信息網(wǎng)絡安全概述第1頁，共90頁，2023年，2月20日，星期日主要內容因特網(wǎng)與網(wǎng)絡安全網(wǎng)絡安全層次結構網(wǎng)絡安全管理與評測網(wǎng)絡安全相關法律第2頁，共90頁，2023年，2月20日，星期日因特網(wǎng)(Internet)起源試驗網(wǎng)ARPANET(1969,美國國防部)學術網(wǎng)NSFNET(1986,美國國家科學基金會)商業(yè)網(wǎng)1995年4月30日以后完全商業(yè)化第3頁，共90頁，2023年，2月20日，星期日因特網(wǎng)技術特點TCP/IP協(xié)議族四層劃分，非七層IP、TCP、UDP、ICMP……EverythingoverIP：VoIPIPoverEverything：WLAN，ATM開放，互聯(lián)，自組織任何人、任何地點、任何方式全球無統(tǒng)一的管理機構，各自為政第4頁，共90頁，2023年，2月20日，星期日TCP/IP分層模型（TCP/IPLayeningModel）第5頁，共90頁，2023年，2月20日，星期日因特網(wǎng)現(xiàn)狀豐富的應用和資源造福人類社會幾乎覆蓋全世界上億的網(wǎng)絡用戶第6頁，共90頁，2023年，2月20日，星期日科學技術是雙刃劍Internet僅僅是一種信息工具威脅和隱患也隨之而來蠕蟲病毒、Email病毒、特洛伊木馬間諜程序、其他形式的惡意代碼軟件系統(tǒng)宕機、網(wǎng)絡擁塞機密和隱私資料外泄金錢損失，經(jīng)濟動蕩威脅國家安全第7頁，共90頁，2023年，2月20日，星期日莫里斯事件（1）1988年，莫里斯事件，蠕蟲病毒(worm)—（圈內頭銜:rtm）美國國家計算機安全中心（隸屬于美國國家安全局NSA）首席科學家的兒子，康奈爾大學的高材生，在1988年的第一次工作過程中戲劇性地散播出了網(wǎng)絡蠕蟲病毒在此次的事故中成千上萬的電腦受到影響，并導致了部分電腦崩潰。造成包括國家航空和航天局、軍事基地和主要大學的計算機停止運行的重大事故。1990年5月5日，判處莫里斯三年緩刑，罰款一萬美金，義務為新區(qū)服務400小時。第8頁，共90頁，2023年，2月20日，星期日莫里斯事件（2）莫里斯事件震驚了美國社會乃至整個世界。而比該事件影響更大、更深遠的是：黑客從此真正變黑，黑客倫理失去約束，黑客傳統(tǒng)開始中斷。大眾對黑客的印象永遠不可能回復，計算機病毒從此步入主流。“Hacker”一詞開始在英語中被賦予了特定的含義第9頁，共90頁，2023年，2月20日，星期日潘多拉盒子被打開1更多網(wǎng)絡犯罪直接以經(jīng)濟利益為目的入侵網(wǎng)站后販賣游戲帳號事件層出不窮游戲帳號偷取販賣成了職業(yè)黑客的關注焦點2004年兩次QQ大規(guī)模無法使用，尤其是此后的勒索傳言，有人驚呼：中國網(wǎng)絡恐怖主義誕生了。垃圾與反垃圾郵件之間的斗爭愈演愈烈“惡意軟件”無孔不入惡意軟件第10頁，共90頁，2023年，2月20日，星期日惡意軟件定義：在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計算機或其他終端上安裝運行，侵害用戶合法權益的軟件，但不包含我國法律法規(guī)規(guī)定的計算機病毒?！?006年11月22日，中國互聯(lián)網(wǎng)協(xié)會惡意軟件也稱流氓軟件，在于它不請自來，賴著不走，如同一個不速之客闖到家里，即便什么都沒拿走，也讓人渾身不自在。侵害用戶軟件安裝、使用和卸載知情權、選擇權。8項特征：強制安裝、難以卸載、瀏覽器劫持、廣告彈出、惡意收集用戶信息、惡意卸載、惡意捆綁。返回潘多拉盒子2第11頁，共90頁，2023年，2月20日，星期日潘多拉盒子被打開2技術進步加上道德感的缺失，黑客們開始看清自己要的東西。同時擁有高超的技術和偽裝手段的職業(yè)化攻擊者越來越多的出現(xiàn)在網(wǎng)絡世界中，他們目的性非常強。第12頁，共90頁，2023年，2月20日，星期日網(wǎng)絡安全事件舉例病毒出擊：MYDOOM/Netsky/Bagle/震蕩波/SCO炸彈/QQ尾巴/MSN射手等一系列新病毒和蠕蟲的出現(xiàn)，造成了巨大的經(jīng)濟損失。而且病毒和蠕蟲的多樣化明顯，甚至蠕蟲編寫組織開始相互對抗，頻繁推出新版本。越來越多的間諜軟件：它們已經(jīng)被更多的公司及個人利用，其目的也從初期簡單收戶信息演化為可能收集密碼、帳號等資料網(wǎng)絡釣魚：網(wǎng)絡釣客以“假網(wǎng)站”釣中國銀行、工商銀行等國內各大銀行用戶。