我国信息安全面临的挑战及应对措施(PPT 68页)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
•4
1、我国信息基础设施安全问题突出
(1)CNVD通报漏洞风险339个。 (2)发现境内52324个网站被植入后门,同比增 长213.7%。 (3)网络钓鱼猖獗,全年发现针对我网站的网络 钓鱼页面22308个。 (4)移动互联网恶意程序样本162981个,较2011 年增长25倍,其中82.5%针对安卓平台。 (5)发现流量大于1G的DDOS攻击1022起,为 2011年3倍。
•21
(6)加强信息安全技术研究开发,推进信 息安全产业发展。 (7)加强信息安全法制建设和标准化建设。 (8)加强信息安全人才培养,增强全民信 息安全意识。 (9)保证信息安全资金。 (10)加强对信息安全保障工作的领导,建 立健全信息安全管理责任制。
•22
3、2012年国务院23号文件
2012年5月9日,国务院召开国务院常务会议, 研究部署推进信息化发展,保障信息安全工作。6 月28日国 务院正式发布了会议通过的《国务院关于 大力推进信息化发展和切实保障信息安全的若干意 见》,即国发[2012]23号文件。
我国信息安全 面临的挑战及应对措施
2013.07.02
2012年11月8日党的十八大报告指出:
粮食安全、能源资源安全、网络安全等全球性问题 更加突出。 建设下一代信息基础设施,发展现代信息技术产业 体系,健全信息安全保障体系,推进信息网络技术 广泛运用。 与时俱进加强军事战略指导,高度关注海洋、太空、 网络空间安全。
( 3)境外敌对势力通过植入后门或仿冒等,仿 冒境内网站的境外IP美国占83.2%。
•6
(二)新技术、新应用的出现带来信息安全 新问题
1、工业控制系统安全引起严重关切
以计算机技术为基础的工业控制系统(ICS,俗 称工控机)早已应用于工业生产和军事装备,而且 广泛用于与人们日常生活密切相关的金融(如ATM 机)、供水、供电、物流、照明和车辆等领域。
•11
二是个人数据、隐私泄露问题。个人帐号、密码、 照片、位置、行程、通信记录、人际关系直至个人 生活记录等在移动终端上应有尽有,一旦泄露,轻 则危及个人信息安全,重则危及个人隐私、工作秘 密,甚至生命安全。 三是移动支付存在安全隐患。手机常用作交易、资 金支付的手段,易于出现安全问题。
移动智能终端安全 防护,有赖于出台有关法律 法规和标准,更需要企业增进防护措施,用户自身 应提高防范意识。
•17
(一)法律法规制定
1、1994年中华人民共和国计算机信息系统 安全保护条例
1994年2月18日,中华人民共和国国务院发布147 号令, 颁布了行政法规《中华人民共和国计算机信息系统安全保护 条例》(以下简称《条例》)。该条例共分五章三十一条:
第一章总则,第一条至第七条 第二章安全保护制度,第八条至第十六条 第三章安全监督,第十七条至第十九条 第四章法律责任,第二十条至二十七条 第五章附则,第二十八条至三十一条。
工控系统从单机发展到专网,继而逐步进入局 域网、广域网、互联网,使各类控制系统暴露在网络 攻击之下,事故频频出现,给信息安全带来新忧患 。
•7
2010年美、以制造的工控STUXNET蠕虫(国内 称震网病毒、超级病毒等)攻击了伊朗核设施,使 伊朗核计划推迟一至两年。成为所谓“APT"(先进 持续攻击)的新例证。
•10
3、智能移动终端的安全问Baidu Nhomakorabea复杂
