网络信息安全态势

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,网络信息平安态势 与关注点,曲成义,研究员,2005年10月26日,国家信息化领导小组第三次会议,?关于加强信息平安保障工作的意见?,中办发2003 27号文,坚持积极防御、综合防范,全面提高信息平安防护能力,重点保障信息网络和重要信息系统平安,创立平安健康的网络环境,保障和促进信息化开展、保护公众利益、,维护国家平安,立足国情、以我为主、管理与技术并重、,统筹规划、突出重点,发挥各界积极性、共同构筑国家信息平安保障体系,国家信息平安保障工作要点(27号文),实行信息平安等级保护制度：风险与本钱、资源优化配置、平安,风险评估,基于密码技术网络信任体系建设：密码管理体制、身份认证、,授权管理、责任认定,建设信息平安监控体系：提高对网络攻击、病毒入侵、网络失窃,密、有害信息的防范能力,重视信息平安应急处理工作：指挥、响应、协调、通报、支援、,抗毁、灾备,推动信息平安技术研发与产业开展：关键技术、自主创新、强,化可控、引导与市场、测评认证、采购、效劳,信息平安法制与标准建设：信息平安法、打击网络犯罪、标准体,系、标准网络行为,信息平安人材培养与增强平安意识：学科、培训、意识、技能、,自律、守法,信息平安组织建设：信息平安协调小组、责任制、依法管理,构造信息平安保障体系的目标,增加信息网络五种平安能力,信息平安防护能力,隐患发现能力,网络应急反响能力,信息对抗能力,信息平安保障能力,信息平安概念演变,早期：“通信保密阶段ComSec，通信内容保密为主,中期：信息平安“阶段InfoSec，信息自身的静态防护为主,近期：信息保障“阶段Information AssuranceIA，强调动 态的、纵深的、生命周期的、全信息系统资产的信息平安。,我们当前所指“信息平安=“信息保障:目标是“保障数据及其效劳的完整性、保密性、可用性防拒绝和破坏、真实性交互双方的数据、人员的身份和权限、设施的鉴别、可控性监控、防有害内容传播、可核查性审计、取证而抵抗各类威胁所提供的一种能力。,网络信息平安机制的开展阶段,Email/web,Intranet,Extranet,EG、EC、EB,内联网,平安,外联网,平安,对象平安,PKI/CA,PMI,RBAC,PICS,S/OS-DB,SNG/SNF,S/SSO,FW,IDS,VPN,Proxy,时间,ID,VLAN,ACL,AV,FW,互联网,信息交换,一)信息网络平安纵深防御架构,广泛认同,信息网络平安纵深防御框架,核心内网,局域计算环境,（安全域a）,专用外网,局域计算环境,（安全域m）,公共服务网,局域计算环境,（安全域n）,Internet、TSP、PSTN、VPN,网络通信基础设施,（光纤、无线、卫星）,信息安全基础设施,(PKI、PMI、KMI、CERT、DRI),网络安全边界,信息平安域的科学划分,内网、(专网)、外网、互联网,信息平安域边界的平安控制,逻辑隔离/物理隔离,信息平安机制的纵深多级布署,多级配置/集成管理/设施联动,公共干线TSP的平安保障,有线/无线/卫星,纵深型防御技术关注点,防火墙,平安网关,NAT,应用代理,VLAN,可信接入,边界逻辑隔离,网络物理隔离,物理级电磁辐射、物理域,屏蔽室/线、干扰器、区域保护,终端级双网机,双盘型、双区型,传输信道级加密,专用信道、加密信道公用信道,网络级网闸/网泵、物理切断,物理切断,信息交换型：SMTP、FIP,信息共享型：Web/Browser,系统互操作型：B/A/D,二)动态防御技术模型PDR2),被普遍采用,基于时间“t的动态过程防御,#Pt：入侵防护时间Protection,#Dt：入侵检测时间Detection,#Rt：入侵事件反响恢复时间Response/Recovery,要求PtDt+Rt,“资产价值损失资产拥有者承受能力,动态防御技术模型PDR2),系统漏洞的预先发现SCAN,信息系统边界防护(FW),入侵检测诊断、防护IDS/IPS/IPM,网络病毒预警与防治Av,系统备份、应急机制快速启动,受损部位的即时修复与容灾,积极防御机制启动,陷阱、隐蔽、追踪、取证,侦探、预警、还击、制瘫,动态防御技术关注点,三)“内网“信息平安进一步受到重视,“内网的类型,党、政、军、国防工业等涉“国家秘密内网,绝密、机密、秘密,企业涉及高敏感性信息的“内部网,核心技术、竞争情报、客户隐私,内网的,信息连接与安全控制,公众服务层,Web,内网,信息交换层,？