信息安全知識(shí)培訓(xùn)

1、1 2012簡(jiǎn)實(shí)公司 版權(quán)所有2 2012簡(jiǎn)實(shí)公司 版權(quán)所有 信息安全概述信息安全概述1目目 錄錄123 網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)網(wǎng)絡(luò)安全基礎(chǔ)知識(shí) 信息安全風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)評(píng)估4 等級(jí)保護(hù)基礎(chǔ)等級(jí)保護(hù)基礎(chǔ)3 2012簡(jiǎn)實(shí)公司 版權(quán)所有信息安全概述 信息作為一種無(wú)形的資源被廣泛應(yīng)用于政治、軍事、經(jīng)濟(jì)、科研等行業(yè)。隨之帶來(lái)的安全問(wèn)題越來(lái)越多，信息安全培訓(xùn)變得很有意義。4 2012簡(jiǎn)實(shí)公司 版權(quán)所有信息安全概述 信息安全培訓(xùn)的意義 計(jì)算機(jī)問(wèn)世之初，計(jì)算機(jī)數(shù)量還是相當(dāng)?shù)纳伲S著因特網(wǎng)的迅速發(fā)展，由于計(jì)算機(jī)用戶數(shù)的增加，為今天的計(jì)算機(jī)犯罪提供了產(chǎn)生和發(fā)展的溫床。自1998年到2003年安全事件增加了將近37

2、倍。5 2012簡(jiǎn)實(shí)公司 版權(quán)所有信息安全概述 幾個(gè)計(jì)算機(jī)犯罪的例子： 1.1988年美國(guó)康奈爾大學(xué)學(xué)生釋放多個(gè)蠕蟲(chóng)病毒，造成因特網(wǎng)6000臺(tái)主機(jī)癱瘓。 2.1989年3名德國(guó)黑客闖入北約和美國(guó)計(jì)算機(jī)系統(tǒng)，竊取了許多高度機(jī)密的信息 3.1996年美國(guó)中央情報(bào)局的主頁(yè)被一群瑞典少年黑客改為中央笨蛋局 4.2000年黑客入侵微軟公司并獲取新開(kāi)發(fā)產(chǎn)品的機(jī)密代碼 5.2013年棱鏡監(jiān)聽(tīng)門事件(斯諾登)6 2012簡(jiǎn)實(shí)公司 版權(quán)所有信息安全概述 互聯(lián)網(wǎng)技術(shù)的不斷成熟發(fā)展與為人們的生活帶來(lái)了巨大的便利，也為社會(huì)的發(fā)展注入了新的動(dòng)力。隨著各種新網(wǎng)絡(luò)的的產(chǎn)生，人們對(duì)網(wǎng)絡(luò)的要求越來(lái)越高； 寬帶技術(shù)為社會(huì)帶來(lái)巨大

3、的便利，同時(shí)也隱含著巨大的危機(jī)，信息系統(tǒng)的安全性已經(jīng)成為非常重要的研究課題。7 2012簡(jiǎn)實(shí)公司 版權(quán)所有信息安全概述 什么是信息安全 信息的概念： ISO/IEC 的IT 安全管理指南（GMITS，即ISO/IEC TR 13335）對(duì)信息（Information）的解釋是：信息是通過(guò)在數(shù)據(jù)上施加某些約定而賦予這些數(shù)據(jù)的特殊含義。 8 2012簡(jiǎn)實(shí)公司 版權(quán)所有信息安全概述 一般意義上的信息概念是指事物運(yùn)動(dòng)的狀態(tài)和方式，是事物的一種屬性，在引入必要的約束條件后可以形成特定的概念體系。通常情況下，可以把信息可以理解為消息、信號(hào)、數(shù)據(jù)、情報(bào)和知識(shí)。信息本身是無(wú)形的，借助于信息媒體以多種形式存在或

4、傳播，它可以存儲(chǔ)在計(jì)算機(jī)、磁帶、紙張等介質(zhì)中，也可以記憶在人的大腦里，還可以通過(guò)網(wǎng)絡(luò)等方式進(jìn)行傳播。9 2012簡(jiǎn)實(shí)公司 版權(quán)所有信息安全概述 “安全”一詞的基本含義為：“遠(yuǎn)離危險(xiǎn)的狀態(tài)或特性”，或“主觀上不存在威脅，主觀上不存在恐懼”。在各個(gè)領(lǐng)域都存在著安全問(wèn)題，安全問(wèn)題是普遍存在的。隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展，人們對(duì)信息的存儲(chǔ)、處理和傳遞過(guò)程中涉及的安全問(wèn)題越來(lái)越關(guān)注，信息領(lǐng)域的安全問(wèn)題變得非常突出。10 2012簡(jiǎn)實(shí)公司 版權(quán)所有信息安全概述 信息安全是一個(gè)廣泛而抽象的概念，不同領(lǐng)域不同方面對(duì)其概念的闡述都會(huì)有所不同。建立在網(wǎng)絡(luò)基礎(chǔ)之上的現(xiàn)代信息系統(tǒng)，其安全定義較為明確，那就是：保護(hù)信息系

5、統(tǒng)的硬件、軟件及相關(guān)數(shù)據(jù)，使之不因?yàn)榕既换蛘邜阂馇址付馐芷茐?、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行。在商業(yè)和經(jīng)濟(jì)領(lǐng)域，信息安全主要強(qiáng)調(diào)的是消減并控制風(fēng)險(xiǎn)，保持業(yè)務(wù)操作的連續(xù)性，并將風(fēng)險(xiǎn)造成的損失和影響降低到最低程度。11 2012簡(jiǎn)實(shí)公司 版權(quán)所有信息安全概述n 信息安全就是關(guān)注信息本身的安全，而不管是否應(yīng)用了計(jì)算機(jī)作為信息處理的手段。信息安全的任務(wù)是保護(hù)信息資源，以防止偶然的或未授權(quán)者對(duì)信息的惡意泄露、修改和破壞，從而導(dǎo)致信息的不可靠或無(wú)法處理等。這樣可以使得人們?cè)谧畲笙薅鹊乩眯畔⒌耐瑫r(shí)損失最小。 12 2012簡(jiǎn)實(shí)公司 版權(quán)所有信息安全概述 總的來(lái)說(shuō)，凡是涉及到保密性、完

6、整性、可用性、可追溯性、真實(shí)性和可靠性保護(hù)等方 面的技術(shù)和理論，都是信息安全所要研究的范疇，也是信息安全所要實(shí)現(xiàn)的目標(biāo)。13 2012簡(jiǎn)實(shí)公司 版權(quán)所有信息安全概述 信息安全威脅信息安全威脅 信息安全的威脅是指某個(gè)人、物、事件或概念對(duì)信息資源的保密性、完整性、可用性或合法使用所造成的危險(xiǎn)。攻擊就是對(duì)安全威脅的具體體現(xiàn)。 目前還沒(méi)有統(tǒng)一的方法來(lái)對(duì)各種威脅進(jìn)行分類，也沒(méi)有統(tǒng)一的方法來(lái)對(duì)各種威脅加以區(qū)別。信息安全所面臨的威脅與環(huán)境密切相關(guān)，不同威脅的存在及重要性是隨環(huán)境的變化而變化的。下面給出一些常見(jiàn)的安全威脅。14 2012簡(jiǎn)實(shí)公司 版權(quán)所有信息安全概述 1服務(wù)干擾：以非法手段竊得對(duì)信息的使用權(quán)，

7、惡意添加、修改、插入、刪除或重復(fù)某些無(wú)關(guān)信息，不斷對(duì)網(wǎng)絡(luò)信息服務(wù)系統(tǒng)進(jìn)行干擾，使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響用戶的正常使用，如一些不法分子在國(guó)外干擾我國(guó)正常衛(wèi)星通信等。 2惡意訪問(wèn)：沒(méi)有預(yù)先經(jīng)過(guò)授權(quán)同意，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被看作惡意訪問(wèn)，如有意避開(kāi)系統(tǒng)訪問(wèn)控制機(jī)制，對(duì)網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用，或擅自擴(kuò)大權(quán)限，越權(quán)訪問(wèn)信息等。15 2012簡(jiǎn)實(shí)公司 版權(quán)所有信息安全概述 3自身失誤：網(wǎng)絡(luò)管理員或網(wǎng)絡(luò)用戶都擁有相應(yīng)的權(quán)限，利用這些權(quán)限破壞網(wǎng)絡(luò)安全的可能性也是存在的。如操作口令被泄露，磁盤上的機(jī)密文件被人利用及未將臨時(shí)文件刪除導(dǎo)致重要信息被竊取，都有可能使網(wǎng)絡(luò)安全機(jī)制失效，從內(nèi)部遭受嚴(yán)重破壞。

8、 4信息泄露：信息被泄露或透露給某個(gè)非授權(quán)的實(shí)體。 5破壞信息的完整性：數(shù)據(jù)被非授權(quán)地進(jìn)行增刪、修改或破壞而受到損失。16 2012簡(jiǎn)實(shí)公司 版權(quán)所有信息安全概述 6拒絕服務(wù)：對(duì)信息或其他資源的合法訪問(wèn)被無(wú)緣無(wú)故拒絕。 7非法使用：某一資源被某個(gè)非授權(quán)的人，或以非授權(quán)的方式使用。 8竊聽(tīng)：用各種可能的合法或非法的手段竊取系統(tǒng)中的信息資源和敏感信息。 9業(yè)務(wù)流分析：通過(guò)對(duì)系統(tǒng)進(jìn)行長(zhǎng)期監(jiān)聽(tīng)，利用統(tǒng)計(jì)分析方法對(duì)諸如通信頻度、通信問(wèn)題的變化等參數(shù)進(jìn)行研究，從中發(fā)現(xiàn)有價(jià)值的信息和規(guī)律。 10假冒：通過(guò)欺騙通信系統(tǒng)達(dá)到非法用戶冒充成為合法用戶，或者特權(quán)小的用戶冒充成特權(quán)大的用戶的目的。 17 2012簡(jiǎn)實(shí)

