CISM0101信息安全保障基础

1、信息安全保障基础信息安全保障基础中国信息安全测评中心（20140819）课程内容（要改）课程内容（要改）2信息信息安全安全保障保障基础基础信息信息安全保障安全保障理论及实践理论及实践信息安全信息安全法规政策标准法规政策标准信息信息安全保障基础知识安全保障基础知识重点重点信息安全政策解读信息安全政策解读信息信息安全标准安全标准知识知识信息安全保障模型信息安全保障模型我国信息安全保障实践我国信息安全保障实践重点重点信息安全法律解读信息安全法律解读v知识域：信息安全保障基础知识 理解信息安全的典型安全威胁 理解信息安全问题产生的根源 掌握信息安全三个基本要素（保密性、完整性和可用性）的概念和含义 了

2、解信息安全发展的阶段及各阶段主要特点 理解信息安全保障的概念和内涵3什么是信息安全？什么是信息安全？安全安全 Security：事物保持不受损害：事物保持不受损害4什么是信息安全？什么是信息安全？不该让别人知道的，不该让别人知道的，不能泄漏！不能泄漏！5什么是信息安全？什么是信息安全？信息要完整地传输和表达！信息要完整地传输和表达！6什么是信息安全？什么是信息安全？信息要方便、快捷信息要方便、快捷！7什么是信息安全什么是信息安全保密性：保密性：确保信息没有非授权的泄漏，不确保信息没有非授权的泄漏，不被非授权的个人、组织和计算机程序使用被非授权的个人、组织和计算机程序使用完整性：完整性：确保信息

3、没有遭到篡改和破坏确保信息没有遭到篡改和破坏可用性：可用性：确保拥有授权的用户或程序可以确保拥有授权的用户或程序可以及时、正常使用信息及时、正常使用信息8 信息信息本身的保密性（本身的保密性（Confidentiality）、完整性）、完整性（Integrity）和可用性（）和可用性（Availability）的保持，即防）的保持，即防止未经授权使用信息、防止对信息的非法修改和破坏、止未经授权使用信息、防止对信息的非法修改和破坏、确保及时可靠地使用确保及时可靠地使用信息信息为什么会有信息安全问题？为什么会有信息安全问题？v因为有病毒吗？ 因为有黑客吗？因为有黑客吗？ 因为有漏洞吗？因为有漏洞吗

4、？这些都是原因，这些都是原因，但没有说到根源但没有说到根源9信息系统安全问题产生信息系统安全问题产生的的根源与环节根源与环节v内因 复杂性导致脆弱性 过程复杂，结构复杂，使用复杂 凡是人做的东西总会存在问题v外因 存在对手和恶意攻击者 存在不可控制的自然灾害 威胁与破坏导致信息安全问题10安全问题根源安全问题根源内因示例内因示例11安全问题根源安全问题根源外因示例外因示例12安全问题根源安全问题根源外因来自外因来自自然的破坏自然的破坏13信息安全的地位和作用信息安全的地位和作用v信息网络已逐渐成为经济繁荣、社会稳定和国家发展的基础v信息化深刻影响着全球经济的整合、国家战略的调整和安全观念的转变

5、v信息安全适用于所有信息技术领域 学习、游戏、网络购物、电子邮件 信息化办公、电子商务 电子政务、电力供应、工业控制系统 核设施、军事情报系统v从单纯的技术性问题变成事关国家安全的全球性问题14信息安全发展阶段信息安全发展阶段COMSEC通信安全COMPUSEC计算机安全INFOSEC信息系统安全IA信息安全保障15CS/IA网络空间安全/信息安全保障通信通信安全安全COMSECCOMSEC Communication Security 20世纪，40年代-70年代核心思想核心思想 通过密码技术解决通信保密，保证数据的保密性和完整性 主要关注传输过程中的数据保护 安全威胁安全威胁 搭线窃听、密

