01国家信息安全政策和标准解读(崔书昆)解析
政府信息安全新规定解读(3篇)
第1篇随着信息技术的飞速发展,信息安全已成为政府工作的重要组成部分。
近年来,我国政府信息安全工作取得了显著成效,但同时也面临着新的挑战。
为应对这些挑战,我国政府出台了一系列新的信息安全规定,旨在加强政府信息安全建设,保障国家安全和社会稳定。
本文将对这些新规定进行解读,以帮助广大政府工作人员更好地理解和执行。
一、背景与意义1. 背景分析近年来,我国政府信息安全事件频发,严重影响了政府形象和社会稳定。
为加强政府信息安全建设,我国政府高度重视信息安全工作,陆续出台了一系列信息安全规定。
2. 意义(1)提高政府信息安全意识。
新规定明确了政府信息安全的重要性,促使政府工作人员提高信息安全意识,增强防范意识。
(2)规范政府信息安全工作。
新规定对政府信息安全工作提出了明确要求,为政府信息安全工作提供了规范和指导。
(3)保障国家安全和社会稳定。
加强政府信息安全建设,有助于保障国家安全和社会稳定,维护人民群众的根本利益。
二、新规定解读1. 《网络安全法》《网络安全法》是我国网络安全领域的基础性法律,于2017年6月1日起正式实施。
该法明确了网络运营者的安全责任,对政府信息安全工作提出了以下要求:(1)网络运营者应采取技术措施和其他必要措施,保障网络安全,防止网络违法犯罪活动;(2)网络运营者应建立健全网络安全监测、预警和应急处置机制;(3)网络运营者应加强网络安全教育和培训,提高网络安全意识和技能。
2. 《数据安全法》《数据安全法》于2021年6月10日通过,自2021年9月1日起正式实施。
该法对数据安全保护提出了以下要求:(1)数据分类分级保护。
对数据实行分类分级保护,明确数据安全保护责任;(2)数据安全风险评估。
对数据处理活动进行风险评估,确保数据安全;(3)数据安全监测预警。
建立健全数据安全监测预警机制,及时发现和处置数据安全风险。
3. 《个人信息保护法》《个人信息保护法》于2021年8月20日通过,自2021年11月1日起正式实施。
信息安全政策
信息安全政策一、引言信息安全政策是指组织为确保其信息资产的安全性,制定并执行的一系列规范和程序。
本文将就信息安全政策的必要性、政策设计原则、政策内容和实施步骤等方面进行探讨。
二、信息安全政策的必要性随着信息技术的迅猛发展,信息安全问题日益凸显。
信息安全政策的制定对于组织来说具有重要意义:1. 强化安全防护:通过制定信息安全政策,组织可以加强网络和系统的安全防护,有效防止恶意攻击和数据泄露。
2. 合规要求:根据国家的相关法律法规和行业标准,组织需要制定信息安全政策,以满足合规要求,防止违法行为的发生。
3. 提升组织形象:信息安全政策能够提升组织的形象和信誉度,增强用户和客户对组织的信任感。
4. 保护商业机密:信息安全政策能够确保组织的商业机密得到充分的保护,防止敏感信息被泄露给竞争对手。
三、信息安全政策的设计原则1. 可行性原则:信息安全政策应基于组织的实际情况,确保政策的可行性和可操作性。
2. 全面性原则:信息安全政策应涵盖组织的所有信息资产,包括硬件、软件、网络以及员工等要素,确保全面的信息安全。
3. 协同性原则:信息安全政策需要与组织的其他政策相协调,形成一个有机的整体,确保政策的统一性和持续性。
4. 不断改进原则:信息安全政策需要不断地进行评估和改进,以适应不断变化的安全威胁和技术环境。
四、信息安全政策的内容1. 安全目标:明确组织的安全目标,如保护信息资产的机密性、完整性和可用性。
2. 责任分工:明确各级别管理人员和员工在信息安全管理中的责任和义务,提高信息安全责任意识。
3. 访问控制:明确人员对信息资产的访问权限,包括身份验证、授权和访问控制策略等。
4. 安全培训:确保员工接受信息安全培训,提高员工的安全意识和技能。
5. 安全漏洞管理:建立安全漏洞管理机制,及时发现、评估和修复漏洞,防止安全事件的发生。
6. 应急响应:建立信息安全事件应急响应机制,及时应对安全事件,最小化损失。
7. 审计和评估:建立信息安全审计和评估机制,定期对信息安全政策的执行情况进行检查和评估,确保政策的有效性。
信息安全评估标准简介
