1、信息化与信息安全,扬州市网络与信息安全协调小组办公室, 信息安全概念与形势环境 信息安全法律法规及其建设历程 信息安全管理体制与信息安全事件分类 信息安全风险评估与信息安全等级保护 信息安全工作实践体会与建议,我国信息化进程起于20世纪80年代,始自党政机关办公自动化建 设“中南海工程”;90年代,国务院相继组织实施“三金工程”,信息化应 用从办公自动化逐步延伸到电子政务,从电子政务拓展到电子商务、电 子公务,继而渗透到国民经济和社会发展的各个领域。进入21世纪,我国信息化步入快速发展的新阶段,信息化在促进 经济与社会协调、稳定、持续的发展过程中,发挥着越来越重要的作用 现已成为加快我国国民经
2、济发展、提高政府管理和服务水平、增强企 业竞争力、改善人民群众生活的重要推动力。,从“开发信息资源、服务四化建设”到“两化融合、五化并举”,信息 化上升为国家战略,成为衡量一个国家现代化水平和综合国力的重要标志; 随着信息化与经济全球化的加速发展整个社会越来越依赖网络和信息系统, 广大民众越来越深刻认识到信息化的前景和潜在价值、体验享受到信息化带 来的便捷和益处。正因为如此,网络、信息系统和信息资源的安全就直接关系到国家的 经济发展、社会稳定和国防巩固,信息安全现已成为国家安全的重要组成 部分,这是党中央、国务院在新时期、新阶段、新形势和新任务下作出的 科学论断。,一、信息安全概念与形势环境,
3、1、概念信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。信息安全是一个不断演化、动态发展的概念,对于信息安全的认识和理解也是不断发展的。从主机时代到微机时代、从局域网时代到互联网时代,不同时期信息安全有着不同的模式和含义。,2、特征信息安全依托于全球网络,其本身并不是一成不变,而是处于不断的发展 变化之中,不同时期各个特点的突出程度不同。信息安全是整体的、发展的、 无边界的、非传
4、统的、动态的、相对的,具有全球化特点,不是一个国家能完 全控制也不能用传统的办法来解决的问题,需要综合运用政策、法律、管理和 技术等各种手段。信息安全威胁的主要来源 自然灾害、意外事故; 计算机犯罪; “黑客“ 行为; 内部泄密; 外部泄密; 信息丢失; 信息战; 人为错误,比如使用不当,安全意识差等; 电子谍报,比如信息流量分析、信息窃取等; 网络协议自身缺陷缺陷,例如TCP/IP协议的安全问题等等。,信息安全涉及的主要问题 网络攻击与攻击检测、防范问题 安全漏洞与安全对策问题 信息安全保密问题 系统内部安全防范问题 防病毒问题 数据备份与恢复问题、灾难恢复问题,3、环境当前,信息安全已成为
5、世界性的技术和社会问题,成为各国面临的共同 挑战。我国信息安全问题的出现和演变,与国际政治斗争和国际安全环境变 化密切相关。与发达国家相比,我国信息安全环境具有四个特点:第一,我国虽是信息大国,但不是信息强国。第二,我国信息化发展存在极大地不平衡性。第三,在信息流量和信息资源上外强内弱。第四,我国信息安全问题具有现实的错综复杂性。例如:敌对势力的渗透破坏(新疆7.5事件)、网络违法犯罪活动、信息系统本身缺陷、 计算机病毒种类和数量迅速增加,破坏性增强,扩散和变异速度加快,反杀能力不断增强、 少数人的利益诉求和不良情绪。,4、作用信息安全由政治安全、国防安全、经济安全、文化安全等部分构成, 主要
6、包括基础信息网络与重要信息系统安全以及信息内容传播的安全。就政治安全而言,信息安全是维护国家主权的坚实基础就国防安全而言,信息安全是赢得未来军事战争的重要保障就经济安全而言,信息安全是保障国家经济持续稳定发展重要条件就文化安全而言,信息安全是保持民族文化传统的必然选择,二、信息安全法律法规及其建设历程,我国从20世纪90年代中期至今制定了一大批专门针对信息网 络安全的法律、法规和行政规章。 1、主要文件年份 文件名称 制发机关 1994年 中华人民共和国计算机信息系统安全保护条例 国务院 2000年 关于维护互联网安全的决定 全国人大常委会 2003年 关于加强信息安全保障工作的意见 中办 2
