信息安全保障概述.ppt

《信息安全保障概述.ppt》由会员分享，可在线阅读，更多相关《信息安全保障概述.ppt（97页珍藏版）》请在三一文库上搜索。

1、信息安全保障概述,中国信息安全测评中心,课程内容,2,信息安全保障概述,信息安全保障 框架,国家信息安全 政策法规,知识体：信息安全保障框架,知识域：安全保障框架基础知识 理解信息安全的基本概念 理解信息安全保障的意义和内涵； 了解信息安全保障工作的总体思路和基本实践方法。 知识域：信息安全保障基本实践 了解我国信息安全保障工作发展阶段； 我国信息安全保障基本原则； 我国信息安全保障建设主要内容； 我国信息安全保障工作的基本内容。,3,什么是安全？,安全 Security：事物保持不受损害,4,什么是信息安全？,保密！,不该知道的人，不让他知道！,5,什么是信息安全？,完整！,信息不能追求残缺

2、美！,6,什么是信息安全？,可用！,信息要方便、快捷！ 不能像某国首都二环早高峰，也不能像春运的火车站,7,什么是信息安全,信息本身的机密性（Confidentiality）、完整性（Integrity）和可用性（Availability）的保持，即防止防止未经授权使用信息、防止对信息的非法修改和破坏、确保及时可靠地使用信息。,保密性：确保信息没有非授权的泄漏，不被非授权的个人、组织和计算机程序使用 完整性：确保信息没有遭到篡改和破坏 可用性：确保拥有授权的用户或程序可以及时、正常使用信息,8,为什么会有信息安全问题？,因为有病毒吗？,因为有黑客吗？,因为有漏洞吗？,这些都是原因， 但没有说到

3、根源,9,信息系统安全问题产生的根源与环节,内因 复杂性导致脆弱性：过程复杂，结构复杂，使用复杂 外因 对手: 威胁与破坏,10,内在复杂过程,信息系统理论 冯-诺伊曼机，在程序与数据的区分上没有确定性的原则 设计 从设计的角度看，在设计时考虑的优先级中安全性相对于易用性、代码大小、执行程度等因素被放在次要的位置 实现 由于人性的弱点和程序设计方法学的不完善，软件总是存在BUG 生产与集成 使用与运行维护,11,安全问题根源内因系统越来越复杂,工作计算机,员工在使用,移动介质,内网中的其它系统,单位连接因特网,电话拨号上网,连接其它单位网络,无线网络,12,安全问题根源内因我们使用的网络是开放

4、的,内在复杂使用,14,安全问题根源外因来自对手的威胁,15,安全问题根源外因来自自然的破坏,16,信息安全的范畴,信息技术问题技术系统的安全问题 组织管理问题人+技术系统+组织内部环境 社会问题法制、舆论 国家安全问题信息战、虚拟空间,17,信息网络已逐渐成为经济繁荣、社会稳定和国家发展的基础 信息化深刻影响着全球经济的整合、国家战略的调整和安全观念的转变 从单纯的技术性问题变成事关国家安全的全球性问题。 信息安全和信息安全保障适用于所有技术领域。 硬件 软件 军事计算机通讯指挥控制和情报(C4I)系统，制造工艺控制系统，决策支持系统，电子商务，电子邮件，生物医学系统和智能运输系统(ITS)

5、。,信息安全的地位和作用,18,信息安全发展阶段,19,COMSEC：Communication Security 20世纪，40年代-70年代 核心思想： 通过密码技术解决通信保密，保证数据的保密性和完整性 主要关注传输过程中的数据保护 安全威胁：搭线窃听、密码学分析 安全措施：加密 标志 1949年：shannon发表保密通信的信息理论 1977年：美国国家标准局公布数据加密标准DES 1976年：Diffle和Hellman在“New Directions in Cryptography”一文中提出公钥密码体系,通信安全,20,COMPUSEC：Computer Security 20世

