自主可控信息系统及信息安全技术研究与应用
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
与应用
一、概述 二、自主可控信息系统示范应用工程建设 三、自主可控信息安全技术研究与应用 四、后续工作展望
四、后续工作展望
科工集团希望成为自主可控计算机信息系统的排头兵,产业发展 的生力军
发挥自身优势,为国家、政府、行业、企业的国产化信息系统应用提供顶 层规划和设计服务 加大自主可控信息安全基础技术、新一代自主可控信息技术、系统迁移技 术、基于模型驱动的自主可控应用系统研发支撑平台的研究投入 坚持做好自主可控产品研发,形成技术过硬、性能可靠、功能稳定、体系 完备的自主可信产品体系,支撑信息化“换装”需求 做好联盟建设,构建自主可控生态圈,做大、做实、做强产业
(六)航天科工自主可控试验基地
2014年下半年,航天科工集团依托自主可控计算机与应用示范项目,在北 京长阳建立自主可控实验基地。
全方位验证航天科工集团三级办公应用在自主可控关键软硬件环境下 的可迁移性和迁移后的可用性
广泛开展国产化基础软硬件与应用系统的适配
二、自主可控信息系统示范应用工程建设
自主可控信息 系统及与信息 安全技术研究
与应用
一、概述 二、自主可控信息系统示范应用工程建设 三、自主可控信息安全技术研究与应用 四、后续工作展望
二、自主可控信息系统示范应用工程建设
航天科工集团秉承“国家利益高于一切”的核 心价值观,牢记责任、坚持以国为重、为国家铸造 安全基石,在航天科工“一主两翼”产业发展布局 下,一方面积极构建国家领土、领海和领空的安全 防御体系,另一方面致力于筑造信息安全防护体系 ,积极推进自主可控计算机产业。
二、自主可控信息系统示范应用工程建设
打造集团自主可 控计算机及信息 系统示范工程
示范形成标准规范、突破难点积淀关键技术、提升能力 示范引领产业发展,掌握打开市场大门的钥匙
建设集团自主 可控试验基地
攻关平台、测试平台、验证平台、培训平台
构建集团自主 可控产业联盟
为产业发展支撑,形成集群优势
二、自主可控信息系统示范应用工程建设
基地特点
服务开放、技术共享 平台体系化、生态多元化 测试手段标准化、验证评估科学化
二、自主可控信息系统示范应用工程建设
自主可控产业联盟建设
整合航天科工集团内部自主可控相关软硬件产品研发、设备制造、产
业支撑、市场开拓等资源,建立集团自主可控联盟,目标逐步形成覆盖处
理器、操作系统、应用软件、配套设备等在内的完整的产业链,构建完善
三一、、必自要主性可分控析信息安全技术研究与应用
(一)面临的问题
(2)现有信息安全产品主要针对Wintel平台的信息系统设计实现,难以在 国产软硬件环境下正常部署使用
典型安全防护机制:主机监控、病毒防护、漏洞扫描、数据库访问控制 等; 不足:产品针对Wintel平台设计实现,在国产软硬件环境下难以正常部 署使用,无法有效发挥安全防护效能。
Text in here
•快速迁移重构技术,实现了应用系统在自主可控
1
平台下的快速迁移
Leabharlann Baidu
•异构平台的数据迁移技术,解决了不同格式数据
2
从非国产化平台向国产化平台迁移的问题
3
•面向应用的软硬件深度适配优化技术,从底层解决
应用系统运行效率问题
•自主可控信息系统测试评价技术,实现了对自主可
4
控信息系统的全面、系统测试和评估
(五)示范应用工程建设—主要工作
计算机硬件设备国产化替代
2
终端、服务器、存储设备
应用系统迁移、适 1
配优化、测试
总体工作
3 基础软件国产化替代
数据库、中间件、开 发环境
安全体系建设 5
4
网络系统重构
