资源描述
关于信息安全工作的认识与体会,主要内容,一、国家高度重视信息安全 二、我国信息安全主要工作开展情况 三、国家信息安全保障体系介绍 四、对园区信息安全的几点建议,3,2019/11/30,国家安全战略的演变和发展,冷战结束后,各国面临的安全问题和威胁日益增加并趋复杂化,传统的以军事安全为主要内涵的国家安全和安全战略受到冲击,经济安全、金融安全、能源安全、信息安全、生态环境安全等诸多非传统安全问题逐渐突出,非传统威胁正在推动国家安全战略的演变和发展。,4,2019/11/30,传统安全与非传统安全,传统安全主要是指国家的政治安全和军事安全,即国家的生存不受威胁 就国家外部安全而言,主要是指国家独立,主权和领土完整,不存在军事威胁和军事入侵 非传统安全指除军事、政治和外交冲突以外的其他因素也对主权国家及人类整体生存与发展构成威胁 国土安全、经济安全、文化安全、信息安全、社会安全等从不同的角度构成直接对国家安全威胁的重要因素 信息安全属于非传统安全,5,2019/11/30,党的十六届四中全会决定,针对传统安全威胁和非传统安全威胁的因素相互交织的新情况,提出: 增强国家安全意识 完善国家安全战略 抓紧构建维护国家安全的科学、协调、高效的工作机制 决定还从全面应对传统安全威胁和非传统安全威胁着眼,重点提出了维护国家政治安全、经济安全、文化安全、信息安全、国防安全的重大任务。,6,2019/11/30,中央领导重要指示,胡锦涛总书记 “把信息安全放到至关重要的位置上,认真加以考虑和解决”。 强调要从国家安全、社会稳定、经济发展的高度去认识信息安全问题的极端重要性。,7,2019/11/30,中央领导重要指示,温家宝总理 面对复杂多变的国际环境和互联网的广泛应用,我国信息安全问题日益突出。加入世界贸易组织、发展电子政务等,对信息安全保障提出了新的、更高的要求。,主要内容,一、国家领导重视信息安全 二、我国信息安全主要工作开展情况 三、国家信息安全保障体系介绍 四、对园区信息安全的几点建议,9,2019/11/30,近年国家层面的主要工作,完成国家信息安全顶层设计 开展信息安全规划 管理体制和工作机制逐步建立 基础性工作和基础设施建设取得较大进展,10,2019/11/30,一、完成国家信息安全顶层设计,国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号文件) 我国第一个全面关于信息安全保障工作的文件,是我国今后一段时期内信息安全保障工作的纲领性文件,11,2019/11/30,加强以密码技术为基础的信息保护和网络信任体系:规范和加强以身份认证、授权管理、责任认定等为主要内容的的网络信任体系建设,12,2019/11/30,加强信息安全保障工作-总体要求:,总体要求: 坚持积极防御、综合防范的方针, 全面提高信息安全防护能力, 重点保障基础信息网络和重要信息系统安全, 创建安全健康的网络环境, 保障和促进信息化发展, 保护公众利益,维护国家安全。,13,2019/11/30,加强信息安全保障工作-主要原则,主要原则: 立足国情,以我为主, 坚持管理与技术并重; 正确处理安全与发展的关系,以安全保发展,在发展中求安全; 统筹规划,突出重点,强化基础性工作; 明确国家、企业、个人的责任和义务,充分发挥各方面的积极性,共同构筑国家信息安全保障体系。,14,2019/11/30,加强信息安全保障工作-九项任务,一、加强信息安全保障工作的总体要求和主要原则 二、实行信息安全等级保护 三、加强以密码技术为基础的信息保护和网络信任体系建设 四、建设和完善信息安全监控体系 五、重视信息安全应急处理工作 六、加强信息安全技术研究开发,推进信息安全产业发展 七、加快信息安全人才培养,增强全民信息安全意识 八、保证信息安全资金 九、加强对信息安全保障工作的领导,建立健全信息安全管理责任制,15,2019/11/30,国家中长期科学和技术发展规划纲要,明确未来15年信息安全技术发展重点: (1)掌握集成电路及关键元器件、大型软件、高性能计算、宽带无线移动通信、下一代网络等核心技术; (2)开发网络信息安全技术及相关产品,建立信息安全技术保障体系,具备防范各种信息安全突发事件的技术能力; (3)重点研究开发国家基础信息网络和重要信息系统中的安全保障技术,开发复杂大系统下的网络生存、主动实时防护、安全存储、网络病毒防范、恶意攻击防范、网络信任体系与新的密码技术等。