6、纪，70-90年代 核心思想： 预防、检测和减小计算机系统（包括软件和硬件）用户（授权和未授权用户）执行的未授权活动所造成的后果。 主要关注于数据处理和存储时的数据保护 。 安全威胁：非法访问、恶意代码、脆弱口令等 安全措施：安全操作系统设计技术（TCB） 标志： 1985年，美国国防部的可信计算机系统评估保障（TCSEC，橙皮书），将操作系统安全分级（D、C1、C2、B1、B2、B3、A1）；后补充红皮书TNI（1987）和TDI（1991），发展为彩虹（rainbow）系列,计算机安全,21,INFOSEC：Information Security 20世纪，90年代后 核心思想： 综合通

7、信安全和计算机安全安全 重点在于保护比“数据”更精炼的“信息”，确保信息在存储、处理和传输过程中免受偶然或恶意的非法泄密、转移或破坏 。 安全威胁：网络入侵、病毒破坏、信息对抗等 安全措施：防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等 标志 安全评估保障CC（ISO 15408，GB/T 18336）,信息系统安全,22,信息安全保障发展历史,第一次定义：在1996年美国国防部DoD指令5-3600.1（DoDD 5-3600.1）中，美国信息安全界第一次给出了信息安全保障的标准化定义 现在：信息安全保障的概念已逐渐被全世界信息安全领域所接受。 中国：中办发27号文国家信息化领导小组关

8、于加强信息安全保障工作的意见，是信息安全保障工作的纲领性文件 信息安全保障发展历史 从通信安全（COMSEC）-计算机安全（COMPUSEC）-信息系统安全（INFOSEC）-信息安全保障（IA） -网络空间安全/信息安全保障（CS/IA） 。,23,IA：Information Assurance 今天，将来 核心思想： 保障信息和信息系统资产，保障组织机构使命的执行； 综合技术、管理、过程、人员； 确保信息的保密性、完整性和可用性。 安全威胁：黑客、恐怖分子、信息战、自然灾难、电力中断等 安全措施：技术安全保障体系、安全管理体系、人员意识/培训/教育、认证和认可 标志： 技术：美国国防部的

9、IATF深度防御战略 管理：BS7799/ISO 17799 系统认证：美国国防部DITSCAP,信息安全保障,24,网络空间安全/信息安全保障,CS/IA：Cyber Security/Information Assurance 2009年，在美国带动下，世界各国信息安全政策、技术和实践等发生重大变革 共识：网络安全问题上升到国家安全的重要程度 核心思想：从传统防御的信息保障（IA），发展到“威慑”为主的防御、攻击和情报三位一体的信息保障/网络安全（IA/CS）的网空安全 网络防御-Defense（运维） 网络攻击-Offense（威慑） 网络利用-Exploitation（情报）,25,2

10、008年1月，布什政府发布了国家网络安全综合倡议（CNCI），号称网络安全“曼哈顿项目”，提出威慑概念，其中包括爱因斯坦计划、情报对抗、供应链安全、超越未来（“Leap-Ahead”）技术战略 2009年5月29日发布了网络空间政策评估：确保信息和通讯系统的可靠性和韧性报告 2009年6月25日，英国推出了首份“网络安全战略”，并将其作为同时推出的新版国家安全战略的核心内容 2009年6月，美国成立网络战司令部 12月22日，奥巴马任命网络安全专家担任“网络沙皇” ,26,网络空间安全/信息安全保障,从技术角度看信息安全,27,组织机构的使命/业务目标实现越来越依赖于信息系统 信息系统成为组织

11、机构生存和发展的关键因素 信息系统的安全风险也成为组织风险的一部分 为了保障组织机构完成其使命，必须加强信息安全保障，抵抗这些风险。,为什么需要信息安全保障,28,信息安全保障的意义,29,信息安全保障的意义,30,信息安全保障是一种立体保障,31,信息系统安全保障是在信息系统的整个生命周期中，通过对信息系统的风险分析，制定并执行相应的安全保障策略，从技术、管理、工程和人员等方面提出安全保障要求，确保信息系统的保密性、完整性和可用性，降低安全风险到可接受的程度，从而保障系统实现组织机构的使命。,信息安全保障定义,32,国家标准：GB/T 20274.1-2006 信息安全技术 信息系统安全保障