9、公司 版權(quán)所有信息安全概述 11旁路控制：攻擊者利用系統(tǒng)的安全缺陷或安全性上的脆弱之處獲得非授權(quán)的權(quán)利或特權(quán)。例如，攻擊者通過(guò)各種攻擊手段發(fā)現(xiàn)原本應(yīng)該保密，但是卻又暴露出來(lái)的一些系統(tǒng)“特性”，利用這些“特性”，攻擊者可以繞過(guò)防線守衛(wèi)者侵入到系統(tǒng)的內(nèi)部。 12內(nèi)部攻擊：被授權(quán)以某一目的的使用某一系統(tǒng)或資源的某個(gè)個(gè)人，卻將此權(quán)限用于其他非授權(quán)的目的。 13特洛伊木馬：軟件中含有一個(gè)察覺(jué)不出的或者無(wú)害的程序段，當(dāng)其被執(zhí)行時(shí)，會(huì)破壞用戶的安全。這種應(yīng)用程序稱為特洛伊木馬(Trojan Horse)。 14陷阱門：在某個(gè)系統(tǒng)或某個(gè)部件中設(shè)置的“機(jī)關(guān)”，使得在特定的數(shù)據(jù)輸入時(shí)，允許違反安全策略。18 20

10、12簡(jiǎn)實(shí)公司 版權(quán)所有信息安全概述 15抵賴：這是一種來(lái)自用戶的攻擊，比如：否認(rèn)自己曾經(jīng)發(fā)布過(guò)的某條消息，偽造一份對(duì)方來(lái)信等。 16重放：出于非法目的，將所截獲的某次合法的通信數(shù)據(jù)進(jìn)行復(fù)制，并重新發(fā)送。 17電腦病毒：一種人為編制的特定程序。它可以在計(jì)算機(jī)系統(tǒng)運(yùn)行過(guò)程中實(shí)現(xiàn)傳染和侵害功能。它可以通過(guò)電子郵件、軟件下載、文件服務(wù)器、防火墻等侵入網(wǎng)絡(luò)內(nèi)部，刪除、修改文件，導(dǎo)致程序運(yùn)行錯(cuò)誤、死機(jī)，甚至毀壞硬件。網(wǎng)絡(luò)的普及為病毒檢測(cè)與消除帶來(lái)很大的難度，用戶很難防范。19 2012簡(jiǎn)實(shí)公司 版權(quán)所有信息安全概述 18員工泄露：某個(gè)授權(quán)的人，為了金錢或某種利益，或由于粗心，將信息泄露給某個(gè)非授權(quán)的人。

11、19媒體廢棄：信息被從廢棄的磁盤、光盤或紙張等存儲(chǔ)介質(zhì)中獲得。 20物理侵入：侵入者繞過(guò)物理控制而獲得對(duì)系統(tǒng)的訪問(wèn)。 21竊取：重要的安全物品(如身份卡等)被盜用。 22業(yè)務(wù)欺騙：某一偽系統(tǒng)或系統(tǒng)部件欺騙合法的用戶或系統(tǒng)自愿放棄敏感信息等。20 2012簡(jiǎn)實(shí)公司 版權(quán)所有信息安全概述 上面給出的只是一些常見(jiàn)的安全威脅，通常各種威脅之間是相互聯(lián)系的。如竊聽(tīng)、業(yè)務(wù)流分析、員工泄露、旁路控制等可造成信息泄露，而信息泄露、竊取、重放可造成假冒，而假冒又可造成信息泄露等等。 對(duì)于信息系統(tǒng)來(lái)說(shuō)，威脅可以針對(duì)物理環(huán)境、通信鏈路、網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)、應(yīng)用系統(tǒng)以及管理系統(tǒng)等方面。 要保證信息的安全就必須想辦法在

12、一定程度上克服以上的種種威脅。需要指出的是，無(wú)論采取何種防范措施都不能保證信息的絕對(duì)安全。安全是相對(duì)的，不安全才是絕對(duì)的21 2012簡(jiǎn)實(shí)公司 版權(quán)所有信息安全概述 信息完全威脅的來(lái)源 信息系統(tǒng)安全威脅主要來(lái)源有很多方面。信息安全的主要威脅來(lái)源包括： 1.自然災(zāi)害、意外事故 2.計(jì)算機(jī)犯罪 3.認(rèn)為錯(cuò)誤，如使用不當(dāng)、安全意識(shí)差 4.黑客行為 5.內(nèi)部泄密22 2012簡(jiǎn)實(shí)公司 版權(quán)所有信息安全概述 6.外部泄密 7.信息丟失 8.電子諜報(bào) 9.信息戰(zhàn) 10.網(wǎng)絡(luò)協(xié)議自身缺陷 11.計(jì)算機(jī)硬件系統(tǒng)、操作系統(tǒng)、應(yīng)用系統(tǒng)等的漏洞23 2012簡(jiǎn)實(shí)公司 版權(quán)所有信息安全概述 信息安全的屬性 信息安全通

13、常強(qiáng)調(diào)所謂CIA三元組的目標(biāo)，即保密性、完整性和可用性。CIA概念的闡述源自信息安全技術(shù)安全評(píng)估標(biāo)準(zhǔn)。 （1）保密性：確保信息在存儲(chǔ)、使用、傳輸過(guò)程中不會(huì)泄露給非授權(quán)用戶或?qū)嶓w （2）完整性：確保信息在存儲(chǔ)、使用、傳輸過(guò)程中不會(huì)被非授權(quán)用戶篡改24 2012簡(jiǎn)實(shí)公司 版權(quán)所有信息安全概述 （3）可用性：確保授權(quán)用戶或?qū)嶓w對(duì)信息及資源的正常使用不會(huì)被異常拒絕，允許其可靠而及時(shí)訪問(wèn)信息及資源 （4）真實(shí)性：對(duì)信息的來(lái)源進(jìn)行判斷，能偽造來(lái)源的信息予以鑒別 （5）不可抵賴性：建立有效的責(zé)任機(jī)制，防止用戶否認(rèn)其行為，這一點(diǎn)在電子商務(wù)中是極其重要的。25 2012簡(jiǎn)實(shí)公司 版權(quán)所有信息安全概述 （6）可控

14、制性：對(duì)信息的傳播及內(nèi)容具有控制能力 （7）可審查性：對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題提供調(diào)查的依據(jù)和手段 （8）可靠性：信息用戶認(rèn)可的質(zhì)量連續(xù)服務(wù)于用戶的特征。26 2012簡(jiǎn)實(shí)公司 版權(quán)所有信息安全概述 信息安全策略 信息安全策略是指保證提供一定級(jí)別的安全保護(hù)所必需遵守的規(guī)則。實(shí)現(xiàn)信息安全，不但靠先進(jìn)的技術(shù)，而且也得靠嚴(yán)格的安全管理、法律約束和安全教育。 （1）先進(jìn)的信息安全是網(wǎng)絡(luò)安全的保證 （2）嚴(yán)格的安全管理 （3）制定嚴(yán)格的法律、法規(guī)27 2012簡(jiǎn)實(shí)公司 版權(quán)所有信息安全概述 信息安全模型和層次結(jié)構(gòu) PDR安全模型 PDR動(dòng)態(tài)安全模型研究的是基于企業(yè)網(wǎng)對(duì)象、依時(shí)間及策略特征的動(dòng)態(tài)安全模型結(jié)構(gòu)。

15、一個(gè)良好的安全模型應(yīng)在充分了解網(wǎng)絡(luò)系統(tǒng)安全需求的基礎(chǔ)上，通過(guò)安全模型表達(dá)安全體系架構(gòu)，通常具備以下性質(zhì)：精確、無(wú)歧義、簡(jiǎn)單、抽象具有一般性，充分體現(xiàn)安全策略。28 2012簡(jiǎn)實(shí)公司 版權(quán)所有信息安全概述 該理論的最基本原理認(rèn)為，信息安全相關(guān)的所有活動(dòng)，不管是攻擊行為、防護(hù)行為、檢測(cè)行為還是響應(yīng)行為都要消耗時(shí)間。作為一個(gè)防護(hù)體系，當(dāng)入侵者發(fā)起攻擊時(shí)，每一步都需要花費(fèi)時(shí)間。 PDR安全模型公式1：PtDt+Rt Pt代表系統(tǒng)為了保護(hù)安全目標(biāo)設(shè)置各種保護(hù)后的防護(hù)時(shí)間，或者理解為在這樣的保護(hù)方式下，黑客攻擊安全目標(biāo)所花費(fèi)的時(shí)間。29 2012簡(jiǎn)實(shí)公司 版權(quán)所有信息安全概述 PDR安全模型公式2： Et

