1、1电电电电子政子政子政子政务务务务安全的全局安全的全局安全的全局安全的全局对对对对策策策策曲成曲成义义 研究研究员员2009.5.212009.5.212信息化信息化领导领导小小组组第二次会第二次会议议用于用于用于用于4 4种种种种领领领领域:域:域:域:党委、政府、人大、政党委、政府、人大、政党委、政府、人大、政党委、政府、人大、政协协协协服服服服务务务务于于于于4 4类对类对类对类对象:象:象:象:G2EG2E、G2GG2G、G2BG2B、B2CB2C调调调调包括包括包括包括4 4类业务类业务类业务类业务:行政行政行政行政监监监监管、管、管、管、办办办办公决策、公共服公决策、公共服公决策、
2、公共服公决策、公共服务务务务、经济调经济调经济调经济调控控控控增增增增强强强强4 4种能力:种能力:种能力:种能力:管理、决策、管理、决策、管理、决策、管理、决策、应应应应急急急急处处处处理、公共服理、公共服理、公共服理、公共服务务务务加大信息共享和交流加大信息共享和交流加大信息共享和交流加大信息共享和交流加加加加强强强强业务业务业务业务互互互互动动动动和部和部和部和部门协门协门协门协同同同同作好作好作好作好业务业务业务业务流程流程流程流程规规规规范、范、范、范、优优优优化和化和化和化和职职职职能能能能转变转变转变转变建立建立建立建立电电电电子政子政子政子政务务务务安全保障体系安全保障体系安全
3、保障体系安全保障体系建立勤政、廉建立勤政、廉建立勤政、廉建立勤政、廉洁洁洁洁、务实务实务实务实、高效的政府、高效的政府、高效的政府、高效的政府 (中中中中办发办发办发办发200217200217号文件号文件号文件号文件)31.国民信息技能教育培训计划:学科、社会、学科、社会、终终生生2.电子商务行动计划:骨干、中小、支撑骨干、中小、支撑环环境、社会化服境、社会化服务务3.电子政务行动计划:公开、共享、交公开、共享、交换换、服、服务务、规规划、划、绩绩效、效、4.网络媒体信息资源开发利用计划:公益、普遍、新媒公益、普遍、新媒5.缩小数字鸿沟计划:两个差距、两个差距、协调发协调发展展6.关键信息技
4、术自主创新计划学科:芯片、芯片、软软件、装件、装备备、7.7.移移动动、DTVDTV、NGNNGN、RFID-RFID-国家信息化发展战略(6(6项战项战略行略行动动)4“十七大十七大”报报告指出告指出 “十七大十七大十七大十七大”报报报报告中指出:告中指出:告中指出:告中指出:“建建建建设设设设服服服服务务务务型政府型政府型政府型政府 推行推行推行推行电电电电 子政子政子政子政务务务务,强强强强化社会管理和公共服化社会管理和公共服化社会管理和公共服化社会管理和公共服务务务务。保障人民的知情保障人民的知情保障人民的知情保障人民的知情 权权权权、参与、参与、参与、参与权权权权、表达、表达、表达、
5、表达权权权权、监监监监督督督督权权权权。”公共服公共服公共服公共服务务务务是是是是电电电电子政子政子政子政务务务务的初衷和的初衷和的初衷和的初衷和归归归归宿,服宿,服宿,服宿,服务务务务于民主、于民主、于民主、于民主、民民民民权权权权和民生,管理寓于服和民生,管理寓于服和民生,管理寓于服和民生,管理寓于服务务务务之中之中之中之中 提高网上提高网上提高网上提高网上审审审审批、网上信批、网上信批、网上信批、网上信访访访访、网上咨、网上咨、网上咨、网上咨询询询询、网上、网上、网上、网上办办办办事的事的事的事的 服服服服务务务务效率和效率和效率和效率和质质质质量,降低社会成本,提升量,降低社会成本,提
6、升量,降低社会成本,提升量,降低社会成本,提升满满满满意度意度意度意度 电电电电子政子政子政子政务务务务正在推正在推正在推正在推进进进进和延伸到社区和新和延伸到社区和新和延伸到社区和新和延伸到社区和新农农农农村,村,村,村,电电电电子政子政子政子政 务务务务公共服公共服公共服公共服务对务对务对务对和和和和谐谐谐谐社会建社会建社会建社会建设设设设将大有作将大有作将大有作将大有作为为为为。但是但是但是但是电电电电子政子政子政子政务务务务的快速推的快速推的快速推的快速推进进进进,给给给给信息安全信息安全信息安全信息安全带带带带来巨大挑来巨大挑来巨大挑来巨大挑战战战战 5 最近胡最近胡最近胡最近胡锦锦
