对电子政务信息安全等级保护的思考.pdf

对电子政务信息安全等级保护的思考 詹榜华 詹榜华 2005/3 2005/3 提纲 •我国电子政务信息安全的现状 和策略 •电子政务信息安全等级保护的 的基本含义与原则 •电子政务信息安全等级保护的 基本方法 •电子政务系统信息安全等级的 定级方法 •电子政务信息安全规划与设计 我国电子政务信息安全的现状 •建立了与电子政务发展水平相适应的 安全保障措施 •结合实际需要，制定了一批具有实际 指导意义的信息安全法规制度和工作 机制 •开始从整体安全体系出发来进行信息 安全建设 •分级分域防护的基本思路正在逐步得 到贯彻 当前的主要问题 •如何协调条块关系，条块间安全责任如何 确定，如何合理划分安全域 •等级保护的标准和规范不明确 ，如何划 分安全等级，不同安全等级的安全域间如 何进行信息交换 •密码技术的应用与密码保障体系建设问题 •信任体系建设问题 我国当前信息安全保障工作的要求 与原则 • 总体要求:坚持积极防御、综合防范的方针， 全面提高信息安全防护能力，重点保护基础 网络和重要信息系统安全，创建安全健康的 网络环境，保障和促进信息化发展，保护公 众利益，维护国家安全。 • 主要原则：立足国情，以我为主，坚持管理 与技术并重；正确处理安全与发展的关系， 以安全促发展，在发展中求安全；统筹规 划，突出重点，强化基础性工作；明确国 家、企业、个人的责任和义务，充分发挥各 方面的积极性，共同构筑国家信息安全保障 体系 当前的九项任务 • 实行信息安全等级保护 • 加强以密码技术为基础的信息保护和网络信任体系建设 • 建设和完善信息安全监控体系 • 重视信息安全应急处理工作 • 加强信息安全技术研究开发，推进信息安全产业发展 • 加强信息安全法制建设标准化建设 • 加快信息安全人才培养，增强全民信息安全意识 • 保证信息安全资金 • 加强对信息安全保障工作的领导，建立健全信息安全管 理责任制 电子政务信息安全保障的基本 策略 （一） • 贯彻 “谁主管谁负责，谁运行谁负责”的 原则，实行分域保护 电子政务信息安全保障的基本 策略 （二） 以风险管理为基础，实行等级保护 电子政务信息安全保障的基本 策略 （三） 按照安全等级，实施综合防范，形成安全防护 能力、隐患发现能力和应急响应能力 三保卫、一支撑 保卫网络 保卫边界和 保卫局域 支撑基础设施 基础设施 外部连接 计算环境 电子政务等级保护的含义 “实行信息安全等级保护：信息化发展的不同阶段和不同的信 息系统有着不同的安全需求，必须从实际出发，综合平衡安全 成本和风险，优化信息安全资源的配置，确保重点。要重点保 护基础信息网络和关系国家安全、经济命脉、社会稳定等方面 的重要信息系统。” 依据电子政务系统的使命与目标和系统重要程 度，将系统划分为不同的安全等级，并综合平 衡考虑系统安全要求、系统所面临安全风险和 实施安全保护措施的成本，进行安全措施的调 整和定制，形成不同等级的安全措施进行保护 电子政务等级保护的基本原则 • 重点保护原则：电子政务等级保护要突出重点，重点保护关系国家安 全、经济命脉、社会稳定等方面的重要电子政务系统，集中资源首先 确保重点系统安全。 • 自主保护原则：电子政务等级保护要贯彻“谁主管谁负责、谁运营谁 负责”的原则，由各主管部门和运营单位依照国家相关法规和标准， 自主确定电