信息安全現(xiàn)狀和發(fā)展

1、信息安全現(xiàn)狀和發(fā)展,目錄,引言 信息系統(tǒng)潛在威脅 安全需求和基本技術(shù) 信息安全保障體系 典型網(wǎng)絡(luò)安全產(chǎn)品 信息安全發(fā)展 結(jié)語,引言,信息化快速發(fā)展，使信息化環(huán)境所面臨的各種主動和被動攻擊的情形越來越嚴(yán)峻，信息系統(tǒng)客觀存在的大量漏洞，極易被敵對勢力或黑客利用來對系統(tǒng)進(jìn)行攻擊。 美國在2007年9月成立網(wǎng)絡(luò)司令部，核心任務(wù)是保證本國網(wǎng)絡(luò)安全和襲擊他國核心網(wǎng)絡(luò)，有攻也有防，被外界稱為“黑客”司令部，對我國信息安全形成了嚴(yán)重的威脅。 我國信息化建設(shè)和反臺獨(dú)軍事斗爭準(zhǔn)備的緊迫形勢下，黨政軍各類信息系統(tǒng)和信息本身的安全問題已經(jīng)成為積極防御和體系對抗的重要環(huán)節(jié),引言,2006年5月中辦和國辦發(fā)布2006-2

2、020年國家信息化發(fā)展戰(zhàn)略，對未來我國信息化發(fā)展的目標(biāo)、任務(wù)、戰(zhàn)略重點(diǎn)以及措施等都做出了系統(tǒng)部署。 九大戰(zhàn)略重點(diǎn)：推進(jìn)國民經(jīng)濟(jì)信息化；推行電子政務(wù)；建設(shè)先進(jìn)網(wǎng)絡(luò)文化；推進(jìn)社會信息化；完善綜合信息基礎(chǔ)設(shè)施；加強(qiáng)信息資源的開發(fā)利用；提高信息產(chǎn)業(yè)競爭力；建設(shè)國家信息安全保障體系；提高國民信息應(yīng)用能力，造就信息化人才隊伍,引言,2006年4月，國家信息化領(lǐng)導(dǎo)小組副組長曾培炎副總理對國家信息化專家咨詢委員會提出的要求有四條：一是總結(jié)信息化發(fā)展的歷史經(jīng)驗和教訓(xùn)，研究信息化發(fā)展的趨勢規(guī)律，探索符合中國國情的信息化模式。二是研究信息領(lǐng)域的重大技術(shù)問題。如集成電路設(shè)計與制造、新一代移動通信、下一代互聯(lián)網(wǎng)、數(shù)字電

3、視、信息安全等技術(shù)，實現(xiàn)關(guān)鍵領(lǐng)域的突破。三是研究推廣應(yīng)用信息技術(shù)的政策措施。四是研究有利于推進(jìn)信息化的體制機(jī)制,信息系統(tǒng)潛在威脅,被動攻擊：一般在信息系統(tǒng)的外部進(jìn)行，對信息網(wǎng)絡(luò)本身一般不造成損壞，系統(tǒng)仍可正常運(yùn)行，但有用的信息可能被盜竊并被用于非法目的。 信息竊?。汗粽邚膫鬏斝诺?、存儲介質(zhì)等處竊取信息。 密碼破譯：對截獲的已加密信息進(jìn)行密碼破譯，從中獲取有價值的信息。 信息流量分析：對網(wǎng)絡(luò)中的信息流量和信息流向進(jìn)行分析，得出有價值的情報,信息系統(tǒng)潛在威脅,主動攻擊：直接進(jìn)入信息系統(tǒng)內(nèi)部，往往會影響系統(tǒng)的運(yùn)行，造成巨大的損失，并給信息網(wǎng)絡(luò)帶來災(zāi)難性的后果。 入侵：利用系統(tǒng)或網(wǎng)絡(luò)漏洞，遠(yuǎn)程訪問、

