信息化工商与网络信息安全-.ppt

信息化工商与网信息化工商与网络信息安全信息安全1一一工商系工商系统信息化概述信息化概述二二电子政子政务与信息安全与信息安全 国家信息安全法律法国家信息安全法律法规 主要内容主要内容三三 2第一篇第一篇工商系工商系统信息化概述信息化概述3工商系工商系统信息化信息化工商信息化工商信息化信信 息息 化化信息化信息化是指培育、发展以智能化工具为代表的新的生产力并使之造福于社会的历史过程。国家信息化国家信息化是指在国家统一规划和组织下，在农业、工业、科学技术、国防及社会生活各个方面应用现代信息技术，深入开发广泛利用信息资源，加速实现国家现代化进程目标是：以一体系、一库、一平台、一体化、一站式的“五个一”工程为主要内容全面推进金信工程建设，加快推进工商信息化“整合、融合、一体化”步伐，充分发挥信息化的整体效能。工商信息化的主要任务是，按照“整合、融合、一体化”的总体要 求，以“五个一”工程为主要内容，全面、科学、深入、持续、协调、创新地推进工商信息化的整体建设和发展。4国家总局信息化发展“十二五”规划总局局规划摘要划摘要l国家总局信息化发展“十二五”规划5融合信息化信息化工商工商移动办公OA系统移动执法系统干部教育培训系统基础智能网络 信息化工商全景信息化工商全景图图视频会议网上考试系统电子绩效考核系统 和谐安全高效数据管理、分析系统金信系统12315服务中心包括语音，短信综合办公 视频监控食品监测监管系统6信息化工信息化工商商移移移动办动办动办公公公执执执法法法工商管理平台工商管理平台78移移动办动办公公应应用用OA系统邮件系统执法系统出差外出现场办理XX业务3G网络邮件随身办事办会办文VPDN工商信息化应用系统（保障安全）3G手机9信息发布不同的展现方式不同的接入方式：有线无线10全国先全国先进湖南省常德市工商局信息化建设经验11 电子政子政务与信息安全与信息安全第二篇第二篇12一、电子政务建设面临的问题信息安全的信息安全的问题。在多数在多数电子政子政务应用系用系统的建的建设中，由于缺乏中，由于缺乏总体的安全体的安全规划，使得所建划，使得所建设的的应用系用系统在网在网络传输安全和数据安全和数据存存储安全等各个安全等各个层面缺乏有力的保障，面缺乏有力的保障，这将直接将直接导致政府部致政府部门的的重要数据面重要数据面临着众多的安全着众多的安全隐患。患。信息孤信息孤岛的的问题。由于我国由于我国电子政子政务系系统的建的建设也具有了一定的也具有了一定的时间跨度，而在众多的跨度，而在众多的电子政子政务项目目实施之初又往往没有施之初又往往没有进行行统一整体的一整体的项目目规划，划，这就使得各个政府部就使得各个政府部门的不同的不同应用系用系统存在存在各自各自为政，政，难以互以互联互通的弊端，各个政互通的弊端，各个政务应用系用系统逐逐渐形成了形成了一个个的信息孤一个个的信息孤岛，难以以进行跨部行跨部门的的联动业务操作。操作。开开发标准的准的问题。我国我国电子政子政务建建设在不同在不同时期、不同期、不同业务部部门所所进行的行的应用系用系统规划往往只具有局部的、适划往往只具有局部的、适时的开的开发标准，往准，往往缺乏宏往缺乏宏观的的战略思想。略思想。这也从另外一个也从另外一个层面面导致了不同的政致了不同的政务应用系用系统之之间互相割裂，互相割裂，难以以协作。作。