信息化与信息安全

信息化与信息安全

扬州市网络与信息安全协调小组办公室2020/12/181

●信息安全概念与形势环境

●信息安全法律法规及其建设历程

●信息安全管理体制与信息安全事件分类

●信息安全风险评估与信息安全等级保护●信息安全工作实践体会与建议2020/12/182

我国信息化进程起于20世纪80年代，始自党政机关办公自动化建设“中南海工程”；90年代，国务院相继组织实施“三金工程”，信息化应用从办公自动化逐步延伸到电子政务,从电子政务拓展到电子商务、电子公务，继而渗透到国民经济和社会发展的各个领域。进入21世纪，我国信息化步入快速发展的新阶段，信息化在促进经济与社会协调、稳定、持续的发展过程中,发挥着越来越重要的作用现已成为加快我国国民经济发展、提高政府管理和服务水平、增强企业竞争力、改善人民群众生活的重要推动力。2020/12/183从“开发信息资源、服务四化建设”到“两化融合、五化并举”，信息化上升为国家战略，成为衡量一个国家现代化水平和综合国力的重要标志；随着信息化与经济全球化的加速发展整个社会越来越依赖网络和信息系统，广大民众越来越深刻认识到信息化的前景和潜在价值、体验享受到信息化带来的便捷和益处。正因为如此，网络、信息系统和信息资源的安全就直接关系到国家的经济发展、社会稳定和国防巩固，信息安全现已成为国家安全的重要组成部分，这是党中央、国务院在新时期、新阶段、新形势和新任务下作出的科学论断。2020/12/184一、信息安全概念与形势环境

2020/12/185

1、概念

信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。信息安全是一个不断演化、动态发展的概念，对于信息安全的认识和理解也是不断发展的。从主机时代到微机时代、从局域网时代到互联网时代，不同时期信息安全有着不同的模式和含义。2020/12/186

2、特征

信息安全依托于全球网络，其本身并不是一成不变，而是处于不断的发展变化之中，不同时期各个特点的突出程度不同。信息安全是整体的、发展的、无边界的、非传统的、动态的、相对的，具有全球化特点，不是一个国家能完全控制也不能用传统的办法来解决的问题，需要综合运用政策、法律、管理和技术等各种手段。

信息安全威胁的主要来源

◆自然灾害、意外事故；◆计算机犯罪；◆"黑客"行为；◆内部泄密；◆外部泄密；◆信息丢失；◆信息战；◆人为错误，比如使用不当，安全意识差等；◆电子谍报，比如信息流量分析、信息窃取等；◆网络协议自身缺陷缺陷，例如TCP/IP协议的安全问题等等。2020/12/187信息安全涉及的主要问题◆网络攻击与攻击检测、防范问题◆安全漏洞与安全对策问题◆信息安全保密问题◆系统内部安全防范问题◆防病毒问题◆数据备份与恢复问题、灾难恢复问题2020/12/188

3、环境当前，信息安全已成为世界性的技术和社会问题，成为各国面临的共同挑战。我国信息安全问题的出现和演变，与国际政治斗争和国际安全环境变化密切相关。与发达国家相比，我国信息安全环境具有四个特点：

第一，我国虽是信息大国，但不是信息强国。第二，我国信息化发展存在极大地不平衡性。第三，在信息流量和信息资源上外强内弱。第四，我国信息安全问题具有现实的错综复杂性。

例如：敌对势力的渗透破坏（新疆7.5事件）、网络违法犯罪活动、信息系统本身缺陷、计算机病毒种类和数量迅速增加，破坏性增强，扩散和变异速度加快，反杀能力不断增强、少数人的利益诉求和不良情绪。2020/12/1894、作用信息安全由政治安全、国防安全、经济安全、文化安全等部分构成，主要包括基础信息网络与重要信息系统安全以及信息内容传播的安全。

