CISM0101信息安全保障基礎

1、信息安全保障基礎信息安全保障基礎中國信息安全測評中心（20140819）課程內(nèi)容（要改）課程內(nèi)容（要改）2信息信息安全安全保障保障基礎基礎信息信息安全保障安全保障理論及實踐理論及實踐信息安全信息安全法規(guī)政策標準法規(guī)政策標準信息信息安全保障基礎知識安全保障基礎知識重點重點信息安全政策解讀信息安全政策解讀信息信息安全標準安全標準知識知識信息安全保障模型信息安全保障模型我國信息安全保障實踐我國信息安全保障實踐重點重點信息安全法律解讀信息安全法律解讀v知識域：信息安全保障基礎知識 理解信息安全的典型安全威脅 理解信息安全問題產(chǎn)生的根源 掌握信息安全三個基本要素（保密性、完整性和可用性）的概念和含義 了

2、解信息安全發(fā)展的階段及各階段主要特點 理解信息安全保障的概念和內(nèi)涵3什么是信息安全？什么是信息安全？安全安全 Security：事物保持不受損害：事物保持不受損害4什么是信息安全？什么是信息安全？不該讓別人知道的，不該讓別人知道的，不能泄漏！不能泄漏！5什么是信息安全？什么是信息安全？信息要完整地傳輸和表達！信息要完整地傳輸和表達！6什么是信息安全？什么是信息安全？信息要方便、快捷信息要方便、快捷！7什么是信息安全什么是信息安全保密性：保密性：確保信息沒有非授權的泄漏，不確保信息沒有非授權的泄漏，不被非授權的個人、組織和計算機程序使用被非授權的個人、組織和計算機程序使用完整性：完整性：確保信息

3、沒有遭到篡改和破壞確保信息沒有遭到篡改和破壞可用性：可用性：確保擁有授權的用戶或程序可以確保擁有授權的用戶或程序可以及時、正常使用信息及時、正常使用信息8 信息信息本身的保密性（本身的保密性（Confidentiality）、完整性）、完整性（Integrity）和可用性（）和可用性（Availability）的保持，即防）的保持，即防止未經(jīng)授權使用信息、防止對信息的非法修改和破壞、止未經(jīng)授權使用信息、防止對信息的非法修改和破壞、確保及時可靠地使用確保及時可靠地使用信息信息為什么會有信息安全問題？為什么會有信息安全問題？v因為有病毒嗎？ 因為有黑客嗎？因為有黑客嗎？ 因為有漏洞嗎？因為有漏洞嗎

4、？這些都是原因，這些都是原因，但沒有說到根源但沒有說到根源9信息系統(tǒng)安全問題產(chǎn)生信息系統(tǒng)安全問題產(chǎn)生的的根源與環(huán)節(jié)根源與環(huán)節(jié)v內(nèi)因 復雜性導致脆弱性 過程復雜，結構復雜，使用復雜 凡是人做的東西總會存在問題v外因 存在對手和惡意攻擊者 存在不可控制的自然災害 威脅與破壞導致信息安全問題10安全問題根源安全問題根源內(nèi)因示例內(nèi)因示例11安全問題根源安全問題根源外因示例外因示例12安全問題根源安全問題根源外因來自外因來自自然的破壞自然的破壞13信息安全的地位和作用信息安全的地位和作用v信息網(wǎng)絡已逐漸成為經(jīng)濟繁榮、社會穩(wěn)定和國家發(fā)展的基礎v信息化深刻影響著全球經(jīng)濟的整合、國家戰(zhàn)略的調(diào)整和安全觀念的轉變

5、v信息安全適用于所有信息技術領域 學習、游戲、網(wǎng)絡購物、電子郵件 信息化辦公、電子商務 電子政務、電力供應、工業(yè)控制系統(tǒng) 核設施、軍事情報系統(tǒng)v從單純的技術性問題變成事關國家安全的全球性問題14信息安全發(fā)展階段信息安全發(fā)展階段COMSEC通信安全COMPUSEC計算機安全INFOSEC信息系統(tǒng)安全IA信息安全保障15CS/IA網(wǎng)絡空間安全/信息安全保障通信通信安全安全COMSECCOMSEC Communication Security 20世紀，40年代-70年代核心思想核心思想 通過密碼技術解決通信保密，保證數(shù)據(jù)的保密性和完整性 主要關注傳輸過程中的數(shù)據(jù)保護 安全威脅安全威脅 搭線竊聽、密

6、碼學分析安全措施安全措施 加密標志標志 1949年，shannon發(fā)表保密系統(tǒng)的通信理論16計算機安全計算機安全COMPUSECCOMPUSEC Computer Security 20世紀，70-90年代核心思想核心思想 預防、檢測和減小計算機系統(tǒng)用戶執(zhí)行的未授權活動所造成的后果安全威脅安全威脅 非法訪問、惡意代碼、脆弱口令等安全措施安全措施 安全操作系統(tǒng)設計技術（TCB）標志標志 1985年，美國國防部的可信計算機系統(tǒng)評估準則（TCSEC，橙皮書），將操作系統(tǒng)安全分級（D、C1、C2、B1、B2、B3、A1）17信息系統(tǒng)安全信息系統(tǒng)安全INFOSECINFOSEC Information

