网络安全体系基础架构建设知识

《网络安全体系基础架构建设知识》由会员分享，可在线阅读，更多相关《网络安全体系基础架构建设知识（90页珍藏版）》请在装配图网上搜索。

1、1网络安全体系网络安全体系基础架构建设知识基础架构建设知识天融信公司天融信公司 罗罗 春春2讲师简介讲师简介3国际社会对信息安全的共识国际社会对信息安全的共识l1998年以来的历届联合国大会，均专门商年以来的历届联合国大会，均专门商讨信息安全概念和主要威胁；讨信息安全概念和主要威胁；l1999年，俄罗斯向联合国提交了年，俄罗斯向联合国提交了从国际从国际安全的角度来看信息和电信领域的发展安全的角度来看信息和电信领域的发展报告，遭到西方国家强烈抵制；报告，遭到西方国家强烈抵制；l_年年_月月_日，俄罗斯联合中国等国，日，俄罗斯联合中国等国，继续提交了报告决议草案，最终继续提交了报告决议草案，最终1

2、69票对票对1票通过，唯一投反对票的国家是美国。票通过，唯一投反对票的国家是美国。4中国面临的信息安全风险因素中国面临的信息安全风险因素l基础信息网络和重要信息系统的安全防护基础信息网络和重要信息系统的安全防护能力不强能力不强l泄密隐患严重泄密隐患严重l信息技术自主可控能力不高信息技术自主可控能力不高l对外风险意识欠缺，防范措施不够，缺乏对外风险意识欠缺，防范措施不够，缺乏对国外信息技术产品和服务采购中的风险对国外信息技术产品和服务采购中的风险控制控制5中国面临的信息安全事故中国面临的信息安全事故l基础信息网络和重要信息系统的安全防护基础信息网络和重要信息系统的安全防护能力不强能力不强l_年深

3、圳证券交易所通信中断，停止交年深圳证券交易所通信中断，停止交易易l_年北京首都国际机场离港系统技术故年北京首都国际机场离港系统技术故障障l_年中国银联系统中断年中国银联系统中断6 6小时小时l_年中国民航离港系统技术故障年中国民航离港系统技术故障6中国面临的信息安全现状中国面临的信息安全现状l基础信息网络和重要信息系统的安全防护基础信息网络和重要信息系统的安全防护能力不强能力不强 重视不够，投入不足重视不够，投入不足 安全体系不完善，整体安全十分脆弱安全体系不完善，整体安全十分脆弱 软硬件特别是高端产品严重依赖国外软硬件特别是高端产品严重依赖国外 国家安全意识不强国家安全意识不强7中国面临的信

4、息安全风险因素中国面临的信息安全风险因素l泄密隐患严重泄密隐患严重 情报机构网上窃密活动猖獗情报机构网上窃密活动猖獗 信息时代泄密途径日益增多信息时代泄密途径日益增多 新兴技术发展导致保密形势严峻新兴技术发展导致保密形势严峻8中国面临的信息安全风险因素中国面临的信息安全风险因素l信息技术自主可控能力不高信息技术自主可控能力不高核心器件和核心软件还大量依赖国外核心器件和核心软件还大量依赖国外大规模集成电路技术大规模集成电路技术集成电路专用设备集成电路专用设备操作系统和数据库操作系统和数据库9090是外国公司产品是外国公司产品通信技术、电子视听核心技术没有掌握通信技术、电子视听核心技术没有掌握新型

5、元器件方面的核心技术基础非常薄弱新型元器件方面的核心技术基础非常薄弱9中国面临的信息安全风险因素中国面临的信息安全风险因素l对外风险意识欠缺，防范措施不够对外风险意识欠缺，防范措施不够缺少对采购国外信息技术产品和服务的限制缺少对采购国外信息技术产品和服务的限制尚未建立外商投资安全审查机制尚未建立外商投资安全审查机制互联网基础设施对国外高度依赖互联网基础设施对国外高度依赖DNSDNS问题问题10有关电子标签的两次政协提案有关电子标签的两次政协提案l 电子标签：非接触自动识别技术，通过射频信号识别目标电子标签：非接触自动识别技术，通过射频信号识别目标对象并获取相关数据，无须人工干预；对象并获取相关

