信息安全风险评估及信息安全保障体系.pptx

《信息安全风险评估及信息安全保障体系.pptx》由会员分享，可在线阅读，更多相关《信息安全风险评估及信息安全保障体系.pptx（49页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、曲成义曲成义 研究员研究员2006.8.8提升信息安全风险评估意识提升信息安全风险评估意识强化信息安全保障体系建设强化信息安全保障体系建设1信息安全面临的威胁信息安全面临的威胁网上黑客与计算机欺诈网上黑客与计算机欺诈网络病毒的蔓延和破坏网络病毒的蔓延和破坏有害信息内容污染与舆情误导有害信息内容污染与舆情误导机要信息流失与机要信息流失与“谍件谍件”潜入潜入内部人员误用、滥用、恶用内部人员误用、滥用、恶用IT产品的失控（分发式威胁）产品的失控（分发式威胁）物理临近式威胁物理临近式威胁网上恐怖活动与信息战网上恐怖活动与信息战网络的脆弱性和系统漏洞网络的脆弱性和系统漏洞2网络突发事件正在引起全球关注网

2、络突发事件正在引起全球关注 2000 2000年年年年2 2月月月月7 7日美国网上恐怖事件造成巨大损失日美国网上恐怖事件造成巨大损失日美国网上恐怖事件造成巨大损失日美国网上恐怖事件造成巨大损失 （DDosDDos、八大重要网站、八大重要网站、八大重要网站、八大重要网站、$12$12亿美元）亿美元）亿美元）亿美元）2001 2001年日本东京国际机场航管失灵，影响巨大年日本东京国际机场航管失灵，影响巨大年日本东京国际机场航管失灵，影响巨大年日本东京国际机场航管失灵，影响巨大 （红色病毒、几百架飞机无法起降、千人行程受阻）（红色病毒、几百架飞机无法起降、千人行程受阻）（红色病毒、几百架飞机无法起

3、降、千人行程受阻）（红色病毒、几百架飞机无法起降、千人行程受阻）2003 2003年美国银行的年美国银行的年美国银行的年美国银行的ATMATM网遭入侵，损失惨重网遭入侵，损失惨重网遭入侵，损失惨重网遭入侵，损失惨重 （SlammerSlammer、几十亿美元）、几十亿美元）、几十亿美元）、几十亿美元）20042004年震荡波几天波及全球年震荡波几天波及全球年震荡波几天波及全球年震荡波几天波及全球 2005 2005年年年年Card SystemCard System公司公司公司公司40004000万张卡用户信息被盗万张卡用户信息被盗万张卡用户信息被盗万张卡用户信息被盗 （美国最大的窃密事件、植

4、入特洛伊木马、假冒消费）（美国最大的窃密事件、植入特洛伊木马、假冒消费）（美国最大的窃密事件、植入特洛伊木马、假冒消费）（美国最大的窃密事件、植入特洛伊木马、假冒消费）网络正在成为恐怖组织联络和指挥工具网络正在成为恐怖组织联络和指挥工具网络正在成为恐怖组织联络和指挥工具网络正在成为恐怖组织联络和指挥工具 （911911、伦敦事件、伦敦事件、伦敦事件、伦敦事件）9.11 9.11事件造成世贸中心事件造成世贸中心事件造成世贸中心事件造成世贸中心12001200家企业信息网络荡然无存家企业信息网络荡然无存家企业信息网络荡然无存家企业信息网络荡然无存 （有（有（有（有DRP/NCPDRP/NCP的的的

5、的400400家企业能够恢复和生存）家企业能够恢复和生存）家企业能够恢复和生存）家企业能够恢复和生存）网络舆情的爆发波及到物理社会的稳定网络舆情的爆发波及到物理社会的稳定网络舆情的爆发波及到物理社会的稳定网络舆情的爆发波及到物理社会的稳定 信息网络的失窃密事件层出不穷信息网络的失窃密事件层出不穷信息网络的失窃密事件层出不穷信息网络的失窃密事件层出不穷3我国网络信息安全入侵事件态势严竣我国网络信息安全入侵事件态势严竣(CNCERT/CC 05(CNCERT/CC 05年度报告数据年度报告数据年度报告数据年度报告数据)收到信息安全事件报告收到信息安全事件报告收到信息安全事件报告收到信息安全事件报告

6、1212万件万件万件万件(04(04年的年的年的年的2 2倍倍倍倍)监测发现监测发现监测发现监测发现2 2万台计算机被木马远程控制万台计算机被木马远程控制万台计算机被木马远程控制万台计算机被木马远程控制(04(04年的年的年的年的2 2倍倍倍倍)发现发现发现发现1.41.4万个网站遭黑客篡改万个网站遭黑客篡改万个网站遭黑客篡改万个网站遭黑客篡改,其中政府网站其中政府网站其中政府网站其中政府网站2 2千千千千(04(04年的年的年的年的2 2倍倍倍倍)网络钓鱼网络钓鱼网络钓鱼网络钓鱼(身份窃取身份窃取身份窃取身份窃取)事件报告事件报告事件报告事件报告400400件件件件(04(04年的年的年的年