,业务处理层,防火墙,收发代理,VPN,Web,安全隧道,安全网关,核心决策层,安全标签,外网/互连网,“内网的平安特征,以信息保密性/敏感性为核心的统筹规划,以平安内控为重要特征的全局防护,以最小特权为准那么的平安管理体系,以数据级容灾为先导的灾难恢复机制,强化内部审计,全局审计,网络级、数据库级、应用级、主机级效劳器、端机,介质级磁、光、纸,审计信息的平安加固,保密性、完整性、防拷贝、可重现、防假冒,审计信息的证据有效性,法律上、管理上、技术上恢复、反向工程,主机(端机)的平安内控产品,用户行为和数据平安合规性控制,防止内部人员误用、滥用、恶用,非法 联接：外联、内联、外设、端口的监控,违规转储：注册、标识、功能控制、保护加密,滥用资源：类型、时间、地址、协议、,越轨操作：进程、文件、屏幕、邮件、网页,资源管控、策略控制、检测发现、报警阻断、审计取证、,防范对抗卸载、绕过、屏蔽,系统最小优化配置功能、端口、资源,采购信息产品的平安可控性,针对“分发式威胁,隐通道、嵌入病毒、设置陷井、可恢复密钥、恶意代码,采用自控技术：,扫描、发现、识别、补丁、配置、,去除、监视、加固、升级B级,用户重新获取自控权,四),PKI/PMI进入实用性探索,电子签名实现方法,电子签名技术方法包括：,数字签名基于非对称密码,采用令牌Token 和消息认证码(MAC)的电子签名，基于对称密码,采用生物特征的电子签名 Signing Electronically via Biometrics 例如电子指纹),电子签名方法选择,上述各种方法都有它的特点和应用空间,选择时要在投入风险功能之间权衡,“认证体系建设的一种较好选择,CA/PKI,适应开放型、大时空、无限边界,提供真实性、完整性、保密性、抗否认性,支持平安的交往/交换/交易多种业务对象,统一标准标准是根底,解决好互认机制是关键,务实和科学布属是原那么,“信任体系建设的一种探索,PKI/PMI,适应大时空、流动授权、跨域共享,提供“身份认证、授权管理、责任认定,可以初步构建“信任体系 27号文,在一些领域有吸引力,应用需求是根底,业务流程优化是保障,务求实效是关键,五)重点信息平安技术产品的研发 正在推进,根底类：体系平安、平安协议、风险评估、系统测评、ISSE,关键类：密码算法、心片、信息隐藏、平安基、内容平安、抗病毒、强审计、无线移动平安、主机防护、平安标签 、IDS、VPN、FW,系统类：网络监测与预警、集成管理、灾难恢复、PKI、PMI、DRI、KMI、SOC,应用类：EC、EG、NB、NS、NM、DC、WF、CSCW、,GR ID、WS、,物理类：TEMPST、R F ID、生物识别,前瞻性：可信计算、免疫能力、量子密码、资源漂移、语义理解,全面推动重点平安技术产品的研发,六),网络突发事件应急响应与治理,引起关注,网络突发事件的三大类别,蠕虫病毒、网络黑客大面积入侵“电子威胁,网络舆情爆发或恐怖活动串联“内容威胁,物理灾难导致信息网络瘫痪“物理威胁,网络突发事件应急响应支撑环境,八大根底设施、二个要素,网络平安监控与预警体系,网络信息平安通报与会商体系,网络应急支援体系CERT,网络病毒防治效劳体系Avert,灾难恢复根底设施DRI,网络保密检查体系,网络平安侦控体系,网络舆情掌控与治理体系,-,网络应急法规与标准,网络信息平安协调组织体系,一)信息网络平安纵深防御 广泛认同,二)动态防御技术模型PDR2)被认真采用,五)重点信息平安技术产品的研发 正在推进 六)网络突发事件应急响应与治理引起关注,三)“内网“信息平安进一步受到重视,四PKI/PMI进入实用性探索,