16、=Dt+Rt（假設(shè)Pt=0） 公式的前提是假設(shè)防護(hù)時(shí)間為0.Dt代表入侵者破壞了安全目標(biāo)系統(tǒng)開(kāi)始，系統(tǒng)能夠檢測(cè)到破壞行為所花費(fèi)的時(shí)間。 通過(guò)上面兩個(gè)公式給出了全新的定義：及時(shí)檢測(cè)和響應(yīng)就是安全，及時(shí)的檢測(cè)和恢復(fù)就是安全。30 2012簡(jiǎn)實(shí)公司 版權(quán)所有信息安全概述 信息安全層次體系 物理安全技術(shù)：環(huán)境安全、設(shè)備安全、媒體安全。 系統(tǒng)安全技術(shù)：操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)的安全性。 網(wǎng)絡(luò)安全技術(shù)：網(wǎng)絡(luò)隔離、訪問(wèn)控制、VPN、入侵檢測(cè)、掃描評(píng)估。31 2012簡(jiǎn)實(shí)公司 版權(quán)所有信息安全概述 應(yīng)用安全技術(shù)：Email 安全、Web 訪問(wèn)安全、內(nèi)容過(guò)濾、應(yīng)用系統(tǒng)安全。 數(shù)據(jù)加密技術(shù)：硬件和軟件加密，實(shí)現(xiàn)身份認(rèn)

17、證和數(shù)據(jù)信息的CIA 特性。 認(rèn)證授權(quán)技術(shù)：口令認(rèn)證、SSO 認(rèn)證（例如Kerberos）、證書(shū)認(rèn)證等。32 2012簡(jiǎn)實(shí)公司 版權(quán)所有信息安全概述 訪問(wèn)控制技術(shù)：防火墻、訪問(wèn)控制列表等。 審計(jì)跟蹤技術(shù)：入侵檢測(cè)、日志審計(jì)、辨析取證。 防病毒技術(shù)：?jiǎn)螜C(jī)防病毒技術(shù)逐漸發(fā)展成整體防病毒體系。 災(zāi)難恢復(fù)和備份技術(shù)：業(yè)務(wù)連續(xù)性技術(shù)，前提就是對(duì)數(shù)據(jù)的備份。33 2012簡(jiǎn)實(shí)公司 版權(quán)所有 信息安全概述信息安全概述1目目 錄錄123 網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)網(wǎng)絡(luò)安全基礎(chǔ)知識(shí) 信息安全風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)評(píng)估4 等級(jí)保護(hù)基礎(chǔ)等級(jí)保護(hù)基礎(chǔ)34 2012簡(jiǎn)實(shí)公司 版權(quán)所有網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)信息安全的含義信息安全的含義信息

18、安全從其本質(zhì)上來(lái)講就是網(wǎng)絡(luò)傳輸處理過(guò)程中的信息安全。它涉及的領(lǐng)域相當(dāng)廣泛。這是因?yàn)樵谀壳暗墓猛ㄐ啪W(wǎng)絡(luò)中存在著各種各樣的安全漏洞和威脅。從廣義來(lái)說(shuō)，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論，都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。下面給出網(wǎng)絡(luò)安全的一個(gè)通用定義：信息安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。35 2012簡(jiǎn)實(shí)公司 版權(quán)所有網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)（l）運(yùn)行系統(tǒng)安全，即保證信息處理和傳輸系統(tǒng)的安全。 （2）網(wǎng)絡(luò)上系統(tǒng)信息的安全。 （3）網(wǎng)絡(luò)上信息傳播的安全，即信息傳

19、播后果的安全。 （4）網(wǎng)絡(luò)上信息內(nèi)容的安全，即我們討論的狹義的“信息安全”。 36 2012簡(jiǎn)實(shí)公司 版權(quán)所有網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)網(wǎng)絡(luò)安全的特征（1）保密性：信息不泄露給非授權(quán)的用戶、實(shí)體或過(guò)程，或供其利用的特性。（2）完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性，即信息在存儲(chǔ)或傳輸過(guò)程中保持不被修改、不被破壞和丟失的特性。（3）可用性：可被授權(quán)實(shí)體訪問(wèn)并按需求使用的特性，即當(dāng)需要時(shí)應(yīng)能存取所需的信息。網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對(duì)可用性的攻擊。（4）可控性：對(duì)信息的傳播及內(nèi)容具有控制能力。 37 2012簡(jiǎn)實(shí)公司 版權(quán)所有網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)網(wǎng)絡(luò)安全的威脅 (1)非授權(quán)訪問(wèn)（u

20、nauthorized access）：一個(gè)非授權(quán)的人的入侵。(2)信息泄露（disclosure of information）：造成將有價(jià)值的和高度機(jī)密的信息暴露給無(wú)權(quán)訪問(wèn)該信息的人的所有問(wèn)題。(3)拒絕服務(wù)（denial of service）：使得系統(tǒng)難以或不可能繼續(xù)執(zhí)行任務(wù)的所有問(wèn)題。 (4)木馬/病毒：擾亂系統(tǒng)正常運(yùn)作，造成數(shù)據(jù)的不可判損壞(5)惡意/間諜軟件：竊取操作用戶密碼和相關(guān)機(jī)密信息，實(shí)施商業(yè)欺詐或惡意信息泄露38 2012簡(jiǎn)實(shí)公司 版權(quán)所有網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)主機(jī)安全技術(shù)。身份認(rèn)證技術(shù)。訪問(wèn)控制技術(shù)。密碼技術(shù)。防火墻技術(shù)。安全審計(jì)技術(shù)。安全管理技術(shù)。防病毒技

21、術(shù)。反垃圾郵件技術(shù)。入侵檢測(cè)技術(shù)。39 2012簡(jiǎn)實(shí)公司 版權(quán)所有網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)網(wǎng)絡(luò)安全的安全策略網(wǎng)絡(luò)用戶的安全責(zé)任：該策略可以要求用戶每隔一段時(shí)間改變其口令；使用符合一定準(zhǔn)則的口令；執(zhí)行某些檢查，以了解其賬戶是否被別人訪問(wèn)過(guò)等。重要的是，凡是要求用戶做到的，都應(yīng)明確地定義。系統(tǒng)管理員的安全責(zé)任：該策略可以要求在每臺(tái)主機(jī)上使用專門的安全措施、登錄標(biāo)題報(bào)文、監(jiān)測(cè)和記錄過(guò)程等，還可列出在連接網(wǎng)絡(luò)的所有主機(jī)中不能運(yùn)行的應(yīng)用程序。A1G7F7L16B2ZAM3KP5C3J2F35Y5D4G6JX6O9E5V42P9T0F6IQ1S7U9G75R7W2V8H40 2012簡(jiǎn)實(shí)公司 版權(quán)所有網(wǎng)絡(luò)安全基礎(chǔ)

22、知識(shí)正確利用網(wǎng)絡(luò)資源：規(guī)定誰(shuí)可以使用網(wǎng)絡(luò)資源，他們可以做什么，他們不應(yīng)該做什么等。如果用戶的單位認(rèn)為電子郵件文件和計(jì)算機(jī)活動(dòng)的歷史記錄都應(yīng)受到安全監(jiān)視，就應(yīng)該非常明確地告訴用戶，這是其政策。檢測(cè)到安全問(wèn)題時(shí)的對(duì)策：當(dāng)檢測(cè)到安全問(wèn)題時(shí)應(yīng)該做什么？應(yīng)該通知誰(shuí)？這些都是在緊急的情況下容易忽視的事情。41 2012簡(jiǎn)實(shí)公司 版權(quán)所有網(wǎng)絡(luò)安全分類根據(jù)中國(guó)國(guó)家計(jì)算機(jī)安全規(guī)范，計(jì)算機(jī)的安全大致可分為三類：（1）實(shí)體安全 （2）網(wǎng)絡(luò)與信息安全（3）應(yīng)用安全 機(jī)房、線路、主機(jī)網(wǎng)絡(luò)的連通及信息傳輸安全程序開(kāi)發(fā)運(yùn)行、IO、數(shù)據(jù)庫(kù)42 2012簡(jiǎn)實(shí)公司 版權(quán)所有網(wǎng)絡(luò)安全分類基本安全類 基本安全類包括訪問(wèn)控制、授權(quán)、認(rèn)

23、證、加密以及內(nèi)容安全。 管理與記賬類 管理與記賬類安全包括安全的策略的管理、實(shí)時(shí)監(jiān)控、報(bào)警以及企業(yè)范圍內(nèi)的集中管理與記賬。網(wǎng)絡(luò)互聯(lián)設(shè)備安全類 網(wǎng)絡(luò)互聯(lián)設(shè)備包括路由器、通信服務(wù)器、交換機(jī)等，網(wǎng)絡(luò)互聯(lián)設(shè)備安全正是針對(duì)上述這些互聯(lián)設(shè)備而言的，它包括路由安全管理、遠(yuǎn)程訪問(wèn)服務(wù)器安全管理、通信服務(wù)器安全管理以及交換機(jī)安全管理等等。43 2012簡(jiǎn)實(shí)公司 版權(quán)所有網(wǎng)絡(luò)安全解決方案連接控制類連接控制類包括負(fù)載均衡、可靠性以及流量管理等。由于網(wǎng)絡(luò)安全范圍的不斷擴(kuò)大；如今的網(wǎng)絡(luò)安全不再是僅僅保護(hù)內(nèi)部資源的安全，還必須提供附加的服務(wù)，例如，用戶確認(rèn)、通過(guò)保密、甚至于安全管理傳統(tǒng)的商務(wù)交易機(jī)制，如訂貨和記賬等。網(wǎng)絡(luò)

