網(wǎng)絡(luò)安全課件

網(wǎng)絡(luò)安全學(xué)習(xí)課件網(wǎng)絡(luò)與信息安全總綱（NISS培訓(xùn)）P151網(wǎng)絡(luò)與信息安全綜述P2中國移動全員安全意識培訓(xùn)P261123課程提綱課程1—

網(wǎng)絡(luò)與信息安全綜述目錄網(wǎng)絡(luò)與信息安全概述安全現(xiàn)狀與趨勢分析安全技術(shù)及產(chǎn)品介紹安全標(biāo)準(zhǔn)與政策法規(guī)安全工作思路與原則案例分析網(wǎng)絡(luò)與信息安全概述請思考什么是網(wǎng)絡(luò)與信息安全？什么是網(wǎng)絡(luò)與信息（1）強調(diào)信息：對企業(yè)具有價值（或能產(chǎn)生價值）以多種形式存在：紙、電子、影片、交談等是一種資產(chǎn)同其它重要的商業(yè)資產(chǎn)一樣需要適合的保護強調(diào)網(wǎng)絡(luò)：網(wǎng)絡(luò)是信息的一種載體是信息存放、使用、交互的重要途徑是一種容易識別的實體是基礎(chǔ)通信運營企業(yè)的有形資產(chǎn)什么是網(wǎng)絡(luò)與信息（2）從理論角度信息的范圍更大，更廣網(wǎng)絡(luò)只是信息使用過程的一種載體、一種方式從實際工作角度把信息局限在網(wǎng)絡(luò)上承載的內(nèi)容、數(shù)據(jù)、業(yè)務(wù)保障業(yè)務(wù)連續(xù)性、網(wǎng)絡(luò)正常運行的配置數(shù)據(jù)等比理論角度的信息范圍要窄，但適合我們的工作實際兩種視角的相同點信息是目標(biāo)網(wǎng)絡(luò)是基礎(chǔ)網(wǎng)絡(luò)與信息并重什么是網(wǎng)絡(luò)與信息安全信息安全：保護信息免受各種威脅確保業(yè)務(wù)的連續(xù)性將信息不安全帶來的損失降低到最小獲得最大的投資回報和商業(yè)機會網(wǎng)絡(luò)安全：網(wǎng)絡(luò)、設(shè)備的安全線路、設(shè)備、路由和系統(tǒng)的冗余備份網(wǎng)絡(luò)及系統(tǒng)的安全穩(wěn)定運行網(wǎng)絡(luò)及系統(tǒng)資源的合理使用網(wǎng)絡(luò)與信息安全的論域?qū)?yīng)通信網(wǎng)絡(luò)及信息化的發(fā)展，網(wǎng)絡(luò)與信息安全大致包含了信息環(huán)境、信息網(wǎng)絡(luò)和通信基礎(chǔ)設(shè)施、媒體、數(shù)據(jù)、信息內(nèi)容、信息應(yīng)用等多個方面。中國移動按企業(yè)實際情況把網(wǎng)絡(luò)與信息安全劃分為七類:物理安全、傳統(tǒng)通信安全、網(wǎng)絡(luò)與系統(tǒng)安全、業(yè)務(wù)安全、內(nèi)容安全、信息安全需求屬性狀態(tài)能力功能工程結(jié)果安全的多維性——多角度思考信息化社會的需要比如：保密性等對應(yīng)于信息不安全對應(yīng)于人們的努力比如：防護、檢測等對應(yīng)于人們努力的時間對應(yīng)于努力的實力“安全”——動態(tài)發(fā)展的概念19911989X.800ISO7498-2“安全”是指將資產(chǎn)或資源的脆弱性降到最低限度。ISO154081999當(dāng)對信息進行正確的控制以確保它能防止冒險,諸如不必要的或無保證的傳播、更改或遺失,IT產(chǎn)品和系統(tǒng)應(yīng)執(zhí)行它們的功能.“IT安全”用于概括防御和緩解這些及類似的冒險。2000ISO17799:20002005ISO17799:2005信息安全是要在很大的范圍內(nèi)保護信息免受各種威脅，從而確保業(yè)務(wù)的連續(xù)性、減少業(yè)務(wù)損失并且使投資和商務(wù)機會獲得最大的回報。特指保護保密性、完整性和可用性。信息安全－保證信息的保密性，完整性，可用性；另外也可包括諸如真實性，可核查性，不可否認性和可靠性等特性.ISOTR13335-2:199719972004ISO13335-1:2004定義獲取和維護保密性、完整性、可用性、可核查性、真實性和可靠性。安全的相關(guān)屬性Confidentiality保密性Dataconfidentiality數(shù)據(jù)保密性Communicationsecurity通信安全Integrity完整性Dateintegrity數(shù)據(jù)完整性Availability可用性Non-repudiation抗抵賴性Accountability可核查性Authenticity真實性Reliability可靠性AccessControl訪問控制Authentication鑒別Privacy私密性13335:200417799:2005X.800X.805ISO17799:2000信息系統(tǒng)等級保護80年代的認識90年代的認識90年代后期的認識通信保密通信保密信息安全信息保障保密性完整性可用性真實性保密性可核查性完整性抗抵賴性可用性可靠性安全的相關(guān)屬性使信息不泄露給未授權(quán)的個人、實體或過程或不使信息為其所利用的特性。保護信息及處理方法的準(zhǔn)確性和完備性。被授權(quán)實體一旦需要就可訪問和使用的特性。確保主體或資源的身份正是所聲稱身份的特性。真實性適用于用戶、過程、系統(tǒng)和信息之類的實體。確保可將一個實體的行動唯一地追蹤到此實體的特性。證明某一動作或事件已經(jīng)發(fā)生的能力，以使事后不能抵賴這一動作或事件。保密性完整性可用性真實性可核查性抗抵賴性可靠性預(yù)期行為和結(jié)果相一致的特性。請思考企業(yè)為什么要投入大量成本實現(xiàn)網(wǎng)絡(luò)與信息安全？網(wǎng)絡(luò)與信息安全的重要性網(wǎng)絡(luò)與信息安全是國家的需要保障國家安全、社會穩(wěn)定胡總書記提出“三個堅決”：堅決防止發(fā)生危害國家安全和社會穩(wěn)定的重大政治事件；堅決防止發(fā)生暴力恐怖事件；堅決防止發(fā)生大規(guī)模群體性事件。企業(yè)生存和發(fā)展必須遵循外部網(wǎng)絡(luò)與信息安全強制要求國家及行業(yè)的要求：《電信法》、《增值電信業(yè)務(wù)網(wǎng)絡(luò)信息安全保障基本要求》、電信網(wǎng)絡(luò)安全等級保護等；資本市場：《薩班斯法案》。國家企業(yè)用戶網(wǎng)絡(luò)與信息安全的重要性網(wǎng)絡(luò)與信息安全是企業(yè)保持競爭力的內(nèi)在需要企業(yè)戰(zhàn)略轉(zhuǎn)變做世界一流企業(yè)，成為移動信息專家，網(wǎng)絡(luò)與信息安全是必要條件：體現(xiàn)了中國移動企業(yè)核心觀正德厚生：旨于服務(wù)和諧社會，保障客戶利益臻于至善：打造中國移動安全健康的精品網(wǎng)絡(luò)實現(xiàn)中國移動對客戶及社會的承諾對客戶的承諾：提供卓越品質(zhì)的移動信息專家對社會的承諾：承擔(dān)社會責(zé)任做優(yōu)秀企業(yè)公民體現(xiàn)企業(yè)持續(xù)發(fā)展市場需求驅(qū)動安全發(fā)展安全服務(wù)已成為新的業(yè)務(wù)增長點。如綠色上網(wǎng)、電子商務(wù)等安全服務(wù)競爭優(yōu)勢，樹立品牌企業(yè)正常運營的需求避免名譽、信譽受損避免直接經(jīng)濟損失避免正常工作中斷或受到干擾避免效率下降國家企業(yè)用戶網(wǎng)絡(luò)與信息安全的重要性網(wǎng)絡(luò)與信息安全是用戶的需要保護個人隱私與財產(chǎn)威脅信息私秘性直接影響用戶對信息交互的信任度滿足用戶業(yè)務(wù)使用需求客戶在業(yè)務(wù)使用中，對安全的需求越來越強烈。如政府、銀行等集團客戶對網(wǎng)絡(luò)運營商提出更高的安全保障要求國家企業(yè)用戶網(wǎng)絡(luò)與信息安全的基本特征相對性只有相對的安全，沒有絕對的安全系統(tǒng)時效性新的漏洞與攻擊方法不斷發(fā)現(xiàn)相關(guān)性日常管理中的不同配置會引入新的問題（安全測評只證明特定環(huán)境與特定配置下的安全）新的系統(tǒng)組件也會引入新的問題不確定性攻擊發(fā)起的時間、攻擊者、攻擊目標(biāo)和攻擊發(fā)起的地點都具有不確定性復(fù)雜性信息安全是一項系統(tǒng)工程，需要技術(shù)的和非技術(shù)的手段，涉及到管理、培訓(xùn)、技術(shù)、人員、標(biāo)準(zhǔn)、運行等必要性網(wǎng)絡(luò)與信息安全必須是企業(yè)重點并持續(xù)關(guān)注和解決的網(wǎng)絡(luò)與信息安全的特點威脅永遠不會消失！漏洞/脆弱性客觀存在！客觀上無法避免的因素技術(shù)發(fā)展的局限，系統(tǒng)在設(shè)計之初不能認識到所有問題，如Tcp/ip協(xié)議人類的能力有限，失誤和考慮不周在所難免，如在編碼會引入Bug主觀上沒有避免的因素采用了默認配置而未定制和安全優(yōu)化新的漏洞補丁跟蹤、使用不及時組織、管理和技術(shù)體系不完善技術(shù)發(fā)展和環(huán)境變化的動態(tài)性……國家間的競爭與敵對勢力永遠不會消失企業(yè)間諜、攻擊者、欺詐與偷竊內(nèi)部系統(tǒng)的誤用、濫用問題長期存在新的威脅不斷出現(xiàn)使原有防護措施失效或新的威脅產(chǎn)生……隨著信息化建設(shè)，信息資產(chǎn)的價值在迅速增長資產(chǎn)的無形價值，如商業(yè)情報、聲譽、品牌等等已遠遠超過了購買價格……資產(chǎn)價值多樣化增長！有效保護網(wǎng)絡(luò)與信息安全的核心是進行持續(xù)、科學(xué)的風(fēng)險管理！風(fēng)險管理思想風(fēng)險RISKRISKRISKRISK風(fēng)險風(fēng)險的構(gòu)成風(fēng)險的降低資產(chǎn)威脅漏洞資產(chǎn)威脅漏洞安全現(xiàn)狀與趨勢分析案例-中美黑客大戰(zhàn)事件背景和經(jīng)過2001.4.1撞機事件為導(dǎo)火線4月初，以PoizonB0x、pr0phet為代表的美國黑客組織對國內(nèi)站點進行攻擊，約300個左右的站點頁面被修改4月下旬，國內(nèi)紅（黑）客組織或個人，開始對美國網(wǎng)站進行小規(guī)模的攻擊行動，4月26日有人發(fā)表了“五一衛(wèi)國網(wǎng)戰(zhàn)”戰(zhàn)前聲明，宣布將在5月1日至8日，對美國網(wǎng)站進行大規(guī)模的攻擊行動。各方都得到第三方支援各大媒體紛紛報道，評論，中旬結(jié)束大戰(zhàn)典型案例-中美黑客大戰(zhàn)中經(jīng)網(wǎng)數(shù)據(jù)有限公司中國科學(xué)院心理研究所國內(nèi)某政府網(wǎng)站國內(nèi)某大型商業(yè)網(wǎng)站遭PoizonB0x、pr0phet更改的我國部分網(wǎng)站主頁典型案例-中美黑客大戰(zhàn)美國勞工部網(wǎng)站美國某節(jié)點網(wǎng)站美國某大型商業(yè)網(wǎng)站美國某政府網(wǎng)站國內(nèi)黑客組織更改的網(wǎng)站頁面常用入侵系統(tǒng)步驟（普通&高級）采用漏洞掃描工具選擇會用的方式入侵獲取系統(tǒng)一定權(quán)限提升為最高權(quán)限安裝系統(tǒng)后門獲取敏感信息或者其他攻擊目的端口判斷判斷系統(tǒng)選擇最簡方式入侵分析可能有漏洞的服務(wù)獲取系統(tǒng)一定權(quán)限提升為最高權(quán)限安裝多個系統(tǒng)后門清除入侵腳印攻擊其他系統(tǒng)獲取替換信息作為其他用途Ping、traceroute等系統(tǒng)自帶命令端口掃描NmapOS指紋鑒別漏洞掃描（X-scan、SSS、商業(yè)掃描器）構(gòu)造特殊的攻擊和掃描，如firewalking社會工程配置錯誤信息收集與踩點網(wǎng)絡(luò)與信息安全面臨各種威脅內(nèi)部、外部泄密拒絕服務(wù)攻擊欺詐釣魚信息丟失、篡改、銷毀內(nèi)部網(wǎng)絡(luò)濫用病毒蠕蟲木馬黑客攻擊信息資產(chǎn)物理偷竊常見安全事件類型-網(wǎng)絡(luò)釣魚以假亂真，視覺陷阱域名類似