7、Systems Security 20世紀，90年代后核心思想核心思想 確保信息在存儲、處理和傳輸過程中免受偶然或惡意的泄密、非法訪問或破壞 安全威脅安全威脅 網(wǎng)絡入侵、病毒破壞、信息對抗等安全措施安全措施 防火墻、防病毒、漏洞掃描、入侵檢測、PKI、VPN等標志標志 評估通用準則CC（ISO 15408，GB/T 18336）18信息安全保障信息安全保障IAIA Information Assurance 今天，將來核心思想核心思想 動態(tài)安全,保障信息系統(tǒng)的業(yè)務正常、穩(wěn)定的運行 綜合技術、管理、過程、人員安全威脅安全威脅 黑客、恐怖分子、信息戰(zhàn)、自然災難、電力中斷等安全措施安全措施 技術安全

8、保障體系、安全管理體系、人員意識/培訓/教育標志標志 技術：美國國防部的IATF深度防御戰(zhàn)略 管理：BS7799、ISO27001、ISO2700219信息安全保障信息安全保障v保障目標 信息系統(tǒng)業(yè)務和使命安全v保障措施 防止信息泄露、修改和破壞 還要檢測入侵行為；還要響應和改進措施v同傳統(tǒng)信息安全概念相比較 強調(diào)檢測和響應，強調(diào)動態(tài)安全 注重對信息系統(tǒng)進行全生命周期的保護 關注技術、管理、規(guī)范等方面 要求實現(xiàn)風險管控的目標20信息安全保障發(fā)展歷史信息安全保障發(fā)展歷史v 第一次定義第一次定義 1996年，美國國防部DoD指令5-3600.1（DoDD 5-3600.1）中，給出了信息安全保障的

9、定義v 中國中國 中辦發(fā)27號文國家信息化領導小組關于加強信息安全保障工作的意見，是信息安全保障工作的綱領性文件v 目前，信息安全保障的概念已逐漸被全世界信息安全領域目前，信息安全保障的概念已逐漸被全世界信息安全領域所接受。所接受。v 信息安全保障發(fā)展歷史信息安全保障發(fā)展歷史 從通信安全（COMSEC）-計算機安全（COMPUSEC）-信息系統(tǒng)安全（INFOSEC）-信息安全保障（IA） -網(wǎng)絡空間安全/信息安全保障（CS/IA）21網(wǎng)絡空間安全網(wǎng)絡空間安全/ /信息安全保障信息安全保障v CS/IACS/IA：Cyberspace Security/Information Assurance

10、v 威脅威脅 有組織網(wǎng)絡犯罪、網(wǎng)絡恐怖主義、網(wǎng)絡空間軍事對抗、APTv 共識共識：網(wǎng)絡安全問題上升到國家安全的重要程度：網(wǎng)絡安全問題上升到國家安全的重要程度v 20092009年，在美國帶動下，世界各國信息安全政策、技術和實踐年，在美國帶動下，世界各國信息安全政策、技術和實踐等發(fā)生重大變革等發(fā)生重大變革 核心思想：從傳統(tǒng)防御的信息保障（IA），發(fā)展到“威懾”為主的防御、攻擊和情報三位一體的信息保障/網(wǎng)絡安全（IA/CS）的網(wǎng)空安全 網(wǎng)絡防御-Defense（運維） 網(wǎng)絡攻擊-Offense（威懾） 網(wǎng)絡利用-Exploitation（情報）22v 美國 2008年1月，發(fā)布國家網(wǎng)絡安全綜合倡議

11、（CNCI），號稱網(wǎng)絡安全“曼哈頓項目”，提出威懾概念 2009年5月，發(fā)布網(wǎng)絡空間政策評估：確保信息和通訊系統(tǒng)的可靠性和韌性報告 2009年6月，成立網(wǎng)絡戰(zhàn)司令部，隨后，奧巴馬任命網(wǎng)絡安全專家擔任“網(wǎng)絡沙皇” 2011年5月，發(fā)布網(wǎng)絡空間國際戰(zhàn)略，明確了針對網(wǎng)絡攻擊的指導原則；隨后又發(fā)布網(wǎng)絡空間行動戰(zhàn)略v 英國 2009年6月25日，英國推出了首份“網(wǎng)絡安全戰(zhàn)略”，并將其作為同時推出的新版國家安全戰(zhàn)略的核心內(nèi)容v 德國、法國、俄羅斯、23國家信息安全保障體系建設動態(tài)國家信息安全保障體系建設動態(tài)通信安全20世紀，4070年代搭線竊聽、密碼學分析加密計算機安全20世紀，70-90年代非法訪問、惡

12、意代碼、脆弱口令等安全操作系統(tǒng)設計技術（TCB）信息系統(tǒng)安全20世紀，90年代后網(wǎng)絡入侵、病毒破壞、信息對抗等防火墻、防病毒、漏洞掃描、入侵檢測、PKI、VPN等信息安全保障今天，黑客、恐怖分子、信息戰(zhàn)、自然災難、電力中斷等技術安全保障體系安全管理體系人員意識/培訓/教育網(wǎng)絡空間安全/信息安全保障2008年開始國家安全的高度網(wǎng)絡防御網(wǎng)絡威懾網(wǎng)絡利用從技術角度看信息安全從技術角度看信息安全24知識體：信息安全保障理論及實踐知識體：信息安全保障理論及實踐v知識域：信息安全保障模型 了解信息系統(tǒng)、風險、保障和使命之間的關系 掌握信息系統(tǒng)安全保障模型，理解其保障要素、生命周期和安全特征的內(nèi)容和含義 理

