網絡安全課件

網絡安全學習課件網絡與信息安全總綱（NISS培訓）P151網絡與信息安全綜述P2中國移動全員安全意識培訓P261123課程提綱課程1—

網絡與信息安全綜述目錄網絡與信息安全概述安全現(xiàn)狀與趨勢分析安全技術及產品介紹安全標準與政策法規(guī)安全工作思路與原則案例分析網絡與信息安全概述請思考什么是網絡與信息安全？什么是網絡與信息（1）強調信息：對企業(yè)具有價值（或能產生價值）以多種形式存在：紙、電子、影片、交談等是一種資產同其它重要的商業(yè)資產一樣需要適合的保護強調網絡：網絡是信息的一種載體是信息存放、使用、交互的重要途徑是一種容易識別的實體是基礎通信運營企業(yè)的有形資產什么是網絡與信息（2）從理論角度信息的范圍更大，更廣網絡只是信息使用過程的一種載體、一種方式從實際工作角度把信息局限在網絡上承載的內容、數(shù)據(jù)、業(yè)務保障業(yè)務連續(xù)性、網絡正常運行的配置數(shù)據(jù)等比理論角度的信息范圍要窄，但適合我們的工作實際兩種視角的相同點信息是目標網絡是基礎網絡與信息并重什么是網絡與信息安全信息安全：保護信息免受各種威脅確保業(yè)務的連續(xù)性將信息不安全帶來的損失降低到最小獲得最大的投資回報和商業(yè)機會網絡安全：網絡、設備的安全線路、設備、路由和系統(tǒng)的冗余備份網絡及系統(tǒng)的安全穩(wěn)定運行網絡及系統(tǒng)資源的合理使用網絡與信息安全的論域對應通信網絡及信息化的發(fā)展，網絡與信息安全大致包含了信息環(huán)境、信息網絡和通信基礎設施、媒體、數(shù)據(jù)、信息內容、信息應用等多個方面。中國移動按企業(yè)實際情況把網絡與信息安全劃分為七類:物理安全、傳統(tǒng)通信安全、網絡與系統(tǒng)安全、業(yè)務安全、內容安全、信息安全需求屬性狀態(tài)能力功能工程結果安全的多維性——多角度思考信息化社會的需要比如：保密性等對應于信息不安全對應于人們的努力比如：防護、檢測等對應于人們努力的時間對應于努力的實力“安全”——動態(tài)發(fā)展的概念19911989X.800ISO7498-2“安全”是指將資產或資源的脆弱性降到最低限度。ISO154081999當對信息進行正確的控制以確保它能防止冒險,諸如不必要的或無保證的傳播、更改或遺失,IT產品和系統(tǒng)應執(zhí)行它們的功能.“IT安全”用于概括防御和緩解這些及類似的冒險。2000ISO17799:20002005ISO17799:2005信息安全是要在很大的范圍內保護信息免受各種威脅，從而確保業(yè)務的連續(xù)性、減少業(yè)務損失并且使投資和商務機會獲得最大的回報。特指保護保密性、完整性和可用性。信息安全－保證信息的保密性，完整性，可用性；另外也可包括諸如真實性，可核查性，不可否認性和可靠性等特性.ISOTR13335-2:199719972004ISO13335-1:2004定義獲取和維護保密性、完整性、可用性、可核查性、真實性和可靠性。安全的相關屬性Confidentiality保密性Dataconfidentiality數(shù)據(jù)保密性Communicationsecurity通信安全Integrity完整性Dateintegrity數(shù)據(jù)完整性Availability可用性Non-repudiation抗抵賴性Accountability可核查性Authenticity真實性Reliability可靠性AccessControl訪問控制Authentication鑒別Privacy私密性13335:200417799:2005X.800X.805ISO17799:2000信息系統(tǒng)等級保護80年代的認識90年代的認識90年代后期的認識通信保密通信保密信息安全信息保障保密性完整性可用性真實性保密性可核查性完整性抗抵賴性可用性可靠性安全的相關屬性使信息不泄露給未授權的個人、實體或過程或不使信息為其所利用的特性。保護信息及處理方法的準確性和完備性。被授權實體一旦需要就可訪問和使用的特性。確保主體或資源的身份正是所聲稱身份的特性。真實性適用于用戶、過程、系統(tǒng)和信息之類的實體。確保可將一個實體的行動唯一地追蹤到此實體的特性。證明某一動作或事件已經發(fā)生的能力，以使事后不能抵賴這一動作或事件。保密性完整性可用性真實性可核查性抗抵賴性可靠性預期行為和結果相一致的特性。請思考企業(yè)為什么要投入大量成本實現(xiàn)網絡與信息安全？網絡與信息安全的重要性網絡與信息安全是國家的需要保障國家安全、社會穩(wěn)定胡總書記提出“三個堅決”：堅決防止發(fā)生危害國家安全和社會穩(wěn)定的重大政治事件；堅決防止發(fā)生暴力恐怖事件；堅決防止發(fā)生大規(guī)模群體性事件。企業(yè)生存和發(fā)展必須遵循外部網絡與信息安全強制要求國家及行業(yè)的要求：《電信法》、《增值電信業(yè)務網絡信息安全保障基本要求》、電信網絡安全等級保護等；資本市場：《薩班斯法案》。國家企業(yè)用戶網絡與信息安全的重要性網絡與信息安全是企業(yè)保持競爭力的內在需要企業(yè)戰(zhàn)略轉變做世界一流企業(yè)，成為移動信息專家，網絡與信息安全是必要條件：體現(xiàn)了中國移動企業(yè)核心觀正德厚生：旨于服務和諧社會，保障客戶利益臻于至善：打造中國移動安全健康的精品網絡實現(xiàn)中國移動對客戶及社會的承諾對客戶的承諾：提供卓越品質的移動信息專家對社會的承諾：承擔社會責任做優(yōu)秀企業(yè)公民體現(xiàn)企業(yè)持續(xù)發(fā)展市場需求驅動安全發(fā)展安全服務已成為新的業(yè)務增長點。如綠色上網、電子商務等安全服務競爭優(yōu)勢，樹立品牌企業(yè)正常運營的需求避免名譽、信譽受損避免直接經濟損失避免正常工作中斷或受到干擾避免效率下降國家企業(yè)用戶網絡與信息安全的重要性網絡與信息安全是用戶的需要保護個人隱私與財產威脅信息私秘性直接影響用戶對信息交互的信任度滿足用戶業(yè)務使用需求客戶在業(yè)務使用中，對安全的需求越來越強烈。如政府、銀行等集團客戶對網絡運營商提出更高的安全保障要求國家企業(yè)用戶網絡與信息安全的基本特征相對性只有相對的安全，沒有絕對的安全系統(tǒng)時效性新的漏洞與攻擊方法不斷發(fā)現(xiàn)相關性日常管理中的不同配置會引入新的問題（安全測評只證明特定環(huán)境與特定配置下的安全）新的系統(tǒng)組件也會引入新的問題不確定性攻擊發(fā)起的時間、攻擊者、攻擊目標和攻擊發(fā)起的地點都具有不確定性復雜性信息安全是一項系統(tǒng)工程，需要技術的和非技術的手段，涉及到管理、培訓、技術、人員、標準、運行等必要性網絡與信息安全必須是企業(yè)重點并持續(xù)關注和解決的網絡與信息安全的特點威脅永遠不會消失！漏洞/脆弱性客觀存在！客觀上無法避免的因素技術發(fā)展的局限，系統(tǒng)在設計之初不能認識到所有問題，如Tcp/ip協(xié)議人類的能力有限，失誤和考慮不周在所難免，如在編碼會引入Bug主觀上沒有避免的因素采用了默認配置而未定制和安全優(yōu)化新的漏洞補丁跟蹤、使用不及時組織、管理和技術體系不完善技術發(fā)展和環(huán)境變化的動態(tài)性……國家間的競爭與敵對勢力永遠不會消失企業(yè)間諜、攻擊者、欺詐與偷竊內部系統(tǒng)的誤用、濫用問題長期存在新的威脅不斷出現(xiàn)使原有防護措施失效或新的威脅產生……隨著信息化建設，信息資產的價值在迅速增長資產的無形價值，如商業(yè)情報、聲譽、品牌等等已遠遠超過了購買價格……資產價值多樣化增長！有效保護網絡與信息安全的核心是進行持續(xù)、科學的風險管理！風險管理思想風險RISKRISKRISKRISK風險風險的構成風險的降低資產威脅漏洞資產威脅漏洞安全現(xiàn)狀與趨勢分析案例-中美黑客大戰(zhàn)事件背景和經過2001.4.1撞機事件為導火線4月初，以PoizonB0x、pr0phet為代表的美國黑客組織對國內站點進行攻擊，約300個左右的站點頁面被修改4月下旬，國內紅（黑）客組織或個人，開始對美國網站進行小規(guī)模的攻擊行動，4月26日有人發(fā)表了“五一衛(wèi)國網戰(zhàn)”戰(zhàn)前聲明，宣布將在5月1日至8日，對美國網站進行大規(guī)模的攻擊行動。各方都得到第三方支援各大媒體紛紛報道，評論，中旬結束大戰(zhàn)典型案例-中美黑客大戰(zhàn)中經網數(shù)據(jù)有限公司中國科學院心理研究所國內某政府網站國內某大型商業(yè)網站遭PoizonB0x、pr0phet更改的我國部分網站主頁典型案例-中美黑客大戰(zhàn)美國勞工部網站美國某節(jié)點網站美國某大型商業(yè)網站美國某政府網站國內黑客組織更改的網站頁面常用入侵系統(tǒng)步驟（普通&高級）采用漏洞掃描工具選擇會用的方式入侵獲取系統(tǒng)一定權限提升為最高權限安裝系統(tǒng)后門獲取敏感信息或者其他攻擊目的端口判斷判斷系統(tǒng)選擇最簡方式入侵分析可能有漏洞的服務獲取系統(tǒng)一定權限提升為最高權限安裝多個系統(tǒng)后門清除入侵腳印攻擊其他系統(tǒng)獲取替換信息作為其他用途Ping、traceroute等系統(tǒng)自帶命令端口掃描NmapOS指紋鑒別漏洞掃描（X-scan、SSS、商業(yè)掃描器）構造特殊的攻擊和掃描，如firewalking社會工程配置錯誤信息收集與踩點網絡與信息安全面臨各種威脅內部、外部泄密拒絕服務攻擊欺詐釣魚信息丟失、篡改、銷毀內部網絡濫用病毒蠕蟲木馬黑客攻擊信息資產物理偷竊常見安全事件類型-網絡釣魚以假亂真，視覺陷阱域名類似