4、盜取口令，借系統(tǒng)管理之名等方法進(jìn)入系統(tǒng)，進(jìn)行攻擊。 假冒：假冒合法用戶身份、執(zhí)行與合法用戶同樣的操作，行欺騙和攻擊之實。 竄改、插入、重放、阻塞、施放病毒：進(jìn)入被攻擊系統(tǒng)后的攻擊手段。 抵賴：對發(fā)送或接收行為進(jìn)行抵賴,信息系統(tǒng)潛在威脅,黑客攻擊手法,信息系統(tǒng)潛在威脅,安全需求和基本技術(shù),安全五性需求,真實性 機(jī)密性 完整性 不可抵賴性 可用性,安全基本技術(shù) 身份認(rèn)證 加密保護(hù) 數(shù)據(jù)完整性 數(shù)字簽名 訪問控制 安全管理,信息安全保障體系,經(jīng)歷了三代： 通信保密（COMSEC）時代： 19世紀(jì)70年代前，重點(diǎn)是通過密碼技術(shù)解決通信保密問題，主要安全威脅是搭線竊聽和密碼分析，采用的保障措施就是加密，

5、確保保密性和完整性。 其時代標(biāo)志是1949年Shannon發(fā)表的保密通信的信息理論和1977年美國國家標(biāo)準(zhǔn)局公布的數(shù)據(jù)加密標(biāo)準(zhǔn)（DES,信息安全保障體系,信息安全（INFOSEC）時代：20世紀(jì)7090年代，重點(diǎn)是確保計算機(jī)和網(wǎng)絡(luò)的硬件、軟件和傳輸、存儲和處理的信息的安全。主要安全威脅是非法訪問、惡意代碼、網(wǎng)絡(luò)入侵、病毒破壞等。主要保障措施是安全操作系統(tǒng)(TCB)、防火墻、防病毒軟件、漏洞掃描、入侵檢測、PKI、VPN和安全管理等。 其時代標(biāo)志是1985美國國防部公布的可信計算機(jī)系統(tǒng)評價準(zhǔn)則（TCSEC）和ISO的安全評估準(zhǔn)則CC（ISO 15408,信息安全保障體系,信息安全保障（IA）時代

6、：90年代后期至今，不僅是對信息的保護(hù)，也包括信息系統(tǒng)的保護(hù)和防御，包括了對信息的保護(hù)、檢測、反應(yīng)和恢復(fù)能力。信息保障強(qiáng)調(diào)信息系統(tǒng)整個生命周期的防御和恢復(fù)，同時安全問題的出現(xiàn)和解決方案也超越了純技術(shù)范疇。 典型標(biāo)志是美國國家安全局制定的信息保障技術(shù)框架(IATF,信息安全保障體系,信息保障(Information Assurance)概念最早由美國防部在1995年S-3600.1信息作戰(zhàn)指令中提出：“通過確保信息和信息系統(tǒng)的可用性、完整性、鑒別性、保密性和不可抵賴性來保護(hù)信息和信息系統(tǒng)的信息作戰(zhàn)行動，包括綜合利用保護(hù)、探測和響應(yīng)能力恢復(fù)系統(tǒng)的功能”。 信息保障概念很快被政府各部門和工業(yè)界廣泛接

7、受，1998年5月22日，美國政府頒發(fā)了保護(hù)美國關(guān)鍵基礎(chǔ)設(shè)施總統(tǒng)令（PDD-63）。圍繞“信息保障”成立了多個組織，其中包括全國信息保障委員會、全國信息保障同盟、關(guān)鍵基礎(chǔ)設(shè)施保障辦公室、首席信息官委員會、聯(lián)邦計算機(jī)事件響應(yīng)能動組等10多個全國性機(jī)構(gòu),信息安全保障體系,美國國家安全局（NSA）在1998年發(fā)布了信息保障技術(shù)框架（IATF），2002年9月發(fā)布了3.1版,多層防護(hù)案例,信息安全保障體系,骨干網(wǎng),骨干網(wǎng),幀中繼 電路,SDH信道,IP局域網(wǎng),IP局域網(wǎng),IP局域網(wǎng),骨干節(jié)點(diǎn),ATM接入 交換機(jī),ATM 交換機(jī)節(jié)點(diǎn),路由器,無ATM 交換機(jī)節(jié)點(diǎn),路由器,路由器,PSTN/ISDN,撥號