6、数据，无须人工干预；l _年两会期间，杨匡满等政协委员再次递交了年两会期间，杨匡满等政协委员再次递交了关于关于国家强制性标准全国产品与服务统一代码（国家强制性标准全国产品与服务统一代码（NPC）的推广）的推广应用工作必须立即恢复的再提议案应用工作必须立即恢复的再提议案，签名提案委员，签名提案委员72人，人，成为政协史上最大提案；成为政协史上最大提案；_年，年，59名；名；l NPC是我国自主创新、完全拥有知识产权的国家强制性标是我国自主创新、完全拥有知识产权的国家强制性标准，准，_年由国家质检总局发布，年由国家质检总局发布，_年宣布取消；年宣布取消；l EPC是美国是美国EPC Global公

7、司推出的产品电子代码，公司推出的产品电子代码，_年进入中国，中国物品编码中心（国家质检总局、国家标年进入中国，中国物品编码中心（国家质检总局、国家标准委所属机构）为其代理单位；准委所属机构）为其代理单位；l 日本坚决抵制日本坚决抵制EPC，建立了自己的，建立了自己的UID；德国、韩国。；德国、韩国。11网络安全体系基础架构网络安全体系基础架构12中国早期参考的信息安全体系标准中国早期参考的信息安全体系标准l 美国国防部早在美国国防部早在80年代就针对国防部门的计算机安全保密年代就针对国防部门的计算机安全保密成立了国家计算机安全中心（成立了国家计算机安全中心（NCSC）l 1983 年年NCSC

8、公布了可信计算机系统评估准则公布了可信计算机系统评估准则TCSEC-Trusted Computer System Evaluation Criteria，俗称，俗称橘皮书橘皮书l NCSC于于1987年出版了一系列有关可信计算机数据库、可年出版了一系列有关可信计算机数据库、可信计算机网络等的指南等（俗称彩虹系列），根据所采用信计算机网络等的指南等（俗称彩虹系列），根据所采用的安全策略、系统所具备的安全功能将系统分为四类七个的安全策略、系统所具备的安全功能将系统分为四类七个安全级别。将安全级别。将计算机系统的可信程度划分为计算机系统的可信程度划分为D、C1、C2、B1、B2、B3和和A1七个层

9、次七个层次。13中国早期参考的信息安全体系标准中国早期参考的信息安全体系标准l TCSEC带动了国际计算机安全的评估研究，带动了国际计算机安全的评估研究，90年代西欧年代西欧四国（英、法、荷、德）联合提出了信息技术安全评估标四国（英、法、荷、德）联合提出了信息技术安全评估标准（准（ITSEC），），ITSEC（又称欧洲白皮书）除了吸收（又称欧洲白皮书）除了吸收TCSEC 的成功经验外，首次提出了信息安全的保密性、的成功经验外，首次提出了信息安全的保密性、完整性、可用性的概念完整性、可用性的概念l 美国不甘心美国不甘心TCSEC的影响被的影响被ITSEC取代，他们联合其他取代，他们联合其他国家于

10、国家于1991年年_月宣布制定了通用安全评估准则月宣布制定了通用安全评估准则CC，并于并于1996年年_月出版了月出版了1.0版。版。CC标准吸收了各先进国标准吸收了各先进国家对现代信息系统信息安全的经验与知识，对未来信息安家对现代信息系统信息安全的经验与知识，对未来信息安全的研究与应用带来重大影响中国根据该准则制订了全的研究与应用带来重大影响中国根据该准则制订了计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则 GB17859-199914目前最新的信息安全体系发展状况目前最新的信息安全体系发展状况l 1994年，国务院发布了年，国务院发布了中华人民共和国计算机信息系中华人

11、民共和国计算机信息系统安全保护条例统安全保护条例，该条例是计算机信息系统安全保护的，该条例是计算机信息系统安全保护的法律基础。法律基础。l 其中第九条规定其中第九条规定“计算机信息系统实行安全等级保护。安计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。会同有关部门制定。”l 公安部组织制订了公安部组织制订了计算机信息系统安全保护等级划分准计算机信息系统安全保护等级划分准则则的国家标准，并于的国家标准，并于1999年年_月月_日由国家质量技日由国家质量技术监督局审查通过并正式批准发布，已于术监

12、督局审查通过并正式批准发布，已于 _年年_月月_日执行。日执行。15信息安全等级保护相关文件间的关系信息安全等级保护相关文件间的关系16信息系统安全等级保护实施政策文件信息系统安全等级保护实施政策文件l 国务院国务院147147号令号令中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例l 中办发中办发200327200327号号国家信息化领导小组关于加强信息安全保障工作的意见国家信息化领导小组关于加强信息安全保障工作的意见l 公通字公通字200466200466号号关于信息安全等级保护工作的实施意见关于信息安全等级保护工作的实施意见l 公通字公通字20074320