24、信息安全模型一個(gè)完整的網(wǎng)絡(luò)信息安全系統(tǒng)至少包括三類措施： 社會(huì)的法律政策，企業(yè)的規(guī)章制度及網(wǎng)絡(luò)安全教育技術(shù)方面的措施，如防火墻技術(shù)、防病毒。信息加密、身份確認(rèn)以及授權(quán)等審計(jì)與管理措施，包括技術(shù)與社會(huì)措施 44 2012簡(jiǎn)實(shí)公司 版權(quán)所有網(wǎng)絡(luò)安全解決方案45 2012簡(jiǎn)實(shí)公司 版權(quán)所有網(wǎng)絡(luò)安全解決方案安全策略設(shè)計(jì)依據(jù)在制定網(wǎng)絡(luò)安全策略時(shí)應(yīng)當(dāng)考慮如下因素：對(duì)于內(nèi)部用戶和外部用戶分別提供哪些服務(wù)程序初始投資額和后續(xù)投資額（新的硬件、軟件及工作人員）方便程度和服務(wù)效率復(fù)雜程度和安全等級(jí)的平衡網(wǎng)絡(luò)性能46 2012簡(jiǎn)實(shí)公司 版權(quán)所有網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全解決方案(1)信息包篩選47 2012簡(jiǎn)實(shí)公司

25、版權(quán)所有網(wǎng)絡(luò)安全解決方案(2)應(yīng)用中繼器 48 2012簡(jiǎn)實(shí)公司 版權(quán)所有網(wǎng)絡(luò)安全解決方案49 2012簡(jiǎn)實(shí)公司 版權(quán)所有網(wǎng)絡(luò)安全解決方案(3)保密與確認(rèn)“保密”可以保證當(dāng)一個(gè)信息被送出后，只有預(yù)定的接收者能夠閱讀和加以解釋。它可以防止竊聽(tīng)，并且允許在公用網(wǎng)絡(luò)上安全地傳輸機(jī)密的或者專用的信息。“確認(rèn)”意味著向信息（郵件、數(shù)據(jù)、文件等）的接收者保證發(fā)送是該信息的擁有者，并且意味著，數(shù)據(jù)在傳輸期間不會(huì)被修改。 50 2012簡(jiǎn)實(shí)公司 版權(quán)所有網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全性措施 要實(shí)施一個(gè)完整的網(wǎng)絡(luò)安全系統(tǒng)，至少應(yīng)該包括三類措施：社會(huì)的法律、法規(guī)以及企業(yè)的規(guī)章制度和安全教育等外部軟件環(huán)境技術(shù)方面的措施，

26、如網(wǎng)絡(luò)防毒、信息加密、存儲(chǔ)通信、授權(quán)、認(rèn)證以及防火墻技術(shù)審計(jì)和管理措施，這方面措施同時(shí)也包含了技術(shù)與社會(huì)措施。 51 2012簡(jiǎn)實(shí)公司 版權(quán)所有網(wǎng)絡(luò)安全解決方案為網(wǎng)絡(luò)安全系統(tǒng)提供適當(dāng)安全的常用的方法：修補(bǔ)系統(tǒng)漏洞病毒檢查加密執(zhí)行身份鑒別防火墻捕捉闖入者直接安全空閑機(jī)器守則廢品處理守則口令守則52 2012簡(jiǎn)實(shí)公司 版權(quán)所有網(wǎng)絡(luò)安全解決方案可以采取的網(wǎng)絡(luò)安全性措施有：選擇性能優(yōu)良的服務(wù)器。服務(wù)器是網(wǎng)絡(luò)的核心；它的故障意味著整個(gè)網(wǎng)絡(luò)的癱瘓，因此，要求的服務(wù)應(yīng)具有：容錯(cuò)能力。帶電熱插拔技術(shù)，智能IO技術(shù)，以及具有良好的擴(kuò)展性采用服務(wù)器備份。服務(wù)器備份方式分為冷備份與熱備份二種，熱備份方式由于實(shí)時(shí)性好

27、，可以保證數(shù)據(jù)的完整性和連續(xù)性，得以廣泛采用的一種備份方式對(duì)重要網(wǎng)絡(luò)設(shè)備、通信線路備份。通信故障就意味著正常工作無(wú)法進(jìn)行。所以，對(duì)于交換機(jī)、路由器以及通信線路最好都要有相應(yīng)的備份措施53 2012簡(jiǎn)實(shí)公司 版權(quán)所有網(wǎng)絡(luò)安全解決方案Internet安全管理(1)應(yīng)解決的安全問(wèn)題 (2) 對(duì)Internet網(wǎng)的安全管理措施安全保密遵循的基本原則：根據(jù)所面臨的安全問(wèn)題，決定安全的策略。根據(jù)實(shí)際需要綜合考慮，適時(shí)地對(duì)現(xiàn)有策略進(jìn)行適當(dāng)?shù)男薷?，每?dāng)有新的技術(shù)時(shí)就要補(bǔ)充相應(yīng)的安全策略。構(gòu)造企業(yè)內(nèi)部網(wǎng)絡(luò)，在Intranet和 Internet之間設(shè)置“防火墻”以及相應(yīng)的安全措施。完善管理功能加大安全技術(shù)的開(kāi)發(fā)

28、力度 54 2012簡(jiǎn)實(shí)公司 版權(quán)所有網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全的評(píng)估 確定單位內(nèi)部是否已經(jīng)有了一套有關(guān)網(wǎng)絡(luò)安全的方案，如果有的話，將所有有關(guān)的文檔匯總；如果沒(méi)有的話，應(yīng)當(dāng)盡快制訂對(duì)已有的網(wǎng)絡(luò)安全方案進(jìn)行審查確定與網(wǎng)絡(luò)安全方案有關(guān)的人員，并確定對(duì)網(wǎng)絡(luò)資源可以直接存取的人或單位（部門）確保所需要的技術(shù)能使網(wǎng)絡(luò)安全方案得以落實(shí)確定內(nèi)部網(wǎng)絡(luò)的類型。因?yàn)榫W(wǎng)絡(luò)類型的不同直接影響到安全方案接口的選擇55 2012簡(jiǎn)實(shí)公司 版權(quán)所有 信息安全概述信息安全概述1目目 錄錄123 網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)網(wǎng)絡(luò)安全基礎(chǔ)知識(shí) 信息安全風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)評(píng)估4 等級(jí)保護(hù)基礎(chǔ)等級(jí)保護(hù)基礎(chǔ)56 2012簡(jiǎn)實(shí)公司 版權(quán)所有目錄 風(fēng)

29、險(xiǎn)評(píng)估理念風(fēng)險(xiǎn)評(píng)估理念 風(fēng)險(xiǎn)評(píng)估方法 項(xiàng)目實(shí)施過(guò)程57 2012簡(jiǎn)實(shí)公司 版權(quán)所有p 由于病毒爆發(fā)，造成網(wǎng)絡(luò)阻塞，或系統(tǒng)癱瘓p 一次意外的停電，造成計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備無(wú)法工作p 一份內(nèi)部技術(shù)資料被內(nèi)部人員賣給了競(jìng)爭(zhēng)對(duì)手，使得企業(yè)遭受損失p 對(duì)系統(tǒng)的升級(jí)沒(méi)有經(jīng)過(guò)測(cè)試，造成系統(tǒng)不能正常使用p 竊賊光顧了您的辦公場(chǎng)所，偷走了存有內(nèi)部敏感信息的計(jì)算機(jī)設(shè)備p 工作人員為了炫耀，在其個(gè)人博客上發(fā)布了公司的秘密研發(fā)信息p 存放有系統(tǒng)關(guān)鍵數(shù)據(jù)的硬盤損壞后，由于沒(méi)有做好日常備份，導(dǎo)致數(shù)據(jù)丟失p 員工使用BT等下載軟件，導(dǎo)致公司上互聯(lián)網(wǎng)速度緩慢，帶寬被嚴(yán)重占用p 黑客侵入了企業(yè)的Web網(wǎng)站，篡改了網(wǎng)站上發(fā)布的信息“

30、像其它重要業(yè)務(wù)資產(chǎn)一樣，信息也是對(duì)組織業(yè)務(wù)至關(guān)重要的資產(chǎn)，需要適當(dāng)?shù)丶右员Ｗo(hù)?！?ISO/IEC 2700258 2012簡(jiǎn)實(shí)公司 版權(quán)所有p 信息系統(tǒng)的安全需求是什么？信息系統(tǒng)的安全需求是什么？p 信息系統(tǒng)有哪些關(guān)鍵資產(chǎn)是需要重點(diǎn)保護(hù)的？信息系統(tǒng)有哪些關(guān)鍵資產(chǎn)是需要重點(diǎn)保護(hù)的？ p 信息系統(tǒng)面臨哪些威脅？信息系統(tǒng)面臨哪些威脅？p 系統(tǒng)中存在哪些技術(shù)隱患與管理的薄弱環(huán)節(jié)？系統(tǒng)中存在哪些技術(shù)隱患與管理的薄弱環(huán)節(jié)？p 這些威脅會(huì)產(chǎn)生什么風(fēng)險(xiǎn)？可能會(huì)造成多大的損失？這些威脅會(huì)產(chǎn)生什么風(fēng)險(xiǎn)？可能會(huì)造成多大的損失？p 這些風(fēng)險(xiǎn)產(chǎn)生的原因是什么，嚴(yán)重程度如何？這些風(fēng)險(xiǎn)產(chǎn)生的原因是什么，嚴(yán)重程度如何？p 應(yīng)

