关于信息安全工作的认识与体会

关于信息平安工作的认识与体会主要内容一、国家高度重视信息平安二、我国信息平安主要工作开展情况三、国家信息平安保障体系介绍四、对园区信息平安的几点建议.国家平安战略的演变和开展冷战结束后，各国面临的平安问题和威胁日益增加并趋复杂化，传统的以军事平安为主要内涵的国家平安和平安战略受到冲击，经济平安、金融平安、能源平安、信息平安、生态环境平安等诸多非传统平安问题逐渐突出，非传统威胁正在推动国家平安战略的演变和开展。2024/11/53.传统平安与非传统平安传统平安主要是指国家的政治平安和军事平安，即国家的生存不受威胁就国家外部平安而言，主要是指国家独立，主权和领土完整，不存在军事威胁和军事入侵非传统平安指除军事、政治和外交冲突以外的其他因素也对主权国家及人类整体生存与开展构成威胁国土平安、经济平安、文化平安、信息平安、社会平安等从不同的角度构成直接对国家平安威胁的重要因素信息平安属于非传统平安2024/11/54.党的十六届四中全会?决定?针对传统平安威胁和非传统平安威胁的因素相互交织的新情况，提出：增强国家平安意识完善国家平安战略抓紧构建维护国家平安的科学、协调、高效的工作机制?决定?还从全面应对传统平安威胁和非传统平安威胁着眼，重点提出了维护国家政治平安、经济平安、文化平安、信息平安、国防平安的重大任务。2024/11/55.中央领导重要指示胡锦涛总书记“把信息平安放到至关重要的位置上，认真加以考虑和解决〞。强调要从国家平安、社会稳定、经济开展的高度去认识信息平安问题的极端重要性。2024/11/56.中央领导重要指示温家宝总理面对复杂多变的国际环境和互联网的广泛应用，我国信息平安问题日益突出。参加世界贸易组织、开展电子政务等，对信息平安保障提出了新的、更高的要求。2024/11/57.主要内容一、国家领导重视信息平安二、我国信息平安主要工作开展情况三、国家信息平安保障体系介绍四、对园区信息平安的几点建议.近年国家层面的主要工作完成国家信息平安顶层设计开展信息平安规划管理体制和工作机制逐步建立根底性工作和根底设施建设取得较大进展

2024/11/59.一、完成国家信息平安顶层设计?国家信息化领导小组关于加强信息平安保障工作的意见?〔中办发[2003]27号文件〕我国第一个全面关于信息平安保障工作的文件，是我国今后一段时期内信息平安保障工作的纲领性文件2024/11/510.加强以密码技术为根底的信息保护和网络信任体系：标准和加强以身份认证、授权管理、责任认定等为主要内容的的网络信任体系建设2024/11/511.加强信息平安保障工作-总体要求：总体要求：坚持积极防御、综合防范的方针，全面提高信息平安防护能力，重点保障根底信息网络和重要信息系统平安，创立平安健康的网络环境，保障和促进信息化开展，保护公众利益，维护国家平安。2024/11/512.加强信息平安保障工作-主要原那么主要原那么：立足国情，以我为主，坚持管理与技术并重；正确处理平安与开展的关系，以平安保开展，在开展中求平安；统筹规划，突出重点，强化根底性工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息平安保障体系。2024/11/513.加强信息平安保障工作-九项任务一、加强信息平安保障工作的总体要求和主要原那么二、实行信息平安等级保护三、加强以密码技术为根底的信息保护和网络信任体系建设四、建设和完善信息平安监控体系五、重视信息平安应急处理工作六、加强信息平安技术研究开发，推进信息平安产业开展七、加快信息平安人才培养，增强全民信息平安意识八、保证信息平安资金九、加强对信息平安保障工作的领导，建立健全信息平安管理责任制2024/11/514.国家中长期科学和技术开展规划纲要明确未来15年信息平安技术开展重点：〔1〕掌握集成电路及关键元器件、大型软件、高性能计算、宽带无线移动通信、下一代网络等核心技术；〔2〕开发网络信息平安技术及相关产品，建立信息平安技术保障体系，具备防范各种信息平安突发事件的技术能力；〔3〕重点研究开发国家根底信息网络和重要信息系统中的平安保障技术，开发复杂大系统下的网络生存、主动实时防护、平安存储、网络病毒防范、恶意攻击防范、网络信任体系与新的密码技术等。2024/11/515.?中华人民共和国国民经济和社会开展第十一个五年规划纲要?积极防御、综合防范，提高信息平安保障能力。强化平安监控、应急响应、密钥管理、网络信任等信息平安根底设施建设。加强根底信息网络和国家重要信息系统的平安防护。推进信息平安产品产业化。开展咨询、测评、灾备等专业化信息平安效劳。健全平安等级保护、风险评估和平安准入制度。“信息平安保障〞列入国家“十一五〞规划，再显中央对信息平安工作的重视程度。2024/11/516.?2006－2021年国家信息化开展战略?提出了全面加强国家信息平安保障体系、增强国家信息平安保障能力的战略目标。?战略?是继中办发[2003]27号文件后提出的包括信息平安工作在内的又一纲领性文件，2024/11/517.?2006－2021年国家信息化开展战略?其战略任务可概括为完成信息平安保障六项工作和提高信息平安保障六大能力：1．信息平安保障六项工作可概括为：〔1〕建立和完善信息平安等级保护制度；〔2〕建设以密码为根底的网络信任体系；〔3〕建设和完善信息平安监控体系，加强网络防范，防止有害信息传播；〔4〕做好信息平安应急处置工作；〔5〕做好信息平安风险评估工作，综合平衡平安本钱和风险，确保重点，优化信息平安资源配置；〔6〕促进资源共享，加强灾难备份体系建设。2024/11/518.?2006－2021年国家信息化开展战略?提高信息平安保障六大能力：〔1〕信息平安核心产品和技术的自主创新能力；〔2〕信息平安人才保障能力；〔3〕信息平安法律保障能力；〔4〕信息平安根底设施支撑能力；〔5〕网络宣传驾驭能力；〔6〕国际影响力。2024/11/519.二、开展信息平安规划国家开展与改革委积极布局国家“十一五〞信息化开展规划，并列专题研究了信息平安问题。?国家“十一五〞科学技术开展规划?规定：在信息领域，重点研究开发高性能CPU和面向网络通信、信息家电、信息平安和工业控制的系统芯片；研究新一代网络与通信关键技术、传感器网络与智能信息处理技术以及新型开放式架构核心路由器、效劳器和低本钱网络信息终端。国家“863〞方案根据国际信息平安技术开展态势，结合我国信息平安技术实际应用需求，重点支持复杂系统下的网络生存、主动实时防护、平安存储、网络病毒防范、网络信任保障等技术和系统的研发。2024/11/520.二、开展信息平安规划?国家自然科学基金“十一五〞开展规划?在完善学科布局和部署优先开展领域方面向信息科学研究倾斜，把信息平安领域中的可信计算、包括量子密码的量子调控理论和技术作为未来五年的重点支持领域。?信息产业科技开展“十一五〞规划和2021年中长期规划纲要?提出使集成电路在信息平安和国防平安领域的自给率到达70%以上的建设目标，并重点支持和开展密码技术；平安处理芯片；电子认证、责任认定、授权管理；计算环境和终端平安处理；网络和通信边界平安；应急响应和灾难恢复；信息平安测评等技术和相关产品。2024/11/521.三、管理体制和工作机制逐步建立信息平安等级保护信息平安风险评估信息平安产品认证认可网络信任体系建设2024/11/522.管理体制和工作机制逐步建立