“统一一”、“安全安全”和和“标准准”在在电子政子政务建建设中具有十分重要中具有十分重要的意的意义 13政务外网逻辑逻辑隔离隔离政府外网物理网政府外网物理网络络物理隔离物理隔离政务内网政政务务内网网内网网络络平台平台国国 办办电子政务网基本安全框架14实行信息安全等行信息安全等级保保护加加强以密以密码技技术为基基础的信息保的信息保护和网和网络信任体系建信任体系建设 建建设和完善信息安全和完善信息安全监控体系控体系 重重视信息安全信息安全应急急处理工作理工作加加强信息安全技信息安全技术研究开研究开发，推，推进信息安全信息安全产业发展展 加加强信息安全法制建信息安全法制建设和和标准化建准化建设 加快信息安全加快信息安全专业人才培养，增人才培养，增强全民信息安全意全民信息安全意识 保保证信息安全信息安全资金金加加强对信息安全工作的信息安全工作的领导，建立健全信息安全，建立健全信息安全责任制任制 加加强信息安全保障工作的信息安全保障工作的总体要求和主要原体要求和主要原则15各国政府高度重视信息安全保障战略年年初初美国八家大型美国八家大型电电子商子商务务网站受到全球大网站受到全球大规规模黑客攻模黑客攻击击，美国美国奥巴奥巴马政府政府紧紧急启急启动动了国家关了国家关键键信息基信息基础设础设施和要害施和要害部部门门信息系信息系统统保保护计护计划。划。美国先后启美国先后启动动了了7 7个关于保个关于保护护美美国关国关键键基基础设础设施的施的计计划划 俄俄罗罗斯制定国家信息安全构想斯制定国家信息安全构想，将信息安全，将信息安全问题问题列入列入国家国家战战略考略考虑虑范畴范畴西方八国集西方八国集团团共同制定打共同制定打击击网上犯罪活网上犯罪活动动方面的行方面的行动动框架框架 16巨大的网巨大的网络安全安全隐患患IntenetIntenet的好的好处处在于你可以与任何人在于你可以与任何人连连接。接。InternetInternet的可怕之的可怕之处处在于任何人都可以和你相在于任何人都可以和你相连连。互联网正与电话通讯网，电视网结合，但科学家声称：互联网（至今）存在致命的弱点。如果容纳高连接率节点的网络遭到黑客恶意的攻击，摧毁关键性骨干节点，则互联网瘫痪是一瞬间的事。17严竣的网络安全环境肆意泛滥的计算机病毒、无网不入的“黑客”正使网络变得更加脆弱。目前，“黑客”对网络的袭击方法已有几千种，而且大多是致命的。全世界现有 100多万个“黑客”网站。每当一种新的“黑客”袭击手段产生，一周内便可传遍全世界。在不断扩大的计算机网络空间中，几乎到处都有“黑客”的身影，无处不遭受“黑客”的攻击。18世界第一黑客凯文.米特尼克（Kevin Mitnick）1、1964年生于美国洛杉矶，米特尼克3岁时父母离异。70年代末，13岁的米特尼克喜欢上了业余无线电活动，在与世界各地无线电爱好者联络时，他领略到了跨越空间的乐趣。他很快对电脑着了迷，并因此掌握了丰富的计算机知识和高超的操作技能。这个被老师们一致认为聪明，有培养前途的孩子，却干了一件令大人们震惊的事：他用学校的计算机闯入了其他学校的网络。从此，小米特尼克离开了学校。2、15岁时，米特尼克成功入侵了“北美空中防务指挥系统”，成为黑客历史上的一次经典之作。3、不久，米特尼克又成功破译美国“太平洋电话公司“在南加利福尼亚洲通讯网络的“改户密码”。少年顽皮的天性，令他随意更改这家公司的电脑用户，特别是知名人士的电话号码和通讯地址。19世界第一黑客凯文.米特尼克（Kevin Mitnick）4、他将目标锁定到了美国联邦调查局（FBI）的电脑网络上。米特尼克发现FBI的特工们正调查一名电脑黑客，便饶有兴趣地偷阅特工们的调查资料，被调查者竟然是他自己！