7、锦锦涛涛涛涛总书记总书记总书记总书记指出:指出:指出:指出:“把握信息化把握信息化发发展的方向、展的方向、维护维护国家国家在网在网络络空空间间的安全和利益成的安全和利益成为为信息信息时时代的代的重大重大战战略略课题课题。”6网网络络突突发发灾灾难难带带来巨大来巨大损损失失bb电电电电子威子威子威子威胁类胁类胁类胁类 20002000年美国八大重要网站遭年美国八大重要网站遭年美国八大重要网站遭年美国八大重要网站遭DDosDDos攻攻攻攻击损击损击损击损失失失失12121212亿亿亿亿 20012001年年年年东东东东京机京机京机京机场场场场航管遭航管遭航管遭航管遭红红红红色病毒侵入千人受阻色病毒
8、侵入千人受阻色病毒侵入千人受阻色病毒侵入千人受阻 20032003年冲年冲年冲年冲击击击击波病毒在全球泛波病毒在全球泛波病毒在全球泛波病毒在全球泛滥滥滥滥 -bb内容威内容威内容威内容威胁类胁类胁类胁类 20052005年美国年美国年美国年美国40004000万万万万张张张张信用卡信息被窃出信用卡信息被窃出信用卡信息被窃出信用卡信息被窃出现现现现大量卡敲大量卡敲大量卡敲大量卡敲诈诈诈诈 20062006年年年年1010亿亿亿亿网民的人年均垃圾网民的人年均垃圾网民的人年均垃圾网民的人年均垃圾邮邮邮邮件几千封件几千封件几千封件几千封 当前当前当前当前“谍谍谍谍件件件件”已被注入到已被注入到已被注入
9、到已被注入到80%80%的重要企的重要企的重要企的重要企业业业业 网网网网络舆络舆络舆络舆情爆情爆情爆情爆发发发发bb物理威物理威物理威物理威胁类胁类胁类胁类 20012001年年年年911911事件造成事件造成事件造成事件造成“世世世世贸贸贸贸中心中心中心中心”八百家企八百家企八百家企八百家企业业业业信息系信息系信息系信息系统统统统毁毁毁毁灭灭灭灭而消而消而消而消亡亡亡亡 20062006年年年年12.2612.26“台湾海峡台湾海峡台湾海峡台湾海峡”地震地震地震地震导导导导致致致致6 6 6 6条国条国条国条国际际际际通信通信通信通信电缆电缆电缆电缆中断中断中断中断 ,周周周周边边边边影响
10、影响影响影响严严严严重(重(重(重(MSNMSN、GoogleGoogle、Yahoo-Yahoo-)2008 2008年大冰雪和四川大地震年大冰雪和四川大地震,电电力和信道中断力和信道中断7 (原国信(原国信(原国信(原国信办办办办()()()()安安安安检调查检调查检调查检调查中的案例)中的案例)中的案例)中的案例)民航离港安民航离港安检检系系统统:1020 分分钟钟银银行取款系行取款系统统:20-30分分钟钟股市系股市系统统:几十秒几十秒超市超市电电子子购购物物业业:1020 分分钟钟医保医保信息系信息系统统:20-30分分钟钟-重要信息系重要信息系统统停机容忍的停机容忍的时时限限 8我
11、国网我国网络络信息安全威信息安全威胁胁增加迅速增加迅速 (CNCERT/CCCNCERT/CCCNCERT/CCCNCERT/CC)bb僵尸网僵尸网僵尸网僵尸网络扩络扩络扩络扩大,大,大,大,253253253253个个个个IPIPIPIP地址主机被植入僵尸程序地址主机被植入僵尸程序地址主机被植入僵尸程序地址主机被植入僵尸程序bb木木木木马马马马/谍谍谍谍件威件威件威件威胁严胁严胁严胁严重,重,重,重,15151515万台主机万台主机万台主机万台主机IPIPIPIP地址植入木地址植入木地址植入木地址植入木马马马马bb网站网站网站网站篡篡篡篡改数量迅速增加,达到改数量迅速增加,达到改数量迅速增加
12、达到改数量迅速增加,达到5835583558355835个网站个网站个网站个网站bb其中其中其中其中gov.CNgov.CNgov.CNgov.CN被被被被篡篡篡篡改改改改为为为为484484484484个,个,个,个,bb安全事件安全事件安全事件安全事件报报报报告告告告为为为为 564 564 564 564次次次次/月月月月bb网网网网络恶络恶络恶络恶意代意代意代意代码发现码发现码发现码发现 4041 4041 4041 4041个个个个/月月月月bb漏洞漏洞漏洞漏洞发现发现发现发现量的年增量的年增量的年增量的年增196%196%196%196%9网网络络威威胁胁的新的新动动向向值值得高
13、度关注得高度关注1.1.1.1.“零日攻零日攻零日攻零日攻击击击击”现现现现象出象出象出象出现现现现(魔波蠕虫)(魔波蠕虫)(魔波蠕虫)(魔波蠕虫)2.2.2.2.复合式病毒复合式病毒复合式病毒复合式病毒给给给给防范增加防范增加防范增加防范增加难难难难度度度度3.3.3.3.僵尸网成僵尸网成僵尸网成僵尸网成为为为为DDosDDos和垃圾和垃圾和垃圾和垃圾邮邮邮邮件的源件的源件的源件的源头头头头4.4.4.4.网网网网络络络络仿冒仿冒仿冒仿冒/劫持是在劫持是在劫持是在劫持是在线线线线窃取的重要途径窃取的重要途径窃取的重要途径窃取的重要途径5.5.5.5.谍谍谍谍件泛件泛件泛件泛滥滥滥滥(遥控木(
