《信创等保网络安全总体解决方案.docx》由会员分享,可在线阅读,更多相关《信创等保网络安全总体解决方案.docx(9页珍藏版)》请在第一文库网上搜索。
1、信创等保网络安全总体解决方案1 总体解方案基本概述11. 1开展信创等保建设的必要性41. 2采用自主生态体系的重要性42 .解决方案总体架构及说明521女全保障基础框架.S2.2信创等保安全总体设计架构63 .总体安全解决方案内容模块介绍74 .总体解决方案应用案例展ZK81.1. 1.PKS场景一:信创终端安全可信计算过程展示81.2. PKS场景二:信创云平台安全可信计算过程展示91.3. PKS场景三:金融信创设计方案示例91总体解决方案基本概述当今世界,新一轮科技革命和产业变革深入发展,国际力量对比加速调整,网络安全越来越成为影响国家政治安全、经济安全、文化安全、还有社会安全的重要因
2、素。因此,科技自立自强就成为我们国家发展的重要支柱,创新也就成为我们国家现代化建设的核心力量,网络安全同样需要创新,更需要自立自强。新形势驱动下的网络空间安全快速发展形势霞动国民经济和社会发展第十四个五年规划和2035年远景目斯洛登泄空事件、伊朗电网停电事件.美燃油管道关停事件.中兴、华为断供事件等,多种事件都.迫使“安全产业需要快速发展.国民经济和社会发履第十四个五年规划和二。三五年远I1目标的建议提出,坚持创新在我国现代化建设全局中的核心地位,把科技自立自强作为国家发展的战略支撑.IH-银行数字化迸程加快、新特征与新需求涌现,IT架构面临很大的挑战,需要IT架构升级.网搭安全为科技创新保母
3、护航,S科技创脸嗝Tm.我国金融信息化过去长期依赖进口设备和系统,软硬件系统比蛟封闭,信息化设备的软、硬件系统被外商至新,长期存在芯片后门.阿箔,.,供二:节询辇25tt榜.回首这近十年,可以说发生了多起网络安全重大事件,比如:斯洛登泄密事件、伊朗电网停电事件、美燃油管道关停事件、中兴、华为断供事件等,多种事件都“迫使”网络安全产业要快速发展。比如软件的供应链使不安全的网络产品和服务获得了更便捷的渗透机会,因此会对国家关键信息基础设施造成严重威胁,尤其是像系统后门会造成机密资料的泄露,网络间谍和网络破坏活动也会增多。另一方面,随着数字化进程加快、新特征与新需求不断涌现,IT资源的效率、扩展性、
4、可管理性都面临着越来越多的挑战。国产化环境下,为了提高资源利用率,更需要从改造和新建两个出发点考虑架构升级。而安全作为信息技术创新的最后一道防线,更要快速发展,跟上数字化发展的脚步。而我国大量政府、央企、金融、能源等行业底座过去长期大部分依赖进设备,信息化设备的软、硬件系统被国外(尤其是欧美)垄断,存在芯片后门、网络漏洞及国外断供的风险,网络安全亟待加强。在这一系列背景下,加强网络空间的安全保障体系和保障能力建设,可以说,已是维护国家安全和普通民众在网络空间切身利益的内在要求。网络安全威胁呈现多样性随着数字化的深入,网络安全直接影响国家安全、经济安全和社会安全。与此同时国家级对抗和网络犯罪交织
5、,商业利益诉求和恐怖破坏目的加剧,网络安全面临多维度的挑战.复杂的国际形势数字化时代新威胁关基保护压力增大中美贸易战、科技战升级;APT有组织攻击愈演愈烈关系国计民生的基础设施:美国结盟推动供应链脱钩;勒索攻击呈现多样化基础网络、大型专网欧盟发布组造欧洲的数字数据成为曲点目标核心业务系统、云平台、大数据平台未来欧洲数据战略;内部威胁防不胜防物联网、工#控制系统、美国国家网络战略,提出向前防御,网空成为优先战场”选择.针对生产网的威胁智能制造系统新型互联网(移动互联网/车联网)、新兴通讯设施(5G/里饕物询同时,随着数字经济的不断发展和深入,网络安全将直接影响到国家安全、经济安全和社会安全,当今
6、国际形势愈加复杂,中美贸易战、科技战和金融战不断地,持续升级、美国在国家网络战略中提出“向前防御”这一概念,也就造成了,网络空间将成为“战场”的首选。APT、勒索、数据安全、内部威胁和不断涌现的新威胁、对我们国家的关基单位企业也必将带来更大的压力,因此未来将是“向前防御”建设基于信创等保网络安全体系的最佳时期。1.1 开展信创等保建设的必要性开展信创等保建设的必要性断供卡1子90%以上U片、描作系统.应用软件.豪*hx.aw.金U从假马鼠,自主可控n国科技巨头相安制裁俄罗斯,如APP1ePi1泮用.刑毗区0.电交谩等关WR洛安全威粉巨大核心痛点CxthubMKWTM一钻倒谒替代等保2.弼文化阿