米特尼克施展浑身解数，破译了联邦调查局的“中央电脑系统”密码，每天认真查阅“案情进展情况的报告”。不久，米特尼克恶作剧地将他们的资料改成十足的罪犯。5、1 994年7月，米特尼克被时代杂志选为封面人物。媒体称其为无所不能，可以随时发动电脑战争的超人。此时他已被列入FBI十大通缉犯的行列。6、1994年12月25日，消失的米特尼克再次出手，这次他的目标是圣迭戈超级计算机中心。因为这次攻击，米特尼克获得了“地狱黑客”的称号。也因为这次攻击，米特尼克激怒了一位著名的计算机安全专家-下村勉，从而导致了他一生中最大的滑铁卢。20 安全现状21广州三政府网站遭黑客攻击 5月月8日至日至9日日 广州市物价局网站广州市物价局网站攻攻击情况：情况：连续两天黑客非法入侵，通两天黑客非法入侵，通过存在的安全漏洞植入木存在的安全漏洞植入木马程序掌握网站的操作程序掌握网站的操作权限，限，对网站主网站主页进行了行了篡改改7 7月月月月2020日日日日 广州市国土房管局网站广州市国土房管局网站广州市国土房管局网站广州市国土房管局网站攻攻攻攻击击情况：被黑客采取情况：被黑客采取情况：被黑客采取情况：被黑客采取“HTTPDdos”HTTPDdos”拒拒拒拒绝绝服服服服务务手段手段手段手段进进行攻行攻行攻行攻击击，致使网站服，致使网站服，致使网站服，致使网站服务务器大量器大量器大量器大量资资源源源源被耗被耗被耗被耗费费，造成网站无法，造成网站无法，造成网站无法，造成网站无法对对外提供正常服外提供正常服外提供正常服外提供正常服务务反黑行反黑行反黑行反黑行动动：事故：事故：事故：事故发发生后生后生后生后该单该单位也未及位也未及位也未及位也未及时时向向向向安全主管部安全主管部安全主管部安全主管部门报门报告，直到被媒体告，直到被媒体告，直到被媒体告，直到被媒体报报道，公安机道，公安机道，公安机道，公安机关主关主关主关主动动上上上上门门核核核核实实情况后方知此事情况后方知此事情况后方知此事情况后方知此事7 7月月月月2525日日日日 一政府部一政府部一政府部一政府部门门信息中心的网站信息中心的网站信息中心的网站信息中心的网站攻攻攻攻击击情况：黑客非法情况：黑客非法情况：黑客非法情况：黑客非法扫扫描描描描监测监测到到到到维护账维护账号和号和号和号和密密密密码码，并通，并通，并通，并通过该账过该账号和密号和密号和密号和密码码登登登登录录网站，网站，网站，网站，对对网站主网站主网站主网站主页进页进行行行行篡篡改改改改反黑行反黑行反黑行反黑行动动：由于：由于：由于：由于该单该单位没有落位没有落位没有落位没有落实实日志留存措日志留存措日志留存措日志留存措施，施，施，施，给给公安机关的公安机关的公安机关的公安机关的侦查侦查工作工作工作工作带带来很大来很大来很大来很大难难度度度度 2223中移动网站被黑 24国家安全病毒国家安全病毒战病毒战 由于计算机病毒的传染性、潜伏性和巨大的破坏性，计算机病毒作为一种新型的电子战武器已越来越受到世界各国军方的重视。美国是计算机病毒研究较早的国家，并拨出专款进行研究更有效的军用计算机病毒。台湾现在针对祖国大陆、针对我军的具体情况大力发展信息作战武器，其中包括病毒。1999年8月，台湾“国防部”召开了一次关于信息战的专门会议。出席的人员除了台湾“国防部”的高级将领和所谓“国防部长”唐飞之外，还有各个计算机软硬件厂商的高级代表、计算机专家、病毒的设计制造者，包括CIH病毒编制者陈英豪。