信息安全保障體系與總體框架教學(xué)案例

主講內(nèi)容信息安全防護(hù)技術(shù)與應(yīng)用分析信息安全等級(jí)保護(hù)策略信息安全保障體系與總體框架信息安全保障體系與

總體框架主講內(nèi)容信息安全保證技術(shù)框架信息安全保障體系模型人民銀行信息安全總體技術(shù)架構(gòu)信息與網(wǎng)絡(luò)安全的重要性及嚴(yán)峻性1、信息與網(wǎng)絡(luò)安全的重要性及嚴(yán)峻性（Cont.）我國信息化建設(shè)需要的大量基礎(chǔ)設(shè)備依靠國外引進(jìn)，無法保證我們的安全利用和有效監(jiān)控。因此，解決我國的信息安全問題不能依靠外國，只能走獨(dú)立自主的發(fā)展道路。目前我國信息與網(wǎng)絡(luò)安全的防護(hù)能力處于發(fā)展的初級(jí)階段，許多應(yīng)用系統(tǒng)處于不設(shè)防狀態(tài)。要用我國自己的安全設(shè)備加強(qiáng)信息與網(wǎng)絡(luò)的安全性，需要大力發(fā)展基于自主技術(shù)的信息安全產(chǎn)業(yè)，而自主技術(shù)的發(fā)展又必須從信息與網(wǎng)絡(luò)安全的基礎(chǔ)研究著手，全面提高創(chuàng)新能力。當(dāng)前我國的信息與網(wǎng)絡(luò)安全研究處于忙于封堵現(xiàn)有信息系統(tǒng)的安全漏洞，以致宏觀安全體系研究上的投入嚴(yán)重不足，這樣做是不能從根本上解決問題的，急需從安全體系結(jié)構(gòu)整體的高度開展強(qiáng)有力的研究工作，從而能夠?yàn)榻鉀Q我國的信息與網(wǎng)絡(luò)安全提供一個(gè)整體的理論指導(dǎo)和基礎(chǔ)構(gòu)件的支撐，并為信息與網(wǎng)絡(luò)安全的工程奠定堅(jiān)實(shí)的基礎(chǔ)，推動(dòng)我國信息安全產(chǎn)業(yè)的發(fā)展。主講內(nèi)容信息安全保證技術(shù)框架信息安全保障體系模型人民銀行信息安全總體技術(shù)架構(gòu)信息與網(wǎng)絡(luò)安全的重要性及嚴(yán)峻性2、信息安全保證技術(shù)框架(IATF)信息安全保證技術(shù)框架（InformationAssuranceTechnicalFramework：IATF）將計(jì)算機(jī)信息系統(tǒng)分4個(gè)部分：本地計(jì)算環(huán)境區(qū)域邊界網(wǎng)絡(luò)和基礎(chǔ)設(shè)施支撐基礎(chǔ)設(shè)施2.1信息安全保證技術(shù)框架(IATF)信息安全保證技術(shù)框架將計(jì)算機(jī)信息系統(tǒng)分4個(gè)部分：本地計(jì)算環(huán)境服務(wù)器客戶端及其上面的應(yīng)用（如打印服務(wù)、目錄服務(wù)等）操作系統(tǒng)數(shù)據(jù)庫基于主機(jī)的監(jiān)控組件（病毒檢測(cè)、入侵檢測(cè)）

2、信息安全保證技術(shù)框架(IATF)信息安全保證技術(shù)框架（InformationAssuranceTechnicalFramework：IATF）將計(jì)算機(jī)信息系統(tǒng)分4個(gè)部分：本地計(jì)算環(huán)境區(qū)域邊界網(wǎng)絡(luò)和基礎(chǔ)設(shè)施支撐基礎(chǔ)設(shè)施2.2信息安全保證技術(shù)框架(IATF)區(qū)域邊界區(qū)域是指在單一安全策略管理下、通過網(wǎng)絡(luò)連接起來的計(jì)算設(shè)備的集合區(qū)域邊界是區(qū)域與外部網(wǎng)絡(luò)發(fā)生信息交換的部分區(qū)域邊界確保進(jìn)入的信息不會(huì)影響區(qū)域內(nèi)資源的安全，而離開的信息是經(jīng)過合法授權(quán)的網(wǎng)絡(luò)和基礎(chǔ)設(shè)施支撐基礎(chǔ)設(shè)施2、信息安全保證技術(shù)框架(IATF)信息安全保證技術(shù)框架（InformationAssuranceTechnicalFramework：IATF）將計(jì)算機(jī)信息系統(tǒng)分4個(gè)部分：本地計(jì)算環(huán)境區(qū)域邊界網(wǎng)絡(luò)和基礎(chǔ)設(shè)施