6、码学分析安全措施安全措施 加密标志标志 1949年，shannon发表保密系统的通信理论16计算机安全计算机安全COMPUSECCOMPUSEC Computer Security 20世纪，70-90年代核心思想核心思想 预防、检测和减小计算机系统用户执行的未授权活动所造成的后果安全威胁安全威胁 非法访问、恶意代码、脆弱口令等安全措施安全措施 安全操作系统设计技术（TCB）标志标志 1985年，美国国防部的可信计算机系统评估准则（TCSEC，橙皮书），将操作系统安全分级（D、C1、C2、B1、B2、B3、A1）17信息系统安全信息系统安全INFOSECINFOSEC Information

7、Systems Security 20世纪，90年代后核心思想核心思想 确保信息在存储、处理和传输过程中免受偶然或恶意的泄密、非法访问或破坏 安全威胁安全威胁 网络入侵、病毒破坏、信息对抗等安全措施安全措施 防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等标志标志 评估通用准则CC（ISO 15408，GB/T 18336）18信息安全保障信息安全保障IAIA Information Assurance 今天，将来核心思想核心思想 动态安全,保障信息系统的业务正常、稳定的运行 综合技术、管理、过程、人员安全威胁安全威胁 黑客、恐怖分子、信息战、自然灾难、电力中断等安全措施安全措施 技术安全

8、保障体系、安全管理体系、人员意识/培训/教育标志标志 技术：美国国防部的IATF深度防御战略 管理：BS7799、ISO27001、ISO2700219信息安全保障信息安全保障v保障目标 信息系统业务和使命安全v保障措施 防止信息泄露、修改和破坏 还要检测入侵行为；还要响应和改进措施v同传统信息安全概念相比较 强调检测和响应，强调动态安全 注重对信息系统进行全生命周期的保护 关注技术、管理、规范等方面 要求实现风险管控的目标20信息安全保障发展历史信息安全保障发展历史v 第一次定义第一次定义 1996年，美国国防部DoD指令5-3600.1（DoDD 5-3600.1）中，给出了信息安全保障的

9、定义v 中国中国 中办发27号文国家信息化领导小组关于加强信息安全保障工作的意见，是信息安全保障工作的纲领性文件v 目前，信息安全保障的概念已逐渐被全世界信息安全领域目前，信息安全保障的概念已逐渐被全世界信息安全领域所接受。所接受。v 信息安全保障发展历史信息安全保障发展历史 从通信安全（COMSEC）-计算机安全（COMPUSEC）-信息系统安全（INFOSEC）-信息安全保障（IA） -网络空间安全/信息安全保障（CS/IA）21网络空间安全网络空间安全/ /信息安全保障信息安全保障v CS/IACS/IA：Cyberspace Security/Information Assurance

10、v 威胁威胁 有组织网络犯罪、网络恐怖主义、网络空间军事对抗、APTv 共识共识：网络安全问题上升到国家安全的重要程度：网络安全问题上升到国家安全的重要程度v 20092009年，在美国带动下，世界各国信息安全政策、技术和实践年，在美国带动下，世界各国信息安全政策、技术和实践等发生重大变革等发生重大变革 核心思想：从传统防御的信息保障（IA），发展到“威慑”为主的防御、攻击和情报三位一体的信息保障/网络安全（IA/CS）的网空安全 网络防御-Defense（运维） 网络攻击-Offense（威慑） 网络利用-Exploitation（情报）22v 美国 2008年1月，发布国家网络安全综合倡议

11、（CNCI），号称网络安全“曼哈顿项目”，提出威慑概念 2009年5月，发布网络空间政策评估：确保信息和通讯系统的可靠性和韧性报告 2009年6月，成立网络战司令部，随后，奥巴马任命网络安全专家担任“网络沙皇” 2011年5月，发布网络空间国际战略，明确了针对网络攻击的指导原则；随后又发布网络空间行动战略v 英国 2009年6月25日，英国推出了首份“网络安全战略”，并将其作为同时推出的新版国家安全战略的核心内容v 德国、法国、俄罗斯、23国家信息安全保障体系建设动态国家信息安全保障体系建设动态通信安全20世纪，4070年代搭线窃听、密码学分析加密计算机安全20世纪，70-90年代非法访问、恶

