[精选]信息安全保障概述.pptx

《[精选]信息安全保障概述.pptx》由会员分享，可在线阅读，更多相关《[精选]信息安全保障概述.pptx（98页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全保障概述信息安全保障概述中国信息安全测评中心课程内容课程内容2信息安全保信息安全保障概述障概述信息安全保障信息安全保障框架框架国家信息安全国家信息安全政策法规政策法规信息安全保障框架基础知识信息安全保障框架基础知识重点法律法规解读重点法律法规解读 重点政策解读重点政策解读 信息安全保障基本实践信息安全保障基本实践知识体：信息安全保障框架知识体：信息安全保障框架v知识域：安全保障框架基础知识理解信息安全的基本概念理解信息安全保障的意义和内涵；了解信息安全保障工作的总体思路和基本实践方法。v知识域：信息安全保障基本实践了解我国信息安全保障工作开展阶段；我国信息安全保障基本原则；我国信息安全

2、保障建设主要内容；我国信息安全保障工作的基本内容。3什么是安全？什么是安全？安全安全 Security：事物保持不受损害：事物保持不受损害4什么是信息安全？什么是信息安全？不该知道的人，不让他知道不该知道的人，不让他知道！5什么是信息安全？什么是信息安全？信息不能追求残缺美！信息不能追求残缺美！6什么是信息安全？什么是信息安全？信息要方便、快捷！信息要方便、快捷！不能像某国首都二环早顶峰，不能像某国首都二环早顶峰，也不能像春运的火车站也不能像春运的火车站7什么是信息安全什么是信息安全信息本身的机密性信息本身的机密性Confidentiality、完整性、完整性Integrity和可用性和可用性

3、Availability的保持，即防止防止未经授权使用信的保持，即防止防止未经授权使用信息、防止对信息的非法修改和破坏、确保及时可靠地使用信息。息、防止对信息的非法修改和破坏、确保及时可靠地使用信息。保密性：确保信息没有非授权的泄漏，不保密性：确保信息没有非授权的泄漏，不被非授权的个人、组织和计算机程序使用被非授权的个人、组织和计算机程序使用完整性：确保信息没有遭到篡改和破坏完整性：确保信息没有遭到篡改和破坏可用性：确保拥有授权的用户或程序可以可用性：确保拥有授权的用户或程序可以及时、正常使用信息及时、正常使用信息8为什么会有信息安全问题？为什么会有信息安全问题？v因为有病毒吗？因为有黑客吗？

4、因为有黑客吗？因为有漏洞吗？因为有漏洞吗？这些都是原因，这些都是原因，但没有说到根源但没有说到根源9信息系统安全问题产生信息系统安全问题产生的的根源与环节根源与环节内因内因 复杂性复杂性导致脆弱性导致脆弱性：过程复杂，结构复杂，使用复杂：过程复杂，结构复杂，使用复杂外因外因 对手对手:威胁与破坏威胁与破坏10内在复杂内在复杂过程过程信息系统理论信息系统理论冯冯-诺伊曼机诺伊曼机，在程序与数据的区分上没有确定性的原则，在程序与数据的区分上没有确定性的原则设计设计从设计的角度看，在设计时考虑的优先级中安全性相对于从设计的角度看，在设计时考虑的优先级中安全性相对于易用性、代码大小、执行程度等因素被放

5、在次要的位置易用性、代码大小、执行程度等因素被放在次要的位置实现实现由于人性的弱点和程序设计方法学的不完善，软件总是存由于人性的弱点和程序设计方法学的不完善，软件总是存在在BUG生产与集成生产与集成使用与运行维护使用与运行维护11安全问题根源安全问题根源内因系统越来越复杂内因系统越来越复杂12安全问题根源安全问题根源内因我们使用的网络是开放的内因我们使用的网络是开放的内在复杂内在复杂使用使用14安全问题根源安全问题根源外因来自对手的威胁外因来自对手的威胁15安全问题根源安全问题根源外因来自自然的破坏外因来自自然的破坏16信息安全的范畴信息安全的范畴v信息技术问题技术系统的安全问题v组织管理问题

6、人+技术系统+组织内部环境v社会问题法制、舆论v 问题信息战、虚拟空间17v信息网络已逐渐成为经济繁荣、社会稳定和国家开展的基础v信息化深刻影响着全球经济的整合、国家战略的调整和安全观念的转变v从单纯的技术性问题变成事关 的全球性问题。v信息安全和信息安全保障适用于所有技术领域。硬件软件 事计算机通讯指挥控制和情报C4I系统，制造工艺控制系统，决策支持系统，电子商务，电子邮件，生物医学系统和智能运输系统ITS。信息安全的地位和作用信息安全的地位和作用18信息安全开展阶段信息安全开展阶段COMSEC通信安全COMPUSEC计算机安全INFOSEC信息系统安全IA信息安全保障19CS/IA网络空间

