構(gòu)建積極防御綜合防范的信息安全保障框架

1、構(gòu)建積極防御綜合防范的信息安全保障框架 國(guó)家信息化專家咨詢委員會(huì)委員 院士2004-071一、我國(guó)信息安全保障的 戰(zhàn)略方針和任務(wù)2國(guó)家信息化領(lǐng)導(dǎo)小組第三次會(huì)議審議并通過(guò)了國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)，其中關(guān)于加強(qiáng)信息安全保障工作的總體要求是： 堅(jiān)持積極防御、綜合防范的方針，全面提高信息安全防護(hù)能力，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保障和促進(jìn)信息化發(fā)展，保護(hù)公眾利益，維護(hù)國(guó)家安全。3加強(qiáng)信息安全保障工作的總體要求和主要原則實(shí)行信息安全等級(jí)保護(hù)加強(qiáng)以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系建設(shè) 建設(shè)和完善信息安全監(jiān)控體系 重視信息安全應(yīng)急處理工作加

2、強(qiáng)信息安全技術(shù)研究開(kāi)發(fā)，推進(jìn)信息安全產(chǎn)業(yè)發(fā)展 加強(qiáng)信息安全法制建設(shè)和標(biāo)準(zhǔn)化建設(shè) 加快信息安全專業(yè)人才培養(yǎng)，增強(qiáng)全民信息安全意識(shí) 保證信息安全資金加強(qiáng)對(duì)信息安全工作的領(lǐng)導(dǎo)，建立健全信息安全責(zé)任制 42004年1月9日至10日，在全國(guó)信息安全保障工作會(huì)議上中共中央政治局常委、國(guó)務(wù)院副總理黃菊重要講話中指出了必須充分認(rèn)識(shí)做好信息安全保障工作的極端重要性。5黃菊再次強(qiáng)調(diào)：加強(qiáng)信息安全保障工作，必須堅(jiān)持積極防御、綜合防范的方針。如何貫徹這個(gè)方針，爭(zhēng)取五年時(shí)間初步建成我國(guó)信息安全保障體系，任務(wù)艱巨而光榮。6二、信息安全保障體系的基本構(gòu)架7信息安全保障體系的基本構(gòu)架四個(gè)層面，兩個(gè)支撐，一個(gè)確保信息安全法制體

3、系加強(qiáng)信息安全法制建設(shè)和標(biāo)準(zhǔn)化建設(shè)層面一：建立信息安全法制體系。確立信息化領(lǐng)域法規(guī)框架，做到有法可依，有法必依。8信息安全組織管理體系信息安全法制體系信息安全保障體系的基本構(gòu)架四個(gè)層面，兩個(gè)支撐，一個(gè)確保信息安全保障體系的基本構(gòu)架實(shí)行信息安全等級(jí)保護(hù)加強(qiáng)對(duì)信息安全工作的領(lǐng)導(dǎo)，建立健全信息安全責(zé)任制 層面二：完善國(guó)家信息安全組織管理體系。強(qiáng)化管理機(jī)構(gòu)的職能，建立高效能的、職責(zé)分工明確的行政管理和業(yè)務(wù)組織體系。加強(qiáng)國(guó)家信息安全保障的綜合協(xié)調(diào)工作。9信息安全保障體系的基本構(gòu)架四個(gè)層面，兩個(gè)支撐，一個(gè)確保信息安全技術(shù)保障體系信息安全組織管理體系信息安全法制體系建設(shè)和完善信息安全監(jiān)控體系 重視信息安全應(yīng)

4、急處理工作層面三：強(qiáng)化國(guó)家信息安全技術(shù)防護(hù)體系。采用先進(jìn)技術(shù)手段，確保網(wǎng)絡(luò)和電信傳輸、應(yīng)用區(qū)域邊界、應(yīng)用環(huán)境等環(huán)節(jié)的安全，既能防外部攻擊，又能防內(nèi)部作案。加強(qiáng)信息安全技術(shù)研究開(kāi)發(fā)，推進(jìn)信息安全產(chǎn)業(yè)發(fā)展10信息安全技術(shù)保障體系信息安全組織管理體系信息安全法制體系信息安全保障體系的基本構(gòu)架?chē)?guó)家信息基礎(chǔ)設(shè)施信息安全平臺(tái)及安全基礎(chǔ)設(shè)施四個(gè)層面，兩個(gè)支撐，一個(gè)確保層面四：加強(qiáng)信息安全平臺(tái)及基礎(chǔ)設(shè)施建設(shè)。建立安全事件應(yīng)急響應(yīng)中心、數(shù)據(jù)備份和災(zāi)難恢復(fù)設(shè)施；發(fā)揮密碼在保障體系中的基礎(chǔ)和核心作用，加強(qiáng)密碼基礎(chǔ)設(shè)施（KMI/PKI）的建設(shè)。加強(qiáng)以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系建設(shè)11信息安全保障體系的基本

