“国家信息化发展战略”－构建国家信息安全保障体系－
曲成义研究员
2006年9月21日
互联网存在的六大问题•无主管的自由王国：
有害信息、非法联络、违规行为•不设防的网络空间：
国家安全、企业利益、个人隐私•法律约束脆弱
黑客犯罪、知识侵权、避税
•跨国协调困难
过境信息控制、跨国黑客打击、关税•民族化和国际化的冲突
文化传统、价值观、语言文字
•网络资源紧缺
IP地址、域名、带宽
网络突发事件正在引起全球关注•2000年2月7日美国网上恐怖事件造成巨大损失•2001年日本东京国际机场航管失灵，影响巨大•2003年美国银行的ATM网遭入侵，损失惨重
2004年震荡波几天波及全球
•2005年Card System公司4000万张卡用户信息被盗•网络正在成为恐怖组织联络和指挥工具
（）
•9.11事件造成世贸中心1200家企业信息网络荡然无存•网络舆情的爆发波及到物理社会的稳定
•信息网络的失窃密事件层出不穷
我国网络信息安全入侵事件态势严竣
(CNCERT/CC 05年度报告数据)
•收到信息安全事件报告12万件(04年的2倍)
•监测发现2万台计算机被木马远程控制(04年的2倍)
•发现1.4万个网站遭黑客篡改,其中政府网站2千(04年的2倍)•网络钓鱼(身份窃取) 事件报告400件(04年的2倍)
•监测发现70万台计算机被植入谍件(源头主要在国外)
•发现僵尸网络143个(受控计算机250万台)
互联网信息安全威胁的某些新动向•僵尸网络威胁兴起
•谍件泛滥值得严重关注
•网络钓鱼的获利动机明显
•网页篡改(嵌入恶意代码),诱人上当
•DDoS开始用于敲诈
木马潜伏孕育着杀机
•获利和窃信倾向正在成为主流
•
领导重视,管理较严,常规系统和防外机制基本到位，•
深层隐患值得深思
•u
u u u u u “重要信息系统”安全态势与深层隐患
（案例考察）
国家信息化发展战略目标导向
—中办[2006] 11号文—
信息化战略
信息化战略“十一五”信息化规划“十一五”信息化规划电子政务电子政务电子商务电子商务信息资源信息资源信息安全信息安全信息产业信息产业信息基础设施信息基础设施“十二五”信息化规划“十二五”信息化规划“十三五”信息化规划“十三五”信息化规划信息化支撑环境
信息化支撑环境信息
社会
信息社会信息能力信息化
《2006-2020年国家信息化发展战略》
—中办[2006] 11号文—
战略重点8 为--“建设国家信息安全保障体系”
《国家信息安全战略报告》
—国信[2005] 2号文—
•构筑国家信息安全保障体系
国家信息化领导小组第三次会议《关于加强信息安全保障工作的意见》
—中办发[2003] 27号文—
•
•
•发挥各界积极性、共同构筑国家信息安全保障体系
国家信息安全保障工作要点•实行信息安全等级保护制度
基于密码技术网络信任体系建设
建设信息安全监控体系
重视信息安全应急处理工作
推动信息安全技术研发与产业发展
信息安全法制与标准建设
信息安全人材培养与增强安全意识
信息安全组织建设
信息安全保障体系建设的目标
Ø信息安全防护能力
Ø隐患发现能力
Ø网络应急反应能力
Ø信息对抗能力
Ø保密性、完整性、可用性、真实性、可核查性（可控性）、可靠性
信息系统安全的整体对策n保障性
n保驾护航
n起点终生
n可信性
信息安全保障体系
国家信息安全保障体系框架国家信息安全保障体系框架
安全法规安
全
管
理
安
全
标
准
安
全
人
才
与
培
育
安
全
基
础
设
施
安
全
技
术
与
产
品
行业信息安全保障体系框架行业信息安全保障体系框架
安全法规安
全
管
理
安
全
标
准
安
全
工
程
与
服
务
安
全
基
础
设
施
安
全
人
才
与
培
训
信息安全法规
信息安全法规
•《关于开展信息安全风险评估工作的意见》•《信息安全等级保护管理办法（试行）》•《中华人民共和国保守国家秘密法》•《信息安全法》
•《电子签名法》
《个人数据保护法》
•《政务信息公开条例》
•------
信息安全组织管理
行政管理体制:国家网络信息安全协调小组，部门，地区
技术管理体制:CSO
信息系统安全管理规则(ISO 17799) GB/T 19716-2005 u管理策略
u组织与人员
u资产分类与安全控制
u配置与运行
u网络信息安全域与通信安全
u异常事件与审计
u信息标记与文档
u物理与环境
u开发与维护
u作业连续性保障
u符合性
国家信息安全标准化委员会
国家信息安全标准化委员会
（02.4.15成立.十个工作组）
国家发布30项、报批搞9项、送审稿14项、征求意见14项
全面推动重点安全技术与产业
t基础类
t关键类
t系统类
t应用类
t物理类
t前瞻性
中国信息化安全必须搭建在自主可控的平台上
信息系统安全工程与服务信息系统安全工程与服务•安全需求分析：
•安全功能定义
•安全体系构架
•安全要素设计：
•安全集成管理
•安全风险评估与全程控制
（ＷＰＤＲＲＡ）
信息安全基础设施的支撑信息安全基础设施的支撑
信息安全保障体系的评价要素中观:
安全六要素－组织管理、法律法规、标准规范
人才培育、安全工程、安全基础设施
1 。

组织管理
行业法规
标准规范
人才培育
5 。

安全工程
安全基础设施
信息安全风险评估
提升信息安全风险评估意识
•
•
•
•
•
•信息安全风险评估起点终生•
•
信息系统安全风险评估的特征
n
n
n
n
n
信息系统安全评估目的
提供
采取降低影响
完成
保护
安全保证技术提供者
系统评估者
安全保证
信心
风险
对策
资产
使命
资产拥有者
价值给出证据
生成保证
具有
信息系统生命周期中
安全保障与评估
策划与组织开发与采购
实施与交付运行与维护更新与废弃
信息系统安全保障与评估
信息系统安全分析与检测n管理安全分析
组织、人员、制度、资产控制、物理、操作、连续性、应急n过程安全分析
威胁、风险、脆弱性、需求、策略、方案、符合性
分发、运行、维护、更新、废弃
n技术安全分析与检测
安全机制、功能和强度分析
网络设施、安全设施及主机配置安全分析
网络设备和主机设备脆弱性分析
系统穿透性测试
风险评估实施步骤
风险分析示意
图
风险评估工具
基于安全标准、基于知识、基于模型
采点、收集、描述、分析
脆弱性扫描：网络、主机、数据库、网站、
滲透性测试：黑客、病毒、木马、谍件、劫持、拒绝、破译
入侵检测、安全审计、拓扑发现、资产收集
知识库、漏洞库、算法库、模型库、指标库
信息系统安全的整体对策n保障性
n保驾护航
n起点终生
n可信性
谢谢!。