信息安全发展趋势和现状幻灯片.ppt

《信息安全发展趋势和现状幻灯片.ppt》由会员分享，可在线阅读，更多相关《信息安全发展趋势和现状幻灯片.ppt（39页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全发展趋势和现状第1页，共39页，编辑于2022年，星期四今天的主题网络安全技术的发展趋势和现状 1、网络安全现状 2、现有网络安全技术 3、现有网络安全技术缺陷 4、发展趋势 网络安全面临的主要问题网络安全的解决办法等级保护1、等级保护的定义2、等级保护做什么3、等级保护如何实施第2页，共39页，编辑于2022年，星期四InternetInternet给我们带来了什么给我们带来了什么1、INTERNET的美妙之处在于你和每个人都能互相连接2、INTERNET的可怕之处在于每个人都能和你互相连接信息搜集信息搜集协同办公协同办公电子邮件电子邮件企业企业ERP电子商务电子商务电视会议电视会议

2、虚拟娱乐虚拟娱乐IMIM第3页，共39页，编辑于2022年，星期四网络安全现状网络安全现状TelnetSMTPDNSFTPUDPTCPIP以太网以太网无线网络无线网络SATNETARPNET应用程序攻击拒绝服务攻击数据监听和窃取硬件设备破坏网络攻击：黑客、蠕虫、木马网络攻击：黑客、蠕虫、木马应用泛滥：垃圾邮件、法律禁区、资源烂用应用泛滥：垃圾邮件、法律禁区、资源烂用第4页，共39页，编辑于2022年，星期四现有网络安全技术访问控制技术密码技术审计和恢复技术防火墙系统计算机病毒防护操作系统安全数据库系统安全第5页，共39页，编辑于2022年，星期四现有网络安全技术的缺陷安全邮件网关企业网入口企业

3、网入口防火墙防火墙IPS核心网络核心网络ISPQOS/SIG QOS/SIG 保证保证用户的网络质量用户的网络质量1、防火墙自身不能保证其准许放行的数据是否安全2、IDS/IPS/IDP技术减小了由外向内的黑客入侵的可能性3、安全邮件网关阻断垃圾邮件钓鱼攻击4、防病毒误杀误报第6页，共39页，编辑于2022年，星期四发展趋势网络安全技术在近几年得到快速的发展，是因为网络安全问题日益突出，网络安全企业不断跟进最新安全技术，不断推出满足用户需求、具有时代特色的安全产品，进一步促进了网络安全技术的发展。从技术层面来看，目前网络安全产品在发展过程中面临的主要问题是：以往人们主要关心系统与网络基础层面的

4、防护问题，而现在人们更加关注应用层面的安全防护问题，安全防护已经从底层或简单数据层面上升到了应用层面，这种应用防护问题已经深入到业务行为的相关性和信息内容的语义范畴，越来越多的安全技术已经与应用相结合。第7页，共39页，编辑于2022年，星期四技术发展趋势分析Web防护技术互联网行为管理技术应用广域网加速技术应用虚拟化技术负载均衡技术(链路与服务器负载)流控技术（QOS管理）分类检测技术应用交付第8页，共39页，编辑于2022年，星期四网络安全面临的主要问题网络安全防范意识网络的安全现状不明确网络安全没有具体的组织化结构没有完善的管理体系缺乏必要的专业安全知识第9页，共39页，编辑于2022年

5、，星期四网络安全的解决办法安全需求分析 知已知彼，百战不殆“安全风险管理 制定安全策略定期安全审核外部支持第10页，共39页，编辑于2022年，星期四信息安全等级保护信息安全等级保护 等级保护基本概念：信息系统安全等级保护是指对信息安全实行等级化保护和等级等级保护基本概念：信息系统安全等级保护是指对信息安全实行等级化保护和等级化管理化管理 根据信息系统应用业务重要程度及其实际安全需求，实行分级、分类、分阶段实施保护，保障信息安全和系统安全正常运行，维护国家利益、公共利益和社会稳定。等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运

