信息安全保障概述.ppt

1、,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,信息安全保障概述,中国信息安全测评中心,课程内容,2,信息安全保障概述,信息,安全保障,框,架,国家信息安全,政策法,规,信息,安全,保,障框架基础知识,重点法律,法规解读,重点,政策解读,信息,安全保障基本实践,知识体：信息安全保障框架,知,识域：安全保障框架基础知识,理解信息安全的基本概念,理解信息安全保障的意义和内涵；,了解信息安全保障工作的总体思路和基本实践方法。,知识域：信息安全保障基本实践,了解我国信息安全保障工作发展阶段；,我国信息安全保障基本原则；,我国信息安全保障建设主要内容；,我国

2、信息安全保障工作的基本内容,。,3,什么是安全？,安全,Security,：事物保持不受损害,4,什么是信息安全？,保密！,不该知道的人，不让他知道！,5,什么是信息安全？,完整！,信息不能追求残缺美！,6,什么是信息安全？,可用！,信息要方便、快捷！,不能像某国首都二环早高峰，也不能像春运的火车站,7,什么是信息安全,信息本身的机密性（,Confidentiality,）、完整性（,Integrity,）和可用性（,Availability,）的保持，即防止防止未经授权使用信息、防止对信息的非法修改和破坏、确保及时可靠地使用信息。,保密性：,确保信息没有非授权的泄漏，不被非授权的个人、组织和

3、计算机程序使用,完整性：,确保信息没有遭到篡改和破坏,可用性：,确保拥有授权的用户或程序可以及时、正常使用信息,8,为什么会有信息安全问题？,因为有病毒吗？,因为有黑客吗？,因为有漏洞吗？,这些都是原因，,但没有说到根源,9,信息系统安全问题产生,的,根源与环节,内因,复杂性,导致脆弱性,：过程复杂，结构复杂，使用复杂,外因,对手:威胁与破坏,10,内在复杂过程,信息系统理论,冯-诺伊曼机,，,在程序与数据的区分上没有确定性的原则,设计,从设计的角度看，在设计时考虑的优先级中安全性相对于易用性、代码大小、执行程度等因素被放在次要的位置,实现,由于人性的弱点和程序设计方法学的不完善，软件总是存在

4、BUG,生产与集成,使用与运行维护,11,安全问题根源,内因系统越来越复杂,工作计算机,员工在使用,移动介质,内网中的其它系统,单位连接因特网,电话拨号上网,连接其它单位网络,无线网络,12,安全问题根源,内因我们使用的网络是开放的,内在复杂使用,14,安全问题根源,外因来自对手的威胁,15,安全问题根源,外因来自自然的破坏,16,信息安全的范畴,信息技术问题,技术系统的安全问题,组织管理问题,人,+,技术系统,+,组织内部环境,社会问题,法制、舆论,国家安全问题,信息战、虚拟空间,17,信息网络已逐渐成为经济繁荣、社会稳定和国家发展的基础,信息化深刻影响着全球经济的整合、国家战略的调整和安全

5、观念的转变,从单纯的技术性问题变成事关国家安全的全球性问题。,信息安全和信息安全保障适用于所有技术领域。,硬件,软件,军事计算机通讯指挥控制和情报,(C4I),系统，制造工艺控制系统，决策支持系统，电子商务，电子邮件，生物医学系统和智能运输系统,(ITS),。,信息安全的地位和作用,18,信息安全发展阶段,COMSEC,通信安全,COMPUSEC,计算机安全,INFOSEC,信息系统安全,IA,信息安全保障,19,CS/IA,网络空间安全,/,信息安全保障,COMSEC,：,Communication Security,20,世纪，,40,年代,-70,年代,核心思想：,通过密码技术解决通信保

6、密，保证数据的保密性和完整性,主要关注传输过程中的数据保护,安全威胁：搭线窃听、密码学分析,安全措施：加密,标志,1949,年：,shannon,发表,保密通信的信息理论,1977,年：美国国家标准局公布数据加密标准,DES,1976,年：,Diffle,和,Hellman,在“,New Directions in Cryptography”,一文中提出公钥密码体系,通信安全,20,COMPUSEC,：,Computer Security,20,世纪，,70-90,年代,核心思想：,预防、检测和减小计算机系统（包括软件和硬件）用户（授权和未授权用户）执行的未授权活动所造成的后果。,主要关注于数