第13頁，共90頁，2023年，2月20日，星期日What’s“安全”ItISSecurity: 信息的安全NOTSafety: 物理的安全Security的含義在有敵人（Enemy）/對手（Adversary）/含敵意的主體（HostileAgent）存在的網(wǎng)絡空間中，確保己方的信息、信息系統(tǒng)和通信不受竊取和破壞反過來：按照需要對敵方的信息、信息系統(tǒng)和通信進行竊取和破壞的“機制”（Mechanism）第14頁，共90頁，2023年，2月20日，星期日What’s“信息網(wǎng)絡安全”安全定義：遠離危險的狀態(tài)和特性，為防止間諜活動或蓄意破壞、犯罪、攻擊或逃跑而采取的措施。計算機安全：為數(shù)據(jù)處理系統(tǒng)建立和采取的技術和管理的安全保護，保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露。網(wǎng)絡安全：防止通過計算機網(wǎng)絡傳輸?shù)男畔⒈黄茐暮头欠ㄊ褂??；ヂ?lián)網(wǎng)安全：主要指內部網(wǎng)絡Intranet的安全第15頁，共90頁，2023年，2月20日，星期日What’s“信息網(wǎng)絡安全”信息網(wǎng)絡安全：在網(wǎng)絡環(huán)境下信息資產(chǎn)（信息、信息系統(tǒng)、通信）可能面臨的風險的評估、防范、應對、化解措施。技術措施：采用特定功能的設備或系統(tǒng)管理措施：法律、規(guī)章制度、檢查三分技術七分管理!第16頁，共90頁，2023年，2月20日，星期日研究網(wǎng)絡安全的社會意義目前研究網(wǎng)絡安全已經(jīng)不只為了信息和數(shù)據(jù)的安全性網(wǎng)絡安全已經(jīng)滲透到國家的政治、經(jīng)濟、文化、軍事等各個領域。第17頁，共90頁，2023年，2月20日，星期日網(wǎng)絡安全與政治目前政府上網(wǎng)已經(jīng)大規(guī)模的發(fā)展起來，電子政務工程已經(jīng)在全國啟動并在北京試點。政府網(wǎng)絡的安全直接代表了國家的形象。1999年起，一些政府網(wǎng)站，遭受了多次大規(guī)模的黑客攻擊事件。第18頁，共90頁，2023年，2月20日，星期日網(wǎng)絡安全與經(jīng)濟1一個國家信息化程度越高，整個國民經(jīng)濟和社會運行對信息資源和信息基礎設施的依賴程度也越高。我國計算機犯罪的增長速度超過了傳統(tǒng)的犯罪，1997年20多起，1998年142起，1999年908起，2000年上半年1420起，再后來就沒有辦法統(tǒng)計了。第19頁，共90頁，2023年，2月20日，星期日網(wǎng)絡安全與經(jīng)濟2利用計算機實施金融犯罪已經(jīng)滲透到了我國金融行業(yè)的各項業(yè)務。近幾年已經(jīng)破獲和掌握100多起，涉及的金額幾個億。第20頁，共90頁，2023年，2月20日，星期日網(wǎng)絡安全與社會穩(wěn)定互聯(lián)網(wǎng)上散布一些虛假信息、有害信息對社會管理秩序造成的危害，要比現(xiàn)實社會中一個造謠要大的多。99年4月，河南商都熱線一個BBS，一張“交通銀行鄭州支行行長協(xié)巨款外逃”的帖子，造成了社會的動蕩，三天十萬人上街排隊，一天提了十多億。第21頁，共90頁，2023年，2月20日，星期日網(wǎng)絡安全與軍事1在第二次世界大戰(zhàn)中，美國破譯了日本人的密碼，將山本的艦隊幾乎全殲，重創(chuàng)了日本海軍。目前的軍事戰(zhàn)爭更是信息化戰(zhàn)爭第22頁，共90頁，2023年，2月20日，星期日網(wǎng)絡安全與軍事2美國三位知名人士對目前網(wǎng)絡的描述。美國著名未來學家阿爾溫托爾勒說過“誰掌握了信息，控制了網(wǎng)絡，誰將擁有整個世界?！泵绹翱偨y(tǒng)克林頓說過“今后的時代，控制世界的國家將不是靠軍事，而是信息能力走在前面的國家”。美國前陸軍參謀長沙利文上將說過“信息時代的出現(xiàn)，將從根本上改變戰(zhàn)爭的進行方式”。