身份偽裝

admin@?改寫URL&item=q20299@/pub/msk/Q20299.asp編碼http://3633633987DNS劫持+Phishing常見安全事件類型-病毒及惡意代碼計算機病毒是指一段具有自我復(fù)制和傳播功能的計算機代碼，這段代碼通常能影響計算機的正常運行，甚至破壞計算機功能和毀壞數(shù)據(jù)。病毒的特點破壞性強傳播性強針對性強擴散面廣傳染方式多病毒的新動向傳播速度快：以網(wǎng)絡(luò)和Internet為主危害很大的病毒以郵件為載體病毒的延伸：特洛伊木馬有毒的移動編碼--來自Internet網(wǎng)頁威脅“熊貓燒香”事件熊貓燒香金豬報喜“熊貓燒香”去年11月中旬被首次發(fā)現(xiàn)，短短兩個月時間，新老變種已達700多種個常見安全事件類型-病毒蠕蟲紅色代碼2001年6月18日，微軟發(fā)布安全公告：MicrosoftIIS.IDA/.IDQISAPI擴展遠程緩沖區(qū)溢出漏洞。一個月后，利用此安全漏洞的蠕蟲“紅色代碼”一夜之間攻擊了國外36萬臺電腦，2001年8月6日，“紅色代碼Ⅱ”開始在國內(nèi)發(fā)作，造成很多運營商和企事業(yè)單位網(wǎng)絡(luò)癱瘓。給全球造成了高達26億美元的損失。SQLslammer2002年7月24日，微軟發(fā)布安全公告：MicrosoftSQLServer2000Resolution服務(wù)遠程棧緩沖區(qū)溢出漏洞。到2003年1月25日，足足6個月后，利用此安全漏洞的蠕蟲“SQLSlammer”現(xiàn)身互聯(lián)網(wǎng)，幾天之內(nèi)給全球造成了12億美元的損失。沖擊波震蕩波魔波……常見安全事件類型-特洛伊木馬Internet攻擊者的計算機攻擊者控制的服務(wù)器特洛伊木馬攻擊的計算機特洛伊木馬攻擊的計算機正向連接反向連接常見安全事件類型-僵尸網(wǎng)絡(luò)什么是僵尸網(wǎng)絡(luò)(BotNet)是互聯(lián)網(wǎng)上受到黑客集中控制的一群計算機，往往被黑客用來發(fā)起大規(guī)模的網(wǎng)絡(luò)攻擊，如分布式拒絕服務(wù)攻擊(DDoS)、海量垃圾郵件等，同時黑客控制的這些計算機所保存的信息也都可被黑客隨意“取用”。發(fā)現(xiàn)僵尸網(wǎng)絡(luò)是非常困難的因為黑客通常遠程、隱蔽地控制分散在網(wǎng)絡(luò)上的“僵尸主機”，這些主機的用戶往往并不知情。因此，僵尸網(wǎng)絡(luò)是目前互聯(lián)網(wǎng)上黑客最青睞的作案工具。常見安全事件類型-拒絕服務(wù)攻擊攻擊者就是讓你白等偽造地址進行SYN請求SYN（我可以連接嗎？）ACK（可以）/SYN（請確認?。┎荒芙⒄５倪B接受害者為何還沒回應(yīng)拒絕服務(wù)(DoS)的分類攻擊類型劃分I堆棧突破型（利用主機/設(shè)備漏洞）遠程溢出拒絕服務(wù)攻擊網(wǎng)絡(luò)流量型（利用網(wǎng)絡(luò)通訊協(xié)議）SYNFloodACKFloodICMPFloodUDPFlood、UDPDNSQueryFloodConnectionFloodHTTPGetFlood……攻擊類型劃分II應(yīng)用層垃圾郵件、病毒郵件DNSFlood網(wǎng)絡(luò)層SYNFlood、ICMPFlood鏈路層ARP偽造報文物理層直接線路破壞電磁干擾發(fā)起突然可能之前毫無征兆危害巨大極大的破壞了系統(tǒng)和網(wǎng)絡(luò)的可用性涉及金錢利益的攻擊事件開始出現(xiàn)極易實施廣為傳播的免費工具軟件人的好奇心或者其他想法防范困難新的攻擊形式不斷出現(xiàn)攻擊制造的流量日益增大難于追查有意識的攻擊1999年Yahoo、ebay被拒絕服務(wù)攻擊，DDoS出現(xiàn)2001年CERT被拒絕服務(wù)攻擊2002年CNNIC被拒絕服務(wù)攻擊2003年全球13臺根DNS中有8臺被大規(guī)模拒絕服務(wù)有組織、有預(yù)謀的涉及金錢利益的拒絕攻擊出現(xiàn)無意識的攻擊蠕蟲傳播Exploit(ProofofConceptCode)DoS/DDoS的歷史和特點常見安全事件類型-社會工程社會工程假借客戶，騙取資料冒充技術(shù)員打電話，詢問個人郵件密碼搜集員工個人信息，破解用戶口令收買公司員工，竊取內(nèi)部機密其它常見的攻擊/入侵方法黑客入侵跳板或肉雞：通過一個節(jié)點來攻擊其他節(jié)點。攻擊者控制一臺主機后，經(jīng)常通過IP欺騙或者主機信任關(guān)系來攻擊其他節(jié)點以隱蔽其入侵路徑和擦除攻擊證據(jù)。電子郵件攻擊：郵件炸彈、郵件欺騙網(wǎng)絡(luò)監(jiān)聽：獲取明文傳輸?shù)拿舾行畔?nèi)部網(wǎng)絡(luò)濫用：BT下載、大附件郵件轉(zhuǎn)發(fā)等主要威脅的統(tǒng)計根據(jù)FBI調(diào)查統(tǒng)計，位列前五位的威脅分別是內(nèi)部網(wǎng)絡(luò)的濫用、病毒和移動設(shè)備的偷竊、釣魚以及即時消息的濫用。威脅主體分析來源描述環(huán)境因素

斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震、意外事故等環(huán)境危害或自然災(zāi)害，以及軟件、硬件、數(shù)據(jù)、通訊線路等方面的故障人為因素惡意人員

不滿的或有預(yù)謀的內(nèi)部人員對信息系統(tǒng)進行惡意破壞；采用自主或內(nèi)外勾結(jié)的方式盜竊機密信息或進行篡改，獲取利益外部人員利用信息系統(tǒng)的脆弱性，對網(wǎng)絡(luò)或系統(tǒng)的保密性、完整性和可用性進行破壞，以獲取利益或炫耀能力非惡意人員

