关于信息安全工作的认识与体会
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
25 2018/10/23
《关于开展信息安全风险评估工作的意见》 (国信办 [2006]5号)
• 什么是信息安全风险评估
– 信息安全风险评估是从风险管理角度,运用科 学的方法和手段,系统地分析网络与信息系统 所面临的威胁及其存在地脆弱性,评估安全事 件一旦发生可能造成的危害程度,提出有针对 性的抵御威胁的防护对策和整改措施。 – 目的是:为防范和化解信息安全风险,或者将 风险控制在可接受的水平,从而最大限度地保 障网络和信息系统提供科学依据。
2002年4月15日,全国信息安全标准化技术委员会在北京正式成立
31
2018/10/23
四、基础性工作和基础设施建设取得较大进展 (1)信息安全标准化工作
• 该标委会是在信息安全的专业领域内,从
对网络信任体系建设提出了总体要求。
28
2018/10/23
管理体制和工作机制逐步建立 (4)网络信任体系建设
电子签名已得到广泛的承认: 2004年全国人大常委会通过了《电子签名法》 2005年信息产业部制定了《电子认证服务管理办法》
29
2018/10/23
管理体制和工作机制逐步建立 (5)信息安全应急协调机制建设
16
2018/10/23
《2006-2020年国家信息化发展战略》
• 其战略任务可概括为完成信息安全保障六项工作和提高信 息安全保障六大能力: • 1.信息安全保障六项工作可概括为: • (1)建立和完善信息安全等级保护制度; • (2)建设以密码为基础的网络信任体系; • (3)建设和完善信息安全监控体系,加强网络防范, 防止有害信息传播; • (4)做好信息安全应急处置工作; • (5)做好信息安全风险评估工作,综合平衡安全成本 和风险,确保重点,优化信息安全资源配置; • (6)促进资源共享,加强灾难备份体系建设。
一、完成国家信息安全顶层设计
• 《国家信息化领导小组关于加强信息安全 保障工作的意见》(中办发[2003]27号文件) • 我国第一个全面关于信息安全保障工作的 文件,是我国今后一段时期内信息安全保 障工作的纲领性文件
9
2018/10/23
加强以密码技术为基础的信息 保护和网络信任体系:规范和 加强以身份认证、授权管理、 责任认定等为主要内容的的网 络信任体系建设
2 2018/10/23
传统安全与非传统安全
• 传统安全主要是指国家的政治安全和军事安全,即国家的 生存不受威胁 • 就国家外部安全而言,主要是指国家独立,主权和领土完 整,不存在军事威胁和军事入侵 • 非传统安全指除军事、政治和外交冲突以外的其他因素也 对主权国家及人类整体生存与发展构成威胁 • 国土安全、经济安全、文化安全、信息安全、社会安全等
18 2018/10/23
二、开展信息安全规划
• 国家发展与改革委积极布局国家“十一五”信息 化发展规划,并列专题研究了信息安全问题。 • 《国家“十一五”科学技术发展规划》规定:在 信息领域,重点研究开发高性能CPU和面向网络 通信、信息家电、信息安全和工业控制的系统芯 片;研究新一代网络与通信关键技术、传感器网 络与智能信息处理技术以及新型开放式架构核心 路由器、服务器和低成本网络信息终端。 • 国家 “863”计划根据国际信息安全技术发展态势 ,结合我国信息安全技术实际应用需求,重点支 持复杂系统下的网络生存、主动实时防护、安全 存储、网络病毒防范、网络信任保障等技术和系 统的研发。
九、加强对信息安全保障工作的领导,建立健全信息安全管理责任制
13
2018/10/23
国家中长期科学和技术发展规划纲要
• 明确未来15年信息安全技术发展重点:
• (1)掌握集成电路及关键元器件、大型软件、高性能计 算、宽带无线移动通信、下一代网络等核心技术; • (2)开发网络信息安全技术及相关产品,建立信息安全 技术保障体系,具备防范各种信息安全突发事件的技术能 力; • (3)重点研究开发国家基础信息网络和重要信息系统中 的安全保障技术,开发复杂大系统下的网络生存、主动实 时防护、安全存储、网络病毒防范、恶意攻击防范、网络 信任体系与新的密码技术等。
