搜索
1网络安全体系基础架构建设知识天融信公司罗春2姓名:罗春手机:13666152010邮箱:luochun@china.com成都市电子商务学会受聘专家系统分析师(原系统分析员)CISA(国际注册信息系统审计师)CISP(国家注册信息安全工程师)高级程序员,系统集成项目经理MCSE,MCDBA,MCP讲师简介3国际社会对信息安全的共识1998年以来的历届联合国大会,均专门商讨信息安全概念和主要威胁;1999年,俄罗斯向联合国提交了《从国际安全的角度来看信息和电信领域的发展》报告,遭到西方国家强烈抵制;2006年10月20日,俄罗斯联合中国等国,继续提交了报告决议草案,最终169票对1票通过,唯一投反对票的国家是美国。4中国面临的信息安全风险因素基础信息网络和重要信息系统的安全防护能力不强泄密隐患严重信息技术自主可控能力不高对外风险意识欠缺,防范措施不够,缺乏对国外信息技术产品和服务采购中的风险控制5中国面临的信息安全事故基础信息网络和重要信息系统的安全防护能力不强–2006年统计大陆被木马控制计算机约4.5万台–2002年深圳证券交易所通信中断,停止交易–2002年北京首都国际机场离港系统技术故障–2005年北京铁路局5.1售票系统临时性故障–2006年中国银联系统中断6小时–2006年中国民航离港系统技术故障6中国面临的信息安全现状基础信息网络和重要信息系统的安全防护能力不强–重视不够,投入不足–安全体系不完善,整体安全十分脆弱–软硬件特别是高端产品严重依赖国外–国家安全意识不强7中国面临的信息安全风险因素泄密隐患严重–情报机构网上窃密活动猖獗–信息时代泄密途径日益增多–新兴技术发展导致保密形势严峻8中国面临的信息安全风险因素信息技术自主可控能力不高–核心器件和核心软件还大量依赖国外–大规模集成电路技术–集成电路专用设备–操作系统和数据库90%是外国公司产品–通信技术、电子视听核心技术没有掌握–新型元器件方面的核心技术基础非常薄弱9中国面临的信息安全风险因素对外风险意识欠缺,防范措施不够–缺少对采购国外信息技术产品和服务的限制–尚未建立外商投资安全审查机制–互联网基础设施对国外高度依赖-DNS问题–国内.CN域名注册量少于.COM顶级域名注册量10有关电子标签的两次政协提案电子标签:非接触自动识别技术,通过射频信号识别目标对象并获取相关数据,无须人工干预;2007年两会期间,杨匡满等政协委员再次递交了《关于国家强制性标准全国产品与服务统一代码(NPC)的推广应用工作必须立即恢复的再提议案》,签名提案委员72人,成为政协史上最大提案;2006年,59名;NPC是我国自主创新、完全拥有知识产权的国家强制性标准,2003年由国家质检总局发布,2005年宣布取消;EPC是美国EPCGlobal公司推出的产品电子代码,2004年进入中国,中国物品编码中心(国家质检总局、国家标准委所属机构)为其代理单位;日本坚决抵制EPC,建立了自己的UID;德国、韩国。。11网络安全体系基础架构12中国早期参考的信息安全体系标准美国国防部早在80年代就针对国防部门的计算机安全保密成立了国家计算机安全中心(NCSC)1983年NCSC公布了可信计算机系统评估准则TCSEC-TrustedComputerSystemEvaluationCriteria,俗称橘皮书NCSC于1987年出版了一系列有关可信计算机数据库、可信计算机网络等的指南等(俗称彩虹系列),根据所采用的安全策略、系统所具备的安全功能将系统分为四类七个安全级别。将计算机系统的可信程度划分为D、C1、C2、B1、B2、B3和A1七个层次。13中国早期参考的信息安全体系标准TCSEC带动了国际计算机安全的评估研究,90年代西欧四国(英、法、荷、德)联合提出了信息技术安全评估标准(ITSEC),ITSEC(又称欧洲白皮书)除了吸收TCSEC的成功经验外,首次提出了信息安全的保密性、完整性、可用性的概念美国不甘心TCSEC的影响被ITSEC取代,他们联合其他国家于1991年1月宣布制定了通用安全评估准则CC,并于1996年1月出版了1.0版。CC标准吸收了各先进国家对现代信息系统信息安全的经验与知识,对未来信息安全的研究与应用带来重大影响-中国根据该准则制订了《计算机信息系统安全保护等级划分准则GB17859-1999》14目前最新的信息安全体系发展状况1994年,国务院发布了《中华人民共和国计算机信息系统安全保护条例》,该条例是计算机信息系统安全保护的法律基础。其中第九条规定“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。”公安部组织制订了《计算机信息系统安全保护等级划分准则》的国家标准,并于1999年9月13日由国家质量技术监督局审查通过并正式批准发布,已于2001年1月1日执行。15信息安全等级保护相关文件间的关系政策文件四大标准技术标准管理标准提供指导提供方法安全等级化的信息系统提供技术要求提供管理要求16信息系统安全等级保护实施政策文件政策文件国务院147号令-《中华人民共和国计算机信息系统安全保护条例》中办发[2003]27号-《国家信息化领导小组关于加强信息安全保障工作的意见》公通字[2004]66号-《关于信息安全等级保护工作的实施意见》公通字[2007]43号-《信息安全等级保护管理办法》17信息系统安全等级保护实施的标准法规四大标准《信息安全技术信息系统安全等级保护定级指南》GB/T22240-2008《信息安全技术信息系统安全等级保护基本要求》GB/T22239-2008信息系统安全等级保护实施指南(国家标准报批稿)信息系统安全等级保护测评准则(国家标准报批稿)18信息系统安全等级保护实施技术标准《计算机信息系统安全保护等级划分准则》(GB17859-1999)《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)《信息安全技术网络基础安全技术要求》(GB/T20270-2006)《信息安全技术操作系统安全技术要求》(GB/T20272-2006)《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)《信息安全技术服务