身份偽裝

admin@?改寫URL&item=q20299@/pub/msk/Q20299.asp編碼http://3633633987DNS劫持+Phishing常見安全事件類型-病毒及惡意代碼計算機病毒是指一段具有自我復制和傳播功能的計算機代碼，這段代碼通常能影響計算機的正常運行，甚至破壞計算機功能和毀壞數(shù)據(jù)。病毒的特點破壞性強傳播性強針對性強擴散面廣傳染方式多病毒的新動向傳播速度快：以網絡和Internet為主危害很大的病毒以郵件為載體病毒的延伸：特洛伊木馬有毒的移動編碼--來自Internet網頁威脅“熊貓燒香”事件熊貓燒香金豬報喜“熊貓燒香”去年11月中旬被首次發(fā)現(xiàn)，短短兩個月時間，新老變種已達700多種個常見安全事件類型-病毒蠕蟲紅色代碼2001年6月18日，微軟發(fā)布安全公告：MicrosoftIIS.IDA/.IDQISAPI擴展遠程緩沖區(qū)溢出漏洞。一個月后，利用此安全漏洞的蠕蟲“紅色代碼”一夜之間攻擊了國外36萬臺電腦，2001年8月6日，“紅色代碼Ⅱ”開始在國內發(fā)作，造成很多運營商和企事業(yè)單位網絡癱瘓。給全球造成了高達26億美元的損失。SQLslammer2002年7月24日，微軟發(fā)布安全公告：MicrosoftSQLServer2000Resolution服務遠程棧緩沖區(qū)溢出漏洞。到2003年1月25日，足足6個月后，利用此安全漏洞的蠕蟲“SQLSlammer”現(xiàn)身互聯(lián)網，幾天之內給全球造成了12億美元的損失。沖擊波震蕩波魔波……常見安全事件類型-特洛伊木馬Internet攻擊者的計算機攻擊者控制的服務器特洛伊木馬攻擊的計算機特洛伊木馬攻擊的計算機正向連接反向連接常見安全事件類型-僵尸網絡什么是僵尸網絡(BotNet)是互聯(lián)網上受到黑客集中控制的一群計算機，往往被黑客用來發(fā)起大規(guī)模的網絡攻擊，如分布式拒絕服務攻擊(DDoS)、海量垃圾郵件等，同時黑客控制的這些計算機所保存的信息也都可被黑客隨意“取用”。發(fā)現(xiàn)僵尸網絡是非常困難的因為黑客通常遠程、隱蔽地控制分散在網絡上的“僵尸主機”，這些主機的用戶往往并不知情。因此，僵尸網絡是目前互聯(lián)網上黑客最青睞的作案工具。常見安全事件類型-拒絕服務攻擊攻擊者就是讓你白等偽造地址進行SYN請求SYN（我可以連接嗎？）ACK（可以）/SYN（請確認?。┎荒芙⒄５倪B接受害者為何還沒回應拒絕服務(DoS)的分類攻擊類型劃分I堆棧突破型（利用主機/設備漏洞）遠程溢出拒絕服務攻擊網絡流量型（利用網絡通訊協(xié)議）SYNFloodACKFloodICMPFloodUDPFlood、UDPDNSQueryFloodConnectionFloodHTTPGetFlood……攻擊類型劃分II應用層垃圾郵件、病毒郵件DNSFlood網絡層SYNFlood、ICMPFlood鏈路層ARP偽造報文物理層直接線路破壞電磁干擾發(fā)起突然可能之前毫無征兆危害巨大極大的破壞了系統(tǒng)和網絡的可用性涉及金錢利益的攻擊事件開始出現(xiàn)極易實施廣為傳播的免費工具軟件人的好奇心或者其他想法防范困難新的攻擊形式不斷出現(xiàn)攻擊制造的流量日益增大難于追查有意識的攻擊1999年Yahoo、ebay被拒絕服務攻擊，DDoS出現(xiàn)2001年CERT被拒絕服務攻擊2002年CNNIC被拒絕服務攻擊2003年全球13臺根DNS中有8臺被大規(guī)模拒絕服務有組織、有預謀的涉及金錢利益的拒絕攻擊出現(xiàn)無意識的攻擊蠕蟲傳播Exploit(ProofofConceptCode)DoS/DDoS的歷史和特點常見安全事件類型-社會工程社會工程假借客戶，騙取資料冒充技術員打電話，詢問個人郵件密碼搜集員工個人信息，破解用戶口令收買公司員工，竊取內部機密其它常見的攻擊/入侵方法黑客入侵跳板或肉雞：通過一個節(jié)點來攻擊其他節(jié)點。攻擊者控制一臺主機后，經常通過IP欺騙或者主機信任關系來攻擊其他節(jié)點以隱蔽其入侵路徑和擦除攻擊證據(jù)。電子郵件攻擊：郵件炸彈、郵件欺騙網絡監(jiān)聽：獲取明文傳輸?shù)拿舾行畔炔烤W絡濫用：BT下載、大附件郵件轉發(fā)等主要威脅的統(tǒng)計根據(jù)FBI調查統(tǒng)計，位列前五位的威脅分別是內部網絡的濫用、病毒和移動設備的偷竊、釣魚以及即時消息的濫用。威脅主體分析來源描述環(huán)境因素

斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災、火災、地震、意外事故等環(huán)境危害或自然災害，以及軟件、硬件、數(shù)據(jù)、通訊線路等方面的故障人為因素惡意人員

不滿的或有預謀的內部人員對信息系統(tǒng)進行惡意破壞；采用自主或內外勾結的方式盜竊機密信息或進行篡改，獲取利益外部人員利用信息系統(tǒng)的脆弱性，對網絡或系統(tǒng)的保密性、完整性和可用性進行破壞，以獲取利益或炫耀能力非惡意人員

