構(gòu)建積極防御綜合防范的信息安全保障框架

構(gòu)建積極防御綜合防范的

信息安全保障框架

國家信息化專家咨詢委員會委員

沈昌祥

院士2004-07一、我國信息安全保障的

戰(zhàn)略方針和任務(wù)國家信息化領(lǐng)導(dǎo)小組第三次會議審議并通過了《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》，其中關(guān)于加強(qiáng)信息安全保障工作的總體要求是：

堅持積極防御、綜合防范的方針，全面提高信息安全防護(hù)能力，重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保障和促進(jìn)信息化發(fā)展，保護(hù)公眾利益，維護(hù)國家安全。加強(qiáng)信息安全保障工作的總體要求和主要原則實行信息安全等級保護(hù)加強(qiáng)以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系建設(shè)建設(shè)和完善信息安全監(jiān)控體系重視信息安全應(yīng)急處理工作加強(qiáng)信息安全技術(shù)研究開發(fā)，推進(jìn)信息安全產(chǎn)業(yè)發(fā)展加強(qiáng)信息安全法制建設(shè)和標(biāo)準(zhǔn)化建設(shè)加快信息安全專業(yè)人才培養(yǎng)，增強(qiáng)全民信息安全意識保證信息安全資金加強(qiáng)對信息安全工作的領(lǐng)導(dǎo)，建立健全信息安全責(zé)任制2004年1月9日至10日，在全國信息安全保障工作會議上中共中央政治局常委、國務(wù)院副總理黃菊重要講話中指出了必須充分認(rèn)識做好信息安全保障工作的極端重要性。黃菊再次強(qiáng)調(diào)：加強(qiáng)信息安全保障工作，必須堅持積極防御、綜合防范的方針。如何貫徹這個方針，爭取五年時間初步建成我國信息安全保障體系，任務(wù)艱巨而光榮。二、信息安全保障體系的基本構(gòu)架信息安全保障體系的基本構(gòu)架四個層面，兩個支撐，一個確保信息安全法制體系加強(qiáng)信息安全法制建設(shè)和標(biāo)準(zhǔn)化建設(shè)層面一：建立信息安全法制體系。確立信息化領(lǐng)域法規(guī)框架，做到有法可依，有法必依。信息安全組織管理體系信息安全法制體系信息安全保障體系的基本構(gòu)架四個層面，兩個支撐，一個確保信息安全保障體系的基本構(gòu)架實行信息安全等級保護(hù)加強(qiáng)對信息安全工作的領(lǐng)導(dǎo)，建立健全信息安全責(zé)任制層面二：完善國家信息安全組織管理體系。強(qiáng)化管理機(jī)構(gòu)的職能，建立高效能的、職責(zé)分工明確的行政管理和業(yè)務(wù)組織體系。加強(qiáng)國家信息安全保障的綜合協(xié)調(diào)工作。信息安全保障體系的基本構(gòu)架四個層面，兩個支撐，一個確保信息安全技術(shù)保障體系信息安全組織管理體系信息安全法制體系建設(shè)和完善信息安全監(jiān)控體系重視信息安全應(yīng)急處理工作層面三：強(qiáng)化國家信息安全技術(shù)防護(hù)體系。采用先進(jìn)技術(shù)手段，確保網(wǎng)絡(luò)和電信傳輸、應(yīng)用區(qū)域邊界、應(yīng)用環(huán)境等環(huán)節(jié)的安全，既能防外部攻擊，又能防內(nèi)部作案。