構(gòu)建信息安全保障體系研討教學(xué)課件(45p)

1、1構(gòu)建信息安全保障體系曲成義 研究員2008.52我國網(wǎng)絡(luò)信息安全威脅增加迅速 （CNCERT/CC）僵尸網(wǎng)絡(luò)范圍擴(kuò)大，14萬臺(tái)主機(jī)被植入僵尸程序木馬/諜件威脅嚴(yán)重，4.5萬IP地址植入木馬網(wǎng)頁篡改數(shù)量迅速增加，達(dá)到24477次政府網(wǎng)站被篡改3831次，占總量16%安全事件報(bào)告的年增量為196%網(wǎng)絡(luò)惡意代碼年增量12.8倍漏洞發(fā)現(xiàn)量的年增196%3網(wǎng)絡(luò)威脅的新動(dòng)向值得高度關(guān)注“零日攻擊”現(xiàn)象出現(xiàn)（魔波蠕蟲）復(fù)合式病毒給防范增加難度僵尸網(wǎng)成為DDos和垃圾郵件的源頭網(wǎng)絡(luò)仿冒/劫持是在線竊信的重要途徑諜件泛濫是竊密/泄密的主要元兇通過網(wǎng)頁/郵件/P2P傳播惡意代碼的數(shù)量猛增非法牟利動(dòng)機(jī)明顯增加和趨

2、于囂張黑客地下產(chǎn)業(yè)鏈正在形成僵尸源和木馬源的跨國控制應(yīng)該高度警惕內(nèi)部安全事件的增加引起高度重視4國家信息化領(lǐng)導(dǎo)小組第三次會(huì)議 關(guān)于加強(qiáng)信息安全保障工作的意見 中辦發(fā)2003 27號(hào)文 堅(jiān)持積極防御、綜合防范 全面提高信息安全防護(hù)能力 重點(diǎn)保障信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全 創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境 保障和促進(jìn)信息化發(fā)展、保護(hù)公眾利益、 維護(hù)國家安全 立足國情、以我為主、管理與技術(shù)并重、 統(tǒng)籌規(guī)劃、突出重點(diǎn) 發(fā)揮各界積極性、共同構(gòu)筑國家信息安全保障體系 5國家信息安全保障工作要點(diǎn) （中辦發(fā)2003 27號(hào)文） 實(shí)行信息安全等級(jí)保護(hù)制度：風(fēng)險(xiǎn)與成本、資源優(yōu)化配置、安全 風(fēng)險(xiǎn)評(píng)估 基于密碼技術(shù)網(wǎng)絡(luò)信任體系

3、建設(shè)：密碼管理體制、身份認(rèn)證、 授權(quán)管理、責(zé)任認(rèn)定 建設(shè)信息安全監(jiān)控體系：提高對(duì)網(wǎng)絡(luò)攻擊、病毒入侵、網(wǎng)絡(luò)失竊 密、有害信息的防范能力 重視信息安全應(yīng)急處理工作：指揮、響應(yīng)、協(xié)調(diào)、通報(bào)、支援、 抗毀、災(zāi)備 推動(dòng)信息安全技術(shù)研發(fā)與產(chǎn)業(yè)發(fā)展：關(guān)鍵技術(shù)、自主創(chuàng)新、強(qiáng)化可控 、引導(dǎo)與市場、測評(píng)認(rèn)證、采購、服務(wù) 信息安全法制與標(biāo)準(zhǔn)建設(shè)：信息安全法、打擊網(wǎng)絡(luò)犯罪、標(biāo)準(zhǔn)體 系、規(guī)范網(wǎng)絡(luò)行為 信息安全人材培養(yǎng)與增強(qiáng)安全意識(shí)：學(xué)科、培訓(xùn)、意識(shí)、技能、 自律、守法 信息安全組織建設(shè)：信息安全協(xié)調(diào)小組、責(zé)任制、依法管理 6構(gòu)造信息安全保障體系的目標(biāo) 增強(qiáng)信息網(wǎng)絡(luò)四種安全能力 創(chuàng)建信 息安全的基礎(chǔ)支撐能力 安全 基礎(chǔ)設(shè)

