曲成义:电子政务安全保障体系的探索
国家信息安全保障体系框架探索
T7
SML1 EAL2 SML2 EAL3 SML2 EAL4 SML3 EAL6 SML3 EAL7
强 建 性 程 度(IATF)
18
4、安全技术产品与系统互操作性策略
– 体系结构 – 安全协议 – 产品标准 – 安全策略与协定 – 安全基础设施
19
信息安全基础设施
20
1、大力推动国家信息安全基础的建设
T4
SML1 EAL2 SML2 EAL2 SML2 EAL3 SML3 EAL4 SML3 EAL5
T5
SML1 EAL2 SML2 EAL2 SML2 EAL3 SML3 EAL5 SML3 EAL6
T6
SML1 EAL2 SML2 EAL3 SML2 EAL4 SML3 EAL5 SML3 EAL6
风险分析
比较和对比 可用攻击
研究敌方 行为理论
开创任务 影响理论
比较和对比 各种行为
行动决策
脆弱性与攻 击的识别与 特征描述
威胁的识别 与特征描述
任务影响的 识别与描述
基础研究与事件分离
风险决策流程
16
保障技术
产生
保障
评估
给ห้องสมุดไป่ตู้证据
拥有者
需要
确信
对策
减少
风险
到
资产
系统有效评估流程
17
信息 价值 V1
24
信息安全产业支撑
25
➢ 推动安全产业发展,支撑安全保障体系建设 ➢ 掌握安全产品的自主权、自控权 ➢ 建设信息安全产品基地 ➢ 形成信息安全产品配套的产业链 ➢ 造就出世界品牌的安全骨干企业 ➢ 安全产品制造业、集成业、服务业全面发展 ➢ 尽快配套信息安全产业管理政策(准入、测评、资质、扶植、、) ➢ 重视TBT条款运用,保护密码为代表的国内安全产品市场
曲成义在中国信息安全大会上致辞
曲成义在中国信息安全大会上致辞各位嘉宾下午好,根据大会的安排,给我的发言题目是《抓住应用需求,促进信息安全产业发展》。
下面我就这个课题给大家汇报一下。
大家知道在03年国信办曾经发布了一个27号文件,就是《关于加强信息安全保障工作的意见》。
在这个文件里面特别强调一定要发动各界的积极性,来共同构筑国家信息安全保障体系。
最近我国通过了2020年的信息化发展战略,里面又再一次提到要构建国家的信息安全保障体系,为我国信息化的发展护航。
那么构建一个国家的信息安全体系有很多的要点,27号文件里面就特别提出来要推进信息安全技术的研发与产业的发展,能够提供自主创新、强化可控的安全产品,为国家的信息化发展提供安全保障。
从网络信息安全技术的机制发展阶段,大家都知道可能是70年代、80年代开始经历过四个阶段。
早期大家都面向互联网的信息交换,就是英特网的互联防护。
那么从80年代网络进入企业和政府,那么就围绕内联网进行防护。
那么企业的部门之间,政府的部门之间要进行信息的互动,所以就要有外联网。
到今天外联网已经成为了一个体系,在这个体系上已经有了很多的应用。
那么现在的信息安全如何围绕着这个的应用对象,这个今天我们今天讨论的主题。
我国的信息安全技术的自主研发与创新经过了这么多年来,特别是2000年、2001年我国建立了由总理当组长的信息化小组以来,国家的信息化发展还是很快的。
国家的发改委、信息产业部、科技部正在从国家层面上大力的推动我国的信息安全自主知识产权的技术与产品的研发和创新。
这些方面有很多类,在信息安全技术为了满足应用需求和产品上,比如说像基础类,这里就提到了关于风险评估,国家去年就开展了七个省市和部委的风险评估试点。
那么风险评估就需要大量的技术平台来支撑,所以科技部的十一五规划中,把安全风险评估列为了六大重点项目之一。
这些关键性技术国家在不同的领域,比如说发改委的企业创新基金产品上,863里面就支持自主创新的技术研发。
“防患于未然”是保障信息系统安全的关键——曲成义谈开展风险评估工作的必要性
维普资讯
信 息 网 络 安 全
l 访谈 昌 j
{o、 - , ,
-
2 0 年 5月 ,中共 中 央 办 公 厅 、国 务 院 办 公 厅 印 发 06
《 0 6 2 2 年 国 家信 启、 发展 战略 》 其 中第八 个 战略重 20— 00 化 , 点 就是 “ 设 国家 信息安 全保 障 体系 ” 建 ,其 中包括 :发展坚 持 积极 防御 、 合 防范 , 索和 把握 信息 化 与信 息安全 的 内 综 探 在 规律 , 动应 对 信息 安全 挑战 , 主 实现信 息化 与 信息安 全 协 调 发展 ;坚持 立足 国情 , 综合 平衡 安 全成本 和风 险 , 保 重 确 点, 优化 信息 安全 资源 配置; 立 和完 善信 息安全 等 级保 护 建
S NMP、 TP F 、Wid w、U i 等等 网络的 关键点 最初都 是 Do nx 不设 防的 ,由此 引发黑 客猖獗 、 毒泛 越 、 病 信息 间 成 为关 注的 重点 。 国家 信息 化办 公 室
安 全组 织的 专家从 “ 十 六大 ” 开始 . 每年都 对国 家 重要 信息 系统进 行应 急预 案 检查 。在检 查过