支撐基礎(chǔ)設(shè)施2.3信息安全保證技術(shù)框架(IATF)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施在區(qū)域之間提供連接,包括局域網(wǎng)（LAN）校園網(wǎng)（CAN）城域網(wǎng)（MAN）廣域網(wǎng)等其中包括在網(wǎng)絡(luò)節(jié)點(diǎn)間（如路由器和交換機(jī)）傳遞信息的傳輸部件（如：衛(wèi)星，微波，光纖等），以及其他重要的網(wǎng)絡(luò)基礎(chǔ)設(shè)施組件如網(wǎng)絡(luò)管理組件、域名服務(wù)器及目錄服務(wù)組件等

2、信息安全保證技術(shù)框架(IATF)信息安全保證技術(shù)框架（InformationAssuranceTechnicalFramework：IATF）將計(jì)算機(jī)信息系統(tǒng)分4個(gè)部分：本地計(jì)算環(huán)境區(qū)域邊界網(wǎng)絡(luò)和基礎(chǔ)設(shè)施支撐基礎(chǔ)設(shè)施2.4信息安全保證技術(shù)框架(IATF)對(duì)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的安全要求主要是鑒別訪問控制機(jī)密性完整性抗抵賴性可用性2.4信息安全保證技術(shù)框架(IATF)支撐基礎(chǔ)設(shè)施提供了一個(gè)IA機(jī)制在網(wǎng)絡(luò)、區(qū)域及計(jì)算環(huán)境內(nèi)進(jìn)行安全管理、提供安全服務(wù)所使用的基礎(chǔ)主要為以下內(nèi)容提供安全服務(wù)：終端用戶工作站web服務(wù)應(yīng)用文件DNS服務(wù)目錄服務(wù)等信息安全相關(guān)機(jī)構(gòu)主管部門公安部國家保密局國家密碼管理局安全部中國工業(yè)和信息化部安全協(xié)調(diào)司第三方測(cè)評(píng)認(rèn)證機(jī)構(gòu)公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量檢驗(yàn)中心國家保密局涉密信息系統(tǒng)安全保密測(cè)評(píng)中心國家密碼管理局商用密碼檢測(cè)中心中國信息安全測(cè)評(píng)中心解放軍測(cè)評(píng)中心中國信息安全認(rèn)證中心行業(yè)協(xié)會(huì)中國信息產(chǎn)業(yè)商會(huì)信息安全產(chǎn)業(yè)分會(huì)–依托單位：中國信息安全測(cè)評(píng)中心中國信息協(xié)會(huì)信息安全專業(yè)委員會(huì)秘書處設(shè)在國家信息中心信息安全研究與服務(wù)中心。中國互聯(lián)網(wǎng)協(xié)會(huì)網(wǎng)絡(luò)與信息安全工作委員會(huì)秘書處設(shè)在國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心信息安全相關(guān)機(jī)構(gòu)（Cont.）國家及行業(yè)重要性的政策性及技術(shù)性文件中辦[2003]27號(hào)文件：國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見；公信安[2007]861號(hào)文件:關(guān)于開展全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知；國保[2005]16號(hào)文件：關(guān)于印發(fā)《涉及國家秘密的信息系統(tǒng)等級(jí)保護(hù)管理辦法》；頒布《涉及國家秘密的信息系統(tǒng)等級(jí)保護(hù)技術(shù)要求》國家保密標(biāo)準(zhǔn)的通知；公通字[2004]66號(hào)文件：《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》；2005年9月國信辦：《電子政務(wù)等級(jí)保護(hù)實(shí)施指南》；公通字[2006]7號(hào)文件：《信息安全等級(jí)保護(hù)管理辦法》試行；《信息安全風(fēng)險(xiǎn)評(píng)估指南》：2006年元月；《信息安全等級(jí)保護(hù)信息系統(tǒng)運(yùn)行安全管理要求》。