〔1〕信息平安等级保护?国家信息化领导小组关于加强信息平安保障工作的意见?〔中办发[2003]27号文件〕

实行信息平安等级保护公安部等四部委联合下发了?关于加强信息平安等级保护的意见?2024/11/523.管理体制和工作机制逐步建立

〔1〕信息平安等级保护信息平安等级保护制度的主要工作内容信息平安等级保护是指：对国家秘密信息、法人和其他组织及公民的专有信息、公开信息分类分级进行管理和保护；对信息系统按业务平安应用域和区实行分级保护。对系统中使用的信息平安产品实行按分级许可管理。对等级系统的平安效劳资质分级许可管理。对信息系统中发生的信息平安事件分等级响应、处置。2024/11/524.信息平安等级保护管理方法公布单位：公安部、国家保密局、国家密码管理局、国务院信息化工作办公室安全等级名称对国家安全、社会秩序、经济建设和公共利益的危害程度监管方式第一级自主保护级无影响自主保护第二级指导保护级有一定损害政府职能部门指导下的自主保护第三级监督保护级较大损害政府职能部门监督下的严格保护第四级强制保护级严重损害政府职能部门的强制监督和检查下的严格保护第五级专控保护级特别严重损害政府协助下由主管部门和使用单位实施专门控制和保护2024/11/525.管理体制和工作机制逐步建立

〔2〕信息平安风险评估工作?国家信息化领导小组关于加强信息平安保障工作的意见?〔中办发[2003]27号文件〕

要重视信息平安风险评估工作，对网络与信息系统平安的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的风险等因素，进行相应等级的平安建设和管理。2024/11/526.?关于开展信息平安风险评估工作的意见?〔国信办[2006]5号〕什么是信息平安风险评估信息平安风险评估是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在地脆弱性，评估平安事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。目的是：为防范和化解信息平安风险，或者将风险控制在可接受的水平，从而最大限度地保障网络和信息系统提供科学依据。2024/11/527.管理体制和工作机制逐步建立

〔3〕信息平安产品认证认可认监委等八部委联合发下发了?关于建立国家信息平安产品认证认可体系的通知?2005年4月19日国家信息平安产品认证管理委员会成立，这标志着我国建立统一的信息平安产品认证认可体系已进入实质性的实施阶段。2024/11/528.管理体制和工作机制逐步建立

〔4〕网络信任体系建设?国家信息化领导小组关于加强信息平安保障工作的意见?〔中办发[2003]27号文件〕加强以密码技术为根底的信息保护和网络信任体系建设2006年2月国务院办公厅下发?关于网络信任体系建设假设干意见的通知?〔国办发[2006]11号〕。对网络信任体系建设提出了总体要求。2024/11/529.电子签名已得到广泛的成认：

2004年全国人大常委会通过了?电子签名法?