內(nèi)部人員由于缺乏責(zé)任心，或者由于不關(guān)心或不專注，或者沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損壞；內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能要求而導(dǎo)致信息系統(tǒng)故障或被攻擊GB/T20894-2007《信息安全技術(shù)-信息安全風(fēng)險評估規(guī)范》人—最主要的威脅主體截至2007年12月，網(wǎng)民數(shù)已增至2.1億人。中國網(wǎng)民數(shù)增長迅速，比2007年6月增加4800萬人，2007年一年則增加了7300萬人，年增長率達到53.3%。在過去一年中平均每天增加網(wǎng)民20萬人。目前中國的網(wǎng)民人數(shù)略低于美國的2.15億，位于世界第二位。目前中國4億手機用戶中，在過去半年有過手機接入互聯(lián)網(wǎng)行為的網(wǎng)民數(shù)量是5,040萬人。即網(wǎng)民中的24%、手機用戶中的12.6%是手機網(wǎng)民，手機上網(wǎng)已經(jīng)漸成風(fēng)氣。攻擊方法及技術(shù)趨勢高低19801985199019952000密碼猜測可自動復(fù)制的代碼密碼破解利用已知的漏洞破壞審計系統(tǒng)后門回話劫持擦除痕跡臭探包欺騙GUI遠程控制自動探測掃描拒絕服務(wù)www攻擊攻擊者入侵者技術(shù)攻擊手法半開放隱蔽掃描控制臺入侵檢測網(wǎng)絡(luò)管理DDOS攻擊SQL注入Googlehacking2005電信網(wǎng)絡(luò)面臨的威脅網(wǎng)絡(luò)結(jié)構(gòu)龐大復(fù)雜，互聯(lián)網(wǎng)出入口多不同安全等級的網(wǎng)絡(luò)、系統(tǒng)隔離不充分，易導(dǎo)致威脅的擴散（生產(chǎn)網(wǎng)、網(wǎng)管網(wǎng)、OA等）業(yè)務(wù)系統(tǒng)自身的脆弱性（應(yīng)用軟件、業(yè)務(wù)邏輯漏洞、安全補丁等）IP化及業(yè)務(wù)開放性趨勢導(dǎo)致新的弱點：信令網(wǎng)不再封閉不同安全域的互通控制更復(fù)雜ATCA平臺/通用操作系統(tǒng)的應(yīng)用使得設(shè)備自身易受攻擊OABSS/OSS移動網(wǎng)絡(luò)安全威脅分析IPCoreNetworkIPAccessNetworkIPIPCSCFMGCFMRFIMSBTSNodeBBSCRNCIPBSSIPRANCSMSCMGWSGSNGGSNPSPSTN/PLMNInternetMMSSMSWAP自有業(yè)務(wù)系統(tǒng)PresenceIMConferenceGaming第三方ASP/ISP終端來自用戶側(cè)（接入/終端）威脅對用戶竊聽/用戶機密信息竊取病毒/蠕蟲/木馬中間人或偽基站攻擊對網(wǎng)絡(luò)業(yè)務(wù)盜用非法設(shè)備接入網(wǎng)絡(luò)攻擊/拓撲泄露

DoS攻擊，資源耗竭來自Internet的威脅黑客入侵

DoS/DDos攻擊，資源耗竭非法接入業(yè)務(wù)系統(tǒng)來自第三方網(wǎng)絡(luò)的威脅身份欺騙業(yè)務(wù)欺詐/盜用來自運營商DCN網(wǎng)絡(luò)的威脅

