搜索
国家信息安全保障体系框架探索曲成义研究员2002.82信息安全保障体系建设的策略3信息安全防护能力隐患发现能力网络应急反应能力信息对抗能力4发展与安全——保驾护航资产与威胁——保障能力防护与检测——纵深防御成本与风险——适度安全技术与管理——综合治理培训与自律——以人为本强度与弱点——均衡设计5信息安全保障体系框架6组织管理技术保障基础设施产业支撑人材培养环境建设国家信息安全保障体系框架7信息安全组织管理体系81、行政管理体制–国家领导层–国家协调层–国家执行层–地区和部委层2、技术咨询体制–信息化专家咨询委员会–法规、标准、资质认可…等委员会–技术研究与工程开发队伍建设–学会与产业协会93、信息系统安全管理准则(参照ISO17799)–管理策略–组织与人员–资产分类与安全控制–配置与运行–网络信息安全域与通信安全–异常事件与审计–信息标记与文档–物理与环境–开发与维护–作业连续性保障–符合性10信息安全技术保障体系111、加强自主研发与创新–组建研发国家队与普遍推动相结合–推动自主知识产权与专利–建设技术工程中心与加速产品孵化–加大技术研发专项基金–全面推动与突出重点的技术研发•基础类:风险控制、体系结构、协议工程、有效评估、工程方法•关键类:密码、安全基、内容安全、抗病毒、RBAC、IDS、VPN、强审计•系统类:PKI、PMI、DRI、KMI、网络预警、集成管理•应用类:EC、EG、NB、NS、NM、WF、XML、CSCW•物理与环境类:TEMPEX、物理识别•前瞻类:免疫技术、量子密码、漂移技术、语义理解识别122、建立纵深防御体系–网络信息安全域的划分与隔离控制–内部网安全服务与控制策略(Intranet)–外部网安全服务与控制策略(Extranet)–互联网安全服务与控制策略(Internet)–公共干线的安全服务与控制策略(有线、无线、卫星)–计算环境的安全服务机制–多级设防与科学布署策略–全局安全检测、集成管理、联动控制与恢复(PDR²)13纵深防御体系的安全控制机制公众服务层信息交换层防火墙业务处理层防火墙VPN安全网关关键业务层、推动信息系统安全工程(ISSE)的控制方法–安全需求挖掘–安全功能定义–安全要素设计–全程安全控制–风险管理–有效评估(CC/TCSEC/IATF)•威胁级别(Tn)•资产价值等级(Vn)•安全机制强度等级(SMLn)•安全技术保障强壮性级别(IATRn)15理解信息保护需求(服务)描述风险情况的特征执行决策决定将做什么描述可以做什么理解任务目标风险管理周期风险管理过程16比较和对比可用攻击研究敌方行为理论开创任务影响理论比较和对比各种行为行动决策对策识别与特征描述任务关键性参数权衡脆弱性与攻击的识别与特征描述威胁的识别与特征描述任务影响的识别与描述基础研究与事件分离系统改进风险分析风险决策流程17保障技术保障评估拥有者确信对策风险资产给出证据产生需要减少到系统有效评估流程18信息价值威胁级别T1T2T3T4T5T6T7V1SML1EAL1SML1EAL1SML1EAL1SML1EAL2SML1EAL2SML1EAL2SML1EAL2V2SML1EAL1SML1EAL1SML1EAL1SML2EAL2SML2EAL2SML2EAL3SML2EAL3V3SML1EAL1SML1EAL2SML1EAL2SML2EAL3SML2EAL3SML2EAL4SML2EAL4V4SML2EAL1SML2EAL2SML2EAL3SML3EAL4SML3EAL5SML3EAL5SML3EAL6V5SML2EAL2SML2EAL3SML3EAL4SML3EAL5SML3EAL6SML3EAL6SML3EAL7强建性程度(IATF)194、安全技术产品与系统互操作性策略–体系结构–安全协议–产品标准–安全策略与协定–安全基础设施20信息安全基础设施211、大力推动国家信息安全基础的建设–基础性、支撑性、服务性、公益性–国家专项基金启动–建立资质认证机制–建立监理机制–形成社会化服务和行政监管体系222、社会公共服务类–基于数字证书的信任体系(PKI/CA)–信息安全测评与评估体系(CC/TCSEC/IATF)–应急响应与支援体系(CERT)–计算机病毒防治与服务体系(A-Virus)–灾难恢复基础设施(DRI)–密钥管理基础设施(KMI)23基于数字证书的信任体系(PKI/CA)GRCA安全网闸NBCAPMAGCAGRAGRAGCAGRAGRAGCAGCAGRASCAGRACCAICA243、信息安全执法类–网上信息内容安全监控体系–网络犯罪监察与防范体系–电子信息保密监管体系–网络侦控与反窃密体系–网络预警与网络反击体系25信息安全产业支撑26推动安全产业发展,支撑安全保障体系建设掌握安全产品的自主权、自控权建设信息安全产品基地形成信息安全产品配套的产业链造就出世界品牌的安全骨干企业安全产品制造业、集成业、服务业全面发展尽快配套信息安全产业管理政策(准入、测评、资质、扶植、、)重视TBT条款运用,保护密码为代表的国内安全产品市场27信息安全教育与人材培养28创建一个具有一批高级信息安全人材、雄厚的安全技术队伍、普及安全意识和技术的人材大环境学历教育:专业设置、课程配套高级人材培养:研究生学院、博士后流动站职业和技能培训:上岗和在职培训、考核认证制度信息安全意识提升:学会、协会、论坛、媒体网上教育:信息安全课件、网上课堂信息安全出版物29信息安全标准与法规环境301、强力推动信息安全标准化工作–加强信息安全标准化技术委员会工作–积极参予国际信息安全标准制订活动–注意采用国际与国外先进标准–抓紧制订国家标准和协调行业标准–重视强制性和保护性(TBT)标准的制订–推动信息安全产品标准互操性的测试和认证–兼容性和可扩展性的需要–公平、公正、公开机制312、加强信息安全标准的研发、评审、审批–密码算法、密钥管理及应用类–PKI/PMI类–信息安全评估和保障等级类–电子证据类–内容安全分级及标识类–信息安全边界控制及传输安全类–身份识别及鉴别协议类–网络应急响应与处理类–入侵检测框架类–信息安全管理类–资源访问控制类–安全体系结构与协议类–安全产品接口与集成管理类–信息系统安全工程实施规范类–XML、CSCW、Web安全应用类323、加快信息安全法规的制订–建立和加强国家信息安全法规咨询委员会的工作–规划先行,急用先上–借鉴国外先进经验,结合我国国情–采取措施缩短需求与立法的时间差334、相关法规需求–电子文档与数字签章类–数据保密与公开类–网络信息内容安全监管类–网络信息犯罪与惩治类–个人数据保密类(隐私法)–数字内容产品版权保护类–电子商务运营监管类(EC、NB、NS)–网上交易税法类–网络信息企业市场准入类–密码研制、生产与应用管理类–网络媒体监管类–网上娱乐活动监管类–网上通信联络监管类