关于信息安全工作的认识与体会.ppt

《关于信息安全工作的认识与体会.ppt》由会员分享，可在线阅读，更多相关《关于信息安全工作的认识与体会.ppt（49页珍藏版）》请在金锄头文库上搜索。

1、北京国和信诚信息安全技术服务中心关于信息安全工作的认识与体会主要内容主要内容一、国家高度重视信息安全一、国家高度重视信息安全二、我国信息安全主要工作开展情况二、我国信息安全主要工作开展情况三、国家信息安全保障体系介绍三、国家信息安全保障体系介绍四、对园区信息安全的几点建议四、对园区信息安全的几点建议32024/7/28国家安全战略的演变和发展 冷战结束后，各国面临的安全问题和威冷战结束后，各国面临的安全问题和威胁日益增加并趋复杂化，传统的以军事安胁日益增加并趋复杂化，传统的以军事安全为主要内涵的国家安全和安全战略受到全为主要内涵的国家安全和安全战略受到冲击，经济安全、金融安全、能源安全、冲击，

2、经济安全、金融安全、能源安全、信息安全、生态环境安全等诸多非传统安信息安全、生态环境安全等诸多非传统安全问题逐渐突出，非传统威胁正在推动国全问题逐渐突出，非传统威胁正在推动国家安全战略的演变和发展。家安全战略的演变和发展。42024/7/28传统安全与非传统安全传统安全传统安全主要是指国家的政治安全和军事安全，即国家的主要是指国家的政治安全和军事安全，即国家的生存不受威胁生存不受威胁就国家外部安全而言，主要是指国家独立，主权和领土完就国家外部安全而言，主要是指国家独立，主权和领土完整，不存在军事威胁和军事入侵整，不存在军事威胁和军事入侵非传统安全非传统安全指除军事、政治和外交冲突以外的其他因素

3、也指除军事、政治和外交冲突以外的其他因素也对主权国家及人类整体生存与发展构成威胁对主权国家及人类整体生存与发展构成威胁国土安全国土安全、经济安全、文化安全、经济安全、文化安全、信息安全信息安全、社会安全等、社会安全等从不同的角度构成直接对国家安全威胁的重要因素从不同的角度构成直接对国家安全威胁的重要因素信息安全属于信息安全属于非传统安全非传统安全52024/7/28党的十六届四中全会决定针对传统安全威胁和非传统安全威胁的因素相互交织的新针对传统安全威胁和非传统安全威胁的因素相互交织的新情况，提出：情况，提出：增强国家安全意识增强国家安全意识完善国家安全战略完善国家安全战略抓紧构建维护国家安全的

4、科学、协调、高效的工作机抓紧构建维护国家安全的科学、协调、高效的工作机制制决定决定还从全面应对传统安全威胁和非传统安全威胁着还从全面应对传统安全威胁和非传统安全威胁着眼，重点提出了维护国家政治安全、经济安全、文化安全、眼，重点提出了维护国家政治安全、经济安全、文化安全、信息安全信息安全、国防安全的重大任务。、国防安全的重大任务。62024/7/28中央领导重要指示胡锦涛总书记胡锦涛总书记 “把信息安全放到至关重要的位置上，把信息安全放到至关重要的位置上，认真加以考虑和解决认真加以考虑和解决”。 强调要从国家安全、社会稳定、经济强调要从国家安全、社会稳定、经济发展的高度去认识信息安全问题的极发展

5、的高度去认识信息安全问题的极端重要性。端重要性。72024/7/28中央领导重要指示温家宝总理温家宝总理 面对复杂多变的国际环境和互联网面对复杂多变的国际环境和互联网的广泛应用，我国信息安全问题日益的广泛应用，我国信息安全问题日益突出。加入世界贸易组织、发展电子突出。加入世界贸易组织、发展电子政务等，对信息安全保障提出了新的、政务等，对信息安全保障提出了新的、更高的要求。更高的要求。主要内容主要内容一、国家领导重视信息安全一、国家领导重视信息安全二、我国信息安全主要工作开展情况二、我国信息安全主要工作开展情况三、国家信息安全保障体系介绍三、国家信息安全保障体系介绍四、对园区信息安全的几点建议四