信息安全产品评估标准综述全国信息安全标准化技术委员会安全评估标准组崔书昆信息安全产品,广义地是指具备安全功能(保密性、完整性、可用性、可鉴别性与不可否认性)的信息通信技术(ICT)产品,狭义地是指具备上述功能的专用信息通信技术产品。
这些产品可能是硬件、固件和软件,也可能是软、固、硬件的结合。
一、国外信息安全产品评估标准的发展以美国为首的西方发达国家和前苏联及其盟国,早在20世纪50年代即着手开发用于政府和军队的信息安全产品。
到20世纪末,美国信息安全产品产值已达500亿美元。
随着产品研发,有关信息安全产品评估标准的制定也相应地开展起来。
(一)国外信息安全产品评估标准的演变国际上信息安全产品检测评估标准的发展大体上经历了三个阶段:1.本土化阶段1983年,美国国防部率先推出了《可信计算机系统评估准则》(TCSEC),该标准事实上成了美国国家信息安全评估标准,对世界各国也产生了广泛影响。
在1990年前后,英国、德国、加拿大等国也先后制定了立足于本国情况的信息安全评估标准,如加拿大的《可信计算机产品评估准则》(CTCPEC)等。
在欧洲影响下,美国1991年制定了一个《联邦(最低安全要求)评估准则》(FC),但由于其不完备性,未能推开。
2.多国化阶段由于信息安全评估技术的复杂性和信息安全产品国际市场的逐渐形成,单靠一个国家自行制定并实行自己的评估标准已不能满足国际交流的要求,于是多国共同制定统一的信息安全产品评估标准被提了出来。
1991年欧洲英、法、德、荷四国国防部门信息安全机构率先联合制定了《信息技术安全评估准则》(ITSEC),并在事实上成为欧盟各国使用的共同评估标准。
这为多国共同制定信息安全标准开了先河。
为了紧紧把握信息安全产品技术与市场的主导权,美国在欧洲四国出台ITSEC之后,立即倡议欧美六国七方(即英、法、德、荷、加五国国防信息安全机构,加上美国国防部国家安全局(NSA)和美国商务部国家标准与技术局(NIST))共同制定一个供欧美各国通用的信息安全评估标准。
信息安全法规与政策讲义
信息安全法规与政策讲义信息安全法规与政策讲义一、引言信息安全是信息化时代的重要议题之一,而信息安全法规与政策则是保护信息安全的重要手段。
信息安全法规与政策的制定和实施,对于保护国家、组织和个人的信息资产安全具有重要意义。
本讲义将就信息安全法规与政策的背景与意义、主要内容和实施方法等方面进行阐述。
二、背景与意义随着信息技术的快速发展和广泛应用,信息安全问题日益凸显。
信息泄露、黑客攻击、病毒传播等事件频频发生,给国家安全、经济发展和社会稳定带来巨大风险。
因此,制定与实施信息安全法规与政策,已经成为当务之急。
1. 维护国家安全:国家的安全以及情报、军事、科技等机密信息的泄露对国家的安全产生巨大威胁。
合理和有效的信息安全法规与政策能够保护国家的核心利益和安全,维护国家的安全形象和声誉。
2. 保护经济发展:现代经济高度依赖于信息技术,信息安全事关企业的正常运营和全球竞争力。
通过信息安全法规与政策,能够建立健全的信息安全管理体系,提升企业的信息安全保护水平,保护企业的商业机密和客户信息。
3. 维护社会稳定:信息安全问题直接关系到公民的财产安全和个人隐私。
制定严格的信息安全法规与政策,能够保障公民的合法权益,防范网络犯罪,维护社会的稳定与和谐。
三、主要内容信息安全法规与政策的内容可以从法律层面和行政层面来进行划分和规范。
主要内容包括但不限于以下几个方面:1. 法律层面:(1)信息安全法:信息安全法是对信息安全的基本法律规范,规定了信息安全的基本原则和要求,明确了各方的权利和责任。
(2)网络安全法:网络安全是信息安全的重要组成部分,网络安全法主要规定了网络安全的基本要求,保护网络基础设施和网络信息的安全。
(3)个人信息保护法:个人信息是信息安全的核心内容之一,个人信息保护法主要规定了个人信息的收集、使用和保护的原则,保护个人隐私的合法权益。
2. 行政层面:(1)国家信息安全战略:国家信息安全战略是信息安全政策的顶层设计,明确了国家在信息安全领域的战略目标和发展方向。
国家等级保护政策标准解读
国家等级保护政策标准解读(一)概述信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法,是促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保障。