14、遥控木(遥控木(遥控木马马马马)是窃密)是窃密)是窃密)是窃密/泄密的主要元凶泄密的主要元凶泄密的主要元凶泄密的主要元凶6.6.6.6.通通通通过过过过网网网网页页页页/邮邮邮邮件件件件/P2P/P2P传传传传播播播播恶恶恶恶意代意代意代意代码码码码的数量猛增的数量猛增的数量猛增的数量猛增7.7.7.7.非法牟利非法牟利非法牟利非法牟利动动动动机明机明机明机明显显显显增加,黑色地下增加,黑色地下增加,黑色地下增加,黑色地下产业链产业链产业链产业链正在形成正在形成正在形成正在形成8.8.8.8.僵尸源和木僵尸源和木僵尸源和木僵尸源和木马马马马源的跨国控制源的跨国控制源的跨国控制源的跨国控制应该应
15、该应该应该高度警惕高度警惕高度警惕高度警惕9.9.9.9.网网网网络舆络舆络舆络舆情的爆情的爆情的爆情的爆发发发发要要要要认认认认真真真真对对对对待待待待10.10.10.10.内部安全事件的增加引起高度重内部安全事件的增加引起高度重内部安全事件的增加引起高度重内部安全事件的增加引起高度重视视视视()()()()11.11.11.11.年特大冰雪和地震中信息网年特大冰雪和地震中信息网年特大冰雪和地震中信息网年特大冰雪和地震中信息网络瘫痪损络瘫痪损络瘫痪损络瘫痪损失失失失严严严严重重重重12.12.12.12.特特特特别别别别是近期网是近期网是近期网是近期网络络络络重大失窃密事件的重大失窃密事件
16、的重大失窃密事件的重大失窃密事件的发发发发生,触目惊心生,触目惊心生,触目惊心生,触目惊心10 拒拒拒拒绝绝绝绝服服服服务类务类务类务类:挤挤挤挤占占占占带宽带宽带宽带宽、消耗、消耗、消耗、消耗资资资资源源源源 恶恶恶恶意代意代意代意代码类码类码类码类:病毒蠕虫、破坏可用病毒蠕虫、破坏可用病毒蠕虫、破坏可用病毒蠕虫、破坏可用 漏洞利用漏洞利用漏洞利用漏洞利用类类类类:窃窃窃窃权访问权访问权访问权访问、系、系、系、系统统统统破坏破坏破坏破坏 网网网网络络络络欺欺欺欺骗类骗类骗类骗类:虚假网站、虚假消息虚假网站、虚假消息虚假网站、虚假消息虚假网站、虚假消息 网网网网络络络络窃听窃听窃听窃听类类类类
17、网网网网络监络监络监络监听、听、听、听、键盘键盘键盘键盘窃窃窃窃录录录录 误误误误用用用用滥滥滥滥用用用用类类类类:失失失失误误误误操作、操作、操作、操作、违规违规违规违规操作操作操作操作信息安全威信息安全威胁类别胁类别11电电子政子政务务面面临临的威的威胁胁网上黑客与网上黑客与计计算机犯罪算机犯罪网网络络病毒的蔓延和破坏病毒的蔓延和破坏机要信息流失与信息机要信息流失与信息间谍间谍潜入潜入网上恐怖活网上恐怖活动动与信息与信息战战内部人内部人员违规员违规和和违违法法物理物理临临近式威近式威胁胁安全安全产产品的失控(分品的失控(分发发式威式威胁胁)网网络络的脆弱性和系的脆弱性和系统统漏洞漏洞12
18、国家信息化国家信息化领导领导小小组组第三次会第三次会议议 关于加关于加强强信息安全保障工作的意信息安全保障工作的意见见 中中办发办发2003 27号文号文 坚坚坚坚持持持持积积积积极防御、极防御、极防御、极防御、综综综综合防范合防范合防范合防范 全面提高信息安全防全面提高信息安全防全面提高信息安全防全面提高信息安全防护护护护能力能力能力能力 重点保障信息网重点保障信息网重点保障信息网重点保障信息网络络络络和重要信息系和重要信息系和重要信息系和重要信息系统统统统安全安全安全安全 创创创创建安全健康的网建安全健康的网建安全健康的网建安全健康的网络环络环络环络环境境境境 保障和促保障和促保障和促保障
19、和促进进进进信息化信息化信息化信息化发发发发展、保展、保展、保展、保护护护护公众利益、公众利益、公众利益、公众利益、维护维护维护维护国家安全国家安全国家安全国家安全 立足国情、以我立足国情、以我立足国情、以我立足国情、以我为为为为主、管理与技主、管理与技主、管理与技主、管理与技术术术术并重、并重、并重、并重、统统统统筹筹筹筹规规规规划、突出重点划、突出重点划、突出重点划、突出重点 发挥发挥发挥发挥各界各界各界各界积积积积极性、共同构筑国家信息安全保障体系极性、共同构筑国家信息安全保障体系极性、共同构筑国家信息安全保障体系极性、共同构筑国家信息安全保障体系 13国家信息安全保障工作要点国家信息安
