电子政务安全的全局对策.ppt

1、 电子政务安全的全局对策电子政务安全的全局对策电子政务安全的全局对策电子政务安全的全局对策曲成义曲成义 研究员研究员2010.82010.81 胡锦涛总书记指出：胡锦涛总书记指出：胡锦涛总书记指出：胡锦涛总书记指出：把握信息化发展的方向、维护国家在把握信息化发展的方向、维护国家在网络空间的安全和利益成为信息时代的重网络空间的安全和利益成为信息时代的重大战略课题。大战略课题。2信息化领导小组第二次会议信息化领导小组第二次会议用于用于用于用于4 4种领域：种领域：种领域：种领域：党委、政府、人大、政协党委、政府、人大、政协党委、政府、人大、政协党委、政府、人大、政协服务于服务于服务于服务于4 4类

2、对象：类对象：类对象：类对象：G2EG2E、G2GG2G、G2BG2B、B2CB2C包括包括包括包括4 4类业务：类业务：类业务：类业务：职能转变、行政监管、办公决策、公共服务职能转变、行政监管、办公决策、公共服务职能转变、行政监管、办公决策、公共服务职能转变、行政监管、办公决策、公共服务增强增强增强增强4 4种能力：种能力：种能力：种能力：管理、决策、应急处理、公共服务管理、决策、应急处理、公共服务管理、决策、应急处理、公共服务管理、决策、应急处理、公共服务加大信息共享和交流加大信息共享和交流加大信息共享和交流加大信息共享和交流加强业务互动和部门协同加强业务互动和部门协同加强业务互动和部门协

3、同加强业务互动和部门协同作好业务流程规范、优化和职能转变作好业务流程规范、优化和职能转变作好业务流程规范、优化和职能转变作好业务流程规范、优化和职能转变建立电子政务安全保障体系建立电子政务安全保障体系建立电子政务安全保障体系建立电子政务安全保障体系建立勤政、廉洁、务实、高效的政府建立勤政、廉洁、务实、高效的政府建立勤政、廉洁、务实、高效的政府建立勤政、廉洁、务实、高效的政府 (中办发中办发中办发中办发200217200217号文件号文件号文件号文件)3国家信息安全保障工作要点国家信息安全保障工作要点（中办发（中办发（中办发（中办发2003 2003 2003 2003 文）文）文）文）实行信息

4、安全等级保护制度：实行信息安全等级保护制度：实行信息安全等级保护制度：实行信息安全等级保护制度：风险与成本、资源优化配置、安全风险与成本、资源优化配置、安全风险与成本、资源优化配置、安全风险与成本、资源优化配置、安全 风险评估风险评估风险评估风险评估 基于密码技术网络信任体系建设：基于密码技术网络信任体系建设：基于密码技术网络信任体系建设：基于密码技术网络信任体系建设：密码管理体制、身份认证、密码管理体制、身份认证、密码管理体制、身份认证、密码管理体制、身份认证、授权管理、责任认定授权管理、责任认定授权管理、责任认定授权管理、责任认定 建设信息安全监控体系：建设信息安全监控体系：建设信息安全监

5、控体系：建设信息安全监控体系：提高对网络攻击、病毒入侵、网络失窃提高对网络攻击、病毒入侵、网络失窃提高对网络攻击、病毒入侵、网络失窃提高对网络攻击、病毒入侵、网络失窃 密、有害信息的防范能力密、有害信息的防范能力密、有害信息的防范能力密、有害信息的防范能力 重视信息安全应急处理工作：重视信息安全应急处理工作：重视信息安全应急处理工作：重视信息安全应急处理工作：指挥、响应、协调、通报、支援、指挥、响应、协调、通报、支援、指挥、响应、协调、通报、支援、指挥、响应、协调、通报、支援、抗毁、灾备抗毁、灾备抗毁、灾备抗毁、灾备 推动信息安全技术研发与产业发展：推动信息安全技术研发与产业发展：推动信息安全