病毒、蠕蟲、木馬非法訪問越權(quán)訪問、權(quán)限濫用敏感/機密信息泄露StreamHLR/Auc網(wǎng)絡(luò)技術(shù)快速發(fā)展，安全風(fēng)險無處不在網(wǎng)絡(luò)IP化業(yè)務(wù)開放化終端智能化123在向全IP網(wǎng)絡(luò)轉(zhuǎn)變過程中，由于IP協(xié)議的不安全以及復(fù)雜的互聯(lián)需求，安全風(fēng)險逐步滲入到電信網(wǎng)絡(luò)的核心。移動終端處理能力的提高、功能的豐富，同時意味著傳統(tǒng)計算機領(lǐng)域的安全問題也會擴散到移動終端領(lǐng)域，并給通信網(wǎng)絡(luò)帶來安全隱患。運營商、SP構(gòu)成更加緊密的價值鏈，該此模式對管理和技術(shù)控制措施提出更高要求。安全攻擊日益受利益驅(qū)動，易于實施攻擊工具化驅(qū)動利益化45安全工具易于獲得，攻擊成本逐年降低大量自動化、集成度高的攻擊工具，可通過互聯(lián)網(wǎng)下載。隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)上可供利用的安全漏洞數(shù)量逐年增加，成功實施攻擊所需時間不斷縮短。在經(jīng)濟利益驅(qū)動下，安全事件更加難于處理和防范維護人員、第三方技術(shù)支持人員利用其了解的信息和掌握的權(quán)限謀取非法收入。傳統(tǒng)安全防護手段難于對此類情況進行防護?；银澴硬《?，垃圾郵件等安全事件，反映出利用安全事件獲取非法收益的地下產(chǎn)業(yè)鏈已經(jīng)形成。影響業(yè)務(wù)運作信息安全問題引起電信業(yè)務(wù)中斷帶來極大的社會影響。如：電信4.11斷網(wǎng)、北京網(wǎng)通斷網(wǎng)信息安全問題導(dǎo)致業(yè)務(wù)收入損失。如：智能網(wǎng)盜卡事件競爭力下降新業(yè)務(wù)模式、投資計劃等商業(yè)秘密泄漏。由于資本市場提出新的監(jiān)管要求，信息安全問題更加嚴(yán)重影響企業(yè)的融資能力。因業(yè)務(wù)沒有充分的安全保障，造成客戶對業(yè)務(wù)的負向感知，引起客戶投訴、離網(wǎng)或不選擇相應(yīng)的服務(wù)。安全問題可能導(dǎo)致移動多年精心經(jīng)營的移動信息專家品牌蒙受重大損失。法律訴訟業(yè)務(wù)數(shù)據(jù)受到破壞，廣東動感地帶網(wǎng)站泄漏用戶個人信息香港和黃被起訴安全問題帶來的企業(yè)風(fēng)險脆弱性面面觀-國家層面我國信息安全保障工作仍存在一些亟待解決的問題：網(wǎng)絡(luò)與信息系統(tǒng)的防護水平不高，應(yīng)急處理能力不強；信息安全的管理和技術(shù)人才缺乏，信息安全關(guān)鍵技術(shù)整體上比較落后，信息安全產(chǎn)業(yè)缺乏核心競爭力；信息安全法律法規(guī)和標(biāo)準(zhǔn)不完善；全社會的信息安全意識不強，信息安全管理薄弱。國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見（中辦發(fā)[2003]27號）脆弱性面面觀-企業(yè)層面安全脆弱性美國中國預(yù)算限制29%20%執(zhí)行安全政策不利21%19%高級管理層對此缺乏關(guān)注或興趣19%28%信息安全策略不完善18%42%關(guān)鍵技術(shù)產(chǎn)品存在安全漏洞18%34%補丁產(chǎn)品使用不當(dāng)17%38%采用外包服務(wù)13%9%IT架構(gòu)陳舊過時12%15%安全產(chǎn)品不兼容或互操作性差10%20%安全政策和技術(shù)跟不上組織結(jié)構(gòu)的變化10%17%內(nèi)部開發(fā)的軟件未對信息安全予以關(guān)注10%16%雇用臨時員工9%9%其它6%1%InformationWeek研究部和埃森哲咨詢公司《2007年全球信息安全調(diào)查》德勤《2007年全球信息安全調(diào)查》脆弱性面面觀-個人層面應(yīng)用存在的問題上傳下載病毒木馬傳播、身份偽造、機密泄漏郵件收發(fā)漏洞利用、病毒木馬傳播即時通訊病毒木馬傳播、Bot擴散、信息泄漏信息瀏覽網(wǎng)絡(luò)欺詐、網(wǎng)頁病毒攻擊網(wǎng)絡(luò)游戲外掛問題、身份偽造、賬號裝備失竊信息查詢敏感信息泄漏在線音視頻漏洞利用、身份偽造文件共享病毒木馬傳播、帶寬消耗電子商務(wù)身份偽造、網(wǎng)絡(luò)欺詐、賬號失竊安全技術(shù)及產(chǎn)品介紹主流安全產(chǎn)品格局網(wǎng)絡(luò)安全Web安全Message安全終端安全NetworkFireWallNetworkIPSNGNetworkFirewallUTMHostFirewallHostIPSHost/EndpointAnti-VirusHostAnti-SpywareEndpiontComplianceGatewayAntiVirusGatewayAnti-phishingURL-filteringGatewayAntispywareWebFirewall/IPSAnti-SpamMailServerAntivirusMailEncryptionOutboundContentComplianceConvergedClientSecuritysuitAnti-DDOSDPI/DFIUTMSSL/IPSecVPN帶寬管理用戶行為審計安全內(nèi)容與威脅管理基礎(chǔ)平臺管理基于身份的認證與授權(quán)管理SIEMVulnerabilitymanagementUnifysecuritynetworkmanagementPatchmanagementIDMPKISmartCardBiometricalIdentifySSOAuthoritymanagementProvisioningRolemanagement應(yīng)用安全主流安全產(chǎn)品介紹防火墻IDS/IPS抗DDOS防病毒安全域帳號口令審計安全管理平臺防火墻的概念防火墻是一種高級訪問控制設(shè)備，是置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)安全政策控制(允許、拒絕、監(jiān)視、記錄)進出網(wǎng)絡(luò)的訪問行為。不可信的網(wǎng)絡(luò)及服務(wù)器可信任的網(wǎng)絡(luò)防火墻路由器InternetIntranet供外部訪問的服務(wù)及資源可信任的用戶不可信的用戶DMZ防火墻的主要技術(shù)包過濾技術(shù)(PacketFiltering)狀態(tài)包過濾技術(shù)(StatefulPacketFiltering)應(yīng)用代理技術(shù)(ApplicationProxy)應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層*包過濾技術(shù)的基本原理數(shù)據(jù)包數(shù)據(jù)包查找對應(yīng)的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包數(shù)據(jù)TCP報頭IP報頭分組過濾判斷信息企業(yè)內(nèi)部網(wǎng)屏蔽路由器數(shù)據(jù)包數(shù)據(jù)包UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource控制策略*狀態(tài)包過濾技術(shù)的基本原理數(shù)據(jù)包數(shù)據(jù)包查找對應(yīng)的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包企業(yè)內(nèi)部網(wǎng)屏蔽路由器數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)3TCP報頭IP報頭分組過濾判斷信息數(shù)據(jù)2TCP報頭IP報頭數(shù)據(jù)1TCP報頭IP報頭數(shù)據(jù)1TCP報頭IP報頭數(shù)據(jù)狀態(tài)檢測控制策略*應(yīng)用代理技術(shù)的基本原理數(shù)據(jù)包數(shù)據(jù)包查找對應(yīng)的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包企業(yè)內(nèi)部網(wǎng)屏蔽路由器數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)TCP報頭IP報頭分組過濾判斷信息應(yīng)用代理判斷信息控制策略防火墻的局限性防火墻不能防止通向站點的后門。防火墻一般不提供對內(nèi)部的保護。防火墻無法防范數(shù)據(jù)驅(qū)動型的攻擊。防火墻不能防止用戶由Internet上下載被病毒感染的計算機程序或者將該類程序附在電子郵件上傳輸。確保網(wǎng)絡(luò)的安全,還要對網(wǎng)絡(luò)內(nèi)部進行實時的檢測，對信息內(nèi)容進行過濾。入侵檢測系統(tǒng)的基本概念入侵檢測系統(tǒng)(IDS：Intrusiondetectionsystem)用于監(jiān)控網(wǎng)絡(luò)和計算機系統(tǒng)被入侵或濫用的征兆；IDS系統(tǒng)以后臺進程的形式運行，發(fā)現(xiàn)可疑情況，立即通知有關(guān)人員；IDS是監(jiān)控和識別攻擊的標(biāo)準(zhǔn)解決方案，是安防體系的重要組成部分；假如說防火墻是一幢大樓的門鎖，那入侵檢測系統(tǒng)就是這幢大樓里的監(jiān)視系統(tǒng)。監(jiān)控室=控制中心后門保安=防火墻攝像機=探測引擎CardKey入侵檢測系統(tǒng)示意形象地說，它就是網(wǎng)絡(luò)攝象機，能夠捕獲并記錄網(wǎng)絡(luò)上的所有數(shù)據(jù)，同時它也是智能攝象機，能夠分析網(wǎng)絡(luò)數(shù)據(jù)并提煉出可疑的、異常的網(wǎng)絡(luò)數(shù)據(jù)，它還是X光攝象機，能夠穿透一些巧妙的偽裝，抓住實際的內(nèi)容。它還不僅僅只是攝象機，還包括保安員的攝象機，能夠?qū)θ肭中袨樽詣拥剡M行反擊：阻斷連接、關(guān)閉道路（與防火墻聯(lián)動）。入侵檢測系統(tǒng)的類型主機入侵檢測系統(tǒng)(HostIntrusionDetection)網(wǎng)絡(luò)入侵檢測系統(tǒng)(NetworkIntrusionDetection)網(wǎng)絡(luò)入侵檢測系統(tǒng)，它通過抓取網(wǎng)絡(luò)上的所有報文，分析處理后，報告異常和重要的數(shù)據(jù)模式和行為模式，使網(wǎng)絡(luò)安全管理員清楚地了解網(wǎng)絡(luò)上發(fā)生的事件，并能夠采取行動阻止可能的破壞。入侵檢測系統(tǒng)的功能實時檢測實時地監(jiān)視、分析網(wǎng)絡(luò)中所有的數(shù)據(jù)報文發(fā)現(xiàn)并實時處理所捕獲的數(shù)據(jù)報文安全審計對系統(tǒng)記錄的網(wǎng)絡(luò)事件進行統(tǒng)計分析發(fā)現(xiàn)異?，F(xiàn)象得出系統(tǒng)的安全狀態(tài)，找出所需要的證據(jù)主動響應(yīng)主動切斷連接或與防火墻聯(lián)動，調(diào)用其他程序處理入侵檢測系統(tǒng)與防火墻的區(qū)別所在的位置不同防火墻是安裝在網(wǎng)關(guān)上，將可信任區(qū)域和非可信任區(qū)域分開，對進出網(wǎng)絡(luò)的數(shù)據(jù)包進行檢測，實現(xiàn)訪問控制。一個網(wǎng)段只需要部署一個防火墻。而NIDS是可以裝在局域網(wǎng)內(nèi)的任何機器上，一個網(wǎng)段內(nèi)可以裝上數(shù)臺NIDS引擎，由一個總控中心來控制。防范的方向不同防火墻主要是實現(xiàn)對外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)通訊的訪問控制，防止外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的可能存在的攻擊。網(wǎng)絡(luò)入侵檢測系統(tǒng)在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行檢測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，防止內(nèi)外部的惡意攻擊和網(wǎng)絡(luò)資源濫用。檢測的細粒度不同防火墻為了實現(xiàn)快速的網(wǎng)絡(luò)包轉(zhuǎn)換，故只能對網(wǎng)絡(luò)包的IP和端口進行一些防黑檢測，比如端口掃描?？墒菍νㄟ^IIS漏洞及Nimda病毒之類的網(wǎng)絡(luò)入侵，防火墻是毫無辦法。而網(wǎng)絡(luò)入侵檢測系統(tǒng)則可以擁有更多特征的入侵數(shù)據(jù)特征庫，可以對整個網(wǎng)絡(luò)包進行檢查過濾。入侵防御系統(tǒng)入侵防御系統(tǒng)IPS（IntrusionPreventionSystem）提供一種主動的、實時的防護，其設(shè)計旨在對常規(guī)網(wǎng)絡(luò)流量中的惡意數(shù)據(jù)包進行檢測，阻止入侵活動，預(yù)先對攻擊性的流量進行自動攔截，使它們無法造成損失，而不是簡單地在傳送惡意流量的同時或之后發(fā)出警報。IPS是通過直接串聯(lián)到網(wǎng)絡(luò)鏈路中或安裝在服務(wù)器上而實現(xiàn)這一功能的，即IPS接收到外部數(shù)據(jù)流量時，如果檢測到攻擊企圖，就會自動地將攻擊包丟掉。IPS的優(yōu)點IPS側(cè)重訪問控制，注重主動防御。目前，主流的IPS產(chǎn)品都內(nèi)置了狀態(tài)包檢測防火墻，IPS代表了深度檢測和時時防御，IPS是2-7層的檢測在加上高性能的硬件的結(jié)合體。IPS的缺點：性能：設(shè)備性能不夠穩(wěn)定，造成網(wǎng)絡(luò)延遲或丟包；誤報：存在誤檢測，對正常業(yè)務(wù)造成影響；漏報：存在漏報現(xiàn)象，影響系統(tǒng)安全性，給企業(yè)帶來損失?？笵DOS攻擊的技術(shù)趨勢黑洞流量全部丟棄,反而達到了DDoS攻擊的目的;ACL針對目的IP過濾或限速;無法防御應(yīng)用攻擊;防火墻性能/擴展差;對運營商網(wǎng)絡(luò)的影響；被動防御時間異常流量監(jiān)管按需部署方案安全威脅防范電信業(yè)務(wù)監(jiān)管網(wǎng)絡(luò)保值到增值異常流量監(jiān)管技術(shù)DDoS流量清洗部署在IDC/大用戶/運營商網(wǎng)絡(luò)側(cè)進行DDoS監(jiān)測和防護;主要針對DDoS流量，其它異常流量防護能力有局限；攻擊流量清洗病毒及惡意代碼防護技術(shù)防病毒系統(tǒng)分類：主機型網(wǎng)關(guān)型特點：通過特征規(guī)則匹配發(fā)現(xiàn)病毒規(guī)則必須定期更新從發(fā)展上看，病毒及惡意代碼，包括木馬、蠕蟲甚至垃圾郵件、間諜軟件逐漸被歸納為內(nèi)容安全的問題，傳統(tǒng)防病毒系統(tǒng)也逐漸演變?yōu)榘踩珒?nèi)容管理。安全域劃分組網(wǎng)方式隨意性強，缺乏統(tǒng)一規(guī)劃網(wǎng)絡(luò)區(qū)域之間邊界不清晰，互連互通沒有統(tǒng)一控制規(guī)范安全防護手段部署原則不明確擴展性差無法有效隔離不同業(yè)務(wù)領(lǐng)域，跨業(yè)務(wù)領(lǐng)域的非授權(quán)互訪難于發(fā)現(xiàn)和控制無法有效控制網(wǎng)絡(luò)病毒的發(fā)作區(qū)域和影響不能及時的發(fā)現(xiàn)安全事件和響應(yīng)第三方維護人員缺乏訪問控制和授權(quán)管理員密碼和權(quán)限的難以管理關(guān)鍵服務(wù)器、信息資產(chǎn)的缺乏重點防護為什么要劃分安全域？安全域劃分安全域劃分的根本目的是把一個大規(guī)模復(fù)雜系統(tǒng)的安全問題，化解為更小區(qū)域的簡單系統(tǒng)的安全保護問題。這也是實現(xiàn)大規(guī)模復(fù)雜信息的系統(tǒng)安全分等級保護的有效方法。安全域是指具有相同或近似安全保護需求的一系列IT要素的邏輯集合。這些要素主要包括：業(yè)務(wù)應(yīng)用網(wǎng)絡(luò)區(qū)域主機/系統(tǒng)組織人員物理環(huán)境主體、性質(zhì)、安全目標(biāo)和策略等元素的不同來劃分的不同邏輯子網(wǎng)或網(wǎng)絡(luò)，每一個邏輯區(qū)域有相同的安全保護需求，具有相同的安全訪問控制和邊界控制策略，區(qū)域間具有相互信任關(guān)系，而且相同的網(wǎng)絡(luò)安全域共享同樣的安全策略。安全域劃分示例帳號口令管理的需求（4A）隨著當(dāng)前IP網(wǎng)絡(luò)中，不同種類業(yè)務(wù)和應(yīng)用的飛速發(fā)展，網(wǎng)絡(luò)的安全性逐漸得到了人們的認識和重視，因此類如防火墻、IDS/IPS、防病毒網(wǎng)關(guān)、終端防護等安全技術(shù)產(chǎn)品在網(wǎng)絡(luò)中越來越流行起來，從某種程度上解決了一些安全上問題，但是如何確定網(wǎng)絡(luò)中用戶身份的真實性，實現(xiàn)用戶授權(quán)的可靠性，對用戶網(wǎng)絡(luò)行為的可追溯性，以及對用戶賬號管理的易用性，仍然是信息安全管理中不得不面對的難題。其常見的問題表現(xiàn)為：1、在網(wǎng)絡(luò)用戶只有IP，沒有與之對應(yīng)的真實身份ID的前提下，發(fā)生非法網(wǎng)絡(luò)行為時，不能及時定位隔離。2、網(wǎng)絡(luò)對登錄用戶進行認證時，每個節(jié)點的設(shè)備各自配置自己的用戶信息、權(quán)限、策略及認證，從而難以管理，易出錯。3、網(wǎng)絡(luò)中不同功能服務(wù)區(qū)，沒有進行按級別訪問的權(quán)限設(shè)制。4、網(wǎng)絡(luò)中真實用戶身份不能確定，存在仿冒的可能，無法對個人行為進行監(jiān)控。5、對網(wǎng)管人員自身的監(jiān)控力度不夠6、對多種網(wǎng)絡(luò)接入方式的支持及認證強度不夠，不能提供穩(wěn)定的硬件級別的認證系統(tǒng)7、目前基于IP進行管理的網(wǎng)絡(luò)，已不適應(yīng)網(wǎng)絡(luò)實名化的趨勢帳號口令管理方法與目標(biāo)增強內(nèi)控安全，滿足法規(guī)遵從梳理系統(tǒng)帳號，增強系統(tǒng)安全加強對系統(tǒng)的訪問控制，提高系統(tǒng)安全性定制工作流，提供管理規(guī)范性技術(shù)手段支撐建立安全審計中心，及時發(fā)現(xiàn)安全問題，追溯違規(guī)行為建立管理平臺，提高管理效率實現(xiàn)單點登錄，提高用戶便利集中認證接入集中授權(quán)管理集中帳號口令管理………集中安全審計…通過建立基于4A（Account、Authentication、Authorization、Auditing）的統(tǒng)一身份及訪問安全管理平臺，使得系統(tǒng)安全管理人員可以對各業(yè)務(wù)系統(tǒng)中的用戶和資源進行集中賬戶管理、集中認證管理、集中權(quán)限分配、集中審計，從而在管理、技術(shù)上保證各種業(yè)務(wù)系統(tǒng)安全策略的實施。安全審計產(chǎn)品－需求能夠發(fā)現(xiàn)潛在的威脅和運行問題，未雨綢繆化解安全和運行風(fēng)險。對于安全事件發(fā)生或關(guān)鍵數(shù)據(jù)遭到嚴(yán)重破壞之前可以預(yù)先通過日志異常行為告警方式通知管理人員，及時進行分析并采取相應(yīng)措施進行阻止，降低安全事件的最終發(fā)生率。定位操作系統(tǒng)和應(yīng)用程序的日志，忠實地記錄了操作系統(tǒng)和應(yīng)用程序的“一舉一動”,能夠通過審計這些日志定位系統(tǒng)故障、網(wǎng)絡(luò)問題和入侵攻擊行為。舉證安全審計的日志可以用來法律舉證的證據(jù)，必要時能幫助進行事故的責(zé)任認定。一些行業(yè)要求定期對日志進行全面?zhèn)浞莶⒈Ａ粝喈?dāng)時間。預(yù)警安全審計產(chǎn)品－審計目標(biāo)操作系統(tǒng)日志登陸與SU日志：異常分析命令操作日志：分析異常操作標(biāo)準(zhǔn)系統(tǒng)日志：非法攻擊留下的日志痕跡主機運行狀態(tài)CPU資源監(jiān)控內(nèi)存占用監(jiān)控磁盤空間監(jiān)控應(yīng)用系統(tǒng)日志數(shù)據(jù)庫操作和登陸W3C格式的應(yīng)用系統(tǒng)分析特定應(yīng)用系統(tǒng)的定制集中日志審計的基本功能保障日志安全傳輸加密第三方存儲訪問授權(quán)易于管理集中存儲方便支持不同應(yīng)用系統(tǒng)日志審計的擴展采用多種直觀的顯示方式幫助管理員的分析和提供預(yù)警處理海量日志，提高分析效率自動化的日志分析支持海量日志事件的過濾、分析和處理更深層的對日志進行分析安全運行管理平臺（ISMP）ISMP不是單純產(chǎn)品，是承載安全管理與運行工作的平臺涵蓋安全工作的所有過程（包括預(yù)防、評估審計、監(jiān)控、分析處理、恢復(fù)各個環(huán)節(jié)）承載安全工作流和信息流，針對各個安全流程的每個環(huán)節(jié)的工作提供相關(guān)信息、任務(wù)ISMP是安全保障體系的落實與體現(xiàn)形式，是安全保障體系有效運行的技術(shù)支撐手段實現(xiàn)動態(tài)、可量化的風(fēng)險管理實現(xiàn)網(wǎng)絡(luò)安全工作從凌亂、零散、粗放向有序、體系化、精細化的管理模式轉(zhuǎn)變?nèi)粘５陌踩\維工作通過ISMP開展，就像網(wǎng)管依賴網(wǎng)管平臺開展ISMP從技術(shù)體系采集數(shù)據(jù)，執(zhí)行和審計策略體系各相關(guān)部門通過ISMP實現(xiàn)安全工作有序管理和密切協(xié)作ISMP體現(xiàn)管理意圖，以全面反映安全工作指導(dǎo)思想貫穿始終對領(lǐng)導(dǎo)層的價值：及時掌握各個部門整體安全狀況，輔助決策業(yè)務(wù)連續(xù)性高，績效好提高效率，減少人員需求，降低維護成本對安全管理者的價值：安全狀態(tài)可視化。全面、直觀識別和顯示各系統(tǒng)和設(shè)備的安全風(fēng)險及時和全面的發(fā)現(xiàn)的安全事件實現(xiàn)各部門各業(yè)務(wù)系統(tǒng)的安全產(chǎn)品、網(wǎng)絡(luò)、主機、應(yīng)用軟件的事件關(guān)聯(lián)分析實現(xiàn)安全事件精確定位，加快安全事件的響應(yīng)速度，保障業(yè)務(wù)的連續(xù)性；智能化處理，降低對安全管理人員需求，提高工作效率；對系統(tǒng)維護人員、一般員工的價值：業(yè)務(wù)系統(tǒng)安全狀況可視化；安全事件快速定位，并提供處理支持（如補丁加載決策支持），提高生產(chǎn)效率，減少低級勞動對業(yè)務(wù)人員的價值：安全保障水平提高，實現(xiàn)客戶SLA；穩(wěn)定客戶，提高客戶滿意度安全運行管理平臺（ISMP）ISMP產(chǎn)品核心技術(shù)發(fā)展以網(wǎng)元設(shè)備為核心（網(wǎng)管產(chǎn)品發(fā)展）基于網(wǎng)管系統(tǒng)開發(fā)的ISMP產(chǎn)品通常采用這個思想，把固定的安全事件固定到網(wǎng)元管理上以資產(chǎn)風(fēng)險管理為核心（目前已應(yīng)用的ISMP產(chǎn)品）以資產(chǎn)為核心視圖，比較直觀和靈活的管理事件、資產(chǎn)和脆弱性要素，實現(xiàn)了初步的風(fēng)險管理思想ISMP產(chǎn)品核心技術(shù)的發(fā)展以過程管理為核心（未來ISMP發(fā)展方向）

