CISM注册信息安全员信息安全保障基础V().ppt

1、信息安全保障基础,中国信息安全测评中心,版本：3.0,课程内容,2,信息安全 保障基础,信息安全保障 理论及实践,信息安全 法规政策标准,知识域：信息安全保障基础知识 理解信息安全的典型安全威胁 理解信息安全问题产生的根源 掌握信息安全三个基本要素（保密性、完整性和可用性）的概念和含义 了解信息安全发展的阶段及各阶段主要特点 理解信息安全保障的概念和内涵,3,信息和信息安全,信息 消息，泛指人类社会传播的一切内容 有意义的数据 在计算机系统中，信息通常以文字、声音、图像或数据的形式展现出来，它是按一定方式排列起来的、有意义的符号序列 信息安全 关注信息自身的安全,4,什么是信息安全,5,保持信

2、息的保密性、完整性和可用性，即防止未经授权使用信息、防止对信息的非法修改和破坏、确保及时可靠地使用信息。（CIA）,保密性,保密性 Confidentiality（C） 也称机密性 确保信息没有泄漏，不被没有授权的个人、组织和计算机程序使用 保密性需求举例 国家秘密 企业或研究机构的核心知识产权 银行账号等个人信息,6,完整性,完整性 Integrity（I） 确保信息没有遭到篡改或破坏 信息保持原样，未受损坏 没有丢失、被篡改或被破坏 完整性需求举例 通信数据原样传送到对方 信息未被插入、增加、删除、修改,7,可用性,可用性 Availability（A） 确保拥有授权的用户或程序可以及时、

3、正常使用信息 可用性需求举例 网站能支撑大量用户访问，正常提供服务 系统未受病毒影响，可以正常使用 系统能防御攻击者攻击，稳定可用,8,为什么会有信息安全问题？,为什么会有信息安全问题？ 总有黑客来攻击 总有新病毒传播 某些软件配置错误 操作系统被发现了新的漏洞 领导不重视，施工人员不认真 写代码的程序员没有获得安全证书 .,9,这些都对，怎么才能罗列完全？ 根本原因是什么？,信息系统安全问题产生的根本原因,内因 系统自身的脆弱性 外因 来自恶意攻击者的攻击 来自自然灾害的破坏,10,安全问题根源内因示例,复杂性导致脆弱性 凡是人做的东西总会存在问题,11,安全问题根源外因示例,12,安全问题

4、根源外因示例,来自大自然的威胁 雷击、地震、火灾和洪水等自然灾害 电力、空调等被电磁脉冲破坏 信息系统机房和设备遭受破坏,13,信息安全的地位和作用,信息网络已逐渐成为经济繁荣、社会稳定和国家发展的基础 信息化深刻影响着全球经济的整合、国家战略的调整和安全观念的转变 信息安全适用于所有信息技术领域 学习、游戏、网络购物、电子邮件 信息化办公、电子商务 电子政务、电力供应、工业控制系统 核设施、军事情报系统 从单纯的技术性问题变成事关国家安全的全球性问题,14,信息安全发展阶段,15,通信安全,16,计算机安全,17,信息系统安全,18,信息安全保障,19,信息安全发展各阶段特点,20,信息安全

5、保障概念发展,第一次定义 1996年，美国国防部DoD指令5-3600.1（DoDD 5-3600.1）中，给出了信息安全保障的定义 中国 中办发27号文国家信息化领导小组关于加强信息安全保障工作的意见，是信息安全保障工作的纲领性文件 目前，信息安全保障的概念已逐渐被全世界信息安全领域所接受 美国 英国 日本 ,21,信息安全保障含义,保障目标 信息系统业务和使命安全 保障措施 防止信息泄露、修改和破坏 检测入侵行为，实施响应和改进措施 同传统信息安全概念相比较 强调检测和响应，强调动态安全 注重对信息系统进行全生命周期的保护 关注技术、管理、规范等方面 要求实现风险管控的目标,22,新阶段网

6、络空间安全/信息安全保障,CS/IA：Cyberspace Security/Information Assurance 威胁 有组织网络犯罪、网络恐怖主义、网络空间军事对抗、APT 共识：网络安全问题上升到国家安全的重要程度 2009年，在美国带动下，世界各国信息安全政策、技术和实践等发生重大变革 核心思想：从传统防御的信息保障（IA），发展到“威慑”为主的防御、攻击和情报三位一体的信息保障/网络安全（IA/CS）的网空安全 网络防御-Defense（运维） 网络攻击-Offense（威慑） 网络利用-Exploitation（情报）,23,知识体：信息安全保障理论及实践,知识域：信息安全保

7、障模型 了解信息系统、风险、保障和使命之间的关系 掌握信息系统安全保障模型，理解其保障要素、生命周期和安全特征的内容和含义 理解PDCA模型内容和特点 了解信息保障技术框架（IATF）的核心要素和焦点区域,24,信息系统、风险、保障和使命,风险 可能导致信息安全问题 影响信息系统业务使命 保障 制定策略、执行措施 降低风险、保障使命 使命 信息系统业务使命 贯穿整个生命周期,25,什么是信息安全风险,外在威胁利用信息系统存在的脆弱性，致其损失或破坏对系统价值造成损害的可能性,26,信息系统为什么需要安全保障,组织机构的使命/业务目标实现越来越依赖于信息系统 信息系统成为组织机构生存和发展的关键

