(yè)業(yè)支支撐撐推動動安安全全產(chǎn)產(chǎn)業(yè)業(yè)發(fā)發(fā)展展，，支支撐撐安安全全保保障障體體系系建建設設掌握握安安全全產(chǎn)產(chǎn)品品的的自自主主權權、、自自控控權權建設設信信息息安安全全產(chǎn)產(chǎn)品品基基地地形成成信信息息安安全全產(chǎn)產(chǎn)品品配配套套的的產(chǎn)產(chǎn)業(yè)業(yè)鏈鏈造就就出出世世界界品品牌牌的的安安全全骨骨干干企企業(yè)業(yè)安全全產(chǎn)產(chǎn)品品制制造造業(yè)業(yè)、、集集成成業(yè)業(yè)、、服服務務業(yè)業(yè)全全面面發(fā)發(fā)展展盡快快配配套套信信息息安安全全產(chǎn)產(chǎn)業(yè)業(yè)管管理理政政策策（準準入入、、測測評評、、資資質(zhì)質(zhì)、、扶扶植植、、、、））重視視TBT條條款款運運用用，，保保護護密密碼碼為為代代表表的的國國內(nèi)內(nèi)安安全全產(chǎn)產(chǎn)品品市市場場信息安全全教育與與人人材培養(yǎng)養(yǎng)創(chuàng)建一個個具有一一批高級級信息安安全人材材、雄厚厚的安全全技術隊隊伍、普普及安全全意識和和技術的的人材大大環(huán)境學歷教育育：專業(yè)設置置、課程程配套高級人材材培養(yǎng)：：研究生學學院、博博士后流流動站職業(yè)和技技能培訓訓：上崗和在在職培訓訓、考核核認證制制度信息安全全意識提提升：學會、協(xié)協(xié)會、論論壇、媒媒體網(wǎng)上教育育：信息安全全課件、、網(wǎng)上課課堂信息安全全出版物物信息安全全標準與與法法規(guī)環(huán)境境1、強力力推動信信息安全全標準化化工作加強信息息安全標標準化技技術委員員會工作作積極參予予國際信信息安全全標準制制訂活動動注意采用用國際與與國外先先進標準準抓緊制訂訂國家標標準和協(xié)協(xié)調(diào)行業(yè)業(yè)標準重視強制制性和保保護性（（TBT）標準準的制訂訂推動信息息安全產(chǎn)產(chǎn)品標準準互操性性的測試試和認證證兼容性和和可擴展展性的需需要公平、公公正、公公開機制制2、加強強信息安安全標準準的研發(fā)發(fā)、評審審、審批批密碼算法法、密鑰鑰管理及及應用類類PKI/PMI類信息安全全評估和和保障等等級類電子證據(jù)據(jù)類內(nèi)容安全全分級及及標識類類信息安全全邊界控控制及傳傳輸安全全類身份識別別及鑒別別協(xié)議類類網(wǎng)絡應急急響應與與處理類類入侵檢測測框架類類信息安全全管理類類資源訪問問控制類類安全體系系結(jié)構(gòu)與與協(xié)議類類安全產(chǎn)品品接口與與集成管管理類信息系統(tǒng)統(tǒng)安全工工程實施施規(guī)范類類XML、、CSCW、Web安安全應用用類3、加快快信息安安全法規(guī)規(guī)的制訂訂建立和加加強國家家信息安安全法規(guī)規(guī)咨詢委委員會的的工作規(guī)劃先行行，急用用先上借鑒國外外先進經(jīng)經(jīng)驗，結(jié)結(jié)合我國國國情采取措施施縮短需需求與立立法的時時間差4、相關關法規(guī)需需求電子文檔檔與數(shù)字字簽章類類數(shù)據(jù)保密密與公開開類網(wǎng)絡信息息內(nèi)容安安全監(jiān)管管類網(wǎng)絡信息息犯罪與與懲治類類個人數(shù)據(jù)據(jù)保密類類（隱私私法）數(shù)字內(nèi)容容產(chǎn)品版版權保護護類電子商務務運營監(jiān)監(jiān)管類（（EC、、NB、、NS））網(wǎng)上交易易稅法類類網(wǎng)絡信息息企業(yè)市市場準入入類密碼研制制、生產(chǎn)產(chǎn)與應用用管理類類網(wǎng)絡媒體體監(jiān)管類類網(wǎng)上娛樂樂活動監(jiān)監(jiān)管類網(wǎng)上通信信聯(lián)絡監(jiān)監(jiān)管類9、靜夜四無鄰鄰，荒居舊業(yè)業(yè)貧。。12月-2212月-22Wednesday,December28,202210、雨中黃葉樹樹，燈下白頭頭人。。20:42:1220:42:1220:4212/28/20228:42:12PM11、以以我我獨獨沈沈久久，，愧愧君君相相見見頻頻。。。。12月月-2220:42:1220:42Dec-2228-Dec-2212、故人江海別別，幾度隔山山川。。20:42:1220:42:1220:42Wednesday,December28,202213、乍見翻疑疑夢，相悲悲各問年。。。12月-2212月-2220:42:1220:42:12December28,202214、他鄉(xiāng)生生白發(fā)，，舊國見見青山。。。28十十二月20228:42:12下午午20:42:1212月-2215、比不了得就就不比，得不不到的就不要要。。。十二月228:42下下午12月-2220:42December28,202216、行行動動出出成成果果，，工工作作出出財財富富。。。。2022/12/2820:42:1220:42:1228December202217、做做前前，，能能夠夠環(huán)環(huán)視視四四周周；；做做時時，，你你只只能能或或者者最最好好沿沿著著以以腳腳為為起起點點的的射射線線向向前前。。。。8:42:12下下午午8:42下下午午20:42:1212月月-229、沒有有失敗敗，只只有暫暫時停停止成成功！！。12月月-2212月月-22Wednesday,December28,202210、很多多事情情努力力了未未必有有結(jié)果果，但但是不不努力力卻什什么改改變也也沒有有。。。20:42:1220:42:1220:4212/28/20228:42:12PM11、成功就就是日復復一日那那一點點點小小努努力的積積累。。。12月-2220:42:1220:42Dec-2228-Dec-2212、世間成事，，不求其絕對對圓滿，留一一份不足，可可得無限完美美。。20:42:1220:42:1220:42Wednesday,December28,202213、不知香積積寺，數(shù)里里入云峰。。。12月-2212月-2220:42:1220:42:12December28,202214、意意志志堅堅強強的的人人能能把把世世界界放放在在手手中中像像泥泥塊塊一一樣樣任任意意揉揉捏捏。。28十十二二月月20228:42:13下下午午20:42:1312月月-2215、楚塞塞三湘湘接，，荊門門九派派通。。。。十二月月228:42下下午午12月月-2220:42December28,202216、少年年十五五二十十時，，步行行奪得得胡馬馬騎。。。2022/12/2820:42:1320:42:1328December202217、空山新雨雨后，天氣氣晚來秋。。。8:42:13下下午8:42下下午20:42:1312月-229、楊柳散和風風，青山澹吾吾慮。。12月-2212月-22Wednesday,December28,202210、閱讀一切好好書如同和過過去最杰出的的人談話。20:42:1320:42:1320:4212/28