網(wǎng)絡(luò)與信息安全概論-信息安全體系結(jié)構(gòu)篇要點(diǎn)課件

第1章信息安全概述什么是信息安全？信息安全體系結(jié)構(gòu)我國(guó)的信息安全對(duì)策本章小結(jié)1.1什么是信息安全？隨著世界科學(xué)技術(shù)的迅猛發(fā)展和信息技術(shù)的廣泛應(yīng)用，特別是我國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)信息化進(jìn)程的全面加快，網(wǎng)絡(luò)與信息系統(tǒng)的基礎(chǔ)性、全局性作用日益增強(qiáng)，信息安全已經(jīng)成為國(guó)家安全的重要組成部分。引自《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)）增強(qiáng)國(guó)家安全意識(shí)，完善國(guó)家安全戰(zhàn)略，健全科學(xué)、協(xié)調(diào)、高效的工作機(jī)制，有效應(yīng)對(duì)各種傳統(tǒng)安全威脅和非傳統(tǒng)安全威脅，嚴(yán)厲打擊境內(nèi)外敵對(duì)勢(shì)力的滲透、顛覆、破壞活動(dòng)，確保國(guó)家政治安全、經(jīng)濟(jì)安全、文化安全、信息安全。引自《中共中央關(guān)于構(gòu)建社會(huì)主義和諧社會(huì)若干重大問(wèn)題的決定》（2006年10月11日中國(guó)共產(chǎn)黨第十六屆中央委員會(huì)第六次全體會(huì)議通過(guò)）1.1.1信息的安全屬性什么是信息安全？信息的安全屬性保密性（confidentiality）完整性（integrity）可用性（availability）可控性不可否認(rèn)性……（1）保密性保密性（confidentiality）信息不能被未授權(quán)的個(gè)人，實(shí)體或者過(guò)程利用或知悉的特性。保證保密性的方法物理保密：采用各種物理方法，如限制、隔離、控制等措施保護(hù)信息不被泄露；信息加密：采用密碼技術(shù)加密信息，沒(méi)有密鑰的用戶無(wú)法解密密文信息；信息隱藏：將信息嵌入其它客體中，隱藏信息的存在；電磁屏蔽：防止信息以電磁的方式（電磁輻射、電磁泄漏）發(fā)送出去。保密性不但包括信息內(nèi)容的保密，而且包括信息狀態(tài)的保密。（2）完整性完整性（integrity）數(shù)據(jù)沒(méi)有遭受以非授權(quán)方式所作的篡改或破壞。影響信息完整性的主要因素有：設(shè)備故障，傳輸、處理和存儲(chǔ)過(guò)程中產(chǎn)生的誤碼，人為攻擊和計(jì)算機(jī)病毒等。

保證完整性的方法協(xié)議：通過(guò)安全協(xié)議自身檢測(cè)出被丟失、重復(fù)和亂序的信息，重放的信息，修改的信息；檢錯(cuò)、糾錯(cuò)編碼方法：完成檢錯(cuò)和糾錯(cuò)功能，常用的奇偶校驗(yàn)就是檢錯(cuò)編碼；密碼校驗(yàn)和方法：實(shí)現(xiàn)抗篡改和驗(yàn)證傳輸是否出錯(cuò)；數(shù)字簽名：保證信息的真實(shí)性，說(shuō)明其未受到篡改；公證：通過(guò)第三方公證機(jī)構(gòu)證明信息的真實(shí)性。保密性要求信息不被泄露給未授權(quán)的人，而完整性要求信息不致受到各種原因的破壞。（3）可用性可用性（availability）根據(jù)授權(quán)實(shí)體的要求可被訪問(wèn)和可被使用的特性。網(wǎng)絡(luò)環(huán)境下的可用性不僅包括用戶可訪問(wèn)硬件和軟件資源，還包括用戶有能力獲得所期望的服務(wù)質(zhì)量QoS，如具有一定吞吐量的網(wǎng)絡(luò)帶寬。

保證可用性的方法避免遭受攻擊：一些基于網(wǎng)絡(luò)的攻擊旨在破壞、降級(jí)或摧毀網(wǎng)絡(luò)資源。免受攻擊的方法包括：關(guān)閉操作系統(tǒng)和網(wǎng)絡(luò)配置中的安全漏洞，控制授權(quán)實(shí)體對(duì)資源的訪問(wèn)，限制監(jiān)測(cè)流經(jīng)系統(tǒng)的數(shù)據(jù)來(lái)防止插入病毒等有害數(shù)據(jù)，防止路由表等網(wǎng)絡(luò)數(shù)據(jù)的泄露。避免未授權(quán)使用：當(dāng)資源被使用、占用、或過(guò)載時(shí)，其可用性會(huì)受到限制。如果未授權(quán)用戶占用了有限的資源，如處理能力、網(wǎng)絡(luò)帶寬等，那么授權(quán)用戶就不可用了。避免未授權(quán)使用的方法包括：通過(guò)訪問(wèn)控制限制未授權(quán)用戶使用資源。防止例程（routine）失?。赫５牟僮魇д`和自然行為也可能導(dǎo)致系統(tǒng)可用性降低。解決的方法包括：使用具有高可靠性的設(shè)備、提供設(shè)備冗余和提供多路徑的網(wǎng)絡(luò)連接。（4）可控性（Controllability）

