信息安全等级保护制度主要内容和要求

《信息安全等级保护制度主要内容和要求》由会员分享，可在线阅读，更多相关《信息安全等级保护制度主要内容和要求（134页珍藏版）》请在金锄头文库上搜索。

1、信息安全等级保护制度的主要内容和要求,北京市电子产品质量检测中心 王春雷,目 录,一、国外关键基础设施保护政策二、我国信息安全政策法规综述三、等级保护制度的主要内容四、等级保护政策体系和标准体系五、等级保护工作的具体内容和要求,一、国外关键基础设施保护政策,信息安全保障工作概况,知识子域：国外信息安全保障情况 了解发达国家信息安全状况和信息安全保障的主要举措 了解发达国家信息安全方面主要动态 知识子域：我国信息安全保障工作总体情况 了解我国信息安全保障工作发展阶段 理解国家信息安全保障基本原则 了解国家信息安全保障建设主要内容,发达国家信息安全保障的主要举措,信息安全是国家安全的重要组成部分已

2、成为世界各国的共识; 各国纷纷出台自己的信息安全战略和政策，加强自身的国家信息安全保障体系建设。,国外信息安全保障体系的最新趋势,战略：发布网络安全战略、政策评估报告、推进计划等文件 政治：通过设立网络安全协调机构、设立协调官，强化集中领导和综合协调 军事：陆续成立网络战司令部，开展大规模攻防演练，招募网络战精英人才，加快军事网络和通信系统的升级改造，网络战成为热门话题 外交：信息安全问题的国际交流与对话增多，美欧盟友之间网络协同攻防倾向愈加明显，信息安全成为国际多边或双边谈判的实质性内容 科技：各国寻求走突破性跨越式发展路线推进技术创新，力求在科技发展上保持和占据优势地位 关键基础设施仍然是

3、信息安全保障的最核心内容,美国信息安全保障战略：一个轮回 三届政府 四个文件,7,网络空间国家安全战略框架,1998年5月，克林顿政府发布了第63号总统令（PDD63）：克林顿政府对关键基础设施保护的政策,2000年1月，克林顿政府发布了信息系统保护国家计划V1.0，提出了美国政府在21世纪之初若干年的网络空间安全发展规划。,2001年10月16日，布什政府意识到了911之后信息安全的严峻性，发布了第13231号行政令信息时代的关键基础设施保护，宣布成立“总统关键基础设施保护委员会”，简称PCIPB，代表政府全面负责国家的网络空间安全工作,2003年2月，在征求国民意见的基础上，发布了保护网际

4、空间的国家战略的正式版本，对原草案版本做了大篇幅的改动，重点突出国家政府层面上的战略任务，这是一个非常大的跨越,2010年3月2日， 奥巴马政府部分解密了CNCI， 包括3个重要目标，12个倡议,美国CNCI：网络“曼哈顿计划”,2008年1月2日发布的国家安全总统令54/国土安全总统令23，建立了国家网络安全综合计划(CNCI)。三道防线 建立第一线防御：减少当前漏洞和隐患，预防入侵； 全面应对各类威胁：增强反间能力，加强供应链安全来抵御各种威胁； 强化未来安全环境：增强研究、开发和教育以及投资先进的技术来构建将来的环境。 十二项任务,美国信息安全保障组织机构,网络安全协调官：负责领导白宫“

5、网络安全办公室”，制定和发布国家信息安全政策 首任网络安全协调官霍华德施密特，被喻为“网络沙皇”国土安全部（DHS）、国家安全局（NSA）、国防部（DOD）、联邦调查局（FBI）、中央情况报局（CIA）、国家标准技术研究所（NIST）等6个机构具体执行不同的分管职责公私合作机构:国家基础设施顾问委员会（NIAC）、信息共享和分析中心（ISAC）、网络安全全国联盟（NCSA）等等,美国信息安全保障基本做法,1993年克林顿政府提出兴建“国家信息基础设施”（信息高速公路），1998年首次提出信息安全的概念和意义；1998年5月国家安全局制定了信息保障技术框架；2000年公布首个信息系统保护国家计划

