北京平台 信息安全等级保护培训 ---培训对象：销售、售前、售后 曾 庆 “小故事” 傻根在外地打工挣了钱，随身携带着10万元钱坐上了一辆混杂着很多小偷的长途火车回家。 傻根把钱就放在了普通的布质书包里，傻根没有坐软卧包厢，而是坐在挤满了上百人的硬座车厢。有时候累了，就坐着打个瞌睡。 一路上，葛优等小偷团伙频频出手，尝试着偷这10万元钱。但是在好心人刘德华和刘若英等的保护下，葛优等小偷团伙未能得逞。 好险啊，如果这些钱被偷走了，傻根就娶不上媳妇了。 10万元钱 1、布质书包； 2、人多车厢； 3、会打瞌睡 以葛优为首的小偷团伙 威胁 脆弱性 利用 风险 对抗技术 消除风险 减弱风险 转移风险 接受风险 1、安全是一种相对的！ 2、安全是一种平衡！ 1 信息安全威胁和风险 2012中国计算机网络安全年会数据 国内外主要安全事件---僵尸网络 Amazon EC2被ZEUS僵尸网络工具包利用建立C&C服务器；恶意人员以6美元为代价对EC2发动DDoS，同时SPAM也大量出现 2010年2月，西班牙熊猫安全公司（Panda Security）配合FBI和西班牙国民防卫部门破获了一起特大僵尸网络案件，该僵尸网络名为：Mariposa（蝴蝶），在190个国家传播，超过1400万用户受到感染，31901个城市的网络受到不同程度的影响。中国有196个城市的21270个用户受到感染。 政府网站挂马情况严重 截至2012年3月31日仍存在挂马的部分政府网站 被挂马或被植入不正当广告链接（如：网络游戏、色情网站链接）。 公共安全事件几个范例 CSDN数据泄密 教育部网站被黑 国家统计局CPI数据泄密 网络信息安全威胁变化 攻击：外部渗透 》内部木马僵尸网络 目的：网络应用 》信息数据 新计算到底带来了哪些变化 信息安全威胁和风险 数据窃取 环境威胁 网络攻击 病毒传播 应用攻击 拒绝服务 蠕虫病毒 电力系统 自然灾害 身份假冒 WEB攻击 数据泄漏 僵尸网络 如何有效的抵御威胁 数据窃取 环境威胁 网络攻击 病毒传播 应用攻击 防护 监控 响应 准备充分、快速响应、及时恢复 全面防护、多点防护、纵深防御 全面监控、高效检测、关联分析 僵尸网络 《我国重要信息系统安全保护状况分析报告（2012年）》 一是信息安全工作缺乏整体规划，重要信息系统安全保护措施不得力； 二是信息安全管理制度体系不完善，信息安全责任制落实不到位； 三是重要信息系统未落实关键安全保护技术措施； 四是缺少应有的岗位设置，人员和资金投入不足； 五是我国信息技术产品与国外存在一定差距，安全专业化服务力量薄弱。 ---公安部组织召开“2012年信息安全等级保护形式报告会” 总结 信息资产对我们很重要，是要保护的对象 威胁就像苍蝇一样，挥之不去，无所不在 资产自身又有各种弱点，给威胁带来可乘之机 面临各种风险，一旦发生就成为安全事件、事故 2 信息安全等级保护制度 为什么要实行等级保护 1、信息安全形势严峻 敌对势利的入侵、攻击、破坏。 针对基础信息网络和重要信息系统的违法犯罪持续上升。 基础信息网络和重要信息系统安全隐患严重。 2、是维护国安全的需要 基础信息网络与重要信息系统已成为国家关键基础设施，必须保护。 信息安全是国家安全的重要组成部分，信息安全的本质是信息对抗、技术对抗、是网络空间的政治斗争。 国家高度重视信息安全 信息安全等级保护是“令”---国家意志的体现 国务院令【1994】147号《中华人民共和国计算机信息系统安全保护条例 》 规定“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。 信息安全等级保护由执法机构负责 1995年2月18日人大12次会议通过并实施的《中华人民共和国警察法》 第二章第六条第十二款规定，公安机关人民警察依法履行“监督管理计算机信息系统的安全保护工作”。 信息安全等级保护是“强制性国家标准” 1999年 GB 17859《计算机信息系统安全保护等级划分准则》 为信息安全等级保护提供了基础的标准依据。 等级保护制度 1994 国务院颁布《中华人民共和国计算机信息系统安全保护条例》国务院[1994]147号 中办国办颁发《关于加强信息安全保障工作的意见》中办发[2003]27号 2003 四部委会签《关于信息安全等级保护工作的实施意见》公通字[2004]66号 2004 2007 四部委会签《信息安全等级保护管理办法》公通字[2007]43号 等级保护制度 国务院颁布《中华人民共和国计算机信息系统安全保护条例》国务院[1994]147号 1、明确了保护对象为计算机信息系统，同时对计算机系统进行了明确的定义； 2、计算机信息系统实行安全等级保护。 3、安全等级的划分标准和安全等级保护的具体办法，由公安部门同有关部门制定。 4、公安部主管全国计算机信息系统安全保护工作。 5、计算机信息系统的使用单位应当建立健全安全管理制度，负责本单位计算机信息系统的安全保护工作。 等级保护制度 中办国办颁发《关于加强信息安全保障工作的意见》中办发[2003]27号 1、实行信息安全等级保护，对涉及国家秘密的信息系统，要按照党和国家有关保密规定进行保护。 2、加强以密码技术为基础的信息保护和网络信任体系建设。 3、建立和完善信息安全监控体系。 4、重视信息安全应急处理工作。 5、加强信息安全技术研究开发，逐步形成基础信息网络和重要信息系统以自主可控设备为主的格局。 6、加强信息安全法制建设和标准化建设。 7、加快信息安全人才培养，提高安全意识。