12、意代码、脆弱口令等安全操作系统设计技术（TCB）信息系统安全20世纪，90年代后网络入侵、病毒破坏、信息对抗等防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等信息安全保障今天，黑客、恐怖分子、信息战、自然灾难、电力中断等技术安全保障体系安全管理体系人员意识/培训/教育网络空间安全/信息安全保障2008年开始国家安全的高度网络防御网络威慑网络利用从技术角度看信息安全从技术角度看信息安全24知识体：信息安全保障理论及实践知识体：信息安全保障理论及实践v知识域：信息安全保障模型 了解信息系统、风险、保障和使命之间的关系 掌握信息系统安全保障模型，理解其保障要素、生命周期和安全特征的内容和含义 理

13、解PDCA模型内容和特点 了解信息保障技术框架（IATF）的核心要素和焦点区域25信息系统面临的典型安全威胁信息系统面临的典型安全威胁26什么是信息安全风险什么是信息安全风险v外在威胁利用信息系统存在的脆弱性，致其损失或破坏对系统价值造成损害的可能性 资产资产威胁威胁防护措施防护措施脆弱性脆弱性风险风险利用利用对抗对抗导导致致增增加加减减少少作作用用于于27为什么需要信息安全为什么需要信息安全保障保障v组织机构的使命/业务目标实现越来越依赖于信息系统v信息系统成为组织机构生存和发展的关键因素v信息系统的安全风险也成为组织风险的一部分v为了保障组织机构完成其使命，必须加强信息安全保障，抵抗这些风

14、险28信息安全信息安全保障保障“组织内部环境”信息系统安全问题信息系统安全问题通信安全数据安全技术系统安全问题技术系统安全问题网络安全现在人们意识到：技术很重要，但技术不是一切；信现在人们意识到：技术很重要，但技术不是一切；信息系统很重要，只有服务于组织业务使命才有意义息系统很重要，只有服务于组织业务使命才有意义信息安全保障信息安全保障的内涵的内涵v信息安全保障不仅仅是一门技术学科，信息安全保障应综合技术、技术、管理、工程和管理、工程和人人v信息安全保障不仅仅是一种项目性的暂时行为，信息安全保障应融入信息系统生命周期信息系统生命周期的全过程v信息安全保障的目的不仅仅是保障信息系统本身，信息安全

15、保障的根本目的是通过保障信息系统从而保障运行于信息系统之上的业务系统、保障保障运行于信息系统之上的业务系统、保障组织机构的使命组织机构的使命v信息安全保障不仅仅是孤立的自身的问题，信息安全保障是一个社会化的、需要各方参与的工作v信息安全保障是主观和客观的结合30 信息系统安全保障是在信息系统的整个生命周期中，通过对信息系统的风险分析，制定并执行相应的安全保障策略，从技术、管理、工程和人员等方面提出安全保障要求，确保信息系统的保密性、完整性和可用性，降低安全风险到可接受的程度，从而保障系统实现组织机构的使命。 信息安全保障定义信息安全保障定义31信息安全技术 信息系统安全保障评估框架 第一部分：

16、简介和一般模型 (GB/T 20274.1-2006 )信息系统安全保障模信息系统安全保障模型型- -保障评估框架保障评估框架32信息系统安全保障含义信息系统安全保障含义总结总结v出发点和核心 在信息系统所处的运行环境里，以风险和策略为出发点，即从信息系统所面临的风险出发制定组织机构信息系统安全保障策略 动态安全，综合保障v信息系统生命周期 通过在信息系统生命周期中从技术、管理、工程和人员等方面提出安全保障要求 33信息系统安全保障含义信息系统安全保障含义总结总结v确保信息的安全特征 确保信息的保密性、完整性和可用性特征，从而实现和贯彻组织机构策略并将风险降低到可接受的程度v保护资产 达到保护

17、组织机构信息和信息系统资产v最终保障使命 从而保障组织机构实现其使命的最终目的 34如何保障信息安全？如何保障信息安全？信息是信息是依赖于承载依赖于承载它的信息技术系统存在的它的信息技术系统存在的需要在技术层面部署完善的控制措施需要在技术层面部署完善的控制措施信息系统是由人来建设使用和维护的信息系统是由人来建设使用和维护的需要通过有效的管理手段约束人需要通过有效的管理手段约束人今天系统安全了明天未必安全今天系统安全了明天未必安全需要贯穿系统生命周期的工程过程需要贯穿系统生命周期的工程过程信息安全的对抗，归根结底是人员知识、技能和素信息安全的对抗，归根结底是人员知识、技能和素质的对抗质的对抗需要

