國家信息安全保障體系框架

國家信息安全保障

體系框架探索曲成義研究員2002.8信息安全保障體系

建設(shè)的策略信息安全防護(hù)能力隱患發(fā)現(xiàn)能力網(wǎng)絡(luò)應(yīng)急反應(yīng)能力信息對(duì)抗能力發(fā)展與安全——保駕護(hù)航資產(chǎn)與威脅——保障能力防護(hù)與檢測——縱深防御成本與風(fēng)險(xiǎn)——適度安全技術(shù)與管理——綜合治理培訓(xùn)與自律——以人為本強(qiáng)度與弱點(diǎn)——均衡設(shè)計(jì)信息安全保障體系框架組織管理技術(shù)保障基礎(chǔ)設(shè)施產(chǎn)業(yè)支撐人材培養(yǎng)環(huán)境建設(shè)國家信息安全保障體系框架信息安全組織管理體系1、行政管理體制國家領(lǐng)導(dǎo)層國家協(xié)調(diào)層國家執(zhí)行層地區(qū)和部委層2、技術(shù)咨詢體制信息化專家咨詢委員會(huì)法規(guī)、標(biāo)準(zhǔn)、資質(zhì)認(rèn)可…等委員會(huì)技術(shù)研究與工程開發(fā)隊(duì)伍建設(shè)學(xué)會(huì)與產(chǎn)業(yè)協(xié)會(huì)3、信息系統(tǒng)安全管理準(zhǔn)則（參照ISO17799）管理策略組織與人員資產(chǎn)分類與安全控制配置與運(yùn)行網(wǎng)絡(luò)信息安全域與通信安全異常事件與審計(jì)信息標(biāo)記與文檔物理與環(huán)境開發(fā)與維護(hù)作業(yè)連續(xù)性保障符合性信息安全技術(shù)保障體系1、、加加強(qiáng)強(qiáng)自自主主研研發(fā)發(fā)與與創(chuàng)創(chuàng)新新組建建研研發(fā)發(fā)國國家家隊(duì)隊(duì)與與普普遍遍推推動(dòng)動(dòng)相相結(jié)結(jié)合合推動(dòng)動(dòng)自自主主知知識(shí)識(shí)產(chǎn)產(chǎn)權(quán)權(quán)與與專專利利建設(shè)設(shè)技技術(shù)術(shù)工工程程中中心心與與加加速速產(chǎn)產(chǎn)品品孵孵化化加大大技技術(shù)術(shù)研研發(fā)發(fā)專專項(xiàng)項(xiàng)基基金金全面面推推動(dòng)動(dòng)與與突突出出重重點(diǎn)點(diǎn)的的技技術(shù)術(shù)研研發(fā)發(fā)基礎(chǔ)礎(chǔ)類類：：風(fēng)風(fēng)險(xiǎn)險(xiǎn)控控制制、、體體系系結(jié)結(jié)構(gòu)構(gòu)、、協(xié)協(xié)議議工工程程、、有有效效評(píng)評(píng)估估、、工工程程方方法法關(guān)鍵鍵類類：：密密碼碼、、安安全全基基、、內(nèi)內(nèi)容容安安全全、、抗抗病病毒毒、、RBAC、、IDS、、VPN、、強(qiáng)強(qiáng)審審計(jì)計(jì)系統(tǒng)統(tǒng)類類：：PKI、、PMI、、DRI、、KMI、、網(wǎng)網(wǎng)絡(luò)絡(luò)預(yù)預(yù)警警、、集集成成管管理理應(yīng)用用類類：：EC、、EG、、NB、、NS、、NM、、WF、、XML、、CSCW物理理與與環(huán)環(huán)境境類類：：TEMPEX、、物物理理識(shí)識(shí)別別前瞻瞻類類：：免免疫疫技技術(shù)術(shù)、、量量子子密密碼碼、、漂漂移移技技術(shù)術(shù)、、語語義義理理解解識(shí)識(shí)別別2、、建建立立縱縱深深防防御御體體系系網(wǎng)絡(luò)絡(luò)信信息息安安全全域域的的劃劃分分與與隔隔離離控控制制內(nèi)部部網(wǎng)網(wǎng)安安全全服服務(wù)務(wù)與與控