7、据处理和存储时的数据保护。,安全威胁：非法访问、恶意代码、脆弱口令等,安全措施：安全操作系统设计技术（,TCB,）,标志：,1985,年，美国国防部的可信计算机系统评估保障（,TCSEC,，橙皮书），将操作系统安全分级（,D,、,C1,、,C2,、,B1,、,B2,、,B3,、,A1,）；后补充红皮书,TNI,（,1987,）和,TDI,（,1991,），发展为彩虹（,rainbow,）系列,计算机安全,21,INFOSEC,：,Information Security,20,世纪，,90,年代后,核心思想：,综合通信安全和计算机安全安全,重点在于保护比“数据”更精炼的“信息”，确保信息在存储

8、、处理和传输过程中免受偶然或恶意的非法泄密、转移或破坏。,安全威胁：网络入侵、病毒破坏、信息对抗等,安全措施：防火墙、防病毒、漏洞扫描、入侵检测、,PKI,、,VPN,等,标志,安全评估保障,CC,（,ISO 15408,，,GB/T 18336,）,信息系统安全,22,信息安全保障发展历史,第一次定义：,在1996年美国国防部DoD指令5-3600.1（DoDD 5-3600.1）中，美国信息安全界第一次给出了信息安全保障的标准化定义,现在：,信息安全保障的概念已逐渐被全世界信息安全领域所接受。,中国：,中办发,27,号文,国家信息化领导小组关于加强信息安全保障工作的意见,，是信息安全保障工

9、作的纲领性文件,信息安全保障发展历史,从通信安全（,COMSEC,）,-,计算机安全（,COMPUSEC,）,-,信息系统安全（,INFOSEC,）,-,信息安全保障（,IA,）,-,网络空间安全,/,信息安全保障（,CS/IA,）。,23,IA,：,Information Assurance,今天，将来,核心思想：,保障信息和信息系统资产，保障组织机构使命的执行；,综合技术、管理、过程、人员；,确保信息的保密性、完整性和可用性。,安全威胁：黑客、恐怖分子、信息战、自然灾难、电力中断等,安全措施：技术安全保障体系、安全管理体系、人员意识,/,培训,/,教育、认证和认可,标志：,技术：美国国防部

10、的,IATF,深度防御战略,管理：,BS7799/ISO 17799,系统认证：美国国防部,DITSCAP,信息安全保障,24,网络空间安全,/,信息安全保障,CS/IA,：,Cyber Security/Information Assurance,2009,年，在美国带动下，世界各国信息安全政策、技术和实践等发生重大变革,共识：,网络安全问题上升到国家安全的重要程度,核心思想：,从传统防御的信息保障（,IA,），发展到“威慑”为主的防御、攻击和情报三位一体的信息保障,/,网络安全（,IA/CS,）的网空安全,网络防御,-Defense,（运维）,网络攻击,-Offense,（威慑）,网络利用

11、,-Exploitation,（情报）,25,2008,年,1,月，布什政府发布了国家网络安全综合倡议（,CNCI,），号称网络安全“曼哈顿项目”，提出威慑概念，其中包括爱因斯坦计划、情报对抗、供应链安全、超越未来（“,Leap-Ahead”,）技术战略,2009,年,5,月,29,日发布了,网络空间政策评估：确保信息和通讯系统的可靠性和韧性,报告,2009,年,6,月,25,日，英国推出了首份“网络安全战略”，并将其作为同时推出的新版,国家安全战略,的核心内容,2009,年,6,月，美国成立网络战司令部,12,月,22,日，奥巴马任命网络安全专家担任“网络沙皇”,26,网络空间安全,/,信息

12、安全保障,阶段,年代,安全威胁,安全措施,通信安全,20,世纪，,40,70,年代,搭线窃听、,密码学分析,加密,计算机安全,20,世纪，,70-90,年代,非法访问、,恶意代码、,脆弱口令等,安全操作系统设计技术（,TCB,）,信息系统安全,20,世纪，,90,年代后,网络入侵、,病毒破坏、,信息对抗等,防火墙、防病毒、,漏洞扫描、,入侵检测、,PKI,、,VPN,等,信息安全保障,今天，,黑客、恐怖分子、,信息战、,自然灾难、,电力中断等,技术安全保障体系、安全管理体系、,人员意识,/,培训,/,教育、认证和认可,网络安全空间,/,信息安全保障,2009,年开始,国家安全的高度,网络防御,

