做好新型信息技術(shù)發(fā)展應(yīng)用的信息安全等級(jí)保護(hù)工作.ppt

做好新型信息技術(shù)發(fā)展應(yīng)用的 信息安全等級(jí)保護(hù)工作,國(guó)家信息化專家咨詢委員會(huì)委員 沈昌祥 院士,目 錄,我國(guó)信息安全面臨的新問(wèn)題與新挑戰(zhàn),信息安全等級(jí)保護(hù)制度適用于 新型信息技術(shù)應(yīng)用的信息安全保障,信息安全等級(jí)保護(hù)技術(shù)框架,當(dāng)前，我國(guó)信息化發(fā)展正進(jìn)入全面深化的新階段。 工業(yè)控制信息化 三網(wǎng)融合 物聯(lián)網(wǎng) 云計(jì)算 等新型信息技術(shù)發(fā)展應(yīng)用，給我國(guó)網(wǎng)絡(luò)與信息安全保障工作提出了新任務(wù)，對(duì)信息安全等級(jí)保護(hù)工作進(jìn)行了全面挑戰(zhàn)。,2010年“網(wǎng)震”病毒事件破壞了伊朗核設(shè)施，震驚全球。這標(biāo)志著網(wǎng)絡(luò)攻擊從傳統(tǒng)“軟攻擊”階段升級(jí)為直接攻擊電力、金融、通信、核設(shè)施等核心要害系統(tǒng)的“硬摧毀”階段。應(yīng)對(duì)APT已成為確保國(guó)家關(guān)鍵基礎(chǔ)設(shè)施安全，保障國(guó)家安全、社會(huì)穩(wěn)定、經(jīng)濟(jì)發(fā)展、人民生活安定的核心問(wèn)題。 傳統(tǒng)的封堵安全防護(hù)做法難以解決封閉實(shí)時(shí)處理的工業(yè)控制系統(tǒng)安全問(wèn)題。,工業(yè)控制系統(tǒng),電信網(wǎng)、廣電網(wǎng)和互聯(lián)網(wǎng)三網(wǎng)融合后，信息安全風(fēng)險(xiǎn)將主要來(lái)自于網(wǎng)絡(luò)開(kāi)放性、終端復(fù)雜性、信息可信性等方面。信息量急劇增加，信息內(nèi)容控制將對(duì)信息保密防范技術(shù)提出更高要求。終端智能化和移動(dòng)等多接入方式，使其將面臨更復(fù)雜的攻擊。 另外，大規(guī)模的用戶數(shù)量將給監(jiān)管帶來(lái)重大挑戰(zhàn)。也存在原有法律與三網(wǎng)融合新要求相沖突的問(wèn)題。應(yīng)建立新的監(jiān)管體制和法律體系。,三網(wǎng)融合,物聯(lián)網(wǎng)將傳感、通信和信息處理整合成網(wǎng)路系統(tǒng)。把物品與互聯(lián)網(wǎng)連接起來(lái)，實(shí)現(xiàn)智能化識(shí)別、定位、跟蹤監(jiān)控和管理，這必然會(huì)成為影響社會(huì)穩(wěn)定、國(guó)家安全的重要因素之一。 物聯(lián)網(wǎng)運(yùn)用大量感知節(jié)點(diǎn)（智能設(shè)備和傳感器），將成為竊取情報(bào)、盜竊隱私的攻擊對(duì)象，而且龐大節(jié)點(diǎn)以集群方式連接將對(duì)網(wǎng)絡(luò)通信的依賴更加敏感，對(duì)分布式的物聯(lián)網(wǎng)核心網(wǎng)絡(luò)的管理平臺(tái)安全性、可信性要求更高。 另外，對(duì)數(shù)據(jù)傳輸?shù)陌踩院蜕矸菡J(rèn)證的可信性提出了更高的要求。,物 聯(lián) 網(wǎng),云計(jì)算是一種能夠動(dòng)態(tài)伸縮的虛擬化資源，通過(guò)網(wǎng)絡(luò)以服務(wù)的方式提供給用戶的計(jì)算模式，用戶不需要知道如何管理那些支持云計(jì)算的基礎(chǔ)設(shè)施。其安全風(fēng)險(xiǎn)在于： （1）由不可控、不可信的云經(jīng)營(yíng)商統(tǒng)管IT資源和計(jì)算基礎(chǔ)設(shè)施。 （2）更大規(guī)模異構(gòu)共享和虛擬動(dòng)態(tài)的運(yùn)營(yíng)環(huán)境難以控制。,云 計(jì) 算,如何保證云中IT資源安全、用戶隱私保護(hù)以及云計(jì)算環(huán)境的可信可靠，已成為阻礙云計(jì)算進(jìn)一步發(fā)展的主要因素。 另外，制定相應(yīng)的云計(jì)算法律法規(guī)，明確用戶和運(yùn)營(yíng)商法律責(zé)任也是發(fā)展云計(jì)算必不可少的。,新型信息技術(shù)應(yīng)用系統(tǒng)都是依托網(wǎng)絡(luò)技術(shù)構(gòu)建不同應(yīng)用模式的計(jì)算環(huán)境。,工業(yè)控制系統(tǒng)：,三網(wǎng)融合：,物聯(lián)網(wǎng)：,云計(jì)算：,信息安全等級(jí)保護(hù)是按信息處理系統(tǒng)的計(jì)算資源和信息資源重要程度不同實(shí)施不同保護(hù)強(qiáng)度的保障措施。 