提升信息安全风险评估意识强化信息安全保障体系建设.pptxVIP

提升信息安全风险评估意识强化信息安全保障体系建设曲成义 研究员2006.8.8信息安全面临的威胁网上黑客与计算机欺诈网络病毒的蔓延和破坏有害信息内容污染与舆情误导机要信息流失与“谍件”潜入内部人员误用、滥用、恶用IT产品的失控（分发式威胁）物理临近式威胁网上恐怖活动与信息战网络的脆弱性和系统漏洞网络突发事件正在引起全球关注 2000年2月7日美国网上恐怖事件造成巨大损失 （DDos、八大重要网站、$12亿美元） 2001年日本东京国际机场航管失灵，影响巨大 （红色病毒、几百架飞机无法起降、千人行程受阻） 2003年美国银行的ATM网遭入侵，损失惨重 （Slammer、几十亿美元） 2004年震荡波几天波及全球 2005年Card System公司4000万张卡用户信息被盗 （美国最大的窃密事件、植入特洛伊木马、假冒消费） 网络正在成为恐怖组织联络和指挥工具 （911、伦敦事件） 9.11事件造成世贸中心1200家企业信息网络荡然无存 （有DRP/NCP的400家企业能够恢复和生存） 网络舆情的爆发波及到物理社会的稳定 信息网络的失窃密事件层出不穷我国网络信息安全入侵事件态势严竣(CNCERT/CC 05年度报告数据) 收到信息安全事件报告12万件(04年的2倍) 监测发现2万台计算机被木马远程控制(04年的2倍) 发现1.4万个网站遭黑客篡改,其中政府网站2千(04年的2倍) 网络钓鱼(身份窃取) 事件报告400件(04年的2倍) 监测发现70万台计算机被植入谍件(源头主要在国外) 发现僵尸网络143个(受控计算机250万台)互联网信息安全威胁的某些新动向 僵尸网络威胁兴起 谍件泛滥值得严重关注 网络钓鱼的获利动机明显 网页篡改(嵌入恶意代码),诱人上当 DDoS开始用于敲诈 木马潜伏孕育着杀机 获利和窃信倾向正在成为主流“重要信息系统”安全态势与深层隐患（案例考察）领导重视、管理较严、常规的系统和外防机制基本到位深层隐患值得深思 内控机制脆弱高危漏洞存在信息安全域界定与边控待探索风险自评估能力弱灾难恢复不到位用户自控权不落实 - - - - - - - - - -国家信息化领导小组第三次会议《关于加强信息安全保障工作的意见》—中办发[2003] 27号文— 坚持积极防御、综合防范 全面提高信息安全防护能力 重点保障信息网络和重要信息系统安全 创建安全健康的网络环境 保障和促进信息化发展、保护公众利益、 维护国家安全 立足国情、以我为主、管理与技术并重、 统筹规划、突出重点 发挥各界积极性、共同构筑国家信息安全保障体系 实行信息安全等级保护制度：风险与成本、资源优化配置、安全 风险评估 基于密码技术网络信任体系建设：密码管理体制、身份认证、 授权管理、责任认定 建设信息安全监控体系：提高对网络攻击、病毒入侵、网络失窃 密、有害信息的防范能力 重视信息安全应急处理工作：指挥、响应、协调、通报、支援、 抗毁、灾备 推动信息安全技术研发与产业发展：关键技术、自主创新、强 化可控、引导与市场、测评认证、采购、服务 信息安全法制与标准建设：信息安全法、打击网络犯罪、标准体 系、规范网络行为 信息安全人材培养与增强安全意识：学科、培训、意识、技能、 自律、守法 信息安全组织建设：信息安全协调小组、责任制、依法管理国家信息安全保障工作要点国家信息安全保障工作高层会议( 2004.1.9 ) 信息安全的重要性：IT增长25%、GDP的6%、强烈依赖 信息安全的重大案例 信息安全存在的问题 一个并重、两手抓、三个同步 新思路、新眼光，建立信息安全保障体系 关键技术产品要自主可控 认真落实中央27号文件 维护国家在网络空间的根本利益 确保国家的经济、政治、文化和信息的安全 三大信息基础设施、八大重要信息系统、信息内容 信息安全基础支撑能力 信息安全防护与对抗能力 网络突发事件快速反应能力 网络舆情驾驭能力 综合治理、协调联动、群防群治 政策、标准、管理、技术、产业、人材、理论 构筑国家信息安全保障体系 信息安全长效机制 信息安全战略的主动权- - - - - - 《国家信息安全战略报告》 —国信[2005] 2号文— 第 (八) 部分 : “建设国家信息安全保障体系” 实现信息化与信息安全协调发展 增强信息基础设施和重要信息系统抗毁能力 增强国家信息安全保障能力 研究国际信息安全先进理论、先进技术 掌握核心安全技术、提高关键设备装备能力 促进我国信息安全技术和产业的自主发展 完善国家信息安全长效机制 - - - - - - 《2006-2020年国家信息化发展战略》 —中办[2006] 11号文— 威胁发起者资产拥有者对策脆弱性风险系统资产使命“信息安全”内涵意识到发现贬值保值威胁减少降低合法与可用增加利用滥用与破坏？