7、安全/信息安全保障v SEC：munication Securityv2020世纪，世纪，4040年代年代-70-70年代年代核心思想：通过密码技术解决通信保密，保证数据的保密性和完整性主要关注传输过程中的数据保护 安全威胁：搭线窃听、密码学分析安全措施：加密标志1949年：shannon发表保密通信的信息理论1977年：国家标准局公布数据加密标准DES1976年：Diffle和Hellman在“New Directions in Cryptography一文中提出公钥密码体系通信安全通信安全20v PUSEC：puter Securityv2020世纪，世纪，70-9070-90年代年代核心

8、思想：预防、检测和减小计算机系统包括软件和硬件用户授权和未授权用户执行的未授权活动所造成的后果。主要关注于数据处理和存储时的数据保护。安全威胁：非法访问、恶意代码、脆弱口令等安全措施：安全操作系统设计技术TCB标志：1985年，国防部的可信计算机系统评估保障TCSEC，橙皮书，将操作系统安全分级D、C1、C2、B1、B2、B3、A1；后补充红皮书TNI1987和TDI1991，开展为彩虹rainbow系列计算机安全计算机安全21vINFOSEC：Information Securityv2020世纪，世纪，9090年代后年代后核心思想：综合通信安全和计算机安全安全重点在于保护比“数据更精炼的“

9、信息，确保信息在存储、处理和传输过程中免受偶然或恶意的非法泄密、转移或破坏。安全威胁：网络入侵、病毒破坏、信息对抗等安全措施：防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等标志安全评估保障CCISO 15408，GB/T 18336信息系统安全信息系统安全22信息安全保障开展历史信息安全保障开展历史v第一次定义：第一次定义：在1996年 国防部DoD指令5-3600.1DoDD 5-3600.1中，信息安全界第一次给出了信息安全保障的标准化定义v现在：信息安全保障的概念已逐渐被全世界信息安全领域现在：信息安全保障的概念已逐渐被全世界信息安全领域所接受。所接受。v中国：中国：中办发27号文

10、国家信息化领导小组关于加强信息安全保障工作的意见，是信息安全保障工作的纲领性文件v信息安全保障开展历史信息安全保障开展历史从通信安全 SEC-计算机安全 PUSEC-信息系统安全INFOSEC-信息安全保障IA-网络空间安全/信息安全保障CS/IA。23vIA：Information Assurancev今天，将来今天，将来核心思想：保障信息和信息系统资产，保障组织机构使命的执行；综合技术、管理、过程、人员；确保信息的保密性、完整性和可用性。安全威胁：黑客、分子、信息战、自然灾难、电力中断等安全措施：技术安全保障体系、安全管理体系、人员意识/培训/教育、认证和认可标志：技术：国防部的IATF深

11、度防御战略管理：BS7799/ISO 17799系统认证：国防部DITSCAP信息安全保障信息安全保障24网网络络空空间间安安全全/信信息息安安全全保保障障vCS/IACS/IA：Cyber Security/Information Assurancev20092009年，在年，在 带动下，世界各国信息安全政策、技术和实践带动下，世界各国信息安全政策、技术和实践等发生重大变革等发生重大变革共识：网络安全问题上升到 的重要程度核心思想：从传统防御的信息保障IA，开展到“威慑为主的防御、攻击和情报三位一体的信息保障/网络安全IA/CS的网空安全网络防御-Defense运维网络攻击-Offense威

12、慑网络利用-Exploitation情报25v2008年1月，布什政府发布了国家网络安全综合建议CNCI，号称网络安全“曼哈顿工程，提出威慑概念，其中包括爱因斯坦方案、情报对抗、供给链安全、超越未来“Leap-Ahead技术战略v2009年5月29日发布了网络空间政策评估：确保信息和通讯系统的可靠性和韧性报告 v2009年6月25日，英国推出了首份“网络安全战略，并将其作为同时推出的新版 战略的核心内容v2009年6月，成立网络战司令部v12月22日，奥巴马任命网络安全专家担任“网络沙皇v26网络空间安全网络空间安全/信息安全保障信息安全保障阶段阶段阶段阶段年代年代年代年代安全威胁安全威胁安全

13、威胁安全威胁安全措施安全措施安全措施安全措施通信安全20世纪，4070年代搭线窃听、密码学分析加密计算机安全20世纪，70-90年代非法访问、恶意代码、脆弱口令等安全操作系统设计技术TCB信息系统安全20世纪，90年代后网络入侵、病毒破坏、信息对抗等防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等信息安全保障今天，黑客、分子、信息战、自然灾难、电力中断等技术安全保障体系、安全管理体系、人员意识/培训/教育、认证和认可网络安全空间/信息安全保障2009年开始 的高度网络防御网络攻击网络利用从技术角度看信息安全从技术角度看信息安全27组织机构的使命组织机构的使命/业务目业务目标实现越来越依赖于