13、0743号号信息安全等级保护管理办法信息安全等级保护管理办法17信息系统安全等级保护实施的标准法规信息系统安全等级保护实施的标准法规v信息安全技术信息安全技术 信息系统安全等级保护定级指南信息系统安全等级保护定级指南GB/T 22240-2008GB/T 22240-2008v信息安全技术信息安全技术 信息系统安全等级保护基本要求信息系统安全等级保护基本要求GB/T 22239-2008GB/T 22239-2008v信息系统安全等级保护实施指南（国家标准报批稿）信息系统安全等级保护实施指南（国家标准报批稿）v信息系统安全等级保护测评准则（国家标准报批稿）信息系统安全等级保护测评准则（国家标准

14、报批稿）18信息系统安全等级保护实施技术标准信息系统安全等级保护实施技术标准l 计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则（GB 17859-1999GB 17859-1999）l 信息安全技术信息安全技术 信息系统通用安全技术要求信息系统通用安全技术要求（GB/T 20271-2006GB/T 20271-2006）l 信息安全技术信息安全技术 网络基础安全技术要求网络基础安全技术要求（GB/T 20270-2006GB/T 20270-2006）l 信息安全技术信息安全技术 操作系统安全技术要求操作系统安全技术要求（GB/T 20272-2006GB/T 2027

15、2-2006）l 信息安全技术信息安全技术 数据库管理系统安全技术要求数据库管理系统安全技术要求（GB/T 20273-2006GB/T 20273-2006）l 信息安全技术信息安全技术 服务器技术要求服务器技术要求（GB/T 21028-2007GB/T 21028-2007）l 信息安全技术信息安全技术 终端计算机系统安全等级技术要求终端计算机系统安全等级技术要求（GA/T 671-2006GA/T 671-2006）l 涉及国家秘密的信息系统分级保护技术要求涉及国家秘密的信息系统分级保护技术要求（BMB17-2006BMB17-2006）l 19信息系统安全等级保护实施管理标准信息系统

16、安全等级保护实施管理标准v 信息安全技术信息安全技术 信息系统安全管理要求信息系统安全管理要求（GB/T 20269-2006GB/T 20269-2006）v 信息安全技术信息安全技术 信息系统安全工程管理要求信息系统安全工程管理要求（GB/T 20282-2006GB/T 20282-2006）v 涉及国家秘密的信息系统分级保护管理规范涉及国家秘密的信息系统分级保护管理规范（BMB20-2007BMB20-2007）v v 信息技术信息技术 安全技术安全技术 信息安全管理体系要求信息安全管理体系要求（GB/T 22080-2008GB/T 22080-2008）v 信息技术信息技术 安全技

17、术安全技术 信息安全管理实用规则信息安全管理实用规则（GB/T 22081-2008GB/T 22081-2008）20近期新增国家信息安全标准近期新增国家信息安全标准lGB/T 20945-2007 信息安全技术信息系统安全审计产品技术要求和测试评价方法信息安全技术信息系统安全审计产品技术要求和测试评价方法lGB/T 20979-2007 信息安全技术虹膜识别系统技术要求信息安全技术虹膜识别系统技术要求lGB/T 20983-2007 信息安全技术网上银行系统信息安全保障评估准则信息安全技术网上银行系统信息安全保障评估准则lGB/T 20984-2007 信息安全技术信息安全风险评估规范信息

18、安全技术信息安全风险评估规范lGB/T 20987-2007 信息安全技术网上证券交易系统信息安全保障评估准则信息安全技术网上证券交易系统信息安全保障评估准则lGB/T 20988-2007 信息安全技术信息安全技术 信息系统灾难恢复规范信息系统灾难恢复规范lGB/T 21028-2007 信息安全技术服务器安全技术要求信息安全技术服务器安全技术要求lGB/T 21050-2007 信息安全技术网络交换机安全技术要求信息安全技术网络交换机安全技术要求(评估保证级评估保证级3)lGB/T 21052-2007 信息安全技术信息系统物理安全技术要求信息安全技术信息系统物理安全技术要求lGB/T 2