主要突出安全運維流程過程管理作為安全運行支撐手段，非事件關(guān)聯(lián)分析告警的平臺以安全事件為核心(日志收集與安全審計產(chǎn)品)收集多種不同來源的安全事件，進行關(guān)聯(lián)并可設(shè)定監(jiān)控閥值安全標(biāo)準(zhǔn)與政策法規(guī)安全標(biāo)準(zhǔn)與政策法規(guī)簡介框架標(biāo)準(zhǔn)指南政策法律法規(guī)國內(nèi)相關(guān)的政策、法律法規(guī)、安全框架及各類適用標(biāo)準(zhǔn)。國際相關(guān)國家管理部門標(biāo)準(zhǔn)研究機構(gòu)企業(yè)管理部門行業(yè)主管部門發(fā)布國家層面的信息戰(zhàn)略、信息安全戰(zhàn)略、安全相關(guān)法律法規(guī)等。研究國內(nèi)外先進標(biāo)準(zhǔn)體系、制訂、發(fā)布安全國家標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)等。發(fā)布行業(yè)安全指南、指引，研究、制訂本行業(yè)安全相關(guān)標(biāo)準(zhǔn)等。發(fā)布本企業(yè)信息安全政策、策略、制度、指南，以及本企業(yè)標(biāo)準(zhǔn)等。研究、制訂、發(fā)布國際信息安全標(biāo)準(zhǔn)化組織ISOIECITUIETFPGP開發(fā)規(guī)范；鑒別防火墻遍歷；通用鑒別技術(shù)；域名服務(wù)系統(tǒng)安全；IP安全協(xié)議；一次性口令鑒別)；X.509公鑰基礎(chǔ)設(shè)施；S/MIME郵件安全；安全Shell；簡單公鑰基礎(chǔ)設(shè)施；傳輸層安全；Web處理安全。TC56可靠性；TC74IT設(shè)備安全和功效；TC77電磁兼容；CISPR無線電干擾特別委員會。前身是CCITT消息處理系統(tǒng)；目錄系統(tǒng)(X.400系列、X.500系列)；安全框架；安全模型等標(biāo)準(zhǔn)。JTC1SC27，信息技術(shù)-安全技術(shù)，共個工作組發(fā)布，主要信息安全標(biāo)準(zhǔn)；其他子委員會主要有SC6、、SC18、SC21、SC22、SC30等等；ISO/TC68，銀行和有關(guān)的金融服務(wù)。除以上國際組織外，各個國家均有自己的信息安全標(biāo)準(zhǔn)化組織，如ANSI(美國國家標(biāo)準(zhǔn))BIS(印度標(biāo)準(zhǔn))BSI(英國標(biāo)準(zhǔn))BS標(biāo)準(zhǔn)目錄NF(法國標(biāo)準(zhǔn))DIN(德國標(biāo)準(zhǔn))GOST(俄羅斯國家標(biāo)準(zhǔn))JSA(日本標(biāo)準(zhǔn))TIS(泰國標(biāo)準(zhǔn))AS(澳大利亞標(biāo)準(zhǔn))CSA(加拿大標(biāo)準(zhǔn)協(xié)會)等等國際標(biāo)準(zhǔn)化組織ISO介紹ISO的主要工作是制修訂與出版國際標(biāo)準(zhǔn)。ISO標(biāo)準(zhǔn)的范圍涉及除電工與電子工程以外的所有領(lǐng)域；電工與電子工程標(biāo)準(zhǔn)，由國際電工委員會（IEC）負責(zé)制修訂；信息技術(shù)標(biāo)準(zhǔn)化工作由ISO和IEC共同負責(zé)。1987年11月，這兩大國際組織成立了ISO/IEC的JTCI聯(lián)合技術(shù)委員會即"信息技術(shù)委員會"，現(xiàn)有50個成員團體參加其工作。SC02SC27SC37WG1WG2WG3WG4WG5Cs47B/83TC971987國際標(biāo)準(zhǔn)化組織ISO介紹Product（產(chǎn)品）System（系統(tǒng)）Process（流程）Environment（環(huán)境）Techniques（技術(shù)）Guidelines（指南）Assessment（評估）WG1ISMSWG3EvaluationCriteriaWG2Cryptograph&MechanismsWG4ControlsandServicesWG5IM&PrivacyTechnologies中國信息安全標(biāo)準(zhǔn)化組織與標(biāo)準(zhǔn)體系國標(biāo)地方標(biāo)準(zhǔn)行業(yè)標(biāo)準(zhǔn)企業(yè)標(biāo)準(zhǔn)GBGB/TGB/ZDB11北京DB31上海DB44廣東GA公安JR金融YD通信Q+*企業(yè)中國信息安全標(biāo)準(zhǔn)體系框架合規(guī)與遵循的必要性