12、评估框架 第一部分：简介和一般模型,信息系统安全保障模型-保障评估框架,33,信息系统安全保障模型-IATF,34,安全保障的目标是支持业务,信息安全保障是为了支撑业务高效稳定运行 要以安全促发展，在发展中求安全,35,信息安全保障需要持续进行,时时刻刻不放松,如钻石历久弥新,36,信息安全、系统及业务关系,37,信息安全保障,通信安全,数据安全,网络安全,现在人们意识到：技术很重要，但技术不是一切；信息系统很重要，只有服务于组织业务使命才有意义,个人信息可能面临的安全威胁,1、外部人员通过互联网利用木马等攻击手段窃取、篡改或破坏个人计算机中存放的敏感信息； 2、外部人员非法接入税务系统内网或

13、直接操作内网计算机窃取、篡改或破坏敏感信息； 3、外部人员盗窃笔记本电脑、U盘等移动计算和存储设备窃取敏感信息； 4、病毒通过网络或移动介质传播造成个人计算机无法正常使用或数据破坏； 5、内部工作人员由于误操作等过失行为导致敏感信息丢失或被破坏； 6、内部工作人员由于利益驱使，利用工作之便窃取他人个人计算机中工作敏感信息。,39,案例1,国内最大的影音播放软件暴风影音爆出存在安全漏洞，该漏洞发生在暴风影音II的一个activex控件上，当安装了暴风影音II的用户在浏览黑客精心构造的包含恶意代码的网页后，会下载木马病毒，并以当前用户权限自动运行。 某公司员工违反规定在工作用计算机及上安装了“暴风

14、影音”，上班时间上网浏览新闻。 黑客利用木马窃取了该员工计算机及该公司局域网中的部分公司机密。,个人计算机作为税务信息系统的一个组成部分，如果出现安全漏洞，就可能成为信息安全防护的薄弱环节，被窃密或破坏分子利用对整个系统造成破坏。,40,案例2,2001年初，查处了陈学军团伙虚开增值税专用发票案件。主犯套购增值税专用发票10900份，为数百家企业虚开增值税专用发票2800余份，虚开税款共计人民币3.93亿元。陈学军以虚开增值税专用发票罪被判处并已执行死刑；吴芝刚以虚开增值税专用发票罪、巨额财产来源不明罪两罪并罚，一审判处死刑，二审改判死刑缓期执行。,宣判现场,41,案例2（续）,3名工作人员在

15、案发过程中，由于思想疏忽大意，没有严格保护个人工作计算机和应用系统的密码和使用权限，为吴芝刚趁工作之便，非法获得计算机密码，为作案行提供了便利。这3名工作人员，因工作严重违规失职也受到严厉的法律追究，根据情节轻重，分别被处以不同程度的刑事处罚。,42,单位信息系统面临的主要安全威胁,网络窃密 系统故障、网络攻击和病毒造成系统运行中断 系统故障或人为误操作造成数据丢失,43,电话线或其它非法外联,窃密者,个人办公用计算机或外网服务器,风险四：硬件故障或误操作造成数据丢失,风险一：通过互联网搜集我有价值的数据,风险三：病毒泛滥影响正常办公,风险二：利用非法外联或网络控制不严为跳板窃取核心机密,内部

16、核心系统,信息系统面临的典型安全威胁,内往U盘接入互联网,44,案例1：违规上网造成重大失泄密,违规操作泄密,敌对势力窃密,互联网,部队失密案：2003年初，军队某参谋违反规定，使用涉密计算机上因特网，一次窃走1000多份文档资料，影响和损失极为严重。,45,IIS存在unicode漏洞,穿过防火墙,外部网络,内部网络,案例2：某重要网络系统被控制,46,案例3：网络故障造成航班延误和旅客滞留,2006年10月10日13时32分，某公司运营的离港系统发生主机系统文件损坏，导致使用离港系统的航空公司和机场的正常运行产生不同程度影响。经过排查后故障系统于14时16分恢复正常。此次故障造成首都机场、

