信息安全保障体系与总体框架教学案例

主讲内容信息安全防护技术与应用分析信息安全等级保护策略信息安全保障体系与总体框架信息安全保障体系与

总体框架主讲内容信息安全保证技术框架信息安全保障体系模型人民银行信息安全总体技术架构信息与网络安全的重要性及严峻性1、信息与网络安全的重要性及严峻性（Cont.）我国信息化建设需要的大量基础设备依靠国外引进，无法保证我们的安全利用和有效监控。因此，解决我国的信息安全问题不能依靠外国，只能走独立自主的发展道路。目前我国信息与网络安全的防护能力处于发展的初级阶段，许多应用系统处于不设防状态。要用我国自己的安全设备加强信息与网络的安全性，需要大力发展基于自主技术的信息安全产业，而自主技术的发展又必须从信息与网络安全的基础研究着手，全面提高创新能力。当前我国的信息与网络安全研究处于忙于封堵现有信息系统的安全漏洞，以致宏观安全体系研究上的投入严重不足，这样做是不能从根本上解决问题的，急需从安全体系结构整体的高度开展强有力的研究工作，从而能够为解决我国的信息与网络安全提供一个整体的理论指导和基础构件的支撑，并为信息与网络安全的工程奠定坚实的基础，推动我国信息安全产业的发展。主讲内容信息安全保证技术框架信息安全保障体系模型人民银行信息安全总体技术架构信息与网络安全的重要性及严峻性2、信息安全保证技术框架(IATF)信息安全保证技术框架（InformationAssuranceTechnicalFramework：IATF）将计算机信息系统分4个部分：本地计算环境区域边界网络和基础设施支撑基础设施2.1信息安全保证技术框架(IATF)信息安全保证技术框架将计算机信息系统分4个部分：本地计算环境服务器客户端及其上面的应用（如打印服务、目录服务等）操作系统数据库基于主机的监控组件（病毒检测、入侵检测）

2、信息安全保证技术框架(IATF)信息安全保证技术框架（InformationAssuranceTechnicalFramework：IATF）将计算机信息系统分4个部分：本地计算环境区域边界网络和基础设施支撑基础设施2.2信息安全保证技术框架(IATF)区域边界区域是指在单一安全策略管理下、通过网络连接起来的计算设备的集合区域边界是区域与外部网络发生信息交换的部分区域边界确保进入的信息不会影响区域内资源的安全，而离开的信息是经过合法授权的网络和基础设施支撑基础设施2、信息安全保证技术框架(IATF)信息安全保证技术框架（InformationAssuranceTechnicalFramework：IATF）将计算机信息系统分4个部分：本地计算环境区域边界网络和基础设施支撑基础设施2.3信息安全保证技术框架(IATF)网络和基础设施在区域之间提供连接,包括局域网（LAN）校园网（CAN）城域网（MAN）广域网等其中包括在网络节点间（如路由器和交换机）传递信息的传输部件（如：卫星，微波，光纤等），以及其他重要的网络基础设施组件如网络管理组件、域名服务器及目录服务组件等