6、、对园区信息安全的几点建议92024/7/28近年国家层面的主要工作完成国家信息安全顶层设计完成国家信息安全顶层设计开展信息安全规划开展信息安全规划管理体制和工作机制逐步建立管理体制和工作机制逐步建立基础性工作和基础设施建设取得较大进展基础性工作和基础设施建设取得较大进展102024/7/28一、完成国家信息安全顶层设计国家信息化领导小组关于加强信息安全国家信息化领导小组关于加强信息安全保障工作的意见保障工作的意见（中办发（中办发200327200327号文件）号文件）我国第一个全面关于信息安全保障工作的我国第一个全面关于信息安全保障工作的文件，是我国今后一段时期内信息安全保文件，是我国今后一

7、段时期内信息安全保障工作的纲领性文件障工作的纲领性文件112024/7/28加强以密码技术为基础的信息保护和网络信任体系：规范和加强以身份认证、授权管理、责任认定等为主要内容的的网络信任体系建设122024/7/28加强信息安全保障工作-总体要求：总体要求：总体要求：坚持积极防御、综合防范的方针，坚持积极防御、综合防范的方针，全面提高信息安全防护能力，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，创建安全健康的网络环境，保障和促进信息化发展，保障和促进信息化发展，保护公众利益，维护国家安全。保护公众利益，维护国

8、家安全。132024/7/28加强信息安全保障工作-主要原则主要原则：主要原则：立足国情，以我为主，立足国情，以我为主，坚持管理与技术并重；坚持管理与技术并重；正确处理安全与发展的关系，以安全保发展，正确处理安全与发展的关系，以安全保发展，在发展中求安全；在发展中求安全；统筹规划，突出重点，强化基础性工作；统筹规划，突出重点，强化基础性工作；明确国家、企业、个人的责任和义务，充分发明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保挥各方面的积极性，共同构筑国家信息安全保障体系。障体系。142024/7/28加强信息安全保障工作-九项任务一、加强信息安全保障工作的总

9、体要求和主要原则一、加强信息安全保障工作的总体要求和主要原则一、加强信息安全保障工作的总体要求和主要原则一、加强信息安全保障工作的总体要求和主要原则二、实行信息安全等级保护二、实行信息安全等级保护二、实行信息安全等级保护二、实行信息安全等级保护三、加强以密码技术为基础的信息保护和网络信任体系建设三、加强以密码技术为基础的信息保护和网络信任体系建设三、加强以密码技术为基础的信息保护和网络信任体系建设三、加强以密码技术为基础的信息保护和网络信任体系建设四、建设和完善信息安全监控体系四、建设和完善信息安全监控体系四、建设和完善信息安全监控体系四、建设和完善信息安全监控体系五、重视信息安全应急处理工作

10、五、重视信息安全应急处理工作五、重视信息安全应急处理工作五、重视信息安全应急处理工作六、加强信息安全技术研究开发，推进信息安全产业发展六、加强信息安全技术研究开发，推进信息安全产业发展六、加强信息安全技术研究开发，推进信息安全产业发展六、加强信息安全技术研究开发，推进信息安全产业发展七、加快信息安全人才培养，增强全民信息安全意识七、加快信息安全人才培养，增强全民信息安全意识七、加快信息安全人才培养，增强全民信息安全意识七、加快信息安全人才培养，增强全民信息安全意识八、保证信息安全资金八、保证信息安全资金八、保证信息安全资金八、保证信息安全资金九、加强对信息安全保障工作的领导，建立健全信息安全管