31、采取哪些對(duì)策去控制這些風(fēng)險(xiǎn)？應(yīng)采取哪些對(duì)策去控制這些風(fēng)險(xiǎn)？ “木桶的盛水量取決于最短的那塊木板”木桶原理信息安全薄弱點(diǎn)，決定著組織信息安全的整體信息安全薄弱點(diǎn)，決定著組織信息安全的整體水平。找出這些薄弱方面并加以控制，是信息水平。找出這些薄弱方面并加以控制，是信息安全改進(jìn)的關(guān)鍵所在。安全改進(jìn)的關(guān)鍵所在。信息安全風(fēng)險(xiǎn)評(píng)估可以回答以下問(wèn)題：59 2012簡(jiǎn)實(shí)公司 版權(quán)所有安全措施的有效性如何？安全措施的有效性如何？CSI/FBI 200660 2012簡(jiǎn)實(shí)公司 版權(quán)所有并不是發(fā)生越多的安全事件帶來(lái)?yè)p失最大并不是發(fā)生越多的安全事件帶來(lái)?yè)p失最大CSI/FBI 200661 2012簡(jiǎn)實(shí)公司 版權(quán)所有國(guó)

32、家相應(yīng)的政策要求 國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)(中辦中辦發(fā)發(fā)200327號(hào)號(hào)) 要重視信息安全風(fēng)險(xiǎn)評(píng)估工作，對(duì)網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護(hù)措施等進(jìn)行分析評(píng)估，綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、涉密程度和面臨的信息安全風(fēng)險(xiǎn)等因素，進(jìn)行相應(yīng)等級(jí)的安全建設(shè)和管理。 關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)（國(guó)信辦關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)（國(guó)信辦20065號(hào)文）號(hào)文） 2006年3月16日，國(guó)務(wù)院信息化工作辦公室在昆明召開(kāi)了關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)宣貫會(huì)。各省、市信息化主管部門、國(guó)信辦專家組、解放軍有關(guān)部門

33、和部分信息安全企業(yè)的130余名代表出席了會(huì)議。 20062020年國(guó)家信息化發(fā)展戰(zhàn)略年國(guó)家信息化發(fā)展戰(zhàn)略 建設(shè)國(guó)家信息安全保障體系：加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作。62 2012簡(jiǎn)實(shí)公司 版權(quán)所有 63 2012簡(jiǎn)實(shí)公司 版權(quán)所有u 資產(chǎn)（資產(chǎn)（Asset） 任何對(duì)組織具有價(jià)值的東西，包括計(jì)算機(jī)硬件、通信設(shè)施、建筑物、數(shù)據(jù)庫(kù)、文檔信息、軟件、信息服務(wù)和人員等，所有這些資產(chǎn)都需要妥善保護(hù)。u 威脅（威脅（Threat） 可能對(duì)資產(chǎn)或組織造成損害的某種安全事件發(fā)生的潛在原因，通常需要識(shí)別出威脅源（Threat source）或威脅代理（Threat agent）。u 弱點(diǎn)（弱點(diǎn)（Vulnerabilit

34、y） 也被稱作漏洞或脆弱性，即資產(chǎn)或資產(chǎn)組中存在的可被威脅利用的缺點(diǎn)，弱點(diǎn)一旦被利用，就可能對(duì)資產(chǎn)造成損害。u 風(fēng)險(xiǎn)（風(fēng)險(xiǎn)（Risk） 特定威脅利用資產(chǎn)弱點(diǎn)給資產(chǎn)或資產(chǎn)組帶來(lái)?yè)p害的潛在可能性。u 可能性（可能性（Likelihood） 對(duì)威脅發(fā)生幾率（Probability）或頻率（Frequency）的定性描述。u 影響（影響（Impact） 后果（Consequence），意外事件發(fā)生給組織帶來(lái)的直接或間接的損失或傷害。u 安全措施（安全措施（Safeguard） 控制措施（control）或?qū)Σ撸╟ountermeasure），即通過(guò)防范威脅、減少弱點(diǎn)、限制意外事件帶來(lái)影響等途徑來(lái)消減風(fēng)

35、險(xiǎn)的機(jī)制、方法和措施。u 殘留風(fēng)險(xiǎn)（殘留風(fēng)險(xiǎn)（Residual Risk） 在實(shí)施安全措施之后仍然存在的風(fēng)險(xiǎn)。64 2012簡(jiǎn)實(shí)公司 版權(quán)所有所有者對(duì)策弱點(diǎn)風(fēng)險(xiǎn)資產(chǎn)威脅威脅者/威脅因素價(jià)值希望最小化利用被減少可能意識(shí)到可能引入新的利用導(dǎo)致引起損害到企圖破壞/濫用降低增加所有者對(duì)策弱點(diǎn)風(fēng)險(xiǎn)資產(chǎn)威脅威脅者/威脅因素價(jià)值希望最小化利用被減少可能意識(shí)到可能引入新的利用導(dǎo)致引起損害到企圖破壞/濫用降低增加65 2012簡(jiǎn)實(shí)公司 版權(quán)所有風(fēng)險(xiǎn)風(fēng)險(xiǎn)RISKRISKRISKRISKRISKRISKRISKRISK風(fēng)險(xiǎn)風(fēng)險(xiǎn)原有風(fēng)險(xiǎn)原有風(fēng)險(xiǎn)采取措施后的剩余風(fēng)險(xiǎn)采取措施后的剩余風(fēng)險(xiǎn)脆弱性脆弱性66 2012簡(jiǎn)實(shí)公司

36、 版權(quán)所有風(fēng)險(xiǎn)風(fēng)險(xiǎn)RISKRISKRISKRISKRISKRISKRISKRISK風(fēng)險(xiǎn)風(fēng)險(xiǎn)原有風(fēng)險(xiǎn)原有風(fēng)險(xiǎn)采取措施后的剩余風(fēng)險(xiǎn)采取措施后的剩余風(fēng)險(xiǎn)脆弱性脆弱性67 2012簡(jiǎn)實(shí)公司 版權(quán)所有風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的關(guān)鍵環(huán)節(jié)，在風(fēng)險(xiǎn)管理循環(huán)中，必須依靠風(fēng)險(xiǎn)評(píng)估來(lái)確定隨后的風(fēng)險(xiǎn)控制與改進(jìn)活動(dòng)。68 2012簡(jiǎn)實(shí)公司 版權(quán)所有目錄 風(fēng)險(xiǎn)評(píng)估理念 風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)評(píng)估方法 項(xiàng)目實(shí)施過(guò)程69 2012簡(jiǎn)實(shí)公司 版權(quán)所有風(fēng)險(xiǎn)評(píng)估方法控制措施有效性脆弱性信息資產(chǎn)威脅價(jià)值嚴(yán)重程度可能性資產(chǎn)所有者威脅源安全風(fēng)險(xiǎn)風(fēng)險(xiǎn)值風(fēng)險(xiǎn)值（威脅風(fēng)險(xiǎn)值（威脅脆弱性脆弱性資產(chǎn)價(jià)值）資產(chǎn)價(jià)值）/ / 控制措施控制措施信息系統(tǒng)70 201

37、2簡(jiǎn)實(shí)公司 版權(quán)所有u 對(duì)資產(chǎn)進(jìn)行保護(hù)是信息安全和風(fēng)險(xiǎn)管理的首要目標(biāo)。u 劃入風(fēng)險(xiǎn)評(píng)估范圍和邊界的每項(xiàng)資產(chǎn)都應(yīng)該被識(shí)別和評(píng)價(jià)。u 應(yīng)該清楚識(shí)別每項(xiàng)資產(chǎn)的擁有者、保管者和使用者。u 組織應(yīng)該建立資產(chǎn)清單，可以根據(jù)業(yè)務(wù)流程來(lái)識(shí)別信息資產(chǎn)。 u 信息資產(chǎn)的存在形式有多種，物理的、邏輯的、無(wú)形的。 數(shù)據(jù)數(shù)據(jù)：存在于電子媒介中的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫(kù)、數(shù)據(jù)文件、系統(tǒng)文檔等 軟件軟件：應(yīng)用軟件，系統(tǒng)軟件，開(kāi)發(fā)工具和資源庫(kù)等 硬件：硬件：計(jì)算機(jī)硬件、路由器、交換機(jī)、硬件防火墻、布線、存儲(chǔ)備份設(shè)備等 文檔文檔：紙質(zhì)的各種文件，如策略方針、合同、財(cái)務(wù)報(bào)告等 設(shè)施設(shè)施：電源、空調(diào)、保險(xiǎn)柜、門禁、消防、場(chǎng)

38、所等 人員人員：承擔(dān)特定職能和責(zé)任的人員，包括員工和外部人員 服務(wù)服務(wù)：計(jì)算和通信服務(wù)，其他技術(shù)性服務(wù)， 例如供暖、照明、水電等 組織形象與聲譽(yù)組織形象與聲譽(yù)：企業(yè)形象，客戶關(guān)系等，屬于無(wú)形資產(chǎn)71 2012簡(jiǎn)實(shí)公司 版權(quán)所有u 資產(chǎn)評(píng)價(jià)時(shí)應(yīng)該考慮： 信息資產(chǎn)因?yàn)槭軗p而對(duì)業(yè)務(wù)造成的直接損失； 信息資產(chǎn)恢復(fù)到正常狀態(tài)所付出的代價(jià)，包括檢測(cè)、控制、修復(fù)時(shí)的人力和物力； 信息資產(chǎn)受損對(duì)其他部門的業(yè)務(wù)造成的影響； 組織在公眾形象和名譽(yù)上的損失； 因?yàn)闃I(yè)務(wù)受損導(dǎo)致競(jìng)爭(zhēng)優(yōu)勢(shì)喪失而引發(fā)的間接損失； 其他損失，例如保險(xiǎn)費(fèi)用的增加。u 定性分析時(shí)，我們關(guān)心的是資產(chǎn)對(duì)組織的重要性或其敏感程度，即由于資產(chǎn)受損而引發(fā)

