国家信息安全保障体系框架探索

国家信息平安保障

体系框架探索曲成义研究员2002.8信息平安保障体系

建设的策略信息平安防护能力隐患发现能力网络应急反响能力信息对抗能力开展与平安——保驾护航资产与威胁——保障能力防护与检测——纵深防御本钱与风险——适度平安技术与管理——综合治理培训与自律——以人为本强度与弱点——均衡设计信息平安保障体系框架组织管理技术保障基础设施产业支撑人材培养环境建设国家信息安全保障体系框架信息平安组织管理体系1、行政管理体制国家领导层国家协调层国家执行层地区和部委层2、技术咨询体制信息化专家咨询委员会法规、标准、资质认可…等委员会技术研究与工程开发队伍建设学会与产业协会3、信息系统平安管理准那么〔参照ISO17799〕管理策略组织与人员资产分类与平安控制配置与运行网络信息平安域与通信平安异常事件与审计信息标记与文档物理与环境开发与维护作业连续性保障符合性信息平安技术保障体系1、加强自主研发与创新组建研发国家队与普遍推动相结合推动自主知识产权与专利建设技术工程中心与加速产品孵化加大技术研发专项基金全面推动与突出重点的技术研发根底类：风险控制、体系结构、协议工程、有效评估、工程方法关键类：密码、平安基、内容平安、抗病毒、RBAC、IDS、VPN、强审计系统类：PKI、PMI、DRI、KMI、网络预警、集成管理应用类：EC、EG、NB、NS、NM、WF、XML、CSCW物理与环境类：TEMPEX、物理识别前瞻类：免疫技术、量子密码、漂移技术、语义理解识别2、建立纵深防御体系网络信息平安域的划分与隔离控制内部网平安效劳与控制策略〔Intranet〕外部网平安效劳与控制策略〔Extranet)互联网平安效劳与控制策略〔Internet〕公共干线的平安效劳与控制策略〔有线、无线、卫星〕计算环境的平安效劳机制多级设防与科学布署策略全局平安检测、集成管理、联动控制与恢复〔PDR²〕纵深防御体系的安全控制机制公众服务层信息交换层防火墙业务处理层防火墙VPN安全网关关键业务层WWW服务器WWW服务器WWW服务器IntranetInternetExtranet3、推动信息系统平安工程〔ISSE〕的控制方法平安需求挖掘平安功能定义平安要素设计全程平安控制风险管理有效评估〔CC/TCSEC/IATF〕威胁级别〔Tn〕资产价值等级〔Vn〕平安机制强度等级〔SMLn)平安技术保障强壮性级别〔IATRn〕理解信息保护需求（服务）描述风险情况的特征执行决策决定将做什么描述可以做什么理解任务目标风险管理周期风险管理过程比较和对比可用攻击研究敌方行为理论开创任务影响理论比较和对比各种行为行动决策对策识别与特征描述任务关键性参数权衡脆弱性与攻击的识别与特征描述威胁的识别与特征描述任务影响的识别与描述基础研究与事件分离系统改进风险分析风险决策流程保障技术保障评估拥有者确信对策风险资产给出证据产生需要减少到系统有效评估流程信息价值威胁级别T1T2T3T4T5T6T7V1SML1EAL1SML1EAL1SML1EAL1SML1EAL2SML1EAL2SML1EAL2SML1EAL2V2SML1EAL1SML1EAL1SML1EAL1SML2EAL2SML2EAL2SML2EAL3SML2EAL3V3SML1EAL1SML1EAL2SML1EAL2SML2EAL3SML2EAL3SML2EAL4SML2EAL4V4SML2EAL1SML2EAL2SML2EAL3SML3EAL4SML3EAL5SML3EAL5SML3EAL6V5SML2EAL2SML2EAL3SML3EAL4SML3EAL5SML3EAL6SML3EAL6SML3EAL7强建性程度〔IATF〕4、平安技术产品与系统互操作性策略体系结构平安协议产品标准平安策略与协定平安根底设施信息平安根底设施1、大力推动国家信息平安根底的建设根底性、支撑性、效劳性、公益性国家专项基金启动建立资质认证机制建立监理机制形成社会化效劳和行政监管体系2、社会公共效劳类基于数字证书的信任体系〔PKI/CA〕信息平安测评与评估体系〔CC/TCSEC/IATF〕应急响应与支援体系〔CERT〕计算机病毒防治与效劳体系〔A-Virus〕灾难恢复根底设施〔DRI〕密钥管理根底设施〔KMI〕基于数字证书的信任体系〔PKI/CA〕GRCA安全网闸NBCAPMAGCAGRAGRAGCAGRAGRAGCAGCAGRASCAGRACCAICA3、信息平安执法类网上信息内容平安监控体系网络犯罪监察与防范体系电子信息保密监管体系网络侦控与反窃密体系网络预警与网络还击体系信息平安产业支撑推动平安产业开展，支撑平安保障体系建设掌握平安产品的自主权、自控权建设信息平安产品基地形成信息平安产品配套的产业链造就出世界品牌的平安骨干企业平安产品制造业、集成业、效劳业全面开展尽快配套信息平安产业管理政策〔准入、测评、资质、扶植、、〕重视TBT条款运用，保护密码为代表的国内平安产品市场信息平安教育

与

人材培养创立一个具有一批高级信息平安人材、雄厚的平安技术队伍、普及平安意识和技术的人材大环境学历教育：专业设置、课程配套高级人材培养：研究生学院、博士后流动站职业和技能培训：上岗和在职培训、考核认证制度信息平安意识提升：学会、协会、论坛、媒体网上教育：信息平安课件、网上课堂信息平安出版物信息平安标准

与

法规环境1、强力推动信息平安标准化工作加强信息平安标准化技术委员会工作积极参予国际信息平安标准制订活动注意采用国际与国外先进标准抓紧制订国家标准和协调行业标准重视强制性和保护性〔TBT〕标准的制订推动信息平安产品标准互操性的测试和认证兼容性和可扩展性的需要公平、公正、公开机制2、加强信息平安标准的研发、评审、审批密码算法、密钥管理及应用类PKI/PMI类信息平安评估和保障等级类电子证据类内容平安分级及标识类信息平安边界控制及传输平安类身份识别及鉴别协议类网络应急响应与处理类入侵检测框架类信息平安管理类资源访问控制类平安体系结构与协议类平安产品接口与集成管理类信息系统平安工程实施标准类XML、CSCW、Web平安应用类3、加快信息平安法规的制订建立和加强国家信息平安法规咨询委员会的工作规划先行，急用先上借鉴国外先进经验，结合我国国情采取措施缩短需求与立法的时间差4、相