构建积极防御综合防范的信息安全保障框架

构建积极防御综合防范的

信息安全保障框架

国家信息化专家咨询委员会委员

沈昌祥

院士2004-07一、我国信息安全保障的

战略方针和任务国家信息化领导小组第三次会议审议并通过了《国家信息化领导小组关于加强信息安全保障工作的意见》，其中关于加强信息安全保障工作的总体要求是：

坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。加强信息安全保障工作的总体要求和主要原则实行信息安全等级保护加强以密码技术为基础的信息保护和网络信任体系建设建设和完善信息安全监控体系重视信息安全应急处理工作加强信息安全技术研究开发，推进信息安全产业发展加强信息安全法制建设和标准化建设加快信息安全专业人才培养，增强全民信息安全意识保证信息安全资金加强对信息安全工作的领导，建立健全信息安全责任制2004年1月9日至10日，在全国信息安全保障工作会议上中共中央政治局常委、国务院副总理黄菊重要讲话中指出了必须充分认识做好信息安全保障工作的极端重要性。黄菊再次强调：加强信息安全保障工作，必须坚持积极防御、综合防范的方针。如何贯彻这个方针，争取五年时间初步建成我国信息安全保障体系，任务艰巨而光荣。二、信息安全保障体系的基本构架信息安全保障体系的基本构架四个层面，两个支撑，一个确保信息安全法制体系加强信息安全法制建设和标准化建设层面一：建立信息安全法制体系。确立信息化领域法规框架，做到有法可依，有法必依。信息安全组织管理体系信息安全法制体系信息安全保障体系的基本构架四个层面，两个支撑，一个确保信息安全保障体系的基本构架实行信息安全等级保护加强对信息安全工作的领导，建立健全信息安全责任制层面二：完善国家信息安全组织管理体系。强化管理机构的职能，建立高效能的、职责分工明确的行政管理和业务组织体系。加强国家信息安全保障的综合协调工作。信息安全保障体系的基本构架四个层面，两个支撑，一个确保信息安全技术保障体系信息安全组织管理体系信息安全法制体系建设和完善信息安全监控体系重视信息安全应急处理工作层面三：强化国家信息安全技术防护体系。采用先进技术手段，确保网络和电信传输、应用区域边界、应用环境等环节的安全，既能防外部攻击，又能防内部作案。加强信息安全技术研究开发，推进信息安全产业发展信息安全技术保障体系信息安全组织管理体系信息安全法制体系信息息安安全全保保障障体体系系的的基基本本构构架架国家家信信息息基基础础设设施施信息息安安全全平平台台及及安安全全基基础础设设施施四个个层层面面，，两两个个支支撑撑，，一一个个确确保保层面面四四：：加强强信信息息安安全全平平台台及及基基础础设设施施建建设设。。建建立立安安全全事事件件应应急急响响应应中中心心、、数数据据备备份份和和灾灾难难恢恢复复设设施施；；发发挥挥密密码码在在保保障障体体系系中中的的基基础础和和核核心心作作用用，，加加强强密密码码基基础础设设施施（（KMI/PKI））的的建建设设。。加强强以以密密码码技技术术为为基基础础的的信信息息保保护护和和网网络络信信任任体体系系建建设设信息息安安全全保保障障体体系系的的基基本本构构架架国家家信信息息基基础础设设施施信息安全平台及安全基础设施信息安全技术保障体系信息安全组织管理体系信息安全法制体系四个个层层面面，，两两个个支支撑撑，，一一个个确确保保信息安全经费保障体系保证证信信息息安安全全资资金金支撑撑一一：：确确定定国国家家信信息息安安全全经经费费支支持持规规划划。。