7、的2 2倍倍倍倍)监测发现监测发现监测发现监测发现7070万台计算机被植入谍件万台计算机被植入谍件万台计算机被植入谍件万台计算机被植入谍件(源头主要在国外源头主要在国外源头主要在国外源头主要在国外)发现僵尸网络发现僵尸网络发现僵尸网络发现僵尸网络143143个个个个(受控计算机受控计算机受控计算机受控计算机250250万台万台万台万台)4互联网信息安全威胁的某些新动向互联网信息安全威胁的某些新动向 僵尸网络威胁兴起僵尸网络威胁兴起僵尸网络威胁兴起僵尸网络威胁兴起 谍件泛滥值得严重关注谍件泛滥值得严重关注谍件泛滥值得严重关注谍件泛滥值得严重关注 网络钓鱼的获利动机明显网络钓鱼的获利动机明显网络钓

8、鱼的获利动机明显网络钓鱼的获利动机明显 网页篡改网页篡改网页篡改网页篡改(嵌入恶意代码嵌入恶意代码嵌入恶意代码嵌入恶意代码),),诱人上当诱人上当诱人上当诱人上当 DDoS DDoS开始用于敲诈开始用于敲诈开始用于敲诈开始用于敲诈 木马潜伏孕育着杀机木马潜伏孕育着杀机木马潜伏孕育着杀机木马潜伏孕育着杀机 获利和窃信倾向正在成为主流获利和窃信倾向正在成为主流获利和窃信倾向正在成为主流获利和窃信倾向正在成为主流5 领导重视、管理较严、常规的系统和外防机制基本到位领导重视、管理较严、常规的系统和外防机制基本到位领导重视、管理较严、常规的系统和外防机制基本到位领导重视、管理较严、常规的系统和外防机制基

9、本到位 深层隐患值得深思深层隐患值得深思深层隐患值得深思深层隐患值得深思 uu内控机制脆弱内控机制脆弱内控机制脆弱内控机制脆弱uu高危漏洞存在高危漏洞存在高危漏洞存在高危漏洞存在uu信息安全域界定与边控待探索信息安全域界定与边控待探索信息安全域界定与边控待探索信息安全域界定与边控待探索uu风险自评估能力弱风险自评估能力弱风险自评估能力弱风险自评估能力弱uu灾难恢复不到位灾难恢复不到位灾难恢复不到位灾难恢复不到位uu用户自控权不落实用户自控权不落实用户自控权不落实用户自控权不落实uu-“重要信息系统重要信息系统”安全态势与深层隐患安全态势与深层隐患（案例考察）（案例考察）6国家信息化领导小组第三

10、次会议国家信息化领导小组第三次会议 关于加强信息安全保障工作的意见关于加强信息安全保障工作的意见 中办发中办发2003 27号文号文 坚持积极防御、综合防范坚持积极防御、综合防范坚持积极防御、综合防范坚持积极防御、综合防范 全面提高信息安全防护能力全面提高信息安全防护能力全面提高信息安全防护能力全面提高信息安全防护能力 重点保障信息网络和重要信息系统安全重点保障信息网络和重要信息系统安全重点保障信息网络和重要信息系统安全重点保障信息网络和重要信息系统安全 创建安全健康的网络环境创建安全健康的网络环境创建安全健康的网络环境创建安全健康的网络环境 保障和促进信息化发展、保护公众利益、保障和促进信息

11、化发展、保护公众利益、保障和促进信息化发展、保护公众利益、保障和促进信息化发展、保护公众利益、维护国家安全维护国家安全维护国家安全维护国家安全 立足国情、以我为主、管理与技术并重、立足国情、以我为主、管理与技术并重、立足国情、以我为主、管理与技术并重、立足国情、以我为主、管理与技术并重、统筹规划、突出重点统筹规划、突出重点统筹规划、突出重点统筹规划、突出重点 发挥各界积极性、共同构筑国家信息安全保障体系发挥各界积极性、共同构筑国家信息安全保障体系发挥各界积极性、共同构筑国家信息安全保障体系发挥各界积极性、共同构筑国家信息安全保障体系 7国家信息安全保障工作要点国家信息安全保障工作要点 实行信息

12、安全等级保护制度实行信息安全等级保护制度实行信息安全等级保护制度实行信息安全等级保护制度：风险与成本、资源优化配置、安全风险与成本、资源优化配置、安全风险与成本、资源优化配置、安全风险与成本、资源优化配置、安全 风险评估风险评估风险评估风险评估 基于密码技术网络信任体系建设基于密码技术网络信任体系建设基于密码技术网络信任体系建设基于密码技术网络信任体系建设：密码管理体制、身份认证、密码管理体制、身份认证、密码管理体制、身份认证、密码管理体制、身份认证、授权管理、责任认定授权管理、责任认定授权管理、责任认定授权管理、责任认定 建设信息安全监控体系建设信息安全监控体系建设信息安全监控体系建设信息安