二、自主可控信息系统示范应用工程建设
示范应用工程建设—实施前后对比
实施前
实施后
应用软件 中间件 数据库 操作系统
三二、、自自主主可可控控信信息安息全安防全护技体术系研设计究与应用
(二)关键技术研究
(3)自主高安全关键软硬件设 计技术
研究自主高安全处理器设计技术、 自主高安全固件设计技术、自主高 安全操作系统设计技术等; 形成高安全等级的自主处理器、固 件、基础软件和计算机,为自主可 控信息系统的可靠运行提供基础支 撑。
示范应用工程建设—总体方案
应用 软件
安全邮件 办公系统
档案系统 接入控制
党建系统 纸质公文交换
网站系统 打印系统
门户系统 文档管理系统
标
信
准
国产中间件
息
规 基础 范 软件
国产数据库
安 全
体
国产操作系统
体
系
系
基础 设施
国产化 服务器
国产化 终端
国产化 存储设备
国产 网络设备
国产外设
二、自主可控信息系统示范应用工程建设
典型安全防护机制:BIOS安全加固、操作系统安全增强、数据库安全增强 等; 安全防护模式:外围“打补丁”、静态被动防护; 不足:安全防护机制未能结合自主可控信息系统的特点,从处理器、操作系 统等基础软硬件层面进行设计,存在被“绕过”的安全风险。
Windows操作系统补丁安装包
My SQL数据库安全增强软件
实现了从处理器、整机(终端、服务器、存储、网络设备)、操作 系统、数据库、中间件、应用系统的全国产系统性替换 完全按照国家权威部门对网络信息系统的安全保密要求进行设计, 并进行了增强设计,可满足更高等级的安全防护要求 通过独有的迁移适配优化技术,确保系统运行稳定,运行速度快, 用户体验好。
二、自主可控信息系统示范应用工程建设
历了一年实际应用考验,产品可靠性、易用性得到验证
软件系统:形成了能够基于国产化平台下运行的门户、邮件等应用软件系统 迁移、适配:形成了迁移适配方法,构建了迁移、适配方法库 测试、验证:构建了测试标准,形成了测试用例库、测试方法库、测试问题库
二、自主可控信息系统示范应用工程建设
面向大型企业经营管理信息系统自主可控建设的需求,航天科工集 团率先开展系统设计、迁移、集成部署等工作。作为国内首个得到实际 应用的复杂自主可控涉密信息系统,具有以下特点:
服务器 终端
基于Wintel架构 Tomcat,Weblogic等
Oracle、Mysql等 Windows
IBM、HP、DELL等 IBM、HP、DELL等
基于国产平台 东方通 神通数据库 中标麒麟
基于国产CPU天玥服务器 基于国产CPU天玥终端
二、自主可控信息系统示范应用工程建设
示范应用工程建设—突破的关键技术
云计算应用
大数据应用
三二、、自自主主可可控控信信息安息全安防全护技体术系研设计究与应用
针对当前自主可控信息系统面临的新安全威胁,适应信息系统的高安 全保障要求,依托信息系统自主可控的有力条件,亟需尽快开展一些关键 的安全技术研究,为构建多层次、一体化的自主可控信息安全防护体系提 供技术支撑。
三自主、可自控主信可息控安信全技息术安研全究技术研究与应用
航天科工自主可控试验基地—功能与特点
基地功能
开发平台:国产化应用软件迁移开发 测试平台:迁移后应用系统功能、性能的测试环境 集成验证:模拟实际应用环境及业务流程,开展硬件系统和软件功能、性能、 稳定性、鲁棒性等测试,确保应用系统在国产化平台下能够稳定运行 成果转化:为迁移开发、适配优化、测试验证形成的成果提供转化环境 培训平台:模拟航天科工涉密网三级网络架构和应用体系,组织系统用户培训
三二、、自自主主可可控控信信息安息全安防全护技体术系研设计究与应用
(二)关键技术研究
(4)新型密码理论及应用技术