17、广州机场、深圳机场等机场部分航班延误。,47,什么是信息安全风险,信息和其它资产一样 是具有价值的,48,什么是信息安全风险,信息面临着外在的威胁,49,什么是信息安全风险,信息系统存在着脆弱性,50,什么是信息安全风险,外在威胁利用信息系统存在的脆弱性，致其损失或破坏对系统价值造成损害的可能性,51,信息系统安全保障含义总结,出发点和核心 在信息系统所处的运行环境里，以风险和策略为出发点，即从信息系统所面临的风险出发制定组织机构信息系统安全保障策略， 信息系统生命周期 通过在信息系统生命周期中从技术、管理、工程和人员等方面提出安全保障要求。,52,信息系统安全保障含义总结,确保信息的安全特征

18、 确保信息的保密性、完整性和可用性特征，从而实现和贯彻组织机构策略并将风险降低到可接受的程度， 保护资产 达到保护组织机构信息和信息系统资产， 最终保障使命 从而保障组织机构实现其使命的最终目的。,53,如何保障信息安全？,信息是依赖与承载它的信息技术系统存在的 需要在技术层面部署完善的控制措施,信息系统是由人来建设使用和维护的 需要通过有效的管理手段约束人,今天系统安全了明天未必安全 需要贯穿系统生命周期的工程过程,信息安全的对抗，归根结底是人员知识、技能和素质的对抗 需要建设高素质的人才队伍,信息安全保障体系构成的要素,信息安全技术体系 信息安全管理体系 信息安全工程过程 高素质的人员队伍

19、,55,Modem,56,完善的信息安全技术体系,策略体系,风险管理,系统测评/风险评估,生命周期安全管理,对手，动机 和攻击,国家/业务/机构 策略，规范，标准,使命要求,组织体系建设,业务持续性管理,应急响应管理,意识培训和教育,57,信息安全保障管理体系建设,相关方,信息安全需求&期待,设计和实施ISMS,改进ISMS,Plan计划,Do实施,Act改进,Check检查,开发、维护&改进循环,相关方,管理的信息安全,Plan计划（建立ISMS环境） 根据组织机构的整体策略和目标，建立同控制风险和改进信息安全相关的安全策略、目的、目标、过程和流程以交付结果。,Do做（设计&实施） 实施和操

20、作策略（过程和流程）,Check检查（监控&审核） 通过策略、目的和实践经验测量和评估过程执行，并将结果汇报给决策人。,Act行动（改进） 建立纠正和预防行动以进一步改进过程的执行,建立ISMS环境&风险评估,监控&审核ISMS,管理体系建设,58,科学的信息安全工程过程,计划组织,开发采购,实施交付,运行维护,废弃,将安全措施融入信息系统生命周期,59,参见：中国信息安全产品测评认证中心的“国家信息安全测评认证”，2004年第2期，P6-P14,信息系统安全工程保障实施通用模型,60,高素质的人员队伍,信息安全对抗归根结底是人与人的对抗，保障信息安全不仅需要专业信息技术人员，还需要信息系统普

21、通使用者提高安全意识，加强个人防范,61,知识体：信息安全保障框架,知识域：信息安全保障基本实践 了解我国信息安全保障工作发展阶段； 我国信息安全保障基本原则； 我国信息安全保障建设主要内容； 我国信息安全保障工作的基本内容。,62,63,我国信息安全保障工作发展阶段 我国信息安全保障基本原则 我国信息安全保障建设主要内容 我国信息安全保障工作的基本内容,我国信息安全保障实践,63,64,我国信息安全保障工作发展阶段,64,65,启动阶段（ 2001-2002 ）,2001年至2002年，是我国网络与信息安全事件频发且性质严重的时期，鉴于严峻的信息安全形势，国家信息化领导小组重组，网络与信息安

22、全协调小组成立，我国信息安全保障工作正式启动。 2001年至2002年中国发生的网络和信息安全事件： 来自境外邪教组织、敌对势力的破坏 各种政治谣言、反动宣传和社会敏感热点问题日益增多 网络系统、重要信息系统自身存在诸多安全隐患 如深圳证券交易所因系统崩溃停市半天，造成直接经济损失和社会影响； 北京首都国际机场信息系统出现故障，造成上百个航班延误，数万名旅客滞留。,66,积极推进阶段（ 2003-2005 ）,2003年至2005年，是国家信息安全保障体系建设逐步展开和推进的阶段，国家出台指导政策，召开第一次全国信息安全保障会议，发布国家信息安全战略，国家网络与信息安全协调小组召开了四次会议，

