信息安全环境与任务PPT课件.ppt

信息安全环境与任务 陈敏康2011年10月 2020 3 20 1 2 信息安全环境与任务 要点 信息安全的基本概念 税务系统信息安全面临的形势和任务 一般税务干部的信息安全认识问题 教学目的在于帮助学员树立信息安全意识 提高信息安全认知水平 2020 3 20 3 目录 一 信息安全基本概念 二 信息安全形势与任务 三 个人信息安全要求与责任 2020 3 20 4 一 信息安全基本概念 案例 由于机要员李某出差 科长徐某交代普通科员张某代替李某将一个机要文件整理上报省局 但由于文件均存放于李电脑中 张随即打电话询问李某登陆帐号和密码 此时某纳税人正好上门咨询政策 张某为方便将帐号密码记于纸上放在电脑桌前 张某接待该纳税人中途接科长电话 留纳税人独自一人在办公室去科长办公室汇报情况 回来后由于时间已晚 打发纳税人走后便将私人U盘插入电脑将材料拷贝回家 准备在家连夜加班 第二天早上再拷回单位 请问该案例中有几处您觉得不妥当的细节 2020 3 20 5 一 信息安全基本概念 什么是信息安全 首先什么是信息 请看下图 2020 3 20 6 一 信息安全基本概念 基本元素是数据 每个数据代表某个意义 以各种形式存在 纸 电子 影片 交谈等 数据具有一定的逻辑关系 具有一定的时效性 对组织具有价值 是一种资产 需要适当的保护 信息有哪些属性 2020 3 20 7 一 信息安全基本概念 什么是安全 安全Security 事物保持不受损害 2020 3 20 8 一 信息安全基本概念 信息本身的机密性 Confidentiality 完整性 Integrity 和可用性 Availability 的保持 即防止防止未经授权使用信息 防止对信息的非法修改和破坏 确保及时可靠地使用信息 保密性 确保信息没有非授权的泄漏 不被非授权的个人 组织和计算机程序使用完整性 真实性 确保信息没有遭到篡改和破坏可用性 确保拥有授权的用户或程序可以及时 正常使用信息 以上描述即信息安全的定义 2020 3 20 9 一 信息安全基本概念 你遇到过哪些信息安全问题 2020 3 20 10 为什么会有信息安全问题 因为有病毒吗 因为有黑客吗 因为有漏洞吗 这些都是原因 但没有说到根源 2020 3 20 11 安全问题根源 系统越来越复杂 内因1 工作计算机 员工在使用 移动介质 内网中的其它系统 单位连接因特网 电话拨号上网 连接其它单位网络 无线网络 2020 3 20 12 安全问题根源 内因我们使用的网络是开放的 2020 3 20 13 安全问题根源 人是复杂的 内因2 2020 3 20 14 安全问题根源 来自对手的威胁 外因1 2020 3 20 15 安全问题根源 来自自然的破坏 外因2 2020 3 20 16 信息技术的发展 电报电话通信 计算机加工存储 网络互联时代 2020 3 20 17 一 信息安全基本概念 表面原因是由病毒 黑客 漏洞造成的 根源内因来源于人的复杂性 为了各种需求和利益 我们的社会系统越来越复杂 外因则来自于各种人为的和自然的威胁 为什么会有信息安全问题 结论 信息安全问题是否可以避免 2020 3 20 18 一 信息安全基本概念 风险三要素 资产 威胁和脆弱性外在威胁利用信息系统存在的脆弱性 致其损失或破坏对系统价值造成损害的可能性 在这里需要引入一个风险的概念 只要有价值 就一定有风险 因此信息安全问题无法避免 只能降低其风险 2020 3 20 19 一 信息安全基本概念 信息和其它资产一样是具有价值的 2020 3 20 20 一 信息安全基本概念 信息面临着外在的威胁 2020 