內部人員由于缺乏責任心，或者由于不關心或不專注，或者沒有遵循規(guī)章制度和操作流程而導致故障或信息損壞；內部人員由于缺乏培訓、專業(yè)技能不足、不具備崗位技能要求而導致信息系統(tǒng)故障或被攻擊GB/T20894-2007《信息安全技術-信息安全風險評估規(guī)范》人—最主要的威脅主體截至2007年12月，網民數(shù)已增至2.1億人。中國網民數(shù)增長迅速，比2007年6月增加4800萬人，2007年一年則增加了7300萬人，年增長率達到53.3%。在過去一年中平均每天增加網民20萬人。目前中國的網民人數(shù)略低于美國的2.15億，位于世界第二位。目前中國4億手機用戶中，在過去半年有過手機接入互聯(lián)網行為的網民數(shù)量是5,040萬人。即網民中的24%、手機用戶中的12.6%是手機網民，手機上網已經漸成風氣。攻擊方法及技術趨勢高低19801985199019952000密碼猜測可自動復制的代碼密碼破解利用已知的漏洞破壞審計系統(tǒng)后門回話劫持擦除痕跡臭探包欺騙GUI遠程控制自動探測掃描拒絕服務www攻擊攻擊者入侵者技術攻擊手法半開放隱蔽掃描控制臺入侵檢測網絡管理DDOS攻擊SQL注入Googlehacking2005電信網絡面臨的威脅網絡結構龐大復雜，互聯(lián)網出入口多不同安全等級的網絡、系統(tǒng)隔離不充分，易導致威脅的擴散（生產網、網管網、OA等）業(yè)務系統(tǒng)自身的脆弱性（應用軟件、業(yè)務邏輯漏洞、安全補丁等）IP化及業(yè)務開放性趨勢導致新的弱點：信令網不再封閉不同安全域的互通控制更復雜ATCA平臺/通用操作系統(tǒng)的應用使得設備自身易受攻擊OABSS/OSS移動網絡安全威脅分析IPCoreNetworkIPAccessNetworkIPIPCSCFMGCFMRFIMSBTSNodeBBSCRNCIPBSSIPRANCSMSCMGWSGSNGGSNPSPSTN/PLMNInternetMMSSMSWAP自有業(yè)務系統(tǒng)PresenceIMConferenceGaming第三方ASP/ISP終端來自用戶側（接入/終端）威脅對用戶竊聽/用戶機密信息竊取病毒/蠕蟲/木馬中間人或偽基站攻擊對網絡業(yè)務盜用非法設備接入網絡攻擊/拓撲泄露