13、网络攻击,网络利用,从技术角度看信息安全,27,组织机构的使命,/,业务目标实现越来越依赖于信息系统,信息系统成为组织机构生存和发展的关键因素,信息系统的安全风险也成为组织风险的一部分,为了保障组织机构完成其使命，必须加强信息安全保障，抵抗这些风险。,为什么需要信息安全保障,28,信息安全保障作用,益处,受益者,基础设施系统,人类安全,免受偶然和恶意的事故造成的死伤,个人及家庭、制造商、经销商、操作者,电信，电力，石油和天然气，供水，运输，应急响应。,环境安全,使环境免受偶然的和恶意的，永久的或暂时的破坏,个人，社会，设施的制造商，经销商和操作者,电信，电力，石油和天然气，供水，运输，应急响应

14、，政府,财产安全,使财产免受偶然的和恶意的，永久的或暂时的损害和破坏,财产所有者，财产使用者，制造商，经销商,电信，电力，石油和天然气，供水，运输，应急响应。,信息安全保障的意义,29,经济稳定和安全,免受经济损失，混乱，物资和服务匮乏的困扰,个人，社会，金融机构，批发、零售企业，制造业，本地、全国、全球贸易。,电信，银行与金融，电力，石油和天然气，供水，运输，应急响应，政府。,社会稳定,免受社会动乱，暴力，断绝生路，个人安全的困扰,个人，社会,电信，银行与金融，电力，石油和天然气，供水，运输，应急响应，政府。,隐私,a.,个人,b.,公司,a.,免受身份被窃，财务损失，隐私被侵犯，人格损毁，

15、知识产权被盗的困扰,b.,免受财务损失，客户流失，知识产权被盗的困扰,a.,个人，其家庭，其雇主,b.,公司雇员，股东，业务伙伴,电信，银行与金融，电力，石油和天然气，供水，运输，应急响应，政府。,国家安全,保护对敏感的经济资产及其他战略资产的获取与披露,个人，社会，相邻国家，全球贸易伙伴，跨国公司,电信，银行与金融，电力，石油和天然气，供水，运输，应急响应，政府。,信息安全保障的意义,30,信息安全保障是一种立体保障,31,信息系统安全保障是在信息系统的,整个生命周期,中，通过对信息系统的,风险分析,，制定并执行相应的安全保障策略，从,技术、管理、工程和人员,等方面提出安全保障要求，确保信息

16、系统的,保密性、完整性和可用性,，降低安全风险到可接受的程度，从而保障系统实现,组织机构的使命,。,信息安全保障定义,32,国家标准：,GB/T 20274.1-2006,信息安全技术 信息系统安全保障评估框架 第一部分：简介和一般模型,信息系统安全保障模,型,-,保障评估框架,33,技术,操作,深度防御战略,人,人,通过 技术,进行 操作,计算环境,区域边界,网络,基础设施,支撑性基础设施,密钥管理,检测响应,成功的组织功能,信息安全保障（,IA,）,信,息系统安,全保障模型,-,I,ATF,34,安全保障的目标是支持业务,信息安全保障是为了支撑业务高效稳定运行,要以安全促发展，在发展中求安

17、全,35,信息安全保障需要持续进行,时时刻刻不放松,如钻石历久弥新,36,措施,信息系统,保障,风险,脆弱性,威胁,使命,能力,策略,模型,信息安全、系统及业务关系,37,信息安全保障,“,组织内部环境”,信息系统安全问题,通信安全,数据安全,技术系统安全问题,网络安全,现在人们意识到：技术很重要，但技术不是一切；信息系统很重要，只有服务于组织业务使命才有意义,个人信息可能面临的安全威胁,1,、,外部人员通过互联网利用木马等攻击手段窃取、篡改或破坏个人计算机中存放的敏感信息；,2,、外部人员非法接入税务系统内网或直接操作内网计算机窃取、篡改或破坏敏感信息；,3,、外部人员盗窃笔记本电脑、,U,

18、盘等移动计算和存储设备窃取敏感信息；,4,、病毒通过网络或移动介质传播造成个人计算机无法正常使用或数据破坏；,5,、内部工作人员由于误操作等过失行为导致敏感信息丢失或被破坏；,6,、内部工作人员由于利益驱使，利用工作之便窃取他人个人计算机中工作敏感信息。,39,案例,1,国内最大的影音播放软件暴风影音爆出存在安全漏洞，该漏洞发生在暴风影音,II,的一个,activex,控件上，当安装了暴风影音,II,的用户在浏览黑客精心构造的包含恶意代码的网页后，会下载木马病毒，并以当前用户权限自动运行。,某公司员工违反规定在工作用计算机及上安装了,“,暴风影音,”,，上班时间上网浏览新闻。,黑客利用木马窃取

