信息安全保障概述

信息安全保障概述中國信息安全測評中心課程內(nèi)容2信息安全保障概述信息安全保障框架國家信息安全政策法規(guī)信息安全保障框架基礎(chǔ)知識重點法律法規(guī)解讀

重點政策解讀

信息安全保障基本實踐知識體：信息安全保障框架知識域：安全保障框架基礎(chǔ)知識理解信息安全的基本概念理解信息安全保障的意義和內(nèi)涵；了解信息安全保障工作的總體思路和基本實踐方法。知識域：信息安全保障基本實踐了解我國信息安全保障工作發(fā)展階段；我國信息安全保障基本原則；我國信息安全保障建設(shè)主要內(nèi)容；我國信息安全保障工作的基本內(nèi)容。3什么是安全？安全Security：事物保持不受損害4什么是信息安全？保密！不該知道的人，不讓他知道！5什么是信息安全？完整！信息不能追求殘缺美！6什么是信息安全？可用！信息要方便、快捷！不能像某國首都二環(huán)早高峰，也不能像春運的火車站7什么是信息安全信息本身的機密性（Confidentiality）、完整性（Integrity）和可用性（Availability）的保持，即防止防止未經(jīng)授權(quán)使用信息、防止對信息的非法修改和破壞、確保及時可靠地使用信息。保密性：確保信息沒有非授權(quán)的泄漏，不被非授權(quán)的個人、組織和計算機程序使用完整性：確保信息沒有遭到篡改和破壞可用性：確保擁有授權(quán)的用戶或程序可以及時、正常使用信息8為什么會有信息安全問題？因為有病毒嗎？因為有黑客嗎？因為有漏洞嗎？這些都是原因，但沒有說到根源9信息系統(tǒng)安全問題產(chǎn)生的根源與環(huán)節(jié)內(nèi)因

復(fù)雜性導(dǎo)致脆弱性：過程復(fù)雜，結(jié)構(gòu)復(fù)雜，使用復(fù)雜外因

對手:威脅與破壞10內(nèi)在復(fù)復(fù)雜———過過程信息系系統(tǒng)理理論馮-諾諾伊曼曼機，在程程序與與數(shù)據(jù)據(jù)的區(qū)區(qū)分上上沒有有確定定性的的原則則設(shè)計從設(shè)計計的角角度看看，在在設(shè)計計時考考慮的的優(yōu)先先級中中安全全性相相對于于易用用性、、代碼碼大小小、執(zhí)執(zhí)行程程度等等因素素被放放在次次要的的位置置實現(xiàn)由于人人性的的弱點點和程程序設(shè)設(shè)計方方法學(xué)學(xué)的不不完善善，軟軟件總總是存存在BUG生產(chǎn)與與集成成使用與與運行行維護護11安全問問題根根源——內(nèi)因因系統(tǒng)統(tǒng)越來來越復(fù)復(fù)雜工作計計算機機員工在在使用用移動介介質(zhì)內(nèi)網(wǎng)中中的其其它系系統(tǒng)單位連連接因因特網(wǎng)網(wǎng)電話撥撥號上上網(wǎng)連接其其它單單位網(wǎng)網(wǎng)絡(luò)無線網(wǎng)網(wǎng)絡(luò)12安全問問題根根源—內(nèi)因我我們使使用的的網(wǎng)絡(luò)絡(luò)是開開放的的內(nèi)在復(fù)復(fù)雜———使使用14安全問問題根根源——外因因來自自對手手的威威脅15安全問問題根根源——外因因來自自自然然的破破壞16信息安安全的的范疇疇信息技技術(shù)問問題——技術(shù)系系統(tǒng)的的安全全問題題組織管管理問問題——人+技術(shù)系系統(tǒng)+組織內(nèi)內(nèi)部環(huán)環(huán)境社會問問題——法制、、輿論論國家安安全問問題——信息戰(zhàn)戰(zhàn)、虛虛擬空空間17信息網(wǎng)網(wǎng)絡(luò)已已逐漸漸成為為經(jīng)濟濟繁榮榮、社社會穩(wěn)穩(wěn)定和和國家家發(fā)展展的基基礎(chǔ)信息化化深刻刻影響響著全全球經(jīng)經(jīng)濟的的整合合、國國家戰(zhàn)戰(zhàn)略的的調(diào)整整和安安全觀觀念的的轉(zhuǎn)變變從單純純的技技術(shù)性性問題題變成成事關(guān)關(guān)國家家安全全的全全球性性問題題。信息安安全和和信息息安全全保障障適用用于所所有技技術(shù)領(lǐng)領(lǐng)域。。硬件軟件軍事計計算機機通訊訊指揮揮控制制和情情報(C4I)系統(tǒng)，，制造造工藝藝控制制系統(tǒng)統(tǒng)，決決策支支持系系統(tǒng)，，電子子商務(wù)務(wù)，電電子郵郵件，，生物物醫(yī)學(xué)學(xué)系統(tǒng)統(tǒng)和智智能運運輸系系統(tǒng)(ITS)。信息安安全的的地位位和作作用18信息安安全發(fā)發(fā)展階階段COMSEC通信安全COMPUSEC計算機安全INFOSEC信息系統(tǒng)安全IA信息安全保障19CS/IA網(wǎng)絡(luò)空間安全/信息安全保障COMSEC：CommunicationSecurity20世紀(jì)，，40年代-70年代核心思思想：：通過密密碼技技術(shù)解解決通通信保保密，，保證證數(shù)據(jù)據(jù)的保保密性性和完完整性性主要關(guān)關(guān)注傳傳輸過過程中中的數(shù)數(shù)據(jù)保保護安全威威脅：：搭線線竊聽聽、密密碼學(xué)學(xué)分析析安全措措施：：加密密標(biāo)志1949年：shannon發(fā)表《保密通通信的的信息息理論論》1977年：美美國國國家標(biāo)標(biāo)準(zhǔn)局局公布布數(shù)據(jù)據(jù)加密密標(biāo)準(zhǔn)準(zhǔn)DES1976年：Diffle和Hellman在“NewDirectionsinCryptography””一文中中提出出公鑰鑰密碼碼體系系通信安安全20COMPUSEC：ComputerSecurity20世紀(jì)，，70-90年代核心思思想：：預(yù)防、、檢測測和減減小計計算機機系統(tǒng)統(tǒng)（包包括軟軟件和和硬件件）用用戶（（授權(quán)權(quán)和未未授權(quán)權(quán)用戶戶）執(zhí)執(zhí)行的的未授授權(quán)活活動所所造成成的后后果。。主要關(guān)關(guān)注于于數(shù)據(jù)據(jù)處理理和存存儲時時的數(shù)數(shù)據(jù)保保護。。安全威威脅：：非法法訪問問、惡惡意代代碼、、脆弱弱口令令等安全措措施：：安全全操作作系統(tǒng)統(tǒng)設(shè)計計技術(shù)術(shù)（TCB）標(biāo)志：：1985年，美美國國國防部部的可可信計計算機機系統(tǒng)統(tǒng)評估估保障障（TCSEC，橙皮皮書）），將將操作作系統(tǒng)統(tǒng)安全全分級級（D、C1、C2、B1、B2、B3、A1）；后后補充充紅皮皮書TNI（1987）和TDI（1991），發(fā)發(fā)展為為彩虹虹（rainbow）系列列計算機機安全全21INFOSEC：InformationSecurity20世紀(jì)，，90年代后后核心思思想：：綜合通通信安安全和和計算算機安安全安安全重點在在于保保護比比“數(shù)數(shù)據(jù)””更精精煉的的“信信息””，確確保信信息在在存儲儲、處處理和和傳輸輸過程程中免免受偶偶然或或惡意意的非非法泄泄密、、轉(zhuǎn)移移或破破壞。。