8、 服務(wù)器,ATM接入 交換機(jī),廣域網(wǎng),信息安全保障體系,信息保障不只是依靠安全防護(hù)措施對信息和信息系統(tǒng)進(jìn)行靜態(tài)的安全防護(hù)，而是基于整個信息保障體系，最終實現(xiàn)對于信息和信息系統(tǒng)持續(xù)的動態(tài)的安全性保證。這個保障體系包括由防護(hù)、檢測、響應(yīng)、恢復(fù)（PDRR）等四個環(huán)節(jié)組成的信息保障體系,信息安全保障體系,PDRR： 防護(hù)（P）：采用相關(guān)安全策略、機(jī)制、管理、服務(wù)和安全產(chǎn)品，實現(xiàn)系統(tǒng)的安全防護(hù)。 檢測（D）：使用實時監(jiān)控、入侵檢測、漏洞掃描等技術(shù)，對系統(tǒng)進(jìn)行安全檢測。 響應(yīng)（R）：對安全事件作出快速反應(yīng)，盡量減少和控制對系統(tǒng)影響的程度。 恢復(fù)（R）：對遭受破壞的系統(tǒng)數(shù)據(jù)和系統(tǒng)服務(wù)進(jìn)行恢復(fù)和重建,信息安全

9、保障體系,信息安全保障體系是以往著名安全體系的發(fā)展： 信息系統(tǒng)安全工程（ISSE）：信息保護(hù)系統(tǒng)的需求分析、定義、設(shè)計、實施和評估。 信息系統(tǒng)生命周期：系統(tǒng)的啟動、建設(shè)、安裝、評估、運(yùn)維、廢棄六個階段。 風(fēng)險管理：調(diào)整和權(quán)衡影響安全保障的每一個因素的目標(biāo)，從而獲得適當(dāng)?shù)目傮w信息安全保障。 公共準(zhǔn)則（CC）：系統(tǒng)的安全功能要求（11類，保護(hù)輪廓PP），和滿足該要求的安全保證要求（7個等級，安全目標(biāo)ST,信息安全保障體系,2003年中共中央辦公廳和國務(wù)院辦公廳轉(zhuǎn)發(fā)國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見的通知（中辦發(fā)200327號），第一次把信息安全提到了促進(jìn)經(jīng)濟(jì)發(fā)展、維護(hù)社會穩(wěn)定、保障國

10、家安全、加強(qiáng)精神文明建設(shè)的高度，并提出了“積極防御、綜合防范”的信息安全管理方針。 2003年7月成立了國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT/ CC），協(xié)調(diào)全國的CERT組織對全國范圍內(nèi)計算機(jī)應(yīng)急處理有關(guān)的數(shù)據(jù)進(jìn)行統(tǒng)計，協(xié)同處理大規(guī)模網(wǎng)絡(luò)安全事件，為國家重要部門提供應(yīng)急處理服務(wù),信息安全保障體系,2005年9月，國務(wù)院信息化工作辦公室引發(fā)電子政務(wù)信息安全等級保護(hù)實施指南（試行），將我國信息安全分五級防護(hù)：自主保護(hù)級、指導(dǎo)保護(hù)級、監(jiān)督保護(hù)級、強(qiáng)制保護(hù)級、?？乇Ｗo(hù)級。 最近，中共中央辦公廳、國務(wù)院辦公廳印發(fā)了2006-2020年國家信息化發(fā)展戰(zhàn)略，將建設(shè)國家信息安全保障體系列入我國信息

11、化發(fā)展的戰(zhàn)略重點(diǎn),信息安全保障體系,國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心統(tǒng)計，今年上半年監(jiān)測到大陸地區(qū)1,000,372個IP地址的主機(jī)被植入木馬，比去年全年的44,717個IP地址增加了20多倍。 據(jù)有關(guān)方面統(tǒng)計，美國每年由于網(wǎng)絡(luò)安全問題而遭受的經(jīng)濟(jì)損失超過170億美元，德國、英國也均在數(shù)十億美元，法國為100億法郎，日本、新加坡問題也很嚴(yán)重。 據(jù)國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心估計，我國網(wǎng)絡(luò)犯罪形成的黑色產(chǎn)業(yè)鏈的年產(chǎn)值已超過2.38億元，造成的經(jīng)濟(jì)損失超過了76億元,信息安全保障體系,國防上的各類軍事電子信息裝備與系統(tǒng)，各類武器平臺電子信息裝備，以及各種軍用軟件、電子基礎(chǔ)產(chǎn)品、國防電子信息