,16,2019/11/30,中华人民共和国国民经济和社会发展第十一个五年规划纲要,积极防御、综合防范,提高信息安全保障能力。强化安全监控、应急响应、密钥管理、网络信任等信息安全基础设施建设。加强基础信息网络和国家重要信息系统的安全防护。推进信息安全产品产业化。发展咨询、测评、灾备等专业化信息安全服务。健全安全等级保护、风险评估和安全准入制度。 “信息安全保障”列入国家“十一五”规划,再显中央对信息安全工作的重视程度。,17,2019/11/30,20062020年国家信息化发展战略,提出了全面加强国家信息安全保障体系、增强国家信息安全保障能力的战略目标。 战略是继中办发200327号文件后提出的包括信息安全工作在内的又一纲领性文件,,18,2019/11/30,20062020年国家信息化发展战略,其战略任务可概括为完成信息安全保障六项工作和提高信息安全保障六大能力: 1信息安全保障六项工作可概括为: (1)建立和完善信息安全等级保护制度; (2)建设以密码为基础的网络信任体系; (3)建设和完善信息安全监控体系,加强网络防范, 防止有害信息传播; (4)做好信息安全应急处置工作; (5)做好信息安全风险评估工作,综合平衡安全成本和风险,确保重点,优化信息安全资源配置; (6)促进资源共享,加强灾难备份体系建设。,19,2019/11/30,20062020年国家信息化发展战略,提高信息安全保障六大能力: (1)信息安全核心产品和技术的自主创新能力; (2)信息安全人才保障能力; (3)信息安全法律保障能力; (4)信息安全基础设施支撑能力; (5)网络宣传驾驭能力; (6)国际影响力。,20,2019/11/30,二、开展信息安全规划,国家发展与改革委积极布局国家“十一五”信息化发展规划,并列专题研究了信息安全问题。 国家“十一五”科学技术发展规划规定:在信息领域,重点研究开发高性能CPU和面向网络通信、信息家电、信息安全和工业控制的系统芯片;研究新一代网络与通信关键技术、传感器网络与智能信息处理技术以及新型开放式架构核心路由器、服务器和低成本网络信息终端。 国家 “863”计划根据国际信息安全技术发展态势,结合我国信息安全技术实际应用需求,重点支持复杂系统下的网络生存、主动实时防护、安全存储、网络病毒防范、网络信任保障等技术和系统的研发。,21,2019/11/30,二、开展信息安全规划,国家自然科学基金“十一五”发展规划在完善学科布局和部署优先发展领域方面向信息科学研究倾斜,把信息安全领域中的可信计算、包括量子密码的量子调控理论和技术作为未来五年的重点支持领域。 信息产业科技发展“十一五”规划和2020年中长期规划纲要提出使集成电路在信息安全和国防安全领域的自给率达到70%以上的建设目标,并重点支持和发展密码技术;安全处理芯片;电子认证、责任认定、授权管理;计算环境和终端安全处理;网络和通信边界安全;应急响应和灾难恢复;信息安全测评等技术和相关产品。,22,2019/11/30,三、管理体制和工作机制逐步建立,信息安全等级保护 信息安全风险评估 信息安全产品认证认可 网络信任体系建设,23,2019/11/30,管理体制和工作机制逐步建立 (1)信息安全等级保护,国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号文件) 实行信息安全等级保护 公安部等四部委联合下发了关于加强信息安全等级保护的意见,24,2019/11/30,管理体制和工作机制逐步建立 (1)信息安全等级保护,信息安全等级保护制度的主要工作内容 信息安全等级保护是指:对国家秘密信息、法人和其他组织及公民的专有信息、公开信息分类分级进行管理和保护; 对信息系统按业务安全应用域和区实行分级保护。 