4、施、技術(shù)與產(chǎn)業(yè)、人才與教育 提升信息安全防護(hù)與對(duì)抗能力 . 加強(qiáng)網(wǎng)絡(luò)突發(fā)事件的快速反應(yīng)能力 擁有安全管理的控制能力 保障信息及其服務(wù)具有六性 保密性、完整性、可用性、真實(shí)性、可核查性、可控性7 信息系統(tǒng)安全的全局對(duì)策(一)科學(xué)劃分信息安全等級(jí)投入與風(fēng)險(xiǎn)的平衡點(diǎn)安全資源的優(yōu)化配置(一)構(gòu)建信息安全保障體系 重視頂層設(shè)計(jì),做好信息安全技術(shù)體系與信息安全管理體系強(qiáng)化信息安全的保障性(二)作好信息安全風(fēng)險(xiǎn)評(píng)估是信息安全建設(shè)的起點(diǎn)、也覆蓋終生提升信息安全的可信性8 （一）科學(xué)劃分信息安全等級(jí)9 我國信息安全等級(jí)保護(hù)工作職責(zé)分工2006年1月，信息安全等級(jí)保護(hù)管理辦法（試行）（公通字20067號(hào)）明確了公

5、安、保密、密碼、信息化部門的職責(zé)：公安機(jī)關(guān)全面國家保密工作部門涉密信息系統(tǒng)國家密碼管理部門密碼國務(wù)院信息辦協(xié)調(diào)10 信息安全等級(jí)保護(hù)關(guān)注點(diǎn) （公通字200743號(hào)文）、（中保委發(fā)（2004）7號(hào)文） 等級(jí)保護(hù)涉及的內(nèi)容：信息系統(tǒng)、信息安全產(chǎn)品、信息安全事件分級(jí)依據(jù)：重要程度、危害程度、保護(hù)水平 (業(yè)務(wù)信息、系統(tǒng)服務(wù)）保護(hù)級(jí)別劃分： 自主保護(hù)級(jí)、指導(dǎo)保護(hù)級(jí)、監(jiān)督保護(hù)級(jí)、強(qiáng)制保護(hù)級(jí)、?？乇Ｗo(hù)級(jí)系統(tǒng)管理模式 一級(jí)：自主保護(hù) （一般系統(tǒng)/ 合法權(quán)益） 二級(jí)：指導(dǎo)保護(hù)（一般系統(tǒng)/ 合法權(quán)益、社會(huì)利益） 三級(jí)：監(jiān)督檢查（重要系統(tǒng)/ 社會(huì)利益、國家安全） (秘密) 四級(jí)：強(qiáng)制監(jiān)督 （重要系統(tǒng)/ 社會(huì)利益、國

6、家安全） (機(jī)密 、增強(qiáng)） 五級(jí)：專門監(jiān)督 （極端重要系統(tǒng)/ 國家安全） (絕密)安全管理 自主定級(jí)-審核批準(zhǔn)-系統(tǒng)建設(shè)-安全測評(píng)11 信息安全等級(jí)保護(hù)相關(guān)規(guī)范 （公通字200743號(hào)文）GB/T20269-2006 - - - - - - - - - - BMB 17-2006 BMB 22-2007 BMB 20-2007 12 （二）構(gòu)建信息安全保障體系13信息安全保障體系框架安全法規(guī)安全管理安全標(biāo)準(zhǔn)安全工程與服務(wù)安全基礎(chǔ)設(shè)施教育培訓(xùn)14（1）信息安全法規(guī)關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見 （ 國信辦20051號(hào)文）信息安全等級(jí)保護(hù)管理辦法 （公通字20067號(hào)文、公通字200743號(hào)文