11、理责任制九、加强对信息安全保障工作的领导，建立健全信息安全管理责任制九、加强对信息安全保障工作的领导，建立健全信息安全管理责任制九、加强对信息安全保障工作的领导，建立健全信息安全管理责任制152024/7/28 国家中长期科学和技术发展规划纲要明确未来15年信息安全技术发展重点：（1）掌握集成电路及关键元器件、大型软件、高性能计算、宽带无线移动通信、下一代网络等核心技术；（2）开发网络信息安全技术及相关产品，建立信息安全技术保障体系，具备防范各种信息安全突发事件的技术能力；（3）重点研究开发国家基础信息网络和重要信息系统中的安全保障技术，开发复杂大系统下的网络生存、主动实时防护、安全存储、网络

12、病毒防范、恶意攻击防范、网络信任体系与新的密码技术等。162024/7/28中华人民共和国国民经济和社会发展第十一个五年规划纲要 积极防御、综合防范，提高信息安全保障能力。强化安全监控、应急响应、密钥管理、网络信任等信息安全基础设施建设。加强基础信息网络和国家重要信息系统的安全防护。推进信息安全产品产业化。发展咨询、测评、灾备等专业化信息安全服务。健全安全等级保护、风险评估和安全准入制度。“信息安全保障”列入国家“十一五”规划，再显中央对信息安全工作的重视程度。 172024/7/2820062020年国家信息化发展战略 提出了全面加强国家信息安全保障体系、增强国家信息安全保障能力的战略目标。

13、战略是继中办发200327号文件后提出的包括信息安全工作在内的又一纲领性文件，182024/7/2820062020年国家信息化发展战略其战略任务可概括为完成信息安全保障六项工作和提高信息安全保障六大能力：1信息安全保障六项工作可概括为： （1）建立和完善信息安全等级保护制度； （2）建设以密码为基础的网络信任体系； （3）建设和完善信息安全监控体系，加强网络防范， 防止有害信息传播； （4）做好信息安全应急处置工作； （5）做好信息安全风险评估工作，综合平衡安全成本和风险，确保重点，优化信息安全资源配置； （6）促进资源共享，加强灾难备份体系建设。192024/7/2820062020年国家

14、信息化发展战略提高信息安全保障六大能力：（1）信息安全核心产品和技术的自主创新能力；（2）信息安全人才保障能力；（3）信息安全法律保障能力；（4）信息安全基础设施支撑能力；（5）网络宣传驾驭能力；（6）国际影响力。202024/7/28二、开展信息安全规划国家发展与改革委积极布局国家“十一五”信息化发展规划，并列专题研究了信息安全问题。国家“十一五”科学技术发展规划规定：在信息领域，重点研究开发高性能CPU和面向网络通信、信息家电、信息安全和工业控制的系统芯片；研究新一代网络与通信关键技术、传感器网络与智能信息处理技术以及新型开放式架构核心路由器、服务器和低成本网络信息终端。国家 “863”计

15、划根据国际信息安全技术发展态势，结合我国信息安全技术实际应用需求，重点支持复杂系统下的网络生存、主动实时防护、安全存储、网络病毒防范、网络信任保障等技术和系统的研发。212024/7/28二、开展信息安全规划国家自然科学基金“十一五”发展规划在完善学科布局和部署优先发展领域方面向信息科学研究倾斜，把信息安全领域中的可信计算、包括量子密码的量子调控理论和技术作为未来五年的重点支持领域。信息产业科技发展“十一五”规划和2020年中长期规划纲要提出使集成电路在信息安全和国防安全领域的自给率达到70%以上的建设目标，并重点支持和发展密码技术；安全处理芯片；电子认证、责任认定、授权管理；计算环境和终端安