第23頁，共90頁，2023年，2月20日，星期日網(wǎng)絡安全的基本特征可靠性：抗毀性、可生存性、有效性可用性：正常時間與運行時間的比例保密性：防止非授權訪問完整性：防止未經(jīng)授權的竄改(編碼、存儲、傳輸)確認性：也稱不可抵賴性、不可否認性，確認參與者的真實同一性可控性：對網(wǎng)絡信息的傳播及其內容具有控制能力第24頁，共90頁，2023年，2月20日，星期日網(wǎng)絡級安全系統(tǒng)級安全物理安全鏈路安全協(xié)議安全廣域網(wǎng)安全節(jié)點安全信息傳輸安全路由安全平臺安全操作系統(tǒng)安全分布系統(tǒng)管理安全用戶管理安全故障診斷系統(tǒng)監(jiān)控安全網(wǎng)絡運行監(jiān)測應用級安全文件安全目錄安全數(shù)據(jù)安全郵件安全群件安全事件安全企業(yè)級安全總體規(guī)劃安全業(yè)務調度安全功能設計安全職能劃分安全計算機系統(tǒng)安全層次結構安全政策法規(guī)第25頁，共90頁，2023年，2月20日，星期日網(wǎng)絡安全的層次體系從層次體系上，可以將網(wǎng)絡安全分成四個層次上的安全：1、物理安全；2、邏輯安全；3、操作系統(tǒng)安全；4、聯(lián)網(wǎng)安全。第26頁，共90頁，2023年，2月20日，星期日物理安全物理安全主要包括五個方面：1、防盜；2、防火；3、防靜電；4、防雷擊；5、防電磁泄漏。第27頁，共90頁，2023年，2月20日，星期日邏輯安全計算機的邏輯安全需要用口令、文件許可等方法來實現(xiàn)可以限制登錄的次數(shù)或對試探操作加上時間限制通過硬件限制存取，在接收到存取要求后，先詢問并校核口令，然后訪問列于目錄中的授權用戶標志號第28頁，共90頁，2023年，2月20日，星期日操作系統(tǒng)安全操作系統(tǒng)是計算機中最基本、最重要的軟件。同一計算機可以安裝幾種不同的操作系統(tǒng)。如果計算機系統(tǒng)可提供給許多人使用，操作系統(tǒng)必須能區(qū)分用戶，以便于防止相互干擾。一些安全性較高、功能較強的操作系統(tǒng)可以為計算機的每一位用戶分配賬戶。通常，一個用戶一個賬戶。操作系統(tǒng)不允許一個用戶修改由另一個賬戶產(chǎn)生的數(shù)據(jù)。第29頁，共90頁，2023年，2月20日，星期日聯(lián)網(wǎng)安全聯(lián)網(wǎng)的安全性通過兩方面的安全服務來達到：1、訪問控制服務：用來保護計算機和聯(lián)網(wǎng)資源不被非授權使用。2、通信安全服務：用來認證數(shù)據(jù)機密性與完整性，以及各通信的可信賴性。第30頁，共90頁，2023年，2月20日，星期日更安全的保障體系信息安全體系的建立，不是僅僅依靠幾種安全設備的簡單堆砌，或者一兩個人技術人員就能夠實現(xiàn)的，還要涉及管理制度、人員素質和意識、操作流程和規(guī)范、組織結構的健全性等眾多因素。一套良好的信息安全體系需要綜合“人＋技術/產(chǎn)品＋管理＋維護”運用，從而才能真正建立起一套完備的、高保障的信息安全體系。第31頁，共90頁，2023年，2月20日，星期日網(wǎng)絡安全的生態(tài)環(huán)境在網(wǎng)絡安全防御與攻擊的斗爭中，防御能力正受到日益增強的挑戰(zhàn)斗爭手段的不斷升級將促進防御技術、防御系統(tǒng)的工作模式的不斷進化網(wǎng)絡安全的產(chǎn)業(yè)正發(fā)展成為一個復雜的，由多種角色構成的生態(tài)環(huán)境第32頁，共90頁，2023年，2月20日，星期日網(wǎng)絡安全面臨的威脅1.人為攻擊2.安全缺陷3.軟件漏洞4.結構隱患第33頁，共90頁，2023年，2月20日，星期日Internet日益復雜復雜程度InternetEmailWeb瀏覽Intranet站點電子商務電子政務電子交易時間第34頁，共90頁，2023年，2月20日，星期日安全威脅的發(fā)展趨勢1980 19851990 1995 20012003時間（年）高各種攻擊者的綜合威脅程度低對攻擊者技術知識和技巧的要求攻擊越來越容易實現(xiàn)，威脅程度越來越高信息網(wǎng)絡系統(tǒng)的復雜性脆弱性程度網(wǎng)絡系統(tǒng)日益復雜，安全隱患急劇增加第35頁，共90頁，2023年，2月20日，星期日“安全”在快速貶值安全產(chǎn)品的安全能力隨時間遞減；基礎設施隨時間增加積累越來越多的全缺陷；安全產(chǎn)品升級可以提高系統(tǒng)的安全保護能力；基礎設施修補漏洞；基礎設施發(fā)生結構性變化（原有的安全系統(tǒng)全面失效）；應用系統(tǒng)發(fā)生變化；安全維護人員知識技能提高（安全性提高）；人員變動（保護能力突變，安全風險增加）。第36頁，共90頁，2023年，2月20日，星期日信息網(wǎng)絡安全對策1.OSI安全服務

