CISP0102信息安全保障基本实践

《CISP0102信息安全保障基本实践》由会员分享，可在线阅读，更多相关《CISP0102信息安全保障基本实践（113页珍藏版）》请在金锄头文库上搜索。

1、公司 徽标讲师名字:樊山信息安全保障实践课程内容22知识域：信息安全保障工作概况 知识子域：国外信息安全保障情况了解发达国家信息安全状况和信息安全保障的主要举措了解发达国家信息安全方面主要动态 知识子域：我国信息安全保障工作总体情 况了解我国信息安全保障工作发展阶段理解国家信息安全保障基本原则了解国家信息安全保障建设主要内容33国外信息安全保障情况 发达国家信息安全状况 发达国家信息安全保障的主要举措 44发达国家信息安全保障的主要举措 信息安全是国家安全的重要组成部分已成为世界各国 的共识; 各国纷纷出台自己的信息安全战略和政策，加强自身 的国家信息安全保障体系建设。556国外信息安全保障体

2、系的最新趋势 战略：发布网络安全战略、政策评估报告、推进计划等文 件 政治：通过设立网络安全协调机构、设立协调官，强化集 中领导和综合协调 军事：陆续成立网络战司令部，开展大规模攻防演练，招 募网络战精英人才，加快军事网络和通信系统的升级改造 ，网络战成为热门话题 外交：信息安全问题的国际交流与对话增多，美欧盟友之 间网络协同攻防倾向愈加明显，信息安全成为国际多边或 双边谈判的实质性内容 科技：各国寻求走突破性跨越式发展路线推进技术创新， 力求在科技发展上保持和占据优势地位 关键基础设施仍然是信息安全保障的最核心内容美国信息安全保障战略： 一个轮回 三届政府 四个文件798年克林顿政府PDD6

3、300年信息系统保护国家计划 01年布什政府PCIPB 03年保护网际空间国家战略 1998年5月，克 林顿政府发布了 第63号总统令（ PDD63）：克 林顿政府对关键 基础设施保护的 政策 2000年1月，克 林顿政府发布了 信息系统保护 国家计划V1.0 ，提出了美国政 府在21世纪之初 若干年的网络空 间安全发展规划 。 2001年10月16日 ，布什政府意识 到了911之后信 息安全的严峻性 ，发布了第 13231号行政令 信息时代的关 键基础设施保护 ，宣布成立“总 统关键基础设施 保护委员会”，简 称PCIPB，代表 政府全面负责国 家的网络空间安 全工作2003年2月，在 征求

4、国民意见的 基础上，发布了 保护网际空间 的国家战略的 正式版本，对原 草案版本做了大 篇幅的改动，重 点突出国家政府 层面上的战略任 务，这是一个非 常大的跨越2010年3月2日， 奥巴马政府部分解密了CNCI， 包括3个重要目标，12个倡议 美国CNCI：网络“曼哈顿计划 ” 2008年1月2日发布的国家安全总统令54/国土安全总统令 23，建立了国家网络安全综合计划(CNCI)。 三道防线建立第一线防御：减少当前漏洞和隐患，预防入侵；全面应对各类威胁：增强反间能力，加强供应链安全 来抵御各种威胁；强化未来安全环境：增强研究、开发和教育以及投资 先进的技术来构建将来的环境。 十二项任务8国

5、家网际空间战略 *9国家网际空间战略*10构建网络空间政策战略方针成功的构建过程认识到面临的挑战创建的原则网络空间的未来我们所寻求的未来开放和可操作：网络空间的使用安全和可靠：持续的网络空间通过准则的稳定我们在未来网络空间中的作用外交：加强伙伴关系国防：劝阻和遏制发展：建设繁荣和安全政策重点经济：促进国际标准和创新，开放的市场保护我们的网络：提高安全性，可靠性和灵活性执法：扩展的协作和法治军事：21世纪的安全挑战做准备互联网治理：促进有效和包容性的结构国际发展的能力建设，安全与繁荣互联网自由：支持基本自由和隐私继续前进美国信息安全保障的重点对象 2001年美国出台美国爱国者法案，定义“关键 基