19、了该员工计算机及该公司局域网中的部分公司机密。,个人计算机作为税务信息系统的一个组成部分，如果出现安全漏洞，就可能成为信息安全防护的薄弱环节，被窃密或破坏分子利用对整个系统造成破坏。,40,案例,2,2001,年初，查处,了,陈学军团伙虚开增值税专用发票案件。主犯套购增值税专用发票,10900,份，为数百家企业虚开增值税专用发票,2800,余份，虚开税款共计人民币,3.93,亿元。陈学军以虚开增值税专用发票罪被判处并已执行死刑；吴芝刚以虚开增值税专用发票罪、巨额财产来源不明罪两罪并罚，一审判处死刑，二审改判死刑缓期执行。,宣判,现场,41,案例,2,（续）,3,名工作人员,在案发过程中，由于,

20、思想疏忽大意，没有严格保护个人工作计算机和应用系统的密码和使用权限,，,为吴芝刚,趁工作之便，非法获得计算机密码，,为,作案行提供,了便利,。这,3,名工作人员，因工作严重违规失职也受到严厉的法律追究，根据情节轻重，分别被处以不同程度的刑事处罚。,42,单位信息系统面临的主要安全威胁,网络窃密,系统故障、网络攻击和病毒造成系统运行中断,系统故障或人为误操作造成数据丢失,43,威胁,电话线或其它非法外联,窃密者,个人办公用计算机或外网服务器,风险四：硬件故障或误操作造成数据丢失,风险一：通过互联网搜集我有价值的数据,风险三：病毒泛滥影响正常办公,风险二：利用非法外联或网络控制不严为跳板窃取核心机

21、密,内部核心系统,脆弱性,信息系统面临的典型安全威胁,内往,U,盘接入互联网,脆弱性,脆弱性,44,案例,1,：,违,规上网造成重大失泄密,违规操作泄密,敌对势力窃密,互联网,部队失密案：,2003,年初，军队某参谋违反规定，使用涉密计算机上因特网,，一,次窃走,1000,多份文档资料，影响和损失极为严重。,45,IIS,存在,unicode,漏洞,穿过防火墙,外部网络,内部网络,案例,2,：某,重要网络系统被控制,46,案例,3,：网络故障造成航班延误和旅客滞留,2006,年,10,月,10,日,13,时,32,分,，某公司运营,的离港系统发生主机系统文件损坏，导致使用离港系统的航空公司和机

22、场的正常运行产生不同程度影响。经过排查后故障系统于,14,时,16,分恢复正常。此次故障造成首都机场、广州机场、深圳机场等机场部分航班延误。,47,什么是信息安全风险,信息和其它资产一样,是具有价值的,48,什么是信息安全风险,信息面临着外在的威胁,49,什么是信息安全风险,信息系统存在着脆弱性,50,什么是信息安全风险,外在威胁利用信息系统存在的脆弱性，致其损失或破坏对系统价值造成损害的可能性,资产,威胁,防护措施,脆弱性,风险,利用,对抗,导致,增加,减少,作用于,51,信息系统安全保障含义,总结,出发点和核心,在信息系统所处的运行环境里，以风险和策略为出发点，即从信息系统所面临的风险出发

23、制定组织机构信息系统安全保障策略，,信息系统生命周期,通过在信息系统生命周期中从技术、管理、工程和人员等方面提出安全保障,要求。,52,信息系统安全保障含义,总结,确保,信息的安全特征,确保信息的保密性、完整性和可用性特征，从而实现和贯彻组织机构策略并将风险降低到可接受的程度，,保护资产,达到保护组织机构信息和信息系统资产，,最终保障使命,从而保障组织机构实现其使命的最终目的。,53,如何保障信息安全？,信息是依赖与承载它的信息技术系统存在的,需要在技术层面部署完善的控制措施,信息系统是由人来建设使用和维护的,需要通过有效的管理手段约束人,今天系统安全了明天未必安全,需要贯穿系统生命周期的工程

24、过程,信息安全的对抗，归根结底是人员知识、技能和素质的对抗,需要建设高素质的人才队伍,信息安全保障体系构成的要素,信息安全技术体系,信息安全管理体系,信息安全工程过程,高素质的人员队伍,55,DMZ,?E-Mail?File Transfer,?HTTP,Intranet,信息网络,业务处室,行政部门,财务门,人事部,路由,Internet,中继,安 全 隐 患,外部,/,个体,外部,/,组织,内部,/,个体,内部,/,组织,关闭安全维护,“后门”,更改缺省的,系统口令,漏洞扫描,补丁管理,Modem,数据文件加密,访问控制,审计系统,入侵检测,实时监控,病毒防护,56,完善的信息安全技术体系