安全威威脅：：網(wǎng)絡(luò)絡(luò)入侵侵、病病毒破破壞、、信息息對抗抗等安全措措施：：防火火墻、、防病病毒、、漏洞洞掃描描、入入侵檢檢測、、PKI、VPN等標(biāo)志安全評評估保保障CC（ISO15408，GB/T18336）信息系系統(tǒng)安安全22信息安安全保保障發(fā)發(fā)展歷歷史第一次次定義義：在1996年美美國國國防部部DoD指指令5-3600.1（（DoDD5-3600.1））中，，美國國信息息安全全界第第一次次給出出了信信息安安全保保障的的標(biāo)準(zhǔn)準(zhǔn)化定定義現(xiàn)在：：信息安安全保保障的的概念念已逐逐漸被被全世世界信信息安安全領(lǐng)領(lǐng)域所所接受受。中國：：中辦發(fā)發(fā)27號文《國家信信息化化領(lǐng)導(dǎo)導(dǎo)小組組關(guān)于于加強強信息息安全全保障障工作作的意意見》，是信信息安安全保保障工工作的的綱領(lǐng)領(lǐng)性文文件信息安安全保保障發(fā)發(fā)展歷歷史從通信信安全全（COMSEC）-〉計算機機安全全（COMPUSEC）-〉信息系系統(tǒng)安安全（（INFOSEC）-〉信息安安全保保障（（IA）-〉網(wǎng)絡(luò)空空間安安全/信息安安全保保障（（CS/IA）。。23IA：InformationAssurance今天，，將來來……核心思思想：：保障信信息和和信息息系統(tǒng)統(tǒng)資產(chǎn)產(chǎn)，保保障組組織機機構(gòu)使使命的的執(zhí)行行；綜合技技術(shù)、、管理理、過過程、、人員員；確保信信息的的保密密性、、完整整性和和可用用性。。安全威威脅：：黑客客、恐恐怖分分子、、信息息戰(zhàn)、、自然然災(zāi)難難、電電力中中斷等等安全措措施：：技術(shù)術(shù)安全全保障障體系系、安安全管管理體體系、、人員員意識識/培訓(xùn)/教育、、認(rèn)證證和認(rèn)認(rèn)可標(biāo)志：：技術(shù)：：美國國國防防部的的IATF深度防防御戰(zhàn)戰(zhàn)略管理：：BS7799/ISO17799系統(tǒng)認(rèn)認(rèn)證：：美國國國防防部DITSCAP信息安全全保障24網(wǎng)絡(luò)空間間安全/信息安安全保障障CS/IA：CyberSecurity/InformationAssurance2009年，在美美國帶動動下，世世界各國國信息安安全政策策、技術(shù)術(shù)和實踐踐等發(fā)生生重大變變革……共識：網(wǎng)絡(luò)安全全問題上上升到國國家安全全的重要要程度核心思想想：從傳統(tǒng)防防御的信信息保障障（IA），發(fā)展展到“威威懾”為為主的防防御、攻攻擊和情情報三位位一體的的信息保保障/網(wǎng)絡(luò)安全全（IA/CS）的網(wǎng)空空安全網(wǎng)絡(luò)防御御-Defense（運維））網(wǎng)絡(luò)攻擊擊-Offense（威懾））網(wǎng)絡(luò)利用用-Exploitation（情報））252008年1月，布什什政府發(fā)發(fā)布了國國家網(wǎng)絡(luò)絡(luò)安全綜綜合倡議議（CNCI），號稱稱網(wǎng)絡(luò)安安全“曼曼哈頓項項目”，，提出威威懾概念念，其中中包括愛愛因斯坦坦計劃、、情報對對抗、供供應(yīng)鏈安安全、超超越未來來（“Leap-Ahead”）技術(shù)戰(zhàn)戰(zhàn)略2009年5月29日發(fā)布了了《網(wǎng)絡(luò)空間間政策評評估：確確保信息息和通訊訊系統(tǒng)的的可靠性性和韌性性》報告2009年6月25日，英國國推出了了首份““網(wǎng)絡(luò)安安全戰(zhàn)略略”，并并將其作作為同時時推出的的新版《國家安全全戰(zhàn)略》的核心內(nèi)內(nèi)容2009年6月，美國國成立網(wǎng)網(wǎng)絡(luò)戰(zhàn)司司令部12月22日，奧巴巴馬任命命網(wǎng)絡(luò)安安全專家家擔(dān)任““網(wǎng)絡(luò)沙沙皇”…26網(wǎng)絡(luò)空間間安全/信息安全全保障階段年代安全威脅安全措施通信安全20世紀(jì)，40—70年代搭線竊聽、密碼學(xué)分析加密計算機安全20世紀(jì)，70-90年代非法訪問、惡意代碼、脆弱口令等安全操作系統(tǒng)設(shè)計技術(shù)（TCB）信息系統(tǒng)安全20世紀(jì)，90年代后網(wǎng)絡(luò)入侵、病毒破壞、信息對抗等防火墻、防病毒、漏洞掃描、入侵檢測、PKI、VPN等信息安全保障今天，……黑客、恐怖分子、信息戰(zhàn)、自然災(zāi)難、電力中斷等技術(shù)安全保障體系、安全管理體系、人員意識/培訓(xùn)/教育、認(rèn)證和認(rèn)可網(wǎng)絡(luò)安全空間/信息安全保障2009年開始國家安全的高度網(wǎng)絡(luò)防御網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)利用從技術(shù)角角度看信信息安全全27組織機構(gòu)構(gòu)的使命命/業(yè)務(wù)目標(biāo)標(biāo)實現(xiàn)越越來越依依賴于信信息系統(tǒng)統(tǒng)信息系統(tǒng)統(tǒng)成為組組織機構(gòu)構(gòu)生存和和發(fā)展的的關(guān)鍵因因素信息系統(tǒng)統(tǒng)的安全全風(fēng)險也也成為組組織風(fēng)險險的一部部分為了保障障組織機機構(gòu)完成成其使命命，必須須加強信信息安全全保障，，抵抗這這些風(fēng)險險。為什么需需要信息息安全保保障28信息安全保障作用益處受益者基礎(chǔ)設(shè)施系統(tǒng)人類安全免受偶然和惡意的事故造成的死傷個人及家庭、制造商、經(jīng)銷商、操作者電信，電力，石油和天然氣，供水，運輸，應(yīng)急響應(yīng)。環(huán)境安全使環(huán)境免受偶然的和惡意的，永久的或暫時的破壞個人，社會，設(shè)施的制造商，經(jīng)銷商和操作者電信，電力，石油和天然氣，供水，運輸，應(yīng)急響應(yīng)，政府財產(chǎn)安全使財產(chǎn)免受偶然的和惡意的，永久的或暫時的損害和破壞財產(chǎn)所有者，財產(chǎn)使用者，制造商，經(jīng)銷商電信，電力，石油和天然氣，供水，運輸，應(yīng)急響應(yīng)。信息安全全保障的的意義29經(jīng)濟穩(wěn)定和安全免受經(jīng)濟損失，混亂，物資和服務(wù)匱乏的困擾個人，社會，金融機構(gòu)，批發(fā)、零售企業(yè)，制造業(yè)，本地、全國、全球貿(mào)易。電信，銀行與金融，電力，石油和天然氣，供水，運輸，應(yīng)急響應(yīng)，政府。社會穩(wěn)定免受社會動亂，暴力，斷絕生路，個人安全的困擾個人，社會電信，銀行與金融，電力，石油和天然氣，供水，運輸，應(yīng)急響應(yīng)，政府。隱私

a.個人