6、技术研发与产业发展：推动信息安全技术研发与产业发展：关键技术、自主创新、强化可控关键技术、自主创新、强化可控关键技术、自主创新、强化可控关键技术、自主创新、强化可控 、引导与市场、测评认证、采购、服务、引导与市场、测评认证、采购、服务、引导与市场、测评认证、采购、服务、引导与市场、测评认证、采购、服务 信息安全法制与标准建设：信息安全法制与标准建设：信息安全法制与标准建设：信息安全法制与标准建设：信息安全法、打击网络犯罪、标准体信息安全法、打击网络犯罪、标准体信息安全法、打击网络犯罪、标准体信息安全法、打击网络犯罪、标准体 系、规范网络行为系、规范网络行为系、规范网络行为系、规范网络行为 信息

7、安全人材培养与增强安全意识：信息安全人材培养与增强安全意识：信息安全人材培养与增强安全意识：信息安全人材培养与增强安全意识：学科、培训、意识、技能、学科、培训、意识、技能、学科、培训、意识、技能、学科、培训、意识、技能、自律、守法自律、守法自律、守法自律、守法 信息安全组织建设：信息安全组织建设：信息安全组织建设：信息安全组织建设：信息安全协调小组、责任制、依法管理信息安全协调小组、责任制、依法管理信息安全协调小组、责任制、依法管理信息安全协调小组、责任制、依法管理 4电子政务面临的威胁电子政务面临的威胁网上黑客与计算机犯罪网上黑客与计算机犯罪网络病毒的蔓延和破坏网络病毒的蔓延和破坏机要信息流

8、失与信息间谍潜入机要信息流失与信息间谍潜入网上恐怖活动与信息战网上恐怖活动与信息战内部人员违规和违法内部人员违规和违法物理临近式威胁物理临近式威胁安全产品的失控（分发式威胁）安全产品的失控（分发式威胁）网络的脆弱性和系统漏洞网络的脆弱性和系统漏洞5 事件分类：事件分类：事件分类：事件分类：1 1 有害程序事件有害程序事件有害程序事件有害程序事件 2 2 网络攻击事件网络攻击事件网络攻击事件网络攻击事件 3 3 信息破坏事件信息破坏事件信息破坏事件信息破坏事件 4 4 信息内容安全事件信息内容安全事件信息内容安全事件信息内容安全事件 5 5 设施故障事件设施故障事件设施故障事件设施故障事件 6

9、6 灾难性事件灾难性事件灾难性事件灾难性事件 事件分级：事件分级：事件分级：事件分级：级：特别重大级：特别重大级：特别重大级：特别重大 级：重大级：重大级：重大级：重大 级：较大级：较大级：较大级：较大 级：一般级：一般级：一般级：一般国家网络与信息安全事件分级分类国家网络与信息安全事件分级分类(国办函国办函国办函国办函20081682008168号号号号)6构造国家信息安全保障体系的目标构造国家信息安全保障体系的目标 增强信息网络四种安全能力增强信息网络四种安全能力 创建信创建信创建信创建信 息安全的基础支撑能力息安全的基础支撑能力息安全的基础支撑能力息安全的基础支撑能力 安全安全安全安全

10、基础设施、技术与产业、人才与教育基础设施、技术与产业、人才与教育基础设施、技术与产业、人才与教育基础设施、技术与产业、人才与教育 提升信息安全防护与对抗能力提升信息安全防护与对抗能力提升信息安全防护与对抗能力提升信息安全防护与对抗能力 .加强网络突发事件的快速反应能力加强网络突发事件的快速反应能力加强网络突发事件的快速反应能力加强网络突发事件的快速反应能力 拥有安全审计与管控能力拥有安全审计与管控能力拥有安全审计与管控能力拥有安全审计与管控能力 保障信息及其服务具有六性保障信息及其服务具有六性 保密性、完整性、可用性、真实性、可核查性、可控性保密性、完整性、可用性、真实性、可核查性、可控性保密

11、性、完整性、可用性、真实性、可核查性、可控性保密性、完整性、可用性、真实性、可核查性、可控性7正正 确确 制制 订订 安安 全全 策策 略略 发展与安全发展与安全同步发展同步发展 成本与风险成本与风险等级保护等级保护 防护与反击防护与反击积极防御积极防御 培训与自律培训与自律以人为本以人为本 技术与管理技术与管理综合治理综合治理8 EG 系统安全的全局对策系统安全的全局对策(一一)科学划分信息安全等级科学划分信息安全等级t投入与风险的投入与风险的平衡点平衡点t安全资源的安全资源的优化配置优化配置(一一)构建构建信息安全保障体系信息安全保障体系t 重视顶层设计重视顶层设计,做好做好信息安全技术体