DoS攻擊，資源耗竭來自Internet的威脅黑客入侵

DoS/DDos攻擊，資源耗竭非法接入業(yè)務系統(tǒng)來自第三方網絡的威脅身份欺騙業(yè)務欺詐/盜用來自運營商DCN網絡的威脅

病毒、蠕蟲、木馬非法訪問越權訪問、權限濫用敏感/機密信息泄露StreamHLR/Auc網絡技術快速發(fā)展，安全風險無處不在網絡IP化業(yè)務開放化終端智能化123在向全IP網絡轉變過程中，由于IP協(xié)議的不安全以及復雜的互聯(lián)需求，安全風險逐步滲入到電信網絡的核心。移動終端處理能力的提高、功能的豐富，同時意味著傳統(tǒng)計算機領域的安全問題也會擴散到移動終端領域，并給通信網絡帶來安全隱患。運營商、SP構成更加緊密的價值鏈，該此模式對管理和技術控制措施提出更高要求。安全攻擊日益受利益驅動，易于實施攻擊工具化驅動利益化45安全工具易于獲得，攻擊成本逐年降低大量自動化、集成度高的攻擊工具，可通過互聯(lián)網下載。隨著互聯(lián)網的發(fā)展，網上可供利用的安全漏洞數(shù)量逐年增加，成功實施攻擊所需時間不斷縮短。在經濟利益驅動下，安全事件更加難于處理和防范維護人員、第三方技術支持人員利用其了解的信息和掌握的權限謀取非法收入。傳統(tǒng)安全防護手段難于對此類情況進行防護。灰鴿子病毒，垃圾郵件等安全事件，反映出利用安全事件獲取非法收益的地下產業(yè)鏈已經形成。影響業(yè)務運作信息安全問題引起電信業(yè)務中斷帶來極大的社會影響。如：電信4.11斷網、北京網通斷網信息安全問題導致業(yè)務收入損失。如：智能網盜卡事件競爭力下降新業(yè)務模式、投資計劃等商業(yè)秘密泄漏。由于資本市場提出新的監(jiān)管要求，信息安全問題更加嚴重影響企業(yè)的融資能力。因業(yè)務沒有充分的安全保障，造成客戶對業(yè)務的負向感知，引起客戶投訴、離網或不選擇相應的服務。安全問題可能導致移動多年精心經營的移動信息專家品牌蒙受重大損失。法律訴訟業(yè)務數(shù)據(jù)受到破壞，廣東動感地帶網站泄漏用戶個人信息香港和黃被起訴安全問題帶來的企業(yè)風險脆弱性面面觀-國家層面我國信息安全保障工作仍存在一些亟待解決的問題：網絡與信息系統(tǒng)的防護水平不高，應急處理能力不強；信息安全的管理和技術人才缺乏，信息安全關鍵技術整體上比較落后，信息安全產業(yè)缺乏核心競爭力；信息安全法律法規(guī)和標準不完善；全社會的信息安全意識不強，信息安全管理薄弱。國家信息化領導小組關于加強信息安全保障工作的意見（中辦發(fā)[2003]27號）脆弱性面面觀-企業(yè)層面安全脆弱性美國中國預算限制29%20%執(zhí)行安全政策不利21%19%高級管理層對此缺乏關注或興趣19%28%信息安全策略不完善18%42%關鍵技術產品存在安全漏洞18%34%補丁產品使用不當17%38%采用外包服務13%9%IT架構陳舊過時12%15%安全產品不兼容或互操作性差10%20%安全政策和技術跟不上組織結構的變化10%17%內部開發(fā)的軟件未對信息安全予以關注10%16%雇用臨時員工9%9%其它6%1%InformationWeek研究部和埃森哲咨詢公司《2007年全球信息安全調查》德勤《2007年全球信息安全調查》脆弱性面面觀-個人層面應用存在的問題上傳下載病毒木馬傳播、身份偽造、機密泄漏郵件收發(fā)漏洞利用、病毒木馬傳播即時通訊病毒木馬傳播、Bot擴散、信息泄漏信息瀏覽網絡欺詐、網頁病毒攻擊網絡游戲外掛問題、身份偽造、賬號裝備失竊信息查詢敏感信息泄漏在線音視頻漏洞利用、身份偽造文件共享病毒木馬傳播、帶寬消耗電子商務身份偽造、網絡欺詐、賬號失竊安全技術及產品介紹主流安全產品格局網絡安全Web安全Message安全終端安全NetworkFireWallNetworkIPSNGNetworkFirewallUTMHostFirewallHostIPSHost/EndpointAnti-VirusHostAnti-SpywareEndpiontComplianceGatewayAntiVirusGatewayAnti-phishingURL-filteringGatewayAntispywareWebFirewall/IPSAnti-SpamMailServerAntivirusMailEncryptionOutboundContentComplianceConvergedClientSecuritysuitAnti-DDOSDPI/DFIUTMSSL/IPSecVPN帶寬管理用戶行為審計安全內容與威脅管理基礎平臺管理基于身份的認證與授權管理SIEMVulnerabilitymanagementUnifysecuritynetworkmanagementPatchmanagementIDMPKISmartCardBiometricalIdentifySSOAuthoritymanagementProvisioningRolemanagement應用安全主流安全產品介紹防火墻IDS/IPS抗DDOS防病毒安全域帳號口令審計安全管理平臺防火墻的概念防火墻是一種高級訪問控制設備，是置于不同網絡安全域之間的一系列部件的組合，是不同網絡安全域間通信流的唯一通道，能根據(jù)企業(yè)有關安全政策控制(允許、拒絕、監(jiān)視、記錄)進出網絡的訪問行為。不可信的網絡及服務器可信任的網絡防火墻路由器InternetIntranet供外部訪問的服務及資源可信任的用戶不可信的用戶DMZ防火墻的主要技術包過濾技術(PacketFiltering)狀態(tài)包過濾技術(StatefulPacketFiltering)應用代理技術(ApplicationProxy)應用層表示層會話層傳輸層網絡層數(shù)據(jù)鏈路層物理層*包過濾技術的基本原理數(shù)據(jù)包數(shù)據(jù)包查找對應的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包數(shù)據(jù)TCP報頭IP報頭分組過濾判斷信息企業(yè)內部網屏蔽路由器數(shù)據(jù)包數(shù)據(jù)包UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource控制策略*狀態(tài)包過濾技術的基本原理數(shù)據(jù)包數(shù)據(jù)包查找對應的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包企業(yè)內部網屏蔽路由器數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)3TCP報頭IP報頭分組過濾判斷信息數(shù)據(jù)2TCP報頭IP報頭數(shù)據(jù)1TCP報頭IP報頭數(shù)據(jù)1TCP報頭IP報頭數(shù)據(jù)狀態(tài)檢測控制策略*應用代理技術的基本原理數(shù)據(jù)包數(shù)據(jù)包查找對應的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包企業(yè)內部網屏蔽路由器數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)TCP報頭IP報頭分組過濾判斷信息應用代理判斷信息控制策略防火墻的局限性防火墻不能防止通向站點的后門。防火墻一般不提供對內部的保護。防火墻無法防范數(shù)據(jù)驅動型的攻擊。防火墻不能防止用戶由Internet上下載被病毒感染的計算機程序或者將該類程序附在電子郵件上傳輸。確保網絡的安全,還要對網絡內部進行實時的檢測，對信息內容進行過濾。入侵檢測系統(tǒng)的基本概念入侵檢測系統(tǒng)(IDS：Intrusiondetectionsystem)用于監(jiān)控網絡和計算機系統(tǒng)被入侵或濫用的征兆；IDS系統(tǒng)以后臺進程的形式運行，發(fā)現(xiàn)可疑情況，立即通知有關人員；IDS是監(jiān)控和識別攻擊的標準解決方案，是安防體系的重要組成部分；假如說防火墻是一幢大樓的門鎖，那入侵檢測系統(tǒng)就是這幢大樓里的監(jiān)視系統(tǒng)。監(jiān)控室=控制中心后門保安=防火墻攝像機=探測引擎CardKey入侵檢測系統(tǒng)示意形象地說，它就是網絡攝象機，能夠捕獲并記錄網絡上的所有數(shù)據(jù)，同時它也是智能攝象機，能夠分析網絡數(shù)據(jù)并提煉出可疑的、異常的網絡數(shù)據(jù)，它還是X光攝象機，能夠穿透一些巧妙的偽裝，抓住實際的內容。它還不僅僅只是攝象機，還包括保安員的攝象機，能夠對入侵行為自動地進行反擊：阻斷連接、關閉道路（與防火墻聯(lián)動）。入侵檢測系統(tǒng)的類型主機入侵檢測系統(tǒng)(HostIntrusionDetection)網絡入侵檢測系統(tǒng)(NetworkIntrusionDetection)網絡入侵檢測系統(tǒng)，它通過抓取網絡上的所有報文，分析處理后，報告異常和重要的數(shù)據(jù)模式和行為模式，使網絡安全管理員清楚地了解網絡上發(fā)生的事件，并能夠采取行動阻止可能的破壞。入侵檢測系統(tǒng)的功能實時檢測實時地監(jiān)視、分析網絡中所有的數(shù)據(jù)報文發(fā)現(xiàn)并實時處理所捕獲的數(shù)據(jù)報文安全審計對系統(tǒng)記錄的網絡事件進行統(tǒng)計分析發(fā)現(xiàn)異?，F(xiàn)象得出系統(tǒng)的安全狀態(tài)，找出所需要的證據(jù)主動響應主動切斷連接或與防火墻聯(lián)動，調用其他程序處理入侵檢測系統(tǒng)與防火墻的區(qū)別所在的位置不同防火墻是安裝在網關上，將可信任區(qū)域和非可信任區(qū)域分開，對進出網絡的數(shù)據(jù)包進行檢測，實現(xiàn)訪問控制。一個網段只需要部署一個防火墻。而NIDS是可以裝在局域網內的任何機器上，一個網段內可以裝上數(shù)臺NIDS引擎，由一個總控中心來控制。防范的方向不同防火墻主要是實現(xiàn)對外部網絡和內部網絡通訊的訪問控制，防止外部網絡對內部網絡的可能存在的攻擊。網絡入侵檢測系統(tǒng)在不影響網絡性能的情況下能對網絡進行檢測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護，防止內外部的惡意攻擊和網絡資源濫用。檢測的細粒度不同防火墻為了實現(xiàn)快速的網絡包轉換，故只能對網絡包的IP和端口進行一些防黑檢測，比如端口掃描?？墒菍νㄟ^IIS漏洞及Nimda病毒之類的網絡入侵，防火墻是毫無辦法。而網絡入侵檢測系統(tǒng)則可以擁有更多特征的入侵數(shù)據(jù)特征庫，可以對整個網絡包進行檢查過濾。入侵防御系統(tǒng)入侵防御系統(tǒng)IPS（IntrusionPreventionSystem）提供一種主動的、實時的防護，其設計旨在對常規(guī)網絡流量中的惡意數(shù)據(jù)包進行檢測，阻止入侵活動，預先對攻擊性的流量進行自動攔截，使它們無法造成損失，而不是簡單地在傳送惡意流量的同時或之后發(fā)出警報。IPS是通過直接串聯(lián)到網絡鏈路中或安裝在服務器上而實現(xiàn)這一功能的，即IPS接收到外部數(shù)據(jù)流量時，如果檢測到攻擊企圖，就會自動地將攻擊包丟掉。IPS的優(yōu)點IPS側重訪問控制，注重主動防御。目前，主流的IPS產品都內置了狀態(tài)包檢測防火墻，IPS代表了深度檢測和時時防御，IPS是2-7層的檢測在加上高性能的硬件的結合體。IPS的缺點：性能：設備性能不夠穩(wěn)定，造成網絡延遲或丟包；誤報：存在誤檢測，對正常業(yè)務造成影響；漏報：存在漏報現(xiàn)象，影響系統(tǒng)安全性，給企業(yè)帶來損失。抗DDOS攻擊的技術趨勢黑洞流量全部丟棄,反而達到了DDoS攻擊的目的;ACL針對目的IP過濾或限速;無法防御應用攻擊;防火墻性能/擴展差;對運營商網絡的影響；被動防御時間異常流量監(jiān)管按需部署方案安全威脅防范電信業(yè)務監(jiān)管網絡保值到增值異常流量監(jiān)管技術DDoS流量清洗部署在IDC/大用戶/運營商網絡側進行DDoS監(jiān)測和防護;主要針對DDoS流量，其它異常流量防護能力有局限；攻擊流量清洗病毒及惡意代碼防護技術防病毒系統(tǒng)分類：主機型網關型特點：通過特征規(guī)則匹配發(fā)現(xiàn)病毒規(guī)則必須定期更新從發(fā)展上看，病毒及惡意代碼，包括木馬、蠕蟲甚至垃圾郵件、間諜軟件逐漸被歸納為內容安全的問題，傳統(tǒng)防病毒系統(tǒng)也逐漸演變?yōu)榘踩珒热莨芾?。安全域劃分組網方式隨意性強，缺乏統(tǒng)一規(guī)劃網絡區(qū)域之間邊界不清晰，互連互通沒有統(tǒng)一控制規(guī)范安全防護手段部署原則不明確擴展性差無法有效隔離不同業(yè)務領域，跨業(yè)務領域的非授權互訪難于發(fā)現(xiàn)和控制無法有效控制網絡病毒的發(fā)作區(qū)域和影響不能及時的發(fā)現(xiàn)安全事件和響應第三方維護人員缺乏訪問控制和授權管理員密碼和權限的難以管理關鍵服務器、信息資產的缺乏重點防護為什么要劃分安全域？安全域劃分安全域劃分的根本目的是把一個大規(guī)模復雜系統(tǒng)的安全問題，化解為更小區(qū)域的簡單系統(tǒng)的安全保護問題。這也是實現(xiàn)大規(guī)模復雜信息的系統(tǒng)安全分等級保護的有效方法。安全域是指具有相同或近似安全保護需求的一系列IT要素的邏輯集合。這些要素主要包括：業(yè)務應用網絡區(qū)域主機/系統(tǒng)組織人員物理環(huán)境主體、性質、安全目標和策略等元素的不同來劃分的不同邏輯子網或網絡，每一個邏輯區(qū)域有相同的安全保護需求，具有相同的安全訪問控制和邊界控制策略，區(qū)域間具有相互信任關系，而且相同的網絡安全域共享同樣的安全策略。安全域劃分示例帳號口令管理的需求（4A）隨著當前IP網絡中，不同種類業(yè)務和應用的飛速發(fā)展，網絡的安全性逐漸得到了人們的認識和重視，因此類如防火墻、IDS/IPS、防病毒網關、終端防護等安全技術產品在網絡中越來越流行起來，從某種程度上解決了一些安全上問題，但是如何確定網絡中用戶身份的真實性，實現(xiàn)用戶授權的可靠性，對用戶網絡行為的可追溯性，以及對用戶賬號管理的易用性，仍然是信息安全管理中不得不面對的難題。其常見的問題表現(xiàn)為：1、在網絡用戶只有IP，沒有與之對應的真實身份ID的前提下，發(fā)生非法網絡行為時，不能及時定位隔離。2、網絡對登錄用戶進行認證時，每個節(jié)點的設備各自配置自己的用戶信息、權限、策略及認證，從而難以管理，易出錯。3、網絡中不同功能服務區(qū)，沒有進行按級別訪問的權限設制。4、網絡中真實用戶身份不能確定，存在仿冒的可能，無法對個人行為進行監(jiān)控。5、對網管人員自身的監(jiān)控力度不夠6、對多種網絡接入方式的支持及認證強度不夠，不能提供穩(wěn)定的硬件級別的認證系統(tǒng)7、目前基于IP進行管理的網絡，已不適應網絡實名化的趨勢帳號口令管理方法與目標增強內控安全，滿足法規(guī)遵從梳理系統(tǒng)帳號，增強系統(tǒng)安全加強對系統(tǒng)的訪問控制，提高系統(tǒng)安全性定制工作流，提供管理規(guī)范性技術手段支撐建立安全審計中心，及時發(fā)現(xiàn)安全問題，追溯違規(guī)行為建立管理平臺，提高管理效率實現(xiàn)單點登錄，提高用戶便利集中認證接入集中授權管理集中帳號口令管理………集中安全審計…通過建立基于4A（Account、Authentication、Authorization、Auditing）的統(tǒng)一身份及訪問安全管理平臺，使得系統(tǒng)安全管理人員可以對各業(yè)務系統(tǒng)中的用戶和資源進行集中賬戶管理、集中認證管理、集中權限分配、集中審計，從而在管理、技術上保證各種業(yè)務系統(tǒng)安全策略的實施。安全審計產品－需求能夠發(fā)現(xiàn)潛在的威脅和運行問題，未雨綢繆化解安全和運行風險。對于安全事件發(fā)生或關鍵數(shù)據(jù)遭到嚴重破壞之前可以預先通過日志異常行為告警方式通知管理人員，及時進行分析并采取相應措施進行阻止，降低安全事件的最終發(fā)生率。定位操作系統(tǒng)和應用程序的日志，忠實地記錄了操作系統(tǒng)和應用程序的“一舉一動”,能夠通過審計這些日志定位系統(tǒng)故障、網絡問題和入侵攻擊行為。舉證安全審計的日志可以用來法律舉證的證據(jù)，必要時能幫助進行事故的責任認定。一些行業(yè)要求定期對日志進行全面?zhèn)浞莶⒈Ａ粝喈敃r間。預警安全審計產品－審計目標操作系統(tǒng)日志登陸與SU日志：異常分析命令操作日志：分析異常操作標準系統(tǒng)日志：非法攻擊留下的日志痕跡主機運行狀態(tài)CPU資源監(jiān)控內存占用監(jiān)控磁盤空間監(jiān)控應用系統(tǒng)日志數(shù)據(jù)庫操作和登陸W3C格式的應用系統(tǒng)分析特定應用系統(tǒng)的定制集中日志審計的基本功能保障日志安全傳輸加密第三方存儲訪問授權易于管理集中存儲方便支持不同應用系統(tǒng)日志審計的擴展采用多種直觀的顯示方式幫助管理員的分析和提供預警處理海量日志，提高分析效率自動化的日志分析支持海量日志事件的過濾、分析和處理更深層的對日志進行分析安全運行管理平臺（ISMP）ISMP不是單純產品，是承載安全管理與運行工作的平臺涵蓋安全工作的所有過程（包括預防、評估審計、監(jiān)控、分析處理、恢復各個環(huán)節(jié)）承載安全工作流和信息流，針對各個安全流程的每個環(huán)節(jié)的工作提供相關信息、任務ISMP是安全保障體系的落實與體現(xiàn)形式，是安全保障體系有效運行的技術支撐手段實現(xiàn)動態(tài)、可量化的風險管理實現(xiàn)網絡安全工作從凌亂、零散、粗放向有序、體系化、精細化的管理模式轉變日常的安全運維工作通過ISMP開展，就像網管依賴網管平臺開展ISMP從技術體系采集數(shù)據(jù)，執(zhí)行和審計策略體系各相關部門通過ISMP實現(xiàn)安全工作有序管理和密切協(xié)作ISMP體現(xiàn)管理意圖，以全面反映安全工作指導思想貫穿始終對領導層的價值：及時掌握各個部門整體安全狀況，輔助決策業(yè)務連續(xù)性高，績效好提高效率，減少人員需求，降低維護成本對安全管理者的價值：安全狀態(tài)可視化。全面、直觀識別和顯示各系統(tǒng)和設備的安全風險及時和全面的發(fā)現(xiàn)的安全事件實現(xiàn)各部門各業(yè)務系統(tǒng)的安全產品、網絡、主機、應用軟件的事件關聯(lián)分析實現(xiàn)安全事件精確定位，加快安全事件的響應速度，保障業(yè)務的連續(xù)性；智能化處理，降低對安全管理人員需求，提高工作效率；對系統(tǒng)維護人員、一般員工的價值：業(yè)務系統(tǒng)安全狀況可視化；安全事件快速定位，并提供處理支持（如補丁加載決策支持），提高生產效率，減少低級勞動對業(yè)務人員的價值：安全保障水平提高，實現(xiàn)客戶SLA；穩(wěn)定客戶，提高客戶滿意度安全運行管理平臺（ISMP）ISMP產品核心技術發(fā)展以網元設備為核心（網管產品發(fā)展）基于網管系統(tǒng)開發(fā)的ISMP產品通常采用這個思想，把固定的安全事件固定到網元管理上以資產風險管理為核心（目前已應用的ISMP產品）以資產為核心視圖，比較直觀和靈活的管理事件、資產和脆弱性要素，實現(xiàn)了初步的風險管理思想ISMP產品核心技術的發(fā)展以過程管理為核心（未來ISMP發(fā)展方向）