加強(qiáng)信息安全技術(shù)研究開發(fā)，推進(jìn)信息安全產(chǎn)業(yè)發(fā)展信息安全技術(shù)保障體系信息安全組織管理體系信息安全法制體系信息息安安全全保保障障體體系系的的基基本本構(gòu)構(gòu)架架國家家信信息息基基礎(chǔ)礎(chǔ)設(shè)設(shè)施施信息息安安全全平平臺臺及及安安全全基基礎(chǔ)礎(chǔ)設(shè)設(shè)施施四個個層層面面，，兩兩個個支支撐撐，，一一個個確確保保層面面四四：：加強(qiáng)強(qiáng)信信息息安安全全平平臺臺及及基基礎(chǔ)礎(chǔ)設(shè)設(shè)施施建建設(shè)設(shè)。。建建立立安安全全事事件件應(yīng)應(yīng)急急響響應(yīng)應(yīng)中中心心、、數(shù)數(shù)據(jù)據(jù)備備份份和和災(zāi)災(zāi)難難恢恢復(fù)復(fù)設(shè)設(shè)施施；；發(fā)發(fā)揮揮密密碼碼在在保保障障體體系系中中的的基基礎(chǔ)礎(chǔ)和和核核心心作作用用，，加加強(qiáng)強(qiáng)密密碼碼基基礎(chǔ)礎(chǔ)設(shè)設(shè)施施（（KMI/PKI））的的建建設(shè)設(shè)。。加強(qiáng)強(qiáng)以以密密碼碼技技術(shù)術(shù)為為基基礎(chǔ)礎(chǔ)的的信信息息保保護(hù)護(hù)和和網(wǎng)網(wǎng)絡(luò)絡(luò)信信任任體體系系建建設(shè)設(shè)信息息安安全全保保障障體體系系的的基基本本構(gòu)構(gòu)架架國家家信信息息基基礎(chǔ)礎(chǔ)設(shè)設(shè)施施信息安全平臺及安全基礎(chǔ)設(shè)施信息安全技術(shù)保障體系信息安全組織管理體系信息安全法制體系四個個層層面面，，兩兩個個支支撐撐，，一一個個確確保保信息安全經(jīng)費(fèi)保障體系保證證信信息息安安全全資資金金支撐撐一一：：確確定定國國家家信信息息安安全全經(jīng)經(jīng)費(fèi)費(fèi)支支持持規(guī)規(guī)劃劃。。明明確確信信息息安安全全保保障障體體系系建建設(shè)設(shè)經(jīng)經(jīng)費(fèi)費(fèi)占占信信息息化化經(jīng)經(jīng)費(fèi)費(fèi)的的比比例例信息安全經(jīng)費(fèi)保障體系信息息安安全全保保障障體體系系的的基基本本構(gòu)構(gòu)架架國家家信信息息基基礎(chǔ)礎(chǔ)設(shè)設(shè)施施信息安全人才保障體系信息安全平臺及安全基礎(chǔ)設(shè)施信息安全技術(shù)保障體系信息安全組織管理體系信息安全法制體系四個個層層面面，，兩兩個個支支撐撐，，一一個個確確保保加快快信信息息安安全全專專業(yè)業(yè)人人才才培培養(yǎng)養(yǎng)，，增增強(qiáng)強(qiáng)全全民民信信息息安安全全意意識識支撐撐二二：：確確立立信信息息安安全全人人才才教教育育和和培培訓(xùn)訓(xùn)體體系系。。信信息息安安全全應(yīng)應(yīng)列列為為一一級級學(xué)學(xué)科科，，進(jìn)進(jìn)行行學(xué)學(xué)歷歷教教育育，，除除培培養(yǎng)養(yǎng)大大批批高高質(zhì)質(zhì)量量的的專專門門人人才才外外，，還還須須進(jìn)進(jìn)行行社社會會化化的的培培訓(xùn)訓(xùn)和和普普及及教教育育，，以以提提高高全全民民的的信信息息安安全全素素質(zhì)質(zhì)。。