b.公司a.免受身份被竊，財務(wù)損失，隱私被侵犯，人格損毀，知識產(chǎn)權(quán)被盜的困擾b.免受財務(wù)損失，客戶流失，知識產(chǎn)權(quán)被盜的困擾a.個人，其家庭，其雇主b.公司雇員，股東，業(yè)務(wù)伙伴電信，銀行與金融，電力，石油和天然氣，供水，運輸，應(yīng)急響應(yīng)，政府。國家安全保護對敏感的經(jīng)濟資產(chǎn)及其他戰(zhàn)略資產(chǎn)的獲取與披露個人，社會，相鄰國家，全球貿(mào)易伙伴，跨國公司電信，銀行與金融，電力，石油和天然氣，供水，運輸，應(yīng)急響應(yīng)，政府。信息安全全保障的的意義30信息安全全保障是是一種立立體保障障31信息系統(tǒng)統(tǒng)安全保保障是在在信息系系統(tǒng)的整個生命命周期中，通過過對信息息系統(tǒng)的的風(fēng)險分析析，制定并并執(zhí)行相相應(yīng)的安安全保障障策略，，從技術(shù)、管管理、工工程和人人員等方面提提出安全全保障要要求，確確保信息息系統(tǒng)的的保密性、、完整性性和可用用性，降低安安全風(fēng)險險到可接接受的程程度，從從而保障障系統(tǒng)實實現(xiàn)組織機構(gòu)構(gòu)的使命命。信息安全全保障定定義32國家標(biāo)準(zhǔn)準(zhǔn)：《GB/T20274.1-2006信息安全全技術(shù)信信息系系統(tǒng)安全全保障評評估框架架第一一部分：：簡介和和一般模模型》信息系統(tǒng)統(tǒng)安全保保障模型型-保障評估估框架33技術(shù)操作深度防御戰(zhàn)略人

人通過技術(shù)進行操作計算環(huán)境區(qū)域邊界網(wǎng)絡(luò)基礎(chǔ)設(shè)施支撐性基礎(chǔ)設(shè)施密鑰管理檢測響應(yīng)成功的組織功能信息安全保障（IA）信息系統(tǒng)統(tǒng)安全保保障模型型-IATF34安全保障障的目標(biāo)標(biāo)是支持持業(yè)務(wù)信息安全全保障是是為了支支撐業(yè)務(wù)務(wù)高效穩(wěn)穩(wěn)定運行行要以安全全促發(fā)展展，在發(fā)發(fā)展中求求安全35信息安全全保障需需要持續(xù)續(xù)進行時時刻刻刻不放松松如鉆石歷歷久彌新新36

措施

信息系統(tǒng)保障風(fēng)險脆弱性威脅使命能力策略

模型信息安全全、系統(tǒng)統(tǒng)及業(yè)務(wù)務(wù)關(guān)系37信息安全全保障“組織內(nèi)部環(huán)境”信息系統(tǒng)安全問題通信安全全數(shù)據(jù)安全全技術(shù)系統(tǒng)安全問題網(wǎng)絡(luò)安全全現(xiàn)在人們們意識到到：技術(shù)術(shù)很重要要，但技技術(shù)不是是一切；；信息系系統(tǒng)很重重要，只只有服務(wù)務(wù)于組織織業(yè)務(wù)使使命才有有意義個人信息息可能面面臨的安安全威脅脅1、外部人員員通過互互聯(lián)網(wǎng)利利用木馬馬等攻擊擊手段竊竊取、篡篡改或破破壞個人人計算機機中存放放的敏感感信息；；2、外部人人員非法法接入稅稅務(wù)系統(tǒng)統(tǒng)內(nèi)網(wǎng)或或直接操操作內(nèi)網(wǎng)網(wǎng)計算機機竊取、、篡改或或破壞敏敏感信息息；3、外部人人員盜竊竊筆記本本電腦、、U盤等移動動計算和和存儲設(shè)設(shè)備竊取取敏感信信息；4、病毒通通過網(wǎng)絡(luò)絡(luò)或移動動介質(zhì)傳傳播造成成個人計計算機無無法正常常使用或或數(shù)據(jù)破破壞；5、內(nèi)部工工作人員員由于誤誤操作等等過失行行為導(dǎo)致致敏感信信息丟失失或被破破壞；6、內(nèi)部工工作人員員由于利利益驅(qū)使使，利用用工作之之便竊取取他人個個人計算算機中工工作敏感感信息。。39案例1國內(nèi)最大大的影音音播放軟軟件暴風(fēng)風(fēng)影音爆爆出存在在安全漏漏洞，該該漏洞發(fā)發(fā)生在暴暴風(fēng)影音音II的一個activex控件上，，當(dāng)安裝裝了暴風(fēng)風(fēng)影音II的用戶在在瀏覽黑黑客精心心構(gòu)造的的包含惡惡意代碼碼的網(wǎng)頁頁后，會會下載木木馬病毒毒，并以以當(dāng)前用用戶權(quán)限限自動運運行。某公司員員工違反反規(guī)定在在工作用用計算機機及上安安裝了““暴風(fēng)影影音”，，上班時時間上網(wǎng)網(wǎng)瀏覽新新聞。黑客利用用木馬竊竊取了該該員工計計算機及及該公司司局域網(wǎng)網(wǎng)中的部部分公司司機密。。個人計算算機作為為稅務(wù)信信息系統(tǒng)統(tǒng)的一個個組成部部分，如如果出現(xiàn)現(xiàn)安全漏漏洞，就就可能成成為信息息安全防防護的薄薄弱環(huán)節(jié)節(jié)，被竊竊密或破破壞分子子利用對對整個系系統(tǒng)造成成破壞。。40案例22001年初，查查處了陳陳學(xué)軍團團伙虛開開增值稅稅專用發(fā)發(fā)票案件件。主犯犯套購增增值稅專專用發(fā)票票10900份，為數(shù)數(shù)百家企企業(yè)虛開開增值稅稅專用發(fā)發(fā)票2800余份，虛虛開稅款款共計人人民幣3.93億元。陳陳學(xué)軍以以虛開增增值稅專專用發(fā)票票罪被判判處并已已執(zhí)行死死刑；吳吳芝剛以以虛開增增值稅專專用發(fā)票票罪、巨巨額財產(chǎn)產(chǎn)來源不不明罪兩兩罪并罰罰，一審審判處死死刑，二二審改判判死刑緩緩期執(zhí)行行。宣判現(xiàn)場場41案例2（續(xù)）3名工作人人員在案發(fā)過過程中，，由于思想疏忽忽大意，，沒有嚴(yán)嚴(yán)格保護護個人工工作計算算機和應(yīng)應(yīng)用系統(tǒng)統(tǒng)的密碼碼和使用用權(quán)限，為吳芝剛剛趁工作之之便，非非法獲得得計算機機密碼，，為作案行行提供了了便利。這3名工作人人員，因因工作嚴(yán)嚴(yán)重違規(guī)規(guī)失職也也受到嚴(yán)嚴(yán)厲的法法律追究究，根據(jù)據(jù)情節(jié)輕輕重，分分別被處處以不同同程度的的刑事處處罰。42單位信息息系統(tǒng)面面臨的主主要安全全威脅網(wǎng)絡(luò)竊密密系統(tǒng)故障障、網(wǎng)絡(luò)絡(luò)攻擊和和病毒造造成系統(tǒng)統(tǒng)運行中中斷系統(tǒng)故障障或人為為誤操作作造成數(shù)數(shù)據(jù)丟失失43威脅電話線或或其它非非法外聯(lián)聯(lián)竊密者個人辦公公用計算算機或外外網(wǎng)服務(wù)務(wù)器風(fēng)險四：：硬件故故障或誤誤操作造造成數(shù)據(jù)據(jù)丟失風(fēng)險一：：通過互互聯(lián)網(wǎng)搜搜集我有有價值的的數(shù)據(jù)風(fēng)險三：：病毒泛泛濫影響響正常辦辦公風(fēng)險二：：利用非非法外聯(lián)聯(lián)或網(wǎng)絡(luò)絡(luò)控制不不嚴(yán)為跳跳板竊取取核心機機密內(nèi)部核心系系統(tǒng)脆弱性信息系統(tǒng)面面臨的典型型安全威脅脅內(nèi)往U盤接入互聯(lián)聯(lián)網(wǎng)脆弱性脆弱性44案例1：違規(guī)上網(wǎng)網(wǎng)造成重大大失泄密違規(guī)操作泄泄密敵對勢力竊竊密互聯(lián)網(wǎng)部隊失密案案：2003年初，軍隊隊某參謀違違反規(guī)定，，使用涉密密計算機上上因特網(wǎng)，，一次竊走走1000多份文檔資資料，影響響和損失極極為嚴(yán)重。。45IIS存在unicode漏洞穿過防火墻墻外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)案例2：某重要網(wǎng)網(wǎng)絡(luò)系統(tǒng)被被控制46案例3：網(wǎng)絡(luò)故障障造成航班班延誤和旅旅客滯留2006年10月10日13時32分，某公司司運營的離離港系統(tǒng)發(fā)發(fā)生主機系系統(tǒng)文件損損壞，導(dǎo)致致使用離港港系統(tǒng)的航航空公司和和機場的正正常運行產(chǎn)產(chǎn)生不同程程度影響。。