对系统中使用的信息安全产品实行按分级许可管理。 对等级系统的安全服务资质分级许可管理。 对信息系统中发生的信息安全事件分等级响应、处置。,25,2019/11/30,信息安全等级保护管理办法,颁布单位:公安部、国家保密局、国家密码管理局、国务院信息化工作办公室,26,2019/11/30,管理体制和工作机制逐步建立 (2)信息安全风险评估工作,国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号文件) 要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、涉密程度和面临的风险等因素,进行相应等级的安全建设和管理。,27,2019/11/30,关于开展信息安全风险评估工作的意见(国信办 20065号),什么是信息安全风险评估 信息安全风险评估是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在地脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。 目的是:为防范和化解信息安全风险,或者将风险控制在可接受的水平,从而最大限度地保障网络和信息系统提供科学依据。,28,2019/11/30,管理体制和工作机制逐步建立 (3)信息安全产品认证认可,认监委等八部委联合发下发了关于建立国家信息安全产品认证认可体系的通知 2005年4月19日国家信息安全产品认证管理委员会成立,这标志着我国建立统一的信息安全产品认证认可体系已进入实质性的实施阶段。,29,2019/11/30,管理体制和工作机制逐步建立 (4)网络信任体系建设,国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号文件) 加强以密码技术为基础的信息保护和网络信任体系建设 2006年2月国务院办公厅下发关于网络信任体系建设若干意见的通知(国办发200611号) 。 对网络信任体系建设提出了总体要求。,30,2019/11/30,电子签名已得到广泛的承认: 2004年全国人大常委会通过了电子签名法 2005年信息产业部制定了电子认证服务管理办法,管理体制和工作机制逐步建立 (4)网络信任体系建设,31,2019/11/30,管理体制和工作机制逐步建立 (5)信息安全应急协调机制建设,国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号文件) 重视信息安全应急处理工作 2004年8月成立了国家网络与信息安全通报中心 2005年4月,国信办发布了关于做好重要信息系统灾难备份工作的通知,32,2019/11/30,四、基础性工作和基础设施建设取得较大进展 (1)信息安全标准化工作,2002年4月15日,全国信息安全标准化技术委员会在北京正式成立,33,2019/11/30,该标委会是在信息安全的专业领域内,从事信息安全标准化工作的技术工作组织。 它的工作任务是向国家标准化管理委员会提出本专业标准化工作的方针、政策和技术措施的建议。,四、基础性工作和基础设施建设取得较大进展 (1)信息安全标准化工作,34,2019/11/30,四、基础性工作和基础设施建设取得较大进展 (2)信息安全法制取得进步,随着信息网络广泛应用于社会政治、经济和文化生活的各个领域,信息安全、知识产权、消费者权益保护、个人隐私和商业秘密保护、传统文化与道德冲突等问题越来越突出。要及时研究新情况、新问题,有针对性地制订相应的监管政策和法律法规,形成有效的管理机制。,35,2019/11/30,四、基础性工作和基础设施建设取得较大进展 (3)技术研究和产业取得重要成果,国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号文件) 加强信息安全技术研究开发,推进信息安全产业发展 国家发改委重点支持18个信息安全产业化项目、两个研究中心、两个国家信息安全基础设施建设项目。 