2009年我国从2G手机跨入了3G时代,各类智能 手机、平板电脑等智能化的移动终端呈现爆炸式增 长,已跃居世界首位,由此催生出移动互联网时代。 智能移动终端、移动互联网的发展,极大地推动了 经济、社会的发展。同时其安全也凸现出来,据腾 信发布的手机安全报告:
一是移动终端上计算机病毒、木马等恶意软件 大规模繁衍,2013年一季度仅腾信就发现病毒样本 97367个,其中95%从安卓系统截获。
同时,云计算存在明显的安全隐患。由于云计算尚处于 发展初期,国际国内都缺乏统一技术标准,安全机制不完善, 存在未知风险,特别是虚拟化监管还存在不少薄弱环节。 2011年索尼公司多个服务器被攻破,用户数据泄露,影响 到近亿人。中国云计算联盟提示,目前云计算存在共享漏洞、 数据泄露、不安全程序接口、内部作案以及未知风险等。
•14
(四)日益尖锐的国际网络空间斗争敲响了警钟
近几年来,以美国为首的西方国家有计划、有 预谋地提出“网络空间(cyber space)”的称霸 理论,并明目张胆地将其定义为继陆、海、空、天 后的第五维“作战空间”,加剧了世界范围的信息领 域的尖锐斗争和网络空间的军备竞赛。据外国媒体 报道,估计世界上有30多个国家建立了网军,有100 多个国家正发展网络战能力。我周边国家如俄、日、 印、韩、朝等,都已经或正在制定、修改其国家网 络和信息安全战略,建立规模化的网络攻防力量。 我国面临网络空间斗争的空前压力和现实威胁。
•25
(2)主要目标
重点领域信息化水平明显提高。......
下一代信息基础设施 初步建成。......
信息产业转型升级取得突破。集成电路、 系统软件、关键元器件等领域取得一批重大 创新成果,......
国家信息安全保障体系基本形成。重要 信息系统和基础信息网络安全防护能力明显 增强,信息化装备的安全可控水平明显提高 ,信息安全等级保护等基础性工作明显加强 。
•2
一、我国网络和信息安全面临严峻挑战
•3
(一)基础网络和重要信息系统的安全形势严峻
我国网络和信息系统,是各种黑客组织、 网络犯罪集团、敌对势力,进行网络窃密、 攻击与犯罪的共同目标,其各种不法活动愈 演愈烈。
据国家计算机网络应急技术处理协调中心 (CNCERT)通报的2012 年全年检测情况及 相关材料分析 :
•13
(三)核心信息技术和安全防护技术严重受制于人
以计算机和通信为核心的信息技术,虽然在我国 应用广泛,但核心技术如芯片、系统软件、数据库、 关键应用软件和中间件、控制系统软件和机件、安 全可信技术等,基本上都掌握在美国、欧洲和日本 等发达国家受里手中,他们利用控制的核心技术、 专利、国际标准、定价权、贸易规则、市场等方面 的优势,阻止中国的创新努力,打压中国的自主发 展,占领与控制中国市场,妄图使中国永远处于落 后状态,永远作他们的经济附庸和产品的消费市场。
•15
二、我国应对网络和信息安全风险的对策
•16
党中央和国务院一贯重视网络和信息安全。先后 制定过许多法律、政策和法规。如《中华人民共和 国保守国家秘密法》、《中华人民共和国计算机信 息系统安全保护条例》、中央办公厅和国务院办公 厅联合发布的27号文件、《国务院关于大力推进信 息化发展和切实保障信息安全的若干意见》、《全 国人大常委会关于加强网络信息保护的决定》。此 外,在其他相关法律、法规中也有不少关于这方面 的要求。下面重点介绍四个文件及标准化情况。
2012年6月1日美国《纽约时报》揭密从小布什 至奥巴马,如何策划美以网络战部门开发病毒战武 器,并用于攻击伊朗核设施的。