39、的潛在的業(yè)務(wù)影響或后果。u 可以根據(jù)資產(chǎn)的重要性（影響或后果）來(lái)為資產(chǎn)劃分等級(jí)。u 應(yīng)該同時(shí)考慮保密性、完整性和可用性三方面受損可能引發(fā)的后果。72 2012簡(jiǎn)實(shí)公司 版權(quán)所有u 資產(chǎn)評(píng)價(jià)時(shí)應(yīng)該考慮： 信息資產(chǎn)因?yàn)槭軗p而對(duì)業(yè)務(wù)造成的直接損失； 信息資產(chǎn)恢復(fù)到正常狀態(tài)所付出的代價(jià)，包括檢測(cè)、控制、修復(fù)時(shí)的人力和物力； 信息資產(chǎn)受損對(duì)其他部門的業(yè)務(wù)造成的影響； 組織在公眾形象和名譽(yù)上的損失； 因?yàn)闃I(yè)務(wù)受損導(dǎo)致競(jìng)爭(zhēng)優(yōu)勢(shì)喪失而引發(fā)的間接損失； 其他損失，例如保險(xiǎn)費(fèi)用的增加。u 定性分析時(shí)，我們關(guān)心的是資產(chǎn)對(duì)組織的重要性或其敏感程度，即由于資產(chǎn)受損而引發(fā)的潛在的業(yè)務(wù)影響或后果。u 可以根據(jù)資產(chǎn)的重要性（

40、影響或后果）來(lái)為資產(chǎn)劃分等級(jí)。u 應(yīng)該同時(shí)考慮保密性、完整性和可用性三方面受損可能引發(fā)的后果。73 2012簡(jiǎn)實(shí)公司 版權(quán)所有很低（很低（1）低（低（2）中等（中等（3）高（高（4）很高（很高（5）保密性可對(duì)社會(huì)公開(kāi)的信息，公用的信息處理設(shè)備和系統(tǒng)資源等僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開(kāi)的信息，向外擴(kuò)散有可能對(duì)組織的利益造成輕微損害組織的一般性秘密，其泄露會(huì)使組織的安全和利益受到損害包含組織的重要秘密，其泄露會(huì)使組織的安全和利益遭受嚴(yán)重?fù)p害包含組織最重要的秘密，關(guān)系未來(lái)發(fā)展的前途命運(yùn)，對(duì)組織根本利益有著決定性的影響，如果泄露會(huì)造成災(zāi)難性的損害 完整性完整性價(jià)值非常低，未經(jīng)授權(quán)的修改或破壞對(duì)

41、組織造成的影響可以忽略，對(duì)業(yè)務(wù)沖擊可以忽略完整性價(jià)值較低，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成輕微影響，對(duì)業(yè)務(wù)沖擊輕微，容易彌補(bǔ)完整性價(jià)值中等，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成影響，對(duì)業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)完整性價(jià)值較高，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大影響，對(duì)業(yè)務(wù)沖擊嚴(yán)重，較難彌補(bǔ)完整性價(jià)值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大的或無(wú)法接受的影響，對(duì)業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補(bǔ)可用性可用性價(jià)值可以忽略，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間低于25%可用性價(jià)值較低，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到25%以上，或系統(tǒng)允許中斷時(shí)間小于6

42、0分鐘可用性價(jià)值中等，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到70%以上，或系統(tǒng)允許中斷時(shí)間小于30分鐘可用性價(jià)值較高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到每天90%以上，或系統(tǒng)允許中斷時(shí)間小于10分鐘可用性價(jià)值非常高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到年度99.9%以上，或系統(tǒng)不允許中斷74 2012簡(jiǎn)實(shí)公司 版權(quán)所有u 識(shí)別每項(xiàng)（類）資產(chǎn)可能面臨的威脅。一項(xiàng)資產(chǎn)可能面臨多個(gè)威脅，一個(gè)威脅也可能對(duì)不同資產(chǎn)造成影響。u 識(shí)別威脅的關(guān)鍵在于確認(rèn)引發(fā)威脅的人或物，即威脅源（威脅代理，Threat Agent）。u 威脅可能是蓄意也可能是偶然的因素（不同的性質(zhì)），通常包括（來(lái)源）：

43、 人員威脅人員威脅：故意破壞和無(wú)意失誤 系統(tǒng)威脅系統(tǒng)威脅：系統(tǒng)、網(wǎng)絡(luò)或服務(wù)出現(xiàn)的故障 環(huán)境威脅環(huán)境威脅：電源故障、污染、液體泄漏、火災(zāi)等 自然威脅自然威脅：洪水、地震、臺(tái)風(fēng)、雷電等u 威脅對(duì)資產(chǎn)的侵害，表現(xiàn)在CIA某方面或者多個(gè)方面的受損上。u 對(duì)威脅的評(píng)估，主要考慮其發(fā)生的可能性。評(píng)估威脅可能性時(shí)要考慮威脅源的動(dòng)機(jī)（Motivation）和能力（Capability）這兩個(gè)因素，但更多時(shí)候是和弱點(diǎn)結(jié)合起來(lái)考慮。75 2012簡(jiǎn)實(shí)公司 版權(quán)所有等級(jí)等級(jí)標(biāo)識(shí)標(biāo)識(shí)威脅可能性描述威脅可能性描述5很高出現(xiàn)的頻率很高（或1 次/周）；或在大多數(shù)情況下幾乎不可避免；或可以證實(shí)經(jīng)常發(fā)生過(guò)4高出現(xiàn)的頻率較高（

44、或 1 次/月）；或在大多數(shù)情況下很有可能會(huì)發(fā)生；或可以證實(shí)多次發(fā)生過(guò)3中出現(xiàn)的頻率中等（或 1 次/半年）；或在某種情況下可能會(huì)發(fā)生；或被證實(shí)曾經(jīng)發(fā)生過(guò)2低出現(xiàn)的頻率較小；或一般不太可能發(fā)生；或沒(méi)有被證實(shí)發(fā)生過(guò)1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見(jiàn)和例外的情況下發(fā)生76 2012簡(jiǎn)實(shí)公司 版權(quán)所有u 針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn)，找到可被威脅利用的弱點(diǎn)，包括： 技術(shù)脆弱點(diǎn)技術(shù)脆弱點(diǎn)：系統(tǒng)、程序、設(shè)備中存在的漏洞或缺陷。 管理脆弱點(diǎn)管理脆弱點(diǎn)：策略、程序、規(guī)章制度、人員意識(shí)、組織結(jié)構(gòu)等方面的不足。 u 脆弱點(diǎn)的識(shí)別途徑： 審計(jì)報(bào)告、事件報(bào)告、安全檢查報(bào)告、系統(tǒng)測(cè)試和評(píng)估報(bào)告 專業(yè)機(jī)構(gòu)發(fā)布的漏洞

45、信息 自動(dòng)化的漏洞掃描工具和滲透測(cè)試u 對(duì)弱點(diǎn)的評(píng)估需要結(jié)合威脅因素，主要考慮其嚴(yán)重程度（Severity）或暴露程度（Exposure，即被利用的容易度）。u 如果資產(chǎn)沒(méi)有弱點(diǎn)或者弱點(diǎn)很輕微，威脅源無(wú)論能力或動(dòng)機(jī)如何，都很難對(duì)資產(chǎn)造成損害。77 2012簡(jiǎn)實(shí)公司 版權(quán)所有等級(jí)等級(jí)標(biāo)識(shí)標(biāo)識(shí)脆弱點(diǎn)嚴(yán)重程度描述脆弱點(diǎn)嚴(yán)重程度描述5很高如果被威脅利用，將對(duì)資產(chǎn)造成完全損害4高如果被威脅利用，將對(duì)資產(chǎn)造成重大損害3中如果被威脅利用，將對(duì)資產(chǎn)造成一般損害2低如果被威脅利用，將對(duì)資產(chǎn)造成較小損害1很低如果被威脅利用，將對(duì)資產(chǎn)造成的損害可以忽略78 2012簡(jiǎn)實(shí)公司 版權(quán)所有u 從針對(duì)性和實(shí)施方式來(lái)看，控制

46、措施包括兩類： 管理性（管理性（Administrative）：對(duì)系統(tǒng)的開(kāi)發(fā)、維護(hù)和使用實(shí)施管理的措施，包括安全策略、程序管理、人員職責(zé)、應(yīng)急響應(yīng)、事件處理、意識(shí)培訓(xùn)、系統(tǒng)支持和操作等。 技術(shù)性（技術(shù)性（Technical）：身份識(shí)別與認(rèn)證、邏輯訪問(wèn)控制、日志審計(jì)、加密等。 u 從功能來(lái)看，控制措施類型包括： 威懾性（威懾性（Deterrent） 預(yù)防性（預(yù)防性（Preventive） 檢測(cè)性（檢測(cè)性（Detective） 糾正性（糾正性（Corrective）u 對(duì)于現(xiàn)有的控制措施，可以取消、替換或保持。79 2012簡(jiǎn)實(shí)公司 版權(quán)所有u 確定風(fēng)險(xiǎn)的等級(jí)，有兩個(gè)關(guān)鍵因素要考慮（定性風(fēng)險(xiǎn)評(píng)估）