20、全保障工作要点 实实实实行信息安全等行信息安全等行信息安全等行信息安全等级级级级保保保保护护护护制度:制度:制度:制度:风险风险风险风险与成本、与成本、与成本、与成本、资资资资源源源源优优优优化配置、安全化配置、安全化配置、安全化配置、安全 风险评风险评风险评风险评估估估估 基于密基于密基于密基于密码码码码技技技技术术术术网网网网络络络络信任体系建信任体系建信任体系建信任体系建设设设设:密密密密码码码码管理体制、身份管理体制、身份管理体制、身份管理体制、身份认证认证认证认证、授授授授权权权权管理、管理、管理、管理、责责责责任任任任认认认认定定定定 建建建建设设设设信息安全信息安全信息安全信息安
21、全监监监监控体系:控体系:控体系:控体系:提高提高提高提高对对对对网网网网络络络络攻攻攻攻击击击击、病毒入侵、网、病毒入侵、网、病毒入侵、网、病毒入侵、网络络络络失窃失窃失窃失窃 密、有害信息的防范能力密、有害信息的防范能力密、有害信息的防范能力密、有害信息的防范能力 重重重重视视视视信息安全信息安全信息安全信息安全应应应应急急急急处处处处理工作:理工作:理工作:理工作:指指指指挥挥挥挥、响、响、响、响应应应应、协调协调协调协调、通、通、通、通报报报报、支援、支援、支援、支援、抗抗抗抗毁毁毁毁、灾、灾、灾、灾备备备备 推推推推动动动动信息安全技信息安全技信息安全技信息安全技术术术术研研研研发发
22、发发与与与与产业发产业发产业发产业发展:展:展:展:关关关关键键键键技技技技术术术术、自主、自主、自主、自主创创创创新、新、新、新、强强强强 化可控、引化可控、引化可控、引化可控、引导导导导与市与市与市与市场场场场、测评认证测评认证测评认证测评认证、采、采、采、采购购购购、服、服、服、服务务务务 信息安全法制与信息安全法制与信息安全法制与信息安全法制与标标标标准建准建准建准建设设设设:信息安全法、打信息安全法、打信息安全法、打信息安全法、打击击击击网网网网络络络络犯罪、犯罪、犯罪、犯罪、标标标标准体准体准体准体 系、系、系、系、规规规规范网范网范网范网络络络络行行行行为为为为 信息安全人材培养
23、与增信息安全人材培养与增信息安全人材培养与增信息安全人材培养与增强强强强安全意安全意安全意安全意识识识识:学科、培学科、培学科、培学科、培训训训训、意、意、意、意识识识识、技能、技能、技能、技能、自律、守法自律、守法自律、守法自律、守法 信息安全信息安全信息安全信息安全组织组织组织组织建建建建设设设设:信息安全信息安全信息安全信息安全协调协调协调协调小小小小组组组组、责责责责任制、依法和加任制、依法和加任制、依法和加任制、依法和加强强强强管理管理管理管理 14构造构造“信息安全保障体系信息安全保障体系”的目的目标标 增增强强信息网信息网络络四种安全能力四种安全能力 创创创创建信建信建信建信 息
24、安全的基息安全的基息安全的基息安全的基础础础础支撑能力支撑能力支撑能力支撑能力 安全安全安全安全 基基基基础设础设础设础设施、技施、技施、技施、技术术术术与与与与产业产业产业产业、人才与教育、人才与教育、人才与教育、人才与教育 提升信息安全防提升信息安全防提升信息安全防提升信息安全防护护护护与与与与对对对对抗能力抗能力抗能力抗能力 .加加加加强强强强网网网网络络络络突突突突发发发发事件的快速反事件的快速反事件的快速反事件的快速反应应应应能力能力能力能力 拥拥拥拥有安全管理的控制能力有安全管理的控制能力有安全管理的控制能力有安全管理的控制能力 保障信息及其服保障信息及其服务务具有七性具有七性 保
25、密性、完整性、可用性、真保密性、完整性、可用性、真保密性、完整性、可用性、真保密性、完整性、可用性、真实实实实性、可核性、可核性、可核性、可核查查查查性、抗抵性、抗抵性、抗抵性、抗抵赖赖赖赖性、可控性性、可控性性、可控性性、可控性15 信息化促信息化促信息化促信息化促进进进进企企企企业业业业(部部部部门门门门)的的的的发发发发展展展展,也也也也蕴蕴蕴蕴育新的育新的育新的育新的风险风险风险风险 BCMBCM是保是保是保是保证证证证企企企企业业业业(部部部部门门门门)发发发发展的生命展的生命展的生命展的生命线线线线 BCMBCM从体系化、系从体系化、系从体系化、系从体系化、系统统统统化、化、化、化