2018/10/23
管理体制和工作机制逐步建立 (4)网络信任体系建设
《国家信息化领导小组关于加强信息安全保障工 作的意见》(中办发[2003]27号文件)
加强以密码技术为基础的信息保护和网络信任体系建设
2006年2月国务院办公厅下发《关于网络信任体
系建设若干意见的通知》(国办发[2006]11号) 。
对信息系统按业务安全应用域和区实行分级保护。
对系统中使用的信息安全产品实行按分级许可管理。 对等级系统的安全服务资质分级许可管理。 对信息系统中发生的信息安全事件分等级响应、处置。
23
2018/10/23
信息安全等级保护管理办法
颁布单位:公安部、国家保密局、国家密码管理局、国务院信息化工作办公室 安全 等级 第一级 名称 对国家安全、社会秩序、经济 建设和公共利益的危害程度 无影响 有一定损害 监管方式
26 2018/10/23
管理体制和工作机制逐步建立 (3)信息安全产品认证认可
• 认监委等八部委联合发下发了《关于建立 国家信息安全产品认证认可体系的通知》 • 2005年4月19日国家信息安全产品认证管 理委员会成立,这标志着我国建立统一的 信息安全产品认证认可体系已进入实质性 的实施阶段。
27
自主保护级 指导保护级
自主保护 政府职能部门指导下的自 主保护
第二级
监督保护级
第三级 强制保护级 第四级 专控保护级 第五级
较大损害
政府职能部门监督下的严 格保护
政府职能部门的强制监督 和检查下的严格保护 政府协助下由主管部门和 使用单位实施专门控制和 保护
24 2018/10/23
严重损害
特别严重损害
14
2018/10/23
《中华人民共和国国民经济和社会发展第十一个五年规划纲要》
• 积极防御、综合防范,提高信息安全保障能力。 强化安全监控、应急响应、密钥管理、网络信任 等信息安全基础设施建设。加强基础信息网络和 国家重要信息系统的安全防护。推进信息安全产 品产业化。发展咨询、测评、灾备等专业化信息 安全服务。健全安全等级保护、风险评估和安全 准入制度。
《国家信息化领导小组关于加强信息安全保障工作 的意见》(中办发[2003]27号文件)
•
重视信息安全应急处理工作
• 2004年8月成立了国家网络与信息安全通报中心
• 2005年4月,国信办发布了《关于做好重要信息系
统灾难备份工作的通知》
30
2018/10/23
四、基础性工作和基础设施建设取得较大进展 (1)信息安全标准化工作
• “信息安全保障”列入国家“十一五”规划,再 显中央对信息安全工作的重视程度。
15
2018/10/23
《2006-2020年国家信息化发展战略》
•
提出了全面加强国家信息安全保障体系 、增强国家信息安全保障能力的战略目标 。 • 《战略》是继中办发[2003]27号文件后提出 的包括信息安全工作在内的又一纲领性文 件,
管理体制和工作机制逐步建立 (2)信息安全风险评估工作
• 《国家信息化领导小组关于加强信息安全保障工 作的意见》(中办发[2003]27号文件)
• 要重视信息安全风险评估工作,对网络与 信息系统安全的潜在威胁、薄弱环节、防 护措施等进行分析评估,综合考虑网络与 信息系统的重要性、涉密程度和面临的风 险等因素,进行相应等级的安全建设和管 理。
4
2018/10/23
中央领导重要指示
• 胡锦涛总书记 “把信息安全放到至关重要的位置上 ,认真加以考虑和解决”。 强调要从国家安全、社会稳定、经济 发展的高度去认识信息安全问题的极 端重要性。
5
2018/10/23
中央领导重要指示
• 温家宝总理 面对复杂多变的国际环境和互联网 的广泛应用,我国信息安全问题日益 突出。加入世界贸易组织、发展电子 政务等,对信息安全保障提出了新的 、更高的要求。
10 2018/10/23
加强信息安全保障工作-总体要求:
• 总体要求: – 坚持积极防御、综合防范的方针, – 全面提高信息安全防护能力, – 重点保障基础信息网络和重要信息系统安全, – 创建安全健康的网络环境, – 保障和促进信息化发展, – 保护公众利益,维护国家安全。
11
2018/10/23
从不同的角度构成直接对国家安全威胁的重要因素
信息安全属于非传统安全
3 2018/10/23
党的十六届四中全会《决定》
• 针对传统安全威胁和非传统安全威胁的因素相互交织的新 情况,提出: – 增强国家安全意识 – 完善国家安全战略 – 抓紧构建维护国家安全的科学、协调、高效的工作机 制
• 《决定》还从全面应对传统安全威胁和非传统安全威胁着 眼,重点提出了维护国家政治安全、经济安全、文化安全 、信息安全、国防安全的重大任务。
加强信息安全保障工作-主要原则
• 主要原则:
– 立足国情,以我为主, – 坚持管理与技术并重; – 正确处理安全与发展的关系,以安全保发展, 在发展中求安全; – 统筹规划,突出重点,强化基础性工作; – 明确国家、企业、个人的责任和义务,充分发 挥各方面的积极性,共同构筑国家信息安全保 障体系。
wenku.baidu.com
17
2018/10/23
《2006-2020年国家信息化发展战略》
• 提高信息安全保障六大能力: • (1)信息安全核心产品和技术的自主创新 能力; • (2)信息安全人才保障能力; • (3)信息安全法律保障能力; • (4)信息安全基础设施支撑能力; • (5)网络宣传驾驭能力; • (6)国际影响力。
主要内容
一、国家高度重视信息安全
二、我国信息安全主要工作开展情况
三、国家信息安全保障体系介绍 四、对园区信息安全的几点建议
国家安全战略的演变和发展
冷战结束后,各国面临的安全问题和威
胁日益增加并趋复杂化,传统的以军事安
全为主要内涵的国家安全和安全战略受到
冲击,经济安全、金融安全、能源安全、 信息安全、生态环境安全等诸多非传统安 全问题逐渐突出,非传统威胁正在推动国 家安全战略的演变和发展。
6
2018/10/23
主要内容
一、国家领导重视信息安全
二、我国信息安全主要工作开展情况
三、国家信息安全保障体系介绍 四、对园区信息安全的几点建议
近年国家层面的主要工作
• • • •
完成国家信息安全顶层设计 开展信息安全规划 管理体制和工作机制逐步建立 基础性工作和基础设施建设取得较大进展
8
2018/10/23
20 2018/10/23
三、管理体制和工作机制逐步建立
• • • •
信息安全等级保护 信息安全风险评估 信息安全产品认证认可 网络信任体系建设
21
2018/10/23
管理体制和工作机制逐步建立 (1)信息安全等级保护
• 《国家信息化领导小组关于加强信息安全保障工 作的意见》(中办发[2003]27号文件)
19 2018/10/23
二、开展信息安全规划
• 《国家自然科学基金“十一五”发展规划》在完 善学科布局和部署优先发展领域方面向信息科学 研究倾斜,把信息安全领域中的可信计算、包括 量子密码的量子调控理论和技术作为未来五年的 重点支持领域。 • 《信息产业科技发展“十一五”规划和2020年中 长期规划纲要》提出使集成电路在信息安全和国 防安全领域的自给率达到70%以上的建设目标, 并重点支持和发展密码技术;安全处理芯片;电 子认证、责任认定、授权管理;计算环境和终端 安全处理;网络和通信边界安全;应急响应和灾 难恢复;信息安全测评等技术和相关产品。
•
实行信息安全等级保护
• 公安部等四部委联合下发了《关于加强信 息安全等级保护的意见》
22
2018/10/23
管理体制和工作机制逐步建立 (1)信息安全等级保护
信息安全等级保护制度的主要工作内容 信息安全等级保护是指:对国家秘密信息、法人和其他组织及公 民的专有信息、公开信息分类分级进行管理和保护;
12 2018/10/23
加强信息安全保障工作-九项任务
一、加强信息安全保障工作的总体要求和主要原则 二、实行信息安全等级保护 三、加强以密码技术为基础的信息保护和网络信任体系建设 四、建设和完善信息安全监控体系 五、重视信息安全应急处理工作
六、加强信息安全技术研究开发,推进信息安全产业发展