14、信息标实现越来越依赖于信息系统系统信息系统成为组织机构信息系统成为组织机构生存和开展的关键因素生存和开展的关键因素信息系统的安全风险也信息系统的安全风险也成为组织风险的一局部成为组织风险的一局部为了保障组织机构完成为了保障组织机构完成其使命，必须加强信息安其使命，必须加强信息安全保障，抵抗这些风险。全保障，抵抗这些风险。为什么需要信息安全保障为什么需要信息安全保障28信息安全保障作用益处受益者基础设施系统人类安全免受偶然和恶意的事故造成的死伤个人及家庭、制造商、经销商、操作者电信，电力，石油和天然气，供水，运输，应急响应。环境安全使环境免受偶然的和恶意的，永久的或暂时的破坏个人，社会，设施的制

15、造商，经销商和操作者电信，电力，石油和天然气，供水，运输，应急响应，政府财产安全使财产免受偶然的和恶意的，永久的或暂时的损害和破坏财产所有者，财产使用者，制造商，经销商电信，电力，石油和天然气，供水，运输，应急响应。信息安全保障的意义信息安全保障的意义29经济稳定和安全免受经济损失，混乱，物资和效劳匮乏的困扰个人，社会，金融机构，批发、零售企业，制造业，本地、全国、全球贸易。电信，银行与金融，电力，石油和天然气，供水，运输，应急响应，政府。社会稳定免受社会 ，暴力，断绝生路，个人安全的困扰个人，社会电信，银行与金融，电力，石油和天然气，供水，运输，应急响应，政府。隐私 a.个人 b.公司a.免

16、受身份被窃，财务损失，隐私被侵犯，人格损毁，知识产权被盗的困扰b.免受财务损失，客户流失，知识产权被盗的困扰a.个人，其家庭，其雇主b.公司雇员，股东，业务伙伴电信，银行与金融，电力，石油和天然气，供水，运输，应急响应，政府。保护对敏感的经济资产及其他战略资产的获取与披露个人，社会，相邻国家，全球贸易伙伴，跨国公司电信，银行与金融，电力，石油和天然气，供水，运输，应急响应，政府。信息安全保障的意义信息安全保障的意义30信息安全保障是一种立体保障信息安全保障是一种立体保障31 信息系统安全保障是在信息系统的整个生命周期中，通过对信息系统的风险分析，制定并执行相应的安全保障策略，从技术、管理、工程

17、和人员等方面提出安全保障要求，确保信息系统的保密性、完整性和可用性，降低安全风险到可接受的程度，从而保障系统实现组织机构的使命。信息安全保障定义信息安全保障定义32国家标准：GB/T 20274.1-2006 信息安全技术 信息系统安全保障评估框架 第一局部：简介和一般模型 信息系统安全保障模型信息系统安全保障模型-保障评估框架保障评估框架33 人人 通过通过 技术技术 进行进行 操作操作信息系统安全保障模型信息系统安全保障模型-I IATFATF34安全保障的目标是支持业务安全保障的目标是支持业务v信息安全保障是为了支撑业务高效稳定运行v要以安全促开展，在开展中求安全35信息安全保障需要持续

18、进行信息安全保障需要持续进行36 措施措施信息系信息系统保障保障风险脆弱性脆弱性威威胁使命使命能力能力策略策略 模型模型信息安全、系统及业务关系信息安全、系统及业务关系37信息安全保障信息安全保障“组织内部环境”信息系统安全问题信息系统安全问题通信安全数据安全技术系统安全问题技术系统安全问题网络安全现在人们意识到：技术很重要，但技术不是一切；信现在人们意识到：技术很重要，但技术不是一切；信息系统很重要，只有效劳于组织业务使命才有意义息系统很重要，只有效劳于组织业务使命才有意义个人信息可能面临的安全威胁个人信息可能面临的安全威胁v1、外部人员通过互联网利用木马等攻击手段窃取、篡改或破坏个人计算机

19、中存放的敏感信息；v2、外部人员非法接入税务系统内网或直接操作内网计算机窃取、篡改或破坏敏感信息；v3、外部人员盗窃笔记本电脑、U盘等移动计算和存储设备窃取敏感信息；v4、病毒通过网络或移动介质传播造成个人计算机无法正常使用或数据破坏；v5、内部工作人员由于误操作等过失行为导致敏感信息丧失或被破坏；v6、内部工作人员由于利益驱使，利用工作之便窃取他人个人计算机中工作敏感信息。39案例案例1 1国内最大的影音播放软件暴风影音爆出存在安全漏洞，该漏洞发生在暴风影音II的一个activex控件上，当安装了暴风影音II的用户在浏览黑客精心构造的包含恶意代码的网页后，会下载木马病毒，并以当前用户权限自动