就政治安全而言，信息安全是维护国家主权的坚实基础就国防安全而言，信息安全是赢得未来军事战争的重要保障就经济安全而言，信息安全是保障国家经济持续稳定发展重要条件就文化安全而言，信息安全是保持民族文化传统的必然选择2020/12/1810二、信息安全法律法规及其建设历程

2020/12/1811

我国从20世纪90年代中期至今制定了一大批专门针对信息网络安全的法律、法规和行政规章。1、主要文件

年份文件名称制发机关

1994年《中华人民共和国计算机信息系统安全保护条例》国务院2000年《关于维护互联网安全的决定》全国人大常委会2003年《关于加强信息安全保障工作的意见》中办2004年《关于信息安全等级保护工作的实施意见》公安部、国信办等2008年《关于加强信息安全保障工作的意见》省委、省政府2011年《江苏省信息化条例》省人大常委会2012年《关于加强和改进全市互联网管理工作的实施意见》市委办、市府办2020/12/1812

2、出台背景：

为认真贯彻落实中办27号文件精神，2004年初，召开全国信息安全工作会议，全面部署重点保障信息网络和重要信息系统安全、创建安全健康的网络环境的各项工作；2004年秋，十六届四中全会将信息安全提高到关乎执政的认识高度；2005年，全面启动信息安全保障体系建设的准备工作。

在方针上，采取积极防御、综合治理的管理方针；在政策上，采取谁主管、谁负责，谁使用、谁负责的管理政策；在措施上，采用威严的法律、严格的管理、先进的技术相结合的手段。2020/12/1813

3、主要任务建设和完善信息安全法律法规体系；建立统一的技术标准体系；建立信息安全管理体制，加强信息安全管理；加强关键技术研究；建设信息安全基础设施，建立和完善各种应急备份体系；建立信息安全培训和人才培养体系，实施人才战略。通过逐步实现保护、监测、预警、响应、恢复和反制等信息安全保障环节，全面提升和增强信息安全防护能力、隐患发现能力、应急反应能力信息对抗能力，为防范来自组织内部、外部和内外勾结以及灾害和系统的脆弱性所构成的对信息基础设施、应用和内容各层面的按威胁，为国家信息安全提供全方位的保障。2020/12/1814

三、信息安全管理体制与信息安全事件分类2020/12/1815

1、管理体制职能党和政府高度重视信息安全保障工作，目前已经形成了党政联合、各司其职、相互配合，综合利用法律、管理和技术手段，共同维护国家信息安全的信息安全管理体系。

国家密码管理局国家安全部公安部保密局工业和信息化部（通信保障局、信息安全协调司）2020/12/1816换个角度看：根据我国现行信息安全管理体制，电信网、广播电视传输网、互联网等国家基础信息网络和金融、电力、民航、铁路、海关等重要行业信息系统安全由国家统一管理；其他网络与从事经济运行、市场调节、社会管理、公共服务的信息系统安全实行属地管理。其中，涉及国家秘密的信息网络、信息系统由各级国家保密主管部门负责，非涉密信息网络、信息系统安全由各级政府信息化部门协调各有关部门负责。2020/12/1817