16、全处理；网络和通信边界安全；应急响应和灾难恢复；信息安全测评等技术和相关产品。222024/7/28三、管理体制和工作机制逐步建立信息安全等级保护信息安全等级保护信息安全风险评估信息安全风险评估信息安全产品认证认可信息安全产品认证认可网络信任体系建设网络信任体系建设232024/7/28管理体制和工作机制逐步建立（1）信息安全等级保护国家信息化领导小组关于加强信息安全保障工国家信息化领导小组关于加强信息安全保障工作的意见作的意见（中办发（中办发200327200327号文件）号文件） 实行信息安全等级保护实行信息安全等级保护公安部等四部委联合下发了公安部等四部委联合下发了关于加强信关于加强信息

17、安全等级保护的意见息安全等级保护的意见242024/7/28管理体制和工作机制逐步建立（1）信息安全等级保护信息安全等级保护制度的主要工作内容信息安全等级保护制度的主要工作内容 信息安全等级保护是指：对国家秘密信息、法人和其他组织及信息安全等级保护是指：对国家秘密信息、法人和其他组织及公民的专有信息、公开信息分类分级进行管理和保护；公民的专有信息、公开信息分类分级进行管理和保护； 对信息系统按对信息系统按业务安全应用域和区实行分级业务安全应用域和区实行分级保护。保护。 对系统中使用的对系统中使用的信息安全产品实行按分级信息安全产品实行按分级许可管理。许可管理。 对等级系统的对等级系统的安全服务

18、资质分级安全服务资质分级许可管理。许可管理。 对信息系统中发生的对信息系统中发生的信息安全事件分等级信息安全事件分等级响应、处置。响应、处置。252024/7/28信息安全等级保护管理办法颁布单位：公安部、国家保密局、国家密码管理局、国务院信息化工作办公室颁布单位：公安部、国家保密局、国家密码管理局、国务院信息化工作办公室 安全等级名称对国家安全、社会秩序、经济建设和公共利益的危害程度 监管方式第一级第一级自主保护级自主保护级无影响无影响自主保护自主保护第二级第二级指导保护级指导保护级有一定损害有一定损害 政府职能部门指导下的自政府职能部门指导下的自主保护主保护第三级第三级监督保护级监督保护级

19、较大损害较大损害 政府职能部门监督下的严政府职能部门监督下的严格保护格保护第四级第四级强制保护级强制保护级严重损害严重损害 政府职能部门的强制监督政府职能部门的强制监督和检查下的严格保护和检查下的严格保护第五级第五级专控保护级专控保护级特别严重损害特别严重损害 政府协助下由主管部门和政府协助下由主管部门和使用单位实施专门控制和使用单位实施专门控制和保护保护262024/7/28管理体制和工作机制逐步建立（2）信息安全风险评估工作国家信息化领导小组关于加强信息安全保障工国家信息化领导小组关于加强信息安全保障工作的意见作的意见（中办发（中办发200327200327号文件）号文件） 要重视信息安全

20、风险评估工作要重视信息安全风险评估工作，对网络与，对网络与信息系统安全的潜在威胁、薄弱环节、防信息系统安全的潜在威胁、薄弱环节、防护措施等护措施等进行分析评估进行分析评估，综合考虑网络与，综合考虑网络与信息系统的重要性、涉密程度和面临的风信息系统的重要性、涉密程度和面临的风险等因素，进行相应等级的安全建设和管险等因素，进行相应等级的安全建设和管理。理。272024/7/28关于开展信息安全风险评估工作的意见（国信办 20065号）什么是信息安全风险评估什么是信息安全风险评估什么是信息安全风险评估什么是信息安全风险评估信息安全风险评估是从风险管理角度，运用科信息安全风险评估是从风险管理角度，运用

21、科信息安全风险评估是从风险管理角度，运用科信息安全风险评估是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统学的方法和手段，系统地分析网络与信息系统学的方法和手段，系统地分析网络与信息系统学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在地脆弱性，评估安全事所面临的威胁及其存在地脆弱性，评估安全事所面临的威胁及其存在地脆弱性，评估安全事所面临的威胁及其存在地脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对件一旦发生可能造成的危害程度，提出有针对件一旦发生可能造成的危害程度，提出有针对件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。性的