20、运行。某公司员工违反规定在工作用计算机及上安装了“暴风影音，上班时间上网浏览新闻。黑客利用木马窃取了该员工计算机及该公司局域网中的局部公司机密。个人计算机作为税务信息系统的一个组成局部，如个人计算机作为税务信息系统的一个组成局部，如果出现安全漏洞，就可能成为信息安全防护的薄弱果出现安全漏洞，就可能成为信息安全防护的薄弱环节，被窃密或破坏分子利用对整个系统造成破坏。环节，被窃密或破坏分子利用对整个系统造成破坏。40案例案例2 2v2001年初，查处了陈学 团伙虚开增值税专用发票案件。主犯套购增值税专用发票10900份，为数百家企业虚开增值税专用发票2800余份，虚开税款共计人民币3.93亿元。陈

21、学 以虚开增值税专用发票罪被判处并已执行死刑；吴芝刚以虚开增值税专用发票罪、巨额财产来源不明罪两罪并罚，一审判处死刑，二审改判死刑缓期执行。宣判现场41案例案例2 2续续v3 3名工作人员名工作人员在案发过程中，由于思想疏忽大意，思想疏忽大意，没有严格保护个人工作计算机和应用系统的密码没有严格保护个人工作计算机和应用系统的密码和使用权限和使用权限，为吴芝刚为吴芝刚趁工作之便，非法获得计算机密码，为作案行提供了便利为作案行提供了便利。这3名工作人员，因工作严重违规失职也受到严厉的法律追究，根据情节轻重，分别被处以不同程度的刑事处分。42单位信息系统面临的主要安全威胁单位信息系统面临的主要安全威胁

22、v网络窃密v系统故障、网络攻击和病毒造成系统运行中断v系统故障或人为误操作造成数据丧失43威胁威胁威胁威胁 线或其线或其线或其线或其它非法外它非法外它非法外它非法外联联联联窃密者窃密者窃密者窃密者个人办公用计算机个人办公用计算机个人办公用计算机个人办公用计算机或外网效劳器或外网效劳器或外网效劳器或外网效劳器风险四：硬件故障或风险四：硬件故障或风险四：硬件故障或风险四：硬件故障或误操作造成数据丧失误操作造成数据丧失误操作造成数据丧失误操作造成数据丧失风险一：通过互联网风险一：通过互联网风险一：通过互联网风险一：通过互联网搜集我有价值的数据搜集我有价值的数据搜集我有价值的数据搜集我有价值的数据风险

23、三：病毒泛滥影风险三：病毒泛滥影风险三：病毒泛滥影风险三：病毒泛滥影响正常办公响正常办公响正常办公响正常办公风险二：利用非法外风险二：利用非法外风险二：利用非法外风险二：利用非法外联或网络控制不严为联或网络控制不严为联或网络控制不严为联或网络控制不严为跳板窃取核心机密跳板窃取核心机密跳板窃取核心机密跳板窃取核心机密内部核心系统内部核心系统内部核心系统内部核心系统脆弱性脆弱性脆弱性脆弱性信息系统面临的典型安全威胁信息系统面临的典型安全威胁内往内往内往内往U U盘接盘接盘接盘接入互联网入互联网入互联网入互联网脆弱性脆弱性脆弱性脆弱性脆弱性脆弱性脆弱性脆弱性44案例案例1 1：违规上网造成重大失泄密

24、：违规上网造成重大失泄密违规操作泄密违规操作泄密违规操作泄密违规操作泄密敌对势力窃密敌对势力窃密敌对势力窃密敌对势力窃密互联网互联网互联网互联网 失密案：失密案：失密案：失密案：20032003年初，年初，年初，年初，队某参谋违反规定，使用涉密队某参谋违反规定，使用涉密队某参谋违反规定，使用涉密队某参谋违反规定，使用涉密计算机上因特网，一次窃走计算机上因特网，一次窃走计算机上因特网，一次窃走计算机上因特网，一次窃走10001000多份文档资料，影响和损失多份文档资料，影响和损失多份文档资料，影响和损失多份文档资料，影响和损失极为严重。极为严重。极为严重。极为严重。45IIS存在存在unicod

25、e漏洞漏洞穿过防火墙穿过防火墙外部网络外部网络内部网络内部网络案例案例2 2：某重要网络系统被控制：某重要网络系统被控制46案例案例3 3：网络故障造成航班延误和旅客滞留：网络故障造成航班延误和旅客滞留20062006年年1010月月1010日日1313时时3232分，某公司运营的离港系统发生主机系分，某公司运营的离港系统发生主机系统文件损坏，导致使用离港系统的航空公司和机场的正常运行统文件损坏，导致使用离港系统的航空公司和机场的正常运行产生不同程度影响。经过排查后故障系统于产生不同程度影响。经过排查后故障系统于1414时时1616分恢复正常。分恢复正常。此次故障造成首都机场、广州机场、深圳机