震网病毒重锤敲响了工控领域的警钟。为网络 战开启了新领域,此种技术可能成为广泛扩散的网 络战武器,诱发新的网络战军备竞赛。
•8
2、云计算安全正成为新的关注点 “云计算”是当今国际性的热门话题,美
•5
2、境外对我网络的攻击情况严重,攻击来 源于美国者居首 。
(1)境外机构利用木马或僵尸网络控制境内主 机,全年发现境外有73,286个IP地址为木马和僵 尸网络控制服务器使用,参与控制中国境内主机 1419.7万个。美国居首。
( 2)利用境外注册域名传播恶意代码。按月平 均有65.5%在境外注册,严重威胁我网络安全。
国、日本和欧洲各国都在举国家之力推行云 计算。 云计算在我国正在我国急速升温。 云计算和海量数据处理,有人称为“云-海” 技术。云计算我国尚缺乏成熟的自主技术, 现有的安全技术与管理措施还不足以有效应 对面临的云计算安全挑战。
。
•9
云计算分公有、私有、混合及行业云等四类部署方式;广
泛网络接入、快速弹性伸缩、计量付费服务、按需自助服务 和资源池化共享等五种特点。云计算具有强大计算能力、海 量存储空间和易扩展性等巨大优势。在商务上,云计算将传 统以购买消费方式转化为以租用为消费的新IT生态圈。
•12
4、下一代互联网、物联网的安全开始显露 下一代互联网即IPV6网是我国十二五期
间重点建设项目,目前在科教网已初具规模。 其安全问题不可忽视。
物联网正以超出想象的速度发展,最近 智能电网、射频(RFID)技术等随着有关标 准的制定和施行,正崭露头角。其安全保障 问题业已提上日程。上述问题有理论问题, 更是实践问题,只有在发展实践中才能逐步 解决。
•26
2、实施“宽带中国”工程,构建下一代信息基础设施
(3)
3、推动信息化和工业化深度融合,提高经济发展信
息化水平(5)
4、加快社会领域信息化,推进先进网络文化
建设(4)
5、推进农业农村信息化,实现信息强农惠农
(2) 6、健全安全防护和管理,保障重点领域信息
安全(4)
•27
(1)确保重要信息系统和基础信息网络安全。能源、交通、 金融等领域涉及国计民生的重要信息系统和电信网、广播电 视网、互联网等基础信息网络,要同步规划、同步建设、同 步运行安全 防护设施,强化技术防范,严格安全管理,切 实提高防攻击、放篡改、防病毒、防瘫痪、防窃密能力。加 大无线电安全管理和重要信息系统无线电频率保障力度。加 强互联网网站、地址、域名和接入服务单位 的管理,完善信 息共享机制,规范互联网服务市场秩序。
•24
文件正文分八个部分; 1、指导思想和主要目标(2)
(1)指导思想 以邓小平理论和“三个代表”重要思想为指导 ,深入贯彻落实科学发展观,......坚持积极利 用、科学发展、依法管理、确保安全,加强 统筹协调和顶层设计,健全信息安全保障体 系,切实增强信息安全保障能力,维护国家 信息安全,促进经济平稳较快发展和社会和 谐稳定。
•18
《条例》第一章总则 第二条,定义了计算机信息系统的 内涵, 称“本条例所称的计算机信息系统,是指由计算机及 其相关的和配套的设备、设施(含网络)构成的,按照一定 的应用目标和规则对信息进行采集、加工、存储、传输、检 索等处理的人机系统。”
《条例》 第一章第三条规范了计算机信息系统安全保护 的内容,称:“计算机信息系统的安全保护,应当保障计算 机及其相关的和配套的设备、设施(含网络)的安全,运行 环境的安全,保障信息的安全,保障计算机功能的正常发挥 ,以维护计算机信息系统的安全运行”。
这个文件是新时期一个纲领性文件,将大大
推进我国信息化和信息安全工作的发展。
•23