6、用法律和技术规范逐级加强监管力度。突出重点，保障重要信息资源和重要信息系统的安全。第11页，共39页，编辑于2022年，星期四法律和政策依据法律和政策依据中华人民共和国计算机信息系统安全保护条例第二章安全保护中华人民共和国计算机信息系统安全保护条例第二章安全保护制度部分规定：制度部分规定：“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。办法，由公安部会同有关部门制定。”计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则GB17859-1999GB178

7、59-1999（技术法规）规定：国家对信息系统实行五级保护。国家对信息系统实行五级保护。国家信息化领导小组关于加强信息安全保障工作的意见重点强调国家信息化领导小组关于加强信息安全保障工作的意见重点强调：实行信息安全等级保护制度，重点保护基础信息网络和重要信息系统。实行信息安全等级保护制度，重点保护基础信息网络和重要信息系统。第12页，共39页，编辑于2022年，星期四等级保护是什么等级保护是什么（二）信息安全等级保护制度的主要内容（二）信息安全等级保护制度的主要内容 信息安全等级保护是指：对国家秘密信息、法人和其他组织及公民的专有信息、公开信息分类分级进行管理和保护；对信息系统按对信息系统按业

8、务安全应用域和区实行分级保护业务安全应用域和区实行分级保护。对系统中使用的对系统中使用的信息安全产品实行按分级许可管理信息安全产品实行按分级许可管理。对等级系统的对等级系统的安全服务资质分级许可管理安全服务资质分级许可管理。对信息系统中发生的对信息系统中发生的信息安全事件分等级响应、处置信息安全事件分等级响应、处置。第13页，共39页，编辑于2022年，星期四等级保护是什么等级保护是什么（三）为什么要搞等级保护为什么要搞等级保护 保护业务安全应用保护业务安全应用。对信息安全分级保护是客观需求：信息系统的建立是为社会发展、社会生活的需要而设计、建立的，是社会构成、行政组织体系及其业务体系的反映，

9、这种体系是分层次和级别的。因此，信息安全保护必须符合客观存在。等级化保护是信息安全发展规律：按组织业务应用区域、分层、分类、分级进行保护和管理，分阶段推进等级保护制度建设，这是做好国家信息安全保护必须遵循的客观规律。第14页，共39页，编辑于2022年，星期四等级保护是什么等级保护是什么（四）信息安全保护存在的主要问题四）信息安全保护存在的主要问题 当前，我国信息安全存在的最大问题是信息安全保护工作不统一、不规范。有关各方对信息安全如何保护及安全与否无法把握，心中无数。实行等级保护首先要解决这个问题，以国家法定信息安全等级保护制度，统一信息安全保护工作，推进规范化、法制化建设，保障安全，促进发

10、展。促进民族信息安全科学技术发展，解决我国信息技术和安全技术“空心”问题，实现信息安全自主可控，保障国家安全。第15页，共39页，编辑于2022年，星期四二、等级保护做什么二、等级保护做什么（一）信息资源分类分级保护制度信息资源分类分级保护制度 信息资源已经成为国家经济建设和社会发展的重要战略资源。信息资源应当分类：秘密信息：国家保密法规定的三类信息；专有信息：国家、组织及个人所有的信息；公开信息：国家、组织及个人的可公开信息。各部门、单位可根据信息系统中的信息资源情况，在这三大类下再分若该类和级进行标记管理、保护。第16页，共39页，编辑于2022年，星期四等级保护做什么等级保护做什么（二）

11、系统安全功能分级保护制度（二）系统安全功能分级保护制度 以计算机信息系统安全保护等级划分准则GB17859-1999为指导，建立包括系统安全功能、系统之间、网络之间、设备之间、用户之间的可信鉴别可信鉴别保障平台，对信息系统的安全等级从功能上划分为五个级别的安全保护能力：第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级（系统整体安全设计系统整体安全设计）；第五级：访问验证保护级。安全保护能力从第一级到第五级逐级增强。(见说明、有关标准）第17页，共39页，编辑于2022年，星期四等级保护做什么等级保护做什么（三）安全三）安全产品使用分品使用分级管理制度