13、全监控体系：提高对网络攻击、病毒入侵、网络失窃提高对网络攻击、病毒入侵、网络失窃提高对网络攻击、病毒入侵、网络失窃提高对网络攻击、病毒入侵、网络失窃 密、有害信息的防范能力密、有害信息的防范能力密、有害信息的防范能力密、有害信息的防范能力 重视信息安全应急处理工作重视信息安全应急处理工作重视信息安全应急处理工作重视信息安全应急处理工作：指挥、响应、协调、通报、支援、指挥、响应、协调、通报、支援、指挥、响应、协调、通报、支援、指挥、响应、协调、通报、支援、抗毁、灾备抗毁、灾备抗毁、灾备抗毁、灾备 推动信息安全技术研发与产业发展推动信息安全技术研发与产业发展推动信息安全技术研发与产业发展推动信息安

14、全技术研发与产业发展：关键技术、自主创新、强关键技术、自主创新、强关键技术、自主创新、强关键技术、自主创新、强 化可控、引导与市场、测评认证、采购、服务化可控、引导与市场、测评认证、采购、服务化可控、引导与市场、测评认证、采购、服务化可控、引导与市场、测评认证、采购、服务 信息安全法制与标准建设信息安全法制与标准建设信息安全法制与标准建设信息安全法制与标准建设：信息安全法、打击网络犯罪、标准体信息安全法、打击网络犯罪、标准体信息安全法、打击网络犯罪、标准体信息安全法、打击网络犯罪、标准体 系、规范网络行为系、规范网络行为系、规范网络行为系、规范网络行为 信息安全人材培养与增强安全意识信息安全人

15、材培养与增强安全意识信息安全人材培养与增强安全意识信息安全人材培养与增强安全意识：学科、培训、意识、技能、学科、培训、意识、技能、学科、培训、意识、技能、学科、培训、意识、技能、自律、守法自律、守法自律、守法自律、守法 信息安全组织建设信息安全组织建设信息安全组织建设信息安全组织建设：信息安全协调小组、责任制、依法管理信息安全协调小组、责任制、依法管理信息安全协调小组、责任制、依法管理信息安全协调小组、责任制、依法管理 8国家信息安全保障工作高层会议国家信息安全保障工作高层会议(2004.1.9)信息安全的重要性信息安全的重要性信息安全的重要性信息安全的重要性：ITIT增长增长增长增长25%2

16、5%、GDPGDP的的的的6%6%、强烈依赖、强烈依赖、强烈依赖、强烈依赖 信息安全的重大案例信息安全的重大案例信息安全的重大案例信息安全的重大案例 信息安全存在的问题信息安全存在的问题信息安全存在的问题信息安全存在的问题 一个并重、两手抓、三个同步一个并重、两手抓、三个同步一个并重、两手抓、三个同步一个并重、两手抓、三个同步 新思路、新眼光，建立信息安全保障体系新思路、新眼光，建立信息安全保障体系新思路、新眼光，建立信息安全保障体系新思路、新眼光，建立信息安全保障体系 关键技术产品要自主可控关键技术产品要自主可控关键技术产品要自主可控关键技术产品要自主可控 认真落实中央认真落实中央认真落实中

17、央认真落实中央2727号文件号文件号文件号文件9国家信息安全战略报告国家信息安全战略报告 国信国信国信国信2005 22005 2号文号文号文号文 维护国家在网络空间的根本利益维护国家在网络空间的根本利益维护国家在网络空间的根本利益维护国家在网络空间的根本利益 确保国家的经济、政治、文化和信息的安全确保国家的经济、政治、文化和信息的安全确保国家的经济、政治、文化和信息的安全确保国家的经济、政治、文化和信息的安全 三大信息基础设施、八大重要信息系统、信息内容三大信息基础设施、八大重要信息系统、信息内容三大信息基础设施、八大重要信息系统、信息内容三大信息基础设施、八大重要信息系统、信息内容 信息安

18、全基础支撑能力信息安全基础支撑能力信息安全基础支撑能力信息安全基础支撑能力 信息安全防护与对抗能力信息安全防护与对抗能力信息安全防护与对抗能力信息安全防护与对抗能力 网络突发事件快速反应能力网络突发事件快速反应能力网络突发事件快速反应能力网络突发事件快速反应能力 网络舆情驾驭能力网络舆情驾驭能力网络舆情驾驭能力网络舆情驾驭能力 综合治理、协调联动、群防群治综合治理、协调联动、群防群治综合治理、协调联动、群防群治综合治理、协调联动、群防群治 政策、标准、管理、技术、产业、人材、理论政策、标准、管理、技术、产业、人材、理论政策、标准、管理、技术、产业、人材、理论政策、标准、管理、技术、产业、人材、