7、、 ） 關(guān)于做好國家重要信息系統(tǒng)災(zāi)難備份的通知關(guān)于做好信息安全管理試點(diǎn)的通知中華人民共和國保守國家秘密法 (在修訂)信息安全法（信息安全條例）電子簽名法（2005年4月1日實(shí)施） 個(gè)人數(shù)據(jù)保護(hù)法 - - - - - - - - - - - - - - - - - -15 （2）重視信息安全管理體系建設(shè)(ISMS) 國家文件多次指出： 建立信息安全管理組織 明確信息安全管理責(zé)任制 安全技術(shù)與安全管理要并重 信息安全標(biāo)準(zhǔn)化委員會(huì)正抓緊制訂管理標(biāo)準(zhǔn) 構(gòu)建信息安全保障體系時(shí)一定要重視ISMS 建設(shè) 16 信息安全管理體系要求 (ISO/IEC 27001-2005 GBT 20269-2006) 規(guī)定

8、了組織建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審 保持、改進(jìn)、ISMS的要求 基于風(fēng)險(xiǎn)管理思想提出了“PDCA模型”，使組織 達(dá)到更有效的安全管理 用于認(rèn)證和審核 17 應(yīng)用于ISMS過程的PDCA模型 PDCA循環(huán)是能使任何一項(xiàng)活動(dòng)有效改進(jìn)的工作程序相關(guān)方受控的信息安全信息安全要求和期望相關(guān)方檢查Check建立ISMS實(shí)施和運(yùn)行ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMS規(guī)劃Plan實(shí)施Do處置Act應(yīng)用于ISMS過程的PDCA模型18 信息安全管理實(shí)用規(guī)則 (ISO/IEC- 27002 GB/T-) 安全管理方針: 業(yè)務(wù)、法規(guī) 信息安全組織： 內(nèi)部、外部、控制措施 信息資產(chǎn)管理： 責(zé)任、分類、控制措施

9、 人力資源安全： 角色、職責(zé)、培訓(xùn)、任用、處罰 物理和環(huán)境安全： 安全域控制、設(shè)備安全控制 通信與操作管理： 職責(zé)、交付、驗(yàn)收、完整性、備份 網(wǎng)控、介質(zhì)、交換、EC、監(jiān)視 訪問控制： 策略、授權(quán)、控制、移動(dòng) 信息系統(tǒng)開發(fā)維護(hù)：密碼、文件、應(yīng)用、過程、漏洞 信息安全事件管理：報(bào)告、弱點(diǎn)、改進(jìn)、職責(zé) 業(yè)務(wù)持續(xù)性管理： 中斷、恢復(fù)、預(yù)案、評(píng)測 符合性： 法規(guī)、策略、標(biāo)準(zhǔn)、審核 19 信息安全管理實(shí)用規(guī)則 (ISO/IEC 27002-2007) 詳細(xì)嚴(yán)格的安全管理控制，貫穿系統(tǒng)生命周期全過程和系統(tǒng)所有環(huán)節(jié) 11個(gè)控制項(xiàng)目 39個(gè)控制目標(biāo) 133個(gè)控制措施 20 國信辦信息安全管理試點(diǎn)(06年的9個(gè)月

10、時(shí)間) 5省中選7個(gè)點(diǎn)進(jìn)行ISMS試點(diǎn) 遵循 ISO/IEC 27001-2005 ISO/IEC 17799-2005 并將ISMS試點(diǎn)與等級(jí)保護(hù)/風(fēng)險(xiǎn)評(píng)估相結(jié)合 重視需求牽引、領(lǐng)導(dǎo)參與 ISMS建立要全員動(dòng)員、培訓(xùn)、參與 進(jìn)一步認(rèn)識(shí)過程的復(fù)雜性、困難性 需要多個(gè)結(jié)合：工作流程、現(xiàn)實(shí)制度 項(xiàng)目管理、多方參與 21（3）國家信息安全標(biāo)準(zhǔn)化委員會(huì)安全功能定義 安全要素設(shè)計(jì)：物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、管理 全程安全控制 風(fēng)險(xiǎn)全程管理 安全有效評(píng)估 強(qiáng)壯性策略（02.4.15計(jì)劃成立.十個(gè)工作組）1 標(biāo)準(zhǔn)體系與協(xié)調(diào)（含可信計(jì)算）2 涉密信息系統(tǒng)保密(內(nèi)容分級(jí))3 密碼算法與模塊4 PKI/PMI5 安

