创建电子政务安全保障空间体系

创建电子政务安全保障空间体系卫士通信息产业股份有限公司吴鸿钟博士副总工背景1998年5月22日，克林顿总统根据保护关键基础设施总统委员会的有关建议发布了著名的第63号总统令（PDD-63）明确要求最迟到2003年，各种关键基础设施的信息系统受到攻击时，联邦政府、各州和地方政府以及各个民营部门要确保国民的健康和安全，提供最基本的公众服务，对于基本电信、能源、金融的重点行业，要能够保证有条不紊的运行。俄罗斯提出了《国家信息安全学说》，作为官方保障俄罗斯联邦信息安全的目的、任务、原则和主要内容的观点的总和；日本政府已将信息安全问题从防范一般性高技术犯罪提升到保障国家安全的层面，从国家利益的高度强调信息化发展和信息安全问题；在加强法制建设方面，美国、英国、澳大利亚、德国、日本等国家都制定了不同的法律和行业、地区规定。我国从2002年1月，国家成立了电子政务标准化总体组，全面启动电子政务标准化工作，在技术上为电子政务打造一个良好的平台。2003年27号文件，明确进行信息安全保障的十条指导性意见。统一的电子政务内网党委人大部门政协政府统一的电子政务外网党委人大部门政协政府党委/政府两套电子政务内网党委/政府两套政务外网门户网站行业纵向网行业纵向办公网行业纵向业务网副省级以上电子政务内网副省级以上电子政务外网Internet中央人大部委政协政府中央人大部委政协政府中办机要网国办机要网逻辑隔离现状网络安全策划实施阶段网络安全维护阶段安全咨询安全风险评估整体解决方案需求分析策略制定方案实施整体网络安全安全管理监控定期安全评估网络安全培训紧急事件响应定期系统加固定期策略修改安全保障空间体系内网安全保障子空间外网安全保障子空间门户安全保障子空间安全服务保障子空间安全保障空间体系网络控制边界控制终端控制技术体系内网安全保障子空间RPWG312密钥管理中心密钥管理正在工作厖成都卫士通信息产业股份有限公司PWL326服务器密码机正在工作成都卫士通信息产业股份有限公司PWG312密钥管理中心密钥管理正在工作厖成都卫士通信息产业股份有限公司PWL326服务器密码机正在工作成都卫士通信息产业股份有限公司RRPWG312密钥管理中心密钥管理正在工作厖成都卫士通信息产业股份有限公司PWL326服务器密码机正在工作成都卫士通信息产业股份有限公司PWG312密钥管理中心密钥管理正在工作厖成都卫士通信息产业股份有限公司PWL326服务器密码机正在工作成都卫士通信息产业股份有限公司RRRR统一网络管理统一密码管理统一策略管理PWG312密钥管理中心密钥管理正在工作厖成都卫士通信息产业股份有限公司PWL326服务器密码机正在工作成都卫士通信息产业股份有限公司PWG312密钥管理中心密钥管理正在工作厖成都卫士通信息产业股份有限公司PWL326服务器密码机正在工作成都卫士通信息产业股份有限公司省市县乡/镇一级内网(专网)二级内网(专网)三级内网(PSTN)网络控制电子政务内网非法挪用非法连接非法无线非法使用非法代理安全文件柜IP和MAC绑定涉密终端保护系统IP/MAC更改涉密终端保护系统审计上网状态数字证书用户身份认证涉密终端保护系统限制无线安全文件柜涉密终端保护系统普密终端设备边界控制系统级终端控制安全登录外设控制系统监控WindowsLinux软驱/光驱/USB/串口/并口网络共享监控、系统帐户文件创建/修改/复制/删除审计操作审计是否存在代理与Internet连接网络连接是否存在拨号/无线连接Internet非法连接文件存放是否非法存在涉密文件口令检查是否符合BMZ1-2000的要求是否符合BMZ1-2000的要求日志检查主机定位IP/MAC绑定涉密终端保护系统依托统一的国家电子政务通信传输网络，整合建设电子政务外网，支持电子政务业务系统的运行，支持跨部门、跨地区的信息资源共享，支持电子政务业务的互联互通和信息交换，促进政府监管能力和服务水平的提高。