25、,策略体系,风险管理,系统测评,/,风险评估,生命周期安全管理,对手，动机,和攻击,国家,/,业务,/,机构,策略，规范，标准,使命要求,组织体系建设,业务持续性管理,应急响应管理,意识培训和教育,策略,标准,流程，指导方针,&,实践,57,信息安全保障管理体系建设,相关方,信息安全需求,&,期待,设计和实施,ISMS,改进,ISMS,Plan,计划,Do,实施,Act,改进,Check,检查,开发、维护,&,改进循环,相关方,管理的信息安全,Plan,计划（建立,ISMS,环境）,根据组织机构的整体策略和目标，建立同控制风险和改进信息安全相关的安全策略、目的、目标、过程和流程以交付结果。,D

26、o,做（设计,&,实施）,实施和操作策略（过程和流程）,Check,检查（监控,&,审核）,通过策略、目的和实践经验测量和评估过程执行，并将结果汇报给决策人。,Act,行动（改进）,建立纠正和预防行动以进一步改进过程的执行,建立,ISMS,环境,&,风险评估,监控,&,审核,ISMS,管理体系建设,58,科学的信息安全工程过程,DISCOVER,NEEDS,DEFINE,SYSTEM,REQUIREMENTS,DESIGN,SYSTEM,ARCHITECTURE,DEVELOP,DETAILED,DESIGN,IMPLEMENT,SYSTEM,发掘需求,定义系统要求,定义系统体系结构,开发详细

27、设计,实现系统,用户,/,用户代表,评估有效性,计划组织,开发采购,实施交付,运行维护,废弃,将安全措施融入信息系统生命周期,59,参见：中国信息安全产品测评认证中心的,“,国家信息安全测评认证,”,，,2004,年第,2,期，,P6-P14,信息系统安全工程保障,实施通用模型,60,高素质的人员队伍,信息安全对抗归根结底是人与人的对抗，保障信息安全不仅需要专业信息技术人员，还需要信息系统普通使用者提高安全意识，加强个人防范,61,知识体：信息安全保障框架,知,识域：信息安全保障基本实践,了解我国信息安全保障工作发展阶段；,我国信息安全保障基本原则；,我国信息安全保障建设主要内容；,我国信息安

28、全保障工作的基本内容,。,62,63,我国信息安全保障工作发展阶段,我国信息安全保障基本原则,我国信息安全保障建设主要内容,我国信息安全保障工作的基本内容,我国信息安全保障实践,63,64,阶段,主要工作,2001-2002,启动,国家信息化小组重组；,网络与信息安全协调小组成立,2003-2005,逐步展开,积极推进,国家出台指导政策；,召开第一次全国信息安全保障会议；,发布国家信息安全战略；,国家网络与信息安全协调小组召开四次会议,2006,至今,深化落实,信息安全法律法规、标准化和人才培养工作取得新成果；,信息安全等级保护和风险评估取得新进展,我国信息安全保障工作发展阶段,64,65,启

29、动阶段（,2001-2002,）,2001,年至,2002,年，是我国网络与信息安全事件频发且性质严重的时期，鉴于严峻的信息安全形势，国家信息化领导小组重组，网络与信息安全协调小组成立，我国信息安全保障工作正式启动。,2001,年至,2002,年中国发生的网络和信息安全事件：,来自境外邪教组织、敌对势力的破坏,各种政治谣言、反动宣传和社会敏感热点问题日益增多,网络系统、重要信息系统自身存在诸多安全隐患,如深圳证券交易所因系统崩溃停市半天，造成直接经济损失和社会影响；,北京首都国际机场信息系统出现故障，造成上百个航班延误，数万名旅客滞留。,66,积极推进阶段（,2003-2005,）,2003,

30、年至,2005,年，是国家信息安全保障体系建设逐步展开和推进的阶段，国家出台指导政策，召开第一次全国信息安全保障会议，发布国家信息安全战略，国家网络与信息安全协调小组召开了四次会议，信息安全保障各项工作积极推进。,2003,年,7,月，国家信息化领导小组,关于加强信息安全保障工作的意见,（中办发,27,号文件件）。,2004,年,1,月,9,日国家信息安全保障工作会议召开。,2005,年,3,月,29,日，国家网络与信息安全协调小组第四次会议召开。,2005,年,12,月,16,日，国家网络与信息安全协调小组第五次会议召开。会议主要关注：高度重视信息安全风险评估、网络信任体系以及保密和密码工作