26、场等机场局部航班此次故障造成首都机场、广州机场、深圳机场等机场局部航班延误。延误。47什什么么是是信信息息安安全全风风险险48什什么么是是信信息息安安全全风风险险49什什么么是是信信息息安安全全风风险险50什么是信息安全风险什么是信息安全风险v外在威胁利用信息系统存在的脆弱性，致其损失或破坏对系统价值造成损害的可能性 资产资产威胁威胁防护措施防护措施脆弱性脆弱性风险风险利用利用对抗对抗导导致致增增加加减减少少作作用用于于51信信息息系系统统安安全全保保障障含含义义总总结结v出发点和核心在信息系统所处的运行环境里，以风险和策略为出发点，即从信息系统所面临的风险出发制定组织机构信息系统安全保障策略

27、，v信息系统生命周期通过在信息系统生命周期中从技术、管理、工程和人员等方面提出安全保障要求。52信信息息系系统统安安全全保保障障含含义义总总结结v确保信息的安全特征确保信息的保密性、完整性和可用性特征，从而实现和贯彻组织机构策略并将风险降低到可接受的程度，v保护资产到达保护组织机构信息和信息系统资产，v最终保障使命从而保障组织机构实现其使命的最终目的。53如如何何保保障障信信息息安安全全？信息是依赖与承载它的信息技术系统存在的信息是依赖与承载它的信息技术系统存在的需要在技术层面部署完善的控制措施需要在技术层面部署完善的控制措施信息系统是由人来建设使用和维护的信息系统是由人来建设使用和维护的需要

28、通过有效的管理手段约束人需要通过有效的管理手段约束人今天系统安全了明天未必安全今天系统安全了明天未必安全需要贯穿系统生命周期的工程过程需要贯穿系统生命周期的工程过程信息安全的对抗，归根结底是人员知识、技能和素信息安全的对抗，归根结底是人员知识、技能和素质的对抗质的对抗需要建设高素质的人才队伍需要建设高素质的人才队伍信息安全保障体系构成的要素信息安全保障体系构成的要素v信息安全技术体系v信息安全管理体系v信息安全工程过程v高素质的人员队伍55DMZDMZ?E-Mail?E-Mail?File Transfer?File Transfer?HTTP?HTTPIntranetIntranet信息网络

29、信息网络业务处室业务处室行政部门行政部门财务门财务门人事部人事部路由路由InternetInternet中继中继安安安安 全全全全 隐隐隐隐 患患患患外部外部/个体个体外部外部/组织组织内部内部/个体个体内部内部/组织组织关闭安全维护关闭安全维护“后门后门”更改缺省的更改缺省的系统口令系统口令漏洞扫描漏洞扫描补丁管理补丁管理Modem数据文件加密数据文件加密访问控制访问控制审计系统审计系统入侵检测入侵检测实时监控实时监控病毒防护病毒防护56完完善善的的信信息息安安全全技技术术体体系系策略体系策略体系风风险险管管理理系统测评系统测评/风险评估风险评估生命周期安全管理生命周期安全管理对手，动机对手

30、，动机和攻击和攻击国家国家/业务业务/机构机构策略，标准，策略，标准，标准标准使命要求使命要求组织体系建设组织体系建设业业务务持持续续性性管管理理应应急急响响应应管管理理意意识识培培训训和和教教育育策略策略标准标准流程，指导方针流程，指导方针&实践实践57信息安全保障管理体系建设信息安全保障管理体系建设相关方相关方信息安全需信息安全需求求&期待期待设计和实施设计和实施ISMS改进改进ISMSPlan方案方案Do实实施施Act改进改进Check检检查查开发、维护&改进循环相关方相关方管理的信管理的信息安全息安全Plan方案建立方案建立ISMS环境环境根据组织机构的整体策略和目标，建立同控制风险和

31、改进信息安全相关的安全策略、目的、目标、过程和流程以交付结果。Do做设计做设计&实施实施实施和操作策略过程和流程Check检查监控检查监控&审核审核通过策略、目的和实践经验测量和评估过程执行，并将结果汇报给决策人。Act行动改进行动改进建立纠正和预防行动以进一步改进过程的执行建立建立ISMS环环境境&风险评估风险评估监控监控&审核审核ISMS管理体系建设管理体系建设58科学的信息安全工程过程科学的信息安全工程过程DISCOVERNEEDSDEFINESYSTEMREQUIREMENTSDESIGNSYSTEMARCHITECTUREDEVELOPDETAILEDDESIGNIMPLEMENTS

