信息安全等保培训.pptx

信息安全等级保护制度介绍上海市信息安全测评认证中心 介绍大纲信息安全等级保护工作概述1趋势科技与等级保护合规性2信息安全等级保护制度信息安全等级保护制度是什么信息安全等级保护制度要干什么如何开展信息安全等级保护工作引 言在当今社会中，信息已成为人类宝贵的资源，并且可以通过Internet为全球人类所使用与共享。信息产业随着互联网技术的发展在一个国家国民经济发展中所占的比重也越来越大。人类生活对Internet的依赖也越来大。引 言由互联网的发展而带来的信息安全问题正变得突出，网络安全也成为关系国家安全的重大战略问题。保障网络与信息系统安全，更好地维护国家安全、经济命脉和社会稳定，已经成为信息化发展中迫切需要解决的重大问题。存在的问题近年来，国家高度重视，各有关方面协调配合，共同努力，我国信息安全保障工作取得了很大进展，但是从总体上看，我国的信息安全保障工作尚处于起步阶段，基础薄弱，水平不高，存在以下突出问题：大多数单位采用防火墙作为内外网的边界防护设备重视外部攻击与入侵，忽视内部的非法行为偏重产品，忽视体系和管理关键技术，产品受制于人我们面对的威胁西方发达国家信息技术优势明显，我国面临信息强国的冲击、挑战和威胁，信息安全领域始终面临信息战和网络恐怖袭击的威胁；敌对势力的网上煽动，渗透和破坏活动愈加突出，针对信息系统进行的破坏活动日益严重，利用网络实施的违法犯罪案件持续大幅上升。我们面对的威胁受威胁的对象是操作系统、数据库系统和信息系统，攻击的目的是使系统瘫痪、信息被窃取、篡改毁坏，早期是能直接接触计算机系统的人（单机、多用户终端、局域网），现在攻击者和方式发生了变化，广域网、因特网使任何信息系统参与人都可能成为攻击者。在参与人中，有正常使用的人，也有非正常使用的人。后者称职为“攻击者或黑客”。“攻击者”分成几类，有着不同的目的。我们面对的威胁 一般黑客 有组织犯罪 高层次深度打击安全防护的重点 系统防入侵 网络防攻击 信息防泄露 内容放篡改 内部防越权当前信息安全形势外部环境 - 各国在大力推进Internet与信息技术应用的同时，抓紧实施国家信息安全保障体系与国防信息安全防御体系。 - 各国抓紧研究信息安全策略、制订体系标准、法律法规、实施安全计划。当前信息安全形势 2009年6月25日英国出台首个国家网络安全战略。 英国政府将成立两个网络安全新部门 网络安全办公室和网络安全行动中心 计划征召包括黑客在内的网络精英保卫网络安全当前的要求与原则总体要求：坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保护基础网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。主要原则：立足国情，以我为主，坚持管理与技术并重；正确处理安全与发展的关系，以安全促发展，在发展中求安全；统筹规划、突出重点，强化基础性工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。等级保护制度 （一）信息安全等级保护制度是什么？ 什么是信息安全等级保护工作概 念： 信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。什么是信息安全等级保护工作 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益； 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全； 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害； 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害； 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。等级保护工作（二）等级保护制度要干什么？等级保护制度要干什么体现国家管理意志构建国家信息安全管理体系保障信息化发展和维护国家安全解决什么信息安全等级保护是手段，是为了构建国家信息安全保障体系信息安全保障体系也是手段，是为了业务应用发展信息安全等级保护是带有很强技术性的国家风险控制行为信息安全等级保护的关键所在正是基于信息系统所承载应用的重要性，以及该应用损毁后带来的影响程度来判断风险是否控制在可接受的范围内相关政策及法律依据2003年，《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出“实行信息安全等级保护”，“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”；2004年9月公安部会同国家保密局、国家密码管