控制制策策略略（Intranet））外部部網(wǎng)網(wǎng)安安全全服服務(wù)務(wù)與與控控制制策策略略（Extranet)互聯(lián)聯(lián)網(wǎng)網(wǎng)安安全全服服務(wù)務(wù)與與控控制制策策略略（Internet））公共共干干線線的的安安全全服服務(wù)務(wù)與與控控制制策策略略（有有線線、、無無線線、、衛(wèi)衛(wèi)星星））計(jì)算算環(huán)環(huán)境境的的安安全全服服務(wù)務(wù)機(jī)機(jī)制制多級(jí)級(jí)設(shè)設(shè)防防與與科科學(xué)學(xué)布布署署策策略略全局局安安全全檢檢測測、、集集成成管管理理、、聯(lián)聯(lián)動(dòng)動(dòng)控控制制與與恢恢復(fù)復(fù)（PDR2）縱深防御體系的安全控制機(jī)制公眾服務(wù)層信息交換層防火墻業(yè)務(wù)處理層防火墻VPN安全網(wǎng)關(guān)關(guān)鍵業(yè)務(wù)層WWW服務(wù)器WWW服務(wù)器WWW服務(wù)器IntranetInternetExtranet3、、推推動(dòng)動(dòng)信信息息系系統(tǒng)統(tǒng)安安全全工工程程（（ISSE））的的控控制制方方法法安全全需需求求挖挖掘掘安全全功功能能定定義義安全全要要素素設(shè)設(shè)計(jì)計(jì)全程程安安全全控控制制風(fēng)險(xiǎn)險(xiǎn)管管理理有效效評(píng)評(píng)估估（（CC/TCSEC/IATF））威脅脅級(jí)級(jí)別別（（Tn））資產(chǎn)產(chǎn)價(jià)價(jià)值值等等級(jí)級(jí)（（Vn））安全全機(jī)機(jī)制制強(qiáng)強(qiáng)度度等等級(jí)級(jí)（（SMLn)安全全技技術(shù)術(shù)保保障障強(qiáng)強(qiáng)壯壯性性級(jí)級(jí)別別（（IATRn））理解信息保護(hù)需求（服務(wù)）描述風(fēng)險(xiǎn)情況的特征執(zhí)行決策決定將做什么描述可以做什么理解任務(wù)目標(biāo)風(fēng)險(xiǎn)管理周期風(fēng)險(xiǎn)險(xiǎn)管管理理過過程程比較和對(duì)比可用攻擊研究敵方行為理論開創(chuàng)任務(wù)影響理論比較和對(duì)比各種行為行動(dòng)決策對(duì)策識(shí)別與特征描述任務(wù)關(guān)鍵性參數(shù)權(quán)衡脆弱性與攻擊的識(shí)別與特征描述威脅的識(shí)別與特征描述任務(wù)影響的識(shí)別與描述基礎(chǔ)研究與事件分離系統(tǒng)改進(jìn)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)險(xiǎn)決決策策流流程程保障技術(shù)保障評(píng)估擁有者確信對(duì)策風(fēng)險(xiǎn)資產(chǎn)給出證據(jù)產(chǎn)生需要減少到系統(tǒng)統(tǒng)有有效效評(píng)評(píng)估估流流程程信息價(jià)值威脅級(jí)別T1T2T3T4T5T6T7V1SML1EAL1SML1EAL1SML1EAL1SML1EAL2SML1EAL2SML1EAL2SML1EAL2V2SML1EAL1SML1EAL1SML1EAL1SML2EAL2SML2EAL2SML2EAL3SML2EAL3V3SML1EAL1SML1EAL2SML1EAL2SML2EAL3SML2EAL3SML2EAL4SML2EAL4V4SML2EAL1SML2EAL2SML2EAL3SML3EAL4SML3EAL5SML3EAL5SML3EAL6V5SML2EAL2SML2EAL3SML3EAL4SML3EAL5SML3EAL6SML3EAL6SML3EAL7強(qiáng)建建性性程程度度（（IATF））4、、安安全全技技術(shù)術(shù)產(chǎn)產(chǎn)品品與與系系統(tǒng)統(tǒng)互互操操作作性性策策略略體系系結(jié)結(jié)構(gòu)構(gòu)安全全協(xié)協(xié)議議產(chǎn)品品標(biāo)標(biāo)準(zhǔn)準(zhǔn)安全全策策略略與與協(xié)協(xié)定定安全全基基礎(chǔ)礎(chǔ)設(shè)設(shè)施施信息息安安全全基基礎(chǔ)礎(chǔ)設(shè)設(shè)施施1、、大大力力推推動(dòng)動(dòng)國國家家信信息息安安全全基基礎(chǔ)礎(chǔ)的的建建設(shè)設(shè)基礎(chǔ)礎(chǔ)性性、、支支撐撐性性、、服服務(wù)務(wù)性性、、公公益益性性國家家專專項(xiàng)項(xiàng)基基金金啟啟動(dòng)動(dòng)建立立資資質(zhì)質(zhì)認(rèn)認(rèn)證證機(jī)機(jī)制制建立立監(jiān)監(jiān)理理機(jī)機(jī)制制形成成社社會(huì)會(huì)化化服服務(wù)務(wù)和和行行政政監(jiān)監(jiān)管管體體系系2、、社社會(huì)會(huì)公公共共服服務(wù)務(wù)類類基于于數(shù)數(shù)字字證證書書的的信信任任體體系系（（PKI/CA））信息息安安全全測測評(píng)評(píng)與與評(píng)評(píng)估估體體系系（（CC/TCSEC/IATF））應(yīng)急急響響應(yīng)應(yīng)與與支支援援體體系系（（CERT））計(jì)算算機(jī)機(jī)病病毒毒防防治治與與服服務(wù)務(wù)體體系系（（A-Virus））災(zāi)難難恢恢復(fù)復(fù)基基礎(chǔ)礎(chǔ)設(shè)設(shè)施施（（DRI））密鑰鑰管管理理基基礎(chǔ)礎(chǔ)設(shè)設(shè)施施（（KMI））基于于數(shù)數(shù)字字證證書書的的信信任任體體系系（（PKI/CA））GRCA安全網(wǎng)閘NBCAPMAGCAGRAGRAGCAGRAGRAGCAGCAGRASCAGRACCAICA3、、信信息息安安全全執(zhí)執(zhí)法法類類網(wǎng)上上信信息息內(nèi)內(nèi)容容安安全全監(jiān)監(jiān)控控體體系系網(wǎng)絡(luò)絡(luò)犯犯罪罪監(jiān)監(jiān)察察與與防防范范體體系系電子子信信息息保保密密監(jiān)監(jiān)管管體體系系網(wǎng)絡(luò)絡(luò)偵偵控控與與反反竊竊密密體體系系網(wǎng)絡(luò)絡(luò)預(yù)預(yù)警警與與網(wǎng)網(wǎng)絡(luò)絡(luò)反反擊擊體體系系信息息安安全全產(chǎn)產(chǎn)業(yè)業(yè)支支撐撐推動(dòng)動(dòng)安安全全產(chǎn)產(chǎn)業(yè)業(yè)發(fā)發(fā)展展，，支支撐撐安安全全保保障障體體系系建建設(shè)設(shè)掌握握安安全全產(chǎn)產(chǎn)品品的的自自主主權(quán)權(quán)、、自自控控權(quán)權(quán)建設(shè)設(shè)信信息息安安全全產(chǎn)產(chǎn)品品基基地地形成成信信息息安安全全產(chǎn)產(chǎn)品品配配套套的的產(chǎn)產(chǎn)業(yè)業(yè)鏈鏈造就就出出世世界界品品牌牌的的安安全全骨骨干干企企業(yè)業(yè)安全全產(chǎn)產(chǎn)品品制制造造業(yè)業(yè)、、集集成成業(yè)業(yè)、、服服務(wù)務(wù)業(yè)業(yè)全全面面發(fā)發(fā)展展盡快快配配套套信信息息安安全全產(chǎn)產(chǎn)業(yè)業(yè)管管理理政政策策（準(zhǔn)準(zhǔn)入入、、測測評(píng)評(píng