5、構(gòu)架?chē)?guó)家信息基礎(chǔ)設(shè)施信息安全平臺(tái)及安全基礎(chǔ)設(shè)施信息安全技術(shù)保障體系信息安全組織管理體系信息安全法制體系四個(gè)層面，兩個(gè)支撐，一個(gè)確保信息安全經(jīng)費(fèi)保障體系 保證信息安全資金 支撐一：確定國(guó)家信息安全經(jīng)費(fèi)支持規(guī)劃。明確信息安全保障體系建設(shè)經(jīng)費(fèi)占信息化經(jīng)費(fèi)的比例12信息安全經(jīng)費(fèi)保障體系信息安全保障體系的基本構(gòu)架?chē)?guó)家信息基礎(chǔ)設(shè)施信息安全人才保障體系信息安全平臺(tái)及安全基礎(chǔ)設(shè)施信息安全技術(shù)保障體系信息安全組織管理體系信息安全法制體系四個(gè)層面，兩個(gè)支撐，一個(gè)確保加快信息安全專業(yè)人才培養(yǎng)，增強(qiáng)全民信息安全意識(shí)支撐二：確立信息安全人才教育和培訓(xùn)體系。信息安全應(yīng)列為一級(jí)學(xué)科，進(jìn)行學(xué)歷教育，除培養(yǎng)大批高質(zhì)量的專門(mén)人才

6、外，還須進(jìn)行社會(huì)化的培訓(xùn)和普及教育，以提高全民的信息安全素質(zhì)。13信息安全保障體系的基本構(gòu)架信息安全法制體系信息安全組織管理體系國(guó)家信息基礎(chǔ)設(shè)施信息安全技術(shù)保障體系信息安全平臺(tái)及安全基礎(chǔ)設(shè)施信息安全經(jīng)費(fèi)保障體系信息安全人才保障體系四個(gè)層面，兩個(gè)支撐，一個(gè)確保加強(qiáng)信息安全保障工作的總體要求和主要原則一個(gè)確保：確保國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的安全運(yùn)行14三、積極防御的技術(shù)框架15對(duì)工作流程相對(duì)固定的重要信息系統(tǒng)主要由操作應(yīng)用、共享服務(wù)和網(wǎng)絡(luò)通信三個(gè)環(huán)節(jié)組成。如果信息系統(tǒng)中每一個(gè)使用者都通過(guò)可信終端認(rèn)證和授權(quán)，其操作都是符合規(guī)定的，網(wǎng)絡(luò)上也不會(huì)被竊聽(tīng)和插入，那么就不會(huì)產(chǎn)生攻擊性共享服務(wù)資源的事故，就能保證

7、整個(gè)信息系統(tǒng)的安全，以此來(lái)構(gòu)建積極防御、綜合防范的防護(hù)框架16 可信計(jì)算平臺(tái)可信終端確保用戶的合法性和資源的一致性，使用戶只能按照規(guī)定的權(quán)限和訪問(wèn)控制規(guī)則進(jìn)行操作，能做到什么樣權(quán)限級(jí)別的人只能做與其身份規(guī)定的訪問(wèn)操作，只要控制規(guī)則是合理的，那么整個(gè)信息系統(tǒng)資源訪問(wèn)過(guò)程是安全的。這樣構(gòu)成了安全可信的應(yīng)用環(huán)境（子信息系統(tǒng)）17 安全共享服務(wù)邊界應(yīng)用安全邊界設(shè)備（如安全網(wǎng)關(guān)等）保護(hù)共享服務(wù)資源，其具有身份認(rèn)證和安全審計(jì)功能，將共享服務(wù)器（如數(shù)據(jù)庫(kù)服務(wù)器、WEB服務(wù)器、郵件服務(wù)器等）與非法訪問(wèn)者隔離，防止意外的非授權(quán)用戶的訪問(wèn)（如非法接入的非可信終端）。這樣共享服務(wù)端不必作繁重的訪問(wèn)控制，從而減輕服務(wù)

