關于信息安全工作的認識與體會課件

主要內(nèi)容一、國家高度重視信息安全二、我國信息安全主要工作開展情況三、國家信息安全保障體系介紹四、對園區(qū)信息安全的幾點建議22023/7/1國家安全戰(zhàn)略的演變和發(fā)展

冷戰(zhàn)結(jié)束后，各國面臨的安全問題和威脅日益增加并趨復雜化，傳統(tǒng)的以軍事安全為主要內(nèi)涵的國家安全和安全戰(zhàn)略受到?jīng)_擊，經(jīng)濟安全、金融安全、能源安全、信息安全、生態(tài)環(huán)境安全等諸多非傳統(tǒng)安全問題逐漸突出，非傳統(tǒng)威脅正在推動國家安全戰(zhàn)略的演變和發(fā)展。32023/7/1傳統(tǒng)安全與非傳統(tǒng)安全傳統(tǒng)安全主要是指國家的政治安全和軍事安全，即國家的生存不受威脅就國家外部安全而言，主要是指國家獨立，主權(quán)和領土完整，不存在軍事威脅和軍事入侵非傳統(tǒng)安全指除軍事、政治和外交沖突以外的其他因素也對主權(quán)國家及人類整體生存與發(fā)展構(gòu)成威脅國土安全、經(jīng)濟安全、文化安全、信息安全、社會安全等從不同的角度構(gòu)成直接對國家安全威脅的重要因素信息安全屬于非傳統(tǒng)安全42023/7/1黨的十六屆四中全會《決定》針對傳統(tǒng)安全威脅和非傳統(tǒng)安全威脅的因素相互交織的新情況，提出：增強國家安全意識完善國家安全戰(zhàn)略抓緊構(gòu)建維護國家安全的科學、協(xié)調(diào)、高效的工作機制《決定》還從全面應對傳統(tǒng)安全威脅和非傳統(tǒng)安全威脅著眼，重點提出了維護國家政治安全、經(jīng)濟安全、文化安全、信息安全、國防安全的重大任務。52023/7/1中央領導重要指示胡錦濤總書記“把信息安全放到至關重要的位置上，認真加以考慮和解決”。強調(diào)要從國家安全、社會穩(wěn)定、經(jīng)濟發(fā)展的高度去認識信息安全問題的極端重要性。62023/7/1中央領導重要指示溫家寶總理面對復雜多變的國際環(huán)境和互聯(lián)網(wǎng)的廣泛應用，我國信息安全問題日益突出。加入世界貿(mào)易組織、發(fā)展電子政務等，對信息安全保障提出了新的、更高的要求。主要內(nèi)容一、國家領導重視信息安全二、我國信息安全主要工作開展情況三、國家信息安全保障體系介紹四、對園區(qū)信息安全的幾點建議82023/7/1近年國家層面的主要工作完成國家信息安全頂層設計開展信息安全規(guī)劃管理體制和工作機制逐步建立基礎性工作和基礎設施建設取得較大進展

92023/7/1一、完成國家信息安全頂層設計《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號文件）我國第一個全面關于信息安全保障工作的文件，是我國今后一段時期內(nèi)信息安全保障工作的綱領性文件102023/7/1加強以密碼技術為基礎的信息保護和網(wǎng)絡信任體系：規(guī)范和加強以身份認證、授權(quán)管理、責任認定等為主要內(nèi)容的的網(wǎng)絡信任體系建設112023/7/1加強信息安全保障工作-總體要求：總體要求：堅持積極防御、綜合防范的方針，全面提高信息安全防護能力，重點保障基礎信息網(wǎng)絡和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網(wǎng)絡環(huán)境，保障和促進信息化發(fā)展，保護公眾利益，維護國家安全。122023/7/1加強信息安全保障工作-主要原則主要原則：立足國情，以我為主，堅持管理與技術并重；正確處理安全與發(fā)展的關系，以安全保發(fā)展，在發(fā)展中求安全；統(tǒng)籌規(guī)劃，突出重點，強化基礎性工作；明確國家、企業(yè)、個人的責任和義務，充分發(fā)揮各方面的積極性，共同構(gòu)筑國家信息安全保障體系。132023/7/1加強信息安全保障工作-九項任務一、加強信息安全保障工作的總體要求和主要原則二、實行信息安全等級保護三、加強以密碼技術為基礎的信息保護和網(wǎng)絡信任體系建設四、建設和完善信息安全監(jiān)控體系五、重視信息安全應急處理工作六、加強信息安全技術研究開發(fā)，推進信息安全產(chǎn)業(yè)發(fā)展七、加快信息安全人才培養(yǎng)，增強全民信息安全意識八、保證信息安全資金九、加強對信息安全保障工作的領導，建立健全信息安全管理責任制142023/7/1