台湾国防部通信电子资讯局局长林勤经表示，已经对中国大陆搞了上千种病毒对付中国大陆的信息基础设施。251991年的海湾战争首次把网首次把网络攻攻击手段引入到手段引入到战争中并争中并发挥作用的是作用的是19911991年的年的海湾海湾战争。争。开战前，美国中央情报局获悉，伊拉克从法国采购了供防空系统使用的新型打印机，准备通过约旦首都安曼偷运到巴格达。美国随即派特工在安曼机场偷偷用一块固化病毒芯片与打印机中的同类芯片调了包。美军在战略空袭发起前，以遥控手段激活病毒，使其从打印机窜入主机，造成伊拉克防空指挥中心主计算机系统程序发生错乱、工作失灵，致使防空体系中的预警和C3I系统瘫痪，为美军顺利实施空袭创造了有利条件。26电子政子政务安全保障的突出安全保障的突出问题越来越复越来越复杂的的应用用协同工作同工作/信息共享信息共享/决策指决策指挥全网安全管理：防火全网安全管理：防火墙、安全、安全审计、入侵、入侵检测、病毒防范、病毒防范、加密通道、安全加密通道、安全扫描、身份描、身份验证等等窃密和泄密防范性窃密和泄密防范性安全事件可追踪性安全事件可追踪性安全体系可安全体系可评估性估性攻攻击行行为可取可取证性需求性需求27电子政子政务对安全的需求安全的需求 公文流公文流转 信息信息发布布运行运行稳定定 这些信息在网些信息在网络传送送过程中不能被窃听、泄密、程中不能被窃听、泄密、篡改和改和伪造。造。因此，必因此，必须保保证电子政子政务系系统中的数据信息的安全和中的数据信息的安全和传输安安全。全。不能被不能被篡改、歪曲，同改、歪曲，同时，政府网站收集的各种公众反，政府网站收集的各种公众反馈、网上网上办事信息必事信息必须真真实、完整，因此，必、完整，因此，必须保保证政府网站的政府网站的安全，不被攻安全，不被攻击和破坏。和破坏。电子政子政务系系统必必须运行运行稳定可靠，系定可靠，系统的可用性、数据的的可用性、数据的完整性和机密性都必完整性和机密性都必须得到确得到确实的保的保护。需要通需要通过建立完整的信息安全体系，使得系建立完整的信息安全体系，使得系统具有用具有用户身份抗身份抗抵抵赖、系、系统可管理、操作可可管理、操作可审计等特性，从物理、运行、信息、等特性，从物理、运行、信息、管理等多方面保管理等多方面保护信息系信息系统的安全、的安全、稳定与可靠运行。定与可靠运行。协同工作同工作 28信息安全核心技信息安全核心技术受制于人的受制于人的问题如：如：19911991年的海湾年的海湾战争争电子政子政务网网络和信息系和信息系统中使用的中使用的操作系操作系统、关、关键芯片和核心芯片和核心软件几乎全部依件几乎全部依赖进口，客口，客观上留下了上留下了长期期隐患患美国政府美国政府对网网络和信息和信息产品的出口品的出口进行了行了严格格的限制，接受政府的控的限制，接受政府的控制和制和检查29n信息系信息系统的安全的安全认证是是针对其开通运行，一次性其开通运行，一次性认证之后之后缺乏有效的缺乏有效的监管制度和体系管制度和体系n目前目前对于信息网于信息网络的的测评工作大多仍停留在工作大多仍停留在产品品级和和单一一安全功能的安全功能的测评阶段，段，缺乏系缺乏系统级安全安全测评与服与服务体系体系n加快加快计算机网算机网络信息系信息系统安全安全检测的基的基础设施和手段建施和手段建设，提高信息安全技提高信息安全技术和和产品的品的检测评估能力估能力n注重信息安全技注重信息安全技术标准化和安全准化和安全产品品评估体系的建估体系的建设，积极推极推动信息安全服信息安全服务缺乏系缺乏系统级安全安全测评与服与服务体系体系30美国中央情报局成立专门部门，通过监控国际互联网，获取了伊朗研发核武器的大量图片，其中甚至包括核工厂内部的清晰图片，使得掌握了第一手资料及证据”。