7、004年 关于信息安全等级保护工作的实施意见 公安部、国信办等 2008年 关于加强信息安全保障工作的意见 省委、省政府 2011年 江苏省信息化条例 省人大常委会 2012年 关于加强和改进全市互联网管理工作的实施意见 市委办、市府办,2、出台背景:为认真贯彻落实中办27号文件精神,2004年初,召开全国信息安全工作会议,全面部署重点保障信息网络和重要信息系统安全、创建安全健康的网络环境的各项工作; 2004年秋,十六届四中全会将信息安全提高到关乎执政的认识高度;2005年,全面启动信息安全保障体系建设的准备工作。在方针上,采取积极防御、综合治理的管理方针;在政策上,采取谁主管、谁负责,谁使
8、用、谁负责的管理政策;在措施上,采用威严的法律、严格的管理、先进的技术相结合的手段。,3、主要任务建设和完善信息安全法律法规体系;建立统一的技术标准体系;建立 信息安全管理体制,加强信息安全管理;加强关键技术研究;建设信息安 全基础设施,建立和完善各种应急备份体系;建立信息安全培训和人才培 养体系,实施人才战略。通过逐步实现保护、监测、预警、响应、恢复和反制等信息安全保障 环节,全面提升和增强信息安全防护能力、隐患发现能力、应急反应能力 信息对抗能力,为防范来自组织内部、外部和内外勾结以及灾害和系统的 脆弱性所构成的对信息基础设施、应用和内容各层面的按威胁,为国家信 息安全提供全方位的保障。,
9、三、信息安全管理体制与信息安全事件分类,1、管理体制职能党和政府高度重视信息安全保障工作,目前已经形成了党政联 合、各司其职、相互配合,综合利用法律、管理和技术手段,共同 维护国家信息安全的信息安全管理体系。国家密码管理局国家安全部 公安部保密局工业和信息化部(通信保障局、信息安全协调司),换个角度看:根据我国现行信息安全管理体制,电信网、广播 电视传输网、互联网等国家基础信息网络和金融、电力、民航、铁 路、海关等重要行业信息系统安全由国家统一管理;其他网络与从 事经济运行、市场调节、社会管理、公共服务的信息系统安全实行 属地管理。其中,涉及国家秘密的信息网络、信息系统由各级国家 保密主管部门
10、负责,非涉密信息网络、信息系统安全由各级政府信 息化部门协调各有关部门负责。,2、事件分级分类:序号 第一层分类 第二层分类有害程序事件 计算机病毒事件、蠕虫事件、木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件等2 网络攻击事件 拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网 络钓鱼事件、干扰事件和其他网络攻击事件等信息破坏事件 信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事 件和其他信息破坏事件等信息内容安全事件 违反宪法和法律法规的信息安全事件、组织非法串联、煽动集会游行的信息安全事件、针对社会事项形成网上敏感舆论热
11、点出现规模炒作的信息安全事件及其他危害国家安全、社会稳定和公共利益的信息内容安全事件等设备设施故障 软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障等灾害性事件 由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。主要包括水灾、台风、地震、雷击、坍塌、恐怖袭击、战争等7 其他信息安全事件 不能归为以上6个基本分类的信息安全事件,四、信息安全风险评估与信息安全等级保护,1、对象信息系统:由计算机、信息网络及其配套的设施、设备 构成的,按照一定的应用目标和规则对信息进行存储、传输、 处理的运行体系。重要信息系统:履行经济调节、市场监管、社会管理和 公共服务职能的信息系统。,2、