信 息被盗 ;9t事 件造成 世贸 中心 10 家企业 信 1 20 然 无存 , 其中 有DRP B 的 40 企业能够 恢复 I CP 0 家
剩 下的 8 0家全部破 产 。 0 这 些事 件 反映 了信 息安 全和 网络 安全 突发 事件 正在 愈演 愈烈 .与
这些 问胚归类 为6 种:无 主管的 自由王 国 . 主要体现 在有 害 信 非法联络 、 违规行 为;不设 防的 网络空 间, P I 、 TC / P
影
约束脆 弱 , 主要体现 在对 黑客犯 罪、 识侵权 、 知 避税 等非 法
我国电子政务安全保障体系浅析
一、引言电子政务系统是指运用现代计算机和网络技术,将其管理和服务职能转移到网络上完成,同时实现政府组织结构和工作流程的重组和优化,包括内部核心政务电子化、信息公布与发布电子化、信息传递与交换电子化、公众服务电子化等,超越时间、空间和部门分隔的制约,向全社会提供高效优质、规范透明和全方位的管理与服务,进行国家有关部门的行政与服务活动的网络信息系统。
随着我国信息化建设的全国推进和深入,病毒、黑客侵袭网络系统日益猖獗,电子政务的信息安全已是一个值得高度关注的问题。
二、我国电子政务现状2.1我国电子政务的基础薄弱我国电子政务基础比较薄弱,信息基础设施落后,计算机普及率低,应用基础差,总体信息化水平低,目前还在进行西方国家早在20世纪70年代就已经完成的办公自动化建设。
信息资源电子化程度不高,不同地区、不同部门的发展也很不平衡。
我国信息基础设施与美国、加拿大等发达国家相比还有比较大的差距。
2.2我国电子政务的现状在经历了起步阶段后,我国电子政务信息化建设已经在办公自动化、网络等方面取得了较大的成就。
虽然我国电子化、网络化的发展很稳定,但是与国外一些国家相比还有一定差距。
据时代财富科技公司发布的《中国电子政务研究报告》表明,中国目前的电子政务率仅为22.6%。
该指标体系包括政府机关的基本信息、政府网站的信息内容和用户服务项目、网上政务的重要功能以及电子政务的推广应用4个方面共计30项评价指标。
在被调查的196个政府网站中,可以正常浏览的为172个,有效浏览率为87.8%。
在可以正常浏览的网站中,只有7.6%的政府网站具有1项或者1项以上的政府表格下载功能,可以实现网上提交申请的网站只有6.4%,而可以在一定范围内查看处理的政府网站只有23%。
尽管具有网上投诉、网上举报功能的政府网站为18.6%,但对于网上投诉具有反馈或者回复查询功能的政府网站只有2.2%。
从以上的数据可以看出,目前我国电子政务还处在由第一阶段逐步向第二阶段迈进的过程,还没有真正地进入到电子政务发展阶段。
浅谈电子政务中的信息系统安全研究及解决方案
博论社区Digital Space P .87成本投入。
全面的实施政府部门的电子政务平台,就要求电子政务系统具有超大的存储器来实现政府信息公开、政务信息资源开发利用与应用等功能,可以动态伸缩的基于云计算的电子政务公共平台可以很好地满足用户和应用的大量需求。
移动办公随着移动终端的普及和大容量移动通信技术的发展逐渐发展起来,这将会是未来电子政府服务的发展趋势。
在未来的电子政务应用平台将会越来越多的体现在移动设备和移动办公系统之中,所以就需要电子政务平台处理更多的数据,也就对云计算计算对于海量数据的处理有着更多的帮助来缩短响应的时间。
在电子政府平台运行过程中,需要对政府提供和采集的信息和数据有一个更高的安全保障,所以说防止信息的丢失和外泄、非法入侵访问等问题是至关重要的。
基于云计算的电子政务公共平台具有安全保障措施可以确保电子政务平台的安全。
4 基于云计算的电子政务公共平台存在哪些方面的安全问题在电子政务系统中的信息都是政府采集或者提供的隐私信息,所以对于电子政务系统的安全数据保障有着积极地影响,由于云计算运营商对于电子政务系统的数据是完全掌握的这也会存在信息安全的问题,所以说采取相关的措施来保障信息安全是至关重要的。
国家应该重视电子政务系统存在的信息安全问题,进行统一和规范国家标准,并制定和颁布相关的数据保护安全的政策法规,政府部门对于相关的计算机服务法规的建立健全也是非常重要的,通过这些方面的措施就可以很好地保障政府电子政务平台的数据信息安全。
5总结基于云计算的电子政务公共平台建设是集约化的整体化模式,对于实现资源共享和加强管理等方面有着积极地作用。
在电子政务系统中的信息都是政府采集或者提供的隐私信息,所以对于电子政务系统的安全数据保障有着积极地影响。
各政府和有关部门应该统一规划电子政务云平台的建设,积极地借鉴国外的电子政府云计算服务模式是非常重要的,对于提高政府的服务水平和管理水平有着积极地作用。
曲成义谈“信息安全”
曲成义谈“信息安全”国家信息化专家咨询委员会曲成义一、要重视“信息安全”的四大特征和难点1、被“信息安全”保护的对象(网络信息系统)是一个“复杂巨系统”,它包括了大量的软件和硬件的IT产品;一个跨部门和跨地域的网络通信系统;一套组织管理和标准规范的机制;一个机房、电力和安保的物理环境;一批运维、管理和应用的人群;大量珍贵和敏感的信息资源。