13、解PDCA模型內(nèi)容和特點 了解信息保障技術框架（IATF）的核心要素和焦點區(qū)域25信息系統(tǒng)面臨的典型安全威脅信息系統(tǒng)面臨的典型安全威脅26什么是信息安全風險什么是信息安全風險v外在威脅利用信息系統(tǒng)存在的脆弱性，致其損失或破壞對系統(tǒng)價值造成損害的可能性 資產(chǎn)資產(chǎn)威脅威脅防護措施防護措施脆弱性脆弱性風險風險利用利用對抗對抗導導致致增增加加減減少少作作用用于于27為什么需要信息安全為什么需要信息安全保障保障v組織機構的使命/業(yè)務目標實現(xiàn)越來越依賴于信息系統(tǒng)v信息系統(tǒng)成為組織機構生存和發(fā)展的關鍵因素v信息系統(tǒng)的安全風險也成為組織風險的一部分v為了保障組織機構完成其使命，必須加強信息安全保障，抵抗這些風

14、險28信息安全信息安全保障保障“組織內(nèi)部環(huán)境”信息系統(tǒng)安全問題信息系統(tǒng)安全問題通信安全數(shù)據(jù)安全技術系統(tǒng)安全問題技術系統(tǒng)安全問題網(wǎng)絡安全現(xiàn)在人們意識到：技術很重要，但技術不是一切；信現(xiàn)在人們意識到：技術很重要，但技術不是一切；信息系統(tǒng)很重要，只有服務于組織業(yè)務使命才有意義息系統(tǒng)很重要，只有服務于組織業(yè)務使命才有意義信息安全保障信息安全保障的內(nèi)涵的內(nèi)涵v信息安全保障不僅僅是一門技術學科，信息安全保障應綜合技術、技術、管理、工程和管理、工程和人人v信息安全保障不僅僅是一種項目性的暫時行為，信息安全保障應融入信息系統(tǒng)生命周期信息系統(tǒng)生命周期的全過程v信息安全保障的目的不僅僅是保障信息系統(tǒng)本身，信息安全

15、保障的根本目的是通過保障信息系統(tǒng)從而保障運行于信息系統(tǒng)之上的業(yè)務系統(tǒng)、保障保障運行于信息系統(tǒng)之上的業(yè)務系統(tǒng)、保障組織機構的使命組織機構的使命v信息安全保障不僅僅是孤立的自身的問題，信息安全保障是一個社會化的、需要各方參與的工作v信息安全保障是主觀和客觀的結合30 信息系統(tǒng)安全保障是在信息系統(tǒng)的整個生命周期中，通過對信息系統(tǒng)的風險分析，制定并執(zhí)行相應的安全保障策略，從技術、管理、工程和人員等方面提出安全保障要求，確保信息系統(tǒng)的保密性、完整性和可用性，降低安全風險到可接受的程度，從而保障系統(tǒng)實現(xiàn)組織機構的使命。 信息安全保障定義信息安全保障定義31信息安全技術 信息系統(tǒng)安全保障評估框架 第一部分：

16、簡介和一般模型 (GB/T 20274.1-2006 )信息系統(tǒng)安全保障模信息系統(tǒng)安全保障模型型- -保障評估框架保障評估框架32信息系統(tǒng)安全保障含義信息系統(tǒng)安全保障含義總結總結v出發(fā)點和核心 在信息系統(tǒng)所處的運行環(huán)境里，以風險和策略為出發(fā)點，即從信息系統(tǒng)所面臨的風險出發(fā)制定組織機構信息系統(tǒng)安全保障策略 動態(tài)安全，綜合保障v信息系統(tǒng)生命周期 通過在信息系統(tǒng)生命周期中從技術、管理、工程和人員等方面提出安全保障要求 33信息系統(tǒng)安全保障含義信息系統(tǒng)安全保障含義總結總結v確保信息的安全特征 確保信息的保密性、完整性和可用性特征，從而實現(xiàn)和貫徹組織機構策略并將風險降低到可接受的程度v保護資產(chǎn) 達到保護

17、組織機構信息和信息系統(tǒng)資產(chǎn)v最終保障使命 從而保障組織機構實現(xiàn)其使命的最終目的 34如何保障信息安全？如何保障信息安全？信息是信息是依賴于承載依賴于承載它的信息技術系統(tǒng)存在的它的信息技術系統(tǒng)存在的需要在技術層面部署完善的控制措施需要在技術層面部署完善的控制措施信息系統(tǒng)是由人來建設使用和維護的信息系統(tǒng)是由人來建設使用和維護的需要通過有效的管理手段約束人需要通過有效的管理手段約束人今天系統(tǒng)安全了明天未必安全今天系統(tǒng)安全了明天未必安全需要貫穿系統(tǒng)生命周期的工程過程需要貫穿系統(tǒng)生命周期的工程過程信息安全的對抗，歸根結底是人員知識、技能和素信息安全的對抗，歸根結底是人員知識、技能和素質(zhì)的對抗質(zhì)的對抗需要