信息息安安全全保保障障體體系系的的基基本本構(gòu)構(gòu)架架信息息安安全全法法制制體體系系信息息安安全全組組織織管管理理體體系系國家家信信息息基基礎(chǔ)礎(chǔ)設(shè)設(shè)施施信息息安安全全技技術(shù)術(shù)保保障障體體系系信息息安安全全平平臺臺及及安安全全基基礎(chǔ)礎(chǔ)設(shè)設(shè)施施信息安全經(jīng)費(fèi)保障體系信息安全人才保障體系四個個層層面面，，兩兩個個支支撐撐，，一一個個確確保保加強(qiáng)信息安全全保障工作的的總體要求和和主要原則一個確保：確保國家關(guān)鍵鍵信息基礎(chǔ)設(shè)設(shè)施的安全運(yùn)運(yùn)行三、積極防御御的技術(shù)框架架對工作流程相相對固定的重重要信息系統(tǒng)統(tǒng)主要由操作應(yīng)應(yīng)用、共享服服務(wù)和網(wǎng)絡(luò)通通信三個環(huán)節(jié)節(jié)組成。如果果信息系統(tǒng)中中每一個使用用者都通過可可信終端認(rèn)證證和授權(quán)，其其操作都是符符合規(guī)定的，，網(wǎng)絡(luò)上也不不會被竊聽和和插入，那么么就不會產(chǎn)生生攻擊性共享享服務(wù)資源的的事故，就能能保證整個信信息系統(tǒng)的安安全，以此來來構(gòu)建積極防防御、綜合防防范的防護(hù)框框架可信計算平臺臺可信終端確保保用戶的合法法性和資源的的一致性，使使用戶只能按按照規(guī)定的權(quán)權(quán)限和訪問控控制規(guī)則進(jìn)行行操作，能做做到什么樣權(quán)權(quán)限級別的人人只能做與其其身份規(guī)定的的訪問操作，，只要控制規(guī)規(guī)則是合理的的，那么整個個信息系統(tǒng)資資源訪問過程程是安全的。。這樣構(gòu)成了了安全可信的的應(yīng)用環(huán)境（（子信息系統(tǒng)統(tǒng)）安全共享服務(wù)務(wù)邊界應(yīng)用安全邊界界設(shè)備（如安安全網(wǎng)關(guān)等））保護(hù)共享服服務(wù)資源，其其具有身份認(rèn)認(rèn)證和安全審審計功能，將將共享服務(wù)器器（如數(shù)據(jù)庫庫服務(wù)器、WEB服務(wù)器器、郵件服務(wù)務(wù)器等）與非非法訪問者隔隔離，防止意意外的非授權(quán)權(quán)用戶的訪問問（如非法接接入的非可信信終端）。這這樣共享服務(wù)務(wù)端不必作繁繁重的訪問控控制，從而減減輕服務(wù)器的的壓力，以防防拒絕服務(wù)攻攻擊全程保護(hù)網(wǎng)絡(luò)絡(luò)通信采用IPSec實現(xiàn)網(wǎng)網(wǎng)絡(luò)通信全程程安全保密。。IPSec工作在操作作系統(tǒng)內(nèi)進(jìn)行行，實現(xiàn)源到到目的端的全全程通信安全全保護(hù)，確保保傳輸連接的的真實性和數(shù)數(shù)據(jù)的機(jī)密性性、一致性，防止非法的的竊聽和插入入綜上所述，可可信的應(yīng)用操操作平臺、安安全的共享服服務(wù)資源邊界界保護(hù)和全程程安全保護(hù)的的網(wǎng)絡(luò)通信，，構(gòu)成了工作作流程相對固固定的生產(chǎn)系系統(tǒng)的信息安安全防護(hù)框架架。（如下圖圖所示）圖：工作流程相對固定的生產(chǎn)系統(tǒng)安全解決方案全程IPSec