国务院147号令及中办发[2003] 27号文等文件明确规定,要实行信息安全等级保护,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。
建立和落实信息安全等级保护制度是形势所迫、国情所需。
我国信息安全保障工作要求坚持“积极防御、综合防范”的方针,全面提高信息安全防护能力。
等级保护工作的具体环节分为“定级、备案、系统建设整改、开展等级测评、信息安全监管部门定期开展监督检查”五步骤。
等级保护工作中各环节用到的主要标准包括:《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护实施指南》、《信息系统安全保护等级定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评过程指南》。
等级保护相关标准与等级保护各工作环节的关系如下:(二)信息安全等级保护实施指南《信息系统安全等级保护实施指南》(GB/T25058-2010)介绍和描述了实施信息系统等级保护过程中涉及的阶段、过程和需要完成的活动,通过对过程和活动的介绍,使大家了解对信息系统实施等级保护的流程方法,以及不同的角色在不同阶段的作用等。
信息系统全生命周期分为“信息系统定级、总体安全规划、安全设计与实施、安全运行维护、信息系统终止”等五个阶段。
在安全运行与维护阶段,信息系统因需求变化等原因导致局部调整,而系统的安全保护等级并未改变,应从安全运行与维护阶段进入安全设计与实施阶段,重新设计、调整和实施安全措施,确保满足等级保护的要求。
但是信息系统发生重大变更导致信息系统等级变化是,应从安全运行维护阶段进入信息系统定级阶段,重新开始一轮信息安全等级保护的实施过程。
2.1 信息系统定级定级备案是信息安全等级保护的首要环节。
信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。
国家 信息安全标准
国家信息安全标准
国家信息安全标准是一个非常重要的行业规范和实践参考标准,它是信息安全专家智慧的结晶和安全最佳实践的概括总结。
这些标准是信息安全建设的理论基础和行动指南,由国家标准化管理委员会发布。
国家信息安全标准主要包括信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性等方面的内容。
随着互联网的发展,传统的网络边界不复存在,给未来的互联网应用和业务带来巨大改变,也给信息安全带来了新挑战。
此外,信息安全标准也是一个重要的管理工具,它可以帮助组织机构建立有效的信息安全管理体系,并确保信息资产的安全。
这些标准包括信息安全方针、策略、组织结构、风险管理、法律法规等方面的内容。
总之,国家信息安全标准是一个非常重要的行业规范和实践参考标准,它可以帮助组织机构建立有效的信息安全管理体系,确保信息资产的安全,促进组织机构的发展和业务连续性。
《信息安全技术》
《信息安全技术》第一点:信息安全技术的内涵与重要性信息安全技术是指用于保护计算机系统、网络和数据的技术手段和方法,其目的是防止未经授权的访问、篡改、泄露、破坏或滥用信息资源。
在当今数字化时代,信息安全技术已成为维护国家安全、经济繁荣和社会稳定的基石。
信息安全技术的内涵广泛,包括但不限于密码技术、防火墙和入侵检测系统、安全协议、安全操作系统、安全数据库、安全通信技术等。
这些技术在保护信息的机密性、完整性和可用性方面起着至关重要的作用。
机密性是指确保信息不泄露给未授权的实体,即只有合法用户才能访问信息。
完整性是指确保信息在传输和存储过程中未被篡改或损坏,保持原始状态。
可用性是指确保合法用户在需要时能够访问和使用信息。
信息安全的重要性不言而喻。
在个人层面,信息安全关系到个人隐私和财产的安全。
在企业层面,信息安全关乎企业商业秘密和竞争优势的保留。
在国家层面,信息安全直接关系到国家安全和社会稳定。
因此,信息安全技术的研究、发展和应用具有重大的现实意义和战略价值。
第二点:信息安全技术的实践与应用信息安全技术的实践与应用是提升信息安全防护能力的根本途径。
在实际操作中,信息安全技术通常涉及以下几个方面:1.风险评估与管理:通过风险评估确定系统的潜在威胁和脆弱性,从而为安全防护提供依据。