信息失泄密控制的问题涉密信息系涉密信息系统目前目前对内部人内部人员和管理的漏洞和管理的漏洞导致的泄密防致的泄密防护不不足。足。针对信息流和用信息流和用户行行为缺乏有效的技缺乏有效的技术监控措施，也缺乏控措施，也缺乏先先进管理技管理技术的的应用用美国美国CIACIA监控互控互联网网获取伊朗核情取伊朗核情报31“911事件”中，世贸中心最大的主顾之一摩根斯坦利由于精心构造了远程防灾系统，双子楼的倒塌并没有给公司和客户的关键数据带来重大损失，几天后在新泽西州恢复营业其它无灾备能力的企业损失惨重，很多企业由于无法恢复对其业务至关重要的数据而被迫倒闭。美国美国美国美国“911911事件事件事件事件”数据存数据存储及容灾及容灾备份份问题目前国内的存目前国内的存储解决方案所依托的主要存解决方案所依托的主要存储设备均均为国外厂商国外厂商的的产品，缺少自主知品，缺少自主知识产权，等于，等于把自己的信息存把自己的信息存储在在别人的人的“口袋口袋”里里。32管理水平相对落后的问题“三分技术，七分管理”，如何有效地提高网络的安全性，保障网上业务顺利安全地进行，将网络的安全隐患降低到一个可以接受的程度，让安全管理人员做到心中有数，是电子政务安全丞待解决的重要问题。33电子政子政务信息安全保障体系建信息安全保障体系建设需要重需要重视以下以下问题 加加强信息安全保障体系建信息安全保障体系建设的的统筹筹规划划 加加强信息安全核心技信息安全核心技术和核心和核心产品的品的自主研自主研发 重重视信息安全信息安全测评和服和服务体系建体系建设 重重视信息安全信息安全监控体系控体系建建设 重重视灾灾难恢复与恢复与备份系份系统的建的建设 重重视信息安全信息安全科研和人才培养科研和人才培养体系建体系建设34安全涉及的因素网网网网络络安全安全安全安全信息安全信息安全信息安全信息安全内内内内容容容容安安安安全全全全物理安全物理安全物理安全物理安全对网网络和信息安全的基本和信息安全的基本认识35网络安全因特网因特网网网络对国民国民经济的影响在加的影响在加强安全漏洞危害在增大信息信息对抗的威抗的威胁在增加在增加研究安全漏洞以防之研究安全漏洞以防之因特网因特网电力力交通交通通通讯控制控制广播广播工工业金融金融医医疗研究攻防技研究攻防技术以阻之以阻之36信息安全信息窃取信息窃取信息信息传递信息冒充信息冒充信息信息篡改改信息抵信息抵赖加密技加密技术完整性技完整性技术认证技技术数字数字签名名37内容安全因特网因特网用用用用户户信息信息传送自由送自由有害信息泛有害信息泛滥信息来源信息来源不确定不确定.打打击目目标机机动性性强.主动发现有害信息源并给予封堵监测网上有害信息的传播并给予截获隐患患措施措施38物理安全容灾容灾集群集群备份份环境境温度温度电磁磁湿度湿度39计算机网络面临的威胁系统故障电源故障、硬件故障、软件故障人为的威胁误操作泄密、窃密、篡改数据盗用资源(计算资源,通信资源,存储资源)拒绝服务(主机,网络设备,通信带宽)病毒、蠕虫等恶意代码自然灾害和战争的威胁风雨雷电、地震、火灾战争等40人为安全威胁 15%15%外来的非外来的非法入侵法入侵60%的其他内的其他内部威部威胁胁14%盗窃机盗窃机密信息密信息11%破坏破坏网上数据网上数据41什么是漏洞漏洞是硬件、软件或策略上的缺陷，从而使得攻击者能够在未授权的情况下访问或控制系统。