12、管理制度 国家对信息安全产品的使用实行分等级管理制度。按照信息安全产品的可控性、可靠性、可信性、安全性和可监督性的要求确定相应等级进行管理。信息安全产品是指与信息网络或者信息系统安全相关的以计算机硬件或者软件的形态集成的，实现信息系统运行中的特定功能的，构建信息系统并使其正常运行的软硬设备。不同安全保护等级的信息系统和网络应使用与其安全等级相适应的信息安全产品。第18页，共39页，编辑于2022年，星期四等级保护做什么等级保护做什么（四）事件分级响应与处置制度事件分级响应与处置制度 信息安全事件是指危害信息系统平台运行和安全功能、应用系统（包括数据信息安全事件是指危害信息系统平台运行和安全功能

13、、应用系统（包括数据信息）的完整性、可用性和保密性，危害国家安全、社会秩序、经济建设、公信息）的完整性、可用性和保密性，危害国家安全、社会秩序、经济建设、公共利益、公民利益的故障、事故、案件、战争行为等共利益、公民利益的故障、事故、案件、战争行为等。依据信息安全事件对信息和信息系统的破坏程度、所造成的社会影响以及涉及的范围，确定事件等级。根据不同安全保护等级的信息系统中发生的不同等级事件制定相应的预案，确定事件响应和处置的范围、程度以及适用的管理制度等。信息安全事件发生后，分等级按预案进行响应和处置。第19页，共39页，编辑于2022年，星期四等级保护做什么等级保护做什么（五）分（五）分级监管

14、制度管制度 第一级:自主性保护；第二级:指导性保护；第三级:监督性保护；第四级:强制性保护；第五级:专控性保护。政府信息安全保护职能部门将逐级加大安全保护力度。系统主管部门也应按级加强自管、自查力度。第20页，共39页，编辑于2022年，星期四等级保护做什么等级保护做什么（六）信息安全等级保护原则信息安全等级保护原则 明确责任，共同保护 依照标准，自行保护 同步建设，动态调整 监督指导，重点保护 确保重点、兼顾一般 按需保护、效费合理 第21页，共39页，编辑于2022年，星期四等级保护做什么等级保护做什么（七）保护重点保护重点 国家优先重点保护涉及国家安全、经济命脉、社会稳定的基础信息网络和

15、重要信息系统，主要包括：国家事务处理信息系统（党政机关办公系统）；金融、税务、工商、海关、能源、交通运输、社会保障、教育等关系到国计民生的信息系统；国防工业、国家科研等单位的信息系统；公用通信、广播电视传输等基础信息网络中的信息系统；网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。区别重点，分级进行保护。第22页，共39页，编辑于2022年，星期四等级保护做什么等级保护做什么（八）安全等级保护制度运行五个关键控制环节安全等级保护制度运行五个关键控制环节 1.法律规范；2.管理与技术规范；3.系统安全等级实施过程控制；4.系统安全等级实现结果控制；5.国家监督管理。以上五个关键控

16、制环节，构成国家信息安全等级保护长效机制。第23页，共39页，编辑于2022年，星期四等级保护做什么等级保护做什么（九）信息系统安全集中控制管理体系信息系统安全集中控制管理体系 第一：防范与保护；第二：监控与检查；第三：响应与处置。其中包括自我保护和国家保护两个方面。第24页，共39页，编辑于2022年，星期四等级保护做什么等级保护做什么（十）系统主要目标的安全管理（十）系统主要目标的安全管理：1.组织责任管理 2.信息资源管理 3.保密信息管理 4.系统资源管理 5.密码使用管理 6.各类用户管理 7.应用边界管理 8.安全事件管理。第25页，共39页，编辑于2022年，星期四等级保护做什么

17、等级保护做什么（十一）互连互通、信息共享，以利发展互连互通、信息共享，以利发展 互连互通：不同安全等级的系统之间应当尽 可能实现纵、横互连互通，互操作。信息共享：符合信息共享要求。保障环境：保障安全并为应用发展提供良好的环境。第26页，共39页，编辑于2022年，星期四三、等级保护如何实施三、等级保护如何实施（一）信息安全等级保护责任制信息安全等级保护责任制：信息安全等级保护实行：谁主管谁负责：谁运营谁负责：谁使用谁负责：谁提供安全服务谁负责。第27页，共39页，编辑于2022年，星期四等级保护如何实施等级保护如何实施（二）等级确定等级确定 各部门、各单位应当适用法律规范和有关标准规范，确定其