23、信息安全保障各项工作积极推进。 2003年7月，国家信息化领导小组关于加强信息安全保障工作的意见（中办发27号文件件）。 2004年1月9日国家信息安全保障工作会议召开。 2005年3月29日，国家网络与信息安全协调小组第四次会议召开。 2005年12月16日，国家网络与信息安全协调小组第五次会议召开。会议主要关注：高度重视信息安全风险评估、网络信任体系以及保密和密码工作，进一步完善各项措施和政策规定，提高信息安全建设和管理水平。,67,深化落实阶段（2006年至今 ）,2006年至今，围绕27号文件开展的各项信息安全保障工作迈出了新的坚实步伐。信息安全法律法规、标准化和人才培养工作取得了新成

24、果。 指导政策从完善到落实 等级保护工作取得重要进展 信息安全风险评估工作更加深入 推进机制从实践到成型 标准规范从研究到实施 在全国信息技术标准化技术委员会信息安全技术分委员会和各界、各部门的努力下，本着积极采用国际标准的原则，转化了一批国际信息安全基础技术标准。,68,信息安全保障的基本原则立足国情，以我为主，坚持管理与技术并重；正确处理安全与发展的关系，以安全保发展，在发展中求安全；统筹规划，突出重点，强化基础性工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。 等级保护制度：根据应用系统、应用单位的重要程度，将信息系统划分为不同的重要级别，然

25、后采用不同的技术和产品进行保护。,国家信息安全保障基本原则,68,69,我国信息安全保障建设的主要内容,建立健全国家信息安全组织与管理体制机制，加强信息安全工作的组织保障 建立健全信息安全法律法规体系，推进信息安全法制建设 建立完善信息安全标准体系，加强信息安全标准化工作 建立信息安全技术体系，实现国家信息化发展的自主可控 建设信息安全基础设施，提供国家信息安全保障能力支撑 建立信息安全人才培养体系，加快信息安全学科建设和信息安全人才培养,70,建立健全信息安全组织与管理体制机制,2002年，国家网络与信息安全协调小组成立； 2003年前我国具备了一套分层次、分领域的信息安全相关法律法规； 2

26、003年第27号文件颁布推动我国信息安全法制建设进入一个新阶段，信息安全法律体系进一步深化和发展； 信息安全法制建设工作的现状和发展。,71,建设信息安全基础设施， 提供国家信息安全保障能力支撑,建立信息安全通报和应急处置体系 信息安全应急处理机制的建立 信息安全通报机制的建立 建立以密码技术为基础的网络信任体系 建立信息安全等级保护和风险评估体系 建立信息安全测评认证体系 完善信息安全监控体系,72,建立信息安全人才培养体系， 加快信息安全学科建设和信息安全人才培养,加强信息安全理论研究和信息安全学科、专业建设 加强信息安全的本科、硕士和博士学历教育 培养信息安全的“执法”人才、组织决策管理

27、人才、安全技术开发人才和技术服务人才 加强安全宣传教育，普及全民信息安全意识,73,信息安全保障的基本原则信息安全的等级保护制度 等级保护制度：根据应用系统、应用单位的重要程度，将信息系统划分为不同的重要级别，然后采用不同的技术和产品进行保护。,国家信息安全保障基本原则,73,74,我国信息安全保障建设的主要内容,建立健全国家信息安全组织与管理体制机制，加强信息安全工作的组织保障 建立健全信息安全法律法规体系，推进信息安全法制建设 建立完善信息安全标准体系，加强信息安全标准化工作 建立信息安全技术体系，实现国家信息化发展的自主可控 建设信息安全基础设施，提供国家信息安全保障能力支撑 建立信息安