主要突出安全運維流程過程管理作為安全運行支撐手段，非事件關聯(lián)分析告警的平臺以安全事件為核心(日志收集與安全審計產品)收集多種不同來源的安全事件，進行關聯(lián)并可設定監(jiān)控閥值安全標準與政策法規(guī)安全標準與政策法規(guī)簡介框架標準指南政策法律法規(guī)國內相關的政策、法律法規(guī)、安全框架及各類適用標準。國際相關國家管理部門標準研究機構企業(yè)管理部門行業(yè)主管部門發(fā)布國家層面的信息戰(zhàn)略、信息安全戰(zhàn)略、安全相關法律法規(guī)等。研究國內外先進標準體系、制訂、發(fā)布安全國家標準、地方標準等。發(fā)布行業(yè)安全指南、指引，研究、制訂本行業(yè)安全相關標準等。發(fā)布本企業(yè)信息安全政策、策略、制度、指南，以及本企業(yè)標準等。研究、制訂、發(fā)布國際信息安全標準化組織ISOIECITUIETFPGP開發(fā)規(guī)范；鑒別防火墻遍歷；通用鑒別技術；域名服務系統(tǒng)安全；IP安全協(xié)議；一次性口令鑒別)；X.509公鑰基礎設施；S/MIME郵件安全；安全Shell；簡單公鑰基礎設施；傳輸層安全；Web處理安全。TC56可靠性；TC74IT設備安全和功效；TC77電磁兼容；CISPR無線電干擾特別委員會。前身是CCITT消息處理系統(tǒng)；目錄系統(tǒng)(X.400系列、X.500系列)；安全框架；安全模型等標準。JTC1SC27，信息技術-安全技術，共個工作組發(fā)布，主要信息安全標準；其他子委員會主要有SC6、、SC18、SC21、SC22、SC30等等；ISO/TC68，銀行和有關的金融服務。除以上國際組織外，各個國家均有自己的信息安全標準化組織，如ANSI(美國國家標準)BIS(印度標準)BSI(英國標準)BS標準目錄NF(法國標準)DIN(德國標準)GOST(俄羅斯國家標準)JSA(日本標準)TIS(泰國標準)AS(澳大利亞標準)CSA(加拿大標準協(xié)會)等等國際標準化組織ISO介紹ISO的主要工作是制修訂與出版國際標準。ISO標準的范圍涉及除電工與電子工程以外的所有領域；電工與電子工程標準，由國際電工委員會（IEC）負責制修訂；信息技術標準化工作由ISO和IEC共同負責。1987年11月，這兩大國際組織成立了ISO/IEC的JTCI聯(lián)合技術委員會即"信息技術委員會"，現(xiàn)有50個成員團體參加其工作。SC02SC27SC37WG1WG2WG3WG4WG5Cs47B/83TC971987國際標準化組織ISO介紹Product（產品）System（系統(tǒng)）Process（流程）Environment（環(huán)境）Techniques（技術）Guidelines（指南）Assessment（評估）WG1ISMSWG3EvaluationCriteriaWG2Cryptograph&MechanismsWG4ControlsandServicesWG5IM&PrivacyTechnologies中國信息安全標準化組織與標準體系國標地方標準行業(yè)標準企業(yè)標準GBGB/TGB/ZDB11北京DB31上海DB44廣東GA公安JR金融YD通信Q+*企業(yè)中國信息安全標準體系框架合規(guī)與遵循的必要性