7、络安全法)脸”必须实行阿珞安全等袋保E度,目保沪对我跖及至云”、移动互修、大数聋府取网、ATWffiW强化可僮计内生安箜崎保构建以可信计技术为喻核心技术悼11鲁化了.内生安全.这一曼思想,RWIB21J,ftMSi开展信创等保建设的必要性首先,长期以来我国的很多软硬件设施依赖海外,其中90%以上芯片、操作系统、应用软件来源于欧美。政府、金融、能源、电信、交通等关键领域网络安全威胁巨大,存在断供、卡脖子风险。其次,从国际局势俄乌战争看自主可控的重要性,美国科技巨头相继制裁俄罗斯,如APPIePay禁用,开源社区GithUb受限影响IT供应链生态。再次,等保2.0的变化使其法律地位得到确认,网络安
8、全法规定“必须实行网络安全等级保护制度”,且保护对象拓展至云计算、移动互联、大数据、物联网、人工智能等,加速了各个行业对网络安全的重视程度。最后,等保2.0强化了构建以可信计算技术为基础的核心技术体系,突出体系了“内生安全”这一重要思想,只有信息安全自主可控,才能维护国家安全,加速了国产化替代的进程。1.2 采用自主生态体系的重要性信创产业的核心是构建以CPU和操作系统为核心的安全自主先进的生态体系。与传统信息技术产业不同,信创产业更加强调生态体系的打造。在信创产业中,有一个比较形象的比喻,CPU是“心脏”,操作系统是“灵魂”,安全是“纽带”。信创整体解决方案的核心逻辑在于,形成以CPU和操作
9、系统为核心的国产化生态体系,系统性的保证整个国产化体系的可生产、可用、可控和安全。目前,国家和企业正在开展基于CPU和操作系统的适配工作,核心技术生态已初步形成。信创产业四大生态体系布局情况生态方向中国电子(旗下企业)Zr华为、(耽产业链部分企业)中国电科CETC(康下企业)浪潮(旗下企业)“砒设篦物.制*M0中电科fitS砒欣仲Kffi.东方通.元包49.人大gtM浪1软件SS用软件中徐玖件漉4UW信息/阿珞安全WWWiSB.W4tt.,MM中学0云IK务中g*f华为云金山云X&ise.中CK料云浪崎系猊集成Sttn.中BMMSXfURW.WfWSB.东华a件X1ft.E浪熏胸市场克9力强H
10、ISJr注:标注8色却Be1产业领号企业信创当前生态格局情况2.解决方案总体架构及说明网络安全等级保护制度是国家网络安全的基石,是开展网络安全工作的基础,是网络基础设施、信息系统安全运行的重要保障,是应对网络攻击的有效措施,信创等保建设的总体安全策略就是落实国家网络安全政策文件要求和国家等级保护制度。2.1 安全保障基础框架安全保障体系基础框架以国标GB/T22239-2019信息安全技术网络安全等级保护基本要求中等级保护安全框架为原型,如图所示:安全保障体系基础框架本框架首先明确保护对象,如网络基础设施、信息系统、大数据、云平台、移动互联网等;针对保护对象特点建立安全技术体系和安全管理体系,
11、构建信创工程网络安全综合防御体系,同时依据国家网络安全等级保护政策和标准,开展组织管理、机制建设、安全规划、安全检测、通报预警、应急处置、态势感知、能力建设、监督检查、安全可控、队伍建设、教育培训和经费保障等工作。2.2信创等保安全总体设计架构根据信创等保网络安全保障体系总体框架,围绕信创等保业务应用系统的安全防护需要,在网络信任体系的基础上,整合网络通信、计算环境、区域边界和新技术应用(云安全、移动互联安全、大数据安全)的安全防护能力,形成信创工程网络安全立体纵深防御体系,同时通过安全管理中心提供支撑和统一调度。信创工程网络安全技术设计架构如图:信创工程网络安全技术设计架构示意图(含扩展安全
12、层) 通用安全技术包括:可信计算安全、通信网络安全、计算环境安全、区域边界安全等; 新技术安全包括:云平台安全、大数据安全、接入互联安全等; 业务应用系统安全包括:应用开发安全、上线安全检测、应用运行安全、应用下线安全等; 安全集成设施包括:认证管理、授权管理、责任认定、密钥/证书管理等; 安全管理中心包括:态势感知、策略控制、基线配置、资产管理、安全数据管理、集中监控管理、集中安全审计和可信管理等。 通过对安全系统体系的安全运营服务,来实现对业务整体动态的可持续性防护。3 .总体安全解决方案内容模块介绍根据上述信创等保总体安全架构设计,本方案的详设部分将包括如下十部分内容: 可信计算底座安全
13、设计与建设(待发布); 通信网络安全设计与建设(待发布); 区域边界安全设计与建设(待发布); 计算环境安全设计与建设(待发布); 云计算安全设计与建设(待发布); 大数据安全设计与建设(待发布); 移动接入互联安全设计与建设(待发布); 业务应用软件安全设计与建设(待发布); 零信任认证安全设计与建设(待发布); 安全管理中心设计与建设(待发布)。4 .总体解决方案应用案例展示4.1. PKS场景一:信创终端安全可信计算过程展示区域边界安全安全.国中业!随用M供班t)安全4.2.PKS场景二:信创云平台安全可信计算过程展示4.3.PKS场景三:金融信创设计方案示例芯片机插作系蜕*息安全云am办公/曲X1r杵
免费区 