19、1053-2007 信息安全技术公钥基础设施信息安全技术公钥基础设施PKI系统安全等级保护技术要求系统安全等级保护技术要求lGB/T 21054-2007 信息安全技术公钥基础设施信息安全技术公钥基础设施PKI系统安全等级保护评估准则系统安全等级保护评估准则lGB/Z 20283-2006 信息安全技术信息安全技术 保护轮廓和安全目标的产生指南保护轮廓和安全目标的产生指南lGB/Z 20985-2007 信息技术信息技术 安全技术安全技术 信息安全事件管理指南信息安全事件管理指南lGB/Z 20986-2007 信息安全技术信息安全技术 信息安全事件分类分级指南信息安全事件分类分级指南lGB/

20、T 22239-2008 信息安全技术信息安全技术 信息系统安全等级保护基本要求信息系统安全等级保护基本要求lGB/T 22240-2008 信息安全技术信息安全技术 信息系统安全等级保护定级指南信息系统安全等级保护定级指南lGB/T 22080-2008 信息技术信息技术 安全技术安全技术 信息安全管理体系要求信息安全管理体系要求lGB/T 22081-2008 信息技术信息技术 安全技术安全技术 信息安全管理实用规则信息安全管理实用规则21网络安全体系基础架构的主要建设过程网络安全体系基础架构的主要建设过程22网络安全体系基础架构前的准备工作网络安全体系基础架构前的准备工作风险评估准备风险

21、评估准备保护对象分析保护对象分析威胁分析威胁分析脆弱性分析脆弱性分析控制措施分析控制措施分析确定风险后果确定风险后果确定风险概率确定风险概率确定风险等级确定风险等级安全风险评估报告安全风险评估报告信息安全技术信息安全技术 信息安全风险评估规范信息安全风险评估规范（GB/T 20984-2007GB/T 20984-2007）23网络安全集成商的选择企业主要相关资质网络安全集成商的选择企业主要相关资质24网络安全产品的选择国家安全相关资质网络安全产品的选择国家安全相关资质25网络安全产品的选择密码产品相关资质网络安全产品的选择密码产品相关资质26网络安全产品的选择业界主要安全相关资质网络安全产品

22、的选择业界主要安全相关资质27网络安全措施简介网络安全措施简介28主机安全措施简介主机安全措施简介29应用安全措施简介应用安全措施简介30数据安全措施简介数据安全措施简介31网络安全体系基础架构的主要涉及层面网络安全体系基础架构的主要涉及层面32物理安全（三级）物理安全（三级）物理位置的选择物理位置的选择物理访问控制物理访问控制防盗窃和防破坏防盗窃和防破坏防雷击防雷击防火防火防水和防潮防水和防潮防静电防静电温湿度控制温湿度控制电力供应电力供应A3电磁防护电磁防护S3物理安全需求分析物理安全需求分析33物理位置的选择物理位置的选择物理安全需求分析物理安全需求分析34物理访问控制物理访问控制物理安

23、全需求分析物理安全需求分析35防盗窃和防破坏防盗窃和防破坏物理安全需求分析物理安全需求分析36防雷击防雷击物理安全需求分析物理安全需求分析37防火防火物理安全需求分析物理安全需求分析38防水和防潮防水和防潮物理安全需求分析物理安全需求分析39防静电防静电物理安全需求分析物理安全需求分析40温湿度控制温湿度控制物理安全需求分析物理安全需求分析41电力供应电力供应A3物理安全需求分析物理安全需求分析42电磁防护电磁防护S3物理安全需求分析物理安全需求分析综合布线工程设计规范综合布线工程设计规范（GB 50311-2007GB 50311-2007）综合布线工程验收规范综合布线工程验收规范（GB 5

24、0312-2007 GB 50312-2007）43网络安全（三级）网络安全（三级）结构安全结构安全访问控制访问控制安全审计安全审计边界完整性检查边界完整性检查S3入侵防范入侵防范恶意代码防护恶意代码防护网络设备防护网络设备防护网络安全需求分析网络安全需求分析44结构安全结构安全网络安全需求分析网络安全需求分析45网络安全区域划分原则网络安全区域划分原则l网络整体是一个安全域网络整体是一个安全域l划分安全子域划分安全子域l内部安全域划分要考虑用户接入情况内部安全域划分要考虑用户接入情况l安全域划分要利于安全设备的部署安全域划分要利于安全设备的部署l安全域划分要保障业务正常开展安全域划分要保障业

