国家信息化发展战略

“国家信息化发展战略”－构建国家信息安全保障体系－

曲成义研究员

2006年9月21日

互联网存在的六大问题•无主管的自由王国：

有害信息、非法联络、违规行为•不设防的网络空间：

国家安全、企业利益、个人隐私•法律约束脆弱

黑客犯罪、知识侵权、避税

•跨国协调困难

过境信息控制、跨国黑客打击、关税•民族化和国际化的冲突

文化传统、价值观、语言文字

•网络资源紧缺

IP地址、域名、带宽

网络突发事件正在引起全球关注•2000年2月7日美国网上恐怖事件造成巨大损失•2001年日本东京国际机场航管失灵，影响巨大•2003年美国银行的ATM网遭入侵，损失惨重

2004年震荡波几天波及全球

•2005年Card System公司4000万张卡用户信息被盗•网络正在成为恐怖组织联络和指挥工具

（）

•9.11事件造成世贸中心1200家企业信息网络荡然无存•网络舆情的爆发波及到物理社会的稳定

•信息网络的失窃密事件层出不穷

我国网络信息安全入侵事件态势严竣

(CNCERT/CC 05年度报告数据)

•收到信息安全事件报告12万件(04年的2倍)

•监测发现2万台计算机被木马远程控制(04年的2倍)

•发现1.4万个网站遭黑客篡改,其中政府网站2千(04年的2倍)•网络钓鱼(身份窃取) 事件报告400件(04年的2倍)

•监测发现70万台计算机被植入谍件(源头主要在国外)

•发现僵尸网络143个(受控计算机250万台)

互联网信息安全威胁的某些新动向•僵尸网络威胁兴起

•谍件泛滥值得严重关注

•网络钓鱼的获利动机明显

•网页篡改(嵌入恶意代码),诱人上当

•DDoS开始用于敲诈

木马潜伏孕育着杀机

•获利和窃信倾向正在成为主流

•

领导重视,管理较严,常规系统和防外机制基本到位，•

深层隐患值得深思

•u

u u u u u “重要信息系统”安全态势与深层隐患

（案例考察）

国家信息化发展战略目标导向

—中办[2006] 11号文—

信息化战略

信息化战略“十一五”信息化规划“十一五”信息化规划电子政务电子政务电子商务电子商务信息资源信息资源信息安全信息安全信息产业信息产业信息基础设施信息基础设施“十二五”信息化规划“十二五”信息化规划“十三五”信息化规划“十三五”信息化规划信息化支撑环境

信息化支撑环境信息

社会

信息社会信息能力信息化

《2006-2020年国家信息化发展战略》

—中办[2006] 11号文—

战略重点8 为--“建设国家信息安全保障体系”

《国家信息安全战略报告》

—国信[2005] 2号文—

•构筑国家信息安全保障体系

国家信息化领导小组第三次会议《关于加强信息安全保障工作的意见》

—中办发[2003] 27号文—

•

•

•发挥各界积极性、共同构筑国家信息安全保障体系

国家信息安全保障工作要点•实行信息安全等级保护制度

基于密码技术网络信任体系建设

建设信息安全监控体系

重视信息安全应急处理工作

推动信息安全技术研发与产业发展

信息安全法制与标准建设

信息安全人材培养与增强安全意识

信息安全组织建设

信息安全保障体系建设的目标

Ø信息安全防护能力

Ø隐患发现能力

Ø网络应急反应能力

Ø信息对抗能力

Ø保密性、完整性、可用性、真实性、可核查性（可控性）、可靠性

信息系统安全的整体对策n保障性

n保驾护航

n起点终生

n可信性

信息安全保障体系

国家信息安全保障体系框架国家信息安全保障体系框架

安全法规安

全

管

理

安

全

标

准

安

全

人

才

与

培

育

安

全

基

础

设

施

安

全

技

术

与

产

品

行业信息安全保障体系框架行业信息安全保障体系框架

安全法规安

全

管

理

安

全

标

准

安

全

工

程

与

服

务

安

全

基

础

设

施

安

全

人

才

与

培

训

信息安全法规

信息安全法规

•《关于开展信息安全风险评估工作的意见》•《信息安全等级保护管理办法（试行）》•《中华人民共和国保守国家秘密法》•《信息安全法》

•《电子签名法》

《个人数据保护法》

•《政务信息公开条例》

•------

信息安全组织管理

行政管理体制:国家网络信息安全协调小组，部门，地区

技术管理体制:CSO

信息系统安全管理规则(ISO 17799) GB/T 19716-2005 u管理策略

u组织与人员

u资产分类与安全控制

u配置与运行

u网络信息安全域与通信安全

u异常事件与审计

u信息标记与文档

u物理与环境

u开发与维护

u作业连续性保障

u符合性