器技术要求》(GB/T21028-2007)《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006)《涉及国家秘密的信息系统分级保护技术要求》(BMB17-2006)………技术标准19信息系统安全等级保护实施管理标准管理标准《信息安全技术信息系统安全管理要求》(GB/T20269-2006)《信息安全技术信息系统安全工程管理要求》(GB/T20282-2006)《涉及国家秘密的信息系统分级保护管理规范》(BMB20-2007)………《信息技术安全技术信息安全管理体系要求》(GB/T22080-2008)《信息技术安全技术信息安全管理实用规则》(GB/T22081-2008)20近期新增国家信息安全标准GB/T20945-2007信息安全技术信息系统安全审计产品技术要求和测试评价方法GB/T20979-2007信息安全技术虹膜识别系统技术要求GB/T20983-2007信息安全技术网上银行系统信息安全保障评估准则GB/T20984-2007信息安全技术信息安全风险评估规范GB/T20987-2007信息安全技术网上证券交易系统信息安全保障评估准则GB/T20988-2007信息安全技术信息系统灾难恢复规范GB/T21028-2007信息安全技术服务器安全技术要求GB/T21050-2007信息安全技术网络交换机安全技术要求(评估保证级3)GB/T21052-2007信息安全技术信息系统物理安全技术要求GB/T21053-2007信息安全技术公钥基础设施PKI系统安全等级保护技术要求GB/T21054-2007信息安全技术公钥基础设施PKI系统安全等级保护评估准则GB/Z20283-2006信息安全技术保护轮廓和安全目标的产生指南GB/Z20985-2007信息技术安全技术信息安全事件管理指南GB/Z20986-2007信息安全技术信息安全事件分类分级指南GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T22080-2008信息技术安全技术信息安全管理体系要求GB/T22081-2008信息技术安全技术信息安全管理实用规则21网络安全体系基础架构的主要建设过程运维方案设计技术方案设计管理方案设计安全平台选型综合风险分析业务人员访谈管理人员访谈技术人员访谈安全培训服务应急响应服务安全通告服务安全监控服务后期服务项目监理现有措施评估安全威胁评估资产弱点评估信息资产赋值帮助分析需求帮助总体规划帮助设计方案承包工程实施监控、响应安全认证咨询需求分析总体规划详细设计工程实施运行维护安全认证信息系统安全建设与运营维护信息资产识别风险分析与评估设计总体方案制定安全策略制定安全方针安全总体规划安全产品选型安全方案设计工程验收服务实施产品实施设计实施方案制定实施计划安全工程实施安全审计服务安全优化服务安全加固服务安全检测服务安全运行维护安全认证体系建设风险评估标准导入安全认证咨询人、工具、标准人、标准人、产品人、产品人、工具、平台人、标准信息系统安全建设咨询服务安全运行维护服务系统现状分析安全认证咨询服务22网络安全体系基础架构前的准备工作风险评估准备保护对象分析威胁分析脆弱性分析控制措施分析确定风险后果确定风险概率确定风险等级安全风险评估报告《信息安全技术信息安全风险评估规范》(GB/T20984-2007)23网络安全集成商的选择-企业主要相关资质国家涉密集成资质信息系统集成资质国家安全服务资质24网络安全产品的选择-国家安全相关资质①②③④⑤⑥25网络安全产品的选择-密码产品相关资质26网络安全产品的选择-业界主要安全相关资质安全产品的品质保障-EAL系列产品认证电信接入品质保障-电信进网试用批文避免贴牌产品-知识产权证明入侵漏洞库质量-CVE兼容认证27网络安全措施简介28主机安全措施简介29应用安全措施简介30数据安全措施简介31网络安全体系基础架构的主要涉及层面物理安全技术需求管理需求信息安全需求网络安全主机安全应用安全数据安全安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理32物理安全(三级)物理位置的选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电温湿度控制电力供应A3电磁防护S3物理安全需求分析331.机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;2.机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。物理位置的选择物理安全需求分析341.机房出入口应安排专人值守,控制、鉴别和记录进入的人员;2.需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;3.应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;4.重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。物理访问控制物理安全需求分析351.应将主要设备放置在机房内;2.应将设备或主要部件进行固定,并设置明显的不易除去的标记;3.应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;4.应对介质分类标识,存储在介质库或档案室中;5.应利用光、电等技术设置机房防盗报警系统;6.应对机房设置监控报警系统。防盗窃和防破坏物理安全需求分析361.机房建筑应设置避雷装置;2.应设置防雷保安器,防止感应雷;3.机房应设置交流电源地线。防雷击物理安全需求分析371.机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;2.机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;3.机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。防火物理安全需求分析381.水