可控性是指能夠控制使用信息資源的人或?qū)嶓w的使用方式。社會(huì)中存在著不法分子和各種敵對(duì)勢(shì)力，不加控制地廣泛使用信息安全設(shè)施和裝置時(shí)，會(huì)嚴(yán)重影響政府對(duì)社會(huì)的監(jiān)控管理行為。從國(guó)家的層面看，信息安全中的可控性不但涉及到了信息的可控，還與安全產(chǎn)品、安全市場(chǎng)、安全廠商、安全研發(fā)人員的可控性密切相關(guān)。（5）不可否認(rèn)性（Non-repudiation）不可否認(rèn)性，也稱抗抵賴性。它是傳統(tǒng)社會(huì)的不可否認(rèn)需求在信息社會(huì)中的延伸。原發(fā)不可否認(rèn)用于防止發(fā)送者否認(rèn)自己已發(fā)送的數(shù)據(jù)接收不可否認(rèn)防止接收者否認(rèn)已接收過(guò)的數(shù)據(jù)保證不可否認(rèn)性的技術(shù)主要包括數(shù)字簽名、可信第三方和公證等。研究信息安全，離不開(kāi)信息的載體，本課程主要研究信息和信息系統(tǒng)的安全，或者更確切地說(shuō)是網(wǎng)絡(luò)環(huán)境下的復(fù)雜信息系統(tǒng)的安全性問(wèn)題。1.1.2信息安全的發(fā)展歷程信息安全三個(gè)發(fā)展階段通信安全階段計(jì)算機(jī)安全和信息安全階段信息安全保障階段信息安全三個(gè)發(fā)展階段時(shí)代階段1940S1970S通信安全階段1990S計(jì)算機(jī)安全信息安全階段信息保障階段1949年Shannon發(fā)表的《保密系統(tǒng)的通信理論》主要安全威脅：搭線竊聽(tīng)和密碼學(xué)分析主要防護(hù)措施：數(shù)據(jù)加密1977年美國(guó)國(guó)家標(biāo)準(zhǔn)局（NBS）公布《國(guó)家數(shù)據(jù)加密標(biāo)準(zhǔn)》（DES）和1985年美國(guó)國(guó)防部（DoD）公布的《可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則》（TCSEC）主要安全威脅：信息的非授權(quán)訪問(wèn)。主要措施：安全操作系統(tǒng)的可信計(jì)算基技術(shù)（TCB）保護(hù)、檢測(cè)、反應(yīng)和恢復(fù)能力，PDRR（1）通信保密階段開(kāi)始于20世紀(jì)40年代，標(biāo)志是1949年Shannon發(fā)表的《保密系統(tǒng)的通信理論》，該理論將密碼學(xué)的研究納入了科學(xué)的軌道。所面臨的主要安全威脅：搭線竊聽(tīng)和密碼學(xué)分析。主要的防護(hù)措施：數(shù)據(jù)加密。人們主要關(guān)心通信安全，主要關(guān)心對(duì)象是軍方和政府。需要解決的問(wèn)題：在遠(yuǎn)程通信中拒絕非授權(quán)用戶的信息訪問(wèn)以及確保通信的真實(shí)性，包括加密、傳輸保密、發(fā)射保密以及通信設(shè)備的物理安全。技術(shù)重點(diǎn)：通過(guò)密碼技術(shù)解決通信保密問(wèn)題，保證數(shù)據(jù)的保密性和完整性。（2）計(jì)算機(jī)安全和信息安全階段進(jìn)入20世紀(jì)70年代，轉(zhuǎn)變到計(jì)算機(jī)安全階段。標(biāo)志是1977年美國(guó)國(guó)家標(biāo)準(zhǔn)局（NBS）公布的《國(guó)家數(shù)據(jù)加密標(biāo)準(zhǔn)》（DES）和1985年美國(guó)國(guó)防部（DoD）公布的《可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則》（TCSEC）。這些標(biāo)準(zhǔn)的提出意味著解決計(jì)算機(jī)信息系統(tǒng)保密性問(wèn)題的研究和應(yīng)用邁上了歷史的新臺(tái)階。該階段最初的重點(diǎn)是確保計(jì)算機(jī)系統(tǒng)中的硬件、軟件及在處理、存儲(chǔ)、傳輸信息中的保密性。主要安全威脅：信息的非授權(quán)訪問(wèn)。