)、、資資質(zhì)質(zhì)、、扶扶植植、、、、））重視視TBT條條款款運(yùn)運(yùn)用用，，保保護(hù)護(hù)密密碼碼為為代代表表的的國國內(nèi)內(nèi)安安全全產(chǎn)產(chǎn)品品市市場場信息安全全教育與與人人材培養(yǎng)養(yǎng)創(chuàng)建一個(gè)個(gè)具有一一批高級(jí)級(jí)信息安安全人材材、雄厚厚的安全全技術(shù)隊(duì)隊(duì)伍、普普及安全全意識(shí)和和技術(shù)的的人材大大環(huán)境學(xué)歷教育育：專業(yè)設(shè)置置、課程程配套高級(jí)人材材培養(yǎng)：：研究生學(xué)學(xué)院、博博士后流流動(dòng)站職業(yè)和技技能培訓(xùn)訓(xùn)：上崗和在在職培訓(xùn)訓(xùn)、考核核認(rèn)證制制度信息安全全意識(shí)提提升：學(xué)會(huì)、協(xié)協(xié)會(huì)、論論壇、媒媒體網(wǎng)上教育育：信息安全全課件、、網(wǎng)上課課堂信息安全全出版物物信息安全全標(biāo)準(zhǔn)與與法法規(guī)環(huán)境境1、強(qiáng)力力推動(dòng)信信息安全全標(biāo)準(zhǔn)化化工作加強(qiáng)信息息安全標(biāo)標(biāo)準(zhǔn)化技技術(shù)委員員會(huì)工作作積極參予予國際信信息安全全標(biāo)準(zhǔn)制制訂活動(dòng)動(dòng)注意采用用國際與與國外先先進(jìn)標(biāo)準(zhǔn)準(zhǔn)抓緊制訂訂國家標(biāo)標(biāo)準(zhǔn)和協(xié)協(xié)調(diào)行業(yè)業(yè)標(biāo)準(zhǔn)重視強(qiáng)制制性和保保護(hù)性（（TBT）標(biāo)準(zhǔn)準(zhǔn)的制訂訂推動(dòng)信息息安全產(chǎn)產(chǎn)品標(biāo)準(zhǔn)準(zhǔn)互操性性的測試試和認(rèn)證證兼容性和和可擴(kuò)展展性的需需要公平、公公正、公公開機(jī)制制2、加強(qiáng)強(qiáng)信息安安全標(biāo)準(zhǔn)準(zhǔn)的研發(fā)發(fā)、評(píng)審審、審批批密碼算法法、密鑰鑰管理及及應(yīng)用類類PKI/PMI類信息安全全評(píng)估和和保障等等級(jí)類電子證據(jù)據(jù)類內(nèi)容安全全分級(jí)及及標(biāo)識(shí)類類信息安全全邊界控控制及傳傳輸安全全類身份識(shí)別別及鑒別別協(xié)議類類網(wǎng)絡(luò)應(yīng)急急響應(yīng)與與處理類類入侵檢測測框架類類信息安全全管理類類資源訪問問控制類類安全體系系結(jié)構(gòu)與與協(xié)議類類安全產(chǎn)品品接口與與集成管管理類信息系統(tǒng)統(tǒng)安全工工程實(shí)施施規(guī)范類類XML、、CSCW、Web安安全應(yīng)用用類3、加快快信息安安全法規(guī)規(guī)的制訂訂建立和加加強(qiáng)國家家信息安安全法規(guī)規(guī)咨詢委委員會(huì)的的工作規(guī)劃先行行，急用用先上借鑒國外外先進(jìn)經(jīng)經(jīng)驗(yàn)，結(jié)結(jié)合我國國國情采取措施施縮短需需求與立立法的時(shí)時(shí)間差4、相關(guān)關(guān)法規(guī)需需求電子文檔檔與數(shù)字字簽章類類數(shù)據(jù)保密密與公開開類網(wǎng)絡(luò)信息息內(nèi)容安安全監(jiān)管管類網(wǎng)絡(luò)信息息犯罪與與懲治類類個(gè)人數(shù)據(jù)據(jù)保密類類（隱私私法）數(shù)字內(nèi)容容產(chǎn)品版版權(quán)保護(hù)護(hù)類電子商務(wù)務(wù)運(yùn)營監(jiān)監(jiān)管類（（EC、、NB、、NS））網(wǎng)上交易易稅法類類網(wǎng)絡(luò)信息息企業(yè)市市場準(zhǔn)入入類密碼研制制、生產(chǎn)產(chǎn)與應(yīng)用用管理類類網(wǎng)絡(luò)媒體體監(jiān)管類類網(wǎng)上娛樂樂活動(dòng)監(jiān)監(jiān)管類網(wǎng)上通信信聯(lián)絡(luò)監(jiān)監(jiān)管類9、靜夜四無鄰鄰，荒居舊業(yè)業(yè)貧。。