22、抵御威胁的防护对策和整改措施。性的抵御威胁的防护对策和整改措施。性的抵御威胁的防护对策和整改措施。目的是：为防范和化解信息安全风险，或者将目的是：为防范和化解信息安全风险，或者将目的是：为防范和化解信息安全风险，或者将目的是：为防范和化解信息安全风险，或者将风险控制在可接受的水平，从而最大限度地保风险控制在可接受的水平，从而最大限度地保风险控制在可接受的水平，从而最大限度地保风险控制在可接受的水平，从而最大限度地保障网络和信息系统提供科学依据。障网络和信息系统提供科学依据。障网络和信息系统提供科学依据。障网络和信息系统提供科学依据。282024/7/28管理体制和工作机制逐步建立（3）信息安全

23、产品认证认可认监委等八部委联合发下发了认监委等八部委联合发下发了关于建立关于建立国家信息安全产品认证认可体系的通知国家信息安全产品认证认可体系的通知20052005年年4 4月月1919日国家信息安全产品认证管理日国家信息安全产品认证管理委员会成立，这标志着我国建立统一的信委员会成立，这标志着我国建立统一的信息安全产品认证认可体系已进入实质性的息安全产品认证认可体系已进入实质性的实施阶段。实施阶段。292024/7/28管理体制和工作机制逐步建立（4）网络信任体系建设 国家信息化领导小组关于加强信息安全保障工国家信息化领导小组关于加强信息安全保障工作的意见作的意见（中办发（中办发2003272

24、00327号文件）号文件） 加强以密码技术为基础的信息保护和网络信任体系建设加强以密码技术为基础的信息保护和网络信任体系建设加强以密码技术为基础的信息保护和网络信任体系建设加强以密码技术为基础的信息保护和网络信任体系建设 2006年年2月国务院办公厅下发月国务院办公厅下发关于网络信任体系关于网络信任体系建设若干意见的通知建设若干意见的通知（国办发（国办发200611号）号） 。对网络信任体系建设提出了总体要求。对网络信任体系建设提出了总体要求。 302024/7/28电子签名已得到广泛的承认：2004年全国人大常委会通过了电子签名法2005年信息产业部制定了电子认证服务管理办法管理体制和工作机

25、制逐步建立（4）网络信任体系建设312024/7/28管理体制和工作机制逐步建立（5）信息安全应急协调机制建设国家信息化领导小组关于加强信息安全保障工作国家信息化领导小组关于加强信息安全保障工作的意见的意见（中办发（中办发200327200327号文件）号文件） 重视信息安全应急处理工作重视信息安全应急处理工作重视信息安全应急处理工作重视信息安全应急处理工作20042004年年8 8月成立了国家网络与信息安全通报中心月成立了国家网络与信息安全通报中心20052005年年4 4月月, ,国信办发布了国信办发布了关于做好重要信息系关于做好重要信息系统灾难备份工作的通知统灾难备份工作的通知32202

26、4/7/28四、基础性工作和基础设施建设取得较大进展（1）信息安全标准化工作20022002年年4 4月月1515日，全国信息安全标准化技术委员会在北京正式成立日，全国信息安全标准化技术委员会在北京正式成立332024/7/28该标委会是在信息安全的专业领域内，从该标委会是在信息安全的专业领域内，从事信息安全标准化工作的技术工作组织。事信息安全标准化工作的技术工作组织。它的工作任务是向国家标准化管理委员会它的工作任务是向国家标准化管理委员会提出本专业标准化工作的方针、政策和技提出本专业标准化工作的方针、政策和技术措施的建议。术措施的建议。 四、基础性工作和基础设施建设取得较大进展（1）信息安全