主要保護(hù)措施：安全操作系統(tǒng)的可信計(jì)算基技術(shù)（TCB），其局限性在于仍沒(méi)有超出保密性的范疇。國(guó)際標(biāo)準(zhǔn)化組織（ISO）將“計(jì)算機(jī)安全”定義為：為數(shù)據(jù)處理系統(tǒng)建立的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露。（2）計(jì)算機(jī)安全和信息安全階段20世紀(jì)90年代以來(lái)，通信和計(jì)算機(jī)技術(shù)相互依存，數(shù)字化技術(shù)促進(jìn)了計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展成為全天候、通全球、個(gè)人化、智能化的信息高速公路，Internet成了尋常百姓可及的家用技術(shù)平臺(tái)，安全的需求不斷地向社會(huì)的各個(gè)領(lǐng)域發(fā)展，人們的關(guān)注對(duì)象已經(jīng)逐步從計(jì)算機(jī)轉(zhuǎn)向更具本質(zhì)性的信息本身，信息安全的概念隨之產(chǎn)生。這一階段密碼學(xué)的進(jìn)展在密碼學(xué)方面，公鑰技術(shù)得到長(zhǎng)足的發(fā)展，著名的RSA公開(kāi)密鑰密碼算法獲得了日益廣泛的應(yīng)用，用于完整性校驗(yàn)的Hash函數(shù)的研究應(yīng)用也越來(lái)越多。為了奠定21世紀(jì)的分組密碼算法基礎(chǔ)，美國(guó)國(guó)家技術(shù)和標(biāo)準(zhǔn)研究所（NIST）推行了高級(jí)加密標(biāo)準(zhǔn)（AES）的項(xiàng)目，1998年7月選出了15種分組密碼算法作為候選算法，最終把Rijndael的算法選成了AES算法。另外，把公鑰密碼算法的研究和應(yīng)用投向了橢圓曲線公開(kāi)密鑰密碼算法上。（3）信息安全保障階段

20世紀(jì)末，對(duì)信息系統(tǒng)的攻擊日趨頻繁，安全的概念逐漸發(fā)生了兩個(gè)方面的變化：安全不再局限于信息的保護(hù)，人們需要的是對(duì)整個(gè)信息和信息系統(tǒng)的保護(hù)和防御，包括了保護(hù)、檢測(cè)、反應(yīng)和恢復(fù)能力（ProtectDetectReactRestore，PDRR）。安全的相對(duì)性、動(dòng)態(tài)性日趨引起注意，追求適度風(fēng)險(xiǎn)的信息安全成為共識(shí)，安全不再單純以功能或機(jī)制的強(qiáng)度作為評(píng)判指標(biāo)，而是結(jié)合了應(yīng)用環(huán)境和應(yīng)用需求，強(qiáng)調(diào)安全是一種信心的度量，使信息系統(tǒng)的使用者確信其預(yù)期的安全目標(biāo)已獲滿足。信息安全保障（IA）的概念美國(guó)軍方提出了信息安全保障（IA）的概念：

保護(hù)和防御信息及信息系統(tǒng)，確保其可用性、完整性、保密性、鑒別、不可否認(rèn)性等特性。這包括在信息系統(tǒng)中融入保護(hù)、檢測(cè)、反應(yīng)功能，并提供信息系統(tǒng)的恢復(fù)功能。（美國(guó)國(guó)防部令S-3600.1）在信息安全保障的研究中，美國(guó)軍方走在世界前列，其代表性的文獻(xiàn)之一是NSA于2000年9月發(fā)布的《信息保障技術(shù)框架》3.0版（IATF），2002年9月更新為3.1版。（/）信息安全保障（IA）的概念信息保障除強(qiáng)調(diào)信息安全的保護(hù)能力外，更加重視系統(tǒng)的入侵檢測(cè)能力、系統(tǒng)的事件反應(yīng)能力以及系統(tǒng)遭受破壞后的快速恢復(fù)能力。關(guān)注的是信息系統(tǒng)整個(gè)生命周期的防御和恢復(fù)。

1.1.3信息安全的概念信息安全（信息安全保障）的概念：

信息安全保障是對(duì)信息和信息系統(tǒng)的安全屬性及功能、效率進(jìn)行保障的動(dòng)態(tài)行為過(guò)程。運(yùn)用源于人、管理、技術(shù)等因素所形成的保護(hù)能力、檢測(cè)能力、反應(yīng)能力、恢復(fù)能力，在信息和系統(tǒng)生命周期全過(guò)程的各個(gè)狀態(tài)下，保證信息內(nèi)容、計(jì)算環(huán)境、邊界與連接、網(wǎng)絡(luò)基礎(chǔ)設(shè)施的可用性、完整性、保密性、可控性、不可否認(rèn)性等安全屬性，從而保障應(yīng)用服務(wù)的效率和效益，促進(jìn)信息化的可持續(xù)健康發(fā)展。