23号文件前言指出:大力推进信息化发 展和切实保障信息安全,对调整经济结构、 转变发展方式、保障和改善民生、维护国家 安全具有重大意义。
当前,世界各国信息化快速发展,信息
技术的应用促进了全球资源的优化配置和发 展模式创新,互联网对政治、经济、社会和 文化的影响更加深刻。围绕信息获取、利用 和控制的国际竞争日趋激烈 ,保障信息安全 成为各国重要议题。
•19
《条例》第二章安全保护制度 ,第九条规 定了对计算机信息系统划分安全保护等级,并 按其等级进行保护的基本制度:“计算机信息 系统实行安全等级保护。安全等级的划分标 准和安全等级保护的具体办法,由公安部会 同有关部门制定。 ”
上述法规是等级保护工作和标准制定工作 的法律基础。遵从法律原则制定技术标准是 世界标准界的基本原则和通例。
•20
2、2003年《进一步加强国家信息安全保障
工作的意见》,即中办27号文件
该文件概括了当时的主要工作: (1)加强信息安全保障工作的总体要求和主要原则, 实行积极防御,综合防范原则。 (2)实行信息安全等级保护制度。 ( 3)加强以密码技术为基础的信息保护和网络信任 体系建设 (4 )建设和完善信息安全监控体系。 (5)重视信息安全应急处理工作 。
(2)加强政府和涉密信息系统安全管理。严格政府信息技术 服务外包的安全管理,为政府机关提供服务的数据中心、云 计算服务平台等要设在境内,禁止办公用计算机安装与工作 无关的软件。建立政府网站开办审核、统一标识、监测和
•28
和举报制度。减少政府机关的互联网连接点数量, 加强安全和保密防护监测。落实涉密信息系统分级 保护制度,强化涉密信息系统审查机制。 (3)保障工业控制系统安全。加强核设施、航空航 天、先进制造、石油石化、油气管网、电力系统、 交通运输、水利枢纽、城市设施等重要领域工业控 制系统,以及物联网应用、数字城市建设中的安全 防护和管理,定期开展安全检查和风险评估。重点 对可能危及生命和公共财产安全的工业控制系统加 强监管。对重点领域使用的关键产品开展安全测评 ,实行安全风险和漏洞通报制度。
1、我国信息基础设施安全问题突出
(1)CNVD通报漏洞风险339个。 (2)发现境内52324个网站被植入后门,同比增 长213.7%。 (3)网络钓鱼猖獗,全年发现针对我网站的网络 钓鱼页面22308个。 (4)移动互联网恶意程序样本162981个,较2011 年增长25倍,其中82.5%针对安卓平台。 (5)发现流量大于1G的DDOS攻击1022起,为 2011年3倍。
•21
(6)加强信息安全技术研究开发,推进信 息安全产业发展。 (7)加强信息安全法制建设和标准化建设。 (8)加强信息安全人才培养,增强全民信 息安全意识。 (9)保证信息安全资金。 (10)加强对信息安全保障工作的领导,建 立健全信息安全管理责任制。
•22
3、2012年国务院23号文件
2012年5月9日,国务院召开国务院常务会议, 研究部署推进信息化发展,保障信息安全工作。6 月28日国 务院正式发布了会议通过的《国务院关于 大力推进信息化发展和切实保障信息安全的若干意 见》,即国发[2012]23号文件。
我国信息安全 面临的挑战及应对措施
2013.07.02
2012年11月8日党的十八大报告指出:
粮食安全、能源资源安全、网络安全等全球性问题 更加突出。 建设下一代信息基础设施,发展现代信息技术产业 体系,健全信息安全保障体系,推进信息网络技术 广泛运用。 与时俱进加强军事战略指导,高度关注海洋、太空、 网络空间安全。
