信息安全等级保护制度的主要内容和要求.ppt

一、国外关键基础设施保护政策 信息安全保障工作概况 知识子域：国外信息安全保障情况 了解发达国家信息安全状况和信息安全保障的主要举措 了解发达国家信息安全方面主要动态 知识子域：我国信息安全保障工作总体情况 了解我国信息安全保障工作发展阶段 理解国家信息安全保障基本原则 了解国家信息安全保障建设主要内容 发达国家信息安全保障的主要举措 美国信息安全保障战略：一个轮回 三届政府 四个文件 美国CNCI：网络“曼哈顿计划” 2008年1月2日发布的国家安全总统令54/国土安全总统令23，建立了国家网络安全综合计划(CNCI)。 三道防线 建立第一线防御：减少当前漏洞和隐患，预防入侵； 全面应对各类威胁：增强反间能力，加强供应链安全来抵御各种威胁； 强化未来安全环境：增强研究、开发和教育以及投资先进的技术来构建将来的环境。 十二项任务 美国信息安全保障组织机构 网络安全协调官：负责领导白宫“网络安全办公室”，制定和发布国家信息安全政策 首任网络安全协调官霍华德·施密特，被喻为“网络沙皇” 国土安全部（DHS）、国家安全局（NSA）、国防部（DOD）、联邦调查局（FBI）、中央情况报局（CIA）、国家标准技术研究所（NIST）等6个机构具体执行不同的分管职责 公私合作机构:国家基础设施顾问委员会（NIAC）、信息共享和分析中心（ISAC）、网络安全全国联盟（NCSA）等等 美国信息安全保障基本做法 1993年克林顿政府提出兴建“国家信息基础设施”（信息高速公路），1998年首次提出信息安全的概念和意义； 1998年5月国家安全局制定了《信息保障技术框架》； 2000年公布首个《信息系统保护国家计划》； 2002年下半年，以《国土安全战略》为引导，布什政府逐步出台一系列国家安全政策，将信息保障战略纳入总体国家战略之中： 美国信息安全保障的重点对象 2001年美国出台《美国爱国者法案》，定义“关键基础实施”的含义； 2003年12月发布《国土安全总统令/HSPD-7》确定了17个关键基础设施； 2008年3月国土安全部将关键制造业类为第18项关键基础设施； 目前美国的关键基础设施和主要资源部门； 美国信息安全保障基本做法 2005年美国建立了国家漏洞库（NVD），利用技术优势掌握全球最全面的信息安全漏洞信息 2008年1月8日，布什以第54号国家安全总统令和第23号国土安全总统令的形式签署《国家网络安全综合计划》 这项计划高度强调国家意志，被称为信息安全的“曼哈顿计划； 目标：保护没有网络安全，防止美国遭到敌对的电子攻击，并能对敌方展开在线攻击；预算：高达300-400亿美元； 属于高度机密，2010年3月奥巴马政府公开了其部分内容；要求美国政府与安全有关的部门参与实施； 英国信息安全保障体系建设动态 全面紧跟美国，2009年6月，英国发布首份国家《网络安全战略》，宣布成立“网络安全办公室”和“网络安全运行中心”，提出建立新的网络管理机构的具体措施。 注重信息安全标准组织建设，重视将本国标准向海外推广，积极参与国际信息安全标准制定。 英国BSI 7799标准享誉全球，已成为国际标准，并主导ISO/IEC 27000系列标准 强化网络监控，规定警方和国家安全、税务等监察部门有权监控电子邮件和移动电话等系统，成为西方大国中唯一的政府可以要求网络用户交出加密资料密钥的国家 英国信息安全保障的重点对象 英国国计民生不可或缺的许多关键服务依赖信息技术，有10个部分被认为是在提供“基本服务”。 英国信息安全保障基本做法 立法工作 1984年制定《数据保护法》 1990年出台《反计算机滥用法》 1997年实施《电信诈骗法》 2000年出台《信息自由法》 1998年贸易和工业部发表《加强竞争力白皮书》：确定了英国建设信息社会的方式 2005年英国政府制定发表了《信息保障管理框架》：作为信息安全保障战略。 英国信息安全保障基本做法 2009年6月，英国政府推出首份《国家网络安全战略》，宣布成立“网络安全办公室”和“网络安全运行中心”，提出了建立网络管理机制的具体措施 英国建立了两个国家级的计算机应急响应小组 英国政府计算机响应小组 英国国防部计算机应急响应小组 注重政府信息系统安全 采用网络逻辑隔离、PKI等安全技术加强政务外网安全 构建支持“身份联合管理”的内部电子邮件系统 注重标准制定，BS7799是国际信息安全管理标准ISO27000的前身 注重网络监管 是唯一政府可以要求网络用户交出加密密钥的国家 英国信息安全保障组织机构 国家基础设施安全协调中心 负责信息安全工作的跨部门机构 运行着英国的计算机应急响应小组 信息保障中央主办局和民事应急局——负责信息安全工作的重要政府机构 世界上第一个建立电子政务标