2、信息安全保证技术框架(IATF)信息安全保证技术框架（InformationAssuranceTechnicalFramework：IATF）将计算机信息系统分4个部分：本地计算环境区域边界网络和基础设施支撑基础设施2.4信息安全保证技术框架(IATF)对网络和基础设施的安全要求主要是鉴别访问控制机密性完整性抗抵赖性可用性2.4信息安全保证技术框架(IATF)支撑基础设施提供了一个IA机制在网络、区域及计算环境内进行安全管理、提供安全服务所使用的基础主要为以下内容提供安全服务：终端用户工作站web服务应用文件DNS服务目录服务等信息安全相关机构主管部门公安部国家保密局国家密码管理局安全部中国工业和信息化部安全协调司第三方测评认证机构公安部计算机信息系统安全产品质量检验中心国家保密局涉密信息系统安全保密测评中心国家密码管理局商用密码检测中心中国信息安全测评中心解放军测评中心中国信息安全认证中心行业协会中国信息产业商会信息安全产业分会–依托单位：中国信息安全测评中心中国信息协会信息安全专业委员会秘书处设在国家信息中心信息安全研究与服务中心。中国互联网协会网络与信息安全工作委员会秘书处设在国家计算机网络应急技术处理协调中心信息安全相关机构（Cont.）国家及行业重要性的政策性及技术性文件中办[2003]27号文件：国家信息化领导小组关于加强信息安全保障工作的意见；公信安[2007]861号文件:关于开展全国重要信息系统安全等级保护定级工作的通知；国保[2005]16号文件：关于印发《涉及国家秘密的信息系统等级保护管理办法》；颁布《涉及国家秘密的信息系统等级保护技术要求》国家保密标准的通知；公通字[2004]66号文件：《关于信息安全等级保护工作的实施意见》；2005年9月国信办：《电子政务等级保护实施指南》；公通字[2006]7号文件：《信息安全等级保护管理办法》试行；《信息安全风险评估指南》：2006年元月；《信息安全等级保护信息系统运行安全管理要求》。主讲内容信息安全保证技术框架信息安全保障体系模型人民银行信息安全总体技术架构信息与网络安全的重要性及严峻性M_1:整体定位模型和方法M_2:信息体系架构M_3:信息安全属性概念M_4:管理模型和方法M_5:技术功能模型和方法M_6:评价和决策模型和方法M_7:工程模型和方法思考信息安全问题的7大模型思考信息安全问题的7大模型M_1:整体定位模型和方法阐述信息安全的整体定位和结构，综合构架和执行的方法M_2:信息体系架构表述我们要保护的对象及其结构M_3:信息安全属性概念阐述信息安全要达到的目标M_4:管理模型和方法阐述信息安全管理M_5:技术功能模型和方法阐述信息安全的功能及其关系，如：PDR等M_6:评价和决策模型和方法阐述信息安全的评价和决策方法，如：风险评估等M_7:工程模型和方法体现了信息安全的基于过程的工程方法，比如PDCA等M_3:信息安全属性经典的安全目标（属性）-CIAConfidentiality保密性Integrity完整性Availability可用性安全目标：安全属性和安全管理属性7个信息安全属性保密性Confidentiality完整性Integrity可用性Availability真实性Authenticity不可否认性Non-Reputation可追究性Accountability可控性Controllability7个信息安全管理属性目标性Focus执行性Execution效益性Cost-effective时效性Time-bound适应性Adaptive全局性Coherence合规性Compliance参考：人民银行的描述重大应用系统业务工作的连续可用性业务工作责任的不可否认性业务数据和信息的真实完整性涉及国际秘密和行业敏感信息的保密性什么人、可以访问什么资源、有什么权限、以及控制授权范围内的信息流向及行为方式等的可控性人行信息安全保障体系框架中国人民银行科技司于2002年9月至12月组织了《中国人民银行信息安全保障体系框架》的研究编写。人行框架的主要内容3个战略阶段规范加强、集中整合、综合保障6项任务保边、护线、强内、应急、规范、严管5个能力预警、保护、检测与评估、应急响应、灾难恢复基本策略适度集中、控制风险突出重点、分级保护统筹规划、分步实施人民银行信息系统网络结构人民银行信息系统网络规划为涉密网、业务网和互联网三大类，即总体安全框架“三纵三横两平台一端”中“三纵”所指的内容。如图所示：本《框架》所称涉密网，是指连接总行、分行和省会／首府中心支行，专门用于国家秘密信息和人民银行内部涉密公文的传输，严格按照国家有关部门要求运行管理的网络系统及其承载业务，该网与业务网和互联网物理隔离。本《框架》所称互联网，是指人民银行面向社会或为内部工作人员提供相关服务的网络（如WEB服务，E-MAIL服务等），该网目前与人民银