漏洞的发现者黑客 破译者安全服务商组织42漏洞的危害可以用木桶原则加以说明：一个木桶能盛多少水，不在于组成它的最长的那根木料，而取决于它身上最短的那一根。同样的，对于一个系统来说，它的安全性不取决于它是否采用了最新的加密算法，最先进的设备，而是由系统本身最薄弱之处，即漏洞所决定的。只要这个漏洞被发现，系统就有可能成为网络攻击的牺牲品。美国911之后的安保措施加强-但仍然阻止不了恐怖活动-波士顿爆炸43常见的攻击隐患（1）恶意攻意攻击恶意攻击具有如下特征：智能性隐蔽性严重性多样性恶意攻击是信息系统所面对的最直接威胁，如 2001年5月的中美黑客大战。44常见的攻击隐患（2）安全缺陷安全缺陷 网络硬件的安全缺陷：如可靠性差、电磁辐射、电磁泄漏等。通信链路的安全缺陷：如电磁辐射、电磁泄漏、搭线、串音、无链 路加密等。技术被动引起的网络安全缺陷:计算机的核心芯片多依赖于进口，不少关键网络设备也依赖于进口。人员素质问题引起的安全缺陷 45常见的攻击隐患（3）软件漏洞件漏洞操作系统的安全漏洞:包括操作系统的后门、I/O非法 访问、访问控制的混乱等。数据库及应用软件的安全漏洞：如数据库文件格式、文件存放位置、口令加密机制等。TCP/IP协议的安全漏洞：IPv4并未考虑安全性，这是IP网络不安全的主要原因。网络软件和服务的安全漏洞：包括Finger漏洞、匿名FTP漏洞、Telnet漏洞、E-mail漏洞等。口令设置的安全漏洞：口令长度限制、口令时间限制等。46用户口令的隐患 许多情况下，进入计算机系统采用的最普通、而又最快捷的方法是直接猜测登录名口令：许多研究表明，大部分计算机系统用户都很习惯用“软“口令。例如，对一个先进工业公司的研究表明，10的用户都是用自己的第一个名字作口令。捕捉口令口令猜测机分析协议和滤出口令监视登录名口令特洛伊木马47文件系统开放共享的隐患Unix:利用网络文件系统（NFS）的文件共享，可加载远程驱动器并读取信息；NFS使用用户的ID（UID）来协调对驱动器信息的访问；默认安装是向外界开放根文件的读/写；Windows：可用被配置为允许远程加载它们的文件系统；可用通过在外部防火墙上设置正确的规则而阻止大多数文件的共享；48软件和系统漏洞系统规模Windows 3.1 300万行代码Windows 2000 5000万行代码软件漏洞：在线购物：采购信息被保存在URL字符串中；曾经出现过黑客将价格改为负数使Web站点向信用卡中付钱而不是扣钱的事例；存在许多在程序中包含后门的例子；49关于计算机病毒与病毒相关的几个概念陷门(trap door)：程序中的秘密入口点，知道陷门的人可以通过这样的入口点绕过正常的安全检查机制逻辑炸弹(logic bomb)：内嵌在合法程序中的条件代码特洛伊木马(Trojan horses)：木马程序可以被用于进行直接或者间接地达到未授权访问资源的目的蠕虫(worms)：通过网络进行传播细菌(bacteria)：不停地复制自身现在的计算机病毒已经综合了这些概念，所有现在的防病毒软件也往往综合了相应的对策。病毒与黑客技术的结合也使得防病毒的任务更加艰巨。