1）.對等實體鑒別服務2）.訪問控制服務3）.數(shù)據(jù)保密服務4）.數(shù)據(jù)完整性服務5）.數(shù)據(jù)源鑒別服務6）.禁止否認服務2.OSI安全機制

1）.加密機制2）.數(shù)字簽名機制3）.訪問控制機制4）.數(shù)據(jù)完整性機制5）.交換鑒別機制6）.業(yè)務流量填充機制7）.路由控制機制8）.公證機制

第37頁，共90頁，2023年，2月20日，星期日信息安全風險評估主要執(zhí)行標準國信辦[2006]5號文件：信息安全風險評估指南信息系統(tǒng)安全等級保護測評準則輔助參考標準GB18336（ISO15408）：信息技術安全性評估準則BS7799：信息安全管理體系指南第38頁，共90頁，2023年，2月20日，星期日網(wǎng)絡安全評測對象第39頁，共90頁，2023年，2月20日，星期日信息安全“金三角”不同的信息資產(chǎn)對安全有不同的需求，必須要區(qū)別對待第40頁，共90頁，2023年，2月20日，星期日信息資產(chǎn)分類第41頁，共90頁，2023年，2月20日，星期日信息資產(chǎn)等級等級標識定義5很高非常重要，其安全屬性破壞后可能對組織造成非常嚴重的損失4高重要，其安全屬性破壞后可能對組織造成比較嚴重的損失3中比較重要，其安全屬性破壞后可能對組織造成中等程度的損失2低不太重要，其安全屬性破壞后可能對組織造成較低的損失1很低不重要，其安全屬性破壞后對組織造成導很小的損失，甚至忽略不計第42頁，共90頁，2023年，2月20日，星期日威脅分類威脅種類威脅描述軟硬件故障由于設備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件Bug導致對業(yè)務高效穩(wěn)定運行的影響物理環(huán)境威脅斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災、火災、地震等環(huán)境問題和自然災害無作為或操作失誤由于應該執(zhí)行而沒有執(zhí)行相應的操作，或無意地執(zhí)行了錯誤的操作，對系統(tǒng)造成影響管理不到位安全管理無法落實，不到位，造成安全管理不規(guī)范，或者管理混亂，從而破壞信息系統(tǒng)正常有序運行惡意代碼和病毒具有自我復制、自我傳播能力，對信息系統(tǒng)構成破壞的程序代碼越權或濫用通過采用一些措施，超越自己的權限訪問了本來無權訪問的資源；或者濫用自己的職權，做出破壞信息系統(tǒng)的行為黑客攻擊技術利用黑客工具和技術，例如偵察、密碼猜測攻擊、緩沖區(qū)溢出攻擊、安裝后門、嗅探、偽造和欺騙、拒絕服務攻擊等手段對信息系統(tǒng)進行攻擊和入侵物理攻擊物理接觸、物理破壞、盜竊泄密機密泄漏，機密信息泄漏給他人篡改非法修改信息，破壞信息的完整性抵賴不承認收到的信息和所作的操作和交易第43頁，共90頁，2023年，2月20日，星期日國際和國內信息安全標準和法規(guī)BS7799/ISO17799SSE-CMM英國國家標準協(xié)會,信息安全管理機制

.uk/

系統(tǒng)安全工程能力成熟度模型,http://www.S/ISO7498-2ISO15408信息技術安全技術信息技術安全性評估準則ISO13335我國GB安全標準GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準則我國安全法規(guī)中華人民共和國計算機信息系統(tǒng)安全保護條例計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法

ISO13335-1:IT安全管理概念和模塊ISO13335-2:管理和制定IT安全ISO13335-3:IT安全管理方法安全體系結構第44頁，共90頁，2023年，2月20日，星期日國際立法情況美國和日本是計算機網(wǎng)絡安全比較完善的國家，一些發(fā)展中國家和第三世界國家的計算機網(wǎng)絡安全方面的法規(guī)還不夠完善。歐盟為了正常地進行信息市場運做，該組織在諸多問題上建立了一系列法律第45頁，共90頁，2023年，2月20日，星期日美國立法情況1987年：修訂《計算機犯罪法》《計算機安全法》，《電子通信隱私法》，《個人隱私法》，《工業(yè)間諜法案》，《電子數(shù)據(jù)安全法》……2001年7月，美國國會一議員呼吁：暫緩通過新的信息安全法律法規(guī)，以防止可能出現(xiàn)的副作用。第46頁，共90頁，2023年，2月20日，星期日我國信息安全現(xiàn)狀和發(fā)展第47頁，共90頁，2023年，2月20日，星期日第48頁，共90頁，2023年，2月20日，星期日

信息安全現(xiàn)狀技術防御整體水平有待提高各類安全威脅與風險幾大安全現(xiàn)狀和威脅計算機網(wǎng)絡系統(tǒng)使用的軟、硬件缺乏保護信息安全所必不可少的有效管理和技術改造全社會的信息安全意識雖然有所提高，但將其提到實際日程中來依然很少國內很多公司在遭到攻擊后，為名譽起見往往并不積極追究黑客法律責任目前關于網(wǎng)絡犯罪的法律還不健全我國信息安全人才培養(yǎng)還遠遠不能滿足需要第49頁，共90頁，2023年，2月20日，星期日國家加強信息安全保障-總體要求堅持積極防御、綜合防范的方針，全面提高信息安全防護能力，重點保障基礎信息網(wǎng)絡和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網(wǎng)絡環(huán)境，保障和促進信息化發(fā)展，保護公眾利益，維護國家安全。

第50頁，共90頁，2023年，2月20日，星期日國家加強信息安全保障-主要原則立足國情，以我為主，堅持管理與技術并重正確處理安全與發(fā)展的關系，以安全保發(fā)展，在發(fā)展中求安全統(tǒng)籌規(guī)劃，突出重點，強化基礎性工作明確國家、企業(yè)、個人的責任和義務，充分發(fā)揮各方面的積極性，共同構筑國家信息安全保障體系第51頁，共90頁，2023年，2月20日，星期日國家加強信息安全保障-法規(guī)信息安全等級保護逐漸成為當前國家重點發(fā)展的信息安全戰(zhàn)略。1994年國務院《中華人民共和國計算機信息系統(tǒng)安全保護條例》。規(guī)定：我國的“計算機信息系統(tǒng)實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定?！?/p>