27、标准化工作342024/7/28四、基础性工作和基础设施建设取得较大进展（2）信息安全法制取得进步随着信息网络广泛应用于社会政治、经济和文化生活的各个领域，信息安全、知识产权、消费者权益保护、个人隐私和商业秘密保护、传统文化与道德冲突等问题越来越突出。要及时研究新情况、新问题，有针对性地制订相应的监管政策和法律法规，形成有效的管理机制。352024/7/28四、基础性工作和基础设施建设取得较大进展（3）技术研究和产业取得重要成果国家信息化领导小组关于加强信息安全保障工作的意见国家信息化领导小组关于加强信息安全保障工作的意见（中办发（中办发200327200327号文件）号文件） 加强信息安全技

28、术研究开发，推进信息安全产业发展加强信息安全技术研究开发，推进信息安全产业发展加强信息安全技术研究开发，推进信息安全产业发展加强信息安全技术研究开发，推进信息安全产业发展国家发改委重点支持国家发改委重点支持1818个信息安全产业化项目、两个研究个信息安全产业化项目、两个研究中心、两个国家信息安全基础设施建设项目。中心、两个国家信息安全基础设施建设项目。国家国家863863计划共有计划共有4848个信息安全课题立项。个信息安全课题立项。全年国内信息安全市场总量估计达到全年国内信息安全市场总量估计达到28.728.7亿元。亿元。362024/7/28四、基础性工作和基础设施建设取得较大进展（4）加

29、强信息安全学科、专业建设和人才培养工作国家信息化领导小组关于加强信息安全保障工作的意见国家信息化领导小组关于加强信息安全保障工作的意见（中办发（中办发200327200327号文件）号文件） 加快信息安全人才培养，增强全民信息安全意识加快信息安全人才培养，增强全民信息安全意识加快信息安全人才培养，增强全民信息安全意识加快信息安全人才培养，增强全民信息安全意识教育部起草了教育部起草了教育部关于进一步加强信息安全学科、专业建设和人才培养教育部关于进一步加强信息安全学科、专业建设和人才培养工作的意见工作的意见。据据20062006年初的统计数据，教育部共批准年初的统计数据，教育部共批准4242所本科

30、、所本科、3838所专科院校开设信息安所专科院校开设信息安全专业。全专业。20062006年初，在校的本科生达到年初，在校的本科生达到9,1829,182人，专科生达到人，专科生达到3,7873,787人。人。中国科学院研究生院、北京邮电大学、西安电子科技大学、上海交通大学、中国科学院研究生院、北京邮电大学、西安电子科技大学、上海交通大学、西北工业大学等相继设置了信息安全或网络与信息安全的博士点。西北工业大学等相继设置了信息安全或网络与信息安全的博士点。 全国从事信息安全工作的专职人员大幅增长。全国从事信息安全工作的专职人员大幅增长。 主要内容主要内容一、国家领导重视信息安全一、国家领导重视信

31、息安全二、我国信息安全主要工作开展情况二、我国信息安全主要工作开展情况三、国家信息安全保障体系介绍三、国家信息安全保障体系介绍四、对园区信息安全的几点建议四、对园区信息安全的几点建议382024/7/28组织管理技术保障信息安全基础设施产业支撑人材教育和培养法规与标准国家信息安全保障体系一个体系、六个要素一个体系、六个要素国家信息安全保障体系框架392024/7/28国家信息安全保障工作要点 实行信息安全等级保护制度：风险与成本、资源优化配置、安全风险评估 基于密码技术网络信任体系建设：密码管理体制、身份认证、授权管理、责任认定 建设信息安全监控体系：提高对网络攻击、病毒入侵、网络失窃密、有害