12、系信息安全技术体系与与信息安全管理体系信息安全管理体系t强化信息安全的强化信息安全的保障性保障性(二二)作好信息安全风险评估作好信息安全风险评估t是信息安全建设的是信息安全建设的起点起点、也覆盖、也覆盖终生终生t提升信息安全的提升信息安全的可信性可信性9 （一）科学划分信息安全等级（一）科学划分信息安全等级10 我国信息安全等级保护工作职责分工我国信息安全等级保护工作职责分工20062006年年1 1月，信息安全等级保护管理办法月，信息安全等级保护管理办法（试行）（公通字（试行）（公通字200620067 7号）号）明确了公明确了公安、保密、密码、信息化部门的职责：安、保密、密码、信息化部门的

13、职责：公安机关公安机关全面全面国家保密工作部门国家保密工作部门涉密信息系统涉密信息系统国家密码管理部门国家密码管理部门密码密码国务院信息办国务院信息办协调协调11 信息安全等级保护信息安全等级保护关注点关注点（公通字公通字200743号文）、（中保委发（号文）、（中保委发（2004）7号文）号文）t等级保护涉及的内容：等级保护涉及的内容：信息系统、信息安全产品信息系统、信息安全产品、信息安全事件信息安全事件t分级依据：分级依据：重要程度、危害程度重要程度、危害程度(业务信息业务信息/系统服务系统服务)t保护级别划分：保护级别划分：自主保护级、指导保护级、监督保护级、强制保护级、专控保护级自主保

14、护级、指导保护级、监督保护级、强制保护级、专控保护级t系统管理模式系统管理模式 一级：自主保护一级：自主保护（一般系统（一般系统/合法权益）合法权益）二级：指导保护（一般系统二级：指导保护（一般系统/合法权益、社会利益）合法权益、社会利益）三级：监督检查（重要系统三级：监督检查（重要系统/社会利益、国家安全）社会利益、国家安全）(秘密秘密)四级：强制监督四级：强制监督（重要系统（重要系统/社会利益、国家安全）社会利益、国家安全）(机密机密 、增强）、增强）五级：专门监督五级：专门监督（极端重要系统（极端重要系统/国家安全）国家安全）(绝密绝密)t安全管理安全管理 自主定级自主定级-审核批准审核

15、批准-备案备案-系统建设系统建设-安全测评安全测评12 （二）（二）构建信息安全保障体系构建信息安全保障体系13 （1）重视信息安全管理体系建设）重视信息安全管理体系建设(ISMS)国家文件多次指出：国家文件多次指出：国家文件多次指出：国家文件多次指出：建立信息安全管理组织建立信息安全管理组织建立信息安全管理组织建立信息安全管理组织 明确信息安全管理责任制明确信息安全管理责任制明确信息安全管理责任制明确信息安全管理责任制 安全技术与安全管理要并重安全技术与安全管理要并重安全技术与安全管理要并重安全技术与安全管理要并重 信息安全标准化委员会抓紧制订管理标准信息安全标准化委员会抓紧制订管理标准信息

16、安全标准化委员会抓紧制订管理标准信息安全标准化委员会抓紧制订管理标准 构建信息安全保障体系时一定要重视构建信息安全保障体系时一定要重视构建信息安全保障体系时一定要重视构建信息安全保障体系时一定要重视ISMS ISMS 建设建设建设建设 14 信息安全管理体系要求信息安全管理体系要求(ISO/IEC 27001-2005 GB/T 20269-2006)(ISO/IEC 27001-2005 GB/T 20269-2006)规定了组织建立、实施、运行、监视、评审规定了组织建立、实施、运行、监视、评审规定了组织建立、实施、运行、监视、评审规定了组织建立、实施、运行、监视、评审 保持、改进、保持、改进、保持、改进、保持、改进、ISMSISMS的要求的要求的要求的要求 基于风险管理思想提出了基于风险管理思想提出了基于风险管理思想提出了基于风险管理思想提出了“PDCA“PDCA模型模型模型模型”，使组织，使组织，使组织，使组织 达到更有效的安全管理达到更有效的安全管理达到更有效的安全管理达到更有效的安全管理 用于认证和审核用于认证和审核用于认证和审核用于认证和审核 15 应用于应用于ISMS过程