服務(wù)器安全邊界設(shè)備可信計算平臺可信計算平臺

全程IPSec

安全域一可信計算平臺可信計算平臺安全域二安全隔離設(shè)備全程IPSec共享資源安全管理中心密碼管理中心要實現(xiàn)上述終終端、邊界和和通信有效的的保障，還需需要授權(quán)管理理的管理中心心以及可信配配置的密碼管管理中心的支支撐從技術(shù)層面上上可以分為以以下五個環(huán)節(jié)節(jié)：應(yīng)用環(huán)境安全全應(yīng)用區(qū)域邊界界安全網(wǎng)絡(luò)和通信傳傳輸安全安全管理中心心密碼管理中心心即：兩個中心心支持下的三三重防護(hù)體系系結(jié)構(gòu)應(yīng)用環(huán)境安全全：包括單機(jī)、C/S、B/S模式，采采用身份認(rèn)證證、訪問控制制、密碼加密密、安全審計計等機(jī)制，構(gòu)構(gòu)成可信應(yīng)用用環(huán)境從技術(shù)層面上上可以分為以以下五個環(huán)節(jié)節(jié)：應(yīng)用環(huán)境安全全應(yīng)用區(qū)域邊界界安全網(wǎng)絡(luò)和通信傳傳輸安全安全管理中心心密碼管理中心心即：兩個中心心支持下的三三重防護(hù)體系系結(jié)構(gòu)應(yīng)用區(qū)域邊界界安全：通過部署邊界界保護(hù)措施控控制對內(nèi)部局局域網(wǎng)的訪問問，實現(xiàn)局域域網(wǎng)與廣域網(wǎng)網(wǎng)之間的安全全。采用安全全網(wǎng)關(guān)、防火火墻等隔離過過濾機(jī)制，保保護(hù)共享資源源的可信連接接從技術(shù)層面上上可以分為以以下五個環(huán)節(jié)節(jié)：應(yīng)用環(huán)境安全全應(yīng)用區(qū)域邊界界安全網(wǎng)絡(luò)和通信傳傳輸安全安全管理中心心密碼管理中心心即：兩個中心心支持下的三三重防護(hù)體系系結(jié)構(gòu)網(wǎng)絡(luò)和通信傳傳輸安全：包括實現(xiàn)局域域網(wǎng)互聯(lián)過程程的安全，旨旨在確保通信信的機(jī)密性、、一致性和可可用性。采用用密碼加密、、完整性校驗驗和實體鑒別別等機(jī)制，實實現(xiàn)可信連接接和安全通信信從技術(shù)層面上上可以分為以以下五個環(huán)節(jié)節(jié)：應(yīng)用環(huán)境安全全應(yīng)用區(qū)域邊界界安全網(wǎng)絡(luò)和通信傳傳輸安全安全管理中心心密碼管理中心心即：兩個中心心支持下的三三重防護(hù)體系系結(jié)構(gòu)安全管理中心心：提供認(rèn)證、授授權(quán)、實施訪訪問控制策略略等運(yùn)行安全全服務(wù)從技術(shù)層面上上可以分為以以下五個環(huán)節(jié)節(jié)：應(yīng)用環(huán)境安全全應(yīng)用區(qū)域邊界界安全網(wǎng)絡(luò)和通信傳傳輸安全安全管理中心心密碼管理中心心密碼管理中心心：提供互聯(lián)互通通密碼配置、、公鑰證書和和傳統(tǒng)的對稱稱密鑰的管理理，為信息系系統(tǒng)提供密碼碼服務(wù)支持即：兩個中心心支持下的三三重防護(hù)體系系結(jié)構(gòu)對于復(fù)雜的重重要系統(tǒng)：構(gòu)成三縱（公公共區(qū)域、專專用區(qū)域、涉涉密區(qū)域）三三橫（應(yīng)用環(huán)環(huán)境、應(yīng)用區(qū)區(qū)域邊界、網(wǎng)網(wǎng)絡(luò)通信）和和兩個中心的的安全防護(hù)框框架。