沈昌祥-信息安全保障建设中的几个焦点问题

信息安全保障建设中的几个焦点问题国家信息化专家咨询委员会委员沈昌祥院士内容—————————————————————————一、信息安全等级划分与保护二、等级保护与信息安全保障各环节的关系三、可信计算平台是系统级安全的必要条件四、高安全等级系统软件是信息安全的基础一、信息安全等级划分与保护nn20042004年年99月月1515日由公安部、国家保密局、日由公安部、国家保密局、国家密码管理局和国信办联合下发国家密码管理局和国信办联合下发《《关于信息安全等级保护工作的实施关于信息安全等级保护工作的实施意见意见》》（（6666号文件），明确实施等级号文件），明确实施等级保护的基本做法。保护的基本做法。nn20072007年年66月月2222日又由四单位联合下发日又由四单位联合下发《《信息安全等级保护管理办法信息安全等级保护管理办法》》（（4343号文件），规范了信息安全等级保护号文件），规范了信息安全等级保护的管理。的管理。n坚持自主定级、自主保护原则。应根据在国家安全、经济建设、社会生活中的重要程度，以及系统遭受破坏后的危害程度等因素确定等级。等级划分：√√五级√√√√四级√√√√三级√√√√二级√√一级特别严重损害严重损害损害特别严重损害严重损害损害严重损害损害国家安全社会秩序和公共利益合法权益等级等级划分：√√五级√√√√四级√√√√三级√√√√二级√√一级特别严重损害严重损害损害特别严重损害严重损害损害严重损害损害国家安全社会秩序和公共利益合法权益等级等级划分：√√五级√√√√四级√√√√三级√√√√二级√√一级特别严重损害严重损害损害特别严重损害严重损害损害严重损害损害国家安全社会秩序和公共利益合法权益等级专家委评审专门检查实时监控专门监督检查五级专家委评审半年一次测评检查结构化保证强制监督检查四级主管部门审批每年一次测评检查标记（强制访问）监督检查三级主管部门审批公安备案审计（自主访问）指导保护二级主管部门审批自定自主访问自主保护一级实施与管理保护级（GB17859)分级保护等级专家委评审专门检查实时监控专门监督检查五级专家委评审半年一次测评检查结构化保证强制监督检查四级主管部门审批每年一次测评检查标记（强制访问）监督检查三级主管部门审批公安备案审计（自主访问）指导保护二级主管部门审批自定自主访问自主保护一级实施与管理保护级（GB17859)分级保护等级专家委评审专门检查实时监控专门监督检查五级专家委评审半年一次测评检查结构化保证强制监督检查四级主管部门审批每年一次测评检查标记（强制访问）监督检查三级主管部门审批公安备案审计（自主访问）指导保护二级主管部门审批自定自主访问自主保护一级实施与管理保护级（GB17859)分级保护等级专家委评审专门检查实时监控专门监督检查五级专家委评审半年一次测评检查结构化保证强制监督检查四级主管部门审批每年一次测评检查标记（强制访问）监督检查三级主管部门审批公安备案审计（自主访问）指导保护二级主管部门审批自定自主访问自主保护一级实施与管理保护级（GB17859)分级保护等级专家委评审专门检查实时监控专门监督检查五级专家委评审半年一次测评检查结构化保证强制监督检查四级主管部门审批每年一次测评检查标记（强制访问）监督检查三级主管部门审批公安备案审计（自主访问）指导保护二级主管部门审批自定自主访问自主保护一级实施与管理保护级（GB17859)分级保护等级二、等级保护与信息安全保障各环节的关系nn等级保护、风险评估、应急处理和灾难等级保护、风险评估、应急处理和灾难恢复是信息安全保障的主要环节，对等恢复是信息安全保障的主要环节，对等于于P.D.R.RP.D.R.R模型的各要素。因此各环节应模型的各要素。因此各环节应前后联接、融为一体。前后联接、融为一体。nn而现在往往各自独立地制定标准、试点而现在往往各自独立地制定标准、试点推广，导致保障目标混乱，保护策略相推广，导致保障目标混乱，保护策略相互冲突，达不到应有效果，浪费资源，互冲突，达不到应有效果，浪费资源，增大保护成本。增大保护成本。nn这种局面应加以纠正，学术上应重点研这种局面应加以纠正，学术上应重点研究各环节内涵的一致性和外延的匹配性。究各环节内涵的一致性和外延的匹配性。nn等级保护是以制度的方式确定保护对象等级保护是以制度的方式确定保护对象的重要程度和要求，风险评估是检测评的重要程度和要求，风险评估是检测评估是否达到保护要求的度量工具，应急估是否达到保护要求的度量工具，应急处理是将剩余风险因突发事件引起损失处理是将剩余风险因突发事件引起损失降低到可接受程度的对应手段。灾难恢降低到可接受程度的对应手段。灾难恢复是针对发生灾难性破坏时所采取的由复是针对发生灾难性破坏时所采取的由备份进行恢复的措施。备份进行恢复的措施。