11、全評(píng)估應(yīng)急處理 7 安全管理（災(zāi)難恢復(fù)、風(fēng)險(xiǎn)評(píng)估-）電子證據(jù)身份標(biāo)識(shí)與鑒別操作系統(tǒng)與數(shù)據(jù)國家發(fā)布33項(xiàng)、報(bào)批搞9項(xiàng)、送審稿14項(xiàng)、征求意見14項(xiàng)22（4）信息系統(tǒng)安全工程建設(shè) 安全需求分析： 威脅，弱點(diǎn)，風(fēng)險(xiǎn)，對(duì)策 安全技術(shù)體系設(shè)計(jì) 安全管理體系設(shè)計(jì) 安全要素設(shè)計(jì)：物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、管理 安全集成管理: SOC安全風(fēng)險(xiǎn)評(píng)估與全程控制 提升預(yù)警、防護(hù)、檢測、響應(yīng)、恢復(fù)、反擊的能力（）（ISSE，IATF，CC，TESEC,BMB ,ISMS）2324 （A）網(wǎng)絡(luò)安全縱深防御體系網(wǎng)絡(luò)信息安全域的劃分、隔離控制、可信接入內(nèi)部網(wǎng)安全服務(wù)與控制策略（專網(wǎng)）安全服務(wù)與控制策略外部網(wǎng)安全服務(wù)與控制策略

12、互聯(lián)網(wǎng)安全服務(wù)與控制策略公共干線的安全服務(wù)與控制策略（有線、無線、衛(wèi)星）計(jì)算環(huán)境的安全服務(wù)機(jī)制多級(jí)設(shè)防與科學(xué)布署策略全局安全測評(píng)、集成管理、聯(lián)動(dòng)控制與恢復(fù)25電子政務(wù)網(wǎng)絡(luò)信息安全域的結(jié)構(gòu)外網(wǎng)外網(wǎng)互聯(lián)網(wǎng)互聯(lián)網(wǎng)內(nèi)網(wǎng)內(nèi)網(wǎng)內(nèi)網(wǎng)物理隔離邏輯隔離內(nèi)網(wǎng)（VPN-私有專線或公共通信網(wǎng)）外網(wǎng)互聯(lián)網(wǎng)外網(wǎng)（VPN-公共通信網(wǎng)）互聯(lián)網(wǎng)（Internet）節(jié)點(diǎn)1節(jié)點(diǎn)N節(jié)點(diǎn)226 信息安全域的科學(xué)劃分 內(nèi)網(wǎng)、(專網(wǎng)) 、外網(wǎng)、互聯(lián)網(wǎng) 信息安全域邊界的安全控制 邏輯隔離/物理隔離 信息安全機(jī)制的縱深多級(jí)布署 多級(jí)配置/集成管理/設(shè)施聯(lián)動(dòng) 公共干線（TSP）的安全保障 有線/無線/衛(wèi)星縱深型防御技術(shù)關(guān)注點(diǎn)27 防火墻/UTM

13、 安全網(wǎng)關(guān) NAT 應(yīng)用代理 VLAN 可信接入(TNC、NAC、NAP） VPN網(wǎng)絡(luò)邊界邏輯隔離28網(wǎng)絡(luò)邊界物理隔離技術(shù) 物理級(jí)（電磁域、物理域）屏蔽（室/線）、干擾器（端、線）、區(qū)域保護(hù) 終端級(jí)（隔離卡）雙機(jī)型、雙盤型、雙區(qū)型 傳輸信道級(jí)（端端加密） 專用信道：VPN、IP密碼機(jī) 電路交換方式（PVC）：認(rèn)證與鏈路加密網(wǎng)絡(luò)級(jí)（物理隔離與信息交換） 物理切斷：安全島交換 單向網(wǎng)閘：開放環(huán)境信息單向進(jìn)入秘密級(jí)環(huán)境雙向網(wǎng)閘： 物理隔離網(wǎng)絡(luò)環(huán)境內(nèi)安全域間的信息交換、 共享和互操作 29 基于時(shí)間“t”的動(dòng)態(tài)過程防御# Pt：入侵防護(hù)時(shí)間（Protection）# Dt：入侵檢測時(shí)間（Detecti