这些都与部门业务紧密耦合,运作协调机制复杂。
要保护这个“复杂巨系统”的安全,使其保证部门业务的可持续性,就带来了巨大的艰巨性。
2、社会正在对“网络信息系统”形成强烈的依赖,信息安全使命艰巨。
随着信息化的快速发展,信息化已快速融入到政治、经济、文化、军事、社会的各个领域,如电子政务、电子商务、数字企业、数字社区、远程教育、网络银行等,使整个社会对网络信息系统形成了强烈的依赖,如果由于信息安全原因,使系统瘫痪不能提供服务,给社会造成的影响将是严重的,一些重要领域想恢复原手工操作模式已成为不可能,这种严重后果必须要有清醒的认识。
3、信息安全是一种高技术的对抗。
信息安全的威胁方(黑客、病毒、间谍软件……)正在利用高技术手段,对网络信息系统实施侵入、干扰、窃取和破坏,而其使用的的高技术手段不断花样翻新和日新月异,如“病毒”利用系统的漏洞侵入和泛滥,十年前从寻找漏洞到病毒入侵系统和泛滥,需要几个月或一年的时间,而现在可能只需要一天,即称为“零日攻击”。
“间谍软件”潜入系统窃密途径,DDOS 拒决服务攻击方式等都在快速的利用高技术手段,因此防护者也必需要采用高技术手段,要高于它才能奏效,对于这场高技术对抗的艰巨性必须要有充份的认识。
4、信息安全的攻守双方严重的不对称,易攻难守。
网络信息系统是在为全社会各领域提供信息及其服务,其大部分资源和服务是暴露在明处,而攻击者是在暗处,它较易捕捉你的弱点,伺机侵入、潜伏、窃取和破坏,使信息安全保护者处于被动地位。
二、认真落实信息安全的重要使命信息安全要创建“四种能力”:1、构建完善的信息安全基础设施,为信息安全提供公共的支撑能力。
内网信息安全面临的挑战及对策
72008.05参会嘉宾在认真听取主题发言当前国家网络威胁的新动向值得高度重视,特别是零日攻击病毒出现,网络的仿冒/劫持等安全事件层出不穷,僵尸网络成为DD O S 攻击和垃圾邮件的源头,谍件泛滥成为窃密的重要元凶,内部违规和内外勾结成为泄密的主要威胁,在这种大背景下,电子政务内网面临严峻的挑战。
安全威胁的存在国家电子政务内网的安全一直受到党和国家的高度重视。
针对内网的安全、威胁主要有以下一些:1.内控的脆弱使得突破内网的物理隔离成为可能,一般通过三种行为和渠道来达到这一目的,一是介质的交叉使用;二是端机的交叉链接;这个端机指的不单是PC ,包括录音机、手机、数码摄像等各种各样的端机,三是信道的内外交叉链接。
这三种渠道一旦出现,就事实上突破了内网物理隔离的边界。
这三种渠道通过内部人员,或者内外勾结造成,如误操作、违规操作和违法操作,给涉密的内网安全带来了非常尖锐的问题。
2.信息间谍的潜入,这主要是通过内外勾结和谍件的内装。
3.从国外引进的高中端信息产品的安全可控问题,可以说这是很多用户的安全盲区,要引起高度的重视。
4.分发式威胁,就是在信息系统生命周期的全过程中对一些安全脆弱点控制不力,比如说第三方帮用户开发、安装、测评、维护、升级信息系统,在安全事件发生后帮用户进行应急和容灾工作,如果用户方对这些过程失去控制,后果不堪设想。
当前,电子政务内网面临的主要威胁应引起高度的警惕,对于重要信息系统,特别是涉密系统的安全要给予高度的关注。
而一些内网的内控机制相当脆弱,使一些网络信息系统很难应对重大的灾害发生和有组织的,特别是内外勾结的威胁,对此,必须引起高度的重视。
安全域的科学划分非常重要强化电子政务内网内控的安全机制,保护电子政务内网安全需要认真遵从国家涉密信息系统保护的标准,43号文件明确指出,涉密信息系统的保护工作由国家保密机关牵头实施,国家保密局已经提出来了关于秘密、机密和绝密的分级标准,就是BMB17—2006、BMB20—2007和BMB22—2007,这三个标准分别是技术标准、管理标准、测评标准。
陕西省电子政务安全保障体系的研究
目前 , 电子 政务 受 到 了各 国政府 的高度 重视 , 已 经成 为信 息化 建设 中 的核心工 程 。电子政务 是指 政 府运 用现代 计算 机 和 网络 技术 , 其 承 担 的公 共 管 将 理 和服务 职能转 移 到 网络 上进 行 , 同时 实现 政 府 组 织 结构 和工作 流程 的重 组优化 , 超越 时 间、 间和部 空 门分 隔 的制 约 , 向社 会 提供高 效优质 、 规范 透明 和全 方位 的管 理与 服务 。1电子 政 务 的实 施使 得 政 府 事 … 务 变得 公 开 、 效 、 明 、 洁 和 信 息共 享 , 此 同 高 透 廉 与 时, 电子 政务 安全 问题 也更加 突 出和严 重 , 影响 电子
2 3 法制化 、 准化 原则 . 标
序的网络信任 体系。通过以上工作 , 陕西省基本上 建设完成覆盖省 、 、 市 县的统一电子政务传输网络和 省市二级统一平 台, 安全保 障体 系初步建立。但在 当今威胁不断发展的今 天, 陕西省电子 政务仍然遇
到 了安全 的难 题 。陕 西省 电子政 务 网面临 的威胁 非 常复 杂 , 了 传 统 的非 法 访 问之 外 , 包 括 蠕 虫 病 除 还 毒、 客攻击、 意脚本 、 绝服务攻击 、 黑 恶 拒 网络 滥 用