18、建设高素质的人才队伍需要建设高素质的人才队伍信息安全保障体系构成的要素信息安全保障体系构成的要素v信息安全技术体系v信息安全管理体系v信息安全工程过程v高素质的人员队伍36信息系统信息系统安全保障安全保障的的技术技术要素要素v安全技术体系架构 根据系统安全风险评估的结果和系统安全策略的要求，并参考相关标准和最佳实践，建立的符合组织机构信息技术系统安全发展规划的整体安全技术体系框架v主要内容 密码技术 访问控制技术 审计和监控技术 网络安全技术 37数据安全应用安全主机安全网络安全物理安全关闭安全维护关闭安全维护“后门后门”更改缺省的更改缺省的系统口令系统口令漏洞扫描漏洞扫描补丁管理补丁管理Mo

19、dem数据文件加密数据文件加密访问控制访问控制审计系统审计系统入侵检测入侵检测实时监控实时监控病毒防护病毒防护38完善的信息安全技术体系完善的信息安全技术体系信息安全保障管理信息安全保障管理要素要素v覆盖整个生命周期v以风险和策略为核心v五方面的管理内容相关方相关方信息安信息安全需求全需求&期待期待设计和实设计和实施施ISMS改进改进ISMSPlan计划计划Do实施实施Act改进改进Check检查检查开发、维护&改进循环相关方相关方管理的信管理的信息安全息安全Plan计划（建立计划（建立ISMS环境）环境）根据组织机构的整体策略和目标，建立同控制风险和改进信息安全相关的安全策略

20、、目的、目标、过程和流程以交付结果。Do做（设计做（设计&实施）实施）实施和操作策略（过程和流程）Check检查（监控检查（监控&审核）审核）通过策略、目的和实践经验测量和评估过程执行，并将结果汇报给决策人。Act行动（改进）行动（改进）建立纠正和预防行动以进一步改进过程的执行建立建立ISMS环环境境&风险评估风险评估监控监控&审核审核ISMS信息安全管理体系建设信息安全管理体系建设40信息系统信息系统安全保障的工程要素安全保障的工程要素v将信息安全手段动态作用于信息系统的工作过程v基于信息系统生命周期建立信息系统安全工程生命周期v在生命周期每个阶段融入安全措施

21、，从而有效、科学的实现信息系统安全保障目标41计划组计划组织织开发采开发采购购实施交实施交付付运行维运行维护护废弃废弃将安全措施融入信息系统生命周期将安全措施融入信息系统生命周期科学的信息安全工程过程科学的信息安全工程过程42高素质的人员队伍高素质的人员队伍v 信息安全对抗归根结底是人与人的对抗，保障信息安全不仅需要专业信息技术人员，还需要信息系统普通使用者提高安全意识，加强个人防范 43A计划实施检查改进PDCPDCAPDCA循环循环44PDCAPDCA循环循环45PDCAPDCA也称也称“戴明环戴明环”，由美国质量管理专家戴明提出，由美国质量管理专家戴明提出vP P（PlanPlan）：）

22、：计划，确定方针和目标，确定活动计划vD D（DoDo）：）：实施，实际去做，实现计划中的内容vC C（CheckCheck）：）：检查，总结执行计划的结果，注意效果，找出问题vA A（ActAct）：）：改进，对总结检查的结果进行处理，采取纠正和预防措施进一步提高过程质量PDCAPDCA循环循环的特点的特点v特点一 循序渐进，周而复始 按顺序进行，它靠组织的力量来推动，像车轮一样向前进，周而复始，不断循环 46PDCAPDCA循环循环的特点的特点v特点二 层层循环，环环相扣 组织中的每个部分，甚至个人，均可以PDCA循环，大环套小环，一层一层地解决问题47PDCAPDCA循环循环的特点的特点