风险管理包括制定安全策略、安全标准和操作程序,以降低风险至可接受的程度。
2.安全策略制定:根据组织的业务需求和风险评估结果,制定相应的信息安全策略。
这些策略应涵盖物理安全、网络安全、应用程序安全、数据安全和合规性等方面。
3.加密技术应用:利用对称加密、非对称加密和哈希算法等技术,对敏感数据进行加密处理,确保数据在存储和传输过程中的安全性。
4.身份认证与访问控制:实施多因素身份认证和最小权限原则,确保只有合法用户才能访问系统和数据。
5.安全监控与事件响应:通过部署入侵检测系统、防火墙、日志分析工具等,实时监控网络和系统的安全状态,并在发现安全事件时迅速响应。
信息安全等级保护标准化工作回顾与思考
我想仅就其标准化问题一点,作个粗浅发言。
一、国际上关于标准、标准化的概念
标准 ISO/IEC二号指南的定义:为在 一定范围内获得最佳秩序,对 活动或其结果规定的共同的和 重复使用的规则、指导原则或 特性的文件。该文件经协商一 致,并由一个公认机构批准。
ISO/IEC在该定义下注解称:
标准应以科学、技术和经验的综 合成果为基础,并以促进最大社会 效益为目的。
21、GB/T28456-2012 IPsec协议应用测试规范 22、GB/T28457-2012 SSL协议应用测试规范
(四)物理安全标准
1、GB/T2887-2000 计算机场地通用规范 2、GB/T21052-2007 信息系统物理安全技术 要求 国家公共安全与保密标准(M) 1、GGBB1-1999 信息设备电磁泄漏发射限值 2、GGBB2-1999 信息设备电磁泄漏测试方法
五、奋起直追迎接信息安全挑战
(一)直面网络空间斗争新挑战
美国为首的西方国家继推出网络(域) 空间理论之后,频频出台一系列关于网络空 间斗争的新战略,发起令人震撼的新挑战。 正把 标准的极端重要性更加突出地呈现在面前。 形势正迫使我们振奋精神,加紧学习和创新。 学习新概念、新 理论,创新技术和手段。只 有学习与创新,才能适应形势、应对挑战。
四、信息安全等级保护标准发挥作用
(一)统一认识。标准在信息安全等保工作中发挥了统一
信息安全术语、概念和认识的基础作用。
(二)规范工作。标准在信息安全等保建设中的标杆、准
绳、尺度,发挥着规范、推动、促进作用。
(三)培养人才。标准及其解释本身就是一部信息安全专
业教材,已经和正在培养成千上万信息安全工作人员。
标准化部门等的领导、指导下,经过近十年的共同努力,截止2012年底,
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
施(3) 3、推动信息化和工业化深度融合,提高经济发展信 息化水平(5)
2、实施“宽带中国”工程,构建下一代信息基础设
4、加快社会领域信息化,推进先进网络文化
建设(4) 5、推进农业农村信息化,实现信息强农惠农 (2) 6、健全安全防护和管理,保障重点领域信息 安全(4)
(1)确保重要信息系统和基础信息网络安全。能源、交通、 金融等领域涉及国计民生的重要信息系统和电信网、广播电 视网、互联网等基础信息网络,要同步规划、同步建设、同 步运行安全 防护设施,强化技术防范,严格安全管理,切 实提高防攻击、放篡改、防病毒、防瘫痪、防窃密能力。加 大无线电安全管理和重要信息系统无线电频率保障力度。加 强互联网网站、地址、域名和接入服务单位 的管理,完善信 息共享机制,规范互联网服务市场秩序。 (2)加强政府和涉密信息系统安全管理。严格政府信息技术 服务外包的安全管理,为政府机关提供服务的数据中心、云 计算服务平台等要设在境内,禁止办公用计算机安装与工作 无关的软件。建立政府网站开办审核、统一标识、监测和
《条例》第二章安全保护制度 ,第九条规 定了对计算机信息系统划分安全保护等级,并 按其等级进行保护的基本制度:“计算机信 息系统实行安全等级保护。安全等级的划分 标准和安全等级保护的具体办法,由公安部 会同有关部门制定。 ” 上述法规是等级保护工作和标准制定工作 的法律基础。遵从法律原则制定技术标准是 世界标准界的基本原则和通例。