研究量子密码理论、自主密码算法 设计技术、大规模密钥动态管理技 术和安全认证协议设计技术等; 为自主可控信息系统提供高安全等 级的密码服务。
自主可控信息 系统及与信息 安全技术研究
自主可控信息系统及信息安 全技术研究与应用
2015年10月
自主可控信息 系统及与信息 安全技术研究
与应用
一、概述 二、自主可控信息系统示范应用工程建设 三、自主可控信息安全技术研究与应用 四、后续工作展望
一、概述
自主可控信息系统的建设事关国家及国防安全,影响 深远,势在必行。
国产基础软硬件保证了系统的自主可控,有效解决了 预置木马、预设后门等问题;但是,安全漏洞是客观存在 的,自主可控并不能消除系统存在的安全漏洞。因此,亟 需开展自主可控信息安全技术的研究,以有效保证自主可 控信息系统的安全。
自主生态系统。 理事单位18个,成员单位35个
集团外联盟意向单位50个
松散层
半紧密层
紧密层
核心层
自主可控信息 系统及与信息 安全技术研究
与应用
一、概述 二、自主可控信息系统示范应用工程建设 三、自主可控信息安全技术研究与应用 四、后续工作展望
三二、、自自主主可可控控信信息安息全安防全护技体术系研设计究与应用
二、自主可控信息系统示范应用工程建设
(五)示范应用工程建设—取得的成果
完成了经营管理类共18个应用系统的迁移、适配、优化,在航天科工总 部、航天二院、七〇六所三级试点单位的部署、实施,7月1日开始试运行
自主可控计算机及信息系统整体方案规划与设计 硬件系统:基于国产CPU的终端、服务器、磁盘阵列、安全设备等系列化产品经
“棱镜门“事件
“心脏出血”漏洞(协议漏洞)
三一、、必自要主性可分控析信息安全技术研究与应用
(一)面临的问题
(4)新的安全防护模式与手段缺失,尚不能应对新技术带来的挑战 新技术:云计算、虚拟化、大数据、移动互联网等; 应用特点:网络结构多样化、用户爆炸性增长、数据快速膨胀; 不足:新的安全防护模式与应对手段缺失,难以有效应对新的安全威胁和 挑战。
主机监控系统
杀毒软件
三一、、自 必自主要主可性可控分控信析信息安息全安防全护技体术系研研究究必与要应性用分析
(一)面临的问题
(3)面向自主可控信息系统的安全测试工作尚未全面开展,系统自身的安全有 待进一步评估
自主可控杜绝了后门、陷阱,但是自主可控不等于安全; 局限于现有认知和技术水平,安全漏洞是不可避免的; 不足:缺乏系统的安全性测评理论与技术,自动化的测评手段和系统,无 法对自主可控信息系统的安全性进行定性、定量的测试评估。
三二、、自自主主可可控控信信息安息全安防全护技体术系研设计究与应用
(二)关键技术研究
(1)自主可控信息系统安全漏 洞规避处理技术
研究漏洞激发条件控制技术、漏 洞关联关系剪断技术、漏洞传播途 径切断技术等; 形成全新的安全漏洞规避处理机 制,提供有机衔接漏洞发现、漏洞 分析与漏洞规避的紧耦合漏洞处理 手段。
三二、、自自主主可可控控信信息安息全安防全护技体术系研设计究与应用
(二)关键技术研究
(2)自主可控信息系统脆弱性 分析技术
研究源代码安全性分析技术、分布 式模糊测试技术、动态污点分析技术、 漏洞扫描技术、渗透测试技术等; 挖掘自主可控信息系统存在的安全 漏洞和风险隐患,通过修补漏洞、消 除隐患,不断健全自主可控信息系统 的安全防护机制。
自主可控是指信息技术及产品完全自主设计研发,基本上可保证关键 软硬件不存在恶意预置的后门及陷阱,并能不断地对其进行改进或补丁修 补。但由于一些原因或约束条件限制,信息安全问题不会因信息技术自主 可控而消失,将长期持续存在 。
三、自主可控信息安全技术研究与应用
(一)面临的问题
