1.03k likes | 1.18k Views
标题页. 结合实践构建 电子政务信息安全保障体系 的思路和框架. 2005 年 4 月 北京启明星辰信息技术有限公司 首席战略官 潘柱廷. 摘要. 构建信息安全保障体系 原则和要求 了解威胁( 4 类) 了 解资产和业务( ITA 、安全域) 了解保障措施(产品和服务) 思路( 7 类模型) 框架( PPT+AIDARC ) 当前构建“保障”体系的要点 — 检测. 问题. 什么是信息安全? 到底要解决那些问题? 怎么实施信息安全建设?. 问题. 什么是信息安全? 通过回答最根本的问题,帮助我们探究事物的本原。 到底要解决那些问题?
E N D
结合实践构建电子政务信息安全保障体系的思路和框架结合实践构建电子政务信息安全保障体系的思路和框架 2005年4月 北京启明星辰信息技术有限公司 首席战略官 潘柱廷
摘要 • 构建信息安全保障体系 • 原则和要求 • 了解威胁(4类) • 了解资产和业务(ITA、安全域) • 了解保障措施(产品和服务) • 思路(7类模型) • 框架(PPT+AIDARC) • 当前构建“保障”体系的要点—检测
问题 • 什么是信息安全? • 到底要解决那些问题? • 怎么实施信息安全建设?
问题 • 什么是信息安全? • 通过回答最根本的问题,帮助我们探究事物的本原。 • 到底要解决那些问题? • 明确工作的目标和要求,从一个大的广泛的概念中寻找自身的定位。 • 怎么实施信息安全建设? • 通过回答最实际的问题,帮助我们获得需要的实效。
1. 原则、要求 中办发27号文 十六届四中全会文件
中办发[2003]27号 国家信息化领导小组关于 加强信息安全保障工作的意见 (2003年8月26日)
加强信息安全保障工作-总体要求 • 总体要求: • 坚持积极防御、综合防范的方针, • 全面提高信息安全防护能力, • 重点保障基础信息网络和重要信息系统安全, • 创建安全健康的网络环境, • 保障和促进信息化发展, • 保护公众利益,维护国家安全。
加强信息安全保障工作-主要原则 • 主要原则: • 立足国情,以我为主, • 坚持管理与技术并重; • 正确处理安全与发展的关系,以安全保发展,在发展中求安全; • 统筹规划,突出重点,强化基础性工作; • 明确国家、企业、个人的责任和义务,充分发挥各方面的积极性,共同构筑国家信息安全保障体系。
加强信息安全保障工作-九项任务 • 系统等级保护和风险管理 • 基于密码技术的信息保护和信任体系 • 网络信息安全监控体系 • 应急处理体系 • 加强技术研究,推进产业发展 • 法制建设、标准化建设 • 人才培养与全民安全意识 • 保证信息安全资金 • 加强对信息安全保障工作的领导,建立健全信息安全管理责任制
十六届四中全会文件 《中共中央关于加强党的执政能力建设的决定》
摘要 三、加强党的执政能力建设的指导思想、总体目标和主要任务 … … 全党要紧紧围绕上述任务,立足现实、着眼长远,抓住重点、整体推进,不断研究新情况、解决新问题、创建新机制、增长新本领,全面加强和改进党的建设,使党的执政方略更加完善、执政体制更加健全、执政方式更加科学、执政基础更加巩固。
摘要—关于信息(1) 五、坚持党的领导、人民当家作主和依法治国的有机统一,不断提高发展社会主义民主政治的能力 (三)改革和完善决策机制,推进决策的科学化、民主化。... ... 有组织地广泛联系专家学者,建立多种形式的决策咨询机制和信息支持系统。
摘要—关于信息(2) 八、坚持独立自主的和平外交政策,不断提高应对国际局势和处理国际事务的能力 (四)始终把国家主权和安全放在第一位,坚决维护国家安全。针对传统安全威胁和非传统安全威胁的因素相互交织的新情况,增强国家安全意识,完善国家安全战略,抓紧构建维护国家安全的科学、协调、高效的工作机制。坚决防范和打击各种敌对势力的渗透、颠覆和分裂活动,有效防范和应对来自国际经济领域的各种风险,确保国家的政治安全、经济安全、文化安全和信息安全。
摘要—关于信息(3) • 坚持国防建设与经济建设协调发展,建设一支现代化、正规化的革命军队,确保国防安全,是党执政的一项重大战略任务。... ... 坚持积极防御的军事战略方针,积极推进中国特色军事变革和军事斗争准备,坚定不移地走中国特色的精兵之路,按照建设信息化军队、打赢信息化战争的目标,提高信息化条件下的防卫作战能力。... ...
