返回
构建信息安全保障体系

构建信息安全保障体系

ID:43210834

大小:250.00 KB

页数:44页

时间:2019-10-03

构建信息安全保障体系_第1页
构建信息安全保障体系_第2页
构建信息安全保障体系_第3页
构建信息安全保障体系_第4页
构建信息安全保障体系_第5页
资源描述:

《构建信息安全保障体系》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、构建信息安全保障体系曲成义研究员2008.51我国网络信息安全威胁增加迅速(CNCERT/CC)僵尸网络范围扩大,14万台主机被植入僵尸程序木马/谍件威胁严重,4.5万IP地址植入木马网页篡改数量迅速增加,达到24477次政府网站被篡改3831次,占总量16%安全事件报告的年增量为196%网络恶意代码年增量12.8倍漏洞发现量的年增196%2网络威胁的新动向值得高度关注“零日攻击”现象出现(魔波蠕虫)复合式病毒给防范增加难度僵尸网成为DDos和垃圾邮件的源头网络仿冒/劫持是在线窃信的重要途径谍件泛滥是窃密/泄密

2、的主要元凶通过网页/邮件/P2P传播恶意代码的数量猛增非法牟利动机明显增加和趋于嚣张黑客地下产业链正在形成僵尸源和木马源的跨国控制应该高度警惕内部安全事件的增加引起高度重视3国家信息化领导小组第三次会议《关于加强信息安全保障工作的意见》—中办发[2003]27号文—坚持积极防御、综合防范全面提高信息安全防护能力重点保障信息网络和重要信息系统安全创建安全健康的网络环境保障和促进信息化发展、保护公众利益、维护国家安全立足国情、以我为主、管理与技术并重、统筹规划、突出重点发挥各界积极性、共同构筑国家信息安全保障体系4

3、国家信息安全保障工作要点(中办发[2003]27号文)实行信息安全等级保护制度:风险与成本、资源优化配置、安全风险评估基于密码技术网络信任体系建设:密码管理体制、身份认证、授权管理、责任认定建设信息安全监控体系:提高对网络攻击、病毒入侵、网络失窃密、有害信息的防范能力重视信息安全应急处理工作:指挥、响应、协调、通报、支援、抗毁、灾备推动信息安全技术研发与产业发展:关键技术、自主创新、强化可控、引导与市场、测评认证、采购、服务信息安全法制与标准建设:信息安全法、打击网络犯罪、标准体系、规范网络行为信息安全人材培养

4、与增强安全意识:学科、培训、意识、技能、自律、守法信息安全组织建设:信息安全协调小组、责任制、依法管理5构造信息安全保障体系的目标增强信息网络四种安全能力1 创建信息安全的基础支撑能力安全基础设施、技术与产业、人才与教育2 提升信息安全防护与对抗能力W.P.D.R.R.A3 加强网络突发事件的快速反应能力4 拥有安全管理的控制能力保障信息及其服务具有六性保密性、完整性、可用性、真实性、可核查性、可控性6信息系统安全的全局对策(一)科学划分信息安全等级投入与风险的平衡点安全资源的优化配置(一)构建信息安全保障体系

5、重视顶层设计,做好信息安全技术体系与信息安全管理体系强化信息安全的保障性(二)作好信息安全风险评估是信息安全建设的起点、也覆盖终生提升信息安全的可信性7(一)科学划分信息安全等级8我国信息安全等级保护工作职责分工2006年1月,《信息安全等级保护管理办法(试行)》(公通字〔2006〕7号)明确了公安、保密、密码、信息化部门的职责:公安机关全面国家保密工作部门涉密信息系统国家密码管理部门密码国务院信息办协调9信息安全等级保护关注点(公通字[2007]43号文)、(中保委发(2004)7号文)等级保护涉及的内容:信

6、息系统、信息安全产品、信息安全事件分级依据:重要程度、危害程度、保护水平(业务信息、系统服务)保护级别划分:自主保护级、指导保护级、监督保护级、强制保护级、专控保护级系统管理模式一级:自主保护(一般系统/合法权益)二级:指导保护(一般系统/合法权益、社会利益)三级:监督检查(重要系统/社会利益、国家安全)——(秘密)四级:强制监督(重要系统/社会利益、国家安全)——(机密、增强)五级:专门监督(极端重要系统/国家安全)——(绝密)安全管理自主定级-----审核批准----系统建设----安全测评10信息安全等级

7、保护相关规范(公通字[2007]43号文)<信息系统安全等级保护定级指南><信息系统安全等级保护实施指南><信息安全技术信息系统安全管理要求>GB/T20269--2006<信息系统安全等级保护测评要求>----------<涉及国家秘密的计算机信息系统分级保护技术要求>BMB17-2006<涉及国家秘密的计算机信息系统分级保护测评指南>BMB22-2007<涉及国家秘密的信息系统分级保护管理规范>BMB20-200711(二)构建信息安全保障体系12信息安全保障体系框架安全法规安全管理安全标准安全工程与服务安

8、全基础设施教育培训13(1)信息安全法规《关于开展信息安全风险评估工作的意见》(国信办[2005]1号文)《信息安全等级保护管理办法》(公通字[2006]7号文、公通字[2007]43号文、)《关于做好国家重要信息系统灾难备份的通知》《关于做好信息安全管理试点的通知》《中华人民共和国保守国家秘密法》(在修订)《信息安全法》(信息安全条例)《电子签名法》(2005年4月1日实施)《个人数

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。