(1)目前安全防护机制主要采取外围“打补丁”的被动防护模式,不能满足信 息系统对高安全等级防护的要求
一、概述 二、自主可控信息系统示范应用工程建设 三、自主可控信息安全技术研究与应用 四、后续工作展望
四、后续工作展望
科工集团希望成为自主可控计算机信息系统的排头兵,产业发展 的生力军
发挥自身优势,为国家、政府、行业、企业的国产化信息系统应用提供顶 层规划和设计服务 加大自主可控信息安全基础技术、新一代自主可控信息技术、系统迁移技 术、基于模型驱动的自主可控应用系统研发支撑平台的研究投入 坚持做好自主可控产品研发,形成技术过硬、性能可靠、功能稳定、体系 完备的自主可信产品体系,支撑信息化“换装”需求 做好联盟建设,构建自主可控生态圈,做大、做实、做强产业
(六)航天科工自主可控试验基地
2014年下半年,航天科工集团依托自主可控计算机与应用示范项目,在北 京长阳建立自主可控实验基地。
全方位验证航天科工集团三级办公应用在自主可控关键软硬件环境下 的可迁移性和迁移后的可用性
广泛开展国产化基础软硬件与应用系统的适配
二、自主可控信息系统示范应用工程建设
自主可控信息 系统及与信息 安全技术研究
与应用
一、概述 二、自主可控信息系统示范应用工程建设 三、自主可控信息安全技术研究与应用 四、后续工作展望
二、自主可控信息系统示范应用工程建设
航天科工集团秉承“国家利益高于一切”的核 心价值观,牢记责任、坚持以国为重、为国家铸造 安全基石,在航天科工“一主两翼”产业发展布局 下,一方面积极构建国家领土、领海和领空的安全 防御体系,另一方面致力于筑造信息安全防护体系 ,积极推进自主可控计算机产业。
二、自主可控信息系统示范应用工程建设
打造集团自主可 控计算机及信息 系统示范工程
示范形成标准规范、突破难点积淀关键技术、提升能力 示范引领产业发展,掌握打开市场大门的钥匙
建设集团自主 可控试验基地
攻关平台、测试平台、验证平台、培训平台
构建集团自主 可控产业联盟
为产业发展支撑,形成集群优势
二、自主可控信息系统示范应用工程建设
基地特点
服务开放、技术共享 平台体系化、生态多元化 测试手段标准化、验证评估科学化
二、自主可控信息系统示范应用工程建设
自主可控产业联盟建设
整合航天科工集团内部自主可控相关软硬件产品研发、设备制造、产
业支撑、市场开拓等资源,建立集团自主可控联盟,目标逐步形成覆盖处
理器、操作系统、应用软件、配套设备等在内的完整的产业链,构建完善
三一、、必自要主性可分控析信息安全技术研究与应用
(一)面临的问题
(2)现有信息安全产品主要针对Wintel平台的信息系统设计实现,难以在 国产软硬件环境下正常部署使用
典型安全防护机制:主机监控、病毒防护、漏洞扫描、数据库访问控制 等; 不足:产品针对Wintel平台设计实现,在国产软硬件环境下难以正常部 署使用,无法有效发挥安全防护效能。
Text in here
•快速迁移重构技术,实现了应用系统在自主可控
1
平台下的快速迁移
Leabharlann Baidu
•异构平台的数据迁移技术,解决了不同格式数据
2
从非国产化平台向国产化平台迁移的问题
3
•面向应用的软硬件深度适配优化技术,从底层解决
应用系统运行效率问题
•自主可控信息系统测试评价技术,实现了对自主可
4
控信息系统的全面、系统测试和评估
(五)示范应用工程建设—主要工作
计算机硬件设备国产化替代
2
终端、服务器、存储设备
应用系统迁移、适 1
配优化、测试
总体工作
3 基础软件国产化替代
数据库、中间件、开 发环境
安全体系建设 5
4
网络系统重构
二、自主可控信息系统示范应用工程建设
示范应用工程建设—实施前后对比
实施前
实施后