七、加快信息安全人才培养,增强全民信息安全意识 八、保证信息安全资金
《关于开展信息安全风险评估工作的意见》 (国信办 [2006]5号)
• 什么是信息安全风险评估
– 信息安全风险评估是从风险管理角度,运用科 学的方法和手段,系统地分析网络与信息系统 所面临的威胁及其存在地脆弱性,评估安全事 件一旦发生可能造成的危害程度,提出有针对 性的抵御威胁的防护对策和整改措施。 – 目的是:为防范和化解信息安全风险,或者将 风险控制在可接受的水平,从而最大限度地保 障网络和信息系统提供科学依据。
2002年4月15日,全国信息安全标准化技术委员会在北京正式成立
31
2018/10/23
四、基础性工作和基础设施建设取得较大进展 (1)信息安全标准化工作
• 该标委会是在信息安全的专业领域内,从
对网络信任体系建设提出了总体要求。
28
2018/10/23
管理体制和工作机制逐步建立 (4)网络信任体系建设
电子签名已得到广泛的承认: 2004年全国人大常委会通过了《电子签名法》 2005年信息产业部制定了《电子认证服务管理办法》
29
2018/10/23
管理体制和工作机制逐步建立 (5)信息安全应急协调机制建设
16
2018/10/23
《2006-2020年国家信息化发展战略》
• 其战略任务可概括为完成信息安全保障六项工作和提高信 息安全保障六大能力: • 1.信息安全保障六项工作可概括为: • (1)建立和完善信息安全等级保护制度; • (2)建设以密码为基础的网络信任体系; • (3)建设和完善信息安全监控体系,加强网络防范, 防止有害信息传播; • (4)做好信息安全应急处置工作; • (5)做好信息安全风险评估工作,综合平衡安全成本 和风险,确保重点,优化信息安全资源配置; • (6)促进资源共享,加强灾难备份体系建设。
一、完成国家信息安全顶层设计
• 《国家信息化领导小组关于加强信息安全 保障工作的意见》(中办发[2003]27号文件) • 我国第一个全面关于信息安全保障工作的 文件,是我国今后一段时期内信息安全保 障工作的纲领性文件
9
2018/10/23
加强以密码技术为基础的信息 保护和网络信任体系:规范和 加强以身份认证、授权管理、 责任认定等为主要内容的的网 络信任体系建设
2 2018/10/23
传统安全与非传统安全
• 传统安全主要是指国家的政治安全和军事安全,即国家的 生存不受威胁 • 就国家外部安全而言,主要是指国家独立,主权和领土完 整,不存在军事威胁和军事入侵 • 非传统安全指除军事、政治和外交冲突以外的其他因素也 对主权国家及人类整体生存与发展构成威胁 • 国土安全、经济安全、文化安全、信息安全、社会安全等
18 2018/10/23
二、开展信息安全规划
• 国家发展与改革委积极布局国家“十一五”信息 化发展规划,并列专题研究了信息安全问题。 • 《国家“十一五”科学技术发展规划》规定:在 信息领域,重点研究开发高性能CPU和面向网络 通信、信息家电、信息安全和工业控制的系统芯 片;研究新一代网络与通信关键技术、传感器网 络与智能信息处理技术以及新型开放式架构核心 路由器、服务器和低成本网络信息终端。 • 国家 “863”计划根据国际信息安全技术发展态势 ,结合我国信息安全技术实际应用需求,重点支 持复杂系统下的网络生存、主动实时防护、安全 存储、网络病毒防范、网络信任保障等技术和系 统的研发。
九、加强对信息安全保障工作的领导,建立健全信息安全管理责任制
13
2018/10/23
国家中长期科学和技术发展规划纲要
• 明确未来15年信息安全技术发展重点:
• (1)掌握集成电路及关键元器件、大型软件、高性能计 算、宽带无线移动通信、下一代网络等核心技术; • (2)开发网络信息安全技术及相关产品,建立信息安全 技术保障体系,具备防范各种信息安全突发事件的技术能 力; • (3)重点研究开发国家基础信息网络和重要信息系统中 的安全保障技术,开发复杂大系统下的网络生存、主动实 时防护、安全存储、网络病毒防范、恶意攻击防范、网络 信任体系与新的密码技术等。