2、云计算安全正成为新的关注点 “云计算”是当今国际性的热门话题,美 国、日本和欧洲各国都在举国家之力推行云 计算。 云计算在我国正在我国急速升温。 云计算和海量数据处理,有人称为“云-海” 技术。云计算我国尚缺乏成熟的自主技术, 现有的安全技术与管理措施还不足以有效应 对面临的云计算安全挑战。 。
23号文件前言指出:大力推进信息化发 展和切实保障信息安全,对调整经济结构、 转变发展方式、保障和改善民生、维护国家 安全具有重大意义。 当前,世界各国信息化快速发展,信息 技术的应用促进了全球资源的优化配置和发 展模式创新,互联网对政治、经济、社会和 文化的影响更加深刻。围绕信息获取、利用 和控制的国际竞争日趋激烈 ,保障信息安全 成为各国重要议题。
二、我国应对网络和信息安全风险的对策
党中央和国务院一贯重视网络和信息安全。先后 制定过许多法律、政策和法规。如《中华人民共和 国保守国家秘密法》、《中华人民共和国计算机信 息系统安全保护条例》、中央办公厅和国务院办公 厅联合发布的27号文件、《国务院关于大力推进信 息化发展和切实保障信息安全的若干意见》、《全 国人大常委会关于加强网络信息保护的决定》。此 外,在其他相关法律、法规中也有不少关于这方面 的要求。下面重点介绍四个文件及标准化情况。
(6)加强信息安全技术研究开发,推进信 息安全产业发展。 (7)加强信息安全法制建设和标准化建设。 (8)加强信息安全人才培养,增强全民信 息安全意识。 (9)保证信息安全资金。 (10)加强对信息安全保障工作的领导,建 立健全信息安全管理责任制。
3、2012年国务院23号文件
2012年5月9日,国务院召开国务院常务会议, 研究部署推进信息化发展,保障信息安全工作。6 月28日国 务院正式发布了会议通过的《国务院关于 大力推进信息化发展和切实保障信息安全的若干意 见》,即国发[2012]23号文件。 这个文件是新时期一个纲领性文件,将大大 推进我国信息化和信息安全工作的发展。
工作的意见》,即中办27号文件
2、2003年《进一步加强国家信息安全保障
该文件概括了当时的主要工作: (1)加强信息安全保障工作的总体要求和主要原则, 实行积极防御,综合防范原则。 (2)实行信息安全等级保护制度。 ( 3)加强以密码技术为基础的信息保护和网络信任 体系建设 (4 )建设和完善信息安全监控体系。 (5)重视信息安全应急处理工作 。
2010年美、以制造的工控STUXNET蠕虫(国内 称震网病毒、超级病毒等)攻击了伊朗核设施,使 伊朗核计划推迟一至两年。成为所谓“APT"(先进 持续攻击)的新例证。 2012年6月1日美国《纽约时报》揭密从小布什 至奥巴马,如何策划美以网络战部门开发病毒战武 器,并用于攻击伊朗核设施的。 震网病毒重锤敲响了工控领域的警钟。为网络 战开启了新领域,此种技术可能成为广泛扩散的网 络战武器,诱发新的网络战军备竞赛。
二是个人数据、隐私泄露问题。个人帐号、密码、 照片、位置、行程、通信记录、人际关系直至个人 生活记录等在移动终端上应有尽有,一旦泄露,轻 则危及个人信息安全,重则危及个人隐私、工作秘 密,甚至生命安全。 三是移动支付存在安全隐患。手机常用作交易、资 金支付的手段,易于出现安全问题。 移动智能终端安全 防护,有赖于出台有关法律 法规和标准,更需要企业增进防护措施,用户自身 应提高防范意识。
3、智能移动终端的安全问题复杂
2009年我国从2G手机跨入了3G时代,各类智能 手机、平板电脑等智能化的移动终端呈现爆炸式增 长,已跃居世界首位,由此催生出移动互联网时代。 智能移动终端、移动互联网的发展,极大地推动了 经济、社会的发展。同时其安全也凸现出来,据腾 信发布的手机安全报告: 一是移动终端上计算机病毒、木马等恶意软件 大规模繁衍,2013年一季度仅腾信就发现病毒样本 97367个,其中95%从安卓系统截获。
云计算分公有、私有、混合及行业云等四类部署方式;广
泛网络接入、快速弹性伸缩、计量付费服务、按需自助服务 和资源池化共享等五种特点。云计算具有强大计算能力、海 量存储空间和易扩展性等巨大优势。在商务上,云计算将传 统以购买消费方式转化为以租用为消费的新IT生态圈。 同时,云计算存在明显的安全隐患。由于云计算尚处于 发展初期,国际国内都缺乏统一技术标准,安全机制不完善, 存在未知风险,特别是虚拟化监管还存在不少薄弱环节。 2011年索尼公司多个服务器被攻破,用户数据泄露,影响 到近亿人。中国云计算联盟提示,目前云计算存在共享漏洞、 数据泄露、不安全程序接口、内部作案以及未知风险等。