經(jīng)過排查查后故障系系統(tǒng)于14時16分恢復(fù)正常常。此次故故障造成首首都機場、、廣州機場場、深圳機機場等機場場部分航班班延誤。47什么是信息息安全風(fēng)險險信息和其它它資產(chǎn)一樣樣是具有價值值的48什么是信息息安全風(fēng)險險信息面臨著著外在的威威脅49什么是信息息安全風(fēng)險險信息系統(tǒng)存存在著脆弱弱性50什么是信息息安全風(fēng)險險外在威脅利利用信息系系統(tǒng)存在的的脆弱性，，致其損失失或破壞對對系統(tǒng)價值值造成損害害的可能性性資產(chǎn)威脅防護措施脆弱性風(fēng)險利用對抗導(dǎo)致增加減少作用于51信息系統(tǒng)安安全保障含含義總結(jié)出發(fā)點和核核心在信息系統(tǒng)統(tǒng)所處的運運行環(huán)境里里，以風(fēng)險險和策略為為出發(fā)點，，即從信息息系統(tǒng)所面面臨的風(fēng)險險出發(fā)制定定組織機構(gòu)構(gòu)信息系統(tǒng)統(tǒng)安全保障障策略，信息系統(tǒng)生生命周期通過在信息息系統(tǒng)生命命周期中從從技術(shù)、管管理、工程程和人員等等方面提出出安全保障障要求。52信息系統(tǒng)安安全保障含含義總結(jié)確保信息的的安全特征征確保信息的的保密性、、完整性和和可用性特特征，從而而實現(xiàn)和貫貫徹組織機機構(gòu)策略并并將風(fēng)險降降低到可接接受的程度度，保護資產(chǎn)達(dá)到保護組組織機構(gòu)信信息和信息息系統(tǒng)資產(chǎn)產(chǎn)，最終保障使使命從而保障組組織機構(gòu)實實現(xiàn)其使命命的最終目目的。53如何保障信信息安全？？信息是依賴賴與承載它它的信息技技術(shù)系統(tǒng)存存在的需要在技術(shù)術(shù)層面部署署完善的控控制措施信息系統(tǒng)是是由人來建建設(shè)使用和和維護的需要通過有有效的管理理手段約束束人今天系統(tǒng)安安全了明天天未必安全全需要貫穿系系統(tǒng)生命周周期的工程程過程信息安全的的對抗，歸歸根結(jié)底是是人員知識識、技能和和素質(zhì)的對對抗需要建設(shè)高高素質(zhì)的人人才隊伍信息安全保保障體系構(gòu)構(gòu)成的要素素信息安全技技術(shù)體系信息安全管管理體系信息安全工工程過程高素質(zhì)的人人員隊伍55DMZ?E-Mail

?FileTransfer?HTTPIntranet信息網(wǎng)絡(luò)業(yè)務(wù)處室行政部門財務(wù)門人事部路由Internet中繼安全隱患外部/個體外部/組織內(nèi)部/個體內(nèi)部/組織關(guān)閉安全維護“后門”更改缺省的系統(tǒng)口令漏洞掃描補丁管理Modem數(shù)據(jù)文件加密訪問控制審計系統(tǒng)入侵檢測實時監(jiān)控病毒防護56完善的信息息安全技術(shù)術(shù)體系策略體系風(fēng)險管理系統(tǒng)測評/風(fēng)險評估生命周期安安全管理對手，動機機和攻擊國家/業(yè)務(wù)/機構(gòu)策略，規(guī)范范，標(biāo)準(zhǔn)使命要求組織體系建建設(shè)業(yè)務(wù)持續(xù)性性管理應(yīng)急響應(yīng)管管理意識培訓(xùn)和和教育策略標(biāo)準(zhǔn)流程，指導(dǎo)方針&實踐57信息安全保保障管理體體系建設(shè)相關(guān)方信息安全需需求&期待設(shè)計和實施施ISMS改進ISMSPlan計劃Do實施Act改進Check檢查開發(fā)、維護護&改進循環(huán)相關(guān)方管理的信息息安全Plan計劃（建立立ISMS環(huán)境）根據(jù)組織機機構(gòu)的整體體策略和目目標(biāo)，建立立同控制風(fēng)風(fēng)險和改進進信息安全全相關(guān)的安安全策略、、目的、目目標(biāo)、過程程和流程以以交付結(jié)果果。Do做（設(shè)計&實施）實施和操作作策略（過過程和流程程）Check檢查（監(jiān)控控&審核）通過策略、、目的和實實踐經(jīng)驗測測量和評估估過程執(zhí)行行，并將結(jié)結(jié)果匯報給給決策人。。Act行動（改進進）建立糾正和和預(yù)防行動動以進一步步改進過程程的執(zhí)行建立ISMS環(huán)境&風(fēng)險評估監(jiān)控&審核ISMS管理體系建建設(shè)58科學(xué)的信息息安全工程程過程DISCOVERNEEDSDEFINESYSTEMREQUIREMENTSDESIGNSYSTEMARCHITECTUREDEVELOPDETAILEDDESIGNIMPLEMENTSYSTEM發(fā)掘需求定義系統(tǒng)要求定義系統(tǒng)體系結(jié)構(gòu)開發(fā)詳細(xì)設(shè)計實現(xiàn)系統(tǒng)用戶/用戶代表評估有效性計劃組織開發(fā)采購實施交付運行維護廢棄將安全措施施融入信息息系統(tǒng)生命命周期59參見：中國國信息安全全產(chǎn)品測評評認(rèn)證中心心的“國家信息安安全測評認(rèn)認(rèn)證”，2004年第2期，P6-P14信息系統(tǒng)安安全工程保保障—實施施通用模型型60高素質(zhì)的人人員隊伍信息安全對對抗歸根結(jié)結(jié)底是人與與人的對抗抗，保障信信息安全不不僅需要專專業(yè)信息技技術(shù)人員，，還需要信信息系統(tǒng)普普通使用者者提高安全全意識，加加強個人防防范61知識體：信信息安全保保障框架知識域：信信息安全保保障基本實實踐了解我國信信息安全保保障工作發(fā)發(fā)展階段；；我國信息安安全保障基基本原則；；我國信息安安全保障建建設(shè)主要內(nèi)內(nèi)容；我國信息安安全保障工工作的基本本內(nèi)容。6263我國信息安安全保障工工作發(fā)展階階段我國信息安安全保障基基本原則我國信息安安全保障建建設(shè)主要內(nèi)內(nèi)容我國信息安安全保障工工作的基本本內(nèi)容我國信息安安全保障實實踐6364階段主要工作2001-2002啟動國家信息化小組重組；網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組成立2003-2005逐步展開積極推進國家出臺指導(dǎo)政策；召開第一次全國信息安全保障會議；發(fā)布國家信息安全戰(zhàn)略；國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組召開四次會議2006至今深化落實信息安全法律法規(guī)、標(biāo)準(zhǔn)化和人才培養(yǎng)工作取得新成果；信息安全等級保護和風(fēng)險評估取得新進展我國信息安安全保障工工作發(fā)展階階段6465啟動階段（（2001-2002））2001年至2002年，是我國國網(wǎng)絡(luò)與信信息安全事事件頻發(fā)且且性質(zhì)嚴(yán)重重的時期，，鑒于嚴(yán)峻峻的信息安安全形勢，，國家信息息化領(lǐng)導(dǎo)小小組重組，，網(wǎng)絡(luò)與信信息安全協(xié)協(xié)調(diào)小組成成立，我國國信息安全全保障工作作正式啟動動。