1.2信息安全體系結(jié)構(gòu)什么是體系結(jié)構(gòu)？信息安全體系結(jié)構(gòu)1.2.1什么是體系結(jié)構(gòu)？英文“architecture（建筑）”，與“建筑”相類似，一個(gè)體系結(jié)構(gòu)應(yīng)該包括一組構(gòu)件以及構(gòu)件之間的聯(lián)系。辭海中的解釋：“體系：若干有關(guān)事物互相聯(lián)系互相制約而構(gòu)成的一個(gè)整體。如：理論體系，語(yǔ)法體系，工業(yè)體系”例如：計(jì)算機(jī)體系結(jié)構(gòu)、網(wǎng)絡(luò)體系結(jié)構(gòu)1.2.2信息安全體系結(jié)構(gòu)信息安全體系結(jié)構(gòu)是針對(duì)信息系統(tǒng)而言。信息系統(tǒng)安全是一個(gè)多維、多層次、多因素、多目標(biāo)的體系，是確保信息系統(tǒng)結(jié)構(gòu)安全，與信息系統(tǒng)相關(guān)的元素安全，以及與此相關(guān)的各種安全技術(shù)，安全服務(wù)和安全管理的總和。研究信息系統(tǒng)安全體系結(jié)構(gòu)才更具有體系性、可設(shè)計(jì)性、可實(shí)現(xiàn)性和可操作性。1.信息安全體系結(jié)構(gòu)模型（1）安全要素人：信息系統(tǒng)的整個(gè)生命周期都離不開(kāi)人的參與，包括信息系統(tǒng)的設(shè)計(jì)、開(kāi)發(fā)、測(cè)試和維護(hù)人員，信息系統(tǒng)的用戶，針對(duì)信息系統(tǒng)進(jìn)行攻擊和破壞的黑客，計(jì)算機(jī)病毒的制造者、傳播者，信息安全事件的報(bào)告、分析、處理人員，以及信息安全法律顧問(wèn)等等。技術(shù)：信息安全具有對(duì)抗性，技術(shù)是確保信息安全的一個(gè)重要因素。從國(guó)家層面來(lái)看，需要大力發(fā)展技術(shù)，提高技術(shù)產(chǎn)品的自主可控能力，保證國(guó)家安全和信息安全。對(duì)于一般的信息系統(tǒng)建設(shè)而言，可選擇技術(shù)相對(duì)成熟、先進(jìn)的產(chǎn)品。為了能夠正確運(yùn)用這些技術(shù)和合理部署相關(guān)產(chǎn)品，機(jī)構(gòu)應(yīng)建立一套有效的技術(shù)與產(chǎn)品采購(gòu)策略和過(guò)程，具體包括制定安全策略、信息安全保障原則、信息保障產(chǎn)品選用準(zhǔn)則、經(jīng)可信第三方認(rèn)證的產(chǎn)品采購(gòu)原則、產(chǎn)品配置，以及進(jìn)行系統(tǒng)風(fēng)險(xiǎn)評(píng)估等。

管理：管理是確保信息安全的另一個(gè)重要因素，從理論上看，不存在絕對(duì)安全的技術(shù)，技術(shù)固然重要，但管理更不容忽視。三者的相互關(guān)系三個(gè)要素相輔相成，缺一不可。堅(jiān)持管理和技術(shù)并重，做到管理手段和技術(shù)手段相結(jié)合，也就是在加強(qiáng)管理的前提下，采用先進(jìn)的安全技術(shù)，在提升技術(shù)的基礎(chǔ)上強(qiáng)化管理。（2）安全單元物理安全系統(tǒng)安全網(wǎng)絡(luò)安全應(yīng)用安全（3）安全過(guò)程保護(hù)：它預(yù)先阻止攻擊可以發(fā)生的條件，讓攻擊者無(wú)法順利地入侵，保護(hù)可以減少大多數(shù)的入侵事件。檢測(cè)：一旦入侵發(fā)生，就通過(guò)檢測(cè)環(huán)節(jié)檢測(cè)出來(lái)，常用的檢測(cè)工具就是IDS（IntrusionDetectionSystem，入侵檢測(cè)系統(tǒng)）。反應(yīng)：在已知一個(gè)攻擊（入侵）事件發(fā)生之后所進(jìn)行的處理?；謴?fù)：當(dāng)攻擊（入侵）事件發(fā)生后，把系統(tǒng)恢復(fù)到原來(lái)的狀態(tài)，或者比原來(lái)更安全的狀態(tài)。2.信息安全技術(shù)體系結(jié)構(gòu)1.3我國(guó)的信息安全對(duì)策《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)文件）《2006-2020年國(guó)家信息化發(fā)展戰(zhàn)略》（中辦發(fā)[2006]11號(hào)）1.3.127號(hào)文件黨和政府對(duì)信息安全高度重視。