( 3)境外敌对势力通过植入后门或仿冒等,仿 冒境内网站的境外IP美国占83.2%。
•6
(二)新技术、新应用的出现带来信息安全 新问题
1、工业控制系统安全引起严重关切
以计算机技术为基础的工业控制系统(ICS,俗 称工控机)早已应用于工业生产和军事装备,而且 广泛用于与人们日常生活密切相关的金融(如ATM 机)、供水、供电、物流、照明和车辆等领域。
•11
二是个人数据、隐私泄露问题。个人帐号、密码、 照片、位置、行程、通信记录、人际关系直至个人 生活记录等在移动终端上应有尽有,一旦泄露,轻 则危及个人信息安全,重则危及个人隐私、工作秘 密,甚至生命安全。 三是移动支付存在安全隐患。手机常用作交易、资 金支付的手段,易于出现安全问题。
移动智能终端安全 防护,有赖于出台有关法律 法规和标准,更需要企业增进防护措施,用户自身 应提高防范意识。
•17
(一)法律法规制定
1、1994年中华人民共和国计算机信息系统 安全保护条例
1994年2月18日,中华人民共和国国务院发布147 号令, 颁布了行政法规《中华人民共和国计算机信息系统安全保护 条例》(以下简称《条例》)。该条例共分五章三十一条:
第一章总则,第一条至第七条 第二章安全保护制度,第八条至第十六条 第三章安全监督,第十七条至第十九条 第四章法律责任,第二十条至二十七条 第五章附则,第二十八条至三十一条。
工控系统从单机发展到专网,继而逐步进入局 域网、广域网、互联网,使各类控制系统暴露在网络 攻击之下,事故频频出现,给信息安全带来新忧患 。
•7
2010年美、以制造的工控STUXNET蠕虫(国内 称震网病毒、超级病毒等)攻击了伊朗核设施,使 伊朗核计划推迟一至两年。成为所谓“APT"(先进 持续攻击)的新例证。
•10
3、智能移动终端的安全问Baidu Nhomakorabea复杂
2009年我国从2G手机跨入了3G时代,各类智能 手机、平板电脑等智能化的移动终端呈现爆炸式增 长,已跃居世界首位,由此催生出移动互联网时代。 智能移动终端、移动互联网的发展,极大地推动了 经济、社会的发展。同时其安全也凸现出来,据腾 信发布的手机安全报告:
一是移动终端上计算机病毒、木马等恶意软件 大规模繁衍,2013年一季度仅腾信就发现病毒样本 97367个,其中95%从安卓系统截获。
同时,云计算存在明显的安全隐患。由于云计算尚处于 发展初期,国际国内都缺乏统一技术标准,安全机制不完善, 存在未知风险,特别是虚拟化监管还存在不少薄弱环节。 2011年索尼公司多个服务器被攻破,用户数据泄露,影响 到近亿人。中国云计算联盟提示,目前云计算存在共享漏洞、 数据泄露、不安全程序接口、内部作案以及未知风险等。
•14
(四)日益尖锐的国际网络空间斗争敲响了警钟
近几年来,以美国为首的西方国家有计划、有 预谋地提出“网络空间(cyber space)”的称霸 理论,并明目张胆地将其定义为继陆、海、空、天 后的第五维“作战空间”,加剧了世界范围的信息领 域的尖锐斗争和网络空间的军备竞赛。据外国媒体 报道,估计世界上有30多个国家建立了网军,有100 多个国家正发展网络战能力。我周边国家如俄、日、 印、韩、朝等,都已经或正在制定、修改其国家网 络和信息安全战略,建立规模化的网络攻防力量。 我国面临网络空间斗争的空前压力和现实威胁。
•25
(2)主要目标
重点领域信息化水平明显提高。......
下一代信息基础设施 初步建成。......
信息产业转型升级取得突破。集成电路、 系统软件、关键元器件等领域取得一批重大 创新成果,......