统一 的全省 电子 政务 安 全 保 障体 系、 一 的安 全 身 统
门及各地市, 陕西 省各级政府、 为 党委部 门提供安
全、 可靠、 整合 、 便捷的基础网络平台。目前 , 已有省
收 稿 日期 :0 0 5 5 2 1 —0 —2
份认证 、 安全支撑平台和数据冗灾备份系统 , 为各项
政务安全提供保障。陕西省电子政务安全保障体系 的构 建应严 格 祖训 这些 法律 法规 和标 准 。
曲成义:大力推进电子政务公共服务建设
标 准 ,通过 标 准 走 出互 联互 通 的 一步 。 ( 瑞 敏 :国家人 事 部 戴 信 息 中心 副主 任 j ( 源 : 中国信 息化1 来 H
信 息 资源整 合 :是 强化 对信 息 资源 的全 面 管理 。 针 对 政府 信 息化 建设 的领 域 即 电子政 务 建设 而 言 ,信 息资 源整 合是 加 强政府 信 息 资源 建设 ,规 范 电子政 务 建设 的一 个符合 国情 的重要 举措 。
务 目录 ” ( VD )。 D V
大 力推 进 电子政 务 公共 服 务 创新 的核 心就 是 以人 为本 、 以 公 民为 中心 。 电子 政 务公 共 服 务创 新 是真 正 构 建服 务 型 政 府 的 关键。 电子政 务推 进 的 关注 点 。 在 电子 政务 的推 进 中要 体 现执 行 力 、 公信 力 、集 约 化 、效 能 化和 服 务 化这 些 思 想 。概 括 起来 ,
通 。统 筹 规划 ,就是 各 地 区 、各 部 门要 按 照统 一 的标 准 和 规范 协 同建 设 ,防 止 各 自为 政 、重 复 建设 ;以 需求 为 导 向 ,讲 求实 效 ,注 重 实用 ,充分 利 用 已有 的 网络 技 术基 础 及 各部 门建立 的 独 立 的 信息 管 理 系统 ,从信 息 化 的全 局 出 发 ,打破 条 块 分割 , 实现 网络资 源和信 息资 源 的共建共 享 、互联 互通 。 2 、加 快信 息资 源整合 。 加 紧构建 一个 部 门问互 动 的、对社 会 开 放 的统 ~技 术 平 台 ,实 现信 息 最 广泛 的交换 ,在 充 分利 用 已经投 入 运 行 的数 据和 设 备 的条 件 下 ,保 证 原有 系统 向新 系统 体 系 的平 滑 过渡 。 充 分开 发和 利 用 各部 门 已有 的信 息 资源 ,有 序 地进 入 电子政 务 信 息资 源 整合 阶段 ,释 放 出前 期 投入 的产 出 效益 ,推 进 电子政务 的全 面发展 。 3 、抓 紧 互 联 互 通和 信 息 共 享 的 标 准体 系建 设 。 标准 化 是 我 国 电子政 务 建 设 的基 础 性工 作 ,是 电子 政务 系统 实现 互联 互 通 、信 息共 享 、业 务 协 同 、安 全 可靠 的前提 。 由 国 家信 息化 职 能部 门 牵头 ,按 照业 务 相 关 的情 况 ,组 织研 究 互联 互 通 的相 关
国家信息安全保障体系概述
•信息安全保障体系框 架
•国家信息安全保障体系框架
•组
•技
•基
•产
•人•环织术础业
材
境
管
保
设
支
培
建
理
障
施
撑
养
设
信息安全组织管理体系
1、行政管理体制
– 国家领导层 – 国家协调层 – 国家执行层 – 地区和部委层
2、技术咨询体制
– 信息化专家咨询委员会 – 法规、标准、资质认可…等委员会 – 技术研究与工程开发队伍建设 – 学会与产业协会
• 威胁级别(Tn) • 资产价值等级(Vn) • 安全机制强度等级(SMLn) • 安全技术保障强壮性级别(IATRn)
•理解任务 •目标
•理解信息保护 •需求(服务)
•执行决策
•风险管理周期
•描述风险 •情况的特征
•决定 •将做什么
•描述 •可以做什么
•风 险 管 理 过 程
•系统改进
•对策识别 •与特征描述
威胁级别
T3
SML1 EAL1 SML1 EAL1 SML1 EAL2 SML2 EAL3 SML3 EAL4
T4
SML1 EAL2 SML2 EAL2 SML2 EAL3 SML3 EAL4 SML3 EAL5
T5
SML1 EAL2 SML2 EAL2 SML2 EAL3 SML3 EAL5 SML3 EAL6
•给出证据
•拥有者
•需要
•确 信
•对 策
•减少
•风 险
•到
•资 产
•系统有效评估流程
信息 价值 V1
V2
V3
V4
V5
T1
电子政务平台的安全性与可靠性研究
电子政务平台的安全性与可靠性研究随着信息技术的迅猛发展和政府数字化转型的推进,电子政务平台在现代社会发挥着越来越重要的作用。
然而,电子政务平台的安全性和可靠性问题也随之而来。
本文将探讨电子政务平台的安全性和可靠性的重要性,并介绍相关的研究和措施,以确保电子政务平台的安全和可靠运行。
一、电子政务平台的安全性研究1. 安全威胁的识别和评估:为了建立安全的电子政务平台,首先需要对潜在的安全威胁进行全面的识别和评估。