18、系统安全保护等级，报其主管部门领导批准，并报当地同级信息安全职能部门备案。第28页，共39页，编辑于2022年，星期四等级保护如何实施等级保护如何实施（三）制制定定等等级级化化建建设设和和管管理理的的解解决决方方案案和和实实施施规范规范 各部门、各单位应当适用有关标准规定，制定适合本系统的安全等级保护解决方案，进行安全建设、使用、管理。第29页，共39页，编辑于2022年，星期四等级保护如何实施等级保护如何实施（四）检测评估检测评估 安全等级保护测评服务机构按其所取得的许可资质，按照法规、标准规定提供评估服务，接受信息安全职能部门的监督，并承担法律规定的安全责任和义务。第30页，共39页，编辑

19、于2022年，星期四等级保护如何实施等级保护如何实施（五）安全等级产品保护安全等级产品保护 安全等级保护产品研发、提供、选购，应当贯彻标准和法规规定，符合信息安全产品的可控性、可靠性、可信性、安全性和可监督性的要求。第31页，共39页，编辑于2022年，星期四等级保护如何实施等级保护如何实施（六）系统安全等级保护服务系统安全等级保护服务 系统安全等级保护服务单位应当按标准和法规规定提供安全服务，并承担法律规定的安全责任和义务。第32页，共39页，编辑于2022年，星期四等级保护如何实施等级保护如何实施 （七）安全等级保护技术产品政策安全等级保护技术产品政策 重要、关键的信息安全技术和产品是国家

20、信 息安全之安全。国家对等级保护所需的信息技术安全产品选购使用应当实行分级管理政策。第三级以上的安全产品出口实行审批制度，保障国家关键核心信息安全保护技术不外泄。非等级保护产品可以进入国际商业交流领域。第33页，共39页，编辑于2022年，星期四等级保护如何实施等级保护如何实施（八）监督、检查、指导监督、检查、指导 政府职能部门依法按标准进行监督、检查、指导、提供服务。第34页，共39页，编辑于2022年，星期四四、分三步推进等级保护工作四、分三步推进等级保护工作第一阶段：准备阶段准备阶段 制定、制定、完善法律规范和技术规范，宣传培训，试点，推广信息安全等级保护试点经验和方法，落实安全管理制度

21、和责任，由各单位确定保护等级，加固改造现有系统安全。第35页，共39页，编辑于2022年，星期四分三步推进等级保护工作分三步推进等级保护工作第二阶段：试行阶段试行阶段 选择具有代表性的信息系统，开展等级保护试行工作，总结经验，完善标准，为全面开展等级保护创造条件。第36页，共39页，编辑于2022年，星期四分三步推进等级保护工作分三步推进等级保护工作第三阶段：全面发展阶段全面发展阶段 完成现有系统加固改造，基本实现规范化、等级化、制度化、法制化。保障基础信息网络安全和重要信息系统安全。逐步更新网络系统的安全设备，使我国信息安全扎根于国家信息安全科学技术和产业的基础之用上，基本实现信息安全技术产

22、业化，牵动国家经济和现代化发展。第37页，共39页，编辑于2022年，星期四 五、信息安全等级保护实施准备 目前，关于信息安全等级保护实施意见已经会签发布。在国家信息化领导小组的领导下，在国务院信息办的组织协调下，公安部正在联合有关部门，积极开展信息安全等级保护以下实施准备工作：信息系统安全等级保护办法、实施指南等有关重要标准、系统安全等级保护技术整合、检查评估手段的完善、执法队伍和技术支撑队伍建设。第38页，共39页，编辑于2022年，星期四等级保护的建设过程定级咨询服务定级咨询服务安全运维服务安全运维服务等级评估服务等级评估服务管理整改服务管理整改服务测评支持服务测评支持服务技术整改服务技术整改服务安全加固服务安全加固服务第39页，共39页，编辑于2022年，星期四