31、，进一步完善各项措施和政策规定，提高信息安全建设和管理水平。,67,深化落实阶段（,2006,年至今）,2006,年至今，围绕,27,号文件开展的各项信息安全保障工作迈出了新的坚实步伐。信息安全法律法规、标准化和人才培养工作取得了新成果。,指导政策从完善到落实,等级保护工作取得重要进展,信息安全风险评估工作更加深入,推进机制从实践到成型,标准规范从研究到实施,在全国信息技术标准化技术委员会信息安全技术分委员会和各界、各部门的努力下，本着积极采用国际标准的原则，转化了一批国际信息安全基础技术标准。,68,信息安全保障的基本原则,立足国情，以我为主，坚持管理与技术并重；正确处理安全与发展的关系，以

32、安全保发展，在发展中求安全；统筹规划，突出重点，强化基础性工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。,等级保护制度：根据应用系统、应用单位的重要程度，将信息系统划分为不同的重要级别，然后采用不同的技术和产品进行保护。,国家信息安全保障基本原则,68,69,我国信息安全保障建设的主要内容,建立健全国家信息安全组织与管理体制机制，加强信息安全工作的组织保障,建立健全信息安全法律法规体系，推进信息安全法制建设,建立完善信息安全标准体系，加强信息安全标准化工作,建立信息安全技术体系，实现国家信息化发展的自主可控,建设信息安全基础设施，提供国家信息安全

33、保障能力支撑,建立信息安全人才培养体系，加快信息安全学科建设和信息安全人才培养,70,建立健全信息安全组织与管理体制机制,2002,年，国家网络与信息安全协调小组成立；,2003,年前我国具备了一套分层次、分领域的信息安全相关法律法规；,2003,年第,27,号文件颁布推动我国信息安全法制建设进入一个新阶段，信息安全法律体系进一步深化和发展；,信息安全法制建设工作的现状和发展。,71,建设信息安全基础设施，提供国家信息安全保障能力支撑,建立信息安全通报和应急处置体系,信息安全应急处理机制的建立,信息安全通报机制的建立,建立以密码技术为基础的网络信任体系,建立信息安全等级保护和风险评估体系,建立

34、信息安全测评认证体系,完善信息安全监控体系,72,建立信息安全人才培养体系，加快信息安全学科建设和信息安全人才培养,加强信息安全理论研究和信息安全学科、专业建设,加强信息安全的本科、硕士和博士学历教育,培养信息安全的“执法”人才、组织决策管理人才、安全技术开发人才和技术服务人才,加强安全宣传教育，普及全民信息安全意识,73,信息安全保障的基本原则,信息安全的等级保护制度,等级保护制度：根据应用系统、应用单位的重要程度，将信息系统划分为不同的重要级别，然后采用不同的技术和产品进行保护。,国家信息安全保障基本原则,73,74,我国信息安全保障建设的主要内容,建立健全国家信息安全组织与管理体制机制，

35、加强信息安全工作的组织保障,建立健全信息安全法律法规体系，推进信息安全法制建设,建立完善信息安全标准体系，加强信息安全标准化工作,建立信息安全技术体系，实现国家信息化发展的自主可控,建设信息安全基础设施，提供国家信息安全保障能力支撑,建立信息安全人才培养体系，加快信息安全学科建设和信息安全人才培养,75,建立健全信息安全组织与管理体制机制,2002,年，国家网络与信息安全协调小组成立；,2003,年前我国具备了一套分层次、分领域的信息安全相关法律法规；,2003,年第,27,号文件颁布推动我国信息安全法制建设进入一个新阶段，信息安全法律体系进一步深化和发展；,信息安全法制建设工作的现状和发展。

36、,76,建设信息安全基础设施，提供国家信息安全保障能力支撑,建立信息安全通报和应急处置体系,信息安全应急处理机制的建立,信息安全通报机制的建立,建立以密码技术为基础的网络信任体系,建立信息安全等级保护和风险评估体系,建立信息安全测评认证体系,完善信息安全监控体系,77,建立信息安全人才培养体系，加快信息安全学科建设和信息安全人才培养,加强信息安全理论研究和信息安全学科、专业建设,加强信息安全的本科、硕士和博士学历教育,培养信息安全的“执法”人才、组织决策管理人才、安全技术开发人才和技术服务人才,加强安全宣传教育，普及全民信息安全意识,78,我国在信息安全保障领域的国际合作,在信息安全领域开展国