12、基礎(chǔ)設(shè)施的建設(shè)等都需要信息安全保障。 國家的各種重大電子信息系統(tǒng)工程的建設(shè)、黨政網(wǎng)絡(luò)建設(shè)、政務(wù)系統(tǒng)建設(shè)等，還有商用、民用的電子信息軟件、組件、整機(jī)和系統(tǒng)等也都需要信息安全的保障。 只要有信息系統(tǒng)的存在，就一定有信息安全的需要，信息安全已經(jīng)成為信息系統(tǒng)的一個必要的組成部分了,信息安全保障體系,信息安全系統(tǒng)組成,國家保密局在2001年發(fā)布的“涉及國家秘密的計算機(jī)信息系統(tǒng)安全保密方案設(shè)計指南”，BMJ2-2001,信息安全保障體系,2005年，中國網(wǎng)絡(luò)安全產(chǎn)品市場的總銷售額達(dá)44.61億元，比2004年增長了9.69億元。 國家信息化安全市場分為五個安全領(lǐng)域：國家基礎(chǔ)設(shè)施信息化、電子政務(wù)、電子商務(wù)、

13、產(chǎn)業(yè)信息化和城市信息化（包括人民生活信息化）。 國家信息基礎(chǔ)設(shè)施包括國防、金融、電力、工業(yè)、商業(yè)、政府等范疇內(nèi)信息基礎(chǔ)設(shè)施，其安全建設(shè)存在著巨大建設(shè)空白，需要在國家信息化領(lǐng)導(dǎo)小組統(tǒng)一領(lǐng)導(dǎo)和各相關(guān)部門的配合下，建立國家基礎(chǔ)設(shè)施信息安全的專門防護(hù)、監(jiān)管、應(yīng)急與威懾力量，建設(shè)提供國家基礎(chǔ)設(shè)施安全裝備與技術(shù)的產(chǎn)業(yè)骨干企業(yè)體系,信息安全發(fā)展,寬帶無線移動通信安全：如何保證4G融合的系統(tǒng),信息安全發(fā)展,網(wǎng)絡(luò)中心企業(yè)服務(wù)的安全 NCES是美軍國防轉(zhuǎn)型的一個重點(diǎn)，是為滿足網(wǎng)絡(luò)中心戰(zhàn)的需要，從公共運(yùn)作環(huán)境（COE）演變而來的一種新型分布式的服務(wù)架構(gòu)。 以服務(wù)的可視、可訪問、可理解、可信、可互操作和可響應(yīng)為目標(biāo),

14、信息安全發(fā)展,網(wǎng)絡(luò)中心企業(yè)服務(wù)的安全：IA是9個核心企業(yè)服務(wù)之一，并嵌入到所有其它服務(wù)中,多區(qū)域協(xié)作和全局聯(lián)動安全：防火墻與入侵檢測聯(lián)動,信息安全發(fā)展,多區(qū)域協(xié)作和全局聯(lián)動安全：入侵檢測與主機(jī)監(jiān)控間聯(lián)動,信息安全發(fā)展,結(jié)語,信息安全系統(tǒng)是國家重要的信息基礎(chǔ)設(shè)施，關(guān)系著我信息主權(quán)乃至國家主權(quán)的維護(hù)，最終將關(guān)系到軍隊和國家的存亡，因此是國防和國家安全的重要組成部分。 信息安全保障是保護(hù)信息系統(tǒng)，保護(hù)信息化進(jìn)程，保護(hù)國家和社會安定所必須的,結(jié)語,從技術(shù)上說，信息保障對信息和信息系統(tǒng)的安全的要求是從根基做起，動態(tài)、全時空和全過程地做好主動防御、綜合防范，向廣度延伸，向縱深發(fā)展,結(jié)語,在技術(shù)保障體系下： 要建立國家信息安全保障基礎(chǔ)設(shè)施。 要加快信息安全立法，建立信息安全法制