6、础实施”的含义；“关键基础实施”定义为关系到美国生死存亡的物理和虚 拟的系统和资产，这些系统和资产的功能丧失或遭到 破坏，会对国家安全、经济稳定、国家公众健康与安 全产生严重影响。 2003年12月发布国土安全总统令/HSPD-7确 定了17个关键基础设施； 2008年3月国土安全部将关键制造业类为第18项 关键基础设施； 目前美国的关键基础设施和主要资源部门；11美国信息安全保障组织机构 网络安全协调官：负责领导白宫“网络安全办公室 ”，制定和发布国家信息安全政策首任网络安全协调官霍华德施密特，被喻为“网络沙皇 ” 国土安全部（DHS）、国家安全局（NSA）、国 防部（DOD）、联邦调查局（

7、FBI）、中央情况 报局（CIA）、国家标准技术研究所（NIST）等6 个机构具体执行不同的分管职责 公私合作机构:国家基础设施顾问委员会（NIAC ）、信息共享和分析中心（ISAC）、网络安全全 国联盟（NCSA）等等12美国信息安全保障基本做法 1993年克林顿政府提出兴建“国家信息基础设施” （信息高速公路），1998年首次提出信息安全的 概念和意义； 1998年5月国家安全局制定了信息保障技术框 架； 2000年公布首个信息系统保护国家计划； 2002年下半年，以国土安全战略为引导，布 什政府逐步出台一系列国家安全政策，将信息保 障战略纳入总体国家战略之中：2003年2月，发布网络空间

8、安全国家战略、保护 关键基础设施和重要资产的国家战略13美国信息安全保障基本做法 2005年美国建立了国家漏洞库（NVD），利用技术优势掌握全 球最全面的信息安全漏洞信息 2008年1月8日，布什以第54号国家安全总统令和第23号国土安 全总统令的形式签署国家网络安全综合计划这项计划高度强调国家意志，被称为信息安全的“曼哈顿计 划；目标：保护没有网络安全，防止美国遭到敌对的电子攻击， 并能对敌方展开在线攻击；预算：高达300-400亿美元属于高度机密，2010年3月奥巴马政府公开了其部分内容要求美国政府与安全有关的部门参与实施14英国信息安全保障体系建设动态 全面紧跟美国，2009年6月，英国

9、发布首份国家网络安全战 略，宣布成立“网络安全办公室”和“网络安全运行中心”，提出 建立新的网络管理机构的具体措施。 注重信息安全标准组织建设，重视将本国标准向海外推广，积 极参与国际信息安全标准制定。英国BSI 7799标准享誉全球，已成为国际标准，并主导 ISO/IEC 27000系列标准 强化网络监控，规定警方和国家安全、税务等监察部门有权监 控电子邮件和移动电话等系统，成为西方大国中唯一的政府可 以要求网络用户交出加密资料密钥的国家15英国信息安全保障的重点对象 英国国计民生不可或缺的许多关键服务依赖信息技术 ，有10个部分被认为是在提供“基本服务”。（1）通信（数字、语音、邮递、无线

10、通信等）（2）应急服务（救护、消防、警察、营救等）（3）能源（电力、石油等）（4）金融（资产管理、金融设施、银行、市场）（5）食品(生产、进口、加工、配送、零售)（6）政府和公共服务（中央、地区和地方政府、议会和立 法机关、司法、国家安全）（7）公共安全（化学、生物、辐射和核恐怖袭击；危及百 姓生活的事件）（8）健康（医疗保健、公共卫生）（9）交通（航空、海运、铁路、公路）（10）水（饮用水、污水）16英国信息安全保障组织机构 国家基础设施安全协调中心负责信息安全工作的跨部门机构运行着英国的计算机应急响应小组 信息保障中央主办局和民事应急局负 责信息安全工作的重要政府机构17英国信息安全保障基

