网络与信息安全信息安全体系结构篇要点.ppt

2. 主要原则 立足国情，以我为主，坚持技术与管理并重；正确处理安全与发展的关系，以安全保发展，在发展中求安全；统筹规划，突出重点，强化基础工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。 立足国情，以我为主 安全单靠花钱是买不来的。发展信息和信息安全高技术、发展国家信息产业和信息安全产业、摆脱关键技术和设备受制于人的被动局面，是掌握信息安全主动权的根本出路。必须注重自主创新、自主可控。要大力推广应用国产软件和设备。另一方面，也要处理好自主研发与引进、采用国外先进技术和产品的关系，不能简单地认为只有自己的技术才是安全的，凡是国产的设备就是可控的。要积极开展国际合作，认真学习国外信息和信息安全新技术，合理引进和利用信息安全产品。 坚持技术与管理并重 技术和管理两个方面都很重要。但从目前我国实际发生的安全事件看，较为薄弱的还是信息安全管理，很多信息安全事件都是由于管理不到位，责任不落实造成的。同时，信息安全是高技术的对抗，从根本上讲，解决信息安全问题还是要通过发展信息安全高技术。 2. 主要原则 正确处理安全与发展的关系 在信息化规划和建设中，应同步考虑信息安全问题，始终坚持一手抓信息化发展，一手抓信息安全保障工作，做到以安全保发展，在发展中求安全。必须认识到，没有安全保障的信息化，会严重威胁国家安全和社会稳定，会置党和国家于一个非常危险的境地。同时，信息安全问题解决不好，有价值的信息不能上网，会严重影响和制约信息化的发展。认识到没有绝对的安全，不存在没有风险的安全。信息安全是信息化推进中出现的新问题，只能在发展的过程中加以解决。 统筹规划，突出重点，强化基础工作 信息安全保障工作涉及信息化建设的各个环节，包括法律、管理、技术、人才、意识等各个方面，与各部门、各地方都密切相关，是一个复杂的系统工程。同时，要突出重点，有所为有所不为，将有限的资源用于基础部分、关键地方、要害部位。要重点 防止那些关系到国计民生的基础信息网络和信息系统在遭到攻击、破坏和发生事故时，导致基础服务大面积瘫痪，防止给经济和社会造成巨大损失。 2. 主要原则 充分发挥各方面的积极性，共同构筑国家信息安全保障体系。 信息安全保障是国家的大事。政府要着重从政策引导、监督管理、人才培养、增强意识及基础技术研究开发等方面加强信息安全保障工作，同时也要做好政府本身信息系统的安全建设和管理工作，为社会做出榜样。但是，信息安全保障不仅是政府的事，在更大层面上，信息安全保障是广大企业、公民个人的责任和义务，需要全社会的共同努力。 2. 主要原则 3. 主要任务 实行信息安全等级保护 加强以密码技术为基础的信息保护和网络信任体系建设 建设和完善信息安全监控体系 重视信息安全应急处理工作 加强信息安全技术研究开发，推进信息安全产业发展 加强信息安全法制建设和标准化建设 加快信息安全人才培养，增强全民信息安全意识 保证信息安全资金 加强对信息安全保障工作的领导，建立健全信息安全管理责任制 1.3.2 信息化发展战略 2006年3月19日，中共中央办公厅、国务院办公厅印发了《2006-2020年国家信息化发展战略》（中办发[2006]11号），分析了全球信息化发展的基本趋势和我国信息化发展的基本形势，提出了我国信息化发展的指导思想、战略目标、战略重点、战略行动计划和保障措施。把建设国家信息安全保障体系作为我国信息化发展的战略重点，为我国的信息安全保障工作指明了方向。 1.3.2 信息化发展战略 在《发展战略》中“建设国家信息安全保障体系”部分，要求： 全面加强国家信息安全保障体系建设。坚持积极防御、综合防范，探索和把握信息化与信息安全的内在规律，主动应对信息安全挑战，实现信息化与信息安全协调发展。坚持立足国情，综合平衡安全成本和风险，确保重点，优化信息安全资源配置。建立和完善信息安全等级保护制度，重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统。加强密码技术的开发利用。建设网络信任体系。加强信息安全风险评估工作。建设和完善信息安全监控体系，提高对网络安全事件应对和防范能力，防止有害信息传播。高度重视信息安全应急处置工作，健全完善信息安全应急指挥和安全通报制度，不断完善信息安全应急处置预案。从实际出发，促进资源共享，重视灾难备份建设，增强信息基础设施和重要信息系统的抗毁能力和灾难恢复能力。 1.3.3 美国的信息安全国家战略 2000年1月，美国政府发布了《信息系统保护国家计划》。 2003年发布了《保护网络空间的国家战略》。 2009年5月29日发布了《网络空间政策评估--保障可信和强健的信息和通信基础设施》。 （1）《信息系统保护国家计划》 围绕三个目标作了具体的10项内容设计。 目标一：“准备和防范