37、际合作，是充分利用我国战略发展的机遇期，营造和谐、和平的良好国际环境，谋求我更深更广发展的重要措施。,严格遵守,联合国宪章,和国际公认的信息通信技术的使用准则，妥善解决信息安全问题。,倡导加强各国在信息安全领域的交流与合作。,79,制定信息安全保障需求的作用,制定信息系统安全保障需求的方法和原则,信息安全保障解决方案,确定安全保障解决方案的原则,实施信息安全保障解决方案的原则,信息安全测评,信息安全测评的重要性,国内外信息安全测评现状,产品、人员、商资、系统测评的方法和流程,持续提高信息系统安全保障能力。,信息系统安全监护和维护,确定需求,制定方案,开展测评,持续改进,信息安全保障工作基本内容

38、,79,80,确定需求,制定方案,开展测评,持续改进,步骤一,：确定信息系统安全保障需求,步骤二,：规范化、结构化的描述信息系统安全保障具体需求,步骤三,：根据信息系统安全保障需求编制具体的信息系统安全保障解决方案,步骤五,：用户根据信息系统安全保障评估情况进行改进，形成满足安全保障需求的可持续改进的安全保障能力。,步骤四,：对信息系统安全保障进行评估,信息安全保障建设步骤,80,知识体：信息安全政策法规,知,识域：有关重点法律法规解读,了解中华人民共和国保密法；,了解刑法和国家安全法关于信息安全的重要条款；,理解信息安全等级保护管理办法。,知识域：有关重点政策解读,了解：国家信息化领导小组关

39、于加强信息安全保障工作的意见；,了解关于加强政府信息系统安全和保密管理工作的通知。,81,我国信息安全法治建设的发展历程,通信保密安全,计算机系统,安全,网络信息系统安全,1994,年,2000,年,2003,年,保守国家秘密法（,1989,）,（2010,年修订）,中央关于加强密码工作的决定,计算机信息系统安全保护条例（,草案,）,-86,计算机信息系统,安全保护条例（,1994,）,计算机信息系统安全专用产品检测和销售许可证管理办法,-97,计算机信息网络国际联网安全保护管理办法,-97,计算机信息系统保密管理暂行规定,-98,商用密码管理条例,-99,关于维护互联网安全,的决定（,200

40、0,）,互联网信息服务管理办法,计算机病毒防治管理办法,计算机信息系统国际联网保密管理规定,-00,82,保守国家秘密法,（保密法,1,）,演进,保守国家秘密暂行条例,（,1951,年）,保守国家秘密法,（,1989,年）,保守国家秘密法,（,2010,年修订，,4,月,29,日修订，,10,月,1,日施行）,主旨（总则）,目的：,保守国家秘密，维护国家安全和利益。,国家秘密是关系国家安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知悉的事项。,国家秘密受法律保护。,一切国家机关、武装力量、政党、社会团体、企业事业单位和公民都有保守国家秘密的义务。,国家保密行政管理部门主管全国的保

41、密工作。,国家机关和涉及国家秘密的单位（以下简称机关、单位）管理本机关和本单位的保密工作。,保密工作责任制：健全保密管理制度，完善保密防护措施，开展保密宣传教育，加强保密检查。,法律,83,保守国家秘密法,（保密法,2,）,国家秘密的范围,国家事务、,国防,武装,、外交,外事、政党秘密,国民经济和社会发展、科学技术,维护国家安全的活动、经保密主管部门确定的事项等,国家秘密的密级,绝密,-,是最重要的国家秘密，泄露会使国家安全和利益遭受特别严重的损害；,保密期限不超过,30,年；,机密,-,是重要的国家秘密，泄露会使国家安全和利益遭受严重的损害；,保密期限不超过,20,年；,秘密,-,是一般的国

42、家秘密，泄露会使国家安全和利益遭受损害；,保密期限不超过,10,年。,国家秘密的其他基本属性,定密权限（定密责任人）、保密期限,、,解密条件、知悉范围,国家秘密载体、国家秘密标志,法律,84,保守国家秘密法,（保密法,3,）,保密制度,对国家秘密载体的行为要求；,对属于国家秘密的设备、产品的行为要求；,对存储、处理国家秘密的计算机信息系统的要求,-,分级保护；,对组织和个人的行为要求（涉密信息系统管理、国家秘密载体管理、公开发布信息、各类涉密采购、涉密人员分类管理、保密教育培训、保密协议等）；,对,公共信息网络及其他传媒,的行为要求；,对,互联网及其他公共信息网络运营商、服务商,的行为要求。,