3 20 21 一 信息安全基本概念 信息系统存在着脆弱性 2020 3 20 22 一 信息安全基本概念 外在威胁利用信息系统存在的脆弱性 致其损失或破坏对系统价值造成损害的可能性 2020 3 20 23 一 信息安全基本概念 信息安全保障模型的四要素 技术 工程 管理和人员 如何保障信息安全就要从这四方面入手 那么如何保障信息安全呢 2020 3 20 24 一 信息安全基本概念 对我们来说 构建信息安全最首要的任务是什么 为了回答这个问题 让我们先来回答三个问题 2020 3 20 25 一 信息安全基本概念 第一个问题 计算机和人谁更可靠 第二个问题 法治和人治谁更可靠 第三个问题 信息安全与信息化工作要不要同步规划 同步实施 第四个问题 技术 工程 管理与人 它们符合短板原理 谁是最短的那块板 换言之 谁更容易成为构建信息安全的瓶颈 写在纸上的密码 忘在保险柜上的钥匙 说明什么问题 2020 3 20 26 一 信息安全基本概念 安全四要素中的人包括人员组织 知识结构 工作经验 操作技能和安全意识等等 又因为意识先于行动 因此提升安全意识是保障人员因素的首要任务 而人员因素是安全四要素的瓶颈 因此构建信息安全的首要任务也是提升安全意识 2020 3 20 27 一 信息安全基本概念 回顾 信息安全三要素 机密性 完整性和可用性风险三要素 资产 威胁和脆弱性安全保障四要素 技术 工程 管理和人员结论 提升安全意识是构建信息安全的首要任务以上要点 你能记住吗 2020 3 20 28 目录 信息安全基本概念信息安全形势与任务个人信息安全要求与责任 2020 3 20 29 二 信息安全形势与任务 国内外重大信息安全事件我国信息安全相关法律法规及政策要求税务系统信息安全环境和要求 2020 3 20 30 二 信息安全形势与任务 国内外重大信息安全事件我国信息安全相关法律法规及政策要求税务系统信息安全环境和要求 2020 3 20 31 2007年11月 英国税务及海关总署的一名公务员在将两张光碟寄给审计部门时 由于疏忽忘记依照规范以挂号寄出 导致光碟下落不明 光碟中有英国家庭申请十六岁以下儿童福利补助的资料 包括公民的姓名 地址 出生年月 社会保险号码和银行帐户资料 据称其中还包括了英国首相布朗一家的机密资料 英国财政大臣达林在国会下院承认数据丢失 布朗面色凝重 案例1 英国税务局 光盘 门 2020 3 20 32 案例2 暴风影音事件 国内最大的影音播放软件暴风影音爆出存在安全漏洞 该漏洞发生在暴风影音II的一个activex控件上 当安装了暴风影音II的用户在浏览黑客精心构造的包含恶意代码的网页后 会下载木马病毒 并以当前用户权限自动运行 某公司员工违反规定在工作用计算机及上安装了 暴风影音 上班时间上网浏览新闻 黑客利用木马窃取了该员工计算机及该公司局域网中的部分公司机密 个人计算机作为税务信息系统的一个组成部分 如果出现安全漏洞 就可能成为信息安全防护的薄弱环节 被窃密或破坏分子利用对整个系统造成破坏 2020 3 20 33 案例3 索尼客户账号和信用卡号码遭泄密 2011年4月 索尼超过1亿个客户账户的详细资料和1200万个没有加密的信用卡号码遭泄密 其中还包括姓名 出日日期等敏感的数据 造成泄密的原因是索尼在使用的一台过时的Apache服务器 既没有打上补丁 又没有装防火墙 而且在泄密前几个月 索尼知道有人攻击 但没有引起重视 更没有做任何补救措施 2020 3 20 34 案例4 考生信息被泄露 2011年6月 高考后不久 北京市7万多名参加高考的考生个人信息在网上被叫卖 其实不只考生信息 也不只北京 个人信息被随意泄露 