23、v特点三 不断循环，不断提高 每通过一次PDCA 循环，都要进行总结，提出新目标，再进行第二次PDCA 循环48vPDCA循环，能够提供一种优秀的过程方法，循环，能够提供一种优秀的过程方法，以实现持续以实现持续改进改进v遵循遵循PDCA循环，循环，能使任何一项活动都有效地能使任何一项活动都有效地进行进行PDCAPDCA循环的作用循环的作用49信息保障技术框架信息保障技术框架v信息保障技术框架（IATF） Information Assurance Technical Framework 是美国国家安全局制定的，描述美国信息保障的指导性文件，为保护美国政府和工业界的信息与信息基础设施提供技术支持

24、v研究历史 1998，网络安全框架1.0 1999，出版2.0版本，并正式更名为信息保障技术框架 2000年，3.0版 2002年，3.1版本，扩展了“纵深防御”，强调信息保障战略50技术操作深度防御战略深度防御战略人 人人 通过通过 技术技术 进行进行 操作操作计算环境 区域边界网络基础设施支撑性基础设施密钥管理检测响应成功的组织功能成功的组织功能信息安全保障（信息安全保障（IA）信信息系统安息系统安全保障模型全保障模型- -I IATFATF51知识体：信息安全保障理论及实践知识体：信息安全保障理论及实践v知识域：我国信息安全保障实践 理解我国信息安全工作的发展阶段划分情况 了解我国信息安

25、全保障工作的目标和主要内容 了解我国信息安全保障工作实践成果5253我国信息安全保障工作发展阶段我国信息安全保障工作发展阶段53阶段主要工作2001-2002启动国家信息化小组重组网络与信息安全协调小组成立2003-2005逐步展开积极推进国家出台指导政策召开第一次全国信息安全保障会议发布国家信息安全战略国家网络与信息安全协调小组召开四次会议2006-2013深化落实信息安全法律法规、标准化和人才培养工作取得新成果信息安全等级保护和风险评估取得新进展2013年至今新时期十八届三中全会决定中央网络安全和信息化领导小组54启动阶段启动阶段（2001-20022001-2002）v 2001年至20

26、02年，是我国网络与信息安全事件频发且性质严重的时期，鉴于严峻的信息安全形势，国家信息化领导小组重组，网络与信息安全协调小组成立，我国信息安全保障工作正式启动v 2001年至2002年中国发生的网络和信息安全事件： 来自境外邪教组织、敌对势力的破坏 各种政治谣言、反动宣传和社会敏感热点问题日益增多 网络系统、重要信息系统自身存在诸多安全隐患 如深圳证券交易所因系统崩溃停市半天，造成直接经济损失和社会影响 北京首都国际机场信息系统出现故障，造成上百个航班延误，数万名旅客滞留 55积极推进阶段积极推进阶段（2003-20052003-2005）v 2003年至2005年，是国家信息安全保障体系建设

27、逐步展开和推进的阶段，国家出台指导政策，召开第一次全国信息安全保障会议，发布国家信息安全战略，国家网络与信息安全协调小组召开了四次会议，信息安全保障各项工作积极推进 2003年7月，国家信息化领导小组关于加强信息安全保障工作的意见（中办发27号文件件） 2004年1月9日国家信息安全保障工作会议召开。 2005年3月29日，国家网络与信息安全协调小组第四次会议召开 2005年12月16日，国家网络与信息安全协调小组第五次会议召开。会议主要关注：高度重视信息安全风险评估、网络信任体系以及保密和密码工作，进一步完善各项措施和政策规定，提高信息安全建设和管理水平 56深化落实阶段（深化落实阶段（20

28、062006年年至至20132013）v2006年至今，围绕27号文件开展的各项信息安全保障工作迈出了新的坚实步伐。信息安全法律法规、标准化和人才培养工作取得了新成果 指导政策从完善到落实 等级保护工作取得重要进展 信息安全风险评估工作更加深入 推进机制从实践到成型 标准规范从研究到实施 在全国信息技术标准化技术委员会信息安全技术分委员会和各界、各部门的努力下，本着积极采用国际标准的原则，转化了一批国际信息安全基础技术标准 57新时期新阶段新时期新阶段（20132013年至今）年至今）v2013年至今，中央进一步推动信息安全发展 2013年，中国共产党十八届三中全会的决定 要坚持积极利用、科学