43、监督管理,国家保密行政管理部门依照法律、行政法规的规定，制定保密规章和国家保密标准。,组织,开展保密宣传教育、保密检查、保密技术防护和泄密案件查处工作，对机关、单位的保密工作进行指导和监督。,法律,85,保守国家秘密法,（保密法,4,）,法律责任,（第,48,条,人员处分及追究刑责）,（一）非法获取、持有国家秘密载体的；,（二）买卖、转送或者私自销毁国家秘密载体的；,（三）通过普通邮政、快递等无保密措施的渠道传递国家秘密载体的；,（四）邮寄、托运国家秘密载体出境，或者未经有关主管部门批准，携带、传递国家秘密载体出境的；,（五）非法复制、记录、存储国家秘密的；,（六）在私人交往和通信中涉及国家秘

44、密的；,（七）在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密的；,（八）将涉密计算机、涉密存储设备接入互联网及其他公共信息网络的；,（九）在未采取防护措施的情况下，在涉密信息系统与互联网及其他公共信息网络之间进行信息交换的；,（十）使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息的；,（十一）擅自卸载、修改涉密信息系统的安全技术程序、管理程序的；,（十二）将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途的。,有前款行为尚不构成犯罪，且不适用处分的人员，由保密行政管理部门督促其所在机关、单位予以处理。,法律,86,刑法,中的

45、有关规定（,1,）,刑法,第六章,妨碍社会管理秩序罪,第一节,扰乱公共秩序罪,第,285,、,286,、,287,条,285,条：,非法侵入计算机信息系统罪；非法获取计算机信息系统数据、非法控制计算机信息系统罪；提供侵入、非法控制计算机信息系统程序、工具罪。,违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。,违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上

46、七年以下有期徒刑，并处罚金。,提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。,法律,87,刑法,中的有关规定（,2,）,刑法,第六章,妨碍社会管理秩序罪,第一节,扰乱公共秩序罪,第,285,、,286,、,287,条,286,条：,破坏计算机信息系统罪。,违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。,违反国家规定，对计算机信息系统中存储、处理或者传输的

47、数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。,故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。,287,条,：,利用计算机实施犯罪的提示性规定。,利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。,88,法律,国家安全,法,中的有关规定,国家安全,法,第二章,国家安全机关在国家安全工作中的职权,第,10,、,11,条,第,10,条 国家安全机关因侦察危害国家安全行为的需要，根据国家有关规定，经过严格的批准手续，可以采取技术侦察措施。,第,11,条 国家安全机关为维护国

48、家安全的需要，可以查验组织和个人的电子通信工具、器材等设备、设施。,法律,89,全国人大关于维护互联网安全的决定,背景,互联网日益广泛的应用，对于加快我国国民经济、科学技术的发展和社会服务信息化进程具有重要作用。如何保障互联网的运行安全和信息安全问题已经引起全社会的普遍关注。,互联网安全的范畴（法律约束力）,互联网的运行安全（,侵入、破坏性程序、攻击、中断服务等,）,国家安全和社会稳定（,有害信息、窃取,/,泄露国家秘密、煽动、非法组织等,）,市场经济秩序和社会管理秩序（,销售伪劣产品,/,虚假宣传、损害商业信誉、侵犯知识产权、扰乱金融秩序、淫秽内容服务等,）,个人、法人和其他组织的人身、财产

49、等合法权利（,侮辱或诽谤他人、非法处理他人信息数据,/,侵犯通信自有和通信秘密、盗窃,/,诈骗,/,敲诈勒索等,）,法律责任,构成犯罪的，依照刑法有关规定追究刑事责任,构成民事侵权的，依法承担民事责任,尚不构成犯罪的：治安管理处罚,/,行政处罚,/,行政处分或纪律处分,法律,90,关于信息安全等级保护工作的,实施意见,（,公字通,200466,号）,1,信息安全等级保护,是,保障和促进信息化建设健康发展的一项基本制度,核心是对信息安全分等级、按标准进行建设、管理和监督,公安机关负责信息安全等级保护工作的监督、检查、指导,保密,/,密码,/,信息化工作部门各自的职责分工,信息和信息系统的安全保护

50、等级（,及其适用范围,）,第一级为自主保护级,第二级为指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级,定级依据,根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度,;,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,91,关于信息安全等级保护工作的,实施意见,（,公字通,200466,号）,2,实施要求,完善标准,分类指导（管理规范和技术标准）,科学定级,严格备案（专家评审委员会。,三级以上系统备案,）,建设整改,落实措施（,信息系统：已有、,新建、改建、扩建）,自查自纠,落实要求（运营、使用单位及其主管部门）,建立制度,