2001年至2002年中國發(fā)生生的網(wǎng)絡(luò)和和信息安全全事件：來自境外邪邪教組織、、敵對勢力力的破壞各種政治謠謠言、反動動宣傳和社社會敏感熱熱點問題日日益增多網(wǎng)絡(luò)系統(tǒng)、、重要信息息系統(tǒng)自身身存在諸多多安全隱患患如深圳證券券交易所因因系統(tǒng)崩潰潰停市半天天，造成直直接經(jīng)濟損損失和社會會影響；北京首都國國際機場信信息系統(tǒng)出出現(xiàn)故障，，造成上百百個航班延延誤，數(shù)萬萬名旅客滯滯留。66積極推進階階段（2003-2005）2003年至2005年，是國家家信息安全全保障體系系建設(shè)逐步步展開和推推進的階段段，國家出出臺指導(dǎo)政政策，召開開第一次全全國信息安安全保障會會議，發(fā)布布國家信息息安全戰(zhàn)略略，國家網(wǎng)網(wǎng)絡(luò)與信息息安全協(xié)調(diào)調(diào)小組召開開了四次會會議，信息息安全保障障各項工作作積極推進進。2003年7月，國家信信息化領(lǐng)導(dǎo)導(dǎo)小組《關(guān)于加強信信息安全保保障工作的的意見》（中辦發(fā)27號文件件））。2004年1月9日國家信息息安全保障障工作會議議召開。2005年3月29日，國家網(wǎng)網(wǎng)絡(luò)與信息息安全協(xié)調(diào)調(diào)小組第四四次會議召召開。2005年12月16日，國家網(wǎng)網(wǎng)絡(luò)與信息息安全協(xié)調(diào)調(diào)小組第五五次會議召召開。會議議主要關(guān)注注：高度重重視信息安安全風(fēng)險評評估、網(wǎng)絡(luò)絡(luò)信任體系系以及保密密和密碼工工作，進一一步完善各各項措施和和政策規(guī)定定，提高信信息安全建建設(shè)和管理理水平。67深化落實階階段（2006年至至今）2006年至今，圍圍繞27號文件開展展的各項信信息安全保保障工作邁邁出了新的的堅實步伐伐。信息安安全法律法法規(guī)、標(biāo)準(zhǔn)準(zhǔn)化和人才才培養(yǎng)工作作取得了新新成果。指導(dǎo)政策從從完善到落落實等級保護工工作取得重重要進展信息安全風(fēng)風(fēng)險評估工工作更加深深入推進機制從從實踐到成成型標(biāo)準(zhǔn)規(guī)范從從研究到實實施在全國信息息技術(shù)標(biāo)準(zhǔn)準(zhǔn)化技術(shù)委委員會信息息安全技術(shù)術(shù)分委員會會和各界、、各部門的的努力下，，本著積極極采用國際際標(biāo)準(zhǔn)的原原則，轉(zhuǎn)化化了一批國國際信息安安全基礎(chǔ)技技術(shù)標(biāo)準(zhǔn)。。68信息安全保保障的基本本原則——立足國情，，以我為主主，堅持管管理與技術(shù)術(shù)并重；正正確處理安安全與發(fā)展展的關(guān)系，，以安全保保發(fā)展，在在發(fā)展中求求安全；統(tǒng)統(tǒng)籌規(guī)劃，，突出重點點，強化基基礎(chǔ)性工作作；明確國國家、企業(yè)業(yè)、個人的的責(zé)任和義義務(wù)，充分分發(fā)揮各方方面的積極極性，共同同構(gòu)筑國家家信息安全全保障體系系。等級保護制制度：根據(jù)據(jù)應(yīng)用系統(tǒng)統(tǒng)、應(yīng)用單單位的重要要程度，將將信息系統(tǒng)統(tǒng)劃分為不不同的重要要級別，然然后采用不不同的技術(shù)術(shù)和產(chǎn)品進進行保護。。國家信息安安全保障基基本原則6869我國信息安安全保障建建設(shè)的主要要內(nèi)容建立健全國國家信息安安全組織與與管理體制制機制，加加強信息安安全工作的的組織保障障建立健全信信息安全法法律法規(guī)體體系，推進進信息安全全法制建設(shè)設(shè)建立完善信信息安全標(biāo)標(biāo)準(zhǔn)體系，，加強信息息安全標(biāo)準(zhǔn)準(zhǔn)化工作建立信息安安全技術(shù)體體系，實現(xiàn)現(xiàn)國家信息息化發(fā)展的的自主可控控建設(shè)信息安安全基礎(chǔ)設(shè)設(shè)施，提供供國家信息息安全保障障能力支撐撐建立信息安安全人才培培養(yǎng)體系，，加快信息息安全學(xué)科科建設(shè)和信信息安全人人才培養(yǎng)70建立健全信信息安全組組織與管理理體制機制制2002年，國家網(wǎng)網(wǎng)絡(luò)與信息息安全協(xié)調(diào)調(diào)小組成立立；2003年前我國具具備了一套套分層次、、分領(lǐng)域的的信息安全全相關(guān)法律律法規(guī)；2003年第27號文件頒布布推動我國國信息安全全法制建設(shè)設(shè)進入一個個新階段，，信息安全全法律體系系進一步深深化和發(fā)展展；信息安全法法制建設(shè)工工作的現(xiàn)狀狀和發(fā)展。。71建設(shè)信息安安全基礎(chǔ)設(shè)設(shè)施，提提供國家信信息安全保保障能力支支撐建立信息安安全通報和和應(yīng)急處置置體系信息安全應(yīng)應(yīng)急處理機機制的建立立信息安全通通報機制的的建立建立以密碼碼技術(shù)為基基礎(chǔ)的網(wǎng)絡(luò)絡(luò)信任體系系建立信息安安全等級保保護和風(fēng)險險評估體系系建立信息安安全測評認(rèn)認(rèn)證體系完善信息安安全監(jiān)控體體系72建立信息安安全人才培培養(yǎng)體系，，

加快信信息安全學(xué)學(xué)科建設(shè)和和信息安全全人才培養(yǎng)養(yǎng)加強信息安安全理論研研究和信息息安全學(xué)科科、專業(yè)建建設(shè)加強信息安安全的本科科、碩士和和博士學(xué)歷歷教育培養(yǎng)信息安安全的“執(zhí)執(zhí)法”人才才、組織決決策管理人人才、安全全技術(shù)開發(fā)發(fā)人才和技技術(shù)服務(wù)人人才加強安全宣宣傳教育，，普及全民民信息安全全意識73信息安全保保障的基本本原則——信息安全的的等級保護護制度等級保護制制度：根據(jù)據(jù)應(yīng)用系統(tǒng)統(tǒng)、應(yīng)用單單位的重要要程度，將將信息系統(tǒng)統(tǒng)劃分為不不同的重要要級別，然然后采用不不同的技術(shù)術(shù)和產(chǎn)品進進行保護。。國家信息安安全保障基基本原則7374我國信息安安全保障建建設(shè)的主要要內(nèi)容建立健全國國家信息安安全組織與與管理體制制機制，加加強信息安安全工作的的組織保障障建立健全信信息安全法法律法規(guī)體體系，推進進信息安全全法制建設(shè)設(shè)建立完善信信息安全標(biāo)標(biāo)準(zhǔn)體系，，加強信息息安全標(biāo)準(zhǔn)準(zhǔn)化工作建立信息安安全技術(shù)體體系，實現(xiàn)現(xiàn)國家信息息化發(fā)展的的自主可控控建設(shè)信息安安全基礎(chǔ)設(shè)設(shè)施，提供供國家信息息安全保障障能力支撐撐建立信息安安全人才培培養(yǎng)體系，，加快信息息安全學(xué)科科建設(shè)和信信息安全人人才培養(yǎng)75建立健全信信息安全組組織與管理理體制機制制2002年，國家網(wǎng)網(wǎng)絡(luò)與信息息安全協(xié)調(diào)調(diào)小組成立立；2003年前我國具具備了一套套分層次、、分領(lǐng)域的的信息安全全相關(guān)法律律法規(guī)；2003年第27號文件頒布布推動我國國信息安全全法制建設(shè)設(shè)進入一個個新階段，，信息安全全法律體系系進一步深深化和發(fā)展展；信息安全法法制建設(shè)工工作的現(xiàn)狀狀和發(fā)展。。76建設(shè)信息安安全基礎(chǔ)設(shè)設(shè)施，提提供國家信信息安全保保障能力支支撐建立信息安安全通報和和應(yīng)急處置置體系信息安全應(yīng)應(yīng)急處理機機制的建立立信息安全通通報機制的的建立建立以密碼碼技術(shù)為基基礎(chǔ)的網(wǎng)絡(luò)絡(luò)信任體系系建立信息安安全等級保保護和風(fēng)險險評估體系系建立信息安安全測評認(rèn)認(rèn)證體系完善信息安安全監(jiān)控體體系77建立信息安安全人才培培養(yǎng)體系，，