26、规规规规范化的高度范化的高度范化的高度范化的高度 实实实实施作施作施作施作业业业业持持持持续续续续性管理的整体流程和全局性管理的整体流程和全局性管理的整体流程和全局性管理的整体流程和全局对对对对策策策策 BCMBCM是企是企是企是企业创业创业创业创利、信誉、利、信誉、利、信誉、利、信誉、责责责责任、任、任、任、发发发发展的前提、展的前提、展的前提、展的前提、从企从企从企从企 业业业业生生生生产链产链产链产链、供、供、供、供应链应链应链应链、客、客、客、客户户户户关系、可用性全局出关系、可用性全局出关系、可用性全局出关系、可用性全局出发发发发 BCMBCM是政府使命、是政府使命、是政府使命、是
27、政府使命、责责责责任、任、任、任、执执执执行力、公信力的前提,行力、公信力的前提,行力、公信力的前提,行力、公信力的前提,从部从部从部从部门业务门业务门业务门业务流程、信息共享、部流程、信息共享、部流程、信息共享、部流程、信息共享、部门协门协门协门协同、系同、系同、系同、系统统统统可用性可用性可用性可用性 全局出全局出全局出全局出发发发发业务业务持持续续性管理性管理(BCM)16BCMBCM的六的六的六的六要素要素要素要素:需求、需求、需求、需求、战战战战略、略、略、略、计计计计划、演划、演划、演划、演练练练练、维护维护维护维护、评评评评估估估估 需求理解:需求理解:需求理解:需求理解:威威威
28、威胁胁胁胁与与与与资产资产资产资产、关、关、关、关键业务优键业务优键业务优键业务优先次序、容忍中断先次序、容忍中断先次序、容忍中断先次序、容忍中断时间时间时间时间和最低和最低和最低和最低服服服服 务务务务水平水平水平水平 实实实实施施施施战战战战略:略:略:略:控制策略、控制策略、控制策略、控制策略、弹弹弹弹性机制、关性机制、关性机制、关性机制、关键连续键连续键连续键连续、依、依、依、依赖赖赖赖分散、分散、分散、分散、备备备备份替代、份替代、份替代、份替代、利害利害利害利害 相关相关相关相关 应应应应急急急急计计计计划:划:划:划:响响响响应应应应、控制、恢复、沟通、控制、恢复、沟通、控制、恢
29、复、沟通、控制、恢复、沟通 演演演演练练练练:验证验证验证验证其可其可其可其可执执执执行性和适行性和适行性和适行性和适应应应应性性性性 维护维护维护维护:变变变变化、更新、化、更新、化、更新、化、更新、评评评评估:估:估:估:评审评审评审评审、调调调调整、改正整、改正整、改正整、改正业务业务持持续续性管理性管理认证标认证标准准(BS 25999)(BS 25999)17 电电子政子政务务安全的全局安全的全局对对策策(一一)科学划分信息安全等科学划分信息安全等级级bb投入与投入与投入与投入与风险风险风险风险的的的的平衡点平衡点平衡点平衡点bb安全安全安全安全资资资资源的源的源的源的优优优优化配置
30、化配置化配置化配置(二二)构建构建信息安全保障体系信息安全保障体系bb 重重重重视顶层设计视顶层设计视顶层设计视顶层设计,做好做好做好做好信息安全技信息安全技信息安全技信息安全技术术术术体系体系体系体系与与与与信息安全管理体系信息安全管理体系信息安全管理体系信息安全管理体系bb强强强强化信息安全的化信息安全的化信息安全的化信息安全的保障性保障性保障性保障性(三三)抓好信息安全抓好信息安全风险评风险评估估bb是信息安全建是信息安全建是信息安全建是信息安全建设设设设的的的的起点起点起点起点、也覆盖、也覆盖、也覆盖、也覆盖终终终终生生生生bb提升信息安全的提升信息安全的提升信息安全的提升信息安全的可
31、信性可信性可信性可信性(四四)提升提升EG EG 应应急和容灾能力急和容灾能力18 (一)科学划分信息安全等(一)科学划分信息安全等级级19 信息安全等信息安全等级级保保护护关注点关注点 (公通字公通字公通字公通字200743200743200743200743号文)、(中保委号文)、(中保委号文)、(中保委号文)、(中保委发发发发(2004200420042004)7 7 7 7号文)号文)号文)号文)bb等等等等级级级级保保保保护护护护涉及的内容:涉及的内容:涉及的内容:涉及的内容:信息系信息系信息系信息系统统统统、信息安全、信息安全、信息安全、信息安全产产产产品品品品、信息安全事件信息安