25、务正常开展46网络安全区域划分详细说明网络安全区域划分详细说明l 接入安全域：包括外部单位接入、机关接入和外联单位接入接入安全域：包括外部单位接入、机关接入和外联单位接入l 一般安全域：包括网络数据交换区、基本服务区和安全管理区一般安全域：包括网络数据交换区、基本服务区和安全管理区l 核心安全域：核心业务区核心安全域：核心业务区47访问控制访问控制网络安全需求分析网络安全需求分析48安全审计安全审计网络安全需求分析网络安全需求分析49边界完整性检查边界完整性检查S3网络安全需求分析网络安全需求分析50入侵防范入侵防范网络安全需求分析网络安全需求分析51恶意代码防护恶意代码防护网络安全需求分析网

26、络安全需求分析52网络设备防护网络设备防护网络安全需求分析网络安全需求分析53主机安全（三级）主机安全（三级）身份鉴别身份鉴别S3访问控制访问控制S3安全审计安全审计剩余信息防护剩余信息防护S3入侵防范入侵防范恶意代码防范恶意代码防范资源控制资源控制A3主机安全需求分析主机安全需求分析54身份鉴别身份鉴别S3主机安全需求分析主机安全需求分析55访问控制访问控制S3主机安全需求分析主机安全需求分析56安全审计安全审计主机安全需求分析主机安全需求分析57剩余信息防护剩余信息防护S3主机安全需求分析主机安全需求分析58入侵防范入侵防范主机安全需求分析主机安全需求分析59恶意代码防范恶意代码防范主机安

27、全需求分析主机安全需求分析60资源控制资源控制A3主机安全需求分析主机安全需求分析61应用安全（三级）应用安全（三级）身份鉴别身份鉴别S3访问控制访问控制S3安全审计安全审计剩余信息保护剩余信息保护S3通信完整性通信完整性S3通信保密性通信保密性S3抗抵赖抗抵赖软件容错软件容错A3资源控制资源控制A3应用安全需求分析应用安全需求分析62身份鉴别身份鉴别S3应用安全需求分析应用安全需求分析63访问控制访问控制S3应用安全需求分析应用安全需求分析64安全审计安全审计应用安全需求分析应用安全需求分析65剩余信息保护剩余信息保护S3应用安全需求分析应用安全需求分析66通信完整性通信完整性S3应用安全需

28、求分析应用安全需求分析67通信保密性通信保密性S3应用安全需求分析应用安全需求分析68抗抵赖抗抵赖应用安全需求分析应用安全需求分析69软件容错软件容错A3应用安全需求分析应用安全需求分析70资源控制资源控制A3应用安全需求分析应用安全需求分析71数据安全（三级）数据安全（三级）数据完整性数据完整性S3数据保密性数据保密性S3备份与恢复备份与恢复A3数据安全需求分析数据安全需求分析72数据完整性数据完整性S3数据安全需求分析数据安全需求分析73数据保密性数据保密性S3数据安全需求分析数据安全需求分析74备份与恢复备份与恢复A3数据安全需求分析数据安全需求分析75安全管理制度（三级）安全管理制度（

29、三级）管理制度管理制度制定和发布制定和发布评审和修订评审和修订安全管理制度的要求安全管理制度的要求76岗位设置岗位设置人员配备人员配备授权和审批授权和审批沟通和合作沟通和合作审核和检查审核和检查安全管理机构（三级）安全管理机构（三级）安全管理机构的要求安全管理机构的要求77人员录用人员录用人员离岗人员离岗人员考核人员考核安全意识教育和培训安全意识教育和培训外部人员访问管理外部人员访问管理人员安全管理（三级）人员安全管理（三级）人员安全管理的要求人员安全管理的要求78系统定级系统定级安全方案设计安全方案设计产品采购和使用产品采购和使用自行软件开发自行软件开发外包软件开发外包软件开发工程实施工程实

30、施测试验收测试验收系统交付系统交付系统备案系统备案等级测评等级测评系统建设管理（三级）系统建设管理（三级）安全服务商选择安全服务商选择系统建设管理的要求系统建设管理的要求79环境管理环境管理资产管理资产管理介质管理介质管理设备管理设备管理监控管理和安全管理中心监控管理和安全管理中心网络安全管理网络安全管理系统安全管理系统安全管理恶意代码防范管理恶意代码防范管理密码管理密码管理变更管理变更管理系统运维管理（三级）系统运维管理（三级）备份与恢复管理备份与恢复管理安全事件处置安全事件处置应急预案管理应急预案管理系统运维管理的要求系统运维管理的要求8081谢谢！谢谢！82谢谢！谢谢！83谢谢！谢谢！84谢谢！谢谢！85谢谢！谢谢！86谢谢！谢谢！87谢谢！谢谢！88谢谢！谢谢！89谢谢！谢谢！90谢谢！谢谢！