2003年，中共中央辦公廳、國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)了《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)文件），標(biāo)志著我國(guó)信息安全保障工作有了基本綱領(lǐng)和大政方針，指導(dǎo)思想和主要任務(wù)得以明確。2003年以來(lái)，按照27號(hào)文的部署，我國(guó)的信息安全保障工作進(jìn)展順利，信息安全保障水平大為提高。1.總體要求我國(guó)信息安全保障工作的總體要求是，堅(jiān)持積極防御、綜合防范的方針，全面提高信息安全防護(hù)能力，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保障和促進(jìn)信息化發(fā)展，保護(hù)公眾利益，維護(hù)國(guó)家安全。積極防御就是要充分認(rèn)識(shí)信息安全風(fēng)險(xiǎn)和威脅，立足于安全防護(hù)，加強(qiáng)預(yù)警和應(yīng)急處置，重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定的重要信息系統(tǒng)；從更深層次和長(zhǎng)遠(yuǎn)考慮，積極防御還包括國(guó)家要有一定的信息對(duì)抗能力和反制手段，從而對(duì)信息網(wǎng)絡(luò)犯罪和信息恐怖主義等形成威懾。綜合防范就是要從預(yù)防、監(jiān)控、應(yīng)急處理和打擊犯罪等環(huán)節(jié)，法律、管理、技術(shù)、人才等各個(gè)方面，采取多種技術(shù)和管理措施，通過(guò)全社會(huì)的共同努力，全面提升信息安全防護(hù)能力2.主要原則立足國(guó)情，以我為主，堅(jiān)持技術(shù)與管理并重；正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全；統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基礎(chǔ)工作；明確國(guó)家、企業(yè)、個(gè)人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國(guó)家信息安全保障體系。立足國(guó)情，以我為主安全單靠花錢是買不來(lái)的。發(fā)展信息和信息安全高技術(shù)、發(fā)展國(guó)家信息產(chǎn)業(yè)和信息安全產(chǎn)業(yè)、擺脫關(guān)鍵技術(shù)和設(shè)備受制于人的被動(dòng)局面，是掌握信息安全主動(dòng)權(quán)的根本出路。必須注重自主創(chuàng)新、自主可控。要大力推廣應(yīng)用國(guó)產(chǎn)軟件和設(shè)備。另一方面，也要處理好自主研發(fā)與引進(jìn)、采用國(guó)外先進(jìn)技術(shù)和產(chǎn)品的關(guān)系，不能簡(jiǎn)單地認(rèn)為只有自己的技術(shù)才是安全的，凡是國(guó)產(chǎn)的設(shè)備就是可控的。要積極開(kāi)展國(guó)際合作，認(rèn)真學(xué)習(xí)國(guó)外信息和信息安全新技術(shù)，合理引進(jìn)和利用信息安全產(chǎn)品。堅(jiān)持技術(shù)與管理并重技術(shù)和管理兩個(gè)方面都很重要。但從目前我國(guó)實(shí)際發(fā)生的安全事件看，較為薄弱的還是信息安全管理，很多信息安全事件都是由于管理不到位，責(zé)任不落實(shí)造成的。同時(shí)，信息安全是高技術(shù)的對(duì)抗，從根本上講，解決信息安全問(wèn)題還是要通過(guò)發(fā)展信息安全高技術(shù)。2.主要原則正確處理安全與發(fā)展的關(guān)系在信息化規(guī)劃和建設(shè)中，應(yīng)同步考慮信息安全問(wèn)題，始終堅(jiān)持一手抓信息化發(fā)展，一手抓信息安全保障工作，做到以安全保發(fā)展，在發(fā)展中求安全。必須認(rèn)識(shí)到，沒(méi)有安全保障的信息化，會(huì)嚴(yán)重威脅國(guó)家安全和社會(huì)穩(wěn)定，會(huì)置黨和國(guó)家于一個(gè)非常危險(xiǎn)的境地。同時(shí)，信息安全問(wèn)題解決不好，有價(jià)值的信息不能上網(wǎng)，會(huì)嚴(yán)重影響和制約信息化的發(fā)展。認(rèn)識(shí)到?jīng)]有絕對(duì)的安全，不存在沒(méi)有風(fēng)險(xiǎn)的安全。信息安全是信息化推進(jìn)中出現(xiàn)的新問(wèn)題，只能在發(fā)展的過(guò)程中加以解決。