32、YSTEM发掘需发掘需求求定义系定义系统要求统要求定义系定义系统体系统体系结构结构开发详开发详细设计细设计实现系实现系统统用户用户/用户代表用户代表评估有效性评估有效性方案组方案组织织开发采开发采购购实施交实施交付付运行维运行维护护废弃废弃将安全措施融入信息系统生命周期将安全措施融入信息系统生命周期59参见：中国信息安全产品测评认证中心的“国家信息安全测评认证，2004年第2期，P6-P14信息系统安全工程保障信息系统安全工程保障实施通用模型实施通用模型60高素质的人员队伍高素质的人员队伍v信息安全对抗归根结底是人与人的对抗，保障信息安全不仅需要专业信息技术人员，还需要信息系统普通使用者提高安

33、全意识，加强个人防范 61知识体：信息安全保障框架知识体：信息安全保障框架v知识域：信息安全保障基本实践了解我国信息安全保障工作开展阶段；我国信息安全保障基本原则；我国信息安全保障建设主要内容；我国信息安全保障工作的基本内容。6263v我国信息安全保障工作开展阶段 v我国信息安全保障基本原则 v我国信息安全保障建设主要内容v我国信息安全保障工作的基本内容我国信息安全保障实践我国信息安全保障实践6364阶段主要工作2001-2002启动国家信息化小组重组；网络与信息安全协调小组成立2003-2005逐步展开积极推进国家出台指导政策；召开第一次全国信息安全保障会议；发布国家信息安全战略；国家网络与

34、信息安全协调小组召开四次会议2006至今深化落实信息安全法律法规、标准化和人才培养工作取得新成果；信息安全等级保护和风险评估取得新进展我国信息安全保障工作开展阶段我国信息安全保障工作开展阶段6465启启动动阶阶段段 2 20 00 01 1-2 20 00 02 2 v2001年至2002年，是我国网络与信息安全事件频发且性质严重的时期，鉴于严峻的信息安全形势，国家信息化领导小组重组，网络与信息安全协调小组成立，我国信息安全保障工作正式启动。v2001年至2002年中 生的网络和信息安全事件：来自境外邪教组织、敌对势力的破坏各种政治谣言、反动宣传和社会敏感热点问题日益增多 网络系统、重要信息系

35、统自身存在诸多安全隐患 如深圳证券交易所因系统崩溃停市半天，造成直接经济损失和社会影响；北京首都国际机场信息系统出现故障，造成上百个航班延误，数万名旅客滞留。66积积极极推推进进阶阶段段 2 20 00 03 3-2 20 00 05 5 v2003年至2005年，是国家信息安全保障体系建设逐步展开和推进的阶段，国家出台指导政策，召开第一次全国信息安全保障会议，发布国家信息安全战略，国家网络与信息安全协调小组召开了四次会议，信息安全保障各项工作积极推进。2003年7月，国家信息化领导小组关于加强信息安全保障工作的意见中办发27号文件件。2004年1月9日国家信息安全保障工作会议召开。2005年

36、3月29日，国家网络与信息安全协调小组第四次会议召开。2005年12月16日，国家网络与信息安全协调小组第五次会议召开。会议主要关注：高度重视信息安全风险评估、网络信任体系以及保密和密码工作，进一步完善各项措施和政策规定，提高信息安全建设和管理水平。67深深化化落落实实阶阶段段2 20 00 06 6年年至至今今 v2006年至今，围绕27号文件开展的各项信息安全保障工作迈出了新的坚实步伐。信息安全法律法规、标准化和人才培养工作取得了新成果。指导政策从完善到落实 等级保护工作取得重要进展 信息安全风险评估工作更加深入推进机制从实践到成型 标准标准从研究到实施 在全国信息技术标准化技术 会信息安

37、全技术分 会和各界、各部门的努力下，本着积极采用国际标准的原则，转化了一批国际信息安全基础技术标准。68v信息安全保障的基本原则立足国情，以我为主，坚持管理与技术并重；正确处理安全与开展的关系，以安全保开展，在开展中求安全；统筹规划，突出重点，强化基础性工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。v等级保护制度：根据应用系统、应用单位的重要程度，将信息系统划分为不同的重要级别，然后采用不同的技术和产品进行保护。国国家家信信息息安安全全保保障障基基本本原原则则6869我国信息安全保障建设的主要内容我国信息安全保障建设的主要内容 v建立健全国家信息