国家信息安全保障体系基本形成。重要 信息系统和基础信息网络安全防护能力明显 增强,信息化装备的安全可控水平明显提高 ,信息安全等级保护等基础性工作明显加强 。
•2
一、我国网络和信息安全面临严峻挑战
•3
(一)基础网络和重要信息系统的安全形势严峻
我国网络和信息系统,是各种黑客组织、 网络犯罪集团、敌对势力,进行网络窃密、 攻击与犯罪的共同目标,其各种不法活动愈 演愈烈。
据国家计算机网络应急技术处理协调中心 (CNCERT)通报的2012 年全年检测情况及 相关材料分析 :
•13
(三)核心信息技术和安全防护技术严重受制于人
以计算机和通信为核心的信息技术,虽然在我国 应用广泛,但核心技术如芯片、系统软件、数据库、 关键应用软件和中间件、控制系统软件和机件、安 全可信技术等,基本上都掌握在美国、欧洲和日本 等发达国家受里手中,他们利用控制的核心技术、 专利、国际标准、定价权、贸易规则、市场等方面 的优势,阻止中国的创新努力,打压中国的自主发 展,占领与控制中国市场,妄图使中国永远处于落 后状态,永远作他们的经济附庸和产品的消费市场。
•15
二、我国应对网络和信息安全风险的对策
•16
党中央和国务院一贯重视网络和信息安全。先后 制定过许多法律、政策和法规。如《中华人民共和 国保守国家秘密法》、《中华人民共和国计算机信 息系统安全保护条例》、中央办公厅和国务院办公 厅联合发布的27号文件、《国务院关于大力推进信 息化发展和切实保障信息安全的若干意见》、《全 国人大常委会关于加强网络信息保护的决定》。此 外,在其他相关法律、法规中也有不少关于这方面 的要求。下面重点介绍四个文件及标准化情况。
2012年6月1日美国《纽约时报》揭密从小布什 至奥巴马,如何策划美以网络战部门开发病毒战武 器,并用于攻击伊朗核设施的。
震网病毒重锤敲响了工控领域的警钟。为网络 战开启了新领域,此种技术可能成为广泛扩散的网 络战武器,诱发新的网络战军备竞赛。
•8
2、云计算安全正成为新的关注点 “云计算”是当今国际性的热门话题,美
•5
2、境外对我网络的攻击情况严重,攻击来 源于美国者居首 。
(1)境外机构利用木马或僵尸网络控制境内主 机,全年发现境外有73,286个IP地址为木马和僵 尸网络控制服务器使用,参与控制中国境内主机 1419.7万个。美国居首。
( 2)利用境外注册域名传播恶意代码。按月平 均有65.5%在境外注册,严重威胁我网络安全。
国、日本和欧洲各国都在举国家之力推行云 计算。 云计算在我国正在我国急速升温。 云计算和海量数据处理,有人称为“云-海” 技术。云计算我国尚缺乏成熟的自主技术, 现有的安全技术与管理措施还不足以有效应 对面临的云计算安全挑战。
。
•9
云计算分公有、私有、混合及行业云等四类部署方式;广
泛网络接入、快速弹性伸缩、计量付费服务、按需自助服务 和资源池化共享等五种特点。云计算具有强大计算能力、海 量存储空间和易扩展性等巨大优势。在商务上,云计算将传 统以购买消费方式转化为以租用为消费的新IT生态圈。
•12
4、下一代互联网、物联网的安全开始显露 下一代互联网即IPV6网是我国十二五期
间重点建设项目,目前在科教网已初具规模。 其安全问题不可忽视。
物联网正以超出想象的速度发展,最近 智能电网、射频(RFID)技术等随着有关标 准的制定和施行,正崭露头角。其安全保障 问题业已提上日程。上述问题有理论问题, 更是实践问题,只有在发展实践中才能逐步 解决。
•26
2、实施“宽带中国”工程,构建下一代信息基础设施
(3)
3、推动信息化和工业化深度融合,提高经济发展信
息化水平(5)
4、加快社会领域信息化,推进先进网络文化
建设(4)
5、推进农业农村信息化,实现信息强农惠农
