信息安全保障体系与总体框架概要

信息安全保障体系与总体框架概要第一页，共30页。信息安全保障体系与

总体框架第二页，共30页。主讲内容信息安全保证技术框架信息安全保障体系模型人民银行信息安全总体技术架构信息与网络安全的重要性及严峻性第三页，共30页。信息是社会发展的重要战略资源。国际上围绕信息的获取、使用和控制的斗争愈演愈烈，信息安全成为维护国家安全和社会稳定的一个焦点，各国都给以极大的关注与投入。网络信息安全已成为急待解决、影响国家大局和长远利益的重大关键问题，它不但是发挥信息革命带来的高效率、高效益的有力保证，而且是对抗霸权主义、抵御信息侵略的重要屏障，信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部分，是世纪之交世界各国在奋力攀登的制高点。网络信息安全问题如果解决不好将全方位地危及我国的政治、军事、经济、文化、社会生活的各个方面，使国家处于信息战和高度经济金融风险的威胁之中。1、信息与网络安全的重要性及严峻性第四页，共30页。1、信息与网络安全的重要性及严峻性（Cont.）我国信息化建设需要的大量基础设备依靠国外引进，无法保证我们的安全利用和有效监控。因此，解决我国的信息安全问题不能依靠外国，只能走独立自主的发展道路。目前我国信息与网络安全的防护能力处于发展的初级阶段，许多应用系统处于不设防状态。要用我国自己的安全设备加强信息与网络的安全性，需要大力发展基于自主技术的信息安全产业，而自主技术的发展又必须从信息与网络安全的基础研究着手，全面提高创新能力。当前我国的信息与网络安全研究处于忙于封堵现有信息系统的安全漏洞，以致宏观安全体系研究上的投入严重不足，这样做是不能从根本上解决问题的，急需从安全体系结构整体的高度开展强有力的研究工作，从而能够为解决我国的信息与网络安全提供一个整体的理论指导和基础构件的支撑，并为信息与网络安全的工程奠定坚实的基础，推动我国信息安全产业的发展。第五页，共30页。主讲内容信息安全保证技术框架信息安全保障体系模型人民银行信息安全总体技术架构信息与网络安全的重要性及严峻性第六页，共30页。2、信息安全保证技术框架(IATF)信息安全保证技术框架（InformationAssuranceTechnicalFramework：IATF）将计算机信息系统分4个部分：本地计算环境区域边界网络和基础设施支撑基础设施第七页，共30页。2.1信息安全保证技术框架(IATF)信息安全保证技术框架将计算机信息系统分4个部分：本地计算环境服务器客户端及其上面的应用（如打印服务、目录服务等）操作系统数据库基于主机的监控组件（病毒检测、入侵检测）

第八页，共30页。2、信息安全保证技术框架(IATF)信息安全保证技术框架（InformationAssuranceTechnicalFramework：IATF）将计算机信息系统分4个部分：本地计算环境区域边界网络和基础设施支撑基础设施第九页，共30页。2.2信息安全保证技术框架(IATF)区域边界区域是指在单一安全策略管理下、通过网络连接起来的计算设备的集合区域边界是区域与外部网络发生信息交换的部分区域边界确保进入的信息不会影响区域内资源的安全，而离开的信息是经过合法授权的网络和基础设施支撑基础设施第十页，共30页。2、信息安全保证技术框架(IATF)信息安全保证技术框架（InformationAssuranceTechnicalFramework：IATF）将计算机信息系统分4个部分：本地计算环境区域边界网络和基础设施支撑基础设施第十一页，共30页。2.3信息安全保证技术框架(IATF)网络和基础设施在区域之间提供连接,包括局域网（LAN）校园网（CAN）城域网（MAN）广域网等其中包括在网络节点间（如路由器和交换机）传递信息的传输部件（如：卫星，微波，光纤等），以及其他重要的网络基础设施组件如网络管理组件、域名服务器及目录服务组件等