这包括对系统内外的各种威胁、漏洞和攻击进行分类和分析,并提出相应的应对策略。
2. 身份认证与访问控制:电子政务平台涉及大量的敏感信息和数据,因此身份认证和访问控制是确保平台安全的关键。
研究者们需要探索更加安全、便捷和有效的身份认证方法,并设计合理的访问控制机制,以防止未经授权的用户访问敏感信息。
3. 数据加密与隐私保护:保护电子政务平台中的数据安全和隐私是另一个重要的研究方向。
研究人员可以通过采用先进的加密算法和隐私保护技术,确保数据在传输和存储过程中得到充分的保护,防止非法访问和泄露。
4. 安全审计与监测:为了确保电子政务平台的安全运行,需要建立完善的安全审计和监测机制。
研究者们可以开发智能化的安全审计系统,实时监测平台中的异常活动,并及时采取相应的措施,保护平台免受攻击和滥用。
二、电子政务平台的可靠性研究1. 系统可用性与容错性:电子政务平台是一项基础设施,必须具备高可用性和容错性,即能够在各种环境下持续稳定运行。
为了提高系统的可靠性,研究者们可以借鉴容错技术和冗余机制,确保系统在故障发生时能够快速恢复并保持正常运行。
2. 性能优化与负载均衡:随着用户对电子政务平台的需求不断增加,系统性能的优化和负载均衡变得尤为重要。
研究人员可以通过优化算法、缓存技术和并行计算等手段,提升平台的响应速度和并发处理能力,从而保证用户获得良好的使用体验。
3. 数据备份与灾备恢复:为了应对突发情况和灾难,研究者们需要研究合理的数据备份和灾备恢复策略。
国家信息安全保障体系框架探索
推动安全产业发展,支撑安全保障体系建设
掌握安全产品的自主权、自控权 建设信息安全产品基地
形成信息安全产品配套的产业链
造就出世界品牌的安全骨干企业 安全产品制造业、集成业、服务业全面发展
尽快配套信息安全产业管理政策(准入、测评、资质、扶植、、)
重视TBT条款运用,保护密码为代表的国内安全产品市场
12
Intranet
安 全 网 关
Extranet
WWW 服务器
WWW 服务器
Internet
防 火 墙
WWW 服务器
防 火 墙
VPN
关键业务层
业务处理层
信息交换层
公众服务层
纵深防御体系的安全控制机制
13
3、推动信息系统安全工程(ISSE)的控制方法
– – – – – – 安全需求挖掘 安全功能定义 安全要素设计 全程安全控制 风险管理 有效评估(CC/TCSEC/IATF)
PMA
GRCA
安全 网闸
NBCA
GCA
GCA
GCA
SCA
ICA
GRA
GRA GRA
GRA GCA
GRA GRA
CCA
23
3、信息安全执法类
– – – – – 网上信息内容安全监控体系 网络犯罪监察与防范体系 电子信息保密监管体系 网络侦控与反窃密体系 网络预警与网络反击体系
24
信息安全产业支撑
25
4
信息安全保障体系框架
5
国家信息安全保障体系框架
组 织 管 理
技 术 保 障培 养
环 境 建 设
6
信息安全组织管理体系
7
1、行政管理体制
信息安全总体规划四大要点——著名信息安全专家曲成义一席谈
信息安全总体规划四大要点——著名信息安全专家曲成义一席谈
特别关注
网络信任体系的建设,要让每个人都能够证明自己的身份。
其中包括身份认证、授权管理、责任认定等几个环节。
网络信任体系是要通过规范操作,确认责任,防止违规。
第四,强化系统内部审计(内控机制)。
近些年来,企业或机构内部安全事件的数量已经超过外部病毒、黑客攻击等安全事件,这些内部安全事件包括误操作、违测,委托评估则是委托第三方进行评估。
其四,
急和灾备工作。
这类事件和灾难尽管发生概率较低,是高风险。
网络突发事件一般包括电子威胁类、内容威胁类等几类。
【新版】国家信息安全保障体系框架探索
21
2、社会公共服务类
– 基于数字证书的信任体系(PKI/CA) – 信息安全测评与评估体系 (CC/TCSEC/IATF) – 应急响应与支援体系(CERT) – 计算机病毒防治与服务体系(A-Virus) – 灾难恢复基础设施(DRI) – 密钥管理基础设施(KMI)
22
基于数字证书的信任体系(PKI/CA)
T6
SML1 EAL2 SML2 EAL3 SML2 EAL4
T7
SML1 EAL2 SML2 EAL3 SML2 EAL4
V4
V5
SML2 EAL1
SML2 EAL2
SML2 EAL2
SML2 EAL3
SML2 EAL3
SML3 EAL4
SML3 EAL4
SML3 EAL5
SML3 EAL5
SML3 EAL6
1、加强自主研发与创新
– 组建研发国家队与普遍推动相结合
– 推动自主知识产权与专利 – 建设技术工程中心与加速产品孵化
– 加大技术研发专项基金
– 全面推动与突出重点的技术研发
• 基础类:风险控制、体系结构、协议工程、有效评估、工程方法
• 关键类:密码、安全基、内容安全、抗病毒、RBAC 、 IDS、VPN、 强审计
推动安全产业发展,支撑安全保障体系建设
掌握安全产品的自主权、自控权 建设信息安全产品基地