38、安全组织与管理体制机制，加强信息安全工作的组织保障 v建立健全信息安全法律法规体系，推进信息安全法制建设 v建立完善信息安全标准体系，加强信息安全标准化工作 v建立信息安全技术体系，实现国家信息化开展的自主可控 v建设信息安全基础设施，提供国家信息安全保障能力支撑 v建立信息安全人才培养体系，加快信息安全学科建设和信息安全人才培养 70建立健全信息安全组织与管理体制机制建立健全信息安全组织与管理体制机制v2002年，国家网络与信息安全协调小组成立；v2003年前我国具备了一套分层次、分领域的信息安全相关法律法规；v2003年第27号文件公布推动我国信息安全法制建设进入一个新阶段，信息安全法律体

39、系进一步深化和开展；v信息安全法制建设工作的现状和开展。71建建设设信信息息安安全全基基础础设设施施，提提供供国国家家信信息息安安全全保保障障能能力力支支撑撑v建立信息安全通报和应急处置体系信息安全应急处理机制的建立 信息安全通报机制的建立v建立以密码技术为基础的网络信任体系v建立信息安全等级保护和风险评估体系v建立信息安全测评认证体系v完善信息安全监控体系72建建立立信信息息安安全全人人才才培培养养体体系系，加加快快信信息息安安全全学学科科建建设设和和信信息息安安全全人人才才培培养养 v加强信息安全理论研究和信息安全学科、专业建设v加强信息安全的本科、硕士和博士学历教育v培养信息安全的“执法

40、人才、组织决策管理人才、安全技术开发人才和技术效劳人才v加强安全宣传教育，普及全民信息安全意识 73v信息安全保障的基本原则信息安全的等级保护制度v等级保护制度：根据应用系统、应用单位的重要程度，将信息系统划分为不同的重要级别，然后采用不同的技术和产品进行保护。国国家家信信息息安安全全保保障障基基本本原原则则7374我国信息安全保障建设的主要内容我国信息安全保障建设的主要内容 v建立健全国家信息安全组织与管理体制机制，加强信息安全工作的组织保障 v建立健全信息安全法律法规体系，推进信息安全法制建设 v建立完善信息安全标准体系，加强信息安全标准化工作 v建立信息安全技术体系，实现国家信息化开展的

41、自主可控 v建设信息安全基础设施，提供国家信息安全保障能力支撑 v建立信息安全人才培养体系，加快信息安全学科建设和信息安全人才培养 75建立健全信息安全组织与管理体制机制建立健全信息安全组织与管理体制机制v2002年，国家网络与信息安全协调小组成立；v2003年前我国具备了一套分层次、分领域的信息安全相关法律法规；v2003年第27号文件公布推动我国信息安全法制建设进入一个新阶段，信息安全法律体系进一步深化和开展；v信息安全法制建设工作的现状和开展。76建建设设信信息息安安全全基基础础设设施施，提提供供国国家家信信息息安安全全保保障障能能力力支支撑撑v建立信息安全通报和应急处置体系信息安全应急

42、处理机制的建立 信息安全通报机制的建立v建立以密码技术为基础的网络信任体系v建立信息安全等级保护和风险评估体系v建立信息安全测评认证体系v完善信息安全监控体系77建立信息安全人才培养体系，建立信息安全人才培养体系，加快信息安全学科建设和信息安全人才培养加快信息安全学科建设和信息安全人才培养 v加强信息安全理论研究和信息安全学科、专业建设v加强信息安全的本科、硕士和博士学历教育v培养信息安全的“执法人才、组织决策管理人才、安全技术开发人才和技术效劳人才v加强安全宣传教育，普及全民信息安全意识 78我国在信息安全保障领域的国际合作我国在信息安全保障领域的国际合作 v在信息安全领域开展国际合作，是充

43、分利用我国战略开展的机遇期，营造和谐、和平的良好国际环境，谋求我更深更广开展的重要措施。严格遵守联合国宪章和国际公认的信息通信技术的使用准则，妥善解决信息安全问题。倡导加强各国在信息安全领域的交流与合作。79v制定信息安全保障需求的作用制定信息安全保障需求的作用v制定信息系统安全保障需求的方法和原则制定信息系统安全保障需求的方法和原则v信息安全保障解决方案信息安全保障解决方案v确定安全保障解决方案的原则确定安全保障解决方案的原则v实施信息安全保障解决方案的原则实施信息安全保障解决方案的原则v信息安全测评信息安全测评v信息安全测评的重要性信息安全测评的重要性v国内外信息安全测评现状国内外信息安全

44、测评现状v产品、人员、商资、系统测评的方法和流程产品、人员、商资、系统测评的方法和流程v持续提高信息系统安全保障能力。持续提高信息系统安全保障能力。v信息系统安全监护和维护信息系统安全监护和维护确定需求制定方案开展测评持续改进信息安全保障工作基本内容信息安全保障工作基本内容7980确定需求制定方案开展测评持续改进步骤一步骤一：确定信息系统安全保障需求步骤二步骤二：标准化、结构化的描述信息系统安全保障具体需求步骤三步骤三：根据信息系统安全保障需求编制具体的信息系统安全保障解决方案步骤五步骤五：用户根据信息系统安全保障评估情况进行改进，形成满足安全保障需求的可持续改进的安全保障能力。步骤四步骤四：