主講內(nèi)容信息安全保證技術(shù)框架信息安全保障體系模型人民銀行信息安全總體技術(shù)架構(gòu)信息與網(wǎng)絡(luò)安全的重要性及嚴(yán)峻性M_1:整體定位模型和方法M_2:信息體系架構(gòu)M_3:信息安全屬性概念M_4:管理模型和方法M_5:技術(shù)功能模型和方法M_6:評(píng)價(jià)和決策模型和方法M_7:工程模型和方法思考信息安全問題的7大模型思考信息安全問題的7大模型M_1:整體定位模型和方法闡述信息安全的整體定位和結(jié)構(gòu)，綜合構(gòu)架和執(zhí)行的方法M_2:信息體系架構(gòu)表述我們要保護(hù)的對(duì)象及其結(jié)構(gòu)M_3:信息安全屬性概念闡述信息安全要達(dá)到的目標(biāo)M_4:管理模型和方法闡述信息安全管理M_5:技術(shù)功能模型和方法闡述信息安全的功能及其關(guān)系，如：PDR等M_6:評(píng)價(jià)和決策模型和方法闡述信息安全的評(píng)價(jià)和決策方法，如：風(fēng)險(xiǎn)評(píng)估等M_7:工程模型和方法體現(xiàn)了信息安全的基于過程的工程方法，比如PDCA等M_3:信息安全屬性經(jīng)典的安全目標(biāo)（屬性）-CIAConfidentiality保密性Integrity完整性Availability可用性安全目標(biāo)：安全屬性和安全管理屬性7個(gè)信息安全屬性保密性Confidentiality完整性Integrity可用性Availability真實(shí)性Authenticity不可否認(rèn)性Non-Reputation可追究性Accountability可控性Controllability7個(gè)信息安全管理屬性目標(biāo)性Focus執(zhí)行性Execution效益性Cost-effective時(shí)效性Time-bound適應(yīng)性Adaptive全局性Coherence合規(guī)性Compliance參考：人民銀行的描述重大應(yīng)用系統(tǒng)業(yè)務(wù)工作的連續(xù)可用性業(yè)務(wù)工作責(zé)任的不可否認(rèn)性業(yè)務(wù)數(shù)據(jù)和信息的真實(shí)完整性涉及國際秘密和行業(yè)敏感信息的保密性什么人、可以訪問什么資源、有什么權(quán)限、以及控制授權(quán)范圍內(nèi)的信息流向及行為方式等的可控性人行信息安全保障體系框架中國人民銀行科技司于2002年9月至12月組織了《中國人民銀行信息安全保障體系框架》的研究編寫。人行框架的主要內(nèi)容3個(gè)戰(zhàn)略階段規(guī)范加強(qiáng)、集中整合、綜合保障6項(xiàng)任務(wù)保邊、護(hù)線、強(qiáng)內(nèi)、應(yīng)急、規(guī)范、嚴(yán)管5個(gè)能力預(yù)警、保護(hù)、檢測(cè)與評(píng)估、應(yīng)急響應(yīng)、災(zāi)難恢復(fù)基本策略適度集中、控制風(fēng)險(xiǎn)突出重點(diǎn)、分級(jí)保護(hù)統(tǒng)籌規(guī)劃、分步實(shí)施人民銀行信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)人民銀行信息系統(tǒng)網(wǎng)絡(luò)規(guī)劃為涉密網(wǎng)、業(yè)務(wù)網(wǎng)和互聯(lián)網(wǎng)三大類，即總體安全框架“三縱三橫兩平臺(tái)一端”中“三縱”所指的內(nèi)容。如圖所示：本《框架》所稱涉密網(wǎng)，是指連接總行、分行和省會(huì)／首府中心支行，專門用于國家秘密信息和人民銀行內(nèi)部涉密公文的傳輸，嚴(yán)格按照國家有關(guān)部門要求運(yùn)行管理的網(wǎng)絡(luò)系統(tǒng)及其承載業(yè)務(wù)，該網(wǎng)與業(yè)務(wù)網(wǎng)和互聯(lián)網(wǎng)物理隔離。本《框架》所稱互聯(lián)網(wǎng)，是指人民銀行面向社會(huì)或?yàn)閮?nèi)部工作人員提供相關(guān)服務(wù)的網(wǎng)絡(luò)（如WEB服務(wù)，E-MAIL服務(wù)等），該網(wǎng)目前與人民銀