統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基礎(chǔ)工作信息安全保障工作涉及信息化建設(shè)的各個(gè)環(huán)節(jié)，包括法律、管理、技術(shù)、人才、意識(shí)等各個(gè)方面，與各部門、各地方都密切相關(guān)，是一個(gè)復(fù)雜的系統(tǒng)工程。同時(shí)，要突出重點(diǎn)，有所為有所不為，將有限的資源用于基礎(chǔ)部分、關(guān)鍵地方、要害部位。要重點(diǎn)防止那些關(guān)系到國(guó)計(jì)民生的基礎(chǔ)信息網(wǎng)絡(luò)和信息系統(tǒng)在遭到攻擊、破壞和發(fā)生事故時(shí)，導(dǎo)致基礎(chǔ)服務(wù)大面積癱瘓，防止給經(jīng)濟(jì)和社會(huì)造成巨大損失。2.主要原則充分發(fā)揮各方面的積極性，共同構(gòu)筑國(guó)家信息安全保障體系。信息安全保障是國(guó)家的大事。政府要著重從政策引導(dǎo)、監(jiān)督管理、人才培養(yǎng)、增強(qiáng)意識(shí)及基礎(chǔ)技術(shù)研究開(kāi)發(fā)等方面加強(qiáng)信息安全保障工作，同時(shí)也要做好政府本身信息系統(tǒng)的安全建設(shè)和管理工作，為社會(huì)做出榜樣。但是，信息安全保障不僅是政府的事，在更大層面上，信息安全保障是廣大企業(yè)、公民個(gè)人的責(zé)任和義務(wù)，需要全社會(huì)的共同努力。2.主要原則3.主要任務(wù)實(shí)行信息安全等級(jí)保護(hù)加強(qiáng)以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系建設(shè)建設(shè)和完善信息安全監(jiān)控體系重視信息安全應(yīng)急處理工作加強(qiáng)信息安全技術(shù)研究開(kāi)發(fā)，推進(jìn)信息安全產(chǎn)業(yè)發(fā)展加強(qiáng)信息安全法制建設(shè)和標(biāo)準(zhǔn)化建設(shè)加快信息安全人才培養(yǎng)，增強(qiáng)全民信息安全意識(shí)保證信息安全資金加強(qiáng)對(duì)信息安全保障工作的領(lǐng)導(dǎo)，建立健全信息安全管理責(zé)任制1.3.2信息化發(fā)展戰(zhàn)略2006年3月19日，中共中央辦公廳、國(guó)務(wù)院辦公廳印發(fā)了《2006-2020年國(guó)家信息化發(fā)展戰(zhàn)略》（中辦發(fā)[2006]11號(hào)），分析了全球信息化發(fā)展的基本趨勢(shì)和我國(guó)信息化發(fā)展的基本形勢(shì)，提出了我國(guó)信息化發(fā)展的指導(dǎo)思想、戰(zhàn)略目標(biāo)、戰(zhàn)略重點(diǎn)、戰(zhàn)略行動(dòng)計(jì)劃和保障措施。把建設(shè)國(guó)家信息安全保障體系作為我國(guó)信息化發(fā)展的戰(zhàn)略重點(diǎn)，為我國(guó)的信息安全保障工作指明了方向。

1.3.2信息化發(fā)展戰(zhàn)略在《發(fā)展戰(zhàn)略》中“建設(shè)國(guó)家信息安全保障體系”部分，要求：全面加強(qiáng)國(guó)家信息安全保障體系建設(shè)。堅(jiān)持積極防御、綜合防范，探索和把握信息化與信息安全的內(nèi)在規(guī)律，主動(dòng)應(yīng)對(duì)信息安全挑戰(zhàn)，實(shí)現(xiàn)信息化與信息安全協(xié)調(diào)發(fā)展。堅(jiān)持立足國(guó)情，綜合平衡安全成本和風(fēng)險(xiǎn)，確保重點(diǎn)，優(yōu)化信息安全資源配置。建立和完善信息安全等級(jí)保護(hù)制度，重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定的重要信息系統(tǒng)。加強(qiáng)密碼技術(shù)的開(kāi)發(fā)利用。建設(shè)網(wǎng)絡(luò)信任體系。加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作。建設(shè)和完善信息安全監(jiān)控體系，提高對(duì)網(wǎng)絡(luò)安全事件應(yīng)對(duì)和防范能力，防止有害信息傳播。高度重視信息安全應(yīng)急處置工作，健全完善信息安全應(yīng)急指揮和安全通報(bào)制度，不斷完善信息安全應(yīng)急處置預(yù)案。從實(shí)際出發(fā)，促進(jìn)資源共享，重視災(zāi)難備份建設(shè)，增強(qiáng)信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)的抗毀能力和災(zāi)難恢復(fù)能力。