转手牟利的现象已经到了非常严重的程度 许多人都屡屡接到过熟悉自己个人信息的陌生人的电话和短信 2020 3 20 35 案例5 今年发生的信息泄露事件 HBGaryFederal公司六万封电子邮件账号遭泄取德克萨斯州审计办公室泄露350万人多项个人信息世嘉后台130万用户资料被黑花旗银行被 黑 20万用户遭殃苹果公司通过iPhone手机跟踪并储存用户行踪信息 可以侵犯用户隐私 2020 3 20 36 二 信息安全形势与任务 国内外重大信息安全事件我信息安全相关法律法规及政策要求税务系统信息安全环境和要求 2020 3 20 37 相关法律法规及政策要求 2020 3 20 38 相关法律法规及政策要求 信息安全相关重要法律法规解读 中华人民共和国保守国家秘密法 国家安全法 刑法 有关规定 人大常委会关于维护互联网安全的决定 国务院相关规定 计算机病毒防治管理办法 互联网安全保护技术措施规定 2020 3 20 39 相关法律法规及政策要求 1988年全国人大通过 中华人民共和国保守国家秘密法 责成国家保密工作部门主管全国保守国家秘密的工作 明确了泄密法律责任 划清了罪与非罪的界限和量刑标准 为及时惩治犯罪和准确打击泄密违法行为提供了法律武器 泄露国家秘密 刑法 如何量刑 国家机关工作人员违反保守国家秘密法的规定 故意或者过失泄露国家秘密 情节严重的 处三年以下有期徒刑或者拘役 情节特别严重的 处三年以上七年以下有期陡刑 2020 3 20 40 相关法律法规及政策要求 1993年 全国人大通过 国家安全法 打击利用计算机网络进行阴谋颠覆政府 分裂国家 推翻社会主义制度的犯罪行为国家安全机关负责通信及信息网络的技术侦察 反窃密和反间谍工作 赋予国家安全机关对组织 个人使用的电子通信设备的检查权和对党政机关信息网络的安全检查任务 2020 3 20 41 相关法律法规及政策要求 1994年国务院147号令规定 公安部负责管理计算机信息系统安全保护工作 公安机关负责防范和打击计算机犯罪 破坏计算机信息系统罪 刑法 如何量刑 刑法第286条规定 违反国家规定 对计算机信息系统功能以及存储 处理或传输的数据和应用程序进行删除 修改 增加 干扰 造成计算机信息系统不能正常工作 后果严重的 处以五年以下有期徒刑或拘役 后果特别严重的 处以五年以上有期徒刑 并明确规定故意制作 传播计算机病毒等破坏性程序 影响计算机系统正常进行的 后果严重的也属于破坏计算机信息系统罪 2020 3 20 42 相关法律法规及政策要求 1997年经国务院批准 公安部发布第33号部长令 公安部负责计算机网络国际联网的安全保护管理工作 1997年 中共中央政法委以中政法 1997 12号文重申了国家安全机关对党政机关信息网络技术安全检查的职责 2020 3 20 43 相关法律法规及政策要求 1998年国务院规定 公安机关负责公共信息网络安全监察 1998年国家保密主管部门发布 计算机系统保密管理暂行规定 国保发 1998 1号 2020 3 20 44 相关法律法规及政策要求 中华人民共和国公安部令第51号 2000年4月公布实施 计算机病毒防治管理办法 2020 3 20 45 相关法律法规及政策要求 2003年秋 中共中央办公厅 国务院办公厅转发 国家信息化领导小组关于加强信息安全保障工作的意见 中办发 2003 27号 要求各省 自治区 直辖市党委和人民政府 中央和国家机关各部委 军委总政治部认真贯彻执行 这是指导我国信息安全保障工作的纲领性政策文件 2020 3 20 46 相关法律法规及政策要求 中华人民共和国公安部令第82号 2006年3月1日起施行 互联网安全保护技术措施规定 