28、全人才培养体系，加快信息安全学科建设和信息安全人才培养,75,建立健全信息安全组织与管理体制机制,2002年，国家网络与信息安全协调小组成立； 2003年前我国具备了一套分层次、分领域的信息安全相关法律法规； 2003年第27号文件颁布推动我国信息安全法制建设进入一个新阶段，信息安全法律体系进一步深化和发展； 信息安全法制建设工作的现状和发展。,76,建设信息安全基础设施， 提供国家信息安全保障能力支撑,建立信息安全通报和应急处置体系 信息安全应急处理机制的建立 信息安全通报机制的建立 建立以密码技术为基础的网络信任体系 建立信息安全等级保护和风险评估体系 建立信息安全测评认证体系 完善信息安

29、全监控体系,77,建立信息安全人才培养体系， 加快信息安全学科建设和信息安全人才培养,加强信息安全理论研究和信息安全学科、专业建设 加强信息安全的本科、硕士和博士学历教育 培养信息安全的“执法”人才、组织决策管理人才、安全技术开发人才和技术服务人才 加强安全宣传教育，普及全民信息安全意识,78,我国在信息安全保障领域的国际合作,在信息安全领域开展国际合作，是充分利用我国战略发展的机遇期，营造和谐、和平的良好国际环境，谋求我更深更广发展的重要措施。 严格遵守联合国宪章和国际公认的信息通信技术的使用准则，妥善解决信息安全问题。 倡导加强各国在信息安全领域的交流与合作。,79,制定信息安全保障需求的

30、作用 制定信息系统安全保障需求的方法和原则 信息安全保障解决方案 确定安全保障解决方案的原则 实施信息安全保障解决方案的原则 信息安全测评 信息安全测评的重要性 国内外信息安全测评现状 产品、人员、商资、系统测评的方法和流程 持续提高信息系统安全保障能力。 信息系统安全监护和维护,确定需求,制定方案,开展测评,持续改进,信息安全保障工作基本内容,79,80,确定需求,制定方案,开展测评,持续改进,步骤一：确定信息系统安全保障需求,步骤二：规范化、结构化的描述信息系统安全保障具体需求,步骤三：根据信息系统安全保障需求编制具体的信息系统安全保障解决方案,步骤五：用户根据信息系统安全保障评估情况进行

31、改进，形成满足安全保障需求的可持续改进的安全保障能力。,步骤四：对信息系统安全保障进行评估,信息安全保障建设步骤,80,知识体：信息安全政策法规,知识域：有关重点法律法规解读 了解中华人民共和国保密法； 了解刑法和国家安全法关于信息安全的重要条款； 理解信息安全等级保护管理办法。 知识域：有关重点政策解读 了解：国家信息化领导小组关于加强信息安全保障工作的意见； 了解关于加强政府信息系统安全和保密管理工作的通知。,81,我国信息安全法治建设的发展历程,通信保密安全,计算机系统 安全,网络信息系统安全,1994年,2000年,2003年,保守国家秘密法（1989） （2010年修订） 中央关于加

32、强密码工作的决定 计算机信息系统安全保护条例（草案）-86,计算机信息系统 安全保护条例（1994） 计算机信息系统安全专用产品检测和销售许可证管理办法-97 计算机信息网络国际联网安全保护管理办法-97 计算机信息系统保密管理暂行规定-98 商用密码管理条例-99,关于维护互联网安全 的决定（2000） 互联网信息服务管理办法 计算机病毒防治管理办法 计算机信息系统国际联网保密管理规定 -00,82,保守国家秘密法（保密法 1）,演进 保守国家秘密暂行条例（1951年） 保守国家秘密法（1989年） 保守国家秘密法（2010年修订，4月29日修订，10月1日施行） 主旨（总则） 目的：保守国

33、家秘密，维护国家安全和利益。 国家秘密是关系国家安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知悉的事项。 国家秘密受法律保护。一切国家机关、武装力量、政党、社会团体、企业事业单位和公民都有保守国家秘密的义务。 国家保密行政管理部门主管全国的保密工作。 国家机关和涉及国家秘密的单位（以下简称机关、单位）管理本机关和本单位的保密工作。 保密工作责任制：健全保密管理制度，完善保密防护措施，开展保密宣传教育，加强保密检查。,法律,83,保守国家秘密法（保密法 2）,国家秘密的范围 国家事务、国防武装、外交外事、政党秘密 国民经济和社会发展、科学技术 维护国家安全的活动、经保密主管部门确