形成信息安全产品配套的产业链
造就出世界品牌的安全骨干企业 安全产品制造业、集成业、服务业全面发展
尽快配套信息安全产业管理政策(准入、测评、资质、扶植、、)
重视TBT条款运用,保护密码为代表的国内安全产品市场
17
信息 价值 V1 V2 V3
构建多层次的电子政务安全保障体系
构建多层次的电子政务安全保障体系信息安全是当今政务信息化建设最引人注目的关键问题之一,没有信息安全的坚实保障,电子政务就无法推进与前行.信息安全的要求将贯穿于整个电子政务建设,应用安全又是信息安全的重点。
因此,需要构建统一标准、统一规范、功能全面的安全支撑体系,为电子政务提供切实可靠的信息安全保障,解决满4足政务实际要求的安全保密性、信任和授权,以及安全监管等安全保障服务.通过安全保障体系的建设,在实现互联互通的基础上,对现有分散的网络和系统的数据资源进行可信交换和共享,充分利用已有政务信息资源.电子政务网络由政务内网和政务外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离。
政务内网主要是副省级以上政务部门的办公网,与副省级以下政务部门的办公网物理隔离。
政务外网是政府的业务专网,主要运行政务部门面向社会的专业性服务业务和不需在内网上运行的业务。
在多数电子政务应用系统的建设中,由于缺乏总体的安全规划,使得所建设的应用系统在网络传输安全和数据存储安全等各个层面缺乏有力的保障,这将直接导致政府部门的重要数据面临着众多的安全隐患.根据“木桶原理”,一个系统的安全强度等于它最薄弱环节的安全强度.因此,必须综合分析电子政务整体安全需求的基础上,在国家信息安全战略框架体系指导下,构建一个完整的多层次的安全保障体系。
如图1所示,围绕电子政务基础网络安全、信息传输安全、信息存储安全等保障目标,需要着重构建多层次的电子政务网络与信息安全保障体系框架,逐步完善安全管理体制,建立电子政务信任体系、风险评估服务体系、打击入侵威慑体系、安全监控管理体系,应急响应灾备服务体系等,以提高电子政务网络和系统多方位的安全保障能力.在上述电子政务安全保障体系建设上,还存在一些需要重视的问题,需要加强相应的关键性安全技术和产品的研究开发,及产业推进工作.(一)电子政务安全风险分析评估工具国内对于信息网络的测评工作仍停留在产品级和单一安全功能的测评阶段,缺乏针对整个网络系统的测评工具和技术手段,使得系统的整体安全性能得不到保障,而系统安全的任何薄弱环节,都可能造成系统安全的雪崩式后果。
电子政务安全体系框架
电子政务安全体系框架
曲成义
【期刊名称】《计算机安全》
【年(卷),期】2002(000)018
【摘要】电子政务安全最关注的是什么?电子政务不同于电子商务,不同于企业网络,它在安全上有什么特别值得关注的问题?下面重点讲这个问题。
作为电子政务来说,他的威胁除了常规的一般的大家都知道各种各样的威胁以外,这里我重点加了一个内部人员的违规和违法。
【总页数】2页(P19-20)
【作者】曲成义
【作者单位】无
【正文语种】中文
【中图分类】TP309
【相关文献】
1.电子政务知识体系框架研究 [J], 杨雅芬
2.电子政务安全体系框架 [J], 曲成义
3.电子政务绩效评估的体系框架和方法研究 [J], 任今方
4.电子政务安全体系框架 [J],
5.电子政务绩效评估的体系框架和方法研究 [J], 任今方
因版权原因,仅展示原文概要,查看原文内容请购买。
大力推进国家信息安全保障体系的建设
大力推进国家信息安全保障体系的建设
曲成义
【期刊名称】《首都信息化》
【年(卷),期】2001(000)009
【总页数】2页(P22-23)
【作者】曲成义
【作者单位】国家信息化办公室
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.国家信息安全保障体系建设任重而道远 [J], 吕诚昭;贾颖禾
2.澳门:密织社会保障网大力推进双层式社会保障体系建设 [J],
3.国务院办公厅印发推进长江危险化学品运输安全保障体系建设工作方案:推进长江危险化学品运输安全保障体系建设工作方案(摘要) [J], 无
4.加强社会保障体系建设大力推进乡村发展 [J], 邓敏思[1];吴业明[1];薛柳巧[1]
5.崇州市:加大力度推进医疗保障体系建设 [J], 高志芳
因版权原因,仅展示原文概要,查看原文内容请购买。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
曲成义:电子政务安全保障体系的探索各位嘉宾,大家好。
我想对关于如何构建一个电子政务的安全保障体系做一点探索。
在17号文件当中特别提到要建立电子政务的安全保障体系,紧接着到去年7月份信息化领导小组第三次会议上正式通过了一个《关于加强信息安全保障工作的意见》,大家被称为27号文件,再重申大家看最底下一条要发挥各界积极性、共同构筑国家信息安全保障体系。