19、理论 构筑国家信息安全保障体系构筑国家信息安全保障体系构筑国家信息安全保障体系构筑国家信息安全保障体系 信息安全长效机制信息安全长效机制信息安全长效机制信息安全长效机制 信息安全战略的主动权信息安全战略的主动权信息安全战略的主动权信息安全战略的主动权-102006-2020年国家信息化发展战略年国家信息化发展战略 中办中办中办中办2006 112006 11号文号文号文号文 第第 (八八)部分部分:“建设国家信息安全保障体系建设国家信息安全保障体系”实现信息化与信息安全协调发展实现信息化与信息安全协调发展实现信息化与信息安全协调发展实现信息化与信息安全协调发展 增强信息基础设施和重要信息系统抗

20、毁能力增强信息基础设施和重要信息系统抗毁能力增强信息基础设施和重要信息系统抗毁能力增强信息基础设施和重要信息系统抗毁能力 增强国家信息安全保障能力增强国家信息安全保障能力增强国家信息安全保障能力增强国家信息安全保障能力 研究国际信息安全先进理论、先进技术研究国际信息安全先进理论、先进技术研究国际信息安全先进理论、先进技术研究国际信息安全先进理论、先进技术 掌握核心安全技术、提高关键设备装备能力掌握核心安全技术、提高关键设备装备能力掌握核心安全技术、提高关键设备装备能力掌握核心安全技术、提高关键设备装备能力 促进我国信息安全技术和产业的自主发展促进我国信息安全技术和产业的自主发展促进我国信息安全

21、技术和产业的自主发展促进我国信息安全技术和产业的自主发展 完善国家信息安全长效机制完善国家信息安全长效机制完善国家信息安全长效机制完善国家信息安全长效机制 -11“信息安全信息安全”内涵内涵保保保保值值值值威胁威胁威胁威胁威胁发起者威胁发起者威胁发起者威胁发起者资产拥有者资产拥有者资产拥有者资产拥有者对策对策对策对策脆弱性脆弱性脆弱性脆弱性风险风险风险风险系统资产系统资产系统资产系统资产使命使命使命使命贬贬贬贬值值值值利利利利用用用用增增增增加加加加滥滥滥滥用用用用与与与与破破破破坏坏坏坏发发发发现现现现意意意意识识识识到到到到减减减减少少少少降降降降低低低低合合合合法法法法与与与与可可可可用

22、用用用？12信息安全概念演变信息安全概念演变n n早期：通信保密阶段（早期：通信保密阶段（早期：通信保密阶段（早期：通信保密阶段（ComSecComSec），通信内容保密为主），通信内容保密为主），通信内容保密为主），通信内容保密为主n n中期：信息安全阶段（中期：信息安全阶段（中期：信息安全阶段（中期：信息安全阶段（InfoSecInfoSec），信息自身的静态防），信息自身的静态防），信息自身的静态防），信息自身的静态防护为主护为主护为主护为主n n近期：信息保障阶段（近期：信息保障阶段（近期：信息保障阶段（近期：信息保障阶段（Information AssuranceInformatio

23、n AssuranceIA IA），），），），强调动态的、纵深的、生命周期的、整个信息系统资强调动态的、纵深的、生命周期的、整个信息系统资强调动态的、纵深的、生命周期的、整个信息系统资强调动态的、纵深的、生命周期的、整个信息系统资产的信息对抗。产的信息对抗。产的信息对抗。产的信息对抗。n n我们当前所指我们当前所指我们当前所指我们当前所指“信息安全信息安全信息安全信息安全”=“”=“信息保障信息保障信息保障信息保障”，即即即即“在整个生命周期中，处在纵深防御和动态对抗的在整个生命周期中，处在纵深防御和动态对抗的在整个生命周期中，处在纵深防御和动态对抗的在整个生命周期中，处在纵深防御和动态对抗

24、的信息系统，为保障其中数据及服务的完整性、保密性、信息系统，为保障其中数据及服务的完整性、保密性、信息系统，为保障其中数据及服务的完整性、保密性、信息系统，为保障其中数据及服务的完整性、保密性、可用性（防拒绝和破坏）、真实性（交互双方的数据、可用性（防拒绝和破坏）、真实性（交互双方的数据、可用性（防拒绝和破坏）、真实性（交互双方的数据、可用性（防拒绝和破坏）、真实性（交互双方的数据、人员的身份和权限、设施的鉴别）、可控性（监控、人员的身份和权限、设施的鉴别）、可控性（监控、人员的身份和权限、设施的鉴别）、可控性（监控、人员的身份和权限、设施的鉴别）、可控性（监控、审计、取证、防有害内容传播）审

25、计、取证、防有害内容传播）审计、取证、防有害内容传播）审计、取证、防有害内容传播）、可靠性而抵制各类、可靠性而抵制各类、可靠性而抵制各类、可靠性而抵制各类威胁所提供的一种能力威胁所提供的一种能力威胁所提供的一种能力威胁所提供的一种能力13 信息系统安全整体对策信息系统安全整体对策(一一)构建构建信息安全保障体系信息安全保障体系(二二)作好作好信息安全风险评估信息安全风险评估14 (一一)构建构建信息安全保障体系信息安全保障体系15电电子子政政务务安安全全保保障障体体系系框框架架安安全全法法规规安安全全管管理理安安全全标标准准安安全全工工程程与与服服务务安安全全基基础础设设施施安安全全技技术术与