(2) 6、健全安全防护和管理,保障重点领域信息
安全(4)
•27
(1)确保重要信息系统和基础信息网络安全。能源、交通、 金融等领域涉及国计民生的重要信息系统和电信网、广播电 视网、互联网等基础信息网络,要同步规划、同步建设、同 步运行安全 防护设施,强化技术防范,严格安全管理,切 实提高防攻击、放篡改、防病毒、防瘫痪、防窃密能力。加 大无线电安全管理和重要信息系统无线电频率保障力度。加 强互联网网站、地址、域名和接入服务单位 的管理,完善信 息共享机制,规范互联网服务市场秩序。
•24
文件正文分八个部分; 1、指导思想和主要目标(2)
(1)指导思想 以邓小平理论和“三个代表”重要思想为指导 ,深入贯彻落实科学发展观,......坚持积极利 用、科学发展、依法管理、确保安全,加强 统筹协调和顶层设计,健全信息安全保障体 系,切实增强信息安全保障能力,维护国家 信息安全,促进经济平稳较快发展和社会和 谐稳定。
•18
《条例》第一章总则 第二条,定义了计算机信息系统的 内涵, 称“本条例所称的计算机信息系统,是指由计算机及 其相关的和配套的设备、设施(含网络)构成的,按照一定 的应用目标和规则对信息进行采集、加工、存储、传输、检 索等处理的人机系统。”
《条例》 第一章第三条规范了计算机信息系统安全保护 的内容,称:“计算机信息系统的安全保护,应当保障计算 机及其相关的和配套的设备、设施(含网络)的安全,运行 环境的安全,保障信息的安全,保障计算机功能的正常发挥 ,以维护计算机信息系统的安全运行”。
这个文件是新时期一个纲领性文件,将大大
推进我国信息化和信息安全工作的发展。
•23
23号文件前言指出:大力推进信息化发 展和切实保障信息安全,对调整经济结构、 转变发展方式、保障和改善民生、维护国家 安全具有重大意义。
当前,世界各国信息化快速发展,信息
技术的应用促进了全球资源的优化配置和发 展模式创新,互联网对政治、经济、社会和 文化的影响更加深刻。围绕信息获取、利用 和控制的国际竞争日趋激烈 ,保障信息安全 成为各国重要议题。
•19
《条例》第二章安全保护制度 ,第九条规 定了对计算机信息系统划分安全保护等级,并 按其等级进行保护的基本制度:“计算机信息 系统实行安全等级保护。安全等级的划分标 准和安全等级保护的具体办法,由公安部会 同有关部门制定。 ”
上述法规是等级保护工作和标准制定工作 的法律基础。遵从法律原则制定技术标准是 世界标准界的基本原则和通例。
•20
2、2003年《进一步加强国家信息安全保障
工作的意见》,即中办27号文件
该文件概括了当时的主要工作: (1)加强信息安全保障工作的总体要求和主要原则, 实行积极防御,综合防范原则。 (2)实行信息安全等级保护制度。 ( 3)加强以密码技术为基础的信息保护和网络信任 体系建设 (4 )建设和完善信息安全监控体系。 (5)重视信息安全应急处理工作 。
(2)加强政府和涉密信息系统安全管理。严格政府信息技术 服务外包的安全管理,为政府机关提供服务的数据中心、云 计算服务平台等要设在境内,禁止办公用计算机安装与工作 无关的软件。建立政府网站开办审核、统一标识、监测和
•28
和举报制度。减少政府机关的互联网连接点数量, 加强安全和保密防护监测。落实涉密信息系统分级 保护制度,强化涉密信息系统审查机制。 (3)保障工业控制系统安全。加强核设施、航空航 天、先进制造、石油石化、油气管网、电力系统、 交通运输、水利枢纽、城市设施等重要领域工业控 制系统,以及物联网应用、数字城市建设中的安全 防护和管理,定期开展安全检查和风险评估。重点 对可能危及生命和公共财产安全的工业控制系统加 强监管。对重点领域使用的关键产品开展安全测评 ,实行安全风险和漏洞通报制度。