2020 3 20 47 相关法律法规及政策要求 2008年国务院办公厅下发 国务院办公厅关于加强政府信息系统安全和保密管理工作的通知 要求各省 自治区 直辖市人民政府 国务院各部委 各直属机构 面临敌对势力大肆对我各级行政机关进行网络攻击 窃密的严峻形势 进一步较强政府信息系统和保密管理工作 2020 3 20 48 二 信息安全形势与任务 国内外重大信息安全事件我信息安全相关法律法规及政策要求税务系统信息安全环境和要求 2020 3 20 49 二 信息安全形势与任务 国内外重大信息安全事件我信息安全相关法律法规及政策要求税务系统信息安全环境和要求 税收信息化发展状况 总局领导要求 税务系统信息安全工作开展情况 2020 3 20 50 1985年开始在税收工作中应用计算机 至今 税收信息化建设走过了20多年的历程 为了支撑1994年实施的税制改革 加强增值税专用发票监控管理 打击利用专用发票进行的犯罪活动 启动了金税工程建设 税收信息化建设始终得到了党中央 国务院高度关注和各部委的大力支持 金税工程被列为我国电子政务建设和完善的12个重点业务系统之一 取得长足发展 税收管理已实现网络化运行 信息化已成为税收业务正常开展的基础 税收信息化发展状况 2020 3 20 51 办税服务厅 网上办税服务 电话 12366 纳税服务平台 代理 统一的基础设施及安全运维平台 国库 质检 海关 纳税人 邮寄 征收管理 增值税管理 综合征管 数据分析与监控 外部门联网 行政管理 人事 财务 综合办公 执法 监察 出口退税管理 税收信息化发展状况 税收信息系统总体架构 2020 3 20 52 综合征管系统包括管理服务 征收监控 税务稽查 税收法制 税务执行等子系统 共有1000多个业务模块 其功能涵盖了税务登记 纳税申报等各征管业务环节以及增值税 所得税等各税种及社保费等各种代征费 是税收征管工作的主体系统 税收信息化发展状况 国税系统 全国统一 省级集中 实时监控 地税系统 省内统一 21个省级集中 税收核心应用系统 2020 3 20 53 税收信息化发展状况 国家税务机关的网络系统一般分为内网 业务专网 和外网 税务广域网覆盖5级税务机关 国家级节点2个 省级节点70个 地市级节点约900个 区县级节点约7000个 所级节点约20000个 内网和外网之间实行严格的逻辑隔离 防止内网秘密信息泄露到外网 防止来自外网的威胁攻击内网 严格的逻辑隔离措施 税务系统网络总体示意图 2020 3 20 54 二 信息安全形势与任务 国内外重大信息安全事件我信息安全相关法律法规及政策要求税务系统信息安全环境和要求 税收信息化发展状况 总局领导要求 税务系统信息安全工作开展情况 2020 3 20 55 总局领导要求 肖捷局长对信息系统安全检查工作做出重要指示着力从增强安全意识 制度建设 系统保障 落实责任等方面加大工作力度 2020 3 20 56 总局领导要求 钱冠林副局长部署信息系统安全隐患排除工作信息安全问题是一项系统工程 必须统筹规划 科学设计 严密制度 并保证财力支持 坚决杜绝信息系统存在的安全隐患 2020 3 20 57 总局领导要求 宋兰副局长部署信息系统安全隐患排除工作宋兰副局长指示要本着标本兼治 远近结合的方法采取相应措施 通过自查 自补漏洞等方式排除安全隐患 加强信息安全审核 从制度上杜绝安全漏洞 2020 3 20 58 二 信息安全形势与任务 国内外重大信息安全事件我信息安全相关法律法规及政策要求税务系统信息安全环境和要求 税收信息化发展状况 总局领导要求 税务系统信息安全工作开展情况 2020 3 20 59 税务系统信息安全工作开展情况 