1.3.3美國(guó)的信息安全國(guó)家戰(zhàn)略2000年1月，美國(guó)政府發(fā)布了《信息系統(tǒng)保護(hù)國(guó)家計(jì)劃》。2003年發(fā)布了《保護(hù)網(wǎng)絡(luò)空間的國(guó)家戰(zhàn)略》。2009年5月29日發(fā)布了《網(wǎng)絡(luò)空間政策評(píng)估--保障可信和強(qiáng)健的信息和通信基礎(chǔ)設(shè)施》。（1）《信息系統(tǒng)保護(hù)國(guó)家計(jì)劃》圍繞三個(gè)目標(biāo)作了具體的10項(xiàng)內(nèi)容設(shè)計(jì)。目標(biāo)一：“準(zhǔn)備和防范：減少對(duì)我們的關(guān)鍵信息網(wǎng)絡(luò)進(jìn)行成功攻擊的可能性，建立一個(gè)面對(duì)類似攻擊仍能保持有效運(yùn)轉(zhuǎn)的基礎(chǔ)設(shè)施?！眱?nèi)容１：確定關(guān)鍵基礎(chǔ)設(shè)施資產(chǎn)以及共有的互依賴性，查找其脆弱性。目標(biāo)二：“檢測(cè)和響應(yīng)：實(shí)時(shí)地確定和評(píng)估攻擊，對(duì)攻擊進(jìn)行控制，受攻擊后迅速恢復(fù)和重建?！眱?nèi)容２：檢測(cè)攻擊和非法入侵。內(nèi)容３：開(kāi)發(fā)穩(wěn)健的情報(bào)和執(zhí)法功能，保持與法律的一致。內(nèi)容４：以實(shí)時(shí)的方式共享攻擊預(yù)警和信息。內(nèi)容５：建立響應(yīng)、重建和恢復(fù)能力。（1）《信息系統(tǒng)保護(hù)國(guó)家計(jì)劃》目標(biāo)三：“建立牢固的根基：我們應(yīng)該為我們的國(guó)家培養(yǎng)相關(guān)人員、建立相關(guān)組織、完善法律和傳統(tǒng)，使我們能更好地針對(duì)我們的關(guān)鍵信息網(wǎng)絡(luò)遭到的攻擊進(jìn)行準(zhǔn)備、防范以及檢測(cè)和響應(yīng)?！眱?nèi)容６：為支持內(nèi)容１－５，加強(qiáng)研究和開(kāi)發(fā)。內(nèi)容７：培訓(xùn)和聘用足夠數(shù)量的信息安全專家。內(nèi)容8：進(jìn)行拓廣，使美國(guó)人民知曉提高信息安全的必要性。內(nèi)容9：通過(guò)立法和撥款，支持內(nèi)容1-8。內(nèi)容10：在計(jì)劃的每一步驟和每一部份中，要完全保護(hù)美國(guó)公民的自由權(quán)、隱私權(quán)以及私有數(shù)據(jù)。（2）《保護(hù)網(wǎng)絡(luò)空間的國(guó)家戰(zhàn)略》2003年布什政府的《保護(hù)網(wǎng)絡(luò)空間的國(guó)家戰(zhàn)略》確立了政府需要急抓的5項(xiàng)優(yōu)先事務(wù)。這5項(xiàng)事務(wù)的范圍比2000年《信息系統(tǒng)保護(hù)國(guó)家計(jì)劃》的10項(xiàng)內(nèi)容范圍要窄，但在深度上有了發(fā)展。（2）《保護(hù)網(wǎng)絡(luò)空間的國(guó)家戰(zhàn)略》優(yōu)先事務(wù)I：國(guó)家網(wǎng)絡(luò)空間安全響應(yīng)系統(tǒng)確定了8項(xiàng)主要行動(dòng)和工作：（１）為響應(yīng)國(guó)家級(jí)的網(wǎng)絡(luò)安全事件，制定一個(gè)公私合作的體系結(jié)構(gòu)；（２）為從戰(zhàn)術(shù)和戰(zhàn)略上分析網(wǎng)絡(luò)攻擊和評(píng)估脆弱性做好準(zhǔn)備；（３）鼓勵(lì)私營(yíng)部門加強(qiáng)把握網(wǎng)絡(luò)安全總體態(tài)勢(shì)的能力；（４）擴(kuò)展“網(wǎng)絡(luò)預(yù)警和信息網(wǎng)”，支持國(guó)土安全部對(duì)網(wǎng)絡(luò)安全危機(jī)管理的協(xié)調(diào)能力；（５）改善對(duì)國(guó)家級(jí)事件的處理能力；（６）在為公私機(jī)構(gòu)制定連續(xù)性計(jì)劃和應(yīng)急計(jì)劃時(shí)，協(xié)調(diào)自愿參與的過(guò)程；（７）對(duì)聯(lián)邦政府的網(wǎng)絡(luò)安全連續(xù)性計(jì)劃進(jìn)行演習(xí)；（８）改善和加強(qiáng)公私機(jī)構(gòu)之間在網(wǎng)絡(luò)攻擊、威脅和脆弱性方面的信息共享。