45、对信息系统安全保障进行评估信息安全保障建设步骤信息安全保障建设步骤80知识体：信息安全政策法规知识体：信息安全政策法规v知识域：有关重点法律法规解读了解 保密法；了解刑法和 法关于信息安全的重要条款；理解信息安全等级保护管理方法。v知识域：有关重点政策解读了解：国家信息化领导小组关于加强信息安全保障工作的意见；了解关于加强政府信息系统安全和保密管理工作的通知。81我我国国信信息息安安全全法法治治建建设设的的开开展展历历程程通信保密安全计算机系统安全网络信息系统安全1994年2000年2003年保守国家秘密法保守国家秘密法1989198920102010年修订年修订中央关于加强密码工作的决定计算

46、机信息系统安全保护条例草案-86计算机信息系统计算机信息系统 安全保护条例安全保护条例19941994计算机信息系统安全专用产品检测和销售许可证管理方法-97 计算机信息网络国际联网安全保护管理方法-97计算机信息系统保密管理暂行规定-98商用密码管理条例-99关于维护互联网安全关于维护互联网安全的决定的决定20002000互联网信息效劳管理方法计算机病毒防治管理方法计算机信息系统国际联网保密管理规定-0082保保守守国国家家秘秘密密法法保保密密法法 1 1v演进保守国家秘密暂行条例1951年保守国家秘密法1989年保守国家秘密法2010年修订，4月29日修订，10月1日施行v主旨总则目的：保

47、守国家秘密，维护 和利益。国家秘密是关系 和利益，依照法定程序确定，在一定时间内只限一定范围的人员知悉的事项。国家秘密受法律保护。一切国家机关、武装力量、政 、社会团体、企业事业单位和公民都有保守国家秘密的义务。国家保密行政管理部门主管全国的保密工作。国家机关和涉及国家秘密的单位以下简称机关、单位管理本机关和本单位的保密工作。保密工作责任制：健全保密管理制度，完善保密防护措施，开展保密宣传教育，加强保密检查。法律83保保守守国国家家秘秘密密法法保保密密法法 2 2v国家秘密的范围国家事务、国防武装、外交外事、政 秘密国民经济和社会开展、科学技术维护 的活动、经保密主管部门确定的事项等v国家秘密

48、的 绝密-是最重要的国家秘密，泄露会使 和利益遭受特别严重的损害；保密期限不超过30年；机密-是重要的国家秘密，泄露会使 和利益遭受严重的损害；保密期限不超过20年；秘密-是一般的国家秘密，泄露会使 和利益遭受损害；保密期限不超过10年。v国家秘密的其他基本属性定密权限定密责任人、保密期限、解密条件、知悉范围国家秘密载体、国家秘密标志法律84保保守守国国家家秘秘密密法法保保密密法法 3 3v保密制度对国家秘密载体的行为要求；对属于国家秘密的设备、产品的行为要求；对存储、处理国家秘密的计算机信息系统的要求-分级保护；对组织和个人的行为要求涉密信息系统管理、国家秘密载体管理、公开发布信息、各类涉密

49、采购、涉密人员分类管理、保密教育培训、保密协议等；对公共信息网络及其他传媒的行为要求；对互联网及其他公共信息网络运营商、效劳商的行为要求。v监督管理国家保密行政管理部门依照法律、行政法规的规定，制定保密规章和国家保密标准。组织开展保密宣传教育、保密检查、保密技术防护和泄密案件查处工作，对机关、单位的保密工作进行指导和监督。法律85保保守守国国家家秘秘密密法法保保密密法法 4 4v法律责任第48条 人员处分及追究刑责一非法获取、持有国家秘密载体的；二买卖、转送或者私自销毁国家秘密载体的；三通过普通邮政、快递等无保密措施的渠道传递国家秘密载体的；四邮寄、托运国家秘密载体出境，或者未经有关主管部门批

50、准，携带、传递国家秘密载体出境的；五非法复制、记录、存储国家秘密的；六在私人交往和通信中涉及国家秘密的；七在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密的；八将涉密计算机、涉密存储设备接入互联网及其他公共信息网络的；九在未采取防护措施的情况下，在涉密信息系统与互联网及其他公共信息网络之间进行信息交换的；十使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息的；十一擅自卸载、修改涉密信息系统的安全技术程序、管理程序的；十二将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途的。有前款行为尚不构成犯罪，且不适用处分的人员，由保密行政管