12、风险评估信息安全风险评估是从风险管理角度,运用科学的方法和 手段,系统地分析网络与信息系统所面临的威胁及其存在的漏 洞,评估安全事件一旦发生可能造成的危害程度,提出有针性 的抵御威胁的防护对策和整改措施,从而最大限度地保障网络 和信息安全。风险评估分为自评估和检查评估。,3、等级保护信息安全等级保护是指对国家秘密信息、法人和其他组织 及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。等级保护的核心是信息系统的分等级保护,由低到到高划分为15级。,截至2009年底,风险
13、评估制度已在全省全面推行,并成为履行信息安全责任制的一项重要工作列入政府信息系统年度安全检查的重要内容。目前共核准江苏省信息安全风险评估自评估备案企业15家,检查评估备案企业8家;全省信息安全等级保护备案单位总数达3820个,备案信息系统达9597个,核准27家等级保护测评机构,依法对1754个单位共4099个信息系统进行了专项检查。检查评估资质:神州数码(扬州)信息系统有限公司自 评 估资质:神州数码(扬州)信息系统有限公司扬州莱斯信息系统有限公司等级测评资质:扬州大自然信息系统有限公司,当前及今后一个时期,我省信息安全保障重点是:加强 信息安全基础性工作,完善基础设施,强化互联网安全管理,
14、 大力发展信息安全技术和产业,从组织体系、技术体系、安 全产品体系、安全管理体系、安全标准法规体系五个方面, 进一步构建完善的信息安全保障体系。,五、信息安全工作实践体会与建议,做好信息安全,首先要做好网络信息安全保密工作秘密是与公开相对而言的,具有隐蔽性、莫测性、时间性三个要素1、加强学习,强化意识保密法核心要义:“任何危害国家秘密安全的行为,都必须受到法律追究”保密法修订变化:结果论与行为论国家秘密、工作秘密,政治意识、全局观念,四个不得危及敏感信息、政务公开,先行审查、后再发布,三个不得公开做好信息安全,其次要做好网络技术防范管理工作严格执行江苏省信息化条例各项规定2、加强管理,强化责任
15、网站域名、网络接入、网络终端、网站运维、网络安全规范化建章立制,领导挂帅,层层落实,责任到人技术保障,规范管理,健全台帐,定期检查,做好信息安全,再次要做好个人日常行为自律工作3、加强自律,强化细节(1)信息安全常识:网络威胁真不少,安全警惕要提高;工作勿做无关事,软件安装有规定系统更新要及时,口令要强难猜出;防火墙来守大门,杀毒软件要配备临时离开要锁屏,文件传送要加密;不明邮件不要看,小心垃圾和欺骗恶意软件遍网页,切勿轻易装插件;网页挂马威胁多,不明网站莫访问U盘范围分内外,使用之前先杀毒;来往人员要注意,上网目的要查清,(2)信息安全保密原则“九不”:不该看的秘密不看、不该问的秘密不问、不
16、该说的秘密不说不随意存放用于处理秘密信息的计算机和U盘等电子设备不将存储、处理秘密信息的计算机等电子设备直接连接互联网不在网上论坛、博客等网络公共场所谈论秘密不在即时通信、公用电子邮件等私人信息交流中涉及秘密不擅自携带存储秘密信息的电子介质、载体出入公共场所,参加涉外活动不在无保密保障的地方阅办、存放秘密资料不擅自复印、留存、销毁涉密电子载体不用普通电信、传真和互联网传输秘密,(3)个人信息安全防护“十招”口令要强。口令长度至少8位,混合使用字母、数字和符号系统要更新。定期或及时安装最新补丁和更新防火墙要安装。通过网络防火墙和个人防火墙协同保护防病毒软件要安装。安装可信、知名的防病毒软件并不断更新不需要的要关闭。减少攻击,不需要的服务和内容都应关闭临时离开要注销或锁屏。时刻保持警惕,尽可能减少隐患文件要加密。文档软件加密、压缩软件二次加密、专用工具三层加密电子邮件的安全。过滤阻止垃圾邮件,永不打开陌生人邮件及附件浏览网页的安全。增强浏览器安全设置,不访问非法网站警惕欺骗。不通过电子邮件对回复对金钱或敏感信息的请求,谢 谢!,