32、信息的防范能力 重视信息安全应急处理工作：指挥、响应、协调、通报、支援、抗毁、灾备 推动信息安全技术研发与产业发展：关键技术、自主创新、强化可控、引导与市场、测评认证、采购、服务 信息安全法制与标准建设：信息安全法、打击网络犯罪、标准体系、规范网络行为 信息安全人材培养与增强安全意识：学科、培训、意识、技能、自律、守法 信息安全组织建设：信息安全协调小组、责任制、依法管理 主要内容主要内容一、国家领导重视信息安全一、国家领导重视信息安全二、我国信息安全主要工作开展情况二、我国信息安全主要工作开展情况三、国家信息安全保障体系介绍三、国家信息安全保障体系介绍四、对园区信息安全的几点建议四、对园区信

33、息安全的几点建议412024/7/28安全威胁日益严重复合威胁：蠕虫、病毒、特洛伊木马黑客攻击基础设施Flash威胁大规模蠕虫侵入分布式Dos攻击可加载病毒和蠕虫（如脚本病毒.）1980s1990s2000sToday威胁发生的频率加快威胁的种类剧增攻击对象变广攻击源变强422024/7/28 面对层出不穷的安全漏洞和各式各样的威胁，面对层出不穷的安全漏洞和各式各样的威胁，面对层出不穷的安全漏洞和各式各样的威胁，面对层出不穷的安全漏洞和各式各样的威胁，简单的产品堆叠无法保证组织的信息安全！简单的产品堆叠无法保证组织的信息安全！简单的产品堆叠无法保证组织的信息安全！简单的产品堆叠无法保证组织的信

34、息安全！员工Hacks/Cracks自然界和环境威胁内部人员的操作失误或恶意行为系统故障信息及相关资源其他问题蠕虫、木马病毒泛滥432024/7/28实例30003000万机房万机房2 2路供电（路供电（99.99%99.99%）200200万的电源后备系统（万的电源后备系统（99.99%99.99%）4040万的大型主机万的大型主机 2 2路电源（路电源（99.99%99.99%）5050元的电源插座元的电源插座442024/7/28某运营商某运营商1.2亿安全投入亿安全投入PK380万损失万损失 2005 3 2005 3 2005 3 2005 3 7 7 7 7 某公司某公司某公司某公

35、司 31313131岁岁岁岁 程程程程XXXXXXXX 月薪月薪月薪月薪 1 1 1 1万多万多万多万多 不缺钱不缺钱不缺钱不缺钱 深圳、拉萨、北京深圳、拉萨、北京深圳、拉萨、北京深圳、拉萨、北京 曾经的客户拉萨曾经的客户拉萨曾经的客户拉萨曾经的客户拉萨 一个密码一个密码一个密码一个密码 6600660066006600张，张，张，张，380380380380万的损失万的损失万的损失万的损失实例2在奥运举办前夕，按公安部要求，在涉奥城市做了信息安全领域的检查检测。硬件环境专业化的信息安全服务理解与认识程度共性问题共性问题46共性问题共性问题信息安全管理机构建设不完善信息安全管理制度不健全（不成

36、体系）缺乏深入防御、纵深防护的安全建设重要信息系统保障手段不够完备（单点故障）缺乏必要的系统审计手段应急响应机制落实不到位个性问题开发区信息安全的两个保障主体政府：可参照电子政务、行政法规等规定。园区不同于一般政府部门，其信息安全需求即需要重视政策层面以及应用系统的保障（类似政府），又要协助园区企业做好信息安全方面的统筹建设工作，以提升园区投资环境。企业：自身所获取的信息、及专利、著作权等是企业的核心竞争力。针对开发区产业升级，向高附加值的服务业发展，在保障自身的同时，提供园区企业安全的计算环境。几点建议管理层面：1.相关规章制度的进一步完善；2.建立周期性的评估机制；技术层面：1.根据网络的应用系统特点，通过数据库系统、WEB系统扫描分析，在确保应用正常传输的前提下，尽可能切断传播途径；2.从强审计、加固、准入控制（web防火墙）等方面加强应用的防护能力；3.建立统一的管理平台，将各类防护工具、技术有效结合，以达到降低风险、提高应急响应能力的建设目标；谢谢！