26、与产产品品16信息安全法规信息安全法规关于开展信息安全风险评估工作的意见关于开展信息安全风险评估工作的意见 （国信办国信办国信办国信办2005120051号文）号文）号文）号文）信息安全等级保护管理办法（试行）信息安全等级保护管理办法（试行）（公通字（公通字（公通字（公通字2006720067号文）号文）号文）号文）中华人民共和国保守国家秘密法中华人民共和国保守国家秘密法 (在修订在修订在修订在修订)信息安全法信息安全法（信息安全管理条例）信息安全管理条例）信息安全管理条例）信息安全管理条例）电子签名法电子签名法（20052005年年年年4 4月月月月1 1日实施）日实施）日实施）日实施）-1

27、7 行政管理体制行政管理体制:国家网络信息安全协调小组，部门，地区国家网络信息安全协调小组，部门，地区国家网络信息安全协调小组，部门，地区国家网络信息安全协调小组，部门，地区 技术管理体制技术管理体制:CSOCSO 信息系统安全管理准则（信息系统安全管理准则（ISO 17799）-GBxxxxuu管理策略管理策略管理策略管理策略uu组织与人员组织与人员组织与人员组织与人员uu资产分类与安全控制资产分类与安全控制资产分类与安全控制资产分类与安全控制uu配置与运行配置与运行配置与运行配置与运行uu网络信息安全域与通信安全网络信息安全域与通信安全网络信息安全域与通信安全网络信息安全域与通信安全uu异

28、常事件与审计异常事件与审计异常事件与审计异常事件与审计uu信息标记与文档信息标记与文档信息标记与文档信息标记与文档uu物理与环境物理与环境物理与环境物理与环境uu开发与维护开发与维护开发与维护开发与维护uu作业连续性保障作业连续性保障作业连续性保障作业连续性保障uu符合性符合性符合性符合性信息安全组织管理信息安全组织管理18国家信息安全标准化委员会国家信息安全标准化委员会安安安安全全全全功功功功能能能能定定定定义义义义 安安安安全全全全要要要要素素素素设设设设计计计计：物物物物理理理理、网网网网络络络络、系系系系统统统统、应应应应用用用用、管管管管理理理理 全全全全程程程程安安安安全全全全控控

29、控控制制制制 风风风风险险险险全全全全程程程程管管管管理理理理 安安安安全全全全有有有有效效效效评评评评估估估估 强强强强壮壮壮壮性性性性策策策策略略略略（02.4.1502.4.15成立成立成立成立.十个工作组）十个工作组）十个工作组）十个工作组）标准体系与协调（含可信计算）标准体系与协调（含可信计算）标准体系与协调（含可信计算）标准体系与协调（含可信计算）涉密信息系统保密涉密信息系统保密涉密信息系统保密涉密信息系统保密 密码算法与模块密码算法与模块密码算法与模块密码算法与模块 PKI/PMIPKI/PMI 安全评估安全评估安全评估安全评估 应急处理应急处理应急处理应急处理 安全管理安全管理

30、安全管理安全管理(风险评估风险评估风险评估风险评估)电子证据电子证据电子证据电子证据 身份标识与鉴别身份标识与鉴别身份标识与鉴别身份标识与鉴别 操作系统与数据操作系统与数据操作系统与数据操作系统与数据国家报批搞国家报批搞国家报批搞国家报批搞1616项、送审稿项、送审稿项、送审稿项、送审稿2525项、研制近项、研制近项、研制近项、研制近7070项项项项19信息系统安全工程和服务信息系统安全工程和服务 安全需求分析：安全需求分析：安全需求分析：安全需求分析：威胁，弱点，风险，资产、使命、对策、威胁，弱点，风险，资产、使命、对策、威胁，弱点，风险，资产、使命、对策、威胁，弱点，风险，资产、使命、对策

31、、安全体系结构与功能定义安全体系结构与功能定义安全体系结构与功能定义安全体系结构与功能定义 安全要素设计：安全要素设计：安全要素设计：安全要素设计：物理、网络、系统、应用、管理物理、网络、系统、应用、管理物理、网络、系统、应用、管理物理、网络、系统、应用、管理安全安全安全安全 系统构建与集成管理服务系统构建与集成管理服务系统构建与集成管理服务系统构建与集成管理服务全程的信息安全风险评估全程的信息安全风险评估全程的信息安全风险评估全程的信息安全风险评估信息系统信息系统信息系统信息系统 强壮性策略、强壮性策略、强壮性策略、强壮性策略、（ISSEISSE，IATFIATF，CCCC，TESECTES