（如下下圖所示）圖：信息安全全技術(shù)防護(hù)框框架三種不同性質(zhì)質(zhì)的應(yīng)用區(qū)域域在各自采用用相應(yīng)的安全全保障措施之之后，互相之之間有一定的的溝通，應(yīng)該該采用安全隔隔離與信息交交換設(shè)備進(jìn)行行連接在重要應(yīng)用域域之間，也需需要采用安全全隔離與信息息交換設(shè)備進(jìn)進(jìn)行邊界保護(hù)護(hù)目前我國信息息安全建設(shè)正正處在一個關(guān)關(guān)鍵時期，我我們必須把握握住正確的研研究方向，制制定相應(yīng)的發(fā)發(fā)展戰(zhàn)略，走走符合我國國國情的發(fā)展道道路，利用國國際先進(jìn)技術(shù)術(shù)，開發(fā)安全全高效、簡潔潔廉價，具有有自主知識產(chǎn)產(chǎn)權(quán)的信息安安全產(chǎn)品，從從而滿足我國國各行各業(yè)的的迫切需要，，促進(jìn)我國信信息安全事業(yè)業(yè)的發(fā)展。結(jié)束語謝謝！9、靜夜四無鄰鄰，荒居舊業(yè)業(yè)貧。。12月-2212月-22Thursday,December29,202210、雨中中黃葉葉樹，，燈下下白頭頭人。。。17:16:2717:16:2717:1612/29/20225:16:27PM11、以我獨獨沈久，，愧君相相見頻。。。12月-2217:16:2717:16Dec-2229-Dec-2212、故人江海別別，幾度隔山山川。。17:16:2717:16:2717:16Thursday,December29,202213、乍見見翻疑疑夢，，相悲悲各問問年。。。12月月-2212月月-2217:16:2717:16:27December29,202214、他鄉(xiāng)鄉(xiāng)生白白發(fā)，，舊國國見青青山。。。29十十二二月20225:16:27下下午17:16:2712月月-2215、比不了了得就不不比，得得不到的的就不要要。。。十二月225:16下午午12月-2217:16December29,202216、行動出成果果，工作出財財富。。2022/12/2917:16:2717:16:2729December202217、做做前前，，能能夠夠環(huán)環(huán)視視四四周周；；做做時時，，你你只只能能或或者者最最好好沿沿著著以以腳腳為為起起點點的的射射線線向向前前。。。。5:16:27下下午午5:16下下午午17:16:2712月月-229、沒有有失敗敗，只只有暫暫時停停止成成功??！。12月月-2212月月-22Thursday,December29,202210、很很多多事事情情努努力力了了未未必必有有結(jié)結(jié)果果，，但但是是不不努努力力卻卻什什么么改改變變也也沒沒有有。。。。17:16:2717:16:2717:1612/29/20225:16:27PM11、成功就是日日復(fù)一日那一一點點小小努努力的積累。。。12月-2217:16:2717:16Dec-2229-Dec-2212、世間成事，，不求其絕對對圓滿，留一一份不足，可可得無限完美美。。17:16:2717:16:2717:16Thursday,December29,202213、不不知知香香積積寺寺，，數(shù)數(shù)里里入入云云峰峰。。。。12月月-2212月月-2217:16:2717:16:27December29,202214、意志志堅強(qiáng)強(qiáng)的人人能把把世界界放在在手中中像泥泥塊一一樣任任意揉揉捏。。29十十二二月20225:16:27下下午17:16:2712月月-2215、楚塞三三湘接，，荊門九九派通。。。。十二月225:16下午午12月-2217:16December29,202216、少年十十五二十十時，步步行奪得得胡馬騎騎。。2022/12/2917:16:2717:16:2729December202217、空山新雨后后，天氣晚來來秋。。5:16:27下午5:16下下午17:16:2712月-229、楊楊柳柳散散和和風(fēng)風(fēng)，，青青山山澹澹吾吾慮慮。。。。12月月-2212月月-22Thursday,December29,202210、閱讀一一切好書書如同和和過去最最杰出的的人談話話。17:16:2717:16:2717:16