这里面有很多要点,我列了八条,比如提出来在信息安全建设中要重视信息安全的等级保护制度的执行,关于这个问题四部委已经联合发了一个关于信息安全等级保护制度的意见,在这里面要建设基于密码技术网络信任体系,这里的要害就是关于身份认证的问题,基于PKI数据认证以及部门的授权、责任认定等等。
第三个是建设国家层次、领域层次的信息安全网络监控体系,第四是要重视信息安全的应急工作,出现重大灾难和事故的情况下,这到指挥、响应、协调、通报的制度,第五是国家提出来要信息化,最终中国的信息化要搭建在中国的、具有知识产权的信息安全支撑平台上的还有关于法制标准等等,这是27号文件提出的一些要点,随着27号文件之后今年1月9号我们国家信息安全协调小组,黄菊是副组长,主持了一次我们国家信息安全的高层会议,在这个会议上都是各省部委的一二把手,黄菊副总理做了主题报告。
在这个报告里特别强调了由于我们国家信息化的高速发展,各行各业,包括政府对信息化信息技术的依赖程度越来越强,提了几大案例,也提到了几年之后很多手工系统想恢复都没了。
在广域网的情况下安全问题越来越重要了,所以在这个会上提出了一定要一个并重,在信息安全上管理和技术并重,要两手抓,一手抓发展,电子政务点射,一手一定要抓电子政务安全保障体系的认证,三个同步,同步规划、同步发展、同步建设,而且提出来要用新思路、新眼光,建设信息安全保障体系。
当前电子政务面临的威胁都有哪些呢?确实从政府的需求来说和商业需求是不一样的,所以它威胁的领域、内容、方式也是不一样的,可能有这几个方面,比如说黑客和计算机犯罪,篡改政府的网页,第二是病毒,第三是机要信息的流失,现在保密局已经统计了我们国家在网上的涉密信息流失已经达到了50%,传统的纸介质、声音等的失密比例正在下降。
网上恐怖活动与信息战,还有内部人员违规和违法,电子政务的犯罪、案件75%主要出自内部和内外勾结。
还有安全产品的失控,现在社会上关于分发式威胁,从产品研制、开发到成为产品销售维护到升级整个过程中会不会有人嵌入源代码,嵌入病毒到一定时候发作,国际上有这方面的例子,所以用户要增强自主权和对安全采购产品的可控权。
在27号文件当中很多专家都提出来怎么想办法构建安全保障体系,要增强信息网络的防护能力、隐患发现能力、网络的应急反应能力和信息对抗能力,保证你的信息、你的服务具有五性,这五性叫法很多,但是今年年底我们国家就会出一套信息管理国家标准,里面就提到了传统的三性就是保密性、完整性和可用性,和进来发展的真实性、可核查性。
构建一个电子政务的保障体系要遵守一套安全策略,一个正确的策略会对体系的健康性带来很大的支撑,这些策略就不说了。
什么是电子政务的安全体系呢?从国家政策讲是六个方面,一个是保障电子政务安全的法规,保障电子政务的组织管理体系,安全标准,为了构建一个强壮性、健壮性信息安全体系坚持一种什么样的安全工程和服务机制,另外是要提供安全技术和产品,再一个是从国家行业方面如何为广大用户提供一种安全的基础设施,这个体系的几个要素我就简单给大家做一点描述了。
法律当前最有名的一个法律,也是中国信息化的第一部法律,通过人大的8月28号的电子签名法,这部法律对于信息化的安全建设、信息化的推动具有非常重要的意义。
比方说电子政务,很多部门公文已经在流转了,这些部门靠上级、下级之间的严格关系,靠下级对上级的服从,真正的电子文章要到法院打官司是不能作为证据的,特别是由于电子政务的边界正在扩大,现在税务要给纳税人网上纳税,工商要网上年检,劳保要网上医保、就业,电子政务正在扩展,很多文件已经不完全在政府内部流转了,怎样保证电子政务公文的法律效益,这个法是非常重要的。
全世界将近有30个国家已经立法了,我们国家这次一年半的时间通过,明年4月份正式执行。
电子签名法涵盖了很多内容,大家有机会可以自己看一看。
这里面不单纯是同法律条文上,甚至对将来怎么去认真、怎么签名这些环节的很多约束都很有重要意义。
另外一个要素是安全管理组织,国家信息化领导小组组长是总理,在这个小组下面专门设立了国家网络信息安全组,组长是黄菊,已经开了很多会议。
国际标准是ISO17799,这个标准是十大类,27个方面,一百多项对信息化过程中的管理要素都做了很详细的规范,而且很有指导价值,所以我们国家已经兼容它,但是要本地化地加了很多内容,它是从管理策略、组织人员、资产分类、运行配置、审计、标记、维护和作业连续性的保障等等都有很多说明,这是集很多人的智慧形成的,当然也不完善,第二版本正在改进。
在信息安全管理的制约和控制上不是一个阶段的,一定要从全过程来考虑个信息安全才会是强壮的,应该从立项、采购、外包、评估、运行到制度建立都应该重视安全建设。
第四个要素是要构建信息安全的标准和规范,这里我列了一些国际上已有的标准,很多标准咱们国家也都在采用,数字证书是用国际上X.509.V3,像访问控制大家也都在实施,安全测评、入侵检测、体系结构、内容分级以及安全管理这些在信息安全工作中具有很大的作用,标准是众人智慧的结晶,按照标准来做系统的可延展、可扩张性就好。