國家中長期科學和技術發(fā)展規(guī)劃綱要明確未來15年信息安全技術發(fā)展重點：（1）掌握集成電路及關鍵元器件、大型軟件、高性能計算、寬帶無線移動通信、下一代網(wǎng)絡等核心技術；（2）開發(fā)網(wǎng)絡信息安全技術及相關產(chǎn)品，建立信息安全技術保障體系，具備防范各種信息安全突發(fā)事件的技術能力；（3）重點研究開發(fā)國家基礎信息網(wǎng)絡和重要信息系統(tǒng)中的安全保障技術，開發(fā)復雜大系統(tǒng)下的網(wǎng)絡生存、主動實時防護、安全存儲、網(wǎng)絡病毒防范、惡意攻擊防范、網(wǎng)絡信任體系與新的密碼技術等。152023/7/1《中華人民共和國國民經(jīng)濟和社會發(fā)展第十一個五年規(guī)劃綱要》積極防御、綜合防范，提高信息安全保障能力。強化安全監(jiān)控、應急響應、密鑰管理、網(wǎng)絡信任等信息安全基礎設施建設。加強基礎信息網(wǎng)絡和國家重要信息系統(tǒng)的安全防護。推進信息安全產(chǎn)品產(chǎn)業(yè)化。發(fā)展咨詢、測評、災備等專業(yè)化信息安全服務。健全安全等級保護、風險評估和安全準入制度?！靶畔踩Ｕ稀绷腥雵摇笆晃濉币?guī)劃，再顯中央對信息安全工作的重視程度。162023/7/1《2006－2020年國家信息化發(fā)展戰(zhàn)略》

提出了全面加強國家信息安全保障體系、增強國家信息安全保障能力的戰(zhàn)略目標。《戰(zhàn)略》是繼中辦發(fā)[2003]27號文件后提出的包括信息安全工作在內(nèi)的又一綱領性文件，172023/7/1《2006－2020年國家信息化發(fā)展戰(zhàn)略》其戰(zhàn)略任務可概括為完成信息安全保障六項工作和提高信息安全保障六大能力：1．信息安全保障六項工作可概括為：（1）建立和完善信息安全等級保護制度；（2）建設以密碼為基礎的網(wǎng)絡信任體系；（3）建設和完善信息安全監(jiān)控體系，加強網(wǎng)絡防范，防止有害信息傳播；（4）做好信息安全應急處置工作；（5）做好信息安全風險評估工作，綜合平衡安全成本和風險，確保重點，優(yōu)化信息安全資源配置；（6）促進資源共享，加強災難備份體系建設。182023/7/1《2006－2020年國家信息化發(fā)展戰(zhàn)略》提高信息安全保障六大能力：（1）信息安全核心產(chǎn)品和技術的自主創(chuàng)新能力；（2）信息安全人才保障能力；（3）信息安全法律保障能力；（4）信息安全基礎設施支撐能力；（5）網(wǎng)絡宣傳駕馭能力；（6）國際影響力。192023/7/1二、開展信息安全規(guī)劃國家發(fā)展與改革委積極布局國家“十一五”信息化發(fā)展規(guī)劃，并列專題研究了信息安全問題。《國家“十一五”科學技術發(fā)展規(guī)劃》規(guī)定：在信息領域，重點研究開發(fā)高性能CPU和面向網(wǎng)絡通信、信息家電、信息安全和工業(yè)控制的系統(tǒng)芯片；研究新一代網(wǎng)絡與通信關鍵技術、傳感器網(wǎng)絡與智能信息處理技術以及新型開放式架構(gòu)核心路由器、服務器和低成本網(wǎng)絡信息終端。國家“863”計劃根據(jù)國際信息安全技術發(fā)展態(tài)勢，結(jié)合我國信息安全技術實際應用需求，重點支持復雜系統(tǒng)下的網(wǎng)絡生存、主動實時防護、安全存儲、網(wǎng)絡病毒防范、網(wǎng)絡信任保障等技術和系統(tǒng)的研發(fā)。202023/7/1二、開展信息安全規(guī)劃《國家自然科學基金“十一五”發(fā)展規(guī)劃》在完善學科布局和部署優(yōu)先發(fā)展領域方面向信息科學研究傾斜，把信息安全領域中的可信計算、包括量子密碼的量子調(diào)控理論和技術作為未來五年的重點支持領域?！缎畔a(chǎn)業(yè)科技發(fā)展“十一五”規(guī)劃和2020年中長期規(guī)劃綱要》提出使集成電路在信息安全和國防安全領域的自給率達到70%以上的建設目標，并重點支持和發(fā)展密碼技術；安全處理芯片；電子認證、責任認定、授權(quán)管理；計算環(huán)境和終端安全處理；網(wǎng)絡和通信邊界安全；應急響應和災難恢復；信息安全測評等技術和相關產(chǎn)品。212023/7/1三、管理體制和工作機制逐步建立信息安全等級保護信息安全風險評估信息安全產(chǎn)品認證認可網(wǎng)絡信任體系建設222023/7/1管理體制和工作機制逐步建立