32、全事件信息安全事件信息安全事件bb分分分分级级级级依据:依据:依据:依据:重要程度、危害程度、保重要程度、危害程度、保重要程度、危害程度、保重要程度、危害程度、保护护护护水平水平水平水平 (业务业务业务业务信息、系信息、系信息、系信息、系统统统统服服服服务务务务)bb保保保保护级别护级别护级别护级别划分:划分:划分:划分:自主保自主保自主保自主保护级护级护级护级、指、指、指、指导导导导保保保保护级护级护级护级、监监监监督保督保督保督保护级护级护级护级、强强强强制保制保制保制保护级护级护级护级、专专专专控保控保控保控保护级护级护级护级bb系系系系统统统统管理模式管理模式管理模式管理模式 一一一一
33、级级级级:自主保:自主保:自主保:自主保护护护护 (一般系(一般系(一般系(一般系统统统统/合法合法合法合法权权权权益)益)益)益)二二二二级级级级:指:指:指:指导导导导保保保保护护护护(一般系(一般系(一般系(一般系统统统统/合法合法合法合法权权权权益、社会利益)益、社会利益)益、社会利益)益、社会利益)三三三三级级级级:监监监监督督督督检查检查检查检查(重要系(重要系(重要系(重要系统统统统/社会利益、国家安全)社会利益、国家安全)社会利益、国家安全)社会利益、国家安全)(秘密秘密秘密秘密)四四四四级级级级:强强强强制制制制监监监监督督督督 (重要系(重要系(重要系(重要系统统统统/社会
34、利益、国家安全)社会利益、国家安全)社会利益、国家安全)社会利益、国家安全)(机密机密机密机密 、增、增、增、增强强强强)五五五五级级级级:专门监专门监专门监专门监督督督督 (极端重要系(极端重要系(极端重要系(极端重要系统统统统/国家安全)国家安全)国家安全)国家安全)(绝绝绝绝密密密密)bb安全管理安全管理安全管理安全管理 自主定自主定自主定自主定级级级级-审审审审核批准核批准核批准核批准-自主安保自主安保自主安保自主安保-安全安全安全安全测评测评测评测评bb定定定定级现级现级现级现状状状状:二二二二级级级级,三,三,三,三级级级级,四,四,四,四级级级级20等等等等级级级级合法合法合法合
35、法权权权权益益益益社会秩序和社会秩序和社会秩序和社会秩序和公共利益公共利益公共利益公共利益国家安全国家安全国家安全国家安全损损损损害害害害严严严严重重重重损损损损害害害害损损损损害害害害严严严严重重重重损损损损害害害害特特特特别严别严别严别严重重重重损损损损害害害害损损损损害害害害严严严严重重重重损损损损害害害害特特特特别严别严别严别严重重重重损损损损害害害害一一一一级级级级 二二二二级级级级 三三三三级级级级 四四四四级级级级 五五五五级级级级 21等等等等级级级级分分分分级级级级保保保保护护护护保保保保护级护级护级护级(GB17859 GB17859)实实实实施与管理施与管理施与管理施与管
36、理一一一一级级级级自主保自主保自主保自主保护护护护自主自主自主自主访问访问访问访问自定自定自定自定.审审审审批批批批二二二二级级级级指指指指导导导导保保保保护护护护审计审计审计审计(自主(自主(自主(自主访问访问访问访问)审审审审批批批批.备备备备案案案案三三三三级级级级监监监监督督督督检查检查检查检查标记标记标记标记(强强强强制制制制访问访问访问访问)审审审审批批批批.备备备备案案案案每年一次每年一次每年一次每年一次测评检查测评检查测评检查测评检查四四四四级级级级强强强强制制制制监监监监督督督督检查检查检查检查结结结结构化保构化保构化保构化保证证证证审审审审批批批批.备备备备案案案案.评审评
37、审评审评审半年一次半年一次半年一次半年一次测评检查测评检查测评检查测评检查五五五五级级级级专门监专门监专门监专门监督督督督检查检查检查检查实时监实时监实时监实时监控控控控专门评审专门评审专门评审专门评审.检查检查检查检查22 信息安全等信息安全等级级保保护护相关相关规规范范 (公通字公通字公通字公通字200743200743号文)号文)号文)号文)bb bb bb bb bb -bb BMB 17-2006 BMB 17-2006 BMB 17-2006 BMB 17-2006bb BMB 22-2007 BMB 22-2007 BMB 22-2007 BMB 22-2007bb BMB 20
38、2007 BMB 20-2007 BMB 20-2007 BMB 20-2007 23 (二)(二)构建信息安全保障体系构建信息安全保障体系 (1)(1)信息安全技信息安全技术术体系体系 (2)(2)信息安全管理体系信息安全管理体系24政府网站政府网站发发展展阶阶段段 bb技技技技术导术导术导术导向向向向阶阶阶阶段(段(段(段(前期)前期)前期)前期)bb内容内容内容内容导导导导向向向向阶阶阶阶段(段(段(段(中期)中期)中期)中期)bb服服服服务导务导务导务导向向向向阶阶阶阶段段段段 (未来)未来)未来)未来)2526 (1)重)重视视信息安全管理体系建信息安全管理体系建设设(ISMS)国