32、EC）20 信息加密技术信息加密技术信息加密技术信息加密技术（对称、公开、可恢复、量子、隐藏（对称、公开、可恢复、量子、隐藏（对称、公开、可恢复、量子、隐藏（对称、公开、可恢复、量子、隐藏)鉴别与鉴别与鉴别与鉴别与认证认证认证认证（口令（口令（口令（口令/密码、动态口令密码、动态口令密码、动态口令密码、动态口令/ToKen/ToKen、CA/CA/签名、物理识别）签名、物理识别）签名、物理识别）签名、物理识别）访问控制技术访问控制技术访问控制技术访问控制技术（ACLACL、RBACRBAC、DACDAC、MACMAC、能力表、能力表、能力表、能力表、AAAA）网络边界安全技术网络边界安全技术网

33、络边界安全技术网络边界安全技术（FWFW、ProxyProxy、NGNG、GAPGAP、UTMUTM）病毒防治技术病毒防治技术病毒防治技术病毒防治技术（防、查、杀、清）（防、查、杀、清）（防、查、杀、清）（防、查、杀、清）网络隐患扫描与发现网络隐患扫描与发现网络隐患扫描与发现网络隐患扫描与发现（缺陷、后门、嵌入、恶意代码）（缺陷、后门、嵌入、恶意代码）（缺陷、后门、嵌入、恶意代码）（缺陷、后门、嵌入、恶意代码）内容识别与过滤技术内容识别与过滤技术内容识别与过滤技术内容识别与过滤技术（关键字、特征、上下文、自然语言）（关键字、特征、上下文、自然语言）（关键字、特征、上下文、自然语言）（关键字、特

34、征、上下文、自然语言）主机内控防护技术主机内控防护技术主机内控防护技术主机内控防护技术（监控、检测、防泄、管理、审计）（监控、检测、防泄、管理、审计）（监控、检测、防泄、管理、审计）（监控、检测、防泄、管理、审计）信息安全技术领域信息安全技术领域21 信息安全风险评估技术信息安全风险评估技术信息安全风险评估技术信息安全风险评估技术（收集、分析、检测、滲透、管理）（收集、分析、检测、滲透、管理）（收集、分析、检测、滲透、管理）（收集、分析、检测、滲透、管理）网络检测、预警和攻击技术网络检测、预警和攻击技术网络检测、预警和攻击技术网络检测、预警和攻击技术（IDSIDS、AgentAgent、面防、

35、追踪、反击、陷阱）、面防、追踪、反击、陷阱）、面防、追踪、反击、陷阱）、面防、追踪、反击、陷阱）“内容内容内容内容”产权保护技术产权保护技术产权保护技术产权保护技术（数字水印、安全容器、加密、签名）（数字水印、安全容器、加密、签名）（数字水印、安全容器、加密、签名）（数字水印、安全容器、加密、签名）“安全基安全基安全基安全基”技术技术技术技术（补丁、配置、清除、监视、加固、监视、升级）（补丁、配置、清除、监视、加固、监视、升级）（补丁、配置、清除、监视、加固、监视、升级）（补丁、配置、清除、监视、加固、监视、升级）审计与取证审计与取证审计与取证审计与取证（全局审计、审计保护、反向工程、恢复提取

36、）（全局审计、审计保护、反向工程、恢复提取）（全局审计、审计保护、反向工程、恢复提取）（全局审计、审计保护、反向工程、恢复提取）备份与容灾备份与容灾备份与容灾备份与容灾 （SANSAN、NASNAS、集群、冗余、镜象）、集群、冗余、镜象）、集群、冗余、镜象）、集群、冗余、镜象）可信计算可信计算可信计算可信计算 （TCGTCG、TCPATCPA、TSS TSS、TPMTPM、TWCTWC、-）信息安全集成管理信息安全集成管理信息安全集成管理信息安全集成管理（信息共享、协同联动、策略牵引）（信息共享、协同联动、策略牵引）（信息共享、协同联动、策略牵引）（信息共享、协同联动、策略牵引）信息安全技术领

37、域信息安全技术领域22信息网络安全域纵深防御框架信息网络安全域纵深防御框架核心内网核心内网核心内网核心内网局域计算环境局域计算环境局域计算环境局域计算环境（安全域（安全域（安全域（安全域a a）专用外网专用外网专用外网专用外网局域计算环境局域计算环境局域计算环境局域计算环境（安全域（安全域（安全域（安全域mm）公共服务网公共服务网公共服务网公共服务网局域计算环境局域计算环境局域计算环境局域计算环境（安全域（安全域（安全域（安全域n n）InternetInternet、TSPTSP、PSTNPSTN、VPNVPN网络通信基础设施网络通信基础设施网络通信基础设施网络通信基础设施（光纤、无线、卫星