第十二页，共30页。2、信息安全保证技术框架(IATF)信息安全保证技术框架（InformationAssuranceTechnicalFramework：IATF）将计算机信息系统分4个部分：本地计算环境区域边界网络和基础设施支撑基础设施第十三页，共30页。2.4信息安全保证技术框架(IATF)对网络和基础设施的安全要求主要是鉴别访问控制机密性完整性抗抵赖性可用性第十四页，共30页。2.4信息安全保证技术框架(IATF)支撑基础设施提供了一个IA机制在网络、区域及计算环境内进行安全管理、提供安全服务所使用的基础主要为以下内容提供安全服务：终端用户工作站web服务应用文件DNS服务目录服务等第十五页，共30页。信息安全相关机构主管部门公安部国家保密局国家密码管理局安全部中国工业和信息化部安全协调司第三方测评认证机构公安部计算机信息系统安全产品质量检验中心国家保密局涉密信息系统安全保密测评中心国家密码管理局商用密码检测中心中国信息安全测评中心解放军测评中心中国信息安全认证中心第十六页，共30页。行业协会中国信息产业商会信息安全产业分会–依托单位：中国信息安全测评中心中国信息协会信息安全专业委员会秘书处设在国家信息中心信息安全研究与服务中心。中国互联网协会网络与信息安全工作委员会秘书处设在国家计算机网络应急技术处理协调中心信息安全相关机构（Cont.）第十七页，共30页。国家及行业重要性的政策性及技术性文件中办[2003]27号文件：国家信息化领导小组关于加强信息安全保障工作的意见；公信安[2007]861号文件:关于开展全国重要信息系统安全等级保护定级工作的通知；国保[2005]16号文件：关于印发《涉及国家秘密的信息系统等级保护管理办法》；颁布《涉及国家秘密的信息系统等级保护技术要求》国家保密标准的通知；公通字[2004]66号文件：《关于信息安全等级保护工作的实施意见》；2005年9月国信办：《电子政务等级保护实施指南》；公通字[2006]7号文件：《信息安全等级保护管理办法》试行；《信息安全风险评估指南》：2006年元月；《信息安全等级保护信息系统运行安全管理要求》。第十八页，共30页。主讲内容信息安全保证技术框架信息安全保障体系模型人民银行信息安全总体技术架构信息与网络安全的重要性及严峻性第十九页，共30页。M_1:整体定位模型和方法M_2:信息体系架构M_3:信息安全属性概念M_4:管理模型和方法M_5:技术功能模型和方法M_6:评价和决策模型和方法M_7:工程模型和方法思考信息安全问题的7大模型第二十页，共30页。思考信息安全问题的7大模型M_1:整体定位模型和方法阐述信息安全的整体定位和结构，综合构架和执行的方法M_2:信息体系架构表述我们要保护的对象及其结构M_3:信息安全属性概念阐述信息安全要达到的目标M_4:管理模型和方法阐述信息安全管理M_5:技术功能模型和方法阐述信息安全的功能及其关系，如：PDR等M_6:评价和决策模型和方法阐述信息安全的评价和决策方法，如：风险评估等M_7:工程模型和方法体现了信息安全的基于过程的工程方法，比如PDCA等第二十一页，共30页。M_3:信息安全属性经典的安全目标（属性）-CIAConfidentiality保密性Integrity完整性Availability可用性第二十二页，共30页。安全目标：安全属性和安全管理属性7个信息安全属性保密性Confidentiality完整性Integrity可用性Availability真实性Authenticity不可否认性Non-Reputation可追究性Accountability可控性Controllability7个信息安全管理属性目标性Focus执行性Execution效益性Cost-effective时效性Time-bound适应性Adaptive全局性Coherence合规性Compliance第二十三页，共30页。参考：人民银行的描述重大应用系统业务工作的连续可用性业务工作责任的不可否认性业务数据和信息的真实完整性涉及国际秘密和行业敏感信息的保密性什么人、可以访问什么资源、有什么权限、以及控制授权范围内的信息流向及行为方式等的可控性第二十四页，共30页。人行信息安全保障体系框架中国人民银行科技司于2002年9月至12月组织了《中国人民银行信息安全保障体系框架》的研究编写。第二十五页，共30页。人行框架的主要内容3个战略阶段规范加强、集中整合、综合保障6项任务保边、护线、强内、应急、规范、严管5个能力预警、保护、检测与评估、应急响应、灾难恢复基本策略适度集中、控制风险突出重点、分级保护统筹规划、分步实施第二十六页，共30页。人民银行信息系统网络结构人民银行信息系统网络规划为涉密网、业务网和互联网三大类，即总体安全框架“三纵三横两平台一端”中“三纵”所指的内容。如图所示：第二十七页，共30页。本《框架》所称涉密网，是指连接总行、分行和省会／首府中心支行，专门用于国家秘密信息和人民银行内部涉密公文的传输，严格按照国家有关部门要求运行管理的网络系统及其承载业务，该网与业务网和互联网物理隔离。本《框架》所称互联网，是指人民银行面向社会或为内部工作人员提供相关服务的网络（如WEB服务，E-MAIL服务等），该网目前与人民银