18、建設高素質(zhì)的人才隊伍需要建設高素質(zhì)的人才隊伍信息安全保障體系構成的要素信息安全保障體系構成的要素v信息安全技術體系v信息安全管理體系v信息安全工程過程v高素質(zhì)的人員隊伍36信息系統(tǒng)信息系統(tǒng)安全保障安全保障的的技術技術要素要素v安全技術體系架構 根據(jù)系統(tǒng)安全風險評估的結果和系統(tǒng)安全策略的要求，并參考相關標準和最佳實踐，建立的符合組織機構信息技術系統(tǒng)安全發(fā)展規(guī)劃的整體安全技術體系框架v主要內(nèi)容 密碼技術 訪問控制技術 審計和監(jiān)控技術 網(wǎng)絡安全技術 37數(shù)據(jù)安全應用安全主機安全網(wǎng)絡安全物理安全關閉安全維護關閉安全維護“后門后門”更改缺省的更改缺省的系統(tǒng)口令系統(tǒng)口令漏洞掃描漏洞掃描補丁管理補丁管理Mo

19、dem數(shù)據(jù)文件加密數(shù)據(jù)文件加密訪問控制訪問控制審計系統(tǒng)審計系統(tǒng)入侵檢測入侵檢測實時監(jiān)控實時監(jiān)控病毒防護病毒防護38完善的信息安全技術體系完善的信息安全技術體系信息安全保障管理信息安全保障管理要素要素v覆蓋整個生命周期v以風險和策略為核心v五方面的管理內(nèi)容相關方相關方信息安信息安全需求全需求&期待期待設計和實設計和實施施ISMS改進改進ISMSPlan計劃計劃Do實施實施Act改進改進Check檢查檢查開發(fā)、維護&改進循環(huán)相關方相關方管理的信管理的信息安全息安全Plan計劃（建立計劃（建立ISMS環(huán)境）環(huán)境）根據(jù)組織機構的整體策略和目標，建立同控制風險和改進信息安全相關的安全策略

20、、目的、目標、過程和流程以交付結果。Do做（設計做（設計&實施）實施）實施和操作策略（過程和流程）Check檢查（監(jiān)控檢查（監(jiān)控&審核）審核）通過策略、目的和實踐經(jīng)驗測量和評估過程執(zhí)行，并將結果匯報給決策人。Act行動（改進）行動（改進）建立糾正和預防行動以進一步改進過程的執(zhí)行建立建立ISMS環(huán)環(huán)境境&風險評估風險評估監(jiān)控監(jiān)控&審核審核ISMS信息安全管理體系建設信息安全管理體系建設40信息系統(tǒng)信息系統(tǒng)安全保障的工程要素安全保障的工程要素v將信息安全手段動態(tài)作用于信息系統(tǒng)的工作過程v基于信息系統(tǒng)生命周期建立信息系統(tǒng)安全工程生命周期v在生命周期每個階段融入安全措施

21、，從而有效、科學的實現(xiàn)信息系統(tǒng)安全保障目標41計劃組計劃組織織開發(fā)采開發(fā)采購購實施交實施交付付運行維運行維護護廢棄廢棄將安全措施融入信息系統(tǒng)生命周期將安全措施融入信息系統(tǒng)生命周期科學的信息安全工程過程科學的信息安全工程過程42高素質(zhì)的人員隊伍高素質(zhì)的人員隊伍v 信息安全對抗歸根結底是人與人的對抗，保障信息安全不僅需要專業(yè)信息技術人員，還需要信息系統(tǒng)普通使用者提高安全意識，加強個人防范 43A計劃實施檢查改進PDCPDCAPDCA循環(huán)循環(huán)44PDCAPDCA循環(huán)循環(huán)45PDCAPDCA也稱也稱“戴明環(huán)戴明環(huán)”，由美國質(zhì)量管理專家戴明提出，由美國質(zhì)量管理專家戴明提出vP P（PlanPlan）：）

22、：計劃，確定方針和目標，確定活動計劃vD D（DoDo）：）：實施，實際去做，實現(xiàn)計劃中的內(nèi)容vC C（CheckCheck）：）：檢查，總結執(zhí)行計劃的結果，注意效果，找出問題vA A（ActAct）：）：改進，對總結檢查的結果進行處理，采取糾正和預防措施進一步提高過程質(zhì)量PDCAPDCA循環(huán)循環(huán)的特點的特點v特點一 循序漸進，周而復始 按順序進行，它靠組織的力量來推動，像車輪一樣向前進，周而復始，不斷循環(huán) 46PDCAPDCA循環(huán)循環(huán)的特點的特點v特點二 層層循環(huán)，環(huán)環(huán)相扣 組織中的每個部分，甚至個人，均可以PDCA循環(huán)，大環(huán)套小環(huán)，一層一層地解決問題47PDCAPDCA循環(huán)循環(huán)的特點的特點

23、v特點三 不斷循環(huán)，不斷提高 每通過一次PDCA 循環(huán)，都要進行總結，提出新目標，再進行第二次PDCA 循環(huán)48vPDCA循環(huán)，能夠提供一種優(yōu)秀的過程方法，循環(huán)，能夠提供一種優(yōu)秀的過程方法，以實現(xiàn)持續(xù)以實現(xiàn)持續(xù)改進改進v遵循遵循PDCA循環(huán)，循環(huán)，能使任何一項活動都有效地能使任何一項活動都有效地進行進行PDCAPDCA循環(huán)的作用循環(huán)的作用49信息保障技術框架信息保障技術框架v信息保障技術框架（IATF） Information Assurance Technical Framework 是美國國家安全局制定的，描述美國信息保障的指導性文件，為保護美國政府和工業(yè)界的信息與信息基礎設施提供技術支持