6、；2002年下半年，以国土安全战略为引导，布什政府逐步出台一系列国家安全政策，将信息保障战略纳入总体国家战略之中：,美国信息安全保障的重点对象,2001年美国出台美国爱国者法案，定义“关键基础实施”的含义；2003年12月发布国土安全总统令/HSPD-7确定了17个关键基础设施；2008年3月国土安全部将关键制造业类为第18项关键基础设施；目前美国的关键基础设施和主要资源部门；,美国信息安全保障基本做法,2005年美国建立了国家漏洞库（NVD），利用技术优势掌握全球最全面的信息安全漏洞信息2008年1月8日，布什以第54号国家安全总统令和第23号国土安全总统令的形式签署国家网络安全综合计划 这

7、项计划高度强调国家意志，被称为信息安全的“曼哈顿计划； 目标：保护没有网络安全，防止美国遭到敌对的电子攻击，并能对敌方展开在线攻击；预算：高达300-400亿美元； 属于高度机密，2010年3月奥巴马政府公开了其部分内容；要求美国政府与安全有关的部门参与实施；,英国信息安全保障体系建设动态,全面紧跟美国，2009年6月，英国发布首份国家网络安全战略，宣布成立“网络安全办公室”和“网络安全运行中心”，提出建立新的网络管理机构的具体措施。注重信息安全标准组织建设，重视将本国标准向海外推广，积极参与国际信息安全标准制定。 英国BSI 7799标准享誉全球，已成为国际标准，并主导ISO/IEC 270

8、00系列标准强化网络监控，规定警方和国家安全、税务等监察部门有权监控电子邮件和移动电话等系统，成为西方大国中唯一的政府可以要求网络用户交出加密资料密钥的国家,英国信息安全保障的重点对象,英国国计民生不可或缺的许多关键服务依赖信息技术，有10个部分被认为是在提供“基本服务”。,英国信息安全保障基本做法,立法工作 1984年制定数据保护法 1990年出台反计算机滥用法 1997年实施电信诈骗法 2000年出台信息自由法1998年贸易和工业部发表加强竞争力白皮书：确定了英国建设信息社会的方式2005年英国政府制定发表了信息保障管理框架：作为信息安全保障战略。,英国信息安全保障基本做法,2009年6月

9、，英国政府推出首份国家网络安全战略，宣布成立“网络安全办公室”和“网络安全运行中心”，提出了建立网络管理机制的具体措施 英国建立了两个国家级的计算机应急响应小组 英国政府计算机响应小组 英国国防部计算机应急响应小组 注重政府信息系统安全 采用网络逻辑隔离、PKI等安全技术加强政务外网安全 构建支持“身份联合管理”的内部电子邮件系统 注重标准制定，BS7799是国际信息安全管理标准ISO27000的前身 注重网络监管 是唯一政府可以要求网络用户交出加密密钥的国家,英国信息安全保障组织机构,国家基础设施安全协调中心 负责信息安全工作的跨部门机构 运行着英国的计算机应急响应小组信息保障中央主办局和民

10、事应急局负责信息安全工作的重要政府机构,世界上第一个建立电子政务标准的国家。 1991年，德国在内政部下建立信息安全局（BSI），负责处理与网络空间相关的所有问题。 重视关键基础设施信息安全保障，建立日尔曼人的“基线”防御。 1997年建立部际关键基础设施工作组； 2005年出台信息基础设施保护计划和关键基础设施保护的基线保护概念,德国信息安全保障体系建设动态,法国信息安全保障体系建设动态,2003年12月总理办公室提出强化信息系统安全国家计划并得到政府批准实施，四大目标： 确保国家领导通信安全； 确保政府信息通信安全； 建立计算机济能力； 将法国信息系统安全纳入欧盟颞部法国安全政策范围。 2

11、009年7月7日，成立国家级“网络和信息安全局”，置于总理领导之下，隶属国防部。,其他西方国家信息安全保障体系建设动态,加拿大： 2004年提出了国家安全政策； 2004年11月发布国家关键基础设施保护战略； 2010年10月3日，发布加拿大网络安全战略。 澳大利亚： 把信息网络技术作为国家经济和社会发展的重要推动力量。 制定并采取一系列与信息安全有关的政策和措施，把建立安全可靠的网络空间作为信息安全保障的战略目标。 ,俄罗斯信息安全保障体系建设动态,重点保护对象： 经济、国内和外交政策、科学和技术、国家信息和通信系统、国防、司法、灾害响应 机构： 俄罗斯联邦安全理事会； 俄罗斯联邦安全局（国