2、事件分级分类：序号第一层分类第二层分类有害程序事件计算机病毒事件、蠕虫事件、木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件等2网络攻击事件拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等信息破坏事件信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件等信息内容安全事件违反宪法和法律法规的信息安全事件、组织非法串联、煽动集会游行的信息安全事件、针对社会事项形成网上敏感舆论热点出现规模炒作的信息安全事件及其他危害国家安全、社会稳定和公共利益的信息内容安全事件等设备设施故障软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障等灾害性事件由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。主要包括水灾、台风、地震、雷击、坍塌、恐怖袭击、战争等7其他信息安全事件不能归为以上6个基本分类的信息安全事件2020/12/1818序号事件级别系统损失和社会影响1特别重大事件（Ⅰ级）能够导致特别严重影响或破坏的事件。信息系统中断运行2小时以上、影响人数100万以上，信息系统数据丢失或被窃取、篡改、假冒或导致损失10亿元以上经济损失，通过网络传播反动信息涉密信息谣言对国家安全和社会稳定构成特别严重危害2重大事件（Ⅱ级）能够导致严重影响或破坏的事件。信息系统中断运行30分钟以上、影响人数10万以上，信息系统数据丢失或被窃取、篡改、假冒或导致损失1亿元以上经济损失，通过网络传播反动信息涉密信息谣言对国家安全和社会稳定构成严重危害3较大事件（Ⅲ级）能够导致较严重影响或破坏的事件。信息系统中断运行造成严重影响，信息系统数据丢失或被窃取、篡改、假冒或导致损失1000万元以上经济损失，通过网络传播反动信息涉密信息谣言对国家安全和社会稳定构成较严重危害4一般事件（Ⅳ级）能够导致较小严重影响或破坏的事件。除上述情形外，对国家安全、社会秩序、经济建设和公众利益构成一定威胁，造成一定影响的网络与信息安全事件2020/12/1819四、信息安全风险评估与信息安全等级保护

2020/12/1820

1、对象信息系统：由计算机、信息网络及其配套的设施、设备构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的运行体系。重要信息系统：履行经济调节、市场监管、社会管理和公共服务职能的信息系统。2020/12/18212、风险评估信息安全风险评估是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的漏洞，评估安全事件一旦发生可能造成的危害程度，提出有针性的抵御威胁的防护对策和整改措施，从而最大限度地保障网络和信息安全。风险评估分为自评估和检查评估。2020/12/1822

3、等级保护信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。等级保护的核心是信息系统的分等级保护，由低到到高划分为1—5级。2020/12/1823

截至2009年底，风险评估制度已在全省全面推行，并成为履行信息安全责任制的一项重要工作列入政府信息系统年度安全检查的重要内容。目前共核准江苏省信息安全风险评估自评估备案企业15家，检查评估备案企业8家；全省信息安全等级保护备案单位总数达3820个,备案信息系统达9597个，核准27家等级保护测评机构，依法对1754个单位共4099个信息系统进行了专项检查。

检查评估资质:神州数码(扬州)信息系统有限公司

自评估资质:神州数码(扬州)信息系统有限公司扬州莱斯信息系统有限公司等级测评资质:扬州大自然信息系统有限公司2020/12/1824当前及今后一个时期，我省信息安全保障重点是：加强信息安全基础性工作，完善基础设施，强化互联网安全管理，大力发展信息安全技术和产业，从组织体系、技术体系、安全产品体系、安全管理体系、安全标准法规体系五个方面，进一步构建完善的信息安全保障体系。2020/12/1825五、信息安全工作实践体会与建议2020/12/1826做好信息安全，首先要做好网络信息安全保密工作秘密是与公开相对而言的，具有隐蔽性、莫测性、时间性三个要素

1、加强学习，强化意识

《保密法》核心要义：“任何危害国家秘密安全的行为，都必须受到法律追究”《保密法》修订变化：结果论与行为论国家秘密、工作秘密，政治意识、全局观念，四个不得危及敏感信息、政务公开，先行审查、后再发布，三个不得公开

做好信息安全，其次要做好网络技术防范管理工作严格执行《江苏省信息化条例》各项规定2、加强管理，强化责任网站域名、网络接入、网络终端、网站运维、网络安全规范化

建章立制，领导挂帅，层层落实，责任到人技术保障，规范管理，健全台帐，定期检查

2020/12/1827做好信息安全，再次要做好个人日常行为自律工作

3、加强自律，强化细节（1）信息安全常识：

网络威胁真不少，安全警惕要提高；工作勿做无关事，软件安装有规定系统更新要及时，口令要强难猜出；防火墙来守大门，杀毒软件要配备临时离开要锁屏，文件传送要加密；不明邮件不要看，小心垃圾和欺骗恶意软件遍网页，切勿轻易装插