24、v研究歷史 1998，網(wǎng)絡安全框架1.0 1999，出版2.0版本，并正式更名為信息保障技術框架 2000年，3.0版 2002年，3.1版本，擴展了“縱深防御”，強調(diào)信息保障戰(zhàn)略50技術操作深度防御戰(zhàn)略深度防御戰(zhàn)略人 人人 通過通過 技術技術 進行進行 操作操作計算環(huán)境 區(qū)域邊界網(wǎng)絡基礎設施支撐性基礎設施密鑰管理檢測響應成功的組織功能成功的組織功能信息安全保障（信息安全保障（IA）信信息系統(tǒng)安息系統(tǒng)安全保障模型全保障模型- -I IATFATF51知識體：信息安全保障理論及實踐知識體：信息安全保障理論及實踐v知識域：我國信息安全保障實踐 理解我國信息安全工作的發(fā)展階段劃分情況 了解我國信息安

25、全保障工作的目標和主要內(nèi)容 了解我國信息安全保障工作實踐成果5253我國信息安全保障工作發(fā)展階段我國信息安全保障工作發(fā)展階段53階段主要工作2001-2002啟動國家信息化小組重組網(wǎng)絡與信息安全協(xié)調(diào)小組成立2003-2005逐步展開積極推進國家出臺指導政策召開第一次全國信息安全保障會議發(fā)布國家信息安全戰(zhàn)略國家網(wǎng)絡與信息安全協(xié)調(diào)小組召開四次會議2006-2013深化落實信息安全法律法規(guī)、標準化和人才培養(yǎng)工作取得新成果信息安全等級保護和風險評估取得新進展2013年至今新時期十八屆三中全會決定中央網(wǎng)絡安全和信息化領導小組54啟動階段啟動階段（2001-20022001-2002）v 2001年至20

26、02年，是我國網(wǎng)絡與信息安全事件頻發(fā)且性質(zhì)嚴重的時期，鑒于嚴峻的信息安全形勢，國家信息化領導小組重組，網(wǎng)絡與信息安全協(xié)調(diào)小組成立，我國信息安全保障工作正式啟動v 2001年至2002年中國發(fā)生的網(wǎng)絡和信息安全事件： 來自境外邪教組織、敵對勢力的破壞 各種政治謠言、反動宣傳和社會敏感熱點問題日益增多 網(wǎng)絡系統(tǒng)、重要信息系統(tǒng)自身存在諸多安全隱患 如深圳證券交易所因系統(tǒng)崩潰停市半天，造成直接經(jīng)濟損失和社會影響 北京首都國際機場信息系統(tǒng)出現(xiàn)故障，造成上百個航班延誤，數(shù)萬名旅客滯留 55積極推進階段積極推進階段（2003-20052003-2005）v 2003年至2005年，是國家信息安全保障體系建設

27、逐步展開和推進的階段，國家出臺指導政策，召開第一次全國信息安全保障會議，發(fā)布國家信息安全戰(zhàn)略，國家網(wǎng)絡與信息安全協(xié)調(diào)小組召開了四次會議，信息安全保障各項工作積極推進 2003年7月，國家信息化領導小組關于加強信息安全保障工作的意見（中辦發(fā)27號文件件） 2004年1月9日國家信息安全保障工作會議召開。 2005年3月29日，國家網(wǎng)絡與信息安全協(xié)調(diào)小組第四次會議召開 2005年12月16日，國家網(wǎng)絡與信息安全協(xié)調(diào)小組第五次會議召開。會議主要關注：高度重視信息安全風險評估、網(wǎng)絡信任體系以及保密和密碼工作，進一步完善各項措施和政策規(guī)定，提高信息安全建設和管理水平 56深化落實階段（深化落實階段（20

28、062006年年至至20132013）v2006年至今，圍繞27號文件開展的各項信息安全保障工作邁出了新的堅實步伐。信息安全法律法規(guī)、標準化和人才培養(yǎng)工作取得了新成果 指導政策從完善到落實 等級保護工作取得重要進展 信息安全風險評估工作更加深入 推進機制從實踐到成型 標準規(guī)范從研究到實施 在全國信息技術標準化技術委員會信息安全技術分委員會和各界、各部門的努力下，本著積極采用國際標準的原則，轉化了一批國際信息安全基礎技術標準 57新時期新階段新時期新階段（20132013年至今）年至今）v2013年至今，中央進一步推動信息安全發(fā)展 2013年，中國共產(chǎn)黨十八屆三中全會的決定 要堅持積極利用、科學

29、發(fā)展、依法管理、確保安全的方針，加大依法管理網(wǎng)絡力度，完善互聯(lián)網(wǎng)管理領導體制 2014年2月，成立中央網(wǎng)絡安全和信息化領導小組 統(tǒng)籌協(xié)調(diào)涉及經(jīng)濟、政治、文化、社會及軍事等各個領域的網(wǎng)絡安全和信息化重大問題 推動國家網(wǎng)絡安全和信息化各方面建設,增強我國信息安全保障能力58v 信息安全保障的基本原則立足國情，以我為主，堅持管理與技術并重；正確處理安全與發(fā)展的關系，以安全保發(fā)展，在發(fā)展中求安全；統(tǒng)籌規(guī)劃，突出重點，強化基礎性工作；明確國家、企業(yè)、個人的責任和義務，充分發(fā)揮各方面的積極性，共同構筑國家信息安全保障體系v 等級保護制度：根據(jù)應用系統(tǒng)、應用單位的重要程度，將信息系統(tǒng)劃分為不同的重要級別，然