29、发展、依法管理、确保安全的方针，加大依法管理网络力度，完善互联网管理领导体制 2014年2月，成立中央网络安全和信息化领导小组 统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题 推动国家网络安全和信息化各方面建设,增强我国信息安全保障能力58v 信息安全保障的基本原则立足国情，以我为主，坚持管理与技术并重；正确处理安全与发展的关系，以安全保发展，在发展中求安全；统筹规划，突出重点，强化基础性工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系v 等级保护制度：根据应用系统、应用单位的重要程度，将信息系统划分为不同的重要级别，然

30、后采用不同的技术和产品进行保护 国家信息安全保障基本原则国家信息安全保障基本原则5859我国信息安全保障建设的主要内容我国信息安全保障建设的主要内容 v 建立健全国家信息安全组织与管理体制机制，加强信息安全工作的组织保障 v 建立健全信息安全法律法规体系，推进信息安全法制建设 v 建立完善信息安全标准体系，加强信息安全标准化工作 v 加强信息安全技术研究开发，推进信息安全产业发展 v 建设信息安全基础设施，提供国家信息安全保障能力支撑 v 建立信息安全人才培养体系，加快信息安全学科建设和信息安全人才培养 信息安全保障工作实践成果信息安全保障工作实践成果v我国信息安全保障实践成果 信息安全标准化

31、 应急处理与信息通报 等级保护 风险评估 灾难恢复 人才培养60重要实践重要实践成果成果v信息安全标准化 2002年4月，成立“全国信息安全标准化技术委员会”，简称“全国信安标委”，代号为TC260v应急处理与信息通报 2002年9月，成立“国家计算机网络应急技术处理协调中心”，简称“国家互联网应急中心”，英文简称是CNCERT或CNCERT/CC 2003年，成立“国家网络与信息安全协调小组” 2004年，成立“国家网络与信息安全信息通报中心”61重要实践成果重要实践成果v等级保护 1994年，国务院147号令中华人民共和国计算机信息系统安全保护条例 2004年，发布关于信息安全等级保护工作

32、的实施意见（公通字200466号） 全面启动等级保护的实施工作v风险评估 2006年1月，发布关于开展信息安全风险评估工作的意见 （国信办20065号） 组织风险评估专控队伍对全国基础信息网络和重要信息系统进行检查62重要实践成果重要实践成果v灾难恢复 2002年4月，银监会颁布了商业银行内部控制指引，其中第八章计算机信息系统的内部控制规定，商业银行应当建立计算机安全应急系统 2004年9月，印发关于做好重要信息系统灾难备份工作的通知（信安通200411号 2005年4月，下发重要信息系统灾难恢复指南v人才培养 2001年，信息安全本科专业 2005年，教育部发文加强信息安全学科体系建设 20

33、02年，CISP；2005年，CISM6364v 制定信息安全保障需求的作用制定信息安全保障需求的作用v 制定信息系统安全保障需求的方法和原则制定信息系统安全保障需求的方法和原则v 信息安全保障解决方案信息安全保障解决方案v 确定安全保障解决方案的原则确定安全保障解决方案的原则v 实施信息安全保障解决方案的原则实施信息安全保障解决方案的原则v 信息安全测评信息安全测评v 信息安全测评的重要性信息安全测评的重要性v 国内外信息安全测评现状国内外信息安全测评现状v 产品、人员、商资、系统测评的方法和流程产品、人员、商资、系统测评的方法和流程v 持续提高信息系统安全保障能力。持续提高信息系统安全保障

34、能力。v 信息系统安全监护和维护信息系统安全监护和维护确定需求制定方案开展测评持续改进信息安全保障工作基本内容信息安全保障工作基本内容64知识体知识体：信息安全法规政策标准：信息安全法规政策标准v知识域：重点信息安全法律解读 了解我国信息安全法律体系情况 理解中华人民共和国保密法中主要条款 了解刑法、电子签名法关于信息安全的重要条款v知识域：重点信息安全政策解读 理解国家信息化领导小组关于加强信息安全保障工作的意见的重要性和有关内容 了解中华人民共和国计算机信息系统安全保护条例和国务院关于大力推进信息化发展和切实保障信息安全的若干意见的有关内容65我国法律法规体系我国法律法规体系v多级立法的法