《計算機信息系統(tǒng)安全保護等級劃分準則》GB17859-1999的制定。這是一部強制性國家標準，是技術法規(guī)。

第52頁，共90頁，2023年，2月20日，星期日附：GB17859-1999規(guī)定了計算機系統(tǒng)安全保護能力的五個等級第一級：用戶自主保護級；第二級：系統(tǒng)審計保護級；第三級：安全標記保護級；第四級：結構化保護級；第五級：訪問驗證保護級。適用計算機信息系統(tǒng)安全保護技術能力等級的劃分計算機信息系統(tǒng)安全保護能力隨著安全保護等級的增高，逐漸增強。第53頁，共90頁，2023年，2月20日，星期日國家加強信息安全保障-法規(guī)2003年27號文件《國家信息化領導小組關于加強信息安全保障工作的意見》中指出：“要重點保護基礎信息網(wǎng)絡和關系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南”。

——根據(jù)國家信息化領導小組的統(tǒng)一部署和安排，我國將在全國范圍內全面開展信息安全等級保護工作中辦發(fā)[2003]27號文件對開展信息安全風險評估工作提出了明確的要求。第54頁，共90頁，2023年，2月20日，星期日相關法律法規(guī)中華人民共和國憲法中華人民共和國刑法中華人民共和國商標法中華人民共和國專利法中華人民共和國保守國家秘密法中華人民共和國反不正當競爭法中華人民共和國計算機信息系統(tǒng)安全保護條例中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定實施辦法……中華人民共和國電子簽名法計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法關于維護互聯(lián)網(wǎng)安全的決定(全國人民代表大會常務委員會)中華人民共和國無線電管理條例互聯(lián)網(wǎng)電子郵件服務管理辦法（信息產(chǎn)業(yè)部令第38號）電子認證服務管理辦法（信息產(chǎn)業(yè)部令第35號）中華人民共和國無線電頻率劃分規(guī)定（信息產(chǎn)業(yè)部令第14號）中國互聯(lián)網(wǎng)絡域名管理辦法（信息產(chǎn)業(yè)部令第24號）互聯(lián)網(wǎng)IP地址備案管理辦法（信息產(chǎn)業(yè)部令第34號）……已經(jīng)有了良好的開端；仍處在起步階段，沒有形成一個具備完整性、適用性、針對性的法律體系。第55頁，共90頁，2023年，2月20日，星期日我國信息安全管理體制實行統(tǒng)一領導、部門分工負責、分級管理的信息安全管理體制。國家信息化領導小組負責全國信息化建設和信息安全保障工作的總體領導，國務院信息化工作辦公室是其辦事機構，國家信息化專家咨詢委員會是其決策咨詢機構。國家網(wǎng)絡與信息安全協(xié)調小組是國家信息安全事項的高層議事協(xié)調機構。第56頁，共90頁，2023年，2月20日，星期日我國信息安全管理體制信息產(chǎn)業(yè)部公用通信網(wǎng)的安全管理中國互聯(lián)網(wǎng)的行業(yè)管理部門電子認證服務機構和電子認證服務的監(jiān)督管理第57頁，共90頁，2023年，2月20日，星期日我國信息安全管理體制國家廣電總局廣播電視傳播網(wǎng)的安全管理負責對網(wǎng)絡廣播電視、視聽節(jié)目（包括影視類音像制品）的網(wǎng)上傳播進行前置審批和監(jiān)督管理第58頁，共90頁，2023年，2月20日，星期日我國信息安全管理體制公安部依法查處和打擊攻擊網(wǎng)絡與信息系統(tǒng)、利用信息網(wǎng)絡傳播有害信息、危害公共利益的各種網(wǎng)絡違法犯罪行為負責信息安全等級保護工作的監(jiān)督、檢查、指導對信息安全產(chǎn)品實施銷售許可證審批第59頁，共90頁，2023年，2月20日，星期日我國信息安全管理體制國家保密局負責管理網(wǎng)絡與信息系統(tǒng)中保護國家秘密的工作，對涉及國家秘