（2）《保護(hù)網(wǎng)絡(luò)空間的國(guó)家戰(zhàn)略》優(yōu)先事務(wù)II：國(guó)家網(wǎng)絡(luò)空間威脅和脆弱性消減計(jì)劃確定了8項(xiàng)主要行動(dòng)和工作：（１）增強(qiáng)司法機(jī)構(gòu)防止和起訴網(wǎng)絡(luò)攻擊的能力；（２）為國(guó)家網(wǎng)絡(luò)脆弱性評(píng)估制定一個(gè)流程，以更好地把握網(wǎng)絡(luò)威脅和脆弱性可能造成的后果；（３）通過(guò)改進(jìn)協(xié)議和路由方式增強(qiáng)互聯(lián)網(wǎng)的安全性；（４）鼓勵(lì)使用可靠的數(shù)字控制系統(tǒng)／監(jiān)督控制和數(shù)據(jù)采集系統(tǒng)（５）減少和矯正軟件的脆弱性（６）理解基礎(chǔ)設(shè)施之間的互依賴性，改善網(wǎng)絡(luò)系統(tǒng)和電信系統(tǒng)的物理安全；（７）優(yōu)先考慮國(guó)家網(wǎng)絡(luò)安全研發(fā)工作；（８）評(píng)估和加強(qiáng)新建系統(tǒng)的安全性。（2）《保護(hù)網(wǎng)絡(luò)空間的國(guó)家戰(zhàn)略》優(yōu)先事務(wù)III：國(guó)家網(wǎng)絡(luò)空間安全意識(shí)和培訓(xùn)計(jì)劃確定了４項(xiàng)主要行動(dòng)和工作：（１）實(shí)施一項(xiàng)全面的國(guó)家級(jí)意識(shí)培養(yǎng)項(xiàng)目，使得包括商人、普通員工、一般民眾在內(nèi)的所有美國(guó)人都能夠保護(hù)其自身所處的網(wǎng)絡(luò)空間的安全；（２）實(shí)施足夠的培訓(xùn)和教育項(xiàng)目，以支持國(guó)家網(wǎng)絡(luò)空間安全的需求；（３）提高現(xiàn)有的聯(lián)邦網(wǎng)絡(luò)空間安全培訓(xùn)項(xiàng)目的效率；（４）推動(dòng)私營(yíng)部門對(duì)得到良好協(xié)調(diào)的、廣為認(rèn)可的網(wǎng)絡(luò)安全專業(yè)認(rèn)證體系的支持。（2）《保護(hù)網(wǎng)絡(luò)空間的國(guó)家戰(zhàn)略》優(yōu)先事務(wù)IV：保護(hù)政府網(wǎng)絡(luò)空間的安全確定了５項(xiàng)主要行動(dòng)和工作：（１）不斷對(duì)聯(lián)邦政府的網(wǎng)絡(luò)系統(tǒng)進(jìn)行威脅和脆弱性評(píng)估；（２）對(duì)聯(lián)邦的網(wǎng)絡(luò)系統(tǒng)用戶實(shí)施身份鑒別和授權(quán)；（３）保護(hù)聯(lián)邦政府無(wú)線局域網(wǎng)絡(luò)的安全；（４）改善政府外包和采購(gòu)的安全性；（５）鼓勵(lì)州和地方政府考慮建設(shè)信息技術(shù)安全項(xiàng)目并與同類政府機(jī)構(gòu)共享信息。（2）《保護(hù)網(wǎng)絡(luò)空間的國(guó)家戰(zhàn)略》優(yōu)先事務(wù)V：國(guó)家安全和國(guó)際網(wǎng)絡(luò)空間安全合作確定了６項(xiàng)主要行動(dòng)和工作：（１）加強(qiáng)與網(wǎng)絡(luò)相關(guān)的反情報(bào)工作；（２）改善對(duì)攻擊源調(diào)查和響應(yīng)的能力；（３）在網(wǎng)絡(luò)攻擊響應(yīng)方面，加強(qiáng)對(duì)全國(guó)國(guó)家安全部門的協(xié)調(diào)；（４）與工業(yè)界一起，通過(guò)國(guó)際組織，推動(dòng)國(guó)際間的公共部門和私營(yíng)部門就保護(hù)信息基礎(chǔ)設(shè)施和促進(jìn)全球的“安全文化”開(kāi)展對(duì)話；（5）促進(jìn)建設(shè)全國(guó)性和國(guó)際性的觀察和預(yù)警網(wǎng)絡(luò)，以在網(wǎng)絡(luò)攻擊發(fā)生時(shí)及時(shí)發(fā)現(xiàn)并將其制止；（6）鼓勵(lì)其他國(guó)家加入《歐洲委員會(huì)計(jì)算機(jī)犯罪公約》，或至少確保這些國(guó)家的法律和流程中包含了該約定的內(nèi)容。1.3.4《俄羅斯信息安全