（1）信息安全等級保護《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號文件）

實行信息安全等級保護公安部等四部委聯(lián)合下發(fā)了《關于加強信息安全等級保護的意見》232023/7/1管理體制和工作機制逐步建立

（1）信息安全等級保護信息安全等級保護制度的主要工作內(nèi)容

信息安全等級保護是指：對國家秘密信息、法人和其他組織及公民的專有信息、公開信息分類分級進行管理和保護；對信息系統(tǒng)按業(yè)務安全應用域和區(qū)實行分級保護。對系統(tǒng)中使用的信息安全產(chǎn)品實行按分級許可管理。對等級系統(tǒng)的安全服務資質(zhì)分級許可管理。對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置。242023/7/1信息安全等級保護管理辦法頒布單位：公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室

安全等級名稱對國家安全、社會秩序、經(jīng)濟建設和公共利益的危害程度監(jiān)管方式第一級自主保護級無影響自主保護第二級指導保護級有一定損害政府職能部門指導下的自主保護第三級監(jiān)督保護級較大損害政府職能部門監(jiān)督下的嚴格保護第四級強制保護級嚴重損害政府職能部門的強制監(jiān)督和檢查下的嚴格保護第五級?？乇Ｗo級特別嚴重損害政府協(xié)助下由主管部門和使用單位實施專門控制和保護252023/7/1管理體制和工作機制逐步建立

（2）信息安全風險評估工作《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號文件）

要重視信息安全風險評估工作，對網(wǎng)絡與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護措施等進行分析評估，綜合考慮網(wǎng)絡與信息系統(tǒng)的重要性、涉密程度和面臨的風險等因素，進行相應等級的安全建設和管理。262023/7/1《關于開展信息安全風險評估工作的意見》（國信辦[2006]5號）什么是信息安全風險評估信息安全風險評估是從風險管理角度，運用科學的方法和手段，系統(tǒng)地分析網(wǎng)絡與信息系統(tǒng)所面臨的威脅及其存在地脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施。目的是：為防范和化解信息安全風險，或者將風險控制在可接受的水平，從而最大限度地保障網(wǎng)絡和信息系統(tǒng)提供科學依據(jù)。272023/7/1管理體制和工作機制逐步建立

（3）信息安全產(chǎn)品認證認可認監(jiān)委等八部委聯(lián)合發(fā)下發(fā)了《關于建立國家信息安全產(chǎn)品認證認可體系的通知》2005年4月19日國家信息安全產(chǎn)品認證管理委員會成立，這標志著我國建立統(tǒng)一的信息安全產(chǎn)品認證認可體系已進入實質(zhì)性的實施階段。282023/7/1管理體制和工作機制逐步建立

（4）網(wǎng)絡信任體系建設

《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號文件）

加強以密碼技術為基礎的信息保護和網(wǎng)絡信任體系建設

2006年2月國務院辦公廳下發(fā)《關于網(wǎng)絡信任體系建設若干意見的通知》（國辦發(fā)[2006]11號）。對網(wǎng)絡信任體系建設提出了總體要求。292023/7/1電子簽名已得到廣泛的承認：

2004年全國人大常委會通過了《電子簽名法》

2005年信息產(chǎn)業(yè)部制定了《電子認證服務管理辦法》管理體制和工作機制逐步建立

（4）網(wǎng)絡信任體系建設302023/7/1管理體制和工作機制逐步建立

（5）信息安全應急協(xié)調(diào)機制建設《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號文件）

重視信息安全應急處理工作2004年8月成立了國家網(wǎng)絡與信息安全通報中心2005年4月,國信辦發(fā)布了《關于做好重要信息系統(tǒng)災難備份工作的通知》312023/7/1四、基礎性工作和基礎設施建設取得較大進展