30、后采用不同的技術和產(chǎn)品進行保護 國家信息安全保障基本原則國家信息安全保障基本原則5859我國信息安全保障建設的主要內(nèi)容我國信息安全保障建設的主要內(nèi)容 v 建立健全國家信息安全組織與管理體制機制，加強信息安全工作的組織保障 v 建立健全信息安全法律法規(guī)體系，推進信息安全法制建設 v 建立完善信息安全標準體系，加強信息安全標準化工作 v 加強信息安全技術研究開發(fā)，推進信息安全產(chǎn)業(yè)發(fā)展 v 建設信息安全基礎設施，提供國家信息安全保障能力支撐 v 建立信息安全人才培養(yǎng)體系，加快信息安全學科建設和信息安全人才培養(yǎng) 信息安全保障工作實踐成果信息安全保障工作實踐成果v我國信息安全保障實踐成果 信息安全標準化

31、 應急處理與信息通報 等級保護 風險評估 災難恢復 人才培養(yǎng)60重要實踐重要實踐成果成果v信息安全標準化 2002年4月，成立“全國信息安全標準化技術委員會”，簡稱“全國信安標委”，代號為TC260v應急處理與信息通報 2002年9月，成立“國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心”，簡稱“國家互聯(lián)網(wǎng)應急中心”，英文簡稱是CNCERT或CNCERT/CC 2003年，成立“國家網(wǎng)絡與信息安全協(xié)調(diào)小組” 2004年，成立“國家網(wǎng)絡與信息安全信息通報中心”61重要實踐成果重要實踐成果v等級保護 1994年，國務院147號令中華人民共和國計算機信息系統(tǒng)安全保護條例 2004年，發(fā)布關于信息安全等級保護工作

32、的實施意見（公通字200466號） 全面啟動等級保護的實施工作v風險評估 2006年1月，發(fā)布關于開展信息安全風險評估工作的意見 （國信辦20065號） 組織風險評估?？仃犖閷θ珖A信息網(wǎng)絡和重要信息系統(tǒng)進行檢查62重要實踐成果重要實踐成果v災難恢復 2002年4月，銀監(jiān)會頒布了商業(yè)銀行內(nèi)部控制指引，其中第八章計算機信息系統(tǒng)的內(nèi)部控制規(guī)定，商業(yè)銀行應當建立計算機安全應急系統(tǒng) 2004年9月，印發(fā)關于做好重要信息系統(tǒng)災難備份工作的通知（信安通200411號 2005年4月，下發(fā)重要信息系統(tǒng)災難恢復指南v人才培養(yǎng) 2001年，信息安全本科專業(yè) 2005年，教育部發(fā)文加強信息安全學科體系建設 20

33、02年，CISP；2005年，CISM6364v 制定信息安全保障需求的作用制定信息安全保障需求的作用v 制定信息系統(tǒng)安全保障需求的方法和原則制定信息系統(tǒng)安全保障需求的方法和原則v 信息安全保障解決方案信息安全保障解決方案v 確定安全保障解決方案的原則確定安全保障解決方案的原則v 實施信息安全保障解決方案的原則實施信息安全保障解決方案的原則v 信息安全測評信息安全測評v 信息安全測評的重要性信息安全測評的重要性v 國內(nèi)外信息安全測評現(xiàn)狀國內(nèi)外信息安全測評現(xiàn)狀v 產(chǎn)品、人員、商資、系統(tǒng)測評的方法和流程產(chǎn)品、人員、商資、系統(tǒng)測評的方法和流程v 持續(xù)提高信息系統(tǒng)安全保障能力。持續(xù)提高信息系統(tǒng)安全保障

34、能力。v 信息系統(tǒng)安全監(jiān)護和維護信息系統(tǒng)安全監(jiān)護和維護確定需求制定方案開展測評持續(xù)改進信息安全保障工作基本內(nèi)容信息安全保障工作基本內(nèi)容64知識體知識體：信息安全法規(guī)政策標準：信息安全法規(guī)政策標準v知識域：重點信息安全法律解讀 了解我國信息安全法律體系情況 理解中華人民共和國保密法中主要條款 了解刑法、電子簽名法關于信息安全的重要條款v知識域：重點信息安全政策解讀 理解國家信息化領導小組關于加強信息安全保障工作的意見的重要性和有關內(nèi)容 了解中華人民共和國計算機信息系統(tǒng)安全保護條例和國務院關于大力推進信息化發(fā)展和切實保障信息安全的若干意見的有關內(nèi)容65我國法律法規(guī)體系我國法律法規(guī)體系v多級立法的法