14、on）# Rt：入侵事件反應(yīng)恢復(fù)時(shí)間（Response/Recovery） 要求PtDt+Rt “資產(chǎn)”價(jià)值損失資產(chǎn)擁有者承受能力 預(yù)警（Warning）要長備不卸懈 反擊（A）要有所準(zhǔn)備（B）動(dòng)態(tài)防御技術(shù)模型（WPDRRA)30 風(fēng)險(xiǎn)評(píng)估與系統(tǒng)漏洞的預(yù)先發(fā)現(xiàn)（SCAN） 網(wǎng)絡(luò)威脅檢測、預(yù)警 信息系統(tǒng)邊界防護(hù)(FW/UTM/NG) 入侵檢測診斷、防護(hù)（IDS/IPS/IPM） 應(yīng)急預(yù)案與機(jī)制快速啟動(dòng) 備份、修復(fù)與容災(zāi) 虛擬資產(chǎn)的從新部署 動(dòng)態(tài)拓?fù)浣Y(jié)構(gòu)的調(diào)整 積極防御機(jī)制的啟動(dòng) 陷阱、隱蔽、追蹤、取證 偵探、預(yù)警、反擊、制癱動(dòng)態(tài)防御技術(shù)的關(guān)注點(diǎn)31密碼管理體制身份認(rèn)證：PKI/CA、TOKEN

15、- - -授權(quán)管理：PMI/AA、ACL - - -責(zé)任認(rèn)定：全局審計(jì)（C）基于密碼技術(shù)網(wǎng)絡(luò)信任體系建設(shè) （中辦發(fā)2003 27號(hào)文）32數(shù)字認(rèn)證與網(wǎng)絡(luò)信任體系的建設(shè)（CA/ PKI） 適應(yīng)開放型、大時(shí)空、無限邊界 提供真實(shí)性、完整性、保密性、抗否認(rèn)性 可以構(gòu)建良好的信任環(huán)境 支持安全的交往/交換/交易多種業(yè)務(wù)對(duì)象 PKI/CA在EG中廣泛應(yīng)用33（D）強(qiáng)化內(nèi)部審計(jì) 全局審計(jì)網(wǎng)絡(luò)級(jí)、數(shù)據(jù)庫級(jí)、應(yīng)用級(jí)、主機(jī)級(jí)（服務(wù)器、端機(jī)）介質(zhì)級(jí) 審計(jì)信息的安全加固保密性、完整性、防拷貝、可重現(xiàn)、防假冒 審計(jì)信息的證據(jù)有效性法律上、管理上、技術(shù)上（恢復(fù)、反向工程） 審計(jì)點(diǎn)前移 事后-事中-事前34（E）網(wǎng)絡(luò)信息

16、產(chǎn)品安全可控技術(shù) 針對(duì)“分發(fā)式威脅” 隱通道、嵌入病毒、缺陷、可恢復(fù)密鑰、惡意代碼采用自控技術(shù)： 掃描、發(fā)現(xiàn)、補(bǔ)丁、配置、 清除、監(jiān)視、加固、升級(jí)（B級(jí)） 用戶重新獲取自控權(quán)35信息安全事件監(jiān)控予警信息安全事件通報(bào)：定級(jí)（GB/Z 209822007）啟動(dòng)應(yīng)急予案事件應(yīng)急抑制：物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、服務(wù)事件應(yīng)急根除事件應(yīng)急恢復(fù)：恢復(fù)、搶救、災(zāi)備、回退應(yīng)急審計(jì)評(píng)估：設(shè)施、數(shù)據(jù)、服務(wù)、審計(jì)、修訂 “災(zāi)難恢復(fù)”是BCM關(guān)鍵之一，是“應(yīng)急恢復(fù)”的最后一道防線（F）應(yīng)急予案與響應(yīng)流程36我國災(zāi)難恢復(fù)等級(jí)劃分：六級(jí)、七要素 大致可以分為二類：數(shù)據(jù)類、應(yīng)用類“第1級(jí)”：數(shù)據(jù)介質(zhì)轉(zhuǎn)移（異地存放、安全保管、定