（1）信息安全標準化工作2002年4月15日，全國信息安全標準化技術委員會在北京正式成立322023/7/1該標委會是在信息安全的專業(yè)領域內(nèi)，從事信息安全標準化工作的技術工作組織。它的工作任務是向國家標準化管理委員會提出本專業(yè)標準化工作的方針、政策和技術措施的建議。四、基礎性工作和基礎設施建設取得較大進展

（1）信息安全標準化工作332023/7/1四、基礎性工作和基礎設施建設取得較大進展

（2）信息安全法制取得進步隨著信息網(wǎng)絡廣泛應用于社會政治、經(jīng)濟和文化生活的各個領域，信息安全、知識產(chǎn)權(quán)、消費者權(quán)益保護、個人隱私和商業(yè)秘密保護、傳統(tǒng)文化與道德沖突等問題越來越突出。要及時研究新情況、新問題，有針對性地制訂相應的監(jiān)管政策和法律法規(guī)，形成有效的管理機制。342023/7/1四、基礎性工作和基礎設施建設取得較大進展

（3）技術研究和產(chǎn)業(yè)取得重要成果《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號文件）

加強信息安全技術研究開發(fā)，推進信息安全產(chǎn)業(yè)發(fā)展國家發(fā)改委重點支持18個信息安全產(chǎn)業(yè)化項目、兩個研究中心、兩個國家信息安全基礎設施建設項目。國家863計劃共有48個信息安全課題立項。全年國內(nèi)信息安全市場總量估計達到28.7億元。352023/7/1四、基礎性工作和基礎設施建設取得較大進展

（4）加強信息安全學科、專業(yè)建設和人才培養(yǎng)工作《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號文件）

加快信息安全人才培養(yǎng)，增強全民信息安全意識教育部起草了《教育部關于進一步加強信息安全學科、專業(yè)建設和人才培養(yǎng)工作的意見》。據(jù)2006年初的統(tǒng)計數(shù)據(jù)，教育部共批準42所本科、38所?？圃盒ｉ_設信息安全專業(yè)。2006年初，在校的本科生達到9,182人，?？粕_到3,787人。中國科學院研究生院、北京郵電大學、西安電子科技大學、上海交通大學、西北工業(yè)大學等相繼設置了信息安全或網(wǎng)絡與信息安全的博士點。

全國從事信息安全工作的專職人員大幅增長。主要內(nèi)容一、國家領導重視信息安全二、我國信息安全主要工作開展情況三、國家信息安全保障體系介紹四、對園區(qū)信息安全的幾點建議372023/7/1組織管理技術保障信息安全基礎設施產(chǎn)業(yè)支撐人材教育和培養(yǎng)法規(guī)與標準國家信息安全保障體系一個體系、六個要素國家信息安全保障體系框架382023/7/1國家信息安全保障工作要點

實行信息安全等級保護制度：風險與成本、資源優(yōu)化配置、安全風險評估基于密碼技術網(wǎng)絡信任體系建設：密碼管理體制、身份認證、授權(quán)管理、責任認定建設信息安全監(jiān)控體系：提高對網(wǎng)絡攻擊、病毒入侵、網(wǎng)絡失竊密、有害信息的防范能力重視信息安全應急處理工作：指揮、響應、協(xié)調(diào)、通報、支援、抗毀、災備推動信息安全技術研發(fā)與產(chǎn)業(yè)發(fā)展：關鍵技術、自主創(chuàng)新、強化可控、引導與市場、測評認證、采購、服務信息安全法制與標準建設：信息安全法、打擊網(wǎng)絡犯罪、標準體系、規(guī)范網(wǎng)絡行為信息安全人材培養(yǎng)與增強安全意識：學科、培訓、意識、技能、自律、守法信息安全組織建設：信息安全協(xié)調(diào)小組、責任制、依法管理主要內(nèi)容一、國家領導重視信息安全二、我國信息安全主要工作開展情況三、國家信息安全保障體系介紹四、對園區(qū)信息安全的幾點建議402023/7/1安全威脅日益嚴重復合威脅：蠕蟲、病毒、特洛伊木馬黑客攻擊基礎設施Flash威脅大規(guī)模蠕蟲侵入分布式Dos攻擊可加載病毒和蠕蟲（如腳本病毒….）1980s1990s2000sToday威脅發(fā)生的頻率－加快威脅的種類－劇增攻擊對象－變廣攻擊源－變強412023/7/1

面對層出不窮的安全漏洞和各式各樣的威脅，簡單的產(chǎn)品堆疊無法保證組織的信息安全！員工Hacks/Cracks自然界和環(huán)境威脅內(nèi)部人員的操作失誤或惡意行為系統(tǒng)故障信息及相關資源其他問題蠕蟲、木馬病毒泛濫422023/7/1實例3000萬機房2路