信息网络安全概述.ppt

我国信息安全管理体制 分级负责 各省、自治区和直辖市的地方信息安全管理体制亦已基本建立 信息安全责任制 “谁主管谁负责、谁运营谁负责” ，重要信息系统的安全保护和管理，由各主管部门和运营单位负责。 我国信息安全管理体制 行业自律和公众监督 2001年5月成立中国互联网协会，主要是促进互联网发展、治理垃圾邮件、打击淫秽色情网站等 2004年6月成立互联网违法和不良信息举报中心，采取国际上通行的“通知—删除”机制和办法，通知网站删除违法和不良信息。 我国信息安全保障体系建设 顶层设计 专项规划 基础性工作 顶层设计 里程碑——国家信息化领导小组《关于加强信息安全保障工作的意见》（中办发[2003]27号） 国家信息安全战略研究——《国家信息安全战略报告》（国信[2005]2号） 信息安全立法研究——《信息安全条例》 互联网管理责任分工——《关于进一步加强互联网管理工作的意见》（中办发[2004]32号） 专项规划 发改委——《国家“十一五”信息安全专项规划》（正在制定中） 科技部——《国家“十一五”信息安全科技发展规划》（2006年11月27日发布） 信息产业部——《国家“十一五”信息安全产业发展规划》（正在制定中） 基础性工作 实行信息安全等级保护 加强以密码技术为基础的信息保护和网络信任体系建设 建设和完善信息安全监控体系 重视信息安全应急处理工作 加强信息安全技术研究开发，推进信息安全产业发展 加强信息安全法制建设和标准化建设 加快信息安全人才培养，增强全民信息安全意识 保证信息安全资金 加强对信息安全工作的领导，建立健全信息安全责任制 1、实行信息安全等级保护 等级保护定义：信息安全等级保护是指对信息和信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置的一项基本制度。 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定” 。 分级：信息系统的安全保护等级分为以下五级： 第一级为自主保护级 第二级为指导保护级 第三级为监督保护级 第四级为强制保护级 第五级为专控保护级 1、实行信息安全等级保护 目前进展： 《关于信息安全等级保护工作的实施意见 》、《信息安全等级保护管理办法 》 《信息系统安全保护等级定级指南 》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评准则》等 成立了公安部信息安全等级保护评估中心 试点情况 1、实行信息安全等级保护 风险评估：信息安全风险评估就是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。 分类：信息安全风险评估分为自评估、检查评估两种形式。 1、实行信息安全等级保护 《信息安全风险评估指南》、《信息安全风险管理指南》 用三年左右的时间在我国基础信息网络和重要信息系统普遍推行信息安全风险评估工作 2、加强以密码技术为基础的信息保护和网络信任体系建设 逐步健全密码管理体制，修改完善密码管理法规，加强密码技术的开发利用，构建科学的密钥管理体系。 加快建设以密码技术为基础，以身份认证、授权管理、责任认定为主要内容的网络信任体系。 2、加强以密码技术为基础的信息保护和网络信任体系建设 《电子签名法》 、《商用密码管理条例》 《关于网络信任体系建设的若干意见》 相关研究 3、建设和完善信息安全监控体系 中国宪法保护公民的通信自由和通信秘密。 依据有关法律规定，正在建立和完善信息安全监测预警系统，对网络运行状态和公共信息进行即时监测，将其作为发现网络攻击和病毒传播、制止违法信息活动、查处网络失泄密、依法打击网络犯罪和信息恐怖主义的重要手段，为处理信息安全事件提供技术支持。 法律授权的一些部门和机构 4、重视信息安全应急处理工作 逐步建立健全国家信息安全应急处理指挥调度和协调机制 完善基础信息网络和重要信息系统的应急处理预案 组织开展了以资源共享、互为备份为原则的灾难备份基础设施建设 不断壮大信息安全应急支援服务队伍，积极调动和充分发挥社会各方面力量，提高信息安全的应急响应与处置能力。 4、重视信息安全应急处理工作 2000年10月 ，成立了国家计算机网络应急技术处理协调中心（简称CNCERT/CC） 2004年8月，成立了国家网络与信息安全信息通报中心，初步建立了信息安全通报机制。 2005年4月，颁布了《重要信息系统灾难恢复指南》，规范和指导了各重要信息系统部门的灾难备份基础设施建设。 5、加强信息安全技术研究开发，推进信息安全