8、器的壓力，以防拒絕服務(wù)攻擊18 全程保護(hù)網(wǎng)絡(luò)通信采用IPSec 實(shí)現(xiàn)網(wǎng)絡(luò)通信全程安全保密。IPSec工作在操作系統(tǒng)內(nèi)進(jìn)行，實(shí)現(xiàn)源到目的端的全程通信安全保護(hù)，確保傳輸連接的真實(shí)性和數(shù)據(jù)的機(jī)密性、一致性 ，防止非法的竊聽(tīng)和插入19綜上所述，可信的應(yīng)用操作平臺(tái)、安全的共享服務(wù)資源邊界保護(hù)和全程安全保護(hù)的網(wǎng)絡(luò)通信，構(gòu)成了工作流程相對(duì)固定的生產(chǎn)系統(tǒng)的信息安全防護(hù)框架。（如下圖所示） 圖：工作流程相對(duì)固定的生產(chǎn)系統(tǒng)安全解決方案全程IPSec 服務(wù)器安全邊界設(shè)備可信計(jì)算 平臺(tái)可信計(jì)算 平臺(tái) 全程IPSec 安全域一可信計(jì)算 平臺(tái)可信計(jì)算 平臺(tái) 安全域二安全隔離設(shè)備全程IPSec 共享資源安全管理中心密碼管理

9、中心20要實(shí)現(xiàn)上述終端、邊界和通信有效的保障，還需要授權(quán)管理的管理中心以及可信配置的密碼管理中心的支撐21從技術(shù)層面上可以分為以下五個(gè)環(huán)節(jié)：應(yīng)用環(huán)境安全 應(yīng)用區(qū)域邊界安全 網(wǎng)絡(luò)和通信傳輸安全安全管理中心 密碼管理中心即：兩個(gè)中心支持下的三重防護(hù)體系結(jié)構(gòu) 應(yīng)用環(huán)境安全： 包括單機(jī)、C/S、B/S模式，采用身份認(rèn)證、訪問(wèn)控制、密碼加密、安全審計(jì)等機(jī)制，構(gòu)成可信應(yīng)用環(huán)境22從技術(shù)層面上可以分為以下五個(gè)環(huán)節(jié)：應(yīng)用環(huán)境安全 應(yīng)用區(qū)域邊界安全 網(wǎng)絡(luò)和通信傳輸安全安全管理中心 密碼管理中心即：兩個(gè)中心支持下的三重防護(hù)體系結(jié)構(gòu) 應(yīng)用區(qū)域邊界安全： 通過(guò)部署邊界保護(hù)措施控制對(duì)內(nèi)部局域網(wǎng)的訪問(wèn)，實(shí)現(xiàn)局域網(wǎng)與廣域網(wǎng)

10、之間的安全。采用安全網(wǎng)關(guān)、防火墻等隔離過(guò)濾機(jī)制，保護(hù)共享資源的可信連接23從技術(shù)層面上可以分為以下五個(gè)環(huán)節(jié)：應(yīng)用環(huán)境安全 應(yīng)用區(qū)域邊界安全 網(wǎng)絡(luò)和通信傳輸安全安全管理中心 密碼管理中心即：兩個(gè)中心支持下的三重防護(hù)體系結(jié)構(gòu) 網(wǎng)絡(luò)和通信傳輸安全： 包括實(shí)現(xiàn)局域網(wǎng)互聯(lián)過(guò)程的安全，旨在確保通信的機(jī)密性、一致性和可用性。采用密碼加密、完整性校驗(yàn)和實(shí)體鑒別等機(jī)制，實(shí)現(xiàn)可信連接和安全通信24從技術(shù)層面上可以分為以下五個(gè)環(huán)節(jié)：應(yīng)用環(huán)境安全 應(yīng)用區(qū)域邊界安全 網(wǎng)絡(luò)和通信傳輸安全安全管理中心 密碼管理中心即：兩個(gè)中心支持下的三重防護(hù)體系結(jié)構(gòu) 安全管理中心： 提供認(rèn)證、授權(quán)、實(shí)施訪問(wèn)控制策略等運(yùn)行安全服務(wù)25從技術(shù)層面上可以分為以下五個(gè)環(huán)節(jié)：應(yīng)用環(huán)境安全 應(yīng)用區(qū)域邊界安全 網(wǎng)絡(luò)和通信傳輸安全安全管理中心 密碼管理中心密碼管理中心： 提供互聯(lián)互通密碼配置、公鑰證書(shū)和傳統(tǒng)的對(duì)稱密鑰的管理，為信息系統(tǒng)提供密碼服務(wù)支持即：兩個(gè)中心支持下的三重防護(hù)體系結(jié)構(gòu)26對(duì)于復(fù)雜的重要系統(tǒng)：構(gòu)成三縱（公共區(qū)域、專用區(qū)域、涉密區(qū)域）三橫（應(yīng)用環(huán)境、應(yīng)用區(qū)域邊界、網(wǎng)絡(luò)通信）和兩個(gè)中心的安全防護(hù)框架。（如下圖所示）27圖：信息安全技術(shù)防護(hù)框架28三種不同性質(zhì)的應(yīng)用區(qū)域在各自采用相應(yīng)的安全保障措施之后，互相之間有一定的溝通，應(yīng)該采用安全隔離與信息交換設(shè)備進(jìn)行連接在