38、）（光纤、无线、卫星）（光纤、无线、卫星）（光纤、无线、卫星）信息安全基础设施信息安全基础设施信息安全基础设施信息安全基础设施(PKI(PKI、PMIPMI、KMIKMI、CERTCERT、DRI)DRI)网络安全边界网络安全边界网络安全边界网络安全边界23EG用用主主流流的的信信息息安安全全产产品品 防范外部入侵类防范外部入侵类放火墙、防病毒、入侵检测、放火墙、防病毒、入侵检测、放火墙、防病毒、入侵检测、放火墙、防病毒、入侵检测、物理隔离物理隔离物理隔离物理隔离防控内部作案类防控内部作案类强审计、主机内控、主机安保强审计、主机内控、主机安保强审计、主机内控、主机安保强审计、主机内控、主机安保

39、、系统级安全类系统级安全类加密、加密、加密、加密、鉴别鉴别鉴别鉴别、授权、扫描、授权、扫描、授权、扫描、授权、扫描、灾备灾备灾备灾备、过滤、过滤、过滤、过滤、物理安全、集成管理、物理安全、集成管理、物理安全、集成管理、物理安全、集成管理、安全测评安全测评安全测评安全测评24信息安全基础设施的支撑信息安全基础设施的支撑 数字证书认证体系（数字证书认证体系（数字证书认证体系（数字证书认证体系（CA/PKICA/PKICA/PKICA/PKI）网络应急支援体系（网络应急支援体系（网络应急支援体系（网络应急支援体系（CERTCERTCERTCERT）灾难恢复基础设施（灾难恢复基础设施（灾难恢复基础设施

40、（灾难恢复基础设施（DRIDRIDRIDRI）病毒防治服务体系（病毒防治服务体系（病毒防治服务体系（病毒防治服务体系（AVERTAVERTAVERTAVERT）产品与系统安全检测、评估体系（产品与系统安全检测、评估体系（产品与系统安全检测、评估体系（产品与系统安全检测、评估体系（CC/TCSECCC/TCSECCC/TCSECCC/TCSEC）密钥管理基础设施（密钥管理基础设施（密钥管理基础设施（密钥管理基础设施（KMIKMIKMIKMI）授权管理基础设施（授权管理基础设施（授权管理基础设施（授权管理基础设施（AA/PMIAA/PMIAA/PMIAA/PMI）信息安全事件通报与会商体系信息安全

41、事件通报与会商体系信息安全事件通报与会商体系信息安全事件通报与会商体系 网络监控与预警体系网络监控与预警体系网络监控与预警体系网络监控与预警体系 信息保密检查体系信息保密检查体系信息保密检查体系信息保密检查体系 信息安全偵控体系信息安全偵控体系信息安全偵控体系信息安全偵控体系 网络舆情掌控与治理体系网络舆情掌控与治理体系网络舆情掌控与治理体系网络舆情掌控与治理体系25信息安全保障体系建设的目标信息安全保障体系建设的目标1）增加信息网络四种安全能力）增加信息网络四种安全能力 信息安全防护能力信息安全防护能力信息安全防护能力信息安全防护能力 隐患发现能力隐患发现能力隐患发现能力隐患发现能力 网络应

42、急反应能力网络应急反应能力网络应急反应能力网络应急反应能力 信息对抗能力信息对抗能力信息对抗能力信息对抗能力2）保障信息及其服务具有六性）保障信息及其服务具有六性 保密性、完整性、可用性、保密性、完整性、可用性、保密性、完整性、可用性、保密性、完整性、可用性、真实性、可核查性（可控性）、可靠性真实性、可核查性（可控性）、可靠性真实性、可核查性（可控性）、可靠性真实性、可核查性（可控性）、可靠性26 (二二)作好作好信息安全风险评估信息安全风险评估27 提升信息安全风险评估意识提升信息安全风险评估意识 社会、经济、政治、文化对信息化的强烈依赖社会、经济、政治、文化对信息化的强烈依赖社会、经济、政

43、治、文化对信息化的强烈依赖社会、经济、政治、文化对信息化的强烈依赖 作业连续性保障（作业连续性保障（作业连续性保障（作业连续性保障（BCM/BCPBCM/BCP）引起普遍关注）引起普遍关注）引起普遍关注）引起普遍关注 信息安全保障体系建设（信息安全保障体系建设（信息安全保障体系建设（信息安全保障体系建设（IAIA）成为焦点）成为焦点）成为焦点）成为焦点 实施信息安全的风险管理正在被认同实施信息安全的风险管理正在被认同实施信息安全的风险管理正在被认同实施信息安全的风险管理正在被认同 提升信息安全风险评估意识和能力是当务之急提升信息安全风险评估意识和能力是当务之急提升信息安全风险评估意识和能力是当

44、务之急提升信息安全风险评估意识和能力是当务之急 信息安全风险评估信息安全风险评估信息安全风险评估信息安全风险评估既是信息安全建设的既是信息安全建设的既是信息安全建设的既是信息安全建设的起点起点起点起点也覆盖也覆盖也覆盖也覆盖终生终生终生终生 创建一个安全的信息化环境创建一个安全的信息化环境创建一个安全的信息化环境创建一个安全的信息化环境 保障信息化健康发展保障信息化健康发展保障信息化健康发展保障信息化健康发展 28威胁脆弱性防护措施风险资产防护需求价值抗击利用增加增加暴露被满足引出增加拥有风险管理要素关系图风险管理要素关系图29信息系统安全风险管理信息系统安全风险管理比较和对比比较和对比比较和