50如何远程植入程序直接攻直接攻击电子子邮件件文件下文件下载浏览网网页+合并文件合并文件经过伪装的木装的木马被植入目被植入目标机器机器51常见的黑客攻击类型分析内部、外部泄密内部、外部泄密拒拒绝绝服服务务攻攻击击逻辑逻辑炸炸弹弹特洛伊木特洛伊木马马黑客攻黑客攻击击计计算机病毒算机病毒信息信息丢丢失、失、篡篡改、改、销毁销毁后后门门、隐隐蔽通道蔽通道蠕虫蠕虫52黑客信息收集非技术手段合法途径从目标机构的网站获取新闻报道，出版物新闻组或论坛社会工程手段假冒他人，获取第三方的信任搜索引擎53信息收集过程信息收集是一个综合过程从一些社会信息入手找到网络地址范围找到关键的机器地址找到开放端口和入口点找到系统的制造商和版本54社会信息DNS域名网络实名管理人员在新闻组或者论坛上的求助信息也会泄漏信息网站的网页中新闻报道这样的信息可以合法地获取55黑客常用攻击方法开放共享口令攻击软件和系统漏洞缓存溢出拒绝服务攻击网络监听（嗅探）IP欺骗恶意代码56基本认识1：没有绝对的安全没有绝对的安全，只有绝对的不安全如果非要给绝对安全下一个定义的话那将是这样的：将要保存的硬盘封闭到一个抽成真空的金属箱内，沉到一个不知名的大洋底下，那么硬盘中的数据是绝对安全的。57基本认识2：安全是一个过程安全是一个动态实践的过程。安全不是所有安全产品的堆叠。安全问题的解决，必须重视整体系统的规划和安全策略的制定。MP2DR2动态信息安全理论58基本认识3：人是安全机制中最薄弱环节任何安全系统中都存在这些问题。Enigma机器的操作人员采用便捷手段，简化工作强度。导致被波兰破译。前苏联重复使用了一次一密乱码本，导致一些消息可以被破解。各种机密信息的泄漏事件（巴国核泄密事件）59安全体系结构防火防火墙安全网关安全网关VPNVPN网网网网络络安全安全安全安全层层反病毒反病毒风险评估估入侵入侵检测审计分析分析系系系系统统安全安全安全安全层层用用户/组管理管理单机登机登录身份身份认证用用用用户户安全安全安全安全层层访问控制控制授授权应应用安全用安全用安全用安全层层加密加密数据安全数据安全数据安全数据安全层层存存储备份份物理安全物理安全物理安全物理安全层层60国家对网络隔离安全问题的重视美国国家航天局在遭受黑客攻美国国家航天局在遭受黑客攻击时,所采所采取的措施是拔掉网取的措施是拔掉网线 美国能源部美国能源部选择路由器断路由器断电“据据说保保证一个系一个系统真正安全的途径只有一个：真正安全的途径只有一个：断开网断开网络，这也也许正在成正在成为一个真正的解决方案。一个真正的解决方案。”Michael Bobbin 计算机安全算机安全杂志志主主编61安全防范体系之存存存存储备储备份份份份62为什么需要备份？硬件故障硬件故障 软件故障件故障 误操作操作 病毒入侵病毒入侵 保留保留历史史记录 发生灾生灾难性事件性事件63提高可用性，加强数据安全q 集群集群 -Cluster-Clusterq 数据数据备份份q 容灾容灾64容灾解决方案一览通常通常通常通常级级高高高高级级企企企企业级业级解决方案解决方案秒秒分分时日日 周周秒秒分分时日日 周周恢复点恢复点恢复点恢复点恢复恢复恢复恢复时间时间65安全防范体系之网网网网络络安全安全安全安全综综合管理合管理合管理合管理66安全管理面临的问题1.1.管理成本的上升管理成本的上升 网网网网络规络规模模模模扩扩大引起管理成本的上升；大引起管理成本的上升；大引起管理成本的上升；大引起管理成本的上升；基基基基础设础设施多元化引起管理成本的上升；施多元化引起管理成本的上升；施多元化引起管理成本的上升；施多元化引起管理成本的上升；资资源管理复源管理复源管理复源管理复杂杂化引起管理成本的上升。化引起管理成本的上升。化引起管理成本的上升。化引起管理成本的上升。2.2.