對于今天身處激烈竟爭中的現(xiàn)代企業(yè)來說，滿足日益復雜的外部合規(guī)性要求，提升企業(yè)管理水平，有效抵御各類風險，最終實現(xiàn)業(yè)務持續(xù)性健康發(fā)展的目標是實施遵從要求的根本原因。而隨著企業(yè)對IT技術依賴性的提高，由IT控制而引發(fā)的IT遵從成為企業(yè)遵從行為的重要形式，由此產生的管理活動和控制目標將貫穿于企業(yè)的整個生命周期中。

合規(guī)性檢查

(SOX,GLBA,HIPAA)遷移到新的軟件模型外部威脅員工使用移動設備新技術，例如VoIP不安全的商業(yè)計算平臺內部威脅來源:高盛安全花費調查,2006財富1000強企業(yè)CIOs/CSOs調查(目前在安全方面花費的最主要驅動因素):Sarbanes-Oxley《薩班斯-奧克斯利法案》海外法律法規(guī)Gramm-Leach-Bliley《格愛姆－里赤－布里利法案》BaselII巴塞爾新資本協(xié)議HIPAA健康保險流通與責任法案國家信息安全等級保護制度《互聯(lián)網安全保護技術措施規(guī)定》公安部第82號令國信辦信息安全風險評估規(guī)范銀監(jiān)會《商業(yè)銀行內部控制指引》證監(jiān)會《證券公司內部控制指引》電監(jiān)會5號令

保監(jiān)會《保險公司風險管理指引（試行）》ISO27002CobitITILCOSO國內法律法規(guī)行業(yè)標準指南最佳實踐框架……企業(yè)合規(guī)與遵循框架IT基礎設施企業(yè)IT相關資源或元素網絡區(qū)域物理環(huán)境組織人員策略制度主機和系統(tǒng)業(yè)務應用政策法規(guī)框架標準實踐指南自身現(xiàn)狀及特點27號文147號令SOX法案等級保護……COSO-ERMCOBITISO27000系列ITILISO27002ISO13335系列等級保護標準……信息安全國標風險評估規(guī)范風險管理指南政策法規(guī)介紹國際政策法規(guī)中國政策法規(guī)《薩班斯-奧克斯利法案》(Sarbanes-OxleyAct）《格愛姆－里赤－布里利法案》(Gramm-Leach-BlileyAct)《健康保險流通與責任法案》(HIPAA)《巴塞爾新資本協(xié)議》(BaselII)《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務院令147號）《關于信息安全等級保護工作的實施意見》(公通字[2004]66號)《信息安全等級保護管理辦法》（試行公通字[2006]7號文）《信息安全等級保護管理辦法》（公通字[2007]43號文）《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》(公信安[2007]861號文)《關于開展信息安全風險評估工作的意見》《中華人民共和國保守國家秘密法》《信息安全法》《電子簽名法》等國家加強對信息化工作的領導日期信息化領導機構領導1993-12國家經濟信息化聯(lián)席會議鄒家華副總理1996-01國務院信息化工作領導小組鄒家華副總理1998-03

無1999-12國家信息化工作領導小組吳邦國副總理2001-08國家信息化領導小組朱镕基總理2001-08國務院信息化工作辦公室曾培炎部長2003-05國家信息化領導小組溫家寶總理2003-05國務院信息化工作辦公室王旭東部長電子政務與信息化應用專業(yè)委員會網絡與信息安全專業(yè)委員會政策規(guī)劃專業(yè)委員會技術專業(yè)委員會專家委秘書處3、國家信息化專家咨詢委員會綜合組政策規(guī)劃網絡與信息安全推廣應用電子政務2、國務院信息化工作辦公室國家信息化的工作體制1、國家信息化領導小組國務院中共中央政策法規(guī)介紹-27號文信任體系監(jiān)控體系應急處理安全技術研究法律法規(guī)標準人才與意識資金保障加強領導明確責任總體要求及原則等級保護《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號），2003年8月26日發(fā)布。我國第一個信息安全戰(zhàn)略層面的文件，是指導我國信息安全保障工作的綱領。27號文件主要內容：一、加強信息安全保障工作的總體要求和主要原則二、實行信息安全等級保護三、加強以密碼技術為基礎的信息保護和網絡信任體系建設四、建設和完善信息安全監(jiān)控體系五、重視信息安全應急處理工作六、加強信息安全技術研究開發(fā)，推進信息安全產業(yè)發(fā)展七、加強信息安全法制建設和標準化建設八、加快信息安全人才培養(yǎng)，增強全民信息安全意識九、保證信息安全資金十、加強對信息安全保障工作的領導，建立健全信息安全管理責任制政策法規(guī)介紹-147號令主要條款（摘要）第六條公安部主管全國計算機信息系統(tǒng)安全保護工作。第九條計算機信息系統(tǒng)實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定。第十四條對計算機信息系統(tǒng)中發(fā)生的案件，有關使用單位應當在24小時內向當?shù)乜h級以上人民政府公安機關報告。第十七條公安機關對計算機信息系統(tǒng)安全保護工作行使下列監(jiān)督職權：監(jiān)督、檢查、指導計算機信息系統(tǒng)安全保護工作；查處違法犯罪案件。