密的信息系統(tǒng)在投入使用前進行審批，對涉及國家秘密的信息系統(tǒng)集成資質進行管理，對應用于涉及國家秘密的信息系統(tǒng)的信息安全產(chǎn)品進行資質審批負責等級保護工作中有關保密工作的監(jiān)督、檢查、指導第60頁，共90頁，2023年，2月20日，星期日我國信息安全管理體制國家密碼管理局負責商用密碼的科研、生產(chǎn)、銷售和使用管理，對電子認證服務提供者使用密碼的行為實施監(jiān)督管理負責等級保護工作中有關密碼工作的監(jiān)督、檢查、指導第61頁，共90頁，2023年，2月20日，星期日我國信息安全管理體制國務院新聞辦負責互聯(lián)網(wǎng)新聞內容的安全管理，對網(wǎng)站登載新聞資質進行審批文化部互聯(lián)網(wǎng)上文化產(chǎn)品管理網(wǎng)吧其他第62頁，共90頁，2023年，2月20日，星期日我國信息安全管理體制分級負責各省、自治區(qū)和直轄市的地方信息安全管理體制亦已基本建立信息安全責任制“誰主管誰負責、誰運營誰負責”，重要信息系統(tǒng)的安全保護和管理，由各主管部門和運營單位負責。第63頁，共90頁，2023年，2月20日，星期日我國信息安全管理體制行業(yè)自律和公眾監(jiān)督2001年5月成立中國互聯(lián)網(wǎng)協(xié)會，主要是促進互聯(lián)網(wǎng)發(fā)展、治理垃圾郵件、打擊淫穢色情網(wǎng)站等2004年6月成立互聯(lián)網(wǎng)違法和不良信息舉報中心，采取國際上通行的“通知—刪除”機制和辦法，通知網(wǎng)站刪除違法和不良信息。第64頁，共90頁，2023年，2月20日，星期日我國信息安全保障體系建設頂層設計專項規(guī)劃基礎性工作第65頁，共90頁，2023年，2月20日，星期日頂層設計里程碑——國家信息化領導小組《關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）國家信息安全戰(zhàn)略研究——《國家信息安全戰(zhàn)略報告》（國信[2005]2號）信息安全立法研究——《信息安全條例》互聯(lián)網(wǎng)管理責任分工——《關于進一步加強互聯(lián)網(wǎng)管理工作的意見》（中辦發(fā)[2004]32號）第66頁，共90頁，2023年，2月20日，星期日專項規(guī)劃發(fā)改委——《國家“十一五”信息安全專項規(guī)劃》（正在制定中）科技部——《國家“十一五”信息安全科技發(fā)展規(guī)劃》（2006年11月27日發(fā)布）信息產(chǎn)業(yè)部——《國家“十一五”信息安全產(chǎn)業(yè)發(fā)展規(guī)劃》（正在制定中）第67頁，共90頁，2023年，2月20日，星期日基礎性工作實行信息安全等級保護加強以密碼技術為基礎的信息保護和網(wǎng)絡信任體系建設建設和完善信息安全監(jiān)控體系重視信息安全應急處理工作加強信息安全技術研究開發(fā)，推進信息安全產(chǎn)業(yè)發(fā)展加強信息安全法制建設和標準化建設加快信息安全人才培養(yǎng)，增強全民信息安全意識保證信息安全資金加強對信息安全工作的領導，建立健全信息安全責任制第68頁，共90頁，2023年，2月20日，星期日1、實行信息安全等級保護等級保護定義：信息安全等級保護是指對信息和信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置的一項基本制度。1994年國務院頒布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》規(guī)定，“計算機信息系統(tǒng)實行安全等級保護，安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定”。分級：信息系統(tǒng)的安全保護等級分為以下五級：第一級為自主保護級第二級為指導保護級第三級為監(jiān)督保護級第四級為強制保護級第五級為?？乇Ｗo級