35、律體系 法律 行政法規(guī) 地方性法規(guī) 部門規(guī)章 地方規(guī)章v共同構成了以中華人民共和國憲法為基礎的統(tǒng)一的法律體系66我國我國信息信息安全法律體系安全法律體系 憲法、刑法 國家安全法、保守國家秘密法、電子簽名法 全國人大常委會關于維護互聯(lián)網(wǎng)安全的決定法律 中華人民共和國計算機信息系統(tǒng)安全保護條例、商用密碼管理條例、計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法、中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定、關于加強信息安全保障工作的意見行政法規(guī) 公安部計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法、計算機病毒防治管理辦法 工業(yè)和信息化部互聯(lián)網(wǎng)電子公告服務管理規(guī)定、軟件產(chǎn)品管理辦法 國家保密局計算機信

36、息系統(tǒng)保密管理暫行規(guī)定部門規(guī)章和規(guī)范性文件67保守國家秘密法保守國家秘密法（保密法（保密法 1 1）v演進 保守國家秘密暫行條例（1951年） 保守國家秘密法（1989年） 保守國家秘密法（2010年修訂，4月29日修訂，10月1日施行）v主旨（總則） 目的：保守國家秘密，維護國家安全和利益 國家秘密是關系國家安全和利益，依照法定程序確定，在一定時間內(nèi)只限一定范圍的人員知悉的事項 國家秘密受法律保護。一切國家機關、武裝力量、政黨、社會團體、企業(yè)事業(yè)單位和公民都有保守國家秘密的義務 國家保密行政管理部門主管全國的保密工作 國家機關和涉及國家秘密的單位（以下簡稱機關、單位）管理本機關和本單位的保密

37、工作 保密工作責任制：健全保密管理制度，完善保密防護措施，開展保密宣傳教育，加強保密檢查法律68保守國家秘密法保守國家秘密法（保密法（保密法 2 2）v國家秘密的范圍 國家事務、國防武裝、外交外事、政黨秘密 國民經(jīng)濟和社會發(fā)展、科學技術 維護國家安全的活動、經(jīng)保密主管部門確定的事項等v國家秘密的密級 絕密-是最重要的國家秘密，泄露會使國家安全和利益遭受特別嚴重的損害；保密期限不超過30年 機密-是重要的國家秘密，泄露會使國家安全和利益遭受嚴重的損害；保密期限不超過20年 秘密-是一般的國家秘密，泄露會使國家安全和利益遭受損害；保密期限不超過10年v國家秘密的其他基本屬性 定密權限（定密責任人）

38、、保密期限、解密條件、知悉范圍 國家秘密載體、國家秘密標志法律69保守國家秘密法保守國家秘密法（保密法（保密法 3 3）v保密制度 對國家秘密載體的行為要求 對屬于國家秘密的設備、產(chǎn)品的行為要求 對存儲、處理國家秘密的計算機信息系統(tǒng)的要求-分級保護 對組織和個人的行為要求（涉密信息系統(tǒng)管理、國家秘密載體管理、公開發(fā)布信息、各類涉密采購、涉密人員分類管理、保密教育培訓、保密協(xié)議等） 對公共信息網(wǎng)絡及其他傳媒的行為要求 對互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡運營商、服務商的行為要求v監(jiān)督管理 國家保密行政管理部門依照法律、行政法規(guī)的規(guī)定，制定保密規(guī)章和國家保密標準 組織開展保密宣傳教育、保密檢查、保密技術防護

39、和泄密案件查處工作，對機關、單位的保密工作進行指導和監(jiān)督法律70刑法刑法中的有關規(guī)定（中的有關規(guī)定（1 1）v刑法 第六章 妨礙社會管理秩序罪 第一節(jié) 擾亂公共秩序罪 第285、286、287條 285條：非法侵入計算機信息系統(tǒng)罪；非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)罪；提供侵入、非法控制計算機信息系統(tǒng)程序、工具罪 違反國家規(guī)定，侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統(tǒng)的，處三年以下有期徒刑或者拘役 違反國家規(guī)定，侵入前款規(guī)定以外的計算機信息系統(tǒng)或者采用其他技術手段，獲取該計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)，或者對該計算機信息系統(tǒng)實施非法控制，情節(jié)嚴重的，處

40、三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金 提供專門用于侵入、非法控制計算機信息系統(tǒng)的程序、工具，或者明知他人實施侵入、非法控制計算機信息系統(tǒng)的違法犯罪行為而為其提供程序、工具，情節(jié)嚴重的，依照前款的規(guī)定處罰法律71刑法刑法中的有關規(guī)定（中的有關規(guī)定（2 2）v刑法 第六章 妨礙社會管理秩序罪 第一節(jié) 擾亂公共秩序罪 第285、286、287條 286條：破壞計算機信息系統(tǒng)罪 違反國家規(guī)定，對計算機信息系統(tǒng)功能進行刪除、修改、增加、干擾，造成計算機信息系統(tǒng)不能正常運行，后果嚴重的，處五年以下有期徒刑或者拘役；后果特別嚴重的，處五年以上有期徒

41、刑 違反國家規(guī)定，對計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應用程序進行刪除、修改、增加的操作，后果嚴重的，依照前款的規(guī)定處罰 故意制作、傳播計算機病毒等破壞性程序，影響計算機系統(tǒng)正常運行，后果嚴重的，依照第一款的規(guī)定處罰 287條：利用計算機實施犯罪的提示性規(guī)定 利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪的，依照本法有關規(guī)定定罪處罰72法律73電子簽名法電子簽名法v意義 2005年4月1日正式施行的電子簽名法，被稱為“中國首部真正意義上的信息化法律”，自此電子簽名與傳統(tǒng)手寫簽名和蓋章具有同等的法律效力v適用范圍 民事活動中的合同或者其他文件、單證等文書 電子簽名