第二十條公安機關有權處以警告或者停機整頓。第二十三條危害計算機信息系統(tǒng)安全的，或者未經許可出售安全專用產品的，由公安機關處以警告或者對個人5000元以下、單位處以15000以下罰款；沒收違法所得，并可處以違法所得1至3倍的罰款。第二十四條構成違反治安管理行為的，依照《中華人民共和國治安管理處罰條例》的有關規(guī)定處罰；構成犯罪的，依法追究刑事責任。《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務院令147號），1994年2月18日國務院總理李鵬簽發(fā)。政策法規(guī)介紹-等級保護系列66號文7號文43號文861號文《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公信安[2007]861號）。2007年7月16日，公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室聯(lián)合下發(fā)?！缎畔踩燃壉Ｗo管理辦法》（試行公通字[2006]7號文）。2006年1月由公安部、保密局、國密局、國信辦聯(lián)合印發(fā)。主要內容：職能劃分；等級劃分與保護；實施與管理；定級、建設和管理、測評和自查、備案、監(jiān)督檢查等；涉秘系統(tǒng)的分級保護；密碼管理?！缎畔踩燃壉Ｗo管理辦法》（公通字[2007]43號文）。2007年6月22日，公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室聯(lián)合下發(fā)。在7號文的基礎上進行了修訂，7號文同時廢止?！蛾P于信息安全等級保護工作的實施意見》(公通字[2004]66號)2004年9月16日由公安部、國家保密局、國家密碼管理局、國信辦聯(lián)合發(fā)文。主要內容包括（6個方面）開展信息安全等級保護工作的重要意義；原則；基本內容；職責分工；工作要求；實施計劃。等級保護作為我國一項基本制度，早在94年的國務院147號令中就進行了明確，其后03年27號文件又進行了強調04年起，陸續(xù)頒布了66號、7號、43號、861號等一系列文件?！蛾P于電信網絡等級保護工作有關問題的通知》（信電函[2006]35號）《關于開展電信網絡安全防護試點工作的通知》（信部電函[2007]304號）《關于進一步開展電信網絡安全防護工作的實施意見》（信部電[2007]555號）《關于貫徹落實電信網絡等級保護定級工作的通知》（信電函[2007]101號）山東省內長途交換網進行了試點去年10月進行了試點總結去年12月召開了專家組會議1月底總部及奧運省完成定級工作3月底其它省完成定級工作各行業(yè)安全等級保護工作由公安部牽頭電信網絡安全等級保護工作政策法規(guī)介紹-中辦發(fā)[2006]5號文《關于開展信息安全風險評估工作的意見》（中辦發(fā)[2006]5號文）2006年3月16日，國務院信息化工作辦公室在昆明召開了《關于開展信息安全風險評估工作的意見》宣貫會。各省、市信息化主管部門、國信辦專家組、解放軍有關部門和部分信息安全企業(yè)的130余名代表出席了會議。會議由國信辦網絡與信息安全組熊四皓處長主持，國信辦網絡與信息安全組王渝次司長發(fā)表了學習貫徹《國家網絡與信息安全協(xié)調小組<關于開展信息安全風險評估工作的意見>》的重要講話。云南省、北京市、上海市、黑龍江省分別介紹了信息安全風險評估試點工作的過程和經驗。有關專家介紹了風險評估工作應遵循的標準和方法。政策法規(guī)介紹-SOX法案針對安然、世通等財務欺詐事件，美國國會出臺了《2002年公眾公司會計改革和投資者保護法案》。對于在美上市的中國公司有同樣約束力。涉及信息安全的主要有302、404等章節(jié)。截至2006年3月底，內地和香港一共有70余家公司在美國上市，其中包括多家大型國有企業(yè)，如中海油、東方航空、中國人壽、UT斯達康、中國移動、中國聯(lián)通、百度等。政策法規(guī)介紹-SOX法案302條款公司對財務報告的責任要求公司首要官員及首要財務官在季度/年度報告中保證：對信息披露的控制和程序負責設計必要的內部控制手段并確保其執(zhí)行可使高層及時獲得重要信息對披露控制的有效性進行評估，評估結果需存檔不可向審計委員會和外部審計人員隱瞞公司重大的內控失敗和人員舞弊行為……404條款管理層對內部控制的評價CEO和CFO必須在年度報告中確保：內部控制的管理層責任評估內部控制的有效性由獨立審計機構出具審計報告框架標準介紹IS27000系列（信息技術-安全技術-信息安全管理體系）IS13335系列（信息技術-IT安全管理指南）等級保護標準（測評準則基本要求實施指南測評準則定級指南）國家信息安全相關標準GBeTOM（增強的電信運營圖）COSO-ERM（COSO-企業(yè)風險管理框架）COBIT（信息及相關技術控制目標）標準框架eTOM業(yè)務流程框架模型框架標準介紹-COSOCOSO（CommitteeofSponsoringOrganization，COSO）委員會，專門研究內部控制問題。1992年9月，COSO委員會發(fā)布《內部控制整合框架》（COSO-IC），由于COSO報告提出的內部控制理論和體系集內部控制理論和實踐發(fā)展之大成，成為現(xiàn)代內部控制最具有權威性的框架，因此在業(yè)內倍受推崇，在美國及全球得到廣泛推廣和應用。

2004年9月COSO正式頒布了《企業(yè)風險管理整合框架》（COSO-ERM）。COSO將企業(yè)風險管理定義為：“企業(yè)風險管理是一個過程，受企業(yè)董事會、管理層和其他員工的影響，包括內部控制及其在戰(zhàn)略和整個公司的應用，旨在為實現(xiàn)經營的效率和效果、財務報告的可靠性以及法規(guī)的遵循提供合理保證。”COSO-ERM框架是一個指導性的理論框架，為公司的董事會提供了有關企業(yè)所面臨的重要風險，以及如何進行風險管理方面的重要信息。

框架標準介紹-COSO四個目標戰(zhàn)略目標經營目標報告目標合規(guī)目標八個要素內部環(huán)境目標設置事件辨識風險評估風險反應控制活動信息與溝通監(jiān)控COSO-ERM框架標準介紹-COBIT

CoBIT（ControlObjectivesforInformationandrelatedTechnology,信息和相關技術控制目標）由ITGI（ITGovernanceInstitute）制定，是信息、IT以及相關風險控制方面的國際公認標準。CoBIT用于執(zhí)行IT管理，改善IT控制。它既可以滿足管理人員和董事局的IT管理需求，同時也能應對負責交付解決方案和服務的人員的更為具體的要求。這就為在一個具有透明度的環(huán)境里優(yōu)化IT投資、確保價值傳遞以及減輕IT風險提供了更好的支持。

效果效率保密性完整性可用性合規(guī)性可靠性應用軟件信息基礎架構人員域流程活動企業(yè)要求IT流程IT資源COBIT立方體框架標準介紹-COBIT以業(yè)務為中心：提供企業(yè)實現(xiàn)其目標所需需的信息，企業(yè)需要采用結構化的流程來管理、控制IT資源，以交付所需要的信息服務。為了完成企業(yè)目標，要設立信息標準和劃分IT資源的類別。定位于流程：以一個通用的流程模型在四個控制域里定義IT活動。這些控制域就是計劃與組織，獲得與實施，交付與支持和監(jiān)控與評價。這四個控制域包含34個流程，映射到傳統(tǒng)的IT職責域：計劃、建設、運營和監(jiān)視。以控制為基礎：每個IT流程都有一個高層控制目標和多個詳細控制目標，34個流程共有214個控制目標。以衡量為驅動：提供成熟度模型以識別和校驗必須提高的能力；提供IT流程的績效目標和衡量標準；提供使流程高效的活動目標。業(yè)務需求COBIT企業(yè)信息IT資源IT流程框架標準介紹-27000系列27000標準族框架標準介紹-27000系列相關方信息安全需求和期望相關方受控的信息安全信息安全管理體系的持續(xù)改進建立