2018/10/23
管理体制和工作机制逐步建立 (4)网络信任体系建设
《国家信息化领导小组关于加强信息安全保障工 作的意见》(中办发[2003]27号文件)
加强以密码技术为基础的信息保护和网络信任体系建设
2006年2月国务院办公厅下发《关于网络信任体
系建设若干意见的通知》(国办发[2006]11号) 。
对信息系统按业务安全应用域和区实行分级保护。
对系统中使用的信息安全产品实行按分级许可管理。 对等级系统的安全服务资质分级许可管理。 对信息系统中发生的信息安全事件分等级响应、处置。
23
2018/10/23
信息安全等级保护管理办法
颁布单位:公安部、国家保密局、国家密码管理局、国务院信息化工作办公室 安全 等级 第一级 名称 对国家安全、社会秩序、经济 建设和公共利益的危害程度 无影响 有一定损害 监管方式
26 2018/10/23
管理体制和工作机制逐步建立 (3)信息安全产品认证认可
• 认监委等八部委联合发下发了《关于建立 国家信息安全产品认证认可体系的通知》 • 2005年4月19日国家信息安全产品认证管 理委员会成立,这标志着我国建立统一的 信息安全产品认证认可体系已进入实质性 的实施阶段。
27
自主保护级 指导保护级
自主保护 政府职能部门指导下的自 主保护
第二级
监督保护级
第三级 强制保护级 第四级 专控保护级 第五级
较大损害
政府职能部门监督下的严 格保护
政府职能部门的强制监督 和检查下的严格保护 政府协助下由主管部门和 使用单位实施专门控制和 保护
24 2018/10/23
严重损害
特别严重损害
14
2018/10/23
《中华人民共和国国民经济和社会发展第十一个五年规划纲要》
• 积极防御、综合防范,提高信息安全保障能力。 强化安全监控、应急响应、密钥管理、网络信任 等信息安全基础设施建设。加强基础信息网络和 国家重要信息系统的安全防护。推进信息安全产 品产业化。发展咨询、测评、灾备等专业化信息 安全服务。健全安全等级保护、风险评估和安全 准入制度。
《国家信息化领导小组关于加强信息安全保障工作 的意见》(中办发[2003]27号文件)
•
重视信息安全应急处理工作
• 2004年8月成立了国家网络与信息安全通报中心
• 2005年4月,国信办发布了《关于做好重要信息系
统灾难备份工作的通知》
30
2018/10/23
四、基础性工作和基础设施建设取得较大进展 (1)信息安全标准化工作
• “信息安全保障”列入国家“十一五”规划,再 显中央对信息安全工作的重视程度。
15
2018/10/23
《2006-2020年国家信息化发展战略》
•
提出了全面加强国家信息安全保障体系 、增强国家信息安全保障能力的战略目标 。 • 《战略》是继中办发[2003]27号文件后提出 的包括信息安全工作在内的又一纲领性文 件,
管理体制和工作机制逐步建立 (2)信息安全风险评估工作
• 《国家信息化领导小组关于加强信息安全保障工 作的意见》(中办发[2003]27号文件)
• 要重视信息安全风险评估工作,对网络与 信息系统安全的潜在威胁、薄弱环节、防 护措施等进行分析评估,综合考虑网络与 信息系统的重要性、涉密程度和面临的风 险等因素,进行相应等级的安全建设和管 理。
4
2018/10/23
中央领导重要指示
• 胡锦涛总书记 “把信息安全放到至关重要的位置上 ,认真加以考虑和解决”。 强调要从国家安全、社会稳定、经济 发展的高度去认识信息安全问题的极 端重要性。
5
2018/10/23
中央领导重要指示
• 温家宝总理 面对复杂多变的国际环境和互联网 的广泛应用,我国信息安全问题日益 突出。加入世界贸易组织、发展电子 政务等,对信息安全保障提出了新的 、更高的要求。
10 2018/10/23
加强信息安全保障工作-总体要求:
• 总体要求: – 坚持积极防御、综合防范的方针, – 全面提高信息安全防护能力, – 重点保障基础信息网络和重要信息系统安全, – 创建安全健康的网络环境, – 保障和促进信息化发展, – 保护公众利益,维护国家安全。