對于今天身處激烈竟?fàn)幹械默F(xiàn)代企業(yè)來說，滿足日益復(fù)雜的外部合規(guī)性要求，提升企業(yè)管理水平，有效抵御各類風(fēng)險，最終實現(xiàn)業(yè)務(wù)持續(xù)性健康發(fā)展的目標(biāo)是實施遵從要求的根本原因。而隨著企業(yè)對IT技術(shù)依賴性的提高，由IT控制而引發(fā)的IT遵從成為企業(yè)遵從行為的重要形式，由此產(chǎn)生的管理活動和控制目標(biāo)將貫穿于企業(yè)的整個生命周期中。

合規(guī)性檢查

(SOX,GLBA,HIPAA)遷移到新的軟件模型外部威脅員工使用移動設(shè)備新技術(shù)，例如VoIP不安全的商業(yè)計算平臺內(nèi)部威脅來源:高盛安全花費調(diào)查,2006財富1000強企業(yè)CIOs/CSOs調(diào)查(目前在安全方面花費的最主要驅(qū)動因素):Sarbanes-Oxley《薩班斯-奧克斯利法案》海外法律法規(guī)Gramm-Leach-Bliley《格愛姆－里赤－布里利法案》BaselII巴塞爾新資本協(xié)議HIPAA健康保險流通與責(zé)任法案國家信息安全等級保護制度《互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定》公安部第82號令國信辦信息安全風(fēng)險評估規(guī)范銀監(jiān)會《商業(yè)銀行內(nèi)部控制指引》證監(jiān)會《證券公司內(nèi)部控制指引》電監(jiān)會5號令

保監(jiān)會《保險公司風(fēng)險管理指引（試行）》ISO27002CobitITILCOSO國內(nèi)法律法規(guī)行業(yè)標(biāo)準(zhǔn)指南最佳實踐框架……企業(yè)合規(guī)與遵循框架IT基礎(chǔ)設(shè)施企業(yè)IT相關(guān)資源或元素網(wǎng)絡(luò)區(qū)域物理環(huán)境組織人員策略制度主機和系統(tǒng)業(yè)務(wù)應(yīng)用政策法規(guī)框架標(biāo)準(zhǔn)實踐指南自身現(xiàn)狀及特點27號文147號令SOX法案等級保護……COSO-ERMCOBITISO27000系列ITILISO27002ISO13335系列等級保護標(biāo)準(zhǔn)……信息安全國標(biāo)風(fēng)險評估規(guī)范風(fēng)險管理指南政策法規(guī)介紹國際政策法規(guī)中國政策法規(guī)《薩班斯-奧克斯利法案》(Sarbanes-OxleyAct）《格愛姆－里赤－布里利法案》(Gramm-Leach-BlileyAct)《健康保險流通與責(zé)任法案》(HIPAA)《巴塞爾新資本協(xié)議》(BaselII)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務(wù)院令147號）《關(guān)于信息安全等級保護工作的實施意見》(公通字[2004]66號)《信息安全等級保護管理辦法》（試行公通字[2006]7號文）《信息安全等級保護管理辦法》（公通字[2007]43號文）《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》(公信安[2007]861號文)《關(guān)于開展信息安全風(fēng)險評估工作的意見》《中華人民共和國保守國家秘密法》《信息安全法》《電子簽名法》等國家加強對信息化工作的領(lǐng)導(dǎo)日期信息化領(lǐng)導(dǎo)機構(gòu)領(lǐng)導(dǎo)1993-12國家經(jīng)濟信息化聯(lián)席會議鄒家華副總理1996-01國務(wù)院信息化工作領(lǐng)導(dǎo)小組鄒家華副總理1998-03

無1999-12國家信息化工作領(lǐng)導(dǎo)小組吳邦國副總理2001-08國家信息化領(lǐng)導(dǎo)小組朱镕基總理2001-08國務(wù)院信息化工作辦公室曾培炎部長2003-05國家信息化領(lǐng)導(dǎo)小組溫家寶總理2003-05國務(wù)院信息化工作辦公室王旭東部長電子政務(wù)與信息化應(yīng)用專業(yè)委員會網(wǎng)絡(luò)與信息安全專業(yè)委員會政策規(guī)劃專業(yè)委員會技術(shù)專業(yè)委員會專家委秘書處3、國家信息化專家咨詢委員會綜合組政策規(guī)劃網(wǎng)絡(luò)與信息安全推廣應(yīng)用電子政務(wù)2、國務(wù)院信息化工作辦公室國家信息化的工作體制1、國家信息化領(lǐng)導(dǎo)小組國務(wù)院中共中央政策法規(guī)介紹-27號文信任體系監(jiān)控體系應(yīng)急處理安全技術(shù)研究法律法規(guī)標(biāo)準(zhǔn)人才與意識資金保障加強領(lǐng)導(dǎo)明確責(zé)任總體要求及原則等級保護《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號），2003年8月26日發(fā)布。我國第一個信息安全戰(zhàn)略層面的文件，是指導(dǎo)我國信息安全保障工作的綱領(lǐng)。27號文件主要內(nèi)容：一、加強信息安全保障工作的總體要求和主要原則二、實行信息安全等級保護三、加強以密碼技術(shù)為基礎(chǔ)的信息保護和網(wǎng)絡(luò)信任體系建設(shè)四、建設(shè)和完善信息安全監(jiān)控體系五、重視信息安全應(yīng)急處理工作六、加強信息安全技術(shù)研究開發(fā)，推進信息安全產(chǎn)業(yè)發(fā)展七、加強信息安全法制建設(shè)和標(biāo)準(zhǔn)化建設(shè)八、加快信息安全人才培養(yǎng)，增強全民信息安全意識九、保證信息安全資金十、加強對信息安全保障工作的領(lǐng)導(dǎo)，建立健全信息安全管理責(zé)任制政策法規(guī)介紹-147號令主要條款（摘要）第六條公安部主管全國計算機信息系統(tǒng)安全保護工作。第九條計算機信息系統(tǒng)實行安全等級保護。安全等級的劃分標(biāo)準(zhǔn)和安全等級保護的具體辦法，由公安部會同有關(guān)部門制定。第十四條對計算機信息系統(tǒng)中發(fā)生的案件，有關(guān)使用單位應(yīng)當(dāng)在24小時內(nèi)向當(dāng)?shù)乜h級以上人民政府公安機關(guān)報告。第十七條公安機關(guān)對計算機信息系統(tǒng)安全保護工作行使下列監(jiān)督職權(quán)：監(jiān)督、檢查、指導(dǎo)計算機信息系統(tǒng)安全保護工作；查處違法犯罪案件。

第二十條公安機關(guān)有權(quán)處以警告或者停機整頓。第二十三條危害計算機信息系統(tǒng)安全的，或者未經(jīng)許可出售安全專用產(chǎn)品的，由公安機關(guān)處以警告或者對個人5000元以下、單位處以15000以下罰款；沒收違法所得，并可處以違法所得1至3倍的罰款。第二十四條構(gòu)成違反治安管理行為的，依照《中華人民共和國治安管理處罰條例》的有關(guān)規(guī)定處罰；構(gòu)成犯罪的，依法追究刑事責(zé)任?！吨腥A人民共和國計算機信息系統(tǒng)安全保護條例》（國務(wù)院令147號），1994年2月18日國務(wù)院總理李鵬簽發(fā)。政策法規(guī)介紹-等級保護系列66號文7號文43號文861號文《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公信安[2007]861號）。2007年7月16日，公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室聯(lián)合下發(fā)?！缎畔踩燃壉Ｗo管理辦法》（試行公通字[2006]7號文）。2006年1月由公安部、保密局、國密局、國信辦聯(lián)合印發(fā)。主要內(nèi)容：職能劃分；等級劃分與保護；實施與管理；定級、建設(shè)和管理、測評和自查、備案、監(jiān)督檢查等；涉秘系統(tǒng)的分級保護；密碼管理?！缎畔踩燃壉Ｗo管理辦法》（公通字[2007]43號文）。2007年6月22日，公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室聯(lián)合下發(fā)。在7號文的基礎(chǔ)上進行了修訂，7號文同時廢止?！蛾P(guān)于信息安全等級保護工作的實施意見》(公通字[2004]66號)2004年9月16日由公安部、國家保密局、國家密碼管理局、國信辦聯(lián)合發(fā)文。主要內(nèi)容包括（6個方面）開展信息安全等級保護工作的重要意義；原則；基本內(nèi)容；職責(zé)分工；工作要求；實施計劃。等級保護作為我國一項基本制度，早在94年的國務(wù)院147號令中就進行了明確，其后03年27號文件又進行了強調(diào)04年起，陸續(xù)頒布了66號、7號、43號、861號等一系列文件?！蛾P(guān)于電信網(wǎng)絡(luò)等級保護工作有關(guān)問題的通知》（信電函[2006]35號）《關(guān)于開展電信網(wǎng)絡(luò)安全防護試點工作的通知》（信部電函[2007]304號）《關(guān)于進一步開展電信網(wǎng)絡(luò)安全防護工作的實施意見》（信部電[2007]555號）《關(guān)于貫徹落實電信網(wǎng)絡(luò)等級保護定級工作的通知》（信電函[2007]101號）山東省內(nèi)長途交換網(wǎng)進行了試點去年10月進行了試點總結(jié)去年12月召開了專家組會議1月底總部及奧運省完成定級工作3月底其它省完成定級工作各行業(yè)安全等級保護工作由公安部牽頭電信網(wǎng)絡(luò)安全等級保護工作政策法規(guī)介紹-中辦發(fā)[2006]5號文《關(guān)于開展信息安全風(fēng)險評估工作的意見》（中辦發(fā)[2006]5號文）2006年3月16日，國務(wù)院信息化工作辦公室在昆明召開了《關(guān)于開展信息安全風(fēng)險評估工作的意見》宣貫會。各省、市信息化主管部門、國信辦專家組、解放軍有關(guān)部門和部分信息安全企業(yè)的130余名代表出席了會議。會議由國信辦網(wǎng)絡(luò)與信息安全組熊四皓處長主持，國信辦網(wǎng)絡(luò)與信息安全組王渝次司長發(fā)表了學(xué)習(xí)貫徹《國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組<關(guān)于開展信息安全風(fēng)險評估工作的意見>》的重要講話。云南省、北京市、上海市、黑龍江省分別介紹了信息安全風(fēng)險評估試點工作的過程和經(jīng)驗。有關(guān)專家介紹了風(fēng)險評估工作應(yīng)遵循的標(biāo)準(zhǔn)和方法。政策法規(guī)介紹-SOX法案針對安然、世通等財務(wù)欺詐事件，美國國會出臺了《2002年公眾公司會計改革和投資者保護法案》。對于在美上市的中國公司有同樣約束力。涉及信息安全的主要有302、404等章節(jié)。截至2006年3月底，內(nèi)地和香港一共有70余家公司在美國上市，其中包括多家大型國有企業(yè)，如中海油、東方航空、中國人壽、UT斯達康、中國移動、中國聯(lián)通、百度等。政策法規(guī)介紹-SOX法案302條款公司對財務(wù)報告的責(zé)任要求公司首要官員及首要財務(wù)官在季度/年度報告中保證：對信息披露的控制和程序負責(zé)設(shè)計必要的內(nèi)部控制手段并確保其執(zhí)行可使高層及時獲得重要信息對披露控制的有效性進行評估，評估結(jié)果需存檔不可向?qū)徲嬑瘑T會和外部審計人員隱瞞公司重大的內(nèi)控失敗和人員舞弊行為……404條款管理層對內(nèi)部控制的評價CEO和CFO必須在年度報告中確保：內(nèi)部控制的管理層責(zé)任評估內(nèi)部控制的有效性由獨立審計機構(gòu)出具審計報告框架標(biāo)準(zhǔn)介紹IS27000系列（信息技術(shù)-安全技術(shù)-信息安全管理體系）IS13335系列（信息技術(shù)-IT安全管理指南）等級保護標(biāo)準(zhǔn)（測評準(zhǔn)則基本要求實施指南測評準(zhǔn)則定級指南）國家信息安全相關(guān)標(biāo)準(zhǔn)GBeTOM（增強的電信運營圖）COSO-ERM（COSO-企業(yè)風(fēng)險管理框架）COBIT（信息及相關(guān)技術(shù)控制目標(biāo)）標(biāo)準(zhǔn)框架eTOM業(yè)務(wù)流程框架模型框架標(biāo)準(zhǔn)介紹-COSOCOSO（CommitteeofSponsoringOrganization，COSO）委員會，專門研究內(nèi)部控制問題。1992年9月，COSO委員會發(fā)布《內(nèi)部控制整合框架》（COSO-IC），由于COSO報告提出的內(nèi)部控制理論和體系集內(nèi)部控制理論和實踐發(fā)展之大成，成為現(xiàn)代內(nèi)部控制最具有權(quán)威性的框架，因此在業(yè)內(nèi)倍受推崇，在美國及全球得到廣泛推廣和應(yīng)用。