47、： 威脅對(duì)信息資產(chǎn)造成的影響影響（后果） 威脅發(fā)生的可能性可能性u(píng) 影響可以通過(guò)資產(chǎn)的價(jià)值（重要性）評(píng)估來(lái)確定。u 可能性可以根據(jù)對(duì)威脅因素和弱點(diǎn)因素的綜合考慮來(lái)確定。u 按照風(fēng)險(xiǎn)分析模型計(jì)算得出風(fēng)險(xiǎn)水平。80 2012簡(jiǎn)實(shí)公司 版權(quán)所有u 降低風(fēng)險(xiǎn)（降低風(fēng)險(xiǎn)（Reduce Risk） 采取適當(dāng)?shù)目刂拼胧﹣?lái)降低風(fēng)險(xiǎn)，包括技術(shù)手段和管理手段，如安裝防火墻，殺毒軟件，或是改善不規(guī)范的工作流程、制定業(yè)務(wù)連續(xù)性計(jì)劃，等等。u 避免風(fēng)險(xiǎn)（避免風(fēng)險(xiǎn)（Avoid Risk） 通過(guò)消除可能導(dǎo)致風(fēng)險(xiǎn)發(fā)生的條件來(lái)避免風(fēng)險(xiǎn)的發(fā)生，如將公司內(nèi)外網(wǎng)隔離以避免來(lái)自互聯(lián)網(wǎng)的攻擊，或是將機(jī)房安置在不可能造成水患的位置，等等。

48、u 轉(zhuǎn)移風(fēng)險(xiǎn)（轉(zhuǎn)移風(fēng)險(xiǎn)（Transfer Risk） 將風(fēng)險(xiǎn)全部或者部分地轉(zhuǎn)移到其他責(zé)任方，例如購(gòu)買商業(yè)保險(xiǎn)。u 接受風(fēng)險(xiǎn)（接受風(fēng)險(xiǎn)（Accept Risk） 在實(shí)施了其他風(fēng)險(xiǎn)應(yīng)對(duì)措施之后，對(duì)于殘留的風(fēng)險(xiǎn)，組織可以有意識(shí)地選擇接受。81 2012簡(jiǎn)實(shí)公司 版權(quán)所有u 絕對(duì)安全（即零風(fēng)險(xiǎn)）是不可能的。u 實(shí)施安全控制后會(huì)有殘留風(fēng)險(xiǎn)或殘存風(fēng)險(xiǎn)（Residual Risk）。 u 為了確保信息安全，應(yīng)該確保殘留風(fēng)險(xiǎn)在可接受的范圍內(nèi)： 殘留風(fēng)險(xiǎn)Rr 原有的風(fēng)險(xiǎn)R0 控制R 殘留風(fēng)險(xiǎn)Rr 可接受的風(fēng)險(xiǎn)Rtu 對(duì)殘留風(fēng)險(xiǎn)進(jìn)行確認(rèn)和評(píng)價(jià)的過(guò)程其實(shí)就是風(fēng)險(xiǎn)接受的過(guò)程。決策者可以根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果來(lái)確定一個(gè)閥值

49、，以該閥值作為是否接受殘留風(fēng)險(xiǎn)的標(biāo)準(zhǔn)。 82 2012簡(jiǎn)實(shí)公司 版權(quán)所有目錄 風(fēng)險(xiǎn)評(píng)估理念 風(fēng)險(xiǎn)評(píng)估方法 項(xiàng)目實(shí)施過(guò)程項(xiàng)目實(shí)施過(guò)程83 2012簡(jiǎn)實(shí)公司 版權(quán)所有實(shí)施過(guò)程現(xiàn)場(chǎng)調(diào)查現(xiàn)場(chǎng)調(diào)查信息系統(tǒng)/資產(chǎn)/IT管理/威脅調(diào)查信息系統(tǒng)/資產(chǎn)/IT管理/威脅調(diào)查安全策略/措施調(diào)查安全策略/措施調(diào)查技術(shù)調(diào)查/漏洞，配置技術(shù)調(diào)查/漏洞，配置風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析關(guān)鍵資產(chǎn)分析關(guān)鍵資產(chǎn)分析威脅/影響分析威脅/影響分析安全規(guī)劃安全規(guī)劃選擇降低風(fēng)險(xiǎn)策略選擇降低風(fēng)險(xiǎn)策略選擇轉(zhuǎn)嫁風(fēng)險(xiǎn)策略選擇轉(zhuǎn)嫁風(fēng)險(xiǎn)策略選擇接受風(fēng)險(xiǎn)策略選擇接受風(fēng)險(xiǎn)策略前期準(zhǔn)備前期準(zhǔn)備安全調(diào)查報(bào)告安全調(diào)查報(bào)告安全評(píng)估報(bào)告安全評(píng)估報(bào)告背景資料/技術(shù)資料背景資料

50、/技術(shù)資料調(diào)查提綱認(rèn)可，簽署保密協(xié)議調(diào)查提綱認(rèn)可，簽署保密協(xié)議調(diào)查提綱調(diào)查提綱安全策略安全策略前期準(zhǔn)備前期準(zhǔn)備現(xiàn)現(xiàn)場(chǎng)場(chǎng)調(diào)調(diào)查查風(fēng)風(fēng)險(xiǎn)險(xiǎn)分分析析安全規(guī)劃安全規(guī)劃84 2012簡(jiǎn)實(shí)公司 版權(quán)所有前期準(zhǔn)備前期準(zhǔn)備 成立評(píng)估項(xiàng)目組 確定評(píng)估范圍 編寫評(píng)估實(shí)施計(jì)劃 資料收集 資料分析，制定調(diào)查大綱 確認(rèn)調(diào)查大綱，簽署保密協(xié)議85 2012簡(jiǎn)實(shí)公司 版權(quán)所有資料收集資料收集 背景資料單位描述主要業(yè)務(wù) 技術(shù)資料應(yīng)用系統(tǒng)網(wǎng)絡(luò)拓?fù)浒踩胧?管理制度有關(guān)安全管理的策略與制度 配合提供相應(yīng)的資料86 2012簡(jiǎn)實(shí)公司 版權(quán)所有制定調(diào)查大綱制定調(diào)查大綱 分析資料后制定調(diào)查大綱調(diào)查表裁剪安全需求調(diào)查關(guān)鍵信息資產(chǎn)調(diào)查安全

51、威脅調(diào)查安全弱點(diǎn)調(diào)查安全策略有效性調(diào)查技術(shù)調(diào)查措施掃描的設(shè)備配置檢查設(shè)備87 2012簡(jiǎn)實(shí)公司 版權(quán)所有確認(rèn)調(diào)查大綱確認(rèn)調(diào)查大綱 雙方對(duì)調(diào)查內(nèi)容有一致的認(rèn)識(shí)。安排訪談人員，訪談時(shí)間。掃描或配置檢查設(shè)備以及相關(guān)的人員協(xié)助。 簽署保密協(xié)議88 2012簡(jiǎn)實(shí)公司 版權(quán)所有現(xiàn)場(chǎng)調(diào)查現(xiàn)場(chǎng)調(diào)查 人員訪談 技術(shù)調(diào)查89 2012簡(jiǎn)實(shí)公司 版權(quán)所有人員訪談人員訪談 對(duì)各層次人員進(jìn)行訪談信息系統(tǒng)高層管理人員信息系統(tǒng)技術(shù)人員了解詳細(xì)的技術(shù)信息信息系統(tǒng)技術(shù)人員了解詳細(xì)的技術(shù)信息信息系統(tǒng)普通用戶 了解信息系統(tǒng)現(xiàn)狀系統(tǒng)應(yīng)用現(xiàn)狀，今后的規(guī)劃與擴(kuò)展業(yè)務(wù)對(duì)系統(tǒng)的依賴性業(yè)務(wù)對(duì)系統(tǒng)的依賴性，對(duì)安全的需求（機(jī)密對(duì)安全的需求（機(jī)密、

52、完整、可用性）、完整、可用性）系統(tǒng)面臨的主要威脅現(xiàn)有的安全措施以及有效性90 2012簡(jiǎn)實(shí)公司 版權(quán)所有技術(shù)調(diào)查技術(shù)調(diào)查 漏洞掃描重要服務(wù)器關(guān)鍵網(wǎng)絡(luò)設(shè)備安全設(shè)備 配置檢查安全設(shè)備重要服務(wù)器關(guān)鍵網(wǎng)絡(luò)設(shè)備 滲透性測(cè)試內(nèi)部滲透性測(cè)試外部滲透性測(cè)試91 2012簡(jiǎn)實(shí)公司 版權(quán)所有風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析92 2012簡(jiǎn)實(shí)公司 版權(quán)所有安全規(guī)劃安全規(guī)劃 安全管理措施建議 安全技術(shù)措施建議93 2012簡(jiǎn)實(shí)公司 版權(quán)所有94 2012簡(jiǎn)實(shí)公司 版權(quán)所有95 2012簡(jiǎn)實(shí)公司 版權(quán)所有評(píng)估成果安全調(diào)查報(bào)告1.安全調(diào)查安全調(diào)查報(bào)告報(bào)告， 包括： 確認(rèn)客戶的信息安全管理與技術(shù)現(xiàn)狀； 對(duì)下列現(xiàn)狀的確認(rèn)與初步調(diào)查分析： 信