明明确确信信息息安安全全保保障障体体系系建建设设经经费费占占信信息息化化经经费费的的比比例例信息安全经费保障体系信息息安安全全保保障障体体系系的的基基本本构构架架国家家信信息息基基础础设设施施信息安全人才保障体系信息安全平台及安全基础设施信息安全技术保障体系信息安全组织管理体系信息安全法制体系四个个层层面面，，两两个个支支撑撑，，一一个个确确保保加快快信信息息安安全全专专业业人人才才培培养养，，增增强强全全民民信信息息安安全全意意识识支撑撑二二：：确确立立信信息息安安全全人人才才教教育育和和培培训训体体系系。。信信息息安安全全应应列列为为一一级级学学科科，，进进行行学学历历教教育育，，除除培培养养大大批批高高质质量量的的专专门门人人才才外外，，还还须须进进行行社社会会化化的的培培训训和和普普及及教教育育，，以以提提高高全全民民的的信信息息安安全全素素质质。。信息息安安全全保保障障体体系系的的基基本本构构架架信息息安安全全法法制制体体系系信息息安安全全组组织织管管理理体体系系国家家信信息息基基础础设设施施信息息安安全全技技术术保保障障体体系系信息息安安全全平平台台及及安安全全基基础础设设施施信息安全经费保障体系信息安全人才保障体系四个个层层面面，，两两个个支支撑撑，，一一个个确确保保加强信息安全全保障工作的的总体要求和和主要原则一个确保：确保国家关键键信息基础设设施的安全运运行三、积极防御御的技术框架架对工作流程相相对固定的重重要信息系统统主要由操作应应用、共享服服务和网络通通信三个环节节组成。如果果信息系统中中每一个使用用者都通过可可信终端认证证和授权，其其操作都是符符合规定的，，网络上也不不会被窃听和和插入，那么么就不会产生生攻击性共享享服务资源的的事故，就能能保证整个信信息系统的安安全，以此来来构建积极防防御、综合防防范的防护框框架可信计算平台台可信终端确保保用户的合法法性和资源的的一致性，使使用户只能按按照规定的权权限和访问控控制规则进行行操作，能做做到什么样权权限级别的人人只能做与其其身份规定的的访问操作，，只要控制规规则是合理的的，那么整个个信息系统资资源访问过程程是安全的。。这样构成了了安全可信的的应用环境（（子信息系统统）安全共享服务务边界应用安全边界界设备（如安安全网关等））保护共享服服务资源，其其具有身份认认证和安全审审计功能，将将共享服务器器（如数据库库服务器、WEB服务器器、邮件服务务器等）与非非法访问者隔隔离，防止意意外的非授权权用户的访问问（如非法接接入的非可信信终端）。这这样共享服务务端不必作繁繁重的访问控控制，从而减减轻服务器的的压力，以防防拒绝服务攻攻击全程保护网络络通信采用IPSec实现网网络通信全程程安全保密。。IPSec工作在操作作系统内进行行，实现源到到目的端的全全程通信安全全保护，确保保传输连接的的真实性和数数据的机密性性、一致性，防止非法的的窃听和插入入综上所述，可可信的应用操操作平台、安安全的共享服服务资源边界界保护和全程程安全保护的的网络通信，，构成了工作作流程相对固固定的生产系系统的信息安安全防护框架架。（如下图图所示）图：工作流程相对固定的生产系统安全解决方案全程IPSec