加快信信息安全學(xué)學(xué)科建設(shè)和和信息安全全人才培養(yǎng)養(yǎng)加強信息安安全理論研研究和信息息安全學(xué)科科、專業(yè)建建設(shè)加強信息安安全的本科科、碩士和和博士學(xué)歷歷教育培養(yǎng)信息安安全的“執(zhí)執(zhí)法”人才才、組織決決策管理人人才、安全全技術(shù)開發(fā)發(fā)人才和技技術(shù)服務(wù)人人才加強安全全宣傳教教育，普普及全民民信息安安全意識識78我國在信信息安全全保障領(lǐng)領(lǐng)域的國國際合作作在信息安安全領(lǐng)域域開展國國際合作作，是充充分利用用我國戰(zhàn)戰(zhàn)略發(fā)展展的機遇遇期，營營造和諧諧、和平平的良好好國際環(huán)環(huán)境，謀謀求我更更深更廣廣發(fā)展的的重要措措施。嚴(yán)格遵守守《聯(lián)合國憲憲章》和國際公公認(rèn)的信信息通信信技術(shù)的的使用準(zhǔn)準(zhǔn)則，妥妥善解決決信息安安全問題題。倡導(dǎo)加強強各國在在信息安安全領(lǐng)域域的交流流與合作作。79制定信息息安全保保障需求求的作用用制定信息息系統(tǒng)安安全保障障需求的的方法和和原則信息安全全保障解解決方案案確定安全全保障解解決方案案的原則則實施信息息安全保保障解決決方案的的原則信息安全全測評信息安全全測評的的重要性性國內(nèi)外信信息安全全測評現(xiàn)現(xiàn)狀產(chǎn)品、人人員、商商資、系系統(tǒng)測評評的方法法和流程程持續(xù)提高高信息系系統(tǒng)安全全保障能能力。信息系統(tǒng)統(tǒng)安全監(jiān)監(jiān)護和維維護確定需求求制定方案案開展測評評持續(xù)改進進信息安全全保障工工作基本本內(nèi)容7980確定需求求制定方案案開展測評評持續(xù)改進進步驟一：確定信信息系統(tǒng)統(tǒng)安全保保障需求求步驟二：規(guī)范化化、結(jié)構(gòu)構(gòu)化的描描述信息息系統(tǒng)安安全保障障具體需需求步驟三：根據(jù)信信息系統(tǒng)統(tǒng)安全保保障需求求編制具具體的信信息系統(tǒng)統(tǒng)安全保保障解決決方案步驟五：用戶根根據(jù)信息息系統(tǒng)安安全保障障評估情情況進行行改進，，形成滿滿足安全全保障需需求的可可持續(xù)改改進的安安全保障障能力。。步驟四：對信息息系統(tǒng)安安全保障障進行評評估信息安全全保障建建設(shè)步驟驟80知識體：：信息安安全政策策法規(guī)知識域：：有關(guān)重重點法律律法規(guī)解解讀了解《中中華人民民共和國國保密法法》；了解《刑刑法》和和《國家家安全法法》關(guān)于于信息安安全的重重要條款款；理解《信信息安全全等級保保護管理理辦法》》。知識域：：有關(guān)重重點政策策解讀了解：《《國家信信息化領(lǐng)領(lǐng)導(dǎo)小組組關(guān)于加加強信息息安全保保障工作作的意見見》；了解《關(guān)關(guān)于加強強政府信信息系統(tǒng)統(tǒng)安全和和保密管管理工作作的通知知》。81我國信息息安全法法治建設(shè)設(shè)的發(fā)展展歷程通信保密密安全計算機系系統(tǒng)安全網(wǎng)絡(luò)信息息系統(tǒng)安安全1994年2000年2003年保守國家家秘密法法（1989）（2010年修訂））中央關(guān)于于加強密密碼工作作的決定定計算機信信息系統(tǒng)統(tǒng)安全保保護條例例（草案）-86計算機信信息系統(tǒng)統(tǒng)安全保護護條例（（1994）計算機信信息系統(tǒng)統(tǒng)安全專專用產(chǎn)品品檢測和和銷售許許可證管管理辦法法-97計算機信信息網(wǎng)絡(luò)絡(luò)國際聯(lián)聯(lián)網(wǎng)安全全保護管管理辦法法-97計算機信信息系統(tǒng)統(tǒng)保密管管理暫行行規(guī)定-98商用密碼碼管理條條例-99關(guān)于維護護互聯(lián)網(wǎng)網(wǎng)安全的決定（（2000）互聯(lián)網(wǎng)信信息服務(wù)務(wù)管理辦辦法計算機病病毒防治治管理辦辦法計算機信信息系統(tǒng)統(tǒng)國際聯(lián)聯(lián)網(wǎng)保密密管理規(guī)規(guī)定-0082《保守國家家秘密法法》（保密法法1）演進《保守國家家秘密暫暫行條例例》（1951年）《保守國家家秘密法法》（1989年）《保守國家家秘密法法》（2010年修訂，，4月29日修訂，，10月1日施行））主旨（總總則）目的：保守國家家秘密，，維護國國家安全全和利益益。國家秘密密是關(guān)系系國家安安全和利利益，依依照法定定程序確確定，在在一定時時間內(nèi)只只限一定定范圍的的人員知知悉的事事項。國家秘密密受法律律保護。。一切國家家機關(guān)、、武裝力力量、政政黨、社社會團體體、企業(yè)業(yè)事業(yè)單單位和公公民都有有保守國國家秘密密的義務(wù)務(wù)。國家保密密行政管管理部門門主管全全國的保保密工作作。國家機關(guān)關(guān)和涉及及國家秘秘密的單單位（以以下簡稱稱機關(guān)、、單位））管理本本機關(guān)和和本單位位的保密密工作。。保密工作作責(zé)任制制：健全全保密管管理制度度，完善善保密防防護措施施，開展展保密宣宣傳教育育，加強強保密檢檢查。法律83《保守國家家秘密法法》（保密法法2）國家秘密密的范圍圍國家事務(wù)務(wù)、國防武裝、外交外事、政政黨秘密密國民經(jīng)濟濟和社會會發(fā)展、、科學(xué)技技術(shù)維護國家家安全的的活動、、經(jīng)保密密主管部部門確定定的事項項等國家秘密密的密級級絕密---是最重要要的國家家秘密，，泄露會會使國家家安全和和利益遭遭受特別別嚴(yán)重的的損害；；保密期限限不超過過30年；機密---是重要的的國家秘秘密，泄泄露會使使國家安安全和利利益遭受受嚴(yán)重的的損害；；保密期限限不超過過20年；秘密---是一般的的國家秘秘密，泄泄露會使使國家安安全和利利益遭受受損害；；保密期限限不超過過10年。國家秘密密的其他他基本屬屬性定密權(quán)限限（定密密責(zé)任人人）、保保密期限限、解密條件件、知悉悉范圍國家秘密密載體、、國家秘秘密標(biāo)志志法律84《保守國家家秘密法法》（保密法法3）保密制度度對國家秘秘密載體體的行為為要求；；對屬于國國家秘密密的設(shè)備備、產(chǎn)品品的行為為要求；；對存儲、、處理國國家秘密密的計算算機信息息系統(tǒng)的的要求---分級保護護；對組織和和個人的的行為要要求（涉涉密信息息系統(tǒng)管管理、國國家秘密密載體管管理、公公開發(fā)布布信息、、各類涉涉密采購購、涉密密人員分分類管理理、保密密教育培培訓(xùn)、保保密協(xié)議議等）；；對公共信息息網(wǎng)絡(luò)及及其他傳傳媒的行為要要求；對互聯(lián)網(wǎng)及及其他公公共信息息網(wǎng)絡(luò)運運營商、、服務(wù)商商的行為要要求。