认识信息安全研讨.ppt

林源泉 2011年11月;内容;第一篇 认识信息安全;一、信息安全问题由来;瑞星互联网安全报告数据;为什么会有信息安全问题？;内因—系统越来越复杂;内因—互联网络是开放的;内因—人是复杂的;外因—来自对手的威胁;外因—来自自然的破坏;为什么总是出现信息安全事件？;电报电话通信;通信安全;信息系统安全;信息安全保障;什么是信息？;什么属于敏感信息？;什么是安全？;什么是信息安全？;什么是信息安全？;什么是信息安全？;什么是信息安全？;什么是信息安全？;什么是信息安全？;几个概念;安全性、易用性、经济性的关系 安全性：保密性 完整性 可用性 易用性：舒服 方便 经济性：省钱 通常能满足2个 安全、好用-------------多花钱 好用、经济-------------不安全 安全、经济-------------不好用;自主可控 2件事 自主：核心技术在自己手里，高端部件、先进设备自己研发，长期艰巨的???程（所以要可控） 可控：掌握软硬件产品的功能，确保没有“额外的”功能（窃取资料、远程遥控）；保证服务只在合约范围内（小型机远程拨号服务）；可以审计追溯（事情始末），通过应急措施恢复等（平时准备好）;隔离 物理隔离 信息和网络安全防护能力差 信息技术产业严重依赖国外 逻辑隔离 有物理连接，划分安全域（统一系统内相似安全保护需求，相似安全保护的方式，服务对象一致的网络范围）严格控制 安全域之间边界防护;适度安全 不可能100%安全（除非不用，或者代价太高，得不偿失） 系统永不停、网络永不断、数据永不丢是不可能的（风险总是存在的） 通过风险评估--------可接受的风险;纵深防御 安全问题不是单点，单事件（多点，多层次） 各方协同，从外到内防御 政策，管理 物理安全，边界防护 网络 主机、数据库 应用、数据;二、信息安全趋势 ;我国信息化迅猛发展;我国信息化迅猛发展的数据数据来源：工业与信息化部网站 ;信息化建设的意义;信息安全受到高度重视 ;信息安全趋势;信息安全趋势;案例;新应用导致新的安全问题;网络群体性事件影响政治、社会稳定;信息安全问题;国家层面形势判断;税务机关信息安全形势判断;三、信息安全责任;明确信息安全责任的重要性;信息安全责任划分原则;税务领导干部的信息安全责任;领导小组责任;信息安全管理部门的责任;责任划分;普通税务干部的信息安全责任;第二篇 信息安全防护;一、如何保障信息安全 ;为什么需要信息安全保障;如何保障信息安全？;一个单位如何考虑安全技术体系？;有效的信息安全管理体系;科学的信息安全工程过程;高素质的人员队伍;信息系统安全保障模型;安全保障的目标是支持业务;信息安全保障需要持续进行;安全保障要适度;二、税务信息安全防护 ;个人信息安全保护什么？;个人保护的信息都在哪里？;税务工作人员需要重点保护的信息包括;个人信息可能面临的安全威胁;案例1;案例1（续）;案例2;卖家网上叫卖英国失踪税务光盘 ;信息窃取的;二、税务信息系统安全防护 ;税务信息系统的地位图片来源：/;税务信息系统安全保障工作的位置;税收业务高度依赖信息化;税务机关需要保护的信息;这些信息存在于哪里？;税务信息系统面临的主要安全威胁;威胁;案例1、违规上网造成重大失泄密;敌对势力大规模攻击国内网络;案例3：网络故障造成航班延误和旅客滞留;国家税务总局入侵检测系统监控到的攻击;2010年两会期间税务专网病毒监控情况;预防可能的网络恐怖活动;恐怖组织也是我国的现实威胁;税务信息安全检查中发现的重点问题;税务信息安全检查中发现的重点问题;税务信息安全检查中发现的重点问题;以上问题并不意味着一定会发生安全事件，;第三篇 信息安全防护思路;第四篇 信息安全防护实现;一、等级保护 ;什么是信息安全等级保护;信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。 开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障，是信息安全保障工作中国家意志的体现。 ;等级保护划分;等级保护流程;等级保护流程;等级保护政策体系;等级保护标准体系;;基本要求解读;定级备案;建设整改设计思路;二、风险评估 ;评估目的;;评估依据;税务系统风险评估工作开展情况;评估对象的选择;税务业务系统的区域划分;评估对象选择的原则;评估内容;风险评估实施流程;三、应急响应 ;什么是应急响应;税务系统应急预案;工作原则;适用范围;事件分级;体系结构;技术体系;预警监测;预警响应;应急处置;;四、防护体系 ;税务系统信息安全工作历程;首期项目;首期的建设内容;二期项目;二期的建设内容;三期项目;三期的建设内容;三期的建设内容;五、运行维护管理办法 ;岗位划分;安全管理员职责;安全审计员职责;日常维护管理;运行维护管理报告;防火墙-部署位置;防火墙-