国家863计划共有48个信息安全课题立项。 全年国内信息安全市场总量估计达到28.7亿元。,36,2019/11/30,四、基础性工作和基础设施建设取得较大进展 (4)加强信息安全学科、专业建设和人才培养工作,国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号文件) 加快信息安全人才培养,增强全民信息安全意识 教育部起草了教育部关于进一步加强信息安全学科、专业建设和人才培养工作的意见。 据2006年初的统计数据,教育部共批准42所本科、38所专科院校开设信息安全专业。2006年初,在校的本科生达到9,182人,专科生达到3,787人。 中国科学院研究生院、北京邮电大学、西安电子科技大学、上海交通大学、西北工业大学等相继设置了信息安全或网络与信息安全的博士点。 全国从事信息安全工作的专职人员大幅增长。,主要内容,一、国家领导重视信息安全 二、我国信息安全主要工作开展情况 三、国家信息安全保障体系介绍 四、对园区信息安全的几点建议,38,2019/11/30,国家信息安全保障体系框架,39,2019/11/30,国家信息安全保障工作要点,实行信息安全等级保护制度:风险与成本、资源优化配置、安全风险评估 基于密码技术网络信任体系建设:密码管理体制、身份认证、授权管理、责任认定 建设信息安全监控体系:提高对网络攻击、病毒入侵、网络失窃密、有害信息的防范能力 重视信息安全应急处理工作:指挥、响应、协调、通报、支援、抗毁、灾备 推动信息安全技术研发与产业发展:关键技术、自主创新、强化可控、引导与市场、测评认证、采购、服务 信息安全法制与标准建设:信息安全法、打击网络犯罪、标准体系、规范网络行为 信息安全人材培养与增强安全意识:学科、培训、意识、技能、自律、守法 信息安全组织建设:信息安全协调小组、责任制、依法管理,主要内容,一、国家领导重视信息安全 二、我国信息安全主要工作开展情况 三、国家信息安全保障体系介绍 四、对园区信息安全的几点建议,41,2019/11/30,安全威胁日益严重,威胁发生的频率加快 威胁的种类剧增 攻击对象变广 攻击源变强,42,2019/11/30,面对层出不穷的安全漏洞和各式各样的威胁,简单的产品堆叠无法保证组织的信息安全!,43,2019/11/30,实例,3000万机房 2路供电(99.99%) 200万的电源后备系统(99.99%) 40万的大型主机 2路电源(99.99%) 50元的电源插座,44,2019/11/30,某运营商1.2亿安全投入PK380万损失 2005 3 7 某公司 31岁 程XX 月薪 1万多 不缺钱 深圳、拉萨、北京 曾经的客户拉萨 一个密码 6600张,380万的损失,实例2,在奥运举办前夕,按公安部要求,在涉奥城市做了信息安全领域的检查检测。 硬件环境 专业化的信息安全服务 理解与认识程度,共性问题,46,共性问题,信息安全管理机构建设不完善 信息安全管理制度不健全(不成体系) 缺乏深入防御、纵深防护的安全建设 重要信息系统保障手段不够完备(单点故障) 缺乏必要的系统审计手段 应急响应机制落实不到位,个性问题,开发区信息安全的两个保障主体 政府:可参照电子政务、行政法规等规定。园区不同于一般政府部门,其信息安全需求即需要重视政策层面以及应用系统的保障(类似政府),又要协助园区企业做好信息安全方面的统筹建设工作,以提升园区投资环境。 企业:自身所获取的信息、及专利、著作权等是企业的核心竞争力。 针对开发区产业升级,向高附加值的服务业发展,在保障自身的同时,提供园区企业安全的计算环境。,几点建议,管理层面: 相关规章制度的进一步完善; 建立周期性的评估机制; 技术层面: 根据网络的应用系统特点,通过数据库系统、WEB系统扫描分析,在确保应用正常传输的前提下,尽可能切断传播途径; 从强审计、加固、准入控制(web防火墙)等方面加强应用的防护能力; 建立统一的管理平台,将各类防护工具、技术有效结合,以达到降低风险、提高应急响应能力的建设目标;,谢谢!,
展开阅读全文