監(jiān)督管理理國家保密密行政管管理部門門依照法法律、行行政法規(guī)規(guī)的規(guī)定定，制定定保密規(guī)規(guī)章和國國家保密密標(biāo)準(zhǔn)。。組織開展保密密宣傳教教育、保保密檢查查、保密密技術(shù)防防護和泄泄密案件件查處工工作，對對機關(guān)、、單位的的保密工工作進行行指導(dǎo)和和監(jiān)督。。法律85《保守國家家秘密法法》（保密法法4）法律責(zé)任任（第48條人員處分分及追究究刑責(zé)））（一）非非法獲取取、持有有國家秘秘密載體體的；（二）買買賣、轉(zhuǎn)轉(zhuǎn)送或者者私自銷銷毀國家家秘密載載體的；；（三）通通過普通通郵政、、快遞等等無保密密措施的的渠道傳傳遞國家家秘密載載體的；；（四）郵郵寄、托托運國家家秘密載載體出境境，或者者未經(jīng)有有關(guān)主管管部門批批準(zhǔn)，攜攜帶、傳傳遞國家家秘密載載體出境境的；（五）非非法復(fù)制制、記錄錄、存儲儲國家秘秘密的；；（六）在在私人交交往和通通信中涉涉及國家家秘密的的；（七）在在互聯(lián)網(wǎng)網(wǎng)及其他他公共信信息網(wǎng)絡(luò)絡(luò)或者未未采取保保密措施施的有線線和無線線通信中中傳遞國國家秘密密的；（八）將將涉密計計算機、、涉密存存儲設(shè)備備接入互互聯(lián)網(wǎng)及及其他公公共信息息網(wǎng)絡(luò)的的；（九）在在未采取取防護措措施的情情況下，，在涉密密信息系系統(tǒng)與互互聯(lián)網(wǎng)及及其他公公共信息息網(wǎng)絡(luò)之之間進行行信息交交換的；；（十）使使用非涉涉密計算算機、非非涉密存存儲設(shè)備備存儲、、處理國國家秘密密信息的的；（十一））擅自卸卸載、修修改涉密密信息系系統(tǒng)的安安全技術(shù)術(shù)程序、、管理程程序的；；（十二））將未經(jīng)經(jīng)安全技技術(shù)處理理的退出出使用的的涉密計計算機、、涉密存存儲設(shè)備備贈送、、出售、、丟棄或或者改作作其他用用途的。。有前款行行為尚不不構(gòu)成犯犯罪，且且不適用用處分的的人員，，由保密密行政管管理部門門督促其其所在機機關(guān)、單單位予以以處理。。法律86《刑法》中的有關(guān)關(guān)規(guī)定（（1）《刑法》第六章妨礙社會會管理秩秩序罪第一節(jié)擾亂公共共秩序罪罪第285、286、287條285條：非法侵侵入計計算機機信息息系統(tǒng)統(tǒng)罪；；非法法獲取取計算算機信信息系系統(tǒng)數(shù)數(shù)據(jù)、、非法法控制制計算算機信信息系系統(tǒng)罪罪；提提供侵侵入、、非法法控制制計算算機信信息系系統(tǒng)程程序、、工具具罪。。違反國國家規(guī)規(guī)定，，侵入入國家家事務(wù)務(wù)、國國防建建設(shè)、、尖端端科學(xué)學(xué)技術(shù)術(shù)領(lǐng)域域的計計算機機信息息系統(tǒng)統(tǒng)的，，處三三年以以下有有期徒徒刑或或者拘拘役。。違反國國家規(guī)規(guī)定，，侵入入前款款規(guī)定定以外外的計計算機機信息息系統(tǒng)統(tǒng)或者者采用用其他他技術(shù)術(shù)手段段，獲獲取該該計算算機信信息系系統(tǒng)中中存儲儲、處處理或或者傳傳輸?shù)牡臄?shù)據(jù)據(jù)，或或者對對該計計算機機信息息系統(tǒng)統(tǒng)實施施非法法控制制，情情節(jié)嚴(yán)嚴(yán)重的的，處處三年年以下下有期期徒刑刑或者者拘役役，并并處或或者單單處罰罰金；；情節(jié)節(jié)特別別嚴(yán)重重的，，處三三年以以上七七年以以下有有期徒徒刑，，并處處罰金金。提供專專門用用于侵侵入、、非法法控制制計算算機信信息系系統(tǒng)的的程序序、工工具，，或者者明知知他人人實施施侵入入、非非法控控制計計算機機信息息系統(tǒng)統(tǒng)的違違法犯犯罪行行為而而為其其提供供程序序、工工具，，情節(jié)節(jié)嚴(yán)重重的，，依照照前款款的規(guī)規(guī)定處處罰。。法律87《刑法》中的有有關(guān)規(guī)規(guī)定（（2）《刑法法》第六章章妨礙社社會管管理秩秩序罪罪第一節(jié)擾亂公共共秩序罪罪第285、286、287條286條：破壞計算算機信息息系統(tǒng)罪罪。違反國家家規(guī)定，，對計算算機信息息系統(tǒng)功功能進行行刪除、、修改、、增加、、干擾，，造成計計算機信信息系統(tǒng)統(tǒng)不能正正常運行行，后果果嚴(yán)重的的，處五五年以下下有期徒徒刑或者者拘役；；后果特特別嚴(yán)重重的，處處五年以以上有期期徒刑。。違反國家家規(guī)定，，對計算算機信息息系統(tǒng)中中存儲、、處理或或者傳輸輸?shù)臄?shù)據(jù)據(jù)和應(yīng)用用程序進進行刪除除、修改改、增加加的操作作，后果果嚴(yán)重的的，依照照前款的的規(guī)定處處罰。故意制作作、傳播播計算機機病毒等等破壞性性程序，，影響計計算機系系統(tǒng)正常常運行，，后果嚴(yán)嚴(yán)重的，，依照第第一款的的規(guī)定處處罰。287條：利用計算算機實施施犯罪的的提示性性規(guī)定。。利用計算算機實施施金融詐詐騙、盜盜竊、貪貪污、挪挪用公款款、竊取取國家秘秘密或者者其他犯犯罪的，，依照本本法有關(guān)關(guān)規(guī)定定定罪處罰罰。88法律《國家安全全法》中的有關(guān)關(guān)規(guī)定《國家安全全法》第二章國家安全全機關(guān)在在國家安安全工作作中的職職權(quán)第10、11條第10條國國家安全全機關(guān)因因偵察危危害國家家安全行行為的需需要，根根據(jù)國家家有關(guān)規(guī)規(guī)定，經(jīng)經(jīng)過嚴(yán)格格的批準(zhǔn)準(zhǔn)手續(xù)，，可以采采取技術(shù)術(shù)偵察措措施。第11條國國家安全全機關(guān)為為維護國國家安全全的需要要，可以以查驗組組織和個個人的電電子通信信工具、、器材等等設(shè)備、、設(shè)施。。法律89《全國人大大關(guān)于維維護互聯(lián)聯(lián)網(wǎng)安全全的決定定》背景互聯(lián)網(wǎng)日日益廣泛泛的應(yīng)用用，對于于加快我我國國民民經(jīng)濟、、科學(xué)技技術(shù)的發(fā)發(fā)展和社社會服務(wù)務(wù)信息化化進程具具有重要要作用。。如何保保障互聯(lián)聯(lián)網(wǎng)的運運行安全全和信息息安全問問題已經(jīng)經(jīng)引起全全社會的的普遍關(guān)關(guān)注。