外网安全保障子空间外网建设的目标和任务总体安全需求满足政府公用网络安全可信的需求要具有自身的特点等级保护纵深防御抗DDOS外网安全保障子空间三个方面实体身份的确定实体权限的控制信息的真实可用理念P-POT-PDRR模型层次间关系：在策略核心指导下，三个要素紧密结合，协同作用，最终实现信息安全的四个功能；核心思想：通过人员组织、安全技术以及运行操作三个支撑体系的综合作用，构成一个完整的信息安全管理体系；鉴别信息加密安全信令网管安全外网安全保障技术身份识别人员配置人员培训密钥管理设备管理证书管理人事安全介质安全设备安全环境安全电磁泄露防护电磁辐射评测通信网络安全端系统安全传输安全信息安全数据安全人机接口通用安全防病毒网络安全漏洞扫描入侵检测应急处理操作系统安全应用安全通用安全模块安全中间件协议安全信息加密信息确认安全管理通信安全计算机安全物理安全辐射安全技术思路网上工商网上税务网上统计金融服务办公处理一站式服务框架统一可信的Web服务平台统一可信的计算服务平台统一可信的数据交换平台信息安全应用保障环境CAKMRAAARMPKIPMI公网公网公网网络信任域涉密网网络信任域网络信任域基础设施信息安全基础设施信息系统应用层信息系统安全应用平台层基础设施层解决方案：一KEY通系统关键功能抗非法进入单机攻击抗存储信息的窃取攻击抗非法外设拷贝信息攻击抗内、外网切换攻击抗非法访问服务器攻击防安全程序卸载攻击防系统安全模式启动攻击抗网络侦听攻击抗非法接入网络终端攻击抗存储介质泄密攻击抗非法拨号上网泄密的攻击抗应用程序非法修改攻击抗应用程序流程攻击解决方案：统一用户管理PKI/CA统一用户管理用户管理粗粒度集中授权角色管理细粒度权限管理用户管理基础设施集中授权管理应用系统外网中的应用安全PWL326服务器密码机版本信息…..日志信息…..加密卡信息…版本信息…..日志信息…..加密卡信息…中国电子科技集团公司第三十研究所电子政务10.1.1.254/2710.1.1.253/27eth210.1.1.234/27eth3server根CA服务器密码机密码机192.1.1.2/24PWL326服务器密码机版本信息…..日志信息…..加密卡信息…版本信息…..日志信息…..加密卡信息…中国电子科技集团公司第三十研究所kmc服务器CA服务器192.1.1.1/24密钥管理中心192.1.1.3/24注册签发交换机CA系统192.1.1.5/24192.1.1.6/24中国电子科技集团公司第三十研究所PWL312-A密钥管理中心版本信息…..日志信息…..加密卡信息…版本信息…..日志信息…..加密卡信息…192.1.1.110/24PSTNPWL312-ATCP/IP网络密码机版本信息…..日志信息…..加密卡信息…版本信息…..日志信息…..加密卡信息…中国电子科技集团公司第三十研究所网络密码机拨号服务器SECSEC拨号终端数据密码机SECSEC终端数据密码机SECSEC普通终端USBkey192.1.1.254/24eth0根CA系统二级CA10.1.1.190/2710.1.1.188/2710.1.1.189/2710.1.1.161~187/27主LDAP192.1.1.234/24PWL326服务器密码机版本信息…..日志信息…..加密卡信息…版本信息…..日志信息…..加密卡信息…中国电子科技集团公司第三十研究所管理终端192.1.1.100/24统一用户/授权管理服务器10.1.1.230/27eth1门户网站的安全与防护基于PKI/CA的身份认证主页防篡改门户安全保障子空间安全服务模型安全服务过程安全服务保障子空间安全服务体系框架卫士通创建电子政务安全保障空间内网安全空间外网安全空间门户安全空间安全服务空间密码技术－》VPN技术；PKI/CA技术；监控技术总结谢谢！预祝本次论坛圆满成功！