第69頁，共90頁，2023年，2月20日，星期日1、實行信息安全等級保護目前進展：《關于信息安全等級保護工作的實施意見》、《信息安全等級保護管理辦法》《信息系統(tǒng)安全保護等級定級指南》、《信息系統(tǒng)安全等級保護實施指南》、《信息系統(tǒng)安全等級保護測評準則》等成立了公安部信息安全等級保護評估中心試點情況第70頁，共90頁，2023年，2月20日，星期日1、實行信息安全等級保護風險評估：信息安全風險評估就是從風險管理角度，運用科學的方法和手段，系統(tǒng)地分析網(wǎng)絡與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施。分類：信息安全風險評估分為自評估、檢查評估兩種形式。第71頁，共90頁，2023年，2月20日，星期日1、實行信息安全等級保護《信息安全風險評估指南》、《信息安全風險管理指南》

用三年左右的時間在我國基礎信息網(wǎng)絡和重要信息系統(tǒng)普遍推行信息安全風險評估工作第72頁，共90頁，2023年，2月20日，星期日2、加強以密碼技術為基礎的信息保護和網(wǎng)絡信任體系建設逐步健全密碼管理體制，修改完善密碼管理法規(guī)，加強密碼技術的開發(fā)利用，構建科學的密鑰管理體系。加快建設以密碼技術為基礎，以身份認證、授權管理、責任認定為主要內容的網(wǎng)絡信任體系。第73頁，共90頁，2023年，2月20日，星期日2、加強以密碼技術為基礎的信息保護和網(wǎng)絡信任體系建設《電子簽名法》、《商用密碼管理條例》《關于網(wǎng)絡信任體系建設的若干意見》相關研究第74頁，共90頁，2023年，2月20日，星期日3、建設和完善信息安全監(jiān)控體系中國憲法保護公民的通信自由和通信秘密。依據(jù)有關法律規(guī)定，正在建立和完善信息安全監(jiān)測預警系統(tǒng)，對網(wǎng)絡運行狀態(tài)和公共信息進行即時監(jiān)測，將其作為發(fā)現(xiàn)網(wǎng)絡攻擊和病毒傳播、制止違法信息活動、查處網(wǎng)絡失泄密、依法打擊網(wǎng)絡犯罪和信息恐怖主義的重要手段，為處理信息安全事件提供技術支持。法律授權的一些部門和機構第75頁，共90頁，2023年，2月20日，星期日4、重視信息安全應急處理工作逐步建立健全國家信息安全應急處理指揮調度和協(xié)調機制完善基礎信息網(wǎng)絡和重要信息系統(tǒng)的應急處理預案組織開展了以資源共享、互為備份為原則的災難備份基礎設施建設不斷壯大信息安全應急支援服務隊伍，積極調動和充分發(fā)揮社會各方面力量，提高信息安全的應急響應與處置能力。第76頁，共90頁，2023年，2月20日，星期日4、重視信息安全應急處理工作2000年10月，成立了國家計算機網(wǎng)絡應急技術處理協(xié)調中心（簡稱CNCERT/CC）2004年8月，成立了國家網(wǎng)絡與信息安全信息通報中心，初步建立了信息安全通報機制。2005年4月，頒布了《重要信息系統(tǒng)災難恢復指南》，規(guī)范和指導了各重要信息系統(tǒng)部門的災難備份基礎設施建設。第77頁，共90頁，2023年，2月20日，星期日5、加強信息安全技術研究開發(fā)，推進信息安全產(chǎn)業(yè)發(fā)展加強信息安全技術研究集中力量，加強對關鍵技術及相關核心技術的研究開發(fā)加強對引進信息安全技術產(chǎn)品的安全可控技術研究推進信息安全產(chǎn)業(yè)發(fā)展國家財政資金建設的信息化項目的強制要求推進認證認可工作建立健全信息安全市場服務體系第78頁，共90頁，2023年，2月20日，星期日5、加強信息安全技術研究開發(fā)，推進信息安全產(chǎn)業(yè)發(fā)展加快信息安全產(chǎn)業(yè)化進程，已在上海、四川、湖北建立了三大信息安全成果產(chǎn)業(yè)化基地《政府采購法》《關于建立國家信息安全產(chǎn)品認證認可體系的通知》（國認證聯(lián)【2004】57號）2006年11月17日，中國信息安全認證中心成立《信息安全服務資質管理辦法》第79頁，共90頁，2023年，2月20日，星期日6、加強信息安全法制建設和標準化建設法制建設抓緊研究起草《信息安全條例》積極參與國際信息網(wǎng)絡事務重視信息安全執(zhí)法隊伍建設標準化建設2002年成立了全國信息安全標準化技術委員會第80頁，共90頁，2023年，2月20日，星期日7、加快信息安全人才培養(yǎng)，增強全民信息安全意識大力加強信息安全學科和專業(yè)建設已初步建立了信息安全人才培養(yǎng)體系，教育部已備案或批準50所高校開設信息安全本科專業(yè)，十余所高校已擁有信息安全碩士和博士學位授予權。加強信息安全宣傳教育和網(wǎng)絡文明建設

通過多種形式，廣開各種渠道，開展信息安全宣傳教育和技能培訓，努力提高全民信息安全意識和素質第81頁，共90頁，2023年，2月20日，星期日8、保證信息安全資金三同步原則國家重點支持信息安全的基礎性工作和基礎設施建設，增加對信息安全保障體系關鍵技術研究的資金投入。第82頁，共90頁，2023年，2月20日，星期日9、加強對信息安全保障工作的領導，建立健全信息安全管理責任制

在推進信息