35、律体系 法律 行政法规 地方性法规 部门规章 地方规章v共同构成了以中华人民共和国宪法为基础的统一的法律体系66我国我国信息信息安全法律体系安全法律体系 宪法、刑法 国家安全法、保守国家秘密法、电子签名法 全国人大常委会关于维护互联网安全的决定法律 中华人民共和国计算机信息系统安全保护条例、商用密码管理条例、计算机信息网络国际联网安全保护管理办法、中华人民共和国计算机信息网络国际联网管理暂行规定、关于加强信息安全保障工作的意见行政法规 公安部计算机信息系统安全专用产品检测和销售许可证管理办法、计算机病毒防治管理办法 工业和信息化部互联网电子公告服务管理规定、软件产品管理办法 国家保密局计算机信

36、息系统保密管理暂行规定部门规章和规范性文件67保守国家秘密法保守国家秘密法（保密法（保密法 1 1）v演进 保守国家秘密暂行条例（1951年） 保守国家秘密法（1989年） 保守国家秘密法（2010年修订，4月29日修订，10月1日施行）v主旨（总则） 目的：保守国家秘密，维护国家安全和利益 国家秘密是关系国家安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知悉的事项 国家秘密受法律保护。一切国家机关、武装力量、政党、社会团体、企业事业单位和公民都有保守国家秘密的义务 国家保密行政管理部门主管全国的保密工作 国家机关和涉及国家秘密的单位（以下简称机关、单位）管理本机关和本单位的保密

37、工作 保密工作责任制：健全保密管理制度，完善保密防护措施，开展保密宣传教育，加强保密检查法律68保守国家秘密法保守国家秘密法（保密法（保密法 2 2）v国家秘密的范围 国家事务、国防武装、外交外事、政党秘密 国民经济和社会发展、科学技术 维护国家安全的活动、经保密主管部门确定的事项等v国家秘密的密级 绝密-是最重要的国家秘密，泄露会使国家安全和利益遭受特别严重的损害；保密期限不超过30年 机密-是重要的国家秘密，泄露会使国家安全和利益遭受严重的损害；保密期限不超过20年 秘密-是一般的国家秘密，泄露会使国家安全和利益遭受损害；保密期限不超过10年v国家秘密的其他基本属性 定密权限（定密责任人）

38、、保密期限、解密条件、知悉范围 国家秘密载体、国家秘密标志法律69保守国家秘密法保守国家秘密法（保密法（保密法 3 3）v保密制度 对国家秘密载体的行为要求 对属于国家秘密的设备、产品的行为要求 对存储、处理国家秘密的计算机信息系统的要求-分级保护 对组织和个人的行为要求（涉密信息系统管理、国家秘密载体管理、公开发布信息、各类涉密采购、涉密人员分类管理、保密教育培训、保密协议等） 对公共信息网络及其他传媒的行为要求 对互联网及其他公共信息网络运营商、服务商的行为要求v监督管理 国家保密行政管理部门依照法律、行政法规的规定，制定保密规章和国家保密标准 组织开展保密宣传教育、保密检查、保密技术防护

39、和泄密案件查处工作，对机关、单位的保密工作进行指导和监督法律70刑法刑法中的有关规定（中的有关规定（1 1）v刑法 第六章 妨碍社会管理秩序罪 第一节 扰乱公共秩序罪 第285、286、287条 285条：非法侵入计算机信息系统罪；非法获取计算机信息系统数据、非法控制计算机信息系统罪；提供侵入、非法控制计算机信息系统程序、工具罪 违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役 违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处

40、三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金 提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚法律71刑法刑法中的有关规定（中的有关规定（2 2）v刑法 第六章 妨碍社会管理秩序罪 第一节 扰乱公共秩序罪 第285、286、287条 286条：破坏计算机信息系统罪 违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒

41、刑 违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚 故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚 287条：利用计算机实施犯罪的提示性规定 利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚72法律73电子签名法电子签名法v意义 2005年4月1日正式施行的电子签名法，被称为“中国首部真正意义上的信息化法律”，自此电子签名与传统手写签名和盖章具有同等的法律效力v适用范围 民事活动中的合同或者其他文件、单证等文书 电子签名

42、和数据电文不适用的文书（国际惯例）：涉及证明人身关系的、涉及不动产权益转让的、涉及停止公共事业服务的、法律法规所规定的不适用电子文书的其他情形法律国家安全国家安全法法中的有关规定中的有关规定 第二章 国家安全机关在国家安全工作中的职权 第10条 国家安全机关因侦察危害国家安全行为的需要，根据国家有关规定，经过严格的批准手续，可以采取技术侦察措施 第11条 国家安全机关为维护国家安全的需要，可以查验组织和个人的电子通信工具、器材等设备、设施74法律全国人大关于维护互联网安全的决定全国人大关于维护互联网安全的决定v背景 互联网日益广泛的应用，对于加快我国国民经济、科学技术的发展和社会服务信息化进程

43、具有重要作用。如何保障互联网的运行安全和信息安全问题已经引起全社会的普遍关注v互联网安全的范畴（法律约束力） 互联网的运行安全（侵入、破坏性程序、攻击、中断服务等） 国家安全和社会稳定（有害信息、窃取/泄露国家秘密、煽动、非法组织等） 市场经济秩序和社会管理秩序（销售伪劣产品/虚假宣传、损害商业信誉、侵犯知识产权、扰乱金融秩序、淫秽内容服务等） 个人、法人和其他组织的人身、财产等合法权利（侮辱或诽谤他人、非法处理他人信息数据/侵犯通信自有和通信秘密、盗窃/诈骗/敲诈勒索等）v法律责任 构成犯罪的，依照刑法有关规定追究刑事责任 构成民事侵权的，依法承担民事责任 尚不构成犯罪的：治安管理处罚 /

44、行政处罚 / 行政处分或纪律处分 75法律国家信息化领导小组关于加强信息安全国家信息化领导小组关于加强信息安全保障工作的意见保障工作的意见（中办发（中办发200327200327号）号）v意义 标志着我国信息安全保障工作有了总体纲领 提出要在5年内建设中国信息安全保障体系v总体要求 坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全v信息安全与国家安全 27号文：信息安全已成为国家安全的重要组成部分 十六届四中全会：确保国家的政治安全、经济安全、文化安全和信息安全76中华人民共

45、和国计算机信息系统安全保中华人民共和国计算机信息系统安全保护条例（国务院护条例（国务院147147号令）号令）v国务院147号令 1994年2月，国务院发布 是我国在信息系统安全保护方面最早制定的一部政策性法规，也是我国信息系统安全保护最基本的一部法规v规定了 安全等级保护制度 国际互联网备案制度 信息系统安全产品销售许可证制度 77关于加强政府信息安全和保密管理工作的关于加强政府信息安全和保密管理工作的通知（国办发通知（国办发200817200817号）号）v加强组织领导，明确安全责任 重视信息安全和保密工作，明确主管领导 谁主管谁负责、谁运行谁负责、谁使用谁负责v强化教育培训，提高安全意识

46、和防护技能 组织信息安全和保密基本技能培训 深入学习宣传信息安全“五禁止”规定v完善安全措施和手段 管理制度+技术手段v做好信息安全检查工作，依法追究责任 详见政府信息系统安全检查办法78国务院关于大力推进信息化发展和切实保障国务院关于大力推进信息化发展和切实保障信息安全的若干意见信息安全的若干意见（国发国发201223201223号）号）v重要意义 调整经济结构，转变发展方式，保障和改善民生 健全信息安全保障体系，切实增强信息安全保障能力，维护国家信息安全v主要目标 重点领域信息化水平明显提高 下一代信息基础设施初步建成 国家信息安全保障体系基本形成 重要信息系统和基础网络安全防护能力明显增强 信息化装备的安全可控水平明显提高 信息安全等级保护等基础性工作明显加强79国务院关于大力推进信息化发展和切实保障国务院关于大力推进信息化发展和切实保障信息安全的若干意见信息安全的若干意见（国发国发201223201223号）号）v保障重点领域信息安全