ISMS4.2.1監(jiān)控和評審ISMS4.2.3實施和運行ISMS4.2.2維護和改進ISMS4.2.4InputOutputPDACPDACPDACPDAC27001中應用于ISMS的PDCA模型框架標準介紹-27000系列中國大陸地區(qū)，可以提供ISO27001認證服務的主要是BSI（BritishStandardsInstitution英國標準協(xié)會），DNV（DetNorskeVeritas挪威船級社），BV（BureauVeritas法國國際檢驗局），以及ISCCC（中國信息安全認證中心）。27001認證基本介紹情況框架標準介紹-27000系列資料來源:ISMSIUG截止2008年2月,獲取27001證書的組織為4140.其中中國80個,全球第6位.27001證書獲取情況框架標準介紹-13335系列ISO13335是由ISO/IECJTC1制定的技術報告，是一個信息安全管理方面的指導性標準，其目的是為有效實施IT安全管理提供建議和支持。ISO/IECTR13335，（IT安全管理指南”，GuidelinesfortheManagementofITSecurity，GMITS），04年發(fā)布ISO/IEC13335-1:2004Part1-概念和模型（“信息和通信技術安全管理”，（ManagementofInformationandCommunicationsTechnologySecurity，MICTS），ISO/IECTR13335series(GMITS)TR13335-1:1996TR13335-2:1997TR13335-3:1998TR13335-4:2000TR13335-5:2001ISO/IEC13335(MICTS)13335-1:2004IT安全概念和模型IT安全管理和規(guī)劃IT安全管理技術選擇控制措施網絡安全管理指南ICT安全管理-概念和模型框架標準介紹-電信網絡安全等級保護標準32個標準（草案）安全等級描述第1級定級對象受到破壞后，會對其網絡和業(yè)務運營商的合法權益造成輕微損害，但不損害國家安全、社會秩序、經濟運行和公共利益。網絡和業(yè)務運營商依據(jù)國家和通信行業(yè)有關標準進行保護。第2級定級對象受到破壞后，會對網絡和業(yè)務運營商的合法權益產生嚴重損害，或者對社會秩序、經濟運行和公共利益造成輕微損害，但不損害國家安全。網絡和業(yè)務運營商依據(jù)國家和通信行業(yè)有關標準進行保護，主管部門對其安全等級保護工作進行指導。第3級第3.1級定級對象受到破壞后，會對網絡和業(yè)務運營商的合法權益產生很嚴重損害，或者對社會秩序、經濟運行和公共利益造成較大損害，或者對國家安全造成輕微損害。網絡和業(yè)務運營商依據(jù)國家和通信行業(yè)有關標準進行保護，主管部門對其安全等級保護工作進行監(jiān)督、檢查。第3.2級定級對象受到破壞后，會對網絡和業(yè)務運營商的合法權益產生特別嚴重損害，或者對社會秩序、經濟運行和公共利益造成嚴重損害，或者對國家安全造成較大損害。網絡和業(yè)務運營商依據(jù)國家和通信行業(yè)有關標準進行保護，主管部門對其安全等級保護工作進行重點監(jiān)督、檢查。第4級定級對象受到破壞后，會對社會秩序、經濟運行和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。網絡和業(yè)務運營商依據(jù)國家和通信行業(yè)有關標準以及業(yè)務的特殊安全要求進行保護，主管部門對其安全等級保護工作進行強制監(jiān)督、檢查。第5級定級對象受到破壞后，會對國家安全造成特別嚴重損害。網絡和業(yè)務運營商依據(jù)國家和通信行業(yè)有關標準以及業(yè)務的特殊安全需求進行保護，主管部門對其安全等級保護工作進行專門監(jiān)督、檢查。框架標準介紹-電信網絡安全等級劃分框架標準介紹-等?！秾嵤┲改稀沸畔⑾到y(tǒng)定級總體安全規(guī)劃安全設計與實施安全運行與維護信息系統(tǒng)終止1信息系統(tǒng)定級2總體安全規(guī)劃3安全設計與實施4安全運行與維護5信息系統(tǒng)終止等級變更系統(tǒng)調整框架標準介紹-等?！秾嵤┲改稀?信息系統(tǒng)定級2總體安全規(guī)劃3安全設計與實施4安全運行與維護5信息系統(tǒng)終止信息系統(tǒng)分析確定保護等級安全需求分析總體安全設計建設項目規(guī)劃方案詳細設計管理措施實現(xiàn)技術措施實現(xiàn)運行管理和控制變更管理和控制安全狀態(tài)監(jiān)控安全事件處置及應急預案安全檢查和持續(xù)改進等級測評系統(tǒng)備案監(jiān)督檢查信息轉移、儲存和清除設備遷移或廢棄存儲介質的清除或銷毀實踐指南介紹ITILIS17799信息安全風險評估規(guī)范信息安全風險管理指南信息安全事件分類分級指南信息安全事件管理指南信息系統(tǒng)災難恢復規(guī)范最佳實踐指南實踐指南介紹-ITILITIL，全稱InformationTechnologyInfrastructureLibrary，本白皮書統(tǒng)一譯為“信息技術基礎架構庫”或“IT基礎架構庫”。它是英國國家計算機和電信局CCTA（現(xiàn)在已并入英國商務部）于80年代中期開始開發(fā)的一套針對IT行業(yè)的服務管理標準庫。ITIL產生的背景是，當時英國政府為了提高政府部門IT服務的質量，啟動一個項目來邀請國內外知名IT廠商和專家共同開發(fā)一套規(guī)范化的、可進行財務計量的IT資源使用方法。這種方法應該是獨立于廠商的并且可適用于不同規(guī)模、不同技術和業(yè)務需求的組織。這個項目的最終成果就是現(xiàn)在被廣泛認可的ITIL。ITIL雖然最初是為英國政府部門開發(fā)的，但它很快在英國企業(yè)中得到廣泛的應用。在20世紀90年代初期，ITIL被介紹到歐洲的許多其它國家并這些國家得到應用。到90年代中期ITIL已經成為歐洲IT管理領域事實上的標準。90年代后期ITIL又被引入美國、南非和澳大利亞等國。90年代末，ITIL也被有關公司引入中國。ITIL是最佳實踐的總結：OGC（英國商務部）組織收集和分析各種有關組織如何解決服務管理問題等方面的信息，找出那些對本部門和在英國政府部門中的客戶有益的做法，最后形成了ITIL。ITIL的各部分之間并沒有嚴格的邏輯關系?；蛘哌@樣說，與一般的標準是先設計整體框架再細化各部分這種“自頂向下”的設計方式不同，ITIL的開發(fā)過程是“自下向上”的。實踐指南介紹-ITIL實踐指南介紹-ISO17799安全策略合規(guī)性信息安全組織資產管理信息系統(tǒng)獲取開發(fā)和維護人力資源安全物理和環(huán)境安全通信和操作管理訪問控制信息安全事件管理業(yè)務連續(xù)性管理實踐指南介紹-信息安全風險評估規(guī)范信息安全風險評估規(guī)范信息安全風險管理指南信息安全事件分類分級指南信息安全事件管理指南信息系統(tǒng)災難恢復規(guī)范對指導組織網絡信息安全建設有重要指導意義！安全工作思路與原則思考：怎樣的信息安全工作算到位？沒出過安全事件？已經部署了許多安全設備？全面、完整的安全制度？成熟的安全組織？安全工作成功的關鍵原則管理層的高度重視統(tǒng)一管理，總體協(xié)調同步規(guī)劃、同步建設、同步運行三分技術、七分管理內外并重整體規(guī)劃，分步實施全民參與關鍵原則-領導層高度重視管理層的高度重視：公司管理層要高度重視網絡安全工作，并給予明確支持高層重視的優(yōu)勢：組織保障指明方向和目標權威預算保障，提供所需的資源監(jiān)督檢查領導重視關鍵原則-領導層高度重視將行政管理角色注入安全業(yè)務中部門IS主管IS專員安全管理處接口資產管理部xxxxxxxx財務部……指定流程owner和監(jiān)控評審人員活動測量、改進領導（owner)資源記錄輸入輸出信息安全流程領導對安全工作的要求（1）要把安全問題做為當前工作的重點高度重視網絡安全與應急管理在網絡安全與應急管理方面，網絡部負有雙重責任，一方面是職能責任，即集團公司網絡部承擔全集團的網絡與信息安全與應急管理的責任，省公司網絡部承擔所在省公司的網絡信息安全與應急管理的責任。因此，各級網絡部要主動推動所在公司各個范圍的網絡與信息安全及應急管理工作的開展。另一方面是自身網絡與信息安全事故的責任，我們強調“誰主管誰負責”，出現(xiàn)問題網絡部要負責任，同時將責任進行層層分解。

——摘自李躍總《2006年網絡工作座談會總結》安全問題已時不我待。安全漏洞很多，我們當前的重視還不夠。一方面是安全規(guī)則、安全規(guī)章、安全責任的建設，集團和各省都要加強。另一方面是手段建設要跟上去。安全不光依靠規(guī)則，一定要有手段。對內部人員的登陸要有嚴格的管理規(guī)定，后臺操作要留有痕跡。對外來人員的進入，我們一定要限人、限時、限范圍，明確進入的時間、進入的目的誰放廠家的人進去誰就要負責檢查，出了問題要承擔責任。

——摘自李躍總《2006年中南五省一市關聯(lián)維護研討會的講話》緊急重要領導對安全工作的要求（2）李躍總在2008年全國網絡工作會上做了題為《狠抓網絡安全，確保奧運盛會》的重要講話，對網絡與信息安全工作做出重要指示：堅持集中化的網絡與信息安全體系建設

1、完善體系，強化能力與手段建設；

2、全網共同努力，快速完善、細化安全管理和安全技術要求；

3、進一步加大安全預警、安全作業(yè)執(zhí)行力度，完善安全考核指標體系；

4、建設滿足要求的新一代安全防護系統(tǒng)；

5、堅持日常性的賬號口令管理系統(tǒng)、日志審計系統(tǒng)、集中防病毒系統(tǒng)、綜合接入網關等基礎安全防護手段建設，以手段促管理。關鍵原則-統(tǒng)一管理總體協(xié)調統(tǒng)一管理，總體協(xié)調：由信息安全管理相關單位牽頭，通過制定和貫徹流程將安全工作要點條理化，將人、標準、技術結合在一起，為管理層支持提供明確依據(jù)、為全民參與明確職責及分工界面，從而將各項安全要求真正落地。安全的建設應和業(yè)務系統(tǒng)相結合，做到全程全網統(tǒng)一監(jiān)控和審計，統(tǒng)一管理。

關鍵原則-統(tǒng)一管理總體協(xié)調明確職能在公司統(tǒng)一企業(yè)治理框架下，作好IT相關的內部控