42、和數(shù)據(jù)電文不適用的文書（國際慣例）：涉及證明人身關系的、涉及不動產(chǎn)權益轉讓的、涉及停止公共事業(yè)服務的、法律法規(guī)所規(guī)定的不適用電子文書的其他情形法律國家安全國家安全法法中的有關規(guī)定中的有關規(guī)定 第二章 國家安全機關在國家安全工作中的職權 第10條 國家安全機關因偵察危害國家安全行為的需要，根據(jù)國家有關規(guī)定，經(jīng)過嚴格的批準手續(xù)，可以采取技術偵察措施 第11條 國家安全機關為維護國家安全的需要，可以查驗組織和個人的電子通信工具、器材等設備、設施74法律全國人大關于維護互聯(lián)網(wǎng)安全的決定全國人大關于維護互聯(lián)網(wǎng)安全的決定v背景 互聯(lián)網(wǎng)日益廣泛的應用，對于加快我國國民經(jīng)濟、科學技術的發(fā)展和社會服務信息化進程

43、具有重要作用。如何保障互聯(lián)網(wǎng)的運行安全和信息安全問題已經(jīng)引起全社會的普遍關注v互聯(lián)網(wǎng)安全的范疇（法律約束力） 互聯(lián)網(wǎng)的運行安全（侵入、破壞性程序、攻擊、中斷服務等） 國家安全和社會穩(wěn)定（有害信息、竊取/泄露國家秘密、煽動、非法組織等） 市場經(jīng)濟秩序和社會管理秩序（銷售偽劣產(chǎn)品/虛假宣傳、損害商業(yè)信譽、侵犯知識產(chǎn)權、擾亂金融秩序、淫穢內(nèi)容服務等） 個人、法人和其他組織的人身、財產(chǎn)等合法權利（侮辱或誹謗他人、非法處理他人信息數(shù)據(jù)/侵犯通信自有和通信秘密、盜竊/詐騙/敲詐勒索等）v法律責任 構成犯罪的，依照刑法有關規(guī)定追究刑事責任 構成民事侵權的，依法承擔民事責任 尚不構成犯罪的：治安管理處罰 /

44、行政處罰 / 行政處分或紀律處分 75法律國家信息化領導小組關于加強信息安全國家信息化領導小組關于加強信息安全保障工作的意見保障工作的意見（中辦發(fā)（中辦發(fā)200327200327號）號）v意義 標志著我國信息安全保障工作有了總體綱領 提出要在5年內(nèi)建設中國信息安全保障體系v總體要求 堅持積極防御、綜合防范的方針，全面提高信息安全防護能力，重點保障基礎信息網(wǎng)絡和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網(wǎng)絡環(huán)境，保障和促進信息化發(fā)展，保護公眾利益，維護國家安全v信息安全與國家安全 27號文：信息安全已成為國家安全的重要組成部分 十六屆四中全會：確保國家的政治安全、經(jīng)濟安全、文化安全和信息安全76中華人民共

45、和國計算機信息系統(tǒng)安全保中華人民共和國計算機信息系統(tǒng)安全保護條例（國務院護條例（國務院147147號令）號令）v國務院147號令 1994年2月，國務院發(fā)布 是我國在信息系統(tǒng)安全保護方面最早制定的一部政策性法規(guī)，也是我國信息系統(tǒng)安全保護最基本的一部法規(guī)v規(guī)定了 安全等級保護制度 國際互聯(lián)網(wǎng)備案制度 信息系統(tǒng)安全產(chǎn)品銷售許可證制度 77關于加強政府信息安全和保密管理工作的關于加強政府信息安全和保密管理工作的通知（國辦發(fā)通知（國辦發(fā)200817200817號）號）v加強組織領導，明確安全責任 重視信息安全和保密工作，明確主管領導 誰主管誰負責、誰運行誰負責、誰使用誰負責v強化教育培訓，提高安全意識

46、和防護技能 組織信息安全和保密基本技能培訓 深入學習宣傳信息安全“五禁止”規(guī)定v完善安全措施和手段 管理制度+技術手段v做好信息安全檢查工作，依法追究責任 詳見政府信息系統(tǒng)安全檢查辦法78國務院關于大力推進信息化發(fā)展和切實保障國務院關于大力推進信息化發(fā)展和切實保障信息安全的若干意見信息安全的若干意見（國發(fā)國發(fā)201223201223號）號）v重要意義 調(diào)整經(jīng)濟結構，轉變發(fā)展方式，保障和改善民生 健全信息安全保障體系，切實增強信息安全保障能力，維護國家信息安全v主要目標 重點領域信息化水平明顯提高 下一代信息基礎設施初步建成 國家信息安全保障體系基本形成 重要信息系統(tǒng)和基礎網(wǎng)絡安全防護能力明顯增強 信息化裝備的安全可控水平明顯提高 信息安全等級保護等基礎性工作明顯加強79國務院關于大力推進信息化發(fā)展和切實保障國務院關于大力推進信息化發(fā)展和切實保障信息安全的若干意見信息安全的若干意見（國發(fā)國發(fā)201223201223號）號）v保障重點領域信息安全