17、期更新）“第2級(jí)”：備用場地支持（異地介質(zhì)存放、系統(tǒng)硬件網(wǎng)絡(luò)可調(diào)）“第3級(jí)”：電子傳送和部分設(shè)備支持（網(wǎng)絡(luò)傳送、磁盤鏡像復(fù)制）“第4級(jí)”：電子傳送和完整設(shè)備支持（網(wǎng)絡(luò)傳送、網(wǎng)絡(luò)與系統(tǒng)就緒）“第5級(jí)”：實(shí)時(shí)數(shù)據(jù)傳送及完整設(shè)備支持（關(guān)鍵數(shù)據(jù)實(shí)時(shí)復(fù)制、網(wǎng) 絡(luò)系統(tǒng)就緒、人機(jī)切換）“第6級(jí)”：數(shù)據(jù)零丟失和遠(yuǎn)程（在線實(shí)時(shí)鏡像、作業(yè)動(dòng)態(tài)分配、 實(shí)時(shí) 無縫切換） “信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范”(安標(biāo)委 GB/T 209882007)37它是業(yè)務(wù)持續(xù)性保證的要素重視等級(jí)保護(hù)與災(zāi)難恢復(fù)級(jí)別的選擇遵循災(zāi)難恢復(fù)的規(guī)范與標(biāo)準(zhǔn)數(shù)據(jù)級(jí)災(zāi)備是容災(zāi)的基礎(chǔ)和起點(diǎn)災(zāi)難恢復(fù)的集約化建設(shè)災(zāi)難恢復(fù)的社會(huì)化服務(wù)選擇自主建設(shè)的幾大原則災(zāi)難恢復(fù)建設(shè)

18、的關(guān)注點(diǎn)38 （三）重視信息安全風(fēng)險(xiǎn)評(píng)估39信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的特征信息系統(tǒng)是一個(gè)巨型復(fù)雜系統(tǒng)（系統(tǒng)要素、安全要素）信息系統(tǒng)受制于外部因素（物理環(huán)境、行政管理、人員）信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估是一項(xiàng)系統(tǒng)工程發(fā)現(xiàn)隱患、采取對(duì)策、提升強(qiáng)度、總結(jié)經(jīng)驗(yàn)自評(píng)估/委托評(píng)估、檢查評(píng)估40信息系統(tǒng)安全評(píng)估方法定性分析與定量結(jié)合評(píng)估機(jī)構(gòu)與評(píng)估專家結(jié)合評(píng)估考查與評(píng)估檢測結(jié)合技術(shù)安全與管理安全結(jié)合41信息系統(tǒng)安全分析與檢測管理安全分析 組織、人員、制度、資產(chǎn)控制、物理、操作、連續(xù)性、應(yīng)急過程安全分析 威脅、風(fēng)險(xiǎn)、脆弱性、需求、策略、方案、符合性 分發(fā)、運(yùn)行、維護(hù)、更新、廢棄技術(shù)安全分析與檢測 安全機(jī)制、功能和強(qiáng)度分析、