2004年9月COSO正式頒布了《企業(yè)風(fēng)險管理整合框架》（COSO-ERM）。COSO將企業(yè)風(fēng)險管理定義為：“企業(yè)風(fēng)險管理是一個過程，受企業(yè)董事會、管理層和其他員工的影響，包括內(nèi)部控制及其在戰(zhàn)略和整個公司的應(yīng)用，旨在為實現(xiàn)經(jīng)營的效率和效果、財務(wù)報告的可靠性以及法規(guī)的遵循提供合理保證?！盋OSO-ERM框架是一個指導(dǎo)性的理論框架，為公司的董事會提供了有關(guān)企業(yè)所面臨的重要風(fēng)險，以及如何進行風(fēng)險管理方面的重要信息。

框架標(biāo)準(zhǔn)介紹-COSO四個目標(biāo)戰(zhàn)略目標(biāo)經(jīng)營目標(biāo)報告目標(biāo)合規(guī)目標(biāo)八個要素內(nèi)部環(huán)境目標(biāo)設(shè)置事件辨識風(fēng)險評估風(fēng)險反應(yīng)控制活動信息與溝通監(jiān)控COSO-ERM框架標(biāo)準(zhǔn)介紹-COBIT

CoBIT（ControlObjectivesforInformationandrelatedTechnology,信息和相關(guān)技術(shù)控制目標(biāo)）由ITGI（ITGovernanceInstitute）制定，是信息、IT以及相關(guān)風(fēng)險控制方面的國際公認標(biāo)準(zhǔn)。CoBIT用于執(zhí)行IT管理，改善IT控制。它既可以滿足管理人員和董事局的IT管理需求，同時也能應(yīng)對負責(zé)交付解決方案和服務(wù)的人員的更為具體的要求。這就為在一個具有透明度的環(huán)境里優(yōu)化IT投資、確保價值傳遞以及減輕IT風(fēng)險提供了更好的支持。

效果效率保密性完整性可用性合規(guī)性可靠性應(yīng)用軟件信息基礎(chǔ)架構(gòu)人員域流程活動企業(yè)要求IT流程IT資源COBIT立方體框架標(biāo)準(zhǔn)介紹-COBIT以業(yè)務(wù)為中心：提供企業(yè)實現(xiàn)其目標(biāo)所需需的信息，企業(yè)需要采用結(jié)構(gòu)化的流程來管理、控制IT資源，以交付所需要的信息服務(wù)。為了完成企業(yè)目標(biāo)，要設(shè)立信息標(biāo)準(zhǔn)和劃分IT資源的類別。定位于流程：以一個通用的流程模型在四個控制域里定義IT活動。這些控制域就是計劃與組織，獲得與實施，交付與支持和監(jiān)控與評價。這四個控制域包含34個流程，映射到傳統(tǒng)的IT職責(zé)域：計劃、建設(shè)、運營和監(jiān)視。以控制為基礎(chǔ)：每個IT流程都有一個高層控制目標(biāo)和多個詳細控制目標(biāo)，34個流程共有214個控制目標(biāo)。以衡量為驅(qū)動：提供成熟度模型以識別和校驗必須提高的能力；提供IT流程的績效目標(biāo)和衡量標(biāo)準(zhǔn)；提供使流程高效的活動目標(biāo)。業(yè)務(wù)需求COBIT企業(yè)信息IT資源IT流程框架標(biāo)準(zhǔn)介紹-27000系列27000標(biāo)準(zhǔn)族框架標(biāo)準(zhǔn)介紹-27000系列相關(guān)方信息安全需求和期望相關(guān)方受控的信息安全信息安全管理體系的持續(xù)改進建立