34、定的事项等 国家秘密的密级 绝密-是最重要的国家秘密，泄露会使国家安全和利益遭受特别严重的损害；保密期限不超过30年； 机密-是重要的国家秘密，泄露会使国家安全和利益遭受严重的损害；保密期限不超过20年； 秘密-是一般的国家秘密，泄露会使国家安全和利益遭受损害；保密期限不超过10年。 国家秘密的其他基本属性 定密权限（定密责任人）、保密期限、解密条件、知悉范围 国家秘密载体、国家秘密标志,法律,84,保守国家秘密法（保密法 3）,保密制度 对国家秘密载体的行为要求； 对属于国家秘密的设备、产品的行为要求； 对存储、处理国家秘密的计算机信息系统的要求-分级保护； 对组织和个人的行为要求（涉密信息

35、系统管理、国家秘密载体管理、公开发布信息、各类涉密采购、涉密人员分类管理、保密教育培训、保密协议等）； 对公共信息网络及其他传媒的行为要求； 对互联网及其他公共信息网络运营商、服务商的行为要求。 监督管理 国家保密行政管理部门依照法律、行政法规的规定，制定保密规章和国家保密标准。 组织开展保密宣传教育、保密检查、保密技术防护和泄密案件查处工作，对机关、单位的保密工作进行指导和监督。,法律,85,保守国家秘密法（保密法 4）,法律责任（第48条 人员处分及追究刑责） （一）非法获取、持有国家秘密载体的； （二）买卖、转送或者私自销毁国家秘密载体的； （三）通过普通邮政、快递等无保密措施的渠道传递

36、国家秘密载体的； （四）邮寄、托运国家秘密载体出境，或者未经有关主管部门批准，携带、传递国家秘密载体出境的； （五）非法复制、记录、存储国家秘密的； （六）在私人交往和通信中涉及国家秘密的； （七）在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密的； （八）将涉密计算机、涉密存储设备接入互联网及其他公共信息网络的； （九）在未采取防护措施的情况下，在涉密信息系统与互联网及其他公共信息网络之间进行信息交换的； （十）使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息的； （十一）擅自卸载、修改涉密信息系统的安全技术程序、管理程序的； （十二）将未经安全技术处理的退出

37、使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途的。 有前款行为尚不构成犯罪，且不适用处分的人员，由保密行政管理部门督促其所在机关、单位予以处理。,法律,86,刑法中的有关规定（1）,刑法 第六章 妨碍社会管理秩序罪 第一节 扰乱公共秩序罪 第285、286、287条 285条：非法侵入计算机信息系统罪；非法获取计算机信息系统数据、非法控制计算机信息系统罪；提供侵入、非法控制计算机信息系统程序、工具罪。 违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。 违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该

38、计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。 提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。,法律,87,刑法中的有关规定（2）,刑法 第六章 妨碍社会管理秩序罪 第一节 扰乱公共秩序罪 第285、286、287条 286条：破坏计算机信息系统罪。 违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能

39、正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。 违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。 故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。 287条：利用计算机实施犯罪的提示性规定。 利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。,88,法律,国家安全法中的有关规定,国家安全法 第二章 国家安全机关在国家安全工作中的职权 第10、11条 第10条 国家安全机关因侦察危害

40、国家安全行为的需要，根据国家有关规定，经过严格的批准手续，可以采取技术侦察措施。 第11条 国家安全机关为维护国家安全的需要，可以查验组织和个人的电子通信工具、器材等设备、设施。,法律,89,全国人大关于维护互联网安全的决定,背景 互联网日益广泛的应用，对于加快我国国民经济、科学技术的发展和社会服务信息化进程具有重要作用。如何保障互联网的运行安全和信息安全问题已经引起全社会的普遍关注。 互联网安全的范畴（法律约束力） 互联网的运行安全（侵入、破坏性程序、攻击、中断服务等） 国家安全和社会稳定（有害信息、窃取/泄露国家秘密、煽动、非法组织等） 市场经济秩序和社会管理秩序（销售伪劣产品/虚假宣传、