应用软件 中间件 数据库 操作系统
三二、、自自主主可可控控信信息安息全安防全护技体术系研设计究与应用
(二)关键技术研究
(3)自主高安全关键软硬件设 计技术
研究自主高安全处理器设计技术、 自主高安全固件设计技术、自主高 安全操作系统设计技术等; 形成高安全等级的自主处理器、固 件、基础软件和计算机,为自主可 控信息系统的可靠运行提供基础支 撑。
示范应用工程建设—总体方案
应用 软件
安全邮件 办公系统
档案系统 接入控制
党建系统 纸质公文交换
网站系统 打印系统
门户系统 文档管理系统
标
信
准
国产中间件
息
规 基础 范 软件
国产数据库
安 全
体
国产操作系统
体
系
系
基础 设施
国产化 服务器
国产化 终端
国产化 存储设备
国产 网络设备
国产外设
二、自主可控信息系统示范应用工程建设
典型安全防护机制:BIOS安全加固、操作系统安全增强、数据库安全增强 等; 安全防护模式:外围“打补丁”、静态被动防护; 不足:安全防护机制未能结合自主可控信息系统的特点,从处理器、操作系 统等基础软硬件层面进行设计,存在被“绕过”的安全风险。
Windows操作系统补丁安装包
My SQL数据库安全增强软件
实现了从处理器、整机(终端、服务器、存储、网络设备)、操作 系统、数据库、中间件、应用系统的全国产系统性替换 完全按照国家权威部门对网络信息系统的安全保密要求进行设计, 并进行了增强设计,可满足更高等级的安全防护要求 通过独有的迁移适配优化技术,确保系统运行稳定,运行速度快, 用户体验好。
二、自主可控信息系统示范应用工程建设
历了一年实际应用考验,产品可靠性、易用性得到验证
软件系统:形成了能够基于国产化平台下运行的门户、邮件等应用软件系统 迁移、适配:形成了迁移适配方法,构建了迁移、适配方法库 测试、验证:构建了测试标准,形成了测试用例库、测试方法库、测试问题库
二、自主可控信息系统示范应用工程建设
面向大型企业经营管理信息系统自主可控建设的需求,航天科工集 团率先开展系统设计、迁移、集成部署等工作。作为国内首个得到实际 应用的复杂自主可控涉密信息系统,具有以下特点:
服务器 终端
基于Wintel架构 Tomcat,Weblogic等
Oracle、Mysql等 Windows
IBM、HP、DELL等 IBM、HP、DELL等
基于国产平台 东方通 神通数据库 中标麒麟
基于国产CPU天玥服务器 基于国产CPU天玥终端
二、自主可控信息系统示范应用工程建设
示范应用工程建设—突破的关键技术
云计算应用
大数据应用
三二、、自自主主可可控控信信息安息全安防全护技体术系研设计究与应用
针对当前自主可控信息系统面临的新安全威胁,适应信息系统的高安 全保障要求,依托信息系统自主可控的有力条件,亟需尽快开展一些关键 的安全技术研究,为构建多层次、一体化的自主可控信息安全防护体系提 供技术支撑。
三自主、可自控主信可息控安信全技息术安研全究技术研究与应用
航天科工自主可控试验基地—功能与特点
基地功能
开发平台:国产化应用软件迁移开发 测试平台:迁移后应用系统功能、性能的测试环境 集成验证:模拟实际应用环境及业务流程,开展硬件系统和软件功能、性能、 稳定性、鲁棒性等测试,确保应用系统在国产化平台下能够稳定运行 成果转化:为迁移开发、适配优化、测试验证形成的成果提供转化环境 培训平台:模拟航天科工涉密网三级网络架构和应用体系,组织系统用户培训
三二、、自自主主可可控控信信息安息全安防全护技体术系研设计究与应用
(二)关键技术研究
(4)新型密码理论及应用技术
研究量子密码理论、自主密码算法 设计技术、大规模密钥动态管理技 术和安全认证协议设计技术等; 为自主可控信息系统提供高安全等 级的密码服务。