互聯(lián)網(wǎng)安安全的范范疇（法法律約束束力）互聯(lián)網(wǎng)的的運行安安全（侵入、破破壞性程程序、攻攻擊、中中斷服務(wù)務(wù)等）國家安全全和社會會穩(wěn)定（（有害信息息、竊取取/泄露國家家秘密、、煽動、、非法組組織等）市場經(jīng)濟濟秩序和和社會管管理秩序序（銷售偽劣劣產(chǎn)品/虛假宣傳傳、損害害商業(yè)信信譽、侵侵犯知識識產(chǎn)權(quán)、、擾亂金金融秩序序、淫穢穢內(nèi)容服服務(wù)等）個人、法法人和其其他組織織的人身身、財產(chǎn)產(chǎn)等合法法權(quán)利（（侮辱或誹誹謗他人人、非法法處理他他人信息息數(shù)據(jù)/侵犯通信信自有和和通信秘秘密、盜盜竊/詐騙/敲詐勒索索等）法律責(zé)任任構(gòu)成犯罪罪的，依依照刑法法有關(guān)規(guī)規(guī)定追究究刑事責(zé)責(zé)任構(gòu)成民事事侵權(quán)的的，依法法承擔(dān)民民事責(zé)任任尚不構(gòu)成成犯罪的的：治安安管理處處罰/行政處罰罰/行政處分分或紀(jì)律律處分法律90關(guān)于信息息安全等等級保護護工作的的實施意見見（公字通[2004]66號）1信息安全全等級保保護是保障和促促進信息息化建設(shè)設(shè)健康發(fā)發(fā)展的一一項基本本制度核心是對對信息安安全分等等級、按按標(biāo)準(zhǔn)進進行建設(shè)設(shè)、管理理和監(jiān)督督公安機關(guān)關(guān)負(fù)責(zé)信信息安全全等級保保護工作作的監(jiān)督督、檢查查、指導(dǎo)導(dǎo)保密/密碼/信息化工工作部門門各自的的職責(zé)分分工信息和信信息系統(tǒng)統(tǒng)的安全全保護等等級（及其適用用范圍）第一級為為自主保保護級第二級為為指導(dǎo)保保護級第三級為為監(jiān)督保保護級第四級為為強制保保護級第五級為為專控保保護級定級依據(jù)據(jù)根據(jù)信息息和信息息系統(tǒng)在在國家安安全、經(jīng)經(jīng)濟建設(shè)設(shè)、社會會生活中中的重要要程度;遭到破壞壞后對國國家安全全、社會會秩序、、公共利利益以及及公民、、法人和和其他組組織的合合法權(quán)益益的危害害程度91關(guān)于信息息安全等等級保護護工作的的實施意見見（公字通[2004]66號）2實施要求求完善標(biāo)準(zhǔn)準(zhǔn),分類指導(dǎo)導(dǎo)（管理理規(guī)范和和技術(shù)標(biāo)標(biāo)準(zhǔn)）科學(xué)定級級,嚴(yán)格備案案（專家家評審委委員會。。三級以上上系統(tǒng)備備案）建設(shè)整改改,落實措施施（信息系統(tǒng)統(tǒng)：已有有、新建、改改建、擴擴建）自查自糾糾,落實要求求（運營營、使使用單位位及其主主管部門門）建立制度度,加強管理理（運營營、使使用單位位及其主主管部門門）監(jiān)督檢查查,完善保護護（公安安機關(guān)重點對第三、第第四級系統(tǒng)）其他等級級要求國家對信信息安全全產(chǎn)品的的使用實實行分等等級管理理信息安全全事件實實行分等等級響應(yīng)應(yīng)、處置置的制度度92關(guān)于印發(fā)發(fā)<信息安全全等級保保護管理理辦法>的通知（（公字通[2007]43號）《通知》》是政策策，《管管理辦法法》屬于于法律法法規(guī)四部委聯(lián)合合發(fā)文：：公安部部、保密密局、密密碼管理理局、原原國信辦辦國家信息息安全等等級保護護堅持“自主定級級、自主主保護”的原則信息系統(tǒng)統(tǒng)的安全全保護等等級分為為五級實施與管管理具體實施施等級保保護工作作參照標(biāo)準(zhǔn)準(zhǔn)：《信息系統(tǒng)統(tǒng)安全等等級保護護實施指指南》確定安全全保護等等級參照標(biāo)準(zhǔn)準(zhǔn)：《信息系統(tǒng)安全全等級保保護定級級指南》系統(tǒng)建設(shè)設(shè)參照標(biāo)準(zhǔn)準(zhǔn)：《信息系統(tǒng)安全全等級保保護基本要求求》等等級測評評參照標(biāo)準(zhǔn)準(zhǔn)：《信息系統(tǒng)安全全等級保保護測評要求求》二級以上上系統(tǒng)的的備案要要求（由由公安機機關(guān)頒發(fā)發(fā)備案證明明）三級以上上系統(tǒng)的的定期自自查、測測評和檢檢查要求求三級以上上系統(tǒng)的的信息安安全產(chǎn)品品選擇使使用要求求三級以上上系統(tǒng)等級保護護測評機機構(gòu)的選擇要要求涉密信息息系統(tǒng)按分級保護護管理（（略）對信息安安全等級級保護的的密碼實實行分類類分級管管理（略）93《國家信息息化領(lǐng)導(dǎo)導(dǎo)小組關(guān)關(guān)于加強強信息安安全保障障工作的的意見》（中辦發(fā)發(fā)[2003]27號）1意義標(biāo)志著我我國信息息安全保保障工作作有了總總體綱領(lǐng)領(lǐng)提出要在在5年內(nèi)建設(shè)設(shè)中國信信息安全全保障體體系總體要求求堅持積極極防御、、綜合防防范的方方針，全全面提高高信息安安全防護護能力，，重點保保障基礎(chǔ)礎(chǔ)信息網(wǎng)網(wǎng)絡(luò)和重重要信息息系統(tǒng)安安全，創(chuàng)創(chuàng)建安全全健康的的網(wǎng)絡(luò)環(huán)環(huán)境，保保障和促促進信息息化發(fā)展展，保護護公眾利利益，維維護國家家安全。。主要原則則立足國情情，以我我為主，，堅持技技術(shù)與管管理并重重；正確處理理安全和和發(fā)展的的關(guān)系，，以安全全保發(fā)展展，在發(fā)發(fā)展中求求安全；；統(tǒng)籌規(guī)劃劃，突出出重點，，強化基基礎(chǔ)工作作；明確國家家、企業(yè)業(yè)、個人人的責(zé)任任和義務(wù)務(wù)，充分分發(fā)揮各各方面的的積極性性，共同同構(gòu)筑國國家信息息安全保保障體系系。94《國家信息息化領(lǐng)導(dǎo)導(dǎo)小組關(guān)關(guān)于加強強信息安安全保障障工作的的意見》（中辦發(fā)發(fā)[2003]27號）2主要任務(wù)務(wù)（重點加強強的安全全保障工工作）實行信息息安全等等級保護護加強以密密碼技術(shù)術(shù)為基礎(chǔ)礎(chǔ)的信息息保護和和網(wǎng)絡(luò)信信任體系系建設(shè)建設(shè)和完完善信息息安全監(jiān)監(jiān)控體系系重視信息息安全應(yīng)應(yīng)急處理理工作加強信息息安全技技術(shù)研究究開發(fā)，，推進信信息安全全產(chǎn)業(yè)發(fā)發(fā)展加強信息息安全法法制建設(shè)設(shè)和標(biāo)準(zhǔn)準(zhǔn)化建設(shè)設(shè)加快信息息安全人人才培養(yǎng)養(yǎng)，增強強全民信信息安全全意識保證信息息安全資資金加強對信信息安全全保障工工作的領(lǐng)領(lǐng)導(dǎo)，建建立健全全信息安安全管理理責(zé)任制制信息安全全與國家家安全27號文：信信息安全全已成為為國家安安全的重重要組成成部分十六屆四四中全會會：確保保國家的的政治安安全、經(jīng)經(jīng)濟安全全、文化化安全和和信息安安全十一五：：試點十二五：：普及推推廣95關(guān)于加強強政府信信息安全全和保密密管理工工作的通通知（國辦發(fā)[2008]17號）明確職責(zé)責(zé)把信息安全全和保密密工作列列入重要要議事日日程，明明確一名名主管領(lǐng)領(lǐng)導(dǎo)誰主管誰誰負(fù)責(zé)、、誰運行行誰負(fù)責(zé)責(zé)、誰使使用誰負(fù)負(fù)責(zé)強化人員員培訓(xùn)組織信息息安全和和保密基基本技能能培訓(xùn)，，開展信信息安全全和保密