当前位置:
文档之家› 信息安全风险评估及信息安全保障体系
信息安全风险评估及信息安全保障体系
9
《国家信息安全战略报告》
—国信[2005] 2号文—
• 维护国家在网络空间的根本利益
• 确保国家的经济、政治、文化和信息的安全
• 三大信息基础设施、八大重要信息系统、信息内容
• 信息安全基础支撑能力
• 信息安全防护与对抗能力
• 网络突发事件快速反应能力
• 网络舆情驾驭能力
• 综合治理、协调联动、群防群治
提升信息安全风险评估意识 强化信息安全保障体系建设
曲成义 研究员 2006.8.8
1
信息安全面临的威胁
• 网上黑客与计算机欺诈
• 网络病毒的蔓延和破坏
• 有害信息内容污染与舆情误导
• 机要信息流失与“谍件”潜入
• 内部人员误用、滥用、恶用
• IT产品的失控(分发式威胁)
• 物理临近式威胁
• 网上恐怖活动与信息战
维护国家安全 • 立足国情、以我为主、管理与技术并重、
统筹规划、突出重点 • 发挥各界积极性、共同构筑国家信息安全保障体系
7
国家信息安全保障工作要点
• 实行信息安全等级保护制度:风险与成本、资源优化配置、安全
风险评估
• 基于密码技术网络信任体系建设:密码管理体制、身份认证、
授权管理、责任认定
• 建设信息安全监控体系:提高对网络攻击、病毒入侵、网络失窃
11
“信息安全”内涵
威胁发起者
资产拥有者
贬 值
威胁
发 现
意 识 到
对策
保 值
滥 用
增 加
利 用
脆弱性
减降合 少低法
与
与
可
破
用
坏 风险
系统资产 ?
使命
12
信息安全概念演变
早期:通信保密阶段(ComSec),通信内容保密为主
中期:信息安全阶段(InfoSec),信息自身的静态防 护为主
近期:信息保障阶段(Information Assurance—IA ),
自律、守法
• 信息安全组织建设:信息安全协调小组、责任制、依法管理 8
国家信息安全保障工作高层会议
( 2004.1.9 )
• 信息安全的重要性:IT增长25%、GDP的6%、强烈依赖
• 信息安全的重大案例 • 信息安全存在的问题 • 一个并重、两手抓、三个同步 • 新思路、新眼光,建立信息安全保障体系 • 关键技术产品要自主可控 • 认真落实中央27号文件
• 政策、标准、管理、技术、产业、人材、理论
• 构筑国家信息安全保障体系
• 信息安全长效机制
• 信息安全战略的主动权- - - - - -
10
《2006-2020年国家信息化发展战略》
—中办[2006] 11号文—
第 (八) 部分 : “建设国家信息安全保障体系”
• 实现信息化与信息安全协调发展 • 增强信息基础设施和重要信息系统抗毁能力 • 增强国家信息安全保障能力 • 研究国际信息安全先进理论、先进技术 • 掌握核心安全技术、提高关键设备装备能力 • 促进我国信息安全技术和产业的自主发展 • 完善国家信息安全长效机制 • ------
4
互联网信息安全威胁的某些新动向
• 僵尸网络威胁兴起 • 谍件泛滥值得严重关注 • 网络钓鱼的获利动机明显 • 网页篡改(嵌入恶意代码),诱人上当 • DDoS开始用于敲诈 • 木马潜伏孕育着杀机 • 获利和窃信倾向正在成为主流
5
“重要信息系统”安全态势与深层隐患
(案例考察)
• 领导重视、管理较严、常规的系统和外防机制基本到位 • 深层隐患值得深思
内控机制脆弱
高危漏洞存在
信息安全域界定与边控待探索
风险自评估能力弱
灾难恢复不到位
用户自控权不落实
----------
6
国家信息化领导小组第三次会议
《关于加强信息安全保障工作的意见》
—中办发[2003] 27号文—
• 坚持积极防御、综合防范 • 全面提高信息安全防护能力 • 重点保障信息网络和重要信息系统安全 • 创建安全健康的网络环境 • 保障和促进信息化发展、保护公众利益、
密、有害信息的防范能力
• 重视信息安全应急处理工作:指挥、响应、协调、通报、支援、
抗毁、灾备
• 推动信息安全技术研发与产业发展:关键技术、自主创新、强
化可控、引导与市场、测评认证、采购、服务
• 信息安全法制与标准建设:信息安全法、打击网络犯罪、标准体
系、规范网络行为
• 信息安全人材培养与增强安全意识:学科、培训、意识、技能、
• 2004年震荡波几天波及全球
• 2005年Card System公司4000万张卡用户信息被盗
(美国最大的窃密事件、植入特洛伊木马、假冒消费)
• 网络正在成为恐怖组织联络和指挥工具
(911、伦敦事件)
• 9.11事件造成世贸中心1200家企业信息网络荡然无存
(有DRP/NCP的400家企业能够恢复和生存)
威胁所提供的一种能力
13
信息系统安全整体对策
(一)构建信息安全保障体系 (二)作好信息安全风险评估
14
(一)构建信息安全保障体系
15
电子政务安全保障体系框架
安
安
安
安
安
安
全
全
全
全
全
全
工
技
基
法
管
标
程 与
术 与
础
服
产
设
规
理
• 网络的脆弱性和系统漏洞
2
网络突发事件正在引起全球关注
• 2000年2月7日美国网上恐怖事件造成巨大损失
(DDos、八大重要网站、$12亿美元)
• 2001年日本东京国际机场航管失灵,影响巨大
(红色病毒、几百架飞机无法起降、千人行程受阻)
• 2003年美国银行的ATM网遭入侵,损失惨重
(Slammer、几十亿美元)
强调动态的、纵深的、生命周期的、整个信息系统资 产的信息对抗。
我们当前所指“信息安全” = “信息保障”,
即“在整个生命周期中,处在纵深防御和动态对抗的
信息系统,为保障其中数据及服务的完整性、保密性、
可用性(防拒绝和破坏)、真实性(交互双方的数据、
人员的身份和权限、设施的鉴别)、可控性(监控、
审计、取证、防有害内容传播) 、可靠性而抵制各类
• 网络舆情的爆发波及到物理社会的稳定
• 信息网络的失窃密事件层出不穷
3
我国网络信息安全入侵事件态势严竣
(CNCERT/CC 05年度报告数据)
• 收到信息安全事件报告12万件(04年的2倍) • 监测发现2万台计算机被木马远程控制(04年) • 网络钓鱼(身份窃取) 事件报告400件(04年的2倍) • 监测发现70万台计算机被植入谍件(源头主要在国外) • 发现僵尸网络143个(受控计算机250万台)