安全保護(hù)等級(jí)劃分準(zhǔn)則（GB/17859-1999）核心是對(duì)信息系統(tǒng)從三個(gè)方面實(shí)施保護(hù)。,針對(duì)計(jì)算資源（軟硬件）構(gòu)建保護(hù)環(huán)境，以可信計(jì)算基（TCB）為基礎(chǔ)，層層擴(kuò)充，對(duì)計(jì)算資源進(jìn)行保護(hù)。,針對(duì)信息資源（數(shù)據(jù)及應(yīng)用）構(gòu)建業(yè)務(wù)流程控制鏈，以訪問(wèn)控制為核心，實(shí)行主體（用戶）按策略規(guī)則訪問(wèn)客體（信息資源）。,保證資源安全必須實(shí)行科學(xué)管理，強(qiáng)調(diào)最小權(quán)限管理，尤其是高等級(jí)系統(tǒng)實(shí)行三權(quán)分離管理體制，不許設(shè)超級(jí)用戶。,針對(duì)上述四類(lèi)新應(yīng)用，按GB/17859要求，構(gòu)建在 安全管理中心 支持下的 計(jì)算環(huán)境 區(qū)域邊界 通信網(wǎng)絡(luò) 三重防御體系是必要的，可行的。 具體設(shè)計(jì)可參照（GB/T25070-2010）,要加強(qiáng)定級(jí)對(duì)象信息系統(tǒng)整體防護(hù)，建設(shè)管理中心支持下的計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防護(hù)體系結(jié)構(gòu)。,要重點(diǎn)做好操作人員使用的終端防護(hù)，把住攻擊發(fā)起的源頭關(guān)，做到操作使用安全。,防內(nèi)為主，內(nèi)外兼防，提高計(jì)算節(jié)點(diǎn)自身防護(hù)能力，減少?gòu)耐獠咳肟谏系姆舛隆?加強(qiáng)技術(shù)平臺(tái)支持下的安全管理，應(yīng)與業(yè)務(wù)處理、監(jiān)控及日常安全管理制度相結(jié)合。,為便于技術(shù)方案實(shí)施，整改時(shí)不改或少改原有的應(yīng)用系統(tǒng)。以信息處理流程制定安全策略，實(shí)施訪問(wèn)控制。,下面以云計(jì)算為例，介紹等級(jí)保護(hù)技術(shù)框架。 云中心一般由用戶網(wǎng)絡(luò)接入、訪問(wèn)應(yīng)用邊界、計(jì)算環(huán)境和管理平臺(tái)組成（如下圖所示），可形成虛擬應(yīng)用、虛擬計(jì)算節(jié)點(diǎn)以及虛擬（邏輯）計(jì)算環(huán)境，由此構(gòu)建可信計(jì)算安全主體結(jié)構(gòu)。,服務(wù)管理員,平臺(tái)層,軟件應(yīng)用層,云中心組成架構(gòu),用戶終端,運(yùn)維管理,用戶終端,應(yīng)用多用戶,應(yīng)用虛擬化,中間層服務(wù),數(shù)據(jù)庫(kù)服務(wù),基礎(chǔ)架構(gòu)層,虛擬化服務(wù),服務(wù)器,網(wǎng)絡(luò),存儲(chǔ),物理資源,業(yè)務(wù)管理,安全管理,訪問(wèn)接口,WEB,WEB 服務(wù),通信 網(wǎng)絡(luò),可信云計(jì)算體系安全架構(gòu),可信接入邊界,用戶 終端,可信通信網(wǎng)絡(luò),可信計(jì)算設(shè)備,系統(tǒng) 安全 審計(jì),安全管理中心,在安全管理中心支撐下的 可信計(jì)算環(huán)境 可信邊界 可信通信網(wǎng)絡(luò) 三重防護(hù)架構(gòu),可信計(jì)算環(huán)境,計(jì) 算 節(jié) 點(diǎn),1、可信云計(jì)算環(huán)境,可信鏈傳遞,可信接入平臺(tái),用戶服務(wù)請(qǐng)求,服務(wù)提供,可信云計(jì)算環(huán)境,可信鏈傳遞,可信接入平臺(tái),用戶服務(wù)請(qǐng)求,服務(wù)提供,可信鏈傳遞：從基礎(chǔ)設(shè)施可信根出發(fā)，度量基礎(chǔ)設(shè)施、計(jì)算平臺(tái)可信，驗(yàn)證虛擬計(jì)算資源可信，支持應(yīng)用服務(wù)的可信。確保計(jì)算環(huán)境可信。,2、可信云計(jì)算應(yīng)用邊界,可信鏈傳遞,可信接入平臺(tái),用戶服務(wù)請(qǐng)求,服務(wù)提供,可信接入：驗(yàn)證用戶請(qǐng)求和連接的計(jì)算資源可信,3、可信云計(jì)算通信網(wǎng)絡(luò),可信接入邊界,用戶 終端,可信通信網(wǎng)絡(luò),可信計(jì)算設(shè)備,系統(tǒng) 安全 審計(jì),安全管理中心,可信計(jì)算環(huán)境,計(jì) 算 節(jié) 點(diǎn),保證用戶與云中心通信安全可信,4、可信云計(jì)