12月-2212月-22Wednesday,December28,202210、雨中黃葉樹樹，燈下白頭頭人。。20:42:1220:42:1220:4212/28/20228:42:12PM11、以以我我獨(dú)獨(dú)沈沈久久，，愧愧君君相相見見頻頻。。。。12月月-2220:42:1220:42Dec-2228-Dec-2212、故人江海別別，幾度隔山山川。。20:42:1220:42:1220:42Wednesday,December28,202213、乍見翻疑疑夢，相悲悲各問年。。。12月-2212月-2220:42:1220:42:12December28,202214、他鄉(xiāng)生生白發(fā)，，舊國見見青山。。。28十十二月20228:42:12下午午20:42:1212月-2215、比不了得就就不比，得不不到的就不要要。。。十二月228:42下下午12月-2220:42December28,202216、行行動(dòng)動(dòng)出出成成果果，，工工作作出出財(cái)財(cái)富富。。。。2022/12/2820:42:1220:42:1228December202217、做做前前，，能能夠夠環(huán)環(huán)視視四四周周；；做做時(shí)時(shí)，，你你只只能能或或者者最最好好沿沿著著以以腳腳為為起起點(diǎn)點(diǎn)的的射射線線向向前前。。。。8:42:12下下午午8:42下下午午20:42:1212月月-229、沒有有失敗敗，只只有暫暫時(shí)停停止成成功?。?。12月月-2212月月-22Wednesday,December28,202210、很多多事情情努力力了未未必有有結(jié)果果，但但是不不努力力卻什什么改改變也也沒有有。。。20:42:1220:42:1220:4212/28/20228:42:12PM11、成功就就是日復(fù)復(fù)一日那那一點(diǎn)點(diǎn)點(diǎn)小小努努力的積積累。。。12月-2220:42:1220:42Dec-2228-Dec-2212、世間成事，，不求其絕對(duì)對(duì)圓滿，留一一份不足，可可得無限完美美。。20:42:1220:42:1220:42Wednesday,December28,202213、不知香積積寺，數(shù)里里入云峰。。。12月-2212月-2220:42:1220:42:12December28,202214、意意志志堅(jiān)堅(jiān)強(qiáng)強(qiáng)的的人人能能把把世世界界放放在在手手中中像像泥泥塊塊一一樣樣任任意意揉揉捏捏。。28十十二二月月20228:42:13下下午午20:42:1312月月-2215、楚塞塞三湘湘接，，荊門門九派派通。。。。十二月月228:42下下午午12月月-2220:42December28,202216、少年年十五五二十十時(shí)，，步行行奪得得胡馬馬騎。。。2022/12/2820:42:1320:42:1328December202217、空山新雨雨后，天氣氣晚來秋。。。8:42:13下下午8:42下下午20:42:1312月-229、楊柳散和風(fēng)風(fēng)，青山澹吾吾慮。。12月-2212月-22Wednesday,December28,202210、閱讀一切好好書如同和過過去最杰出的的人談話。20:42:1320:42:1320:4212/28