11、本做法 立法工作1984年制定数据保护法1990年出台反计算机滥用法1997年实施电信诈骗法2000年出台信息自由法 1998年贸易和工业部发表加强竞争力白皮书 ：确定了英国建设信息社会的方式 2005年英国政府制定发表了信息保障管理框架 ：作为信息安全保障战略。1819英国信息安全保障基本做法 2009年6月，英国政府推出首份国家网络安全战略，宣布成 立“网络安全办公室”和“网络安全运行中心”，提出了建立网络管理 机制的具体措施 英国建立了两个国家级的计算机应急响应小组英国政府计算机响应小组英国国防部计算机应急响应小组 注重政府信息系统安全采用网络逻辑隔离、PKI等安全技术加强政务外网安全构

12、建支持“身份联合管理”的内部电子邮件系统 注重标准制定，BS7799是国际信息安全管理标准ISO27000的前 身 注重网络监管是唯一政府可以要求网络用户交出加密密钥的国家20德国信息安全保障体系建设动态 世界上第一个建立电子政务标准的国家。 1991年，德国在内政部下建立信息安全局（BSI ），负责处理与网络空间相关的所有问题。 重视关键基础设施信息安全保障，建立日尔曼人 的“基线”防御。1997年建立部际关键基础设施工作组；2005年出台信息基础设施保护计划和关键基础 设施保护的基线保护概念21法国信息安全保障体系建设动态 2003年12月总理办公室提出强化信息系统安全国家计 划并得到政府

13、批准实施，四大目标：确保国家领导通信安全；确保政府信息通信安全；建立计算机济能力；将法国信息系统安全纳入欧盟颞部法国安全政策范围 。 2009年7月7日，成立国家级“网络和信息安全局”，置于总 理领导之下，隶属国防部。其他西方国家信息安全保障体系 建设动态 加拿大：2004年提出了国家安全政策；2004年11月发布国家关键基础设施保护战略；2010年10月3日，发布加拿大网络安全战略。 澳大利亚：把信息网络技术作为国家经济和社会发展的重要推动 力量。制定并采取一系列与信息安全有关的政策和措施，把 建立安全可靠的网络空间作为信息安全保障的战略目 标。 2223重点保护对象：经济、国内和外交政策、

14、科学和技术、国家信息和通信系统、国 防、司法、灾害响应 机构：俄罗斯联邦安全理事会；俄罗斯联邦安全局（国家安全管理机关，信息安全工作主管和执 法机关）；俄罗斯技术和出口控制局；俄罗斯联邦保卫局、信息技术和通信部 基本做法：俄罗斯国家安全纲要作为信息安全战略；注重安全测评；实施信息安全分级管理。俄罗斯信息安全保障体系建设动态24亚太地区信息安全保障体系建设动态 日本：实施了“保障型”信息安全战略；强调“信息安全保障是日本综合安全保障体系的 核心” 。 韩国：将信息安全视为使馆国防安全的重大战略问题 ，不断加大信息安全保障系统管理力度，加快 信息安全系统的建设步伐；在2010年建立信息安全司令部，

15、以维护韩国的 国家网络安全。 25日本 重点保护对象：通信、政府和行政管理服务、金融、民航、铁路、后勤保障 、电力、天然气、医疗服务、水 机构：日本IT战略本部、国家信息安全中心、信息安全政策理事会 、经济贸易产业省、国家警察厅 基本做法：1992年建立国家计算机应急响应协调中心；2001年实施建设先进信息和电信网络社会基本法，同年 公布确保电子政务实施过程中的信息安全行动方案；2003年经济经济贸易产业省开发多种信息安全评估系统；2004年国家警察厅在每个地区局建立反高科技犯罪科；2005年成立国家信息安全中心以美国网络空间安全国家战 略为蓝本，发布日本计算机安全战略。26印度 重点保护对象：银行和金融、保险、民航、电信、原子能、电力、邮政、 铁路、太空、石油和天然气、国防、执法机关 机构：国家信息委员会、国家信息安全协调中心、信息基础设施 保护中心、信息技术局、印度计算机应急响应小组 基本做法：2000年，颁布信息安全法；积极推广互联网和IT基础设施建设等；2009年印度政府宣布开发“中央监控系统”，直接连接国内 所有通信服务商，实现对印度境内所有电话和互联网通信 的监听27分析总结重点保护对象 各国之间历史、国情、文化不同，具体的重点 保护对象也有所差异，但共同特点是将与国