53、息技術(shù)基礎(chǔ)設(shè)施，包括硬件和通訊網(wǎng)絡(luò) 軟件應(yīng)用信息安全組織、策略、重要信息資產(chǎn)和服務(wù)等2. 風(fēng)險(xiǎn)評(píng)估報(bào)告風(fēng)險(xiǎn)評(píng)估報(bào)告， 包括：風(fēng)險(xiǎn)評(píng)估方法論：風(fēng)險(xiǎn)評(píng)估方法 風(fēng)險(xiǎn)評(píng)估實(shí)施模型評(píng)估報(bào)告細(xì)分為下列主要內(nèi)容：關(guān)鍵資產(chǎn)識(shí)別面臨的各信息安全威脅識(shí)別信息系統(tǒng)存在的脆弱性識(shí)別現(xiàn)有控制措施有效性識(shí)別信息系統(tǒng)安全風(fēng)險(xiǎn)分析3.信息信息安全規(guī)劃報(bào)告安全規(guī)劃報(bào)告， 包括：風(fēng)險(xiǎn)處置策略和原則信息安全管理建議信息安全技術(shù)建議本項(xiàng)目將提交本項(xiàng)目將提交的的主要報(bào)告主要報(bào)告風(fēng)險(xiǎn)評(píng)估報(bào)告信息安全規(guī)劃報(bào)告96 2012簡(jiǎn)實(shí)公司 版權(quán)所有評(píng)估最終成果1 1、使現(xiàn)有、使現(xiàn)有ITIT設(shè)備充分利用設(shè)備充分利用2 2、合理的規(guī)劃、合理的規(guī)劃/

54、/添加添加ITIT設(shè)備設(shè)備3 3、梳理現(xiàn)有管理制度、梳理現(xiàn)有管理制度4 4、添加遺漏管理制度、添加遺漏管理制度5 5、應(yīng)急預(yù)案應(yīng)對(duì)有方、應(yīng)急預(yù)案應(yīng)對(duì)有方6 6、保證業(yè)務(wù)連續(xù)性、保證業(yè)務(wù)連續(xù)性97 2012簡(jiǎn)實(shí)公司 版權(quán)所有Q & A ?Q & A ?98 2012簡(jiǎn)實(shí)公司 版權(quán)所有 信息安全概述信息安全概述1目目 錄錄123 網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)網(wǎng)絡(luò)安全基礎(chǔ)知識(shí) 信息安全風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)評(píng)估4 等級(jí)保護(hù)基礎(chǔ)等級(jí)保護(hù)基礎(chǔ)99 2012簡(jiǎn)實(shí)公司 版權(quán)所有第一部分：等級(jí)保護(hù)是什么？100 2012簡(jiǎn)實(shí)公司 版權(quán)所有法律與政策依據(jù) 中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例第二章安全保護(hù)

55、制度部分規(guī)定： “計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)。安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)。安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法，由公安部會(huì)同有關(guān)部門制定。護(hù)的具體辦法，由公安部會(huì)同有關(guān)部門制定?！?計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB17859-1999（技術(shù)法規(guī)）規(guī)定：國(guó)家對(duì)信息系統(tǒng)實(shí)行五級(jí)保護(hù)。 2003年11月，發(fā)布27號(hào)文件 國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)（中辦發(fā)200327號(hào)文件） 我國(guó)第一個(gè)全面關(guān)于信息安全保障工作的文件，是我國(guó)今后一段時(shí)期內(nèi)信息安全保障工作的綱領(lǐng)性文件 總體要求：堅(jiān)持積極防御、綜合防范的方針，全面提高信息安全防護(hù)能力

56、，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全 明確提出實(shí)行信息安全等級(jí)保護(hù)制度101 2012簡(jiǎn)實(shí)公司 版權(quán)所有2004年9月，發(fā)布66號(hào)文件 關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)（公通字200466號(hào)文件） 主要內(nèi)容 開(kāi)展等級(jí)保護(hù)工作的重要意義開(kāi)展等級(jí)保護(hù)工作的重要意義 等級(jí)保護(hù)制度的原則等級(jí)保護(hù)制度的原則 等級(jí)保護(hù)制度的基本內(nèi)容等級(jí)保護(hù)制度的基本內(nèi)容 等級(jí)保護(hù)工作職責(zé)分工等級(jí)保護(hù)工作職責(zé)分工 實(shí)施等級(jí)保護(hù)工作的要求實(shí)施等級(jí)保護(hù)工作的要求 等級(jí)保護(hù)工作的實(shí)施計(jì)劃等級(jí)保護(hù)工作的實(shí)施計(jì)劃 102 2012簡(jiǎn)實(shí)公司 版權(quán)所有電子政務(wù)等級(jí)保護(hù)實(shí)施指南（試行） 國(guó)信辦200525號(hào) 信息安全等級(jí)保護(hù)管理辦法

57、（試行） 公通字 2006 7號(hào)103 2012簡(jiǎn)實(shí)公司 版權(quán)所有等級(jí)保護(hù)相關(guān)的政策性文件20032003年年9 9月月中辦國(guó)辦頒發(fā)中辦國(guó)辦頒發(fā)關(guān)于加強(qiáng)信息安關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)全保障工作的意見(jiàn)中辦發(fā)中辦發(fā)200327200327號(hào)號(hào)20052005年年9 9月月國(guó)信辦文件國(guó)信辦文件 關(guān)于轉(zhuǎn)發(fā)關(guān)于轉(zhuǎn)發(fā)電電子政務(wù)信息安全等子政務(wù)信息安全等級(jí)保護(hù)實(shí)施指南級(jí)保護(hù)實(shí)施指南的通知的通知 國(guó)信辦國(guó)信辦200425200425號(hào)號(hào)20062006年年1 1月月四部委會(huì)簽四部委會(huì)簽 關(guān)于印發(fā)關(guān)于印發(fā)信信息安全等級(jí)保護(hù)管息安全等級(jí)保護(hù)管理辦法的通知理辦法的通知 公通字公通字2006720067號(hào)號(hào)20

58、052005年年 公安部標(biāo)準(zhǔn)公安部標(biāo)準(zhǔn)基本要求基本要求定級(jí)指南定級(jí)指南實(shí)施指南實(shí)施指南測(cè)評(píng)準(zhǔn)則測(cè)評(píng)準(zhǔn)則20042004年年1111月月四部委會(huì)簽四部委會(huì)簽關(guān)于信息安全等關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施級(jí)保護(hù)工作的實(shí)施意見(jiàn)意見(jiàn)公通字公通字200466200466號(hào)號(hào)云南云南云南省人民云南省人民政府第政府第130130號(hào)令號(hào)令 浙江浙江浙江省人民浙江省人民政府令政府令 北京北京北京政府第北京政府第9 9號(hào)令號(hào)令 國(guó)家級(jí)政策文件國(guó)家級(jí)政策文件國(guó)家級(jí)技術(shù)標(biāo)準(zhǔn)國(guó)家級(jí)技術(shù)標(biāo)準(zhǔn)國(guó)家級(jí)政策文件國(guó)家級(jí)政策文件地方政策文件地方政策文件104 2012簡(jiǎn)實(shí)公司 版權(quán)所有等級(jí)保護(hù)的管理結(jié)構(gòu)國(guó)家信息辦國(guó)家信息辦公安部網(wǎng)監(jiān)

59、局公安部網(wǎng)監(jiān)局北京信息辦北京信息辦北京公安局網(wǎng)監(jiān)處北京公安局網(wǎng)監(jiān)處北京測(cè)評(píng)中心北京測(cè)評(píng)中心北京研究一所北京研究一所管理職能：管理職能：監(jiān)管和測(cè)評(píng)監(jiān)管和測(cè)評(píng)技術(shù)支持單位：技術(shù)支持單位：定級(jí)、測(cè)評(píng)定級(jí)、測(cè)評(píng)安全廠商、服務(wù)商安全廠商、服務(wù)商安全廠商、服務(wù)商安全廠商、服務(wù)商服務(wù)實(shí)施單位：服務(wù)實(shí)施單位：咨詢、實(shí)施、產(chǎn)咨詢、實(shí)施、產(chǎn)品、運(yùn)維品、運(yùn)維北京信息辦北京信息辦北京信息辦北京信息辦北京測(cè)評(píng)中心北京測(cè)評(píng)中心北京測(cè)評(píng)中心北京測(cè)評(píng)中心北京公安局網(wǎng)監(jiān)處北京公安局網(wǎng)監(jiān)處北京公安局網(wǎng)監(jiān)處北京公安局網(wǎng)監(jiān)處北京研究一所北京研究一所北京研究一所北京研究一所安全廠商、服務(wù)商安全廠商、服務(wù)商安全廠商、服務(wù)商安全廠商、服務(wù)

60、商安全廠商、服務(wù)商安全廠商、服務(wù)商安全廠商、服務(wù)商安全廠商、服務(wù)商政策、宏觀管政策、宏觀管理、協(xié)調(diào)理、協(xié)調(diào)電子政務(wù)領(lǐng)域電子政務(wù)領(lǐng)域其他行業(yè)領(lǐng)域其他行業(yè)領(lǐng)域北京市屬北京市屬的電子政的電子政務(wù)系統(tǒng)務(wù)系統(tǒng)地處北京地處北京的各部委的各部委各行業(yè)各行業(yè)105 2012簡(jiǎn)實(shí)公司 版權(quán)所有一、等級(jí)保護(hù)是什么一、等級(jí)保護(hù)是什么（一）等級(jí)保護(hù)基本概念：信息系統(tǒng)安全等級(jí)保護(hù)是指對(duì)信息安全一）等級(jí)保護(hù)基本概念：信息系統(tǒng)安全等級(jí)保護(hù)是指對(duì)信息安全實(shí)行等級(jí)化保護(hù)和等級(jí)化管理實(shí)行等級(jí)化保護(hù)和等級(jí)化管理 根據(jù)信息系統(tǒng)應(yīng)用業(yè)務(wù)重要程度應(yīng)用業(yè)務(wù)重要程度及其實(shí)際安全需求實(shí)際安全需求，實(shí)行分級(jí)分級(jí)、分類、分階段實(shí)施保護(hù)、分類、分階段實(shí)施保護(hù)，保障