39、家文件多次指出:国家文件多次指出:国家文件多次指出:国家文件多次指出:建立信息安全管理建立信息安全管理建立信息安全管理建立信息安全管理组织组织组织组织 明确信息安全管理明确信息安全管理明确信息安全管理明确信息安全管理责责责责任制任制任制任制 安全技安全技安全技安全技术术术术与安全管理要并重与安全管理要并重与安全管理要并重与安全管理要并重 信息安全信息安全信息安全信息安全标标标标准化委准化委准化委准化委员员员员会正抓会正抓会正抓会正抓紧紧紧紧制制制制订订订订管理管理管理管理标标标标准准准准 构建信息安全保障体系构建信息安全保障体系构建信息安全保障体系构建信息安全保障体系时时时时一定要重一定要重一
40、定要重一定要重视视视视ISMS ISMS 建建建建设设设设 27 信息安全管理体系要求信息安全管理体系要求(ISO/IEC 27001-2005 GBT 20269-2006)(ISO/IEC 27001-2005 GBT 20269-2006)规规规规定了定了定了定了组织组织组织组织建立、建立、建立、建立、实实实实施、运行、施、运行、施、运行、施、运行、监视监视监视监视、评审评审评审评审 保持、改保持、改保持、改保持、改进进进进、ISMSISMS的要求的要求的要求的要求 基于基于基于基于风险风险风险风险管理思想提出了管理思想提出了管理思想提出了管理思想提出了“PDCAPDCA模型模型模型模型
41、使,使,使,使组织组织组织组织 达到更有效的安全管理达到更有效的安全管理达到更有效的安全管理达到更有效的安全管理 用于用于用于用于认证认证认证认证和和和和审审审审核核核核 28 应应用于用于ISMS过过程的程的PDCA模型模型 PDCAPDCA循循环环是能使任何一是能使任何一项项活活动动有效有效改改进进的工作程序的工作程序相关方相关方受控的受控的信息安全信息安全信息安全信息安全要求和期要求和期望望相关方相关方检查检查CheckCheck建立建立ISMSISMS实实施和施和运行运行ISMSISMS保持和保持和改改进进ISMSISMS监视监视和和评审评审ISMSISMS规规划划PlanPlan
42、实实施施DoDo处处置置ActAct应应用于用于ISMS过过程的程的PDCA模型模型29 信息安全管理信息安全管理实实用用规则规则 (ISO/IEC-27002 GB/T 22081-2008)(ISO/IEC-27002 GB/T 22081-2008)安全管理方安全管理方安全管理方安全管理方针针针针:业务业务业务业务、法、法、法、法规规规规 信息安全信息安全信息安全信息安全组织组织组织组织:内部、外部、控制措施内部、外部、控制措施内部、外部、控制措施内部、外部、控制措施 信息信息信息信息资产资产资产资产管理管理管理管理:责责责责任、分任、分任、分任、分类类类类、控制措施、控制措施、控制措施
43、控制措施 人力人力人力人力资资资资源安全源安全源安全源安全:角色、角色、角色、角色、职责职责职责职责、培、培、培、培训训训训、任用、任用、任用、任用、处罚处罚处罚处罚 物理和物理和物理和物理和环环环环境安全境安全境安全境安全:安全域控制、安全域控制、安全域控制、安全域控制、设备设备设备设备安全控制安全控制安全控制安全控制 通信与操作管理通信与操作管理通信与操作管理通信与操作管理:职责职责职责职责、交付、交付、交付、交付、验验验验收、完整性、收、完整性、收、完整性、收、完整性、备备备备份份份份 网控、介网控、介网控、介网控、介质质质质、交、交、交、交换换换换、ECEC、监视监视监视监视 访问访
44、问访问访问控制:控制:控制:控制:策略、授策略、授策略、授策略、授权权权权、控制、移、控制、移、控制、移、控制、移动动动动 信息系信息系信息系信息系统统统统开开开开发维护发维护发维护发维护:密:密:密:密码码码码、文件、文件、文件、文件、应应应应用、用、用、用、过过过过程、漏洞程、漏洞程、漏洞程、漏洞 信息安全事件管理信息安全事件管理信息安全事件管理信息安全事件管理:报报报报告、弱点、改告、弱点、改告、弱点、改告、弱点、改进进进进、职责职责职责职责 业务业务业务业务持持持持续续续续性管理性管理性管理性管理:中断、恢复、中断、恢复、中断、恢复、中断、恢复、预预预预案、案、案、案、评测评测评测评测