11
2018/10/23
从不同的角度构成直接对国家安全威胁的重要因素
信息安全属于非传统安全
3 2018/10/23
党的十六届四中全会《决定》
• 针对传统安全威胁和非传统安全威胁的因素相互交织的新 情况,提出: – 增强国家安全意识 – 完善国家安全战略 – 抓紧构建维护国家安全的科学、协调、高效的工作机 制
• 《决定》还从全面应对传统安全威胁和非传统安全威胁着 眼,重点提出了维护国家政治安全、经济安全、文化安全 、信息安全、国防安全的重大任务。
加强信息安全保障工作-主要原则
• 主要原则:
– 立足国情,以我为主, – 坚持管理与技术并重; – 正确处理安全与发展的关系,以安全保发展, 在发展中求安全; – 统筹规划,突出重点,强化基础性工作; – 明确国家、企业、个人的责任和义务,充分发 挥各方面的积极性,共同构筑国家信息安全保 障体系。
wenku.baidu.com
17
2018/10/23
《2006-2020年国家信息化发展战略》
• 提高信息安全保障六大能力: • (1)信息安全核心产品和技术的自主创新 能力; • (2)信息安全人才保障能力; • (3)信息安全法律保障能力; • (4)信息安全基础设施支撑能力; • (5)网络宣传驾驭能力; • (6)国际影响力。
主要内容
一、国家高度重视信息安全
二、我国信息安全主要工作开展情况
三、国家信息安全保障体系介绍 四、对园区信息安全的几点建议
国家安全战略的演变和发展
冷战结束后,各国面临的安全问题和威
胁日益增加并趋复杂化,传统的以军事安
全为主要内涵的国家安全和安全战略受到
冲击,经济安全、金融安全、能源安全、 信息安全、生态环境安全等诸多非传统安 全问题逐渐突出,非传统威胁正在推动国 家安全战略的演变和发展。
6
2018/10/23
主要内容
一、国家领导重视信息安全
二、我国信息安全主要工作开展情况
三、国家信息安全保障体系介绍 四、对园区信息安全的几点建议
近年国家层面的主要工作
• • • •
完成国家信息安全顶层设计 开展信息安全规划 管理体制和工作机制逐步建立 基础性工作和基础设施建设取得较大进展
8
2018/10/23
20 2018/10/23
三、管理体制和工作机制逐步建立
• • • •
信息安全等级保护 信息安全风险评估 信息安全产品认证认可 网络信任体系建设
21
2018/10/23
管理体制和工作机制逐步建立 (1)信息安全等级保护
• 《国家信息化领导小组关于加强信息安全保障工 作的意见》(中办发[2003]27号文件)
19 2018/10/23
二、开展信息安全规划
• 《国家自然科学基金“十一五”发展规划》在完 善学科布局和部署优先发展领域方面向信息科学 研究倾斜,把信息安全领域中的可信计算、包括 量子密码的量子调控理论和技术作为未来五年的 重点支持领域。 • 《信息产业科技发展“十一五”规划和2020年中 长期规划纲要》提出使集成电路在信息安全和国 防安全领域的自给率达到70%以上的建设目标, 并重点支持和发展密码技术;安全处理芯片;电 子认证、责任认定、授权管理;计算环境和终端 安全处理;网络和通信边界安全;应急响应和灾 难恢复;信息安全测评等技术和相关产品。
•
实行信息安全等级保护
• 公安部等四部委联合下发了《关于加强信 息安全等级保护的意见》
22
2018/10/23
管理体制和工作机制逐步建立 (1)信息安全等级保护
信息安全等级保护制度的主要工作内容 信息安全等级保护是指:对国家秘密信息、法人和其他组织及公 民的专有信息、公开信息分类分级进行管理和保护;
12 2018/10/23
加强信息安全保障工作-九项任务
一、加强信息安全保障工作的总体要求和主要原则 二、实行信息安全等级保护 三、加强以密码技术为基础的信息保护和网络信任体系建设 四、建设和完善信息安全监控体系 五、重视信息安全应急处理工作
六、加强信息安全技术研究开发,推进信息安全产业发展
七、加快信息安全人才培养,增强全民信息安全意识 八、保证信息安全资金