12、家安全管理机关，信息安全工作主管和执法机关）； 俄罗斯技术和出口控制局； 俄罗斯联邦保卫局、信息技术和通信部基本做法： 俄罗斯国家安全纲要作为信息安全战略； 注重安全测评； 实施信息安全分级管理。,亚太地区信息安全保障体系建设动态,日本： 实施了“保障型”信息安全战略； 强调“信息安全保障是日本综合安全保障体系的核心” 。 韩国： 将信息安全视为使馆国防安全的重大战略问题，不断加大信息安全保障系统管理力度，加快信息安全系统的建设步伐； 在2010年建立信息安全司令部，以维护韩国的国家网络安全。 ,日本,重点保护对象： 通信、政府和行政管理服务、金融、民航、铁路、后勤保障、电力、天然气、医疗服务

13、、水 机构： 日本IT战略本部、国家信息安全中心、信息安全政策理事会、经济贸易产业省、国家警察厅 基本做法： 1992年建立国家计算机应急响应协调中心； 2001年实施建设先进信息和电信网络社会基本法，同年公布确保电子政务实施过程中的信息安全行动方案； 2003年经济经济贸易产业省开发多种信息安全评估系统； 2004年国家警察厅在每个地区局建立反高科技犯罪科； 2005年成立国家信息安全中心以美国网络空间安全国家战略为蓝本，发布日本计算机安全战略。,印度,重点保护对象： 银行和金融、保险、民航、电信、原子能、电力、邮政、铁路、太空、石油和天然气、国防、执法机关 机构： 国家信息委员会、国家信息

14、安全协调中心、信息基础设施保护中心、信息技术局、印度计算机应急响应小组 基本做法： 2000年，颁布信息安全法； 积极推广互联网和IT基础设施建设等； 2009年印度政府宣布开发“中央监控系统”，直接连接国内所有通信服务商，实现对印度境内所有电话和互联网通信的监听,分析总结重点保护对象,各国之间历史、国情、文化不同，具体的重点保护对象也有所差异，但共同特点是将与国家安全、社会稳定和民生密切相关的关键基础设施作为信息安全保障的重点； 国际关键信息基础设施保护手册（CIIP Handbook）2008/2009显示，所有国家最常被提到的关键部门都是现代化社会的核心部门，也是被破坏后可能造成极大规模

15、灾害的部门； 其中银行和金融被全部24个接受CIIP调查的国家列为国家关键基础设施。,分析总结信息安全组织机构,少数国家在中央政府一级设立机构专门负责处理网络信息安全问题，如美国；大多数国家信息安全管理职能由不同政府部门的多个机构和单位共同承担； 机构单位的设立，以及机构在信息安全管理中的影响力，受到民防传统、资源配置、历史经验以及决策者对信息安全威胁总体认识程度的影响； 两种观念在机构设置问题上具有较大影响力： 执法机关强调信息安全属于防范敌对势力入侵及网络犯罪的范畴 经营基础设施的部门将调信息安全属于技术问题或经济成本问题 在现实信息安全威胁性质的决定下，前一种观念在大多数国家成为主流,分

16、析总结基本做法,将信息安全视为国家安全的重要组成部分是主流 积极推动信息安全立法和标准规范建设是主流 重视对基础网络和重要信息系统的监管和安全测评是主流 普遍重视信息安全事件应急响应 普遍认识到公共私营合作伙伴关系的重要性，一方面政府加强管理力度，一方面充分利用社会资源,二、我国信息安全政策法规综述,课程内容,29,信息安全法规与政策,知识体,知识域,信息安全 法律法规,知识子域,信息安全 国家政策,知识域：信息安全相关法律,知识子域： 国家信息安全法治总体情况 了解信息安全法治建设的意义 了解我国信息安全法律法规体系框架 知识子域： 现行重要信息安全法规 掌握保守国家秘密法的主要内容 理解电子签名法的意义和作用 了解刑法有关信息安全犯罪的规定 了解全国人大常委会关于维护互联网安全的决定,30,国家法律体系,国务院各部委,多级立法,31,法律、政策的定义,法律（Law）-国家制定或认可的，由国家强制力保证实施的，以规定当事人权利和义务为内容的具有普遍约束力的社会规范。 政策（Policy）-国家或政党组织等，以权威形式标准化地规定在一定的时期内，应该达到的目标、遵循的行动原则、完成的明确任务、实行的工作方式、采取的一般步骤和具体措施。,