45、 符合性符合性符合性符合性:法法法法规规规规、策略、策略、策略、策略、标标标标准、准、准、准、审审审审核核核核 30 信息安全管理信息安全管理实实用用规则规则 GB/T 22081-2008GB/T 22081-2008 详细严详细严格的安全管理控制,格的安全管理控制,贯贯穿系穿系统统生命周期全生命周期全过过程和系程和系统统所有所有环节环节 1111个控制个控制个控制个控制项项项项目目目目 3939个控制目个控制目个控制目个控制目标标标标 133133个控制措施个控制措施个控制措施个控制措施 31BMB 22-BMB 22-20072007测评测评大大项项测评项测评项秘密秘密级级机密机密级级绝
46、绝密密级级安安全全保保密密管管理理过过程程管管理理系系统统定定级级3 33 33 3方案方案设计设计2 22 22 2工程工程实实施施4 44 44 4系系统测评统测评4 44 44 4系系统审统审批批4 44 44 4日常管理日常管理3 33 33 3评评估估检查检查2 22 22 2系系统废统废止止1 11 11 132安安全全保保密密管管理理内内容容管管理理组织组织管理管理7 77 77 7人人员员管理管理3 33 33 3信息安全保密管理信息安全保密管理2 22 22 2设备设备与介与介质质管理管理2 22 22 2运行与开运行与开发发管理管理1 11 11 1物理物理环环境与境与设设
47、施管施管理理2 22 22 233(2)加)加强强信息安全技信息安全技术术体系建体系建设设 安全需求分析:安全需求分析:安全需求分析:安全需求分析:威威威威胁胁胁胁,弱点,弱点,弱点,弱点,风险风险风险风险,对对对对策策策策 安全技安全技安全技安全技术术术术体系体系体系体系设计设计设计设计 安全要素安全要素安全要素安全要素设计设计设计设计:物理、网物理、网物理、网物理、网络络络络、系、系、系、系统统统统、应应应应用用用用 安全集成管理安全集成管理安全集成管理安全集成管理:SOCSOC安全安全安全安全风险评风险评风险评风险评估与全程控制估与全程控制估与全程控制估与全程控制 提升提升提升提升预预预
48、预警、防警、防警、防警、防护护护护、检测检测检测检测、响、响、响、响应应应应、恢复、反、恢复、反、恢复、反、恢复、反击击击击的能力的能力的能力的能力()()()()(ISSEISSE,IATFIATF,CCCC,TESEC,BMB,ISMSTESEC,BMB,ISMS)34 (A)网)网络络安全安全纵纵深防御体系深防御体系网网络络信息安全域的划分、隔离控制、可信接入信息安全域的划分、隔离控制、可信接入内部内部网安全服网安全服务务与控制策略与控制策略(专专网)安全服网)安全服务务与控制策略与控制策略外部网外部网安全安全服服务务与控制策略与控制策略互互联联网安全服网安全服务务与控制策略与控制策略公
49、共干公共干线线的安全服的安全服务务与控制策略(与控制策略(有有线线、无、无线线、卫卫星星)计计算算环环境的安全服境的安全服务务机制机制多多级设级设防与科学布署策略防与科学布署策略全局安全全局安全测评测评、集成管理、集成管理、联动联动控制与恢复控制与恢复35互互联联网网EG外网外网 逻逻辑辑隔隔离离EG内网内网-物物理理隔隔离离VPN安安全全网网关关关关键业务层键业务层WWW服服务务器器WWW服服务务器器WWW服服务务器器IntranetInternetExtranetEGEG网网络络安全域划分与安全控制安全域划分与安全控制36 信息安全域的科学划分信息安全域的科学划分 内网、内网、内网、内网、
50、专专专专网网网网)、外网、互、外网、互、外网、互、外网、互联联联联网网网网 信息安全域信息安全域边边界的安全控制界的安全控制 逻辑逻辑逻辑逻辑隔离隔离隔离隔离/物理隔离物理隔离物理隔离物理隔离 信息安全机制的信息安全机制的纵纵深多深多级级布署布署 多多多多级级级级配置配置配置配置/集成管理集成管理集成管理集成管理/设设设设施施施施联动联动联动联动 公共干公共干线线(TSP)的安全保障的安全保障 有有有有线线线线/无无无无线线线线/卫卫卫卫星星星星纵纵深防御技深防御技术术关注点关注点37 风险评风险评风险评风险评估与系估与系估与系估与系统统统统漏洞的漏洞的漏洞的漏洞的预预预预先先先先发现发现发