文件正文分八个部分; 1、指导思想和主要目标(2)
(1)指导思想 以邓小平理论和“三个代表”重要思想为指 导,深入贯彻落实科学发展观,......坚持积极 利用、科学发展、依法管理、确保安全,加 强统筹协调和顶层设计,健全信息安全保障 体系,切实增强信息安全保障能力,维护国 家信息安全,促进经济平稳较快发展和社会 和谐稳定。
4、下一代互联网、物联网的安全开始显露 下一代互联网即IPV6网是我国十二五期 间重点建设项目,目前在科教网已初具规模。 其安全问题不可忽视。 物联网正以超出想象的速度发展,最近 智能电网、射频(RFID)技术等随着有关标 准的制定和施行,正崭露头角。其安全保障 问题业已提上日程。上述问题有理论问题, 更是实践问题,只有在发展实践中才能逐步 解决。
1、我国信息基础设施安全问题突出
(1)CNVD通报漏洞风险339个。 (2)发现境内52324个网站被植入后门,同比增 长213.7%。 (3)网络钓鱼猖獗,全年发现针对我网站的网络 钓鱼页面22308个。 (4)移动互联网恶意程序样本162981个,较2011 年增长25倍,其中82.5%针对安卓平台。 (5)发现流量大于1G的DDOS攻击1022起,为 2011年3倍。
和举报制度。减少政府机关的互联网连接点数量, 加强安全和保密防护监测。落实涉密信息系统分级 保护制度,强化涉密信息系统审查机制。 (3)保障工业控制系统安全。加强核设施、航空航 天、先进制造、石油石化、油气管网、电力系统、 交通运输、水利枢纽、城市设施等重要领域工业控 制系统,以及物联网应用、数字城市建设中的安全 防护和管理,定期开展安全检查和风险评估。重点 对可能危及生命和公共财产安全的工业控制系统加 强监管。对重点领域使用的关键产品开展安全测评, 实行安全风险和漏洞通报制度。
(四)日益尖锐的国际网络空间斗争敲响了警钟 近几年来,以美国为首的西方国家有计划、有 预谋地提出“网络空间(cyber space)”的称霸 理论,并明目张胆地将其定义为继陆、海、空、天 后的第五维“作战空间”,加剧了世界范围的信息 领域的尖锐斗争和网络空间的军备竞赛。据外国媒 体报道,估计世界上有30多个国家建立了网军,有 100多个国家正发展网络战能力。我周边国家如俄、日、 印、韩、朝等,都已经或正在制定、修改其国家网 络和信息安全战略,建立规模化的网络攻防力量。 我国面临网络空间斗争的空前压力和现实威胁。
(2)主要目标 重点领域信息化水平明显提高。...... 下一代信息基础设施 初步建成。......
信息产业转型升级取得突破。集成电路、 系统软件、关键元器件等领域取得一批重大 创新成果,...... 国家信息安全保障体系基本形成。重要 信息系统和基础信息网络安全防护能力明显 增强,信息化装备的安全可控水平应用的出现带来信息安全 新问题 1、工业控制系统安全引起严重关切
以计算机技术为基础的工业控制系统(ICS,俗 称工控机)早已应用于工业生产和军事装备,而且 广泛用于与人们日常生活密切相关的金融(如ATM 机)、供水、供电、物流、照明和车辆等领域。 工控系统从单机发展到专网,继而逐步进入局 域网、广域网、互联网,使各类控制系统暴露在网络 攻击之下,事故频频出现,给信息安全带来新忧患。
2、境外对我网络的攻击情况严重,攻击来 源于美国者居首 。
(1)境外机构利用木马或僵尸网络控制境内主 机,全年发现境外有73,286个IP地址为木马和僵 尸网络控制服务器使用,参与控制中国境内主机 1419.7万个。美国居首。 ( 2)利用境外注册域名传播恶意代码。按月平 均有65.5%在境外注册,严重威胁我网络安全。 ( 3)境外敌对势力通过植入后门或仿冒等,仿 冒境内网站的境外IP美国占83.2%。
我国信息安全 面临的挑战及应对措施
崔书昆 2013.07.02
2012年11月8日党的十八大报告指出:
粮食安全、能源资源安全、网络安全等全球性问题 更加突出。 建设下一代信息基础设施,发展现代信息技术产业 体系,健全信息安全保障体系,推进信息网络技术 广泛运用。 与时俱进加强军事战略指导,高度关注海洋、太空、 网络空间安全。