2005年信息产业部制定了?电子认证效劳管理方法?管理体制和工作机制逐步建立

〔4〕网络信任体系建设2024/11/530.管理体制和工作机制逐步建立

〔5〕信息平安应急协调机制建设?国家信息化领导小组关于加强信息平安保障工作的意见?〔中办发[2003]27号文件〕重视信息平安应急处理工作2004年8月成立了国家网络与信息平安通报中心2005年4月,国信办发布了?关于做好重要信息系统灾难备份工作的通知?2024/11/531.四、根底性工作和根底设施建设取得较大进展

〔1〕信息平安标准化工作2002年4月15日，全国信息平安标准化技术委员会在北京正式成立2024/11/532.该标委会是在信息平安的专业领域内，从事信息平安标准化工作的技术工作组织。它的工作任务是向国家标准化管理委员会提出本专业标准化工作的方针、政策和技术措施的建议。四、根底性工作和根底设施建设取得较大进展

〔1〕信息平安标准化工作2024/11/533.四、根底性工作和根底设施建设取得较大进展

〔2〕信息平安法制取得进步随着信息网络广泛应用于社会政治、经济和文化生活的各个领域，信息平安、知识产权、消费者权益保护、个人隐私和商业秘密保护、传统文化与道德冲突等问题越来越突出。要及时研究新情况、新问题，有针对性地制订相应的监管政策和法律法规，形成有效的管理机制。2024/11/534.四、根底性工作和根底设施建设取得较大进展

〔3〕技术研究和产业取得重要成果?国家信息化领导小组关于加强信息平安保障工作的意见?〔中办发[2003]27号文件〕加强信息平安技术研究开发，推进信息平安产业开展国家发改委重点支持18个信息平安产业化工程、两个研究中心、两个国家信息平安根底设施建设工程。国家863方案共有48个信息平安课题立项。全年国内信息平安市场总量估计到达28.7亿元。2024/11/535.四、根底性工作和根底设施建设取得较大进展

〔4〕加强信息平安学科、专业建设和人才培养工作?国家信息化领导小组关于加强信息平安保障工作的意见?〔中办发[2003]27号文件〕

加快信息平安人才培养，增强全民信息平安意识教育部起草了?教育部关于进一步加强信息平安学科、专业建设和人才培养工作的意见?。据2006年初的统计数据，教育部共批准42所本科、38所专科院校开设信息平安专业。2006年初，在校的本科生到达9,182人，专科生到达3,787人。中国科学院研究生院、北京邮电大学、西安电子科技大学、上海交通大学、西北工业大学等相继设置了信息平安或网络与信息平安的博士点。全国从事信息平安工作的专职人员大幅增长。2024/11/536.主要内容一、国家领导重视信息平安二、我国信息平安主要工作开展情况三、国家信息平安保障体系介绍四、对园区信息平安的几点建议.组织管理技术保障信息安全基础设施产业支撑人材教育和培养法规与标准国家信息安全保障体系一个体系、六个要素国家信息平安保障体系框架2024/11/538.国家信息平安保障工作要点实行信息平安等级保护制度：风险与本钱、资源优化配置、平安风险评估基于密码技术网络信任体系建设：密码管理体制、身份认证、授权管理、责任认定建设信息平安监控体系：提高对网络攻击、病毒入侵、网络失窃密、有害信息的防范能力重视信息平安应急处理工作：指挥、响应、协调、通报、支援、抗毁、灾备推动信息平安技术研发与产业开展：关键技术、自主创新、强化可控、引导与市场、测评认证、采购、效劳信息平安法制与标准建设：信息平安法、打击网络犯罪、标准体系、标准网络行为信息平安人材培养与增强平安意识：学科、培训、意识、技能、自律、守法信息平安组织建设：信息平安协调小组、责任制、依法管理2024/11/539.主要内容一、国家领导重视信息平安二、我国信息平安主要工作开展情况三、国家信息平安保障体系介绍四、对园区信息平安的几点建议.平安威胁日益严重复合威胁：蠕虫、病毒、特洛伊木马黑客攻击基础设施Flash威胁大规模蠕虫侵入分布式Dos攻击可加载病毒和蠕虫（如脚本病毒….）1980s1990s2000sToday威胁发生的频率－加快威胁的种类－剧增攻击对象－变广攻击源－变强2024/11/541.面对层出不穷的平安漏洞和各式各样的威胁，简单的产品堆叠无法保证组织的信息平安！员工Hacks/Cracks自然界和环境威胁内部人员的操作失误或恶意行为系统故障信息及相关资源其他问题蠕虫、木马病毒泛滥2024/11/542.实例3000万机房