ISMS4.2.1監(jiān)控和評審ISMS4.2.3實施和運行ISMS4.2.2維護和改進ISMS4.2.4InputOutputPDACPDACPDACPDAC27001中應(yīng)用于ISMS的PDCA模型框架標(biāo)準(zhǔn)介紹-27000系列中國大陸地區(qū)，可以提供ISO27001認證服務(wù)的主要是BSI（BritishStandardsInstitution英國標(biāo)準(zhǔn)協(xié)會），DNV（DetNorskeVeritas挪威船級社），BV（BureauVeritas法國國際檢驗局），以及ISCCC（中國信息安全認證中心）。27001認證基本介紹情況框架標(biāo)準(zhǔn)介紹-27000系列資料來源:ISMSIUG截止2008年2月,獲取27001證書的組織為4140.其中中國80個,全球第6位.27001證書獲取情況框架標(biāo)準(zhǔn)介紹-13335系列ISO13335是由ISO/IECJTC1制定的技術(shù)報告，是一個信息安全管理方面的指導(dǎo)性標(biāo)準(zhǔn)，其目的是為有效實施IT安全管理提供建議和支持。ISO/IECTR13335，（IT安全管理指南”，GuidelinesfortheManagementofITSecurity，GMITS），04年發(fā)布ISO/IEC13335-1:2004Part1-概念和模型（“信息和通信技術(shù)安全管理”，（ManagementofInformationandCommunicationsTechnologySecurity，MICTS），ISO/IECTR13335series(GMITS)TR13335-1:1996TR13335-2:1997TR13335-3:1998TR13335-4:2000TR13335-5:2001ISO/IEC13335(MICTS)13335-1:2004IT安全概念和模型IT安全管理和規(guī)劃IT安全管理技術(shù)選擇控制措施網(wǎng)絡(luò)安全管理指南ICT安全管理-概念和模型框架標(biāo)準(zhǔn)介紹-電信網(wǎng)絡(luò)安全等級保護標(biāo)準(zhǔn)32個標(biāo)準(zhǔn)（草案）安全等級描述第1級定級對象受到破壞后，會對其網(wǎng)絡(luò)和業(yè)務(wù)運營商的合法權(quán)益造成輕微損害，但不損害國家安全、社會秩序、經(jīng)濟運行和公共利益。網(wǎng)絡(luò)和業(yè)務(wù)運營商依據(jù)國家和通信行業(yè)有關(guān)標(biāo)準(zhǔn)進行保護。第2級定級對象受到破壞后，會對網(wǎng)絡(luò)和業(yè)務(wù)運營商的合法權(quán)益產(chǎn)生嚴(yán)重損害，或者對社會秩序、經(jīng)濟運行和公共利益造成輕微損害，但不損害國家安全。網(wǎng)絡(luò)和業(yè)務(wù)運營商依據(jù)國家和通信行業(yè)有關(guān)標(biāo)準(zhǔn)進行保護，主管部門對其安全等級保護工作進行指導(dǎo)。第3級第3.1級定級對象受到破壞后，會對網(wǎng)絡(luò)和業(yè)務(wù)運營商的合法權(quán)益產(chǎn)生很嚴(yán)重損害，或者對社會秩序、經(jīng)濟運行和公共利益造成較大損害，或者對國家安全造成輕微損害。網(wǎng)絡(luò)和業(yè)務(wù)運營商依據(jù)國家和通信行業(yè)有關(guān)標(biāo)準(zhǔn)進行保護，主管部門對其安全等級保護工作進行監(jiān)督、檢查。第3.2級定級對象受到破壞后，會對網(wǎng)絡(luò)和業(yè)務(wù)運營商的合法權(quán)益產(chǎn)生特別嚴(yán)重損害，或者對社會秩序、經(jīng)濟運行和公共利益造成嚴(yán)重損害，或者對國家安全造成較大損害。網(wǎng)絡(luò)和業(yè)務(wù)運營商依據(jù)國家和通信行業(yè)有關(guān)標(biāo)準(zhǔn)進行保護，主管部門對其安全等級保護工作進行重點監(jiān)督、檢查。第4級定級對象受到破壞后，會對社會秩序、經(jīng)濟運行和公共利益造成特別嚴(yán)重損害，或者對國家安全造成嚴(yán)重損害。網(wǎng)絡(luò)和業(yè)務(wù)運營商依據(jù)國家和通信行業(yè)有關(guān)標(biāo)準(zhǔn)以及業(yè)務(wù)的特殊安全要求進行保護，主管部門對其安全等級保護工作進行強制監(jiān)督、檢查。第5級定級對象受到破壞后，會對國家安全造成特別嚴(yán)重損害。網(wǎng)絡(luò)和業(yè)務(wù)運營商依據(jù)國家和通信行業(yè)有關(guān)標(biāo)準(zhǔn)以及業(yè)務(wù)的特殊安全需求進行保護，主管部門對其安全等級保護工作進行專門監(jiān)督、檢查?？蚣軜?biāo)準(zhǔn)介紹-電信網(wǎng)絡(luò)安全等級劃分框架標(biāo)準(zhǔn)介紹-等?！秾嵤┲改稀沸畔⑾到y(tǒng)定級總體安全規(guī)劃安全設(shè)計與實施安全運行與維護信息系統(tǒng)終止1信息系統(tǒng)定級2總體安全規(guī)劃3安全設(shè)計與實施4安全運行與維護5信息系統(tǒng)終止等級變更系統(tǒng)調(diào)整框架標(biāo)準(zhǔn)介紹-等保《實施指南》1信息系統(tǒng)定級2總體安全規(guī)劃3安全設(shè)計與實施4安全運行與維護5信息系統(tǒng)終止信息系統(tǒng)分析確定保護等級安全需求分析總體安全設(shè)計建設(shè)項目規(guī)劃方案詳細設(shè)計管理措施實現(xiàn)技術(shù)措施實現(xiàn)運行管理和控制變更管理和控制安全狀態(tài)監(jiān)控安全事件處置及應(yīng)急預(yù)案安全檢查和持續(xù)改進等級測評系統(tǒng)備案監(jiān)督檢查信息轉(zhuǎn)移、儲存和清除設(shè)備遷移或廢棄存儲介質(zhì)的清除或銷毀實踐指南介紹ITILIS17799信息安全風(fēng)險評估規(guī)范信息安全風(fēng)險管理指南信息安全事件分類分級指南信息安全事件管理指南信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范最佳實踐指南實踐指南介紹-ITILITIL，全稱InformationTechnologyInfrastructureLibrary，本白皮書統(tǒng)一譯為“信息技術(shù)基礎(chǔ)架構(gòu)庫”或“IT基礎(chǔ)架構(gòu)庫”。它是英國國家計算機和電信局CCTA（現(xiàn)在已并入英國商務(wù)部）于80年代中期開始開發(fā)的一套針對IT行業(yè)的服務(wù)管理標(biāo)準(zhǔn)庫。ITIL產(chǎn)生的背景是，當(dāng)時英國政府為了提高政府部門IT服務(wù)的質(zhì)量，啟動一個項目來邀請國內(nèi)外知名IT廠商和專家共同開發(fā)一套規(guī)范化的、可進行財務(wù)計量的IT資源使用方法。這種方法應(yīng)該是獨立于廠商的并且可適用于不同規(guī)模、不同技術(shù)和業(yè)務(wù)需求的組織。這個項目的最終成果就是現(xiàn)在被廣泛認可的ITIL。ITIL雖然最初是為英國政府部門開發(fā)的，但它很快在英國企業(yè)中得到廣泛的應(yīng)用。在20世紀(jì)90年代初期，ITIL被介紹到歐洲的許多其它國家并這些國家得到應(yīng)用。到90年代中期ITIL已經(jīng)成為歐洲IT管理領(lǐng)域事實上的標(biāo)準(zhǔn)。90年代后期ITIL又被引入美國、南非和澳大利亞等國。90年代末，ITIL也被有關(guān)公司引入中國。ITIL是最佳實踐的總結(jié)：OGC（英國商務(wù)部）組織收集和分析各種有關(guān)組織如何解決服務(wù)管理問題等方面的信息，找出那些對本部門和在英國政府部門中的客戶有益的做法，最后形成了ITIL。ITIL的各部分之間并沒有嚴(yán)格的邏輯關(guān)系?；蛘哌@樣說，與一般的標(biāo)準(zhǔn)是先設(shè)計整體框架再細化各部分這種“自頂向下”的設(shè)計方式不同，ITIL的開發(fā)過程是“自下向上”的。實踐指南介紹-ITIL實踐指南介紹-ISO17799安全策略合規(guī)性信息安全組織資產(chǎn)管理信息系統(tǒng)獲取開發(fā)和維護人力資源安全物理和環(huán)境安全通信和操作管理訪問控制信息安全事件管理業(yè)務(wù)連續(xù)性管理實踐指南介紹-信息安全風(fēng)險評估規(guī)范信息安全風(fēng)險評估規(guī)范信息安全風(fēng)險管理指南信息安全事件分類分級指南信息安全事件管理指南信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范對指導(dǎo)組織網(wǎng)絡(luò)信息安全建設(shè)有重要指導(dǎo)意義！安全工作思路與原則思考：怎樣的信息安全工作算到位？沒出過安全事件？已經(jīng)部署了許多安全設(shè)備？全面、完整的安全制度？成熟的安全組織？安全工作成功的關(guān)鍵原則管理層的高度重視統(tǒng)一管理，總體協(xié)調(diào)同步規(guī)劃、同步建設(shè)、同步運行三分技術(shù)、七分管理內(nèi)外并重整體規(guī)劃，分步實施全民參與關(guān)鍵原則-領(lǐng)導(dǎo)層高度重視管理層的高度重視：公司管理層要高度重視網(wǎng)絡(luò)安全工作，并給予明確支持高層重視的優(yōu)勢：組織保障指明方向和目標(biāo)權(quán)威預(yù)算保障，提供所需的資源監(jiān)督檢查領(lǐng)導(dǎo)重視關(guān)鍵原則-領(lǐng)導(dǎo)層高度重視將行政管理角色注入安全業(yè)務(wù)中部門IS主管IS專員安全管理處接口資產(chǎn)管理部xxxxxxxx財務(wù)部……指定流程owner和監(jiān)控評審人員活動測量、改進領(lǐng)導(dǎo)（owner)資源記錄輸入輸出信息安全流程領(lǐng)導(dǎo)對安全工作的要求（1）要把安全問題做為當(dāng)前工作的重點高度重視網(wǎng)絡(luò)安全與應(yīng)急管理在網(wǎng)絡(luò)安全與應(yīng)急管理方面，網(wǎng)絡(luò)部負有雙重責(zé)任，一方面是職能責(zé)任，即集團公司網(wǎng)絡(luò)部承擔(dān)全集團的網(wǎng)絡(luò)與信息安全與應(yīng)急管理的責(zé)任，省公司網(wǎng)絡(luò)部承擔(dān)所在省公司的網(wǎng)絡(luò)信息安全與應(yīng)急管理的責(zé)任。因此，各級網(wǎng)絡(luò)部要主動推動所在公司各個范圍的網(wǎng)絡(luò)與信息安全及應(yīng)急管理工作的開展。另一方面是自身網(wǎng)絡(luò)與信息安全事故的責(zé)任，我們強調(diào)“誰主管誰負責(zé)”，出現(xiàn)問題網(wǎng)絡(luò)部要負責(zé)任，同時將責(zé)任進行層層分解。

——摘自李躍總《2006年網(wǎng)絡(luò)工作座談會總結(jié)》安全問題已時不我待。安全漏洞很多，我們當(dāng)前的重視還不夠。一方面是安全規(guī)則、安全規(guī)章、安全責(zé)任的建設(shè)，集團和各省都要加強。另一方面是手段建設(shè)要跟上去。安全不光依靠規(guī)則，一定要有手段。對內(nèi)部人員的登陸要有嚴(yán)格的管理規(guī)定，后臺操作要留有痕跡。對外來人員的進入，我們一定要限人、限時、限范圍，明確進入的時間、進入的目的誰放廠家的人進去誰就要負責(zé)檢查，出了問題要承擔(dān)責(zé)任。

——摘自李躍總《2006年中南五省一市關(guān)聯(lián)維護研討會的講話》緊急重要領(lǐng)導(dǎo)對安全工作的要求（2）李躍總在2008年全國網(wǎng)絡(luò)工作會上做了題為《狠抓網(wǎng)絡(luò)安全，確保奧運盛會》的重要講話，對網(wǎng)絡(luò)與信息安全工作做出重要指示：堅持集中化的網(wǎng)絡(luò)與信息安全體系建設(shè)

1、完善體系，強化能力與手段建設(shè)；

2、全網(wǎng)共同努力，快速完善、細化安全管理和安全技術(shù)要求；

3、進一步加大安全預(yù)警、安全作業(yè)執(zhí)行力度，完善安全考核指標(biāo)體系；

4、建設(shè)滿足要求的新一代安全防護系統(tǒng)；

5、堅持日常性的賬號口令管理系統(tǒng)、日志審計系統(tǒng)、集中防病毒系統(tǒng)、綜合接入網(wǎng)關(guān)等基礎(chǔ)安全防護手段建設(shè)，以手段促管理。關(guān)鍵原則-統(tǒng)一管理總體協(xié)調(diào)統(tǒng)一管理，總體協(xié)調(diào)：由信息安全管理相關(guān)單位牽頭，通過制定和貫徹流程將安全工作要點條理化，將人、標(biāo)準(zhǔn)、技術(shù)結(jié)合在一起，為管理層支持提供明確依據(jù)、為全民參與明確職責(zé)及分工界面，從而將各項安全要求真正落地。安全的建設(shè)應(yīng)和業(yè)務(wù)系統(tǒng)相結(jié)合，做到全程全網(wǎng)統(tǒng)一監(jiān)控和審計，統(tǒng)一管理。

關(guān)鍵原則-統(tǒng)一管理總體協(xié)調(diào)明確職能在公司統(tǒng)一企業(yè)治理框架下，作好IT相關(guān)的內(nèi)部控