管理信息管理信息综合利用率合利用率较低低传统传统的的的的对对安全安全安全安全设备设备或或或或资资源的分散式管理使得数据源的分散式管理使得数据源的分散式管理使得数据源的分散式管理使得数据难难以共享；以共享；以共享；以共享；缺乏可信的管理策略，缺乏可信的管理策略，缺乏可信的管理策略，缺乏可信的管理策略，难难以以以以实现设备实现设备之之之之间间的的的的协协同工作；同工作；同工作；同工作；缺乏有效的缺乏有效的缺乏有效的缺乏有效的审计审计手段，手段，手段，手段，难难以以以以实现对实现对管理信息的管理信息的管理信息的管理信息的 “增增增增值值利用利用利用利用”。管管理理成成本本67 整整个个网网络的的安安全全解解决决方方案案包包括括防防火火墙、防防病病毒毒、扫描描分分析析、网网络入入侵侵检测、监控控与与恢恢复复、线路路传输加加密密、存存储备份份、安安全全管管理理等等几几个个方方面面，形形成成了了从从物物理理层到到应用用层，从从策策略略到到管管理理的的多多角角度、多度、多层次的立体防次的立体防护体系。体系。小结68信息安全管理的目的进进不不不不来来来来拿拿拿拿不不不不走走走走改改改改不不不不了了了了跑跑跑跑不不不不了了了了看看看看不不不不懂懂懂懂69信息安全管理的内容风险分析物理安全设备管理运行管理软件安全管理信息安全管理人员安全管理应用系统安全管理操作安全管理技术文档安全管理灾难恢复计划安全应急响应70信息安全管理的制度IP地址管理制度 防火墙管理制度 病毒和恶意代码防护制度 服务器上线及日常管理制度口令管理制度开发安全管理制度应急响应制度 制度运行监督 71第三篇第三篇信息安全管理与法律法信息安全管理与法律法规72涉密信息系涉密信息系统管理管理涉及国家秘密信息系涉及国家秘密信息系统的分的分级保保护管理管理 系系统应当依据国家信息安全等当依据国家信息安全等级保保护的的基本要求，按照国家保密工作部基本要求，按照国家保密工作部门有关涉密信有关涉密信息系息系统分分级保保护的管理的管理规定和技定和技术标准，准，结合合系系统实际情况情况进行保行保护。系。系统按照所按照所处理信息理信息的最高密的最高密级，由低到高分，由低到高分为秘密、机密、秘密、机密、绝密密三个等三个等级。非涉密信息系非涉密信息系统不得不得处理国家秘密信息。理国家秘密信息。73涉密信息系涉密信息系统管理管理涉密信息系涉密信息系统的分的分级保保护管理管理 系系统使用的信息安全保密使用的信息安全保密产品原品原则上上应选用用国国产品，并品，并应当通当通过国家保密局授国家保密局授权的的检测机机构依据有关国家保密构依据有关国家保密标准准进行的行的检测，通，通过检测的的产品由国家保密局品由国家保密局审核核发布目布目录。采用密采用密码对涉密的信息和信息系涉密的信息和信息系统进行保行保护的，的，应报经国家密国家密码管理局管理局审批，密批，密码的的设计、实施、使用、运行施、使用、运行维护和日常管理等，和日常管理等，应当按照国家密当按照国家密码管理有关管理有关规定和定和标准准执行。行。74信息安全法律法信息安全法律法规小小结 犯罪形式多犯罪形式多样传统的犯罪在虚的犯罪在虚拟空空间延伸延伸政治政治经济民事民事虚虚拟空空间特有或增特有或增强攻攻击信息系信息系统传播和泄露信息快、范播和泄露信息快、范围广、影响大广、影响大（匿名的）网上教唆、勾（匿名的）网上教唆、勾连、串、串谋75信息安全法律法信息安全法律法规小小结 法制尚未完善法制尚未完善执法机构的法机构的执法意法意识虚虚拟货币小小额诈骗税收税收取取证（身份（身份鉴别、行、行为记录）法律？道德？法律？道德？76谢 谢77