信息安全工作不是仅仅防火墙、防病毒、入侵检测、管理制度… … 已经逐步从单纯开发技术和产品本身,转向同时从整体保障框架着眼,解决实际问题,实现价值。 信息安全工作的思路
问题 • 什么是信息安全? • 到底要解决那些问题? • 怎么实施信息安全建设?
威胁环境——攻击事件层出不穷 全球网络安全事件呈迅速上升的趋势,安全威胁无处不在,愈演愈烈
威胁环境——危害没有停歇的时候 漏洞A 漏洞B 漏洞C
威胁环境——漏洞变成实际危害的速度越来越快威胁环境——漏洞变成实际危害的速度越来越快 自动扫描和攻击工具出现 大量攻击出现 一些入侵者利用这些工具 入侵者开始关注其他漏洞 粗糟的攻击工具被发布 高级入侵者发现漏洞 Advisory typically released
威胁环境——攻击越来越高级却越来越容易 攻击技术和实施攻击所需的知识呈相反趋势发展,致使黑客攻击技术越来越容易被掌握和应用
威胁环境——攻击技术大融合 黑客攻击技术和病毒技术互相融合,形成新一代的恶意代码, 成为目前网络中的严重威胁
威胁环境总结 • 危害的频度、范围越来越大 • 攻击的技术含量越来越大 • 攻击的技术成本越来越低 • 攻击的法律风险还难于真正体现 • … …
恶意代码 人为发起的越权和入侵类 病毒、蠕虫等传播类 发起的拒绝服务攻击类 违规操作 误操作 违规业务 恶意信息 恶意传播有害信息 垃圾信息(垃圾短信、垃圾邮件等) 信息泄漏 物理问题 设备故障 环境事故 自然灾害 威胁的总结
针对威胁的主要技术 • 针对恶意代码 • 防火墙、防病毒、入侵检测、漏洞扫描… • 违规操作 • 流量监控、审计、应用系统安全措施… • 恶意信息 • 内容监控、内容过滤、加密… • 物理问题 • 容灾、备份…
问题 • 什么是信息安全? • 到底要解决那些问题? • 怎么实施信息安全建设?
作安全必须了解资产和业务 • “正确处理安全与发展的关系,以安全保发展,在发展中求安全” • 等级保护的要求也要我们做到对自身的了解,才能做到适度的防护 • 我们对于信息系统的依赖程度决定了我们在安全上的投入
怎么了解资产和业务(IT相关) • 分析信息体系架构ITA • 业务系统 • 网络分布形态 • 系统的层次性 • 技术和管理 • 时间(生命周期) • 价值(资产价值、影响价值、投入)
机构典型的ITA及其安全思维 公共网络 广域网络 机构内网 对外发布 对外业务渠道 异地内网 核心业务 内部业务 OA、财务等 业务支撑 异地灾备 安全保障
业务分类 对外业务 核心业务 内部支撑业务 内部业务 对外发布系统 ITA分析初探-业务
ITA分析初探-层次 使命和价值 人员和组织 数据和介质 应用和业务 主机和系统 网络与通信 物理和环境
路径和节点分析 • 子网和边界分析 ITA分析初探-分布式 • 从安全角度梳理网络结构的主要方法 • 节点路径法 • 子网边界法 • 安全域方法
关于资产和业务方面的趋势 • 用结构化的方法描述自身的资产和业务是更加系统化、更加全面地进行安全保护的基础 • 安全域方法逐步成为比较现实地描述网络和系统环境的方法
各种ITA方法的要义 • 安全域方法等各种信息体系结构表示方法的关键目标就是 • 简化 • 结构化 • 表达出要点
问题 • 什么是信息安全? • 到底要解决那些问题? • 怎么实施信息安全建设?
技术环境——当前主流的基本安全产品 • 加密 • 防病毒 • 防火墙 • 入侵检测 • 漏洞扫描 • 身份认证 • VPN • … …
技术环境——各项技术已经部署的比例 防病毒 防火墙 VPN 漏洞扫描 入侵检测IDS 软因素认证 硬因素认证 企业安全管理 安全事件信息管理 入侵防御系统 标识管理 IT审计 渗透性测试 安全管理服务 管家安全服务
技术环境——各项技术将不被考虑的比例 防病毒 防火墙 VPN 漏洞扫描 入侵检测IDS 软因素认证 硬因素认证 企业安全管理 安全事件信息管理 入侵防御系统 标识管理 IT审计 渗透性测试 安全管理服务 管家安全服务
技术环境——当前主流的基本安全服务 • 咨询服务 • 整体框架规划和设计 • 评估加固服务 • 对于主机和网络进行技术评估和加固 • 风险评估服务 • 对系统的整体风险进行评估并对风险管理提供设计 • 渗透性测试服务 • 安全教育和培训 • … …
问题 • 什么是信息安全? • 到底要解决那些问题? • 怎么实施信息安全建设?