自主可控信息 系统及与信息 安全技术研究
自主可控信息系统及信息安 全技术研究与应用
2015年10月
自主可控信息 系统及与信息 安全技术研究
与应用
一、概述 二、自主可控信息系统示范应用工程建设 三、自主可控信息安全技术研究与应用 四、后续工作展望
一、概述
自主可控信息系统的建设事关国家及国防安全,影响 深远,势在必行。
国产基础软硬件保证了系统的自主可控,有效解决了 预置木马、预设后门等问题;但是,安全漏洞是客观存在 的,自主可控并不能消除系统存在的安全漏洞。因此,亟 需开展自主可控信息安全技术的研究,以有效保证自主可 控信息系统的安全。
自主生态系统。 理事单位18个,成员单位35个
集团外联盟意向单位50个
松散层
半紧密层
紧密层
核心层
自主可控信息 系统及与信息 安全技术研究
与应用
一、概述 二、自主可控信息系统示范应用工程建设 三、自主可控信息安全技术研究与应用 四、后续工作展望
三二、、自自主主可可控控信信息安息全安防全护技体术系研设计究与应用
二、自主可控信息系统示范应用工程建设
(五)示范应用工程建设—取得的成果
完成了经营管理类共18个应用系统的迁移、适配、优化,在航天科工总 部、航天二院、七〇六所三级试点单位的部署、实施,7月1日开始试运行
自主可控计算机及信息系统整体方案规划与设计 硬件系统:基于国产CPU的终端、服务器、磁盘阵列、安全设备等系列化产品经
“棱镜门“事件
“心脏出血”漏洞(协议漏洞)
三一、、必自要主性可分控析信息安全技术研究与应用
(一)面临的问题
(4)新的安全防护模式与手段缺失,尚不能应对新技术带来的挑战 新技术:云计算、虚拟化、大数据、移动互联网等; 应用特点:网络结构多样化、用户爆炸性增长、数据快速膨胀; 不足:新的安全防护模式与应对手段缺失,难以有效应对新的安全威胁和 挑战。
主机监控系统
杀毒软件
三一、、自 必自主要主可性可控分控信析信息安息全安防全护技体术系研研究究必与要应性用分析
(一)面临的问题
(3)面向自主可控信息系统的安全测试工作尚未全面开展,系统自身的安全有 待进一步评估
自主可控杜绝了后门、陷阱,但是自主可控不等于安全; 局限于现有认知和技术水平,安全漏洞是不可避免的; 不足:缺乏系统的安全性测评理论与技术,自动化的测评手段和系统,无 法对自主可控信息系统的安全性进行定性、定量的测试评估。
三二、、自自主主可可控控信信息安息全安防全护技体术系研设计究与应用
(二)关键技术研究
(1)自主可控信息系统安全漏 洞规避处理技术
研究漏洞激发条件控制技术、漏 洞关联关系剪断技术、漏洞传播途 径切断技术等; 形成全新的安全漏洞规避处理机 制,提供有机衔接漏洞发现、漏洞 分析与漏洞规避的紧耦合漏洞处理 手段。
三二、、自自主主可可控控信信息安息全安防全护技体术系研设计究与应用
(二)关键技术研究
(2)自主可控信息系统脆弱性 分析技术
研究源代码安全性分析技术、分布 式模糊测试技术、动态污点分析技术、 漏洞扫描技术、渗透测试技术等; 挖掘自主可控信息系统存在的安全 漏洞和风险隐患,通过修补漏洞、消 除隐患,不断健全自主可控信息系统 的安全防护机制。
自主可控是指信息技术及产品完全自主设计研发,基本上可保证关键 软硬件不存在恶意预置的后门及陷阱,并能不断地对其进行改进或补丁修 补。但由于一些原因或约束条件限制,信息安全问题不会因信息技术自主 可控而消失,将长期持续存在 。
三、自主可控信息安全技术研究与应用
(一)面临的问题
(1)目前安全防护机制主要采取外围“打补丁”的被动防护模式,不能满足信 息系统对高安全等级防护的要求