服务器安全边界设备可信计算平台可信计算平台

全程IPSec

安全域一可信计算平台可信计算平台安全域二安全隔离设备全程IPSec共享资源安全管理中心密码管理中心要实现上述终终端、边界和和通信有效的的保障，还需需要授权管理理的管理中心心以及可信配配置的密码管管理中心的支支撑从技术层面上上可以分为以以下五个环节节：应用环境安全全应用区域边界界安全网络和通信传传输安全安全管理中心心密码管理中心心即：两个中心心支持下的三三重防护体系系结构应用环境安全全：包括单机、C/S、B/S模式，采采用身份认证证、访问控制制、密码加密密、安全审计计等机制，构构成可信应用用环境从技术层面上上可以分为以以下五个环节节：应用环境安全全应用区域边界界安全网络和通信传传输安全安全管理中心心密码管理中心心即：两个中心心支持下的三三重防护体系系结构应用区域边界界安全：通过部署边界界保护措施控控制对内部局局域网的访问问，实现局域域网与广域网网之间的安全全。采用安全全网关、防火火墙等隔离过过滤机制，保保护共享资源源的可信连接接从技术层面上上可以分为以以下五个环节节：应用环境安全全应用区域边界界安全网络和通信传传输安全安全管理中心心密码管理中心心即：两个中心心支持下的三三重防护体系系结构网络和通信传传输安全：包括实现局域域网互联过程程的安全，旨旨在确保通信信的机密性、、一致性和可可用性。采用用密码加密、、完整性校验验和实体鉴别别等机制，实实现可信连接接和安全通信信从技术层面上上可以分为以以下五个环节节：应用环境安全全应用区域边界界安全网络和通信传传输安全安全管理中心心密码管理中心心即：两个中心心支持下的三三重防护体系系结构安全管理中心心：提供认证、授授权、实施访访问控制策略略等运行安全全服务从技术层面上上可以分为以以下五个环节节：应用环境安全全应用区域边界界安全网络和通信传传输安全安全管理中心心密码管理中心心密码管理中心心：提供互联互通通密码配置、、公钥证书和和传统的对称称密钥的管理理，为信息系系统提供密码码服务支持即：两个中心心支持下的三三重防护体系系结构对于复杂的重重要系统：构成三纵（公公共区域、专专用区域、涉涉密区域）三三横（应用环环境、应用区区域边界、网网络通信）和和两个中心的的安全防护框框架。（如下下图所示）图：信息安全全技术防护框框架三种不同性质质的应用区域域在各自采用用相应的安全全保障措施之之后，互相之之间有一定的的沟通，应该该采用安全隔隔离与信息交交换设备进行行连接在重要应用域域之间，也需需要采用安全全隔离与信息息交换设备进进行边界保护护目前我国信息息安全建设正正处在一个关关键时期，我我们必须把握握住正确的研研究方向，制制定相应的发发展战略，走走符合我国国国情的发展道道路，利用国国际先进技术术，开发安全全高效、简洁洁廉价，具有有自主知识产产权的信息安安全产品，从从而满足我国国各行各业的的迫切需要，，促进我国信信息安全事业业的发展。结束语谢谢！9、静夜四无邻邻，荒居旧业业贫。。12月-2212月-22Thursday,December29,202210、雨中中黄叶叶树，，灯下下白头头人。。。17:16:2717:16:2717:1612/29/20225:16:27PM11、以我独独沈久，，愧君相相见频。。。12月-2217:16:2717:16Dec-2229-Dec-2212、故人江海别别，几度隔山山川。。17:16:2717:16:2717:16Thursday,December29,202213、乍见见翻疑疑梦，，相悲悲各问问年。。。12月月-2212月月-2217:16:2717:16:27December29,202214、他乡乡生白白发，，旧国国见青青山。。。29十十二二月20225:16:27下下午17:16:2712月月-2215、比不了了得就不不比，得得不到的的就不要要。。。十二月225:16下午午12月-2217:16December29,202216、行动出成果果，工作出财财富。。2022/12/2917:16:2717:16:2729December202217、做做前前，，能能够够环环视视四四周周；；做做时时，，你你只只能能或或者者最最好好沿沿着着以以脚脚为为起起点点的的射射线线向向前前。。。。5:16:27下下午午5:16下下午午17:16:2712月月-229、没有有失败败，只只有暂暂时停停止成成功！！。12月月-2212月月-22Thursday,December29,202210、很很多多事事情情努努力力了了未未必必有有结结果果，，但但是是不不努努力力却却什什么么改改变变也也没没有有。。。。17:16:2717:16:2717:1612/29/20225:16:27PM11、成功就是日日复一日那一一点点小小努努力的积累。。。12月-2217:16:2717:16Dec-2229-Dec-2212、世间成事，，不求其绝对对圆满，留一一份不足，可可得无限完美美。。17:16:2717:16:2717:16Thursday,December29,202213、不不知知香香积积寺寺，，数数里里入入云云峰峰。。。。12月月-2212月月-2217:16:2717:16:27December29,202214、意志志坚强强的人人能把把世界界放在在手中中像泥泥块一一样任任意揉揉捏。。29十十二二月20225:16:27下下午17:16:2712月月-2215、楚塞三三湘接，，荆门九九派通。。。。十二月225:16下午午12月-2217:16December29,202216、少年十十五二十十时，步步行夺得得胡马骑骑。。2022/12/2917:16:2717:16:2729December202217、空山新雨后后，天气晚来来秋。。5:16:27下午5:16下下午17:16:2712月-229、杨杨柳柳散散和和风风，，青青山山澹澹吾吾虑虑。。。。12月月-2212月月-22Thursday,December29,202210、阅读一一切好书书如同和和过去最最杰出的的人谈话话。17:16:2717:16:2717:16