按照国家总局统一规划 各地相继成立了信息安全领导小组和办公室 专职负责信息安全管理工作 根据总局制定和下发的一系列信息安全相关制度规范和标准体系 各地相继完善和制订了相关制度和方案 将在未来三年内针对全体干部进行信息安全教育培训 逐步培养一支专业技术队伍 已完成实施三期安全防护体系 大家所使用和接触到的杀毒软件 VRV桌面管理系统就是其中组成部件 开展信息安全宣传月活动 全国范围内进行了信息安全漏洞隐患检查工作 2020 3 20 60 二 信息安全形势与任务 小结 国内外信息安全事件频发 我国应对信息安全形势采取的对策 税务系统信息化建设与信息安全建设进度 结论 成绩显著 任务艰巨 2020 3 20 61 目录 信息安全基本概念信息安全形势与任务个人信息安全要求与责任 2020 3 20 62 三 个人信息安全要求与责任 个人信息安全认识误区个体安全与全局安全的关系一般税务干部信息安全职责 2020 3 20 63 个人信息安全认识误区 认识误区一 信息安全有这么严重吗 2020 3 20 64 学员调查问卷表中有一个问题 您认为信息安全问题能够造成最大程度的后果是什么 多选项 批评 处分 经济损失 坐牢 死刑 家破人亡 国家政权灭亡 2020 3 20 65 案例1 请大家先看这张图 谁能告诉我这代表历史上的哪一次重大事件 2020 3 20 66 案例1 官渡之战 没错 这就是历史上赫赫有名的官渡之战 2020 3 20 67 案例1 官渡之战 建安四年 199年 六月 袁绍挑选精兵10万 南下进攻许都与曹操3万兵马交战 双方互有攻守 遂僵持于官渡数月之久 袁绍初战失利仍占据优势 曹操却外境困难 前方兵少粮缺 士卒疲乏 后方也不稳固 2020 3 20 68 案例1 官渡之战 袁绍又派车运粮 并令淳于琼率兵万人护送 屯积在袁军大营以北约20公里的故市 河南延津县内 乌巢 今河南延津东南 2020 3 20 69 案例1 官渡之战 恰在这时 袁绍谋士许攸投奔曹操 建议曹操轻兵奇袭乌巢 烧其辎重 曹操立即付诸实行 留曹洪 荀攸守营垒 亲自率领步骑5000 冒用袁军旗号 人衔枚马缚口 各带柴草一束 利用夜暗走小路偷袭乌巢 到达后立即围攻放火 2020 3 20 70 案例1 官渡之战 袁绍获知曹操袭击乌巢后 只派轻骑救援 主力则猛攻曹军大营 可曹营坚固 攻打不下 当曹军急攻乌巢淳于琼营时 袁绍增援的部队已经迫近 曹操励士死战 大破袁军 杀淳于琼等 并将其粮草全数烧毁 2020 3 20 71 案例1 官渡之战 袁军前线听到乌巢被破 军心动摇 内部分裂 大军溃败 袁绍仓惶带800骑退回河北 曹军先后歼灭和坑杀袁军7万余人 袁绍政权最终因此崩溃 曹操统一北方 2020 3 20 72 案例1 官渡之战 问题 官渡之战给我们带来的启示是什么呢 以少胜多 以弱胜强 曹操的谋略和袁绍的优柔寡断 2020 3 20 73 案例1 官渡之战 袁绍的军事部署来自对手曹操袁绍粮仓存在 2020 3 20 74 案例1 官渡之战 官渡之战中主角虽是曹操和袁绍 但却另有一个关键人物 许攸 他掌握核心机密他与领导关系不稳定他能趁夜溜出袁绍大营他最终导致一个政权覆灭 2020 3 20 75 案例1 官渡之战 雄厚的实力 落后的管理 袁绍集团安全意识的缺乏 战略的失败 2020 3 20 76 案例1 官渡之战 假如我们站在袁绍的角度来思考问题 该如何防止这种事情发生 技术 管理 深沟宽渠 防火墙 行军口令 身份识别 哨骑侦察 入侵检测 分散存放 分布式管理 淳于琼嗜酒 加强行政纪律 限制许攸行动 机密管理 2020 3 20 77 案例1 官渡之战 令人惋惜的是 袁绍集团被自身的强大所陶醉 