国家信息办跟质检委在02年4月15日成立了我们国家信息安全标准化委员会建立了10个工作,很多科研部门、企业都参加了,从体系标准、内容、密码、PKI、评估、能够管理等一系列的标准。
这些标准的进展挺快的,经过一年多,今年年底报批搞了16项,送审稿25项。
有6项今年要出台,比如关于应急等等都属于今年要报批稿的16项,现在总的研究项目有一百多项和安全方方面面相关的,我想我们国家标准的出台对指导我们国家信息安全体系是非常有价值的。
另外一个要素就是关于信息安全系统的工程和服务,大家知道信息安全是一个系统,就像木桶原理,构建这样一个系统就涉及到系统学的问题。
怎么样从全过程来研究构造一个强壮的系统,国际上有ISSE,IATF,CC,TESEC都认证了构建一个系统要从全过程来考虑,没有做之前要做好安全系统的分析,包括系统的弱点、威胁、风险、对策等等,要素是从五个层次来做的从物理层、网络层、系统层、应用层、管理层来做,包括构建全过程的风险控制,包括系统一旦建设成以后对电子政务来说一定要进行安全的风险评估,形成你的强壮性的策略。
这些是指导构件信息安全体系的构成,这些流程是多人经验的积累,很有借鉴意义。
在构建一个信息安全系统时要提供很多安全服务,这我就不说了。
第五个要素是关于信息安全技术机制的发展趋势,从互联网最开始从信息交换安全开始,到发展成除了Extranet 到面向对象安全,这是需要全面来考虑的。
加密技术现在发展很快、认证、鉴别、访问控制、网络边界防护、病毒防治、网络的隐患扫描与发现,内容的过滤与区别,包括网络的预警和攻击、内容产权保护、安全基,你的CPU、数据库、操作系统这就是安全基。
这在电子政务间是很重要的问题。
为什么电子政务C2标准是商业标准,但是很多电子政务的平台还是用C2,我们国家的B1正在发展之中不是太成熟,国外的B级平台是向中国禁用的,在用C2标准平台上完成电子政务很多重要内容的标准,怎么样采取架构技术,这里面配置、加固建设等有很多办法。
另外是审计与取证,备份与容灾,可信计算也是一个挑战,另外还有安全基金管理。
谈到技术安全,现在大家都在面临的一个问题是纵深防御的问题。
在纵深防御中我参加了一些部委和省市电子政务安全讨论中都有一个很尖锐的问题,就是网络信息域的科学划分和合理控制,这个问题做的好就会带来很大的好处,做不好就会带来很多安全漏洞。
内网、外网除了业务需求之外还是有安全含义的,最近国信办都参加了一个新的平台,这也是用户的需求专网计划等等,在这样一些形态中采取什么样的科学采取非常重要,有的部门把不该划进去的非国家涉密划到内网,有的人把国家涉密内容划到外网去了,这也是不允许的。
所以在安全这个问题上欠保护是不允许的,过保护也是没必要的。
为什么国家现在提出来等级安全的概念,就是要科学划分的问题,这样才能该保的保得住,不该那么高强度保护的划进去。
肯定要有一个核心的内网,也要有外网或者是专网,互联网,通过安全边界来保护各自的域,这里面有很多安全基础设施。
内网大家看一看就行了,对于内网来说有几个环节就不说了,对于内网大家经常谈到的是什么是内网的物理隔离,其实物理隔离分四个层次,屏蔽就是物理层的隔离,终端一级是社会有很多双网机、双盘型、双区型。
信道什么叫物理隔离?你可以用公用信道,但是端到端的信息必须功过国家保密办指定的加密过的隔离,网络隔离现在大家在做的网闸到现在都没有被保密局批准。
对外网的连接也不说了。
在安全技术上我特别说了一句,对电子政务来说强化内部审计是过去咱们不太重视的,但是确实是存在这方面威胁的问题。
什么叫强化内部审计呢?审计不但是过去的那种,要网络级的审计,这是防外部的,很多本来是内网自己连到互联网的,你怎么查出来对他是威胁呢?如果系统员违规违法来做的话,你怎么能够保持它的安全呢。
最后一个要素是信息安全基础设施的支撑,是不是每个单位都去建信息中心,另外怎么配置应急支援体系,灾难恢复基础设施问题,密钥管理这些都要有国家、有地区来建设,这样降低成本,提供了比较强的支撑。
关于风险评估的基础设施,我们国家这个体系正在建设,国家成立了这方面的协调小组、专家组,国家以后对电子政务的安全要有检查评估,这种检查评估就是一种强制性的防止你自己说安全,你的系统集成商说安全就不能只靠这两个了。
另外对灾难备份方面,9.11事件严重地教训1200个公司,有400个单位生存下来了,另外800个公司倒的倒,垮的垮,系统的很多数据都没了,所以重视灾难恢复是很重要的。
但是一定要有科学的策略。
钱是有限的,而且灾难恢复是一定要做的,怎么平衡这两者之间的关系。
我上面讲了一下国家安全体系建设,这对部门建设都是有益的,你构建一个系统如何遵循国家给你提供的标准、规范和政策框架,怎么样充分享受好国家为你提供的信息安全基础设施的测评,怎么选购国家已经认定的那些具有安全保密强度的产品和服务,在构建信息系统周期全过程,从结构分析、威胁分析、脆弱分析到安全需求挖掘等全过程来进行信息安全的规划和设计,当然很重要的是在五个层上做细化。
总之,希望大家在构建一个健康的电子政务系统时不要忘了安全,一定要同时、同步地建立安全保障体系,才能保障你的电子政务信息安全共享,谢谢大家。