45、对比比较和对比可用攻击可用攻击可用攻击可用攻击研究敌方研究敌方研究敌方研究敌方行为理论行为理论行为理论行为理论开创任务开创任务开创任务开创任务影响理论影响理论影响理论影响理论比较和对比比较和对比比较和对比比较和对比各种行为各种行为各种行为各种行为行动决策行动决策行动决策行动决策对策识别对策识别对策识别对策识别与特征描述与特征描述与特征描述与特征描述任务关键性任务关键性任务关键性任务关键性参数权衡参数权衡参数权衡参数权衡脆弱性与攻脆弱性与攻脆弱性与攻脆弱性与攻击的识别与击的识别与击的识别与击的识别与特征描述特征描述特征描述特征描述威胁的识别威胁的识别威胁的识别威胁的识别与特征描述与特征描述与特征

46、描述与特征描述任务影响的任务影响的任务影响的任务影响的识别与描述识别与描述识别与描述识别与描述基础研究与事件分离基础研究与事件分离基础研究与事件分离基础研究与事件分离系统改进系统改进系统改进系统改进风险分析风险分析风险分析风险分析30信息系统安全风险评估的特征信息系统安全风险评估的特征n n信息系统是一个巨型复杂系统（系统要素、安全要素）信息系统是一个巨型复杂系统（系统要素、安全要素）信息系统是一个巨型复杂系统（系统要素、安全要素）信息系统是一个巨型复杂系统（系统要素、安全要素）n n信息系统受制于外部因素（物理环境、行政管理、人员）信息系统受制于外部因素（物理环境、行政管理、人员）信息系统受

47、制于外部因素（物理环境、行政管理、人员）信息系统受制于外部因素（物理环境、行政管理、人员）n n信息系统安全风险评估是一项系统工程信息系统安全风险评估是一项系统工程信息系统安全风险评估是一项系统工程信息系统安全风险评估是一项系统工程n n发现隐患、采取对策、提升强度、总结经验发现隐患、采取对策、提升强度、总结经验发现隐患、采取对策、提升强度、总结经验发现隐患、采取对策、提升强度、总结经验n n自评估、委托评估、检察评估自评估、委托评估、检察评估自评估、委托评估、检察评估自评估、委托评估、检察评估31信息系统安全评估目的信息系统安全评估目的提提提提供供供供采采采采取取取取降降降降低低低低影响影响

48、影响影响完成完成完成完成保保保保护护护护安全保证技术提供者安全保证技术提供者安全保证技术提供者安全保证技术提供者系统评估者系统评估者系统评估者系统评估者安全保证安全保证安全保证安全保证信心信心信心信心风险风险风险风险对策对策对策对策资产资产资产资产使命使命使命使命资产拥有者资产拥有者资产拥有者资产拥有者价价价价值值值值给出证据给出证据给出证据给出证据生成保证生成保证生成保证生成保证具有具有具有具有32 信息安全风险评估是提升信息安全风险评估是提升 信息安全体系强度重要保证信息安全体系强度重要保证 信息系统资产是有价资产信息系统资产是有价资产信息系统资产是有价资产信息系统资产是有价资产 脆弱性脆

49、弱性脆弱性脆弱性/威胁力力图使资产贬值威胁力力图使资产贬值威胁力力图使资产贬值威胁力力图使资产贬值 影响影响影响影响/风险分析风险分析风险分析风险分析 风险评估：风险评估：风险评估：风险评估：发现、预防、降低、转移、补偿、承受发现、预防、降低、转移、补偿、承受发现、预防、降低、转移、补偿、承受发现、预防、降低、转移、补偿、承受 采取措施以提升系统安全强度采取措施以提升系统安全强度采取措施以提升系统安全强度采取措施以提升系统安全强度 保护信息系统资产价值（保护信息系统资产价值（保护信息系统资产价值（保护信息系统资产价值（保密性、完整性、可用性保密性、完整性、可用性保密性、完整性、可用性保密性、完

50、整性、可用性）完成系统的使命完成系统的使命完成系统的使命完成系统的使命 33信息系统生命周期中信息系统生命周期中安全保障与评估安全保障与评估策划与组织策划与组织策划与组织策划与组织开发与采购开发与采购开发与采购开发与采购信息系统安全保障与评估信息系统安全保障与评估信息系统安全保障与评估信息系统安全保障与评估实施与交付实施与交付实施与交付实施与交付运行与维护运行与维护运行与维护运行与维护更新与废弃更新与废弃更新与废弃更新与废弃34国家对信息安全国家对信息安全风险评估工作风险评估工作高度重视高度重视 国信办国信办国信办国信办2005520055号文件号文件号文件号文件 “国信办国信办国信办国信办”