缺乏这种安全意识 导致袁绍集团从人员基本安全素质 安全技术 安全管理各个方面漏洞百出 提示 许攸行为的实质是什么 问题还是出在人身上 2020 3 20 78 案例2 美伊战争 这是一张某中东地区军事强国的地图 号称军事力量中东地区第一 2020 3 20 79 案例2 美伊战争 在开战前伊拉克有现役部队约38 9万人 其中陆军约35万人 编有6个军部 19个装甲师 8个共和国卫队师 10个特种作战旅 总统卫队及特种保安部队 主要装备有T 72 T 69等各型坦克约2600辆 2020 3 20 80 案例2 美伊战争 装甲步战车约1200辆 装甲人员输送车1800辆 牵引炮1900门 自行火炮200门 多管火箭炮200门 直升机164架 武装直升机62架 海军约2000人 巡逻艇6艘 其他舰艇8艘 2020 3 20 81 案例2 美伊战争 空军约2万多人 装备有米格 27 苏 25等对地攻击战斗机约130架 战斗机约180架 还拥有预警机 空中加油机和空地导弹等先进武器 米格27战斗机 2020 3 20 82 案例2 美伊战争 防空军1 7万人 装备有高炮3000门 地空导弹850具 另外还有65万号称人民军的预备役部队 以及24000多人的准军事部队 边防部队和保安部队 萨姆23防空导弹 2020 3 20 83 案例2 美伊战争 伊拉克军队力量不可小视 萨达姆也一再叫嚣要给多国部队以难以承受的损失 而实际情况又如何呢 2020 3 20 84 案例2 美伊战争 战争开始后不到72个小时 美军利用战斧巡航导弹和精确制导炸弹打击了伊拉克的领导人驻地 统帅机关 防空雷达 指挥控制和通讯系统 重要政府机关 彻底摧毁了伊拉克的神经中枢 让伊拉克军队陷入混乱 然后才转而攻击其他军事目标 潜艇远距离发射战斧导弹 2020 3 20 85 案例2 美伊战争 其间 美军利用电磁炸弹 成功破坏了伊拉克重要设施的计算机及通讯设备 让后者变成瞎子和聋子 43天后 地面部队不费吹灰之力攻占了巴格达 萨达姆政权倒台 电磁脉冲炸弹在巴格达电视台上空爆炸 2020 3 20 86 案例2 美伊战争 值得一提的是 在封锁期间 美国某公司以石油换物资名义 假道约旦出售给伊拉克一批打印机 这批打印机的芯片里面有固化的破坏性指令 战争一开始 这批打印机既被远程启动用来破坏和瘫痪了伊拉克防空系统的计算机网络 一批美国军方黑客也大肆攻击伊拉克计算机系统和网络 对后者造成严重影响 2020 3 20 87 案例2 美伊战争 不难看出伊拉克的资产价值 威胁和脆弱性各在哪里 提示 威胁既可以来自内部 也可以来自外部 2020 3 20 88 案例2 美伊战争 完整性和可用性 还记得那个漂亮的烟花吗 2020 3 20 89 案例2 美伊战争 伊拉克要想成功抵御强敌 该采取哪些措施 这个问题留给大家思考 2020 3 20 90 案例2 美伊战争 信息安全三要素 机密性 完整性和可用性如何在以上两个案例中被威胁的 风险三要素 袁绍军和伊拉克各自的信息资产价值在哪 威胁和脆弱性在哪 信息安全保障 如何从技术 管理和人员上挽救这两个集团 2020 3 20 91 个人信息安全认识误区 认识误区二 无意的比故意的责任轻 不知道 侥幸心理 故意 他们责任一样吗 2020 3 20 92 个人信息安全认识误区 刑事责任 在法律面前 只要造成重大危害 主观故意与否都要承担刑事责任 泄露国家机密危害公共安全 认识误区二 无意的比故意的责任轻 2020 3 20 93 个人信息安全认识误区 泄露国家秘密 刑法 如何量刑 国家机关工作人员违反保守国家秘密法的规定 故意或者过失泄露国家秘密 情节严重的 处