nn它们都是为使一个确定的保护对象的资它们都是为使一个确定的保护对象的资产少受或不受损失所进行的各个保障环产少受或不受损失所进行的各个保障环节，缺一不可，单独进行也不成，必须节，缺一不可，单独进行也不成，必须从总体统一保障。从总体统一保障。nn等级保护应根据信息系统的综合价等级保护应根据信息系统的综合价值和综合能力保证的要求不同值和综合能力保证的要求不同以及以及安全性破坏造成损失大小安全性破坏造成损失大小来确定其来确定其相应的保护等级。相应的保护等级。nn信息资产由价值表示，分为经济价值和信息资产由价值表示，分为经济价值和社会价值。用下图表示：社会价值。用下图表示：经济价值社会价值综合价值nn业务能力表现在信息服务上，分为服务业务能力表现在信息服务上，分为服务范围和连续性依赖程度。范围和连续性依赖程度。服务范围连续性依赖综合能力保证降低威胁能力风险评估计算风险评估计算降低残余风险：降低残余风险：降低脆弱性新增或强化安全措施残余风险能接受？降低负面影响维持是否nn安全应急恢复是一种降低残余风险损失安全应急恢复是一种降低残余风险损失的协调过程，涉及到计划、流程和技术的协调过程，涉及到计划、流程和技术措施，以使措施，以使ITIT系统、运行和数据在被破系统、运行和数据在被破坏后能够得到恢复。这涉及到法律、组坏后能够得到恢复。这涉及到法律、组织管理和技术支持等环节，首先要做好织管理和技术支持等环节，首先要做好应急规划。应急规划。应急贯穿系统全生命周期：开发/采办阶段实现阶段运行/维护阶段启动阶段废弃阶段进行测试计划的培训、演习随时准备恢复原系统确定应急需求确定应急方案三、可信计算平台是系统安全的必要条件nn随着计算机的普及，安全问题越来越突随着计算机的普及，安全问题越来越突出，采取老三样的堵漏洞、作高墙的方出，采取老三样的堵漏洞、作高墙的方法来解决安全问题，反而使问题越来越法来解决安全问题，反而使问题越来越多。因而可信计算平台无疑是一种有效多。因而可信计算平台无疑是一种有效的解决办法。其实这也不是什么突破性的解决办法。其实这也不是什么突破性的东西，而是对安全本质的一种回归。的东西，而是对安全本质的一种回归。nn可信计算平台基于可信平台模块可信计算平台基于可信平台模块（（TPMTPM））,,以密码技术为支持、安全操作以密码技术为支持、安全操作系统为核心（如图所示）系统为核心（如图所示）安全应用组件安全操作系统安全操作系统内核密码模块协议栈主板可信BIOSTPM(密码模块芯片)图：可信计算平台可信计算平台具有以下功能：可信计算平台具有以下功能：nn确保用户唯一身份、权限、工作空间的确保用户唯一身份、权限、工作空间的完整性完整性//可用性可用性nn确保存储、处理、传输的机密性确保存储、处理、传输的机密性//完整性完整性nn确保硬件环境配置、操作系统内核、服确保硬件环境配置、操作系统内核、服务及应用程序的完整性务及应用程序的完整性nn确保密钥操作和存储的安全确保密钥操作和存储的安全nn确保系统具有免疫能力，从根本上阻止确保系统具有免疫能力，从根本上阻止病毒和黑客等软件攻击病毒和黑客等软件攻击nn做到非法人员进不来、拿不走、看不懂、做到非法人员进不来、拿不走、看不懂、改不了、赖不掉改不了、赖不掉n微软下一代操作系统（Vista）已正式发布，其主要特点是全面采用可信计算技术提高其安全可控性，利用密码技术把各种应用绑定在它的平台上，我们几乎不可能修改、插入有利于安全的代码。n还是以防外部攻击为目的，仍达不到防内部攻击的高安全等级要求。不是一个高安全等级的操作系统。四、高安全等级系统软件是信息安全的基础nn确保国家机密应以防内为主，必须采确保国家机密应以防内为主，必须采用高安全等级的操作系统和数据库用高安全等级的操作系统和数据库nn实施安全等级保护需要采取细粒度强实施安全等级保护需要采取细粒度强制访问控制、全程的密级标识和严格制访问控制、全程的密级标识和严格的最小特权原则的最小特权原则nn目前我们还没有实施高安全等级的相目前我们还没有实施高安全等级的相应技术和产品应技术和产品，，一定要在系统内核加强加固，力争自主可控满足国家标准（满足国家标准（GBGB--1785917859）中的）中的nn三级系统能防内部人员攻击三级系统能防内部人员攻击nn四级系统能防高手的攻击四级系统能防高手的攻击nn五级能防内外勾结的集团性攻击五级能防内外勾结的集团性攻击nn商用的操作系统和数据库不能防止内商用的操作系统和数据库不能防止内部人员从系统底层读取和修改重要数部人员从系统底层读取和修改重要数据，应用软件中各种安全措施都无效据，应用软件中各种安全措施都无效（如：高手窃密卖密案件的警示）。（如：高手窃密卖密案件的警示）。nn完全的物理隔离信息系统也存在泄密完全的物理隔离信息系统也存在泄密的隐通道（如：移动存储设备的信息的隐通道（如：移动存储设备的信息摆渡问题），必须从系统核心级防止。摆渡问题），必须从系统核心级防止。谢谢！