41、损害商业信誉、侵犯知识产权、扰乱金融秩序、淫秽内容服务等） 个人、法人和其他组织的人身、财产等合法权利（侮辱或诽谤他人、非法处理他人信息数据/侵犯通信自有和通信秘密、盗窃/诈骗/敲诈勒索等） 法律责任 构成犯罪的，依照刑法有关规定追究刑事责任 构成民事侵权的，依法承担民事责任 尚不构成犯罪的：治安管理处罚 / 行政处罚 / 行政处分或纪律处分,法律,90,关于信息安全等级保护工作的实施意见 （公字通200466号）1,信息安全等级保护 是保障和促进信息化建设健康发展的一项基本制度 核心是对信息安全分等级、按标准进行建设、管理和监督 公安机关负责信息安全等级保护工作的监督、检查、指导 保密/密码

42、/信息化工作部门各自的职责分工 信息和信息系统的安全保护等级（及其适用范围） 第一级为自主保护级 第二级为指导保护级 第三级为监督保护级 第四级为强制保护级 第五级为专控保护级 定级依据 根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,91,关于信息安全等级保护工作的实施意见 （公字通200466号）2,实施要求 完善标准,分类指导（管理规范和技术标准） 科学定级,严格备案（专家评审委员会。三级以上系统备案） 建设整改,落实措施（信息系统：已有、新建、改建、扩建） 自查自纠,落实要求（运营、 使

43、用单位及其主管部门） 建立制度,加强管理（运营、 使用单位及其主管部门） 监督检查,完善保护（公安机关重点对第三、第四级系统） 其他等级要求 国家对信息安全产品的使用实行分等级管理 信息安全事件实行分等级响应、处置的制度,92,关于印发的通知（公字通200743号）,通知是政策，管理办法属于法律法规 四部委联合发文：公安部、保密局、密码管理局、原国信办 国家信息安全等级保护坚持“自主定级、自主保护”的原则 信息系统的安全保护等级分为五级 实施与管理 具体实施等级保护工作 参照标准：信息系统安全等级保护实施指南 确定安全保护等级 参照标准：信息系统安全等级保护定级指南 系统建设 参照标准：信息系

44、统安全等级保护基本要求等 等级测评 参照标准：信息系统安全等级保护测评要求 二级以上系统的备案要求（由公安机关颁发备案证明） 三级以上系统的定期自查、测评和检查要求 三级以上系统的信息安全产品选择使用要求 三级以上系统等级保护测评机构的选择要求 涉密信息系统按分级保护管理（略） 对信息安全等级保护的密码实行分类分级管理（略）,93,国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）1,意义 标志着我国信息安全保障工作有了总体纲领 提出要在5年内建设中国信息安全保障体系 总体要求 坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全

45、，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。 主要原则 立足国情，以我为主，坚持技术与管理并重； 正确处理安全和发展的关系，以安全保发展，在发展中求安全； 统筹规划，突出重点，强化基础工作； 明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。,94,国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）2,主要任务（重点加强的安全保障工作） 实行信息安全等级保护 加强以密码技术为基础的信息保护和网络信任体系建设 建设和完善信息安全监控体系 重视信息安全应急处理工作 加强信息安全技术研究开发，推进信息安全产业

46、发展 加强信息安全法制建设和标准化建设 加快信息安全人才培养，增强全民信息安全意识 保证信息安全资金 加强对信息安全保障工作的领导，建立健全信息安全管理责任制 信息安全与国家安全 27号文：信息安全已成为国家安全的重要组成部分 十六届四中全会：确保国家的政治安全、经济安全、文化安全和信息安全,十一五：试点 十二五：普及推广,95,关于加强政府信息安全和保密管理工作的通知（国办发200817号）,明确职责 把信息安全和保密工作列入重要议事日程，明确一名主管领导 谁主管谁负责、谁运行谁负责、谁使用谁负责 强化人员培训 组织信息安全和保密基本技能培训，开展信息安全和保密形势分析 深入学习宣传信息安全“五禁止”规定 完善安全措施和手段 管理制度+技术手段 加强信息安全检查 详见政府信息系统安全检查办法,96,谢谢，请提问题！,