19、 網(wǎng)絡(luò)設(shè)施、安全設(shè)施及主機(jī)配置安全分析、脆弱性分析 系統(tǒng)穿透性測試系統(tǒng)測試中風(fēng)險(xiǎn)的防范 事前：保密/持續(xù)/透明協(xié)議、應(yīng)急予案、備份、測試床/離線 事中：測試監(jiān)控、現(xiàn)場控制、應(yīng)急對(duì)策 事后：消除殘留、現(xiàn)場清理、原特權(quán)回復(fù)、原系統(tǒng)回復(fù) 42信息安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)成效顯著（國信辦） 提高了風(fēng)險(xiǎn)意識(shí) 、培育自評(píng)估能力（8個(gè)試點(diǎn)、幾千人日） 三要素的識(shí)別與賦值能力有所提高、（并探索行業(yè)細(xì)則） 發(fā)現(xiàn)和消除大量隱患、提升了安全強(qiáng)度（表層與深層） 采用了多種評(píng)估模式并總結(jié)經(jīng)驗(yàn)（自評(píng)、委托、檢查） 實(shí)效性 /關(guān)鍵性 /涉密性/常規(guī)性 等系統(tǒng)的 分類指導(dǎo) 風(fēng)險(xiǎn)評(píng)估方法、工具、平臺(tái)有所創(chuàng)新 應(yīng)急予案、離線評(píng)估、管理軟

20、件、識(shí)別知識(shí)化、多種評(píng)估方法 - - - - 評(píng)估過程的風(fēng)險(xiǎn)控制對(duì)策（管理、協(xié)議、技術(shù)、機(jī)制） 全程的風(fēng)險(xiǎn)評(píng)估分類試點(diǎn)（規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)行、更新） 評(píng)估協(xié)同機(jī)制的探索（業(yè)主、建設(shè)、評(píng)估三方協(xié)同） 體系與深層隱患的評(píng)估開始引起重視43 信息系統(tǒng)安全的全局對(duì)策(一)科學(xué)劃分信息安全等級(jí)投入與風(fēng)險(xiǎn)的平衡點(diǎn)安全資源的優(yōu)化配置(一)構(gòu)建信息安全保障體系 重視頂層設(shè)計(jì),做好信息安全技術(shù)體系與信息安全管理體系強(qiáng)化信息安全的保障性(二)作好信息安全風(fēng)險(xiǎn)評(píng)估是信息安全建設(shè)的起點(diǎn)、也覆蓋終生提升信息安全的可信性1、不是井里沒有水，而是你挖的不夠深。不是成功來得慢，而是你努力的不夠多。2、孤單一人的時(shí)間使自己變

21、得優(yōu)秀，給來的人一個(gè)驚喜，也給自己一個(gè)好的交代。3、命運(yùn)給你一個(gè)比別人低的起點(diǎn)是想告訴你，讓你用你的一生去奮斗出一個(gè)絕地反擊的故事，所以有什么理由不努力!4、心中沒有過分的貪求，自然苦就少?？诶锊徽f多余的話，自然禍就少。腹內(nèi)的食物能減少，自然病就少。思緒中沒有過分欲，自然憂就少。大悲是無淚的，同樣大悟無言。緣來盡量要惜，緣盡就放。人生本來就空，對(duì)人家笑笑，對(duì)自己笑笑，笑著看天下，看日出日落，花謝花開，豈不自在，哪里來的塵埃!5、心情就像衣服，臟了就拿去洗洗，曬曬，陽光自然就會(huì)蔓延開來。陽光那么好，何必自尋煩惱，過好每一個(gè)當(dāng)下，一萬個(gè)美麗的未來抵不過一個(gè)溫暖的現(xiàn)在。6、無論你正遭遇著什么，你都要從落魄中站起來重振旗鼓，要繼續(xù)保持熱忱，要繼續(xù)保持微笑，就像從未受傷過一樣。7、生命的美麗，永遠(yuǎn)展現(xiàn)在她的進(jìn)取之中;就像大樹的美麗，是展現(xiàn)在它負(fù)勢(shì)向上高聳入云的蓬勃生機(jī)中;像雄鷹的美麗，是展現(xiàn)在它搏風(fēng)擊雨如蒼天之魂的翱翔中;像江河的美麗，是展現(xiàn)在它波濤洶涌一瀉千里的奔流中。8、有些事，不可避免地發(fā)生，陰晴圓缺皆有規(guī)律，我們只能坦然地接受;有些事，只要你愿意努力，矢志不渝地付出，就能慢慢改變