8、因素 信息系统的安全风险也成为组织风险的一部分 为了保障组织机构完成其使命，必须加强信息安全保障，抵抗这些风险,27,信息系统安全保障定义,信息系统安全保障是在信息系统的整个生命周期中，通过对信息系统的风险分析，制定并执行相应的安全保障策略，从技术、管理、工程和人员等方面提出安全保障要求，确保信息系统的保密性、完整性和可用性，降低安全风险到可接受的程度，从而保障系统实现组织机构的使命。,28,信息安全技术 信息系统安全保障评估框架 第一部分：简介和一般模型 (GB/T 20274.1-2006 ),信息系统安全保障模型-保障评估框架,29,信息系统安全保障模型特点,安全特征 保证其所创建、传输

9、、存储和处理信息的保密性、完整性和可用性。 生命周期 应贯穿信息系统的整个生命周期，包括计划组织、开发采购、实施交付、运行维护和废弃五个阶段 保障要素 由合格的信息安全专业人员，使用合格的信息安全技术和产品，通过规范、可持续性改进的工程过程能力和管理能力进行建设和运行维护，保障信息系统安全,30,2020/9/6,信息系统安全保障含义解释（1）,出发点和核心 在信息系统所处的运行环境里，以风险和策略为出发点，即从信息系统所面临的风险出发制定组织机构信息系统安全保障策略 动态安全，综合保障 信息系统生命周期 通过在信息系统生命周期中从技术、管理、工程和人员等方面提出安全保障要求,31,信息系统安

10、全保障含义解释（2）,确保信息的安全特征 确保信息的保密性、完整性和可用性特征，从而实现和贯彻组织机构策略并将风险降低到可接受的程度 保护资产 达到保护组织机构信息和信息系统资产 最终保障使命 从而保障组织机构实现其使命的最终目的,32,如何保障信息系统安全？,33,信息是依赖于承载它的信息技术系统存在的 需要在技术层面部署完善的控制措施,信息系统需要规划、建设、使用和维护 需要通过有效的管理手段来约束和保证,今天系统安全了明天未必安全 需要贯穿系统生命周期的工程过程,信息安全的对抗，归根结底是人员的对抗 需要建设高素质的人才队伍,信息安全保障体系构成的要素,信息安全技术体系 信息安全管理体系

11、 信息安全工程过程 高素质的人员队伍,34,信息系统安全保障技术要素,安全技术体系架构 根据系统安全风险评估的结果和系统安全策略的要求，并参考相关标准和最佳实践，建立的符合组织机构信息技术系统安全发展规划的整体安全技术体系框架 主要内容 密码技术 访问控制技术 审计和监控技术 网络安全技术 ,35,36,举例：信息安全技术体系,信息系统安全保障管理要素,覆盖整个生命周期 以风险和策略为核心 五方面的管理内容,相关方,信息安全需求&期待,实施和运行ISMS,保持和改进ISMS,Plan计划,Do 实施,Act改进,Check检查,开发、维护&改进循环,相关方,受控的信息安全,Plan计划（建立I

12、SMS环境） 根据组织机构的整体策略和目标，建立同控制风险和改进信息安全相关的安全策略、目的、目标、过程和流程以交付结果。,Do做（设计&实施） 实施和操作策略（过程和流程）,Check检查（监控&审核） 通过策略、目的和实践经验测量和评估过程执行，并将结果汇报给决策人。,Act行动（改进） 建立纠正和预防行动以进一步改进过程的执行,建立ISMS,监视&评审ISMS,信息安全管理体系建设,38,信息系统安全保障工程要素,将信息安全手段动态作用于信息系统的工作过程 基于信息系统生命周期建立信息系统安全工程生命周期 在生命周期每个阶段融入安全措施，从而有效、科学的实现信息系统安全保障目标,39,科

13、学的信息安全工程过程,40,高素质的人员队伍,信息安全对抗归根结底是人与人的对抗，保障信息安全不仅需要专业信息技术人员，还需要信息系统普通使用者提高安全意识，加强个人防范能力,41,基于信息系统生命周期的信息安全保障,在信息系统生命周期模型中，将信息系统的整个生命周期抽象成计划组织、开发采购、实施交付、运行维护和废弃五个阶段,42,信息系统安全保障模型理解,43,信息系统安全保障,A,计划,实施,检查,改进,P,D,C,PDCA循环,44,按照PDCA的顺序依次进行，一次完整的PDCA可以看成组织在管理上的一个周期，每经过一次PDCA循环，组织的管理体系都会得到一定程度的完善。,PDCA循环,

14、PDCA 也称“戴明环”，由美国质量管理专家戴明提出 P（Plan）：计划 确定方针和目标，确定活动计划 D（Do）：实施 实际去做，实现计划中的内容 C（Check）：检查 总结执行计划的结果，找出问题 A（Act）：改进 采取纠正和预防措施进一步提高过程质量,45,PDCA循环的特点,特点一 循序渐进，周而复始 按顺序进行，它靠组织的力量来推动，像车轮一样向前进，周而复始，不断循环 特点二 层层循环，环环相扣 组织中的每个部分，甚至个人，均可以PDCA循环，大环套小环，一层一层地解决问题 特点三 不断循环，不断提高 每通过一次PDCA 循环，都要进行总结，提出新目标，再进行第二次PDCA

15、循环,46,PDCA循环，能够提供一种优秀的过程方法，以实现持续改进 遵循PDCA循环，能使任何一项活动都有效地进行,PDCA循环的作用,47,信息保障技术框架,信息保障技术框架（IATF） Information Assurance Technical Framework 美国国家安全局制定 描述美国信息保障的指导性文件，为保护美国政府和工业界的信息与信息基础设施提供技术支持 研究历史 1998年，2.0版，网络安全框架 1999年，2.0版，更名为信息保障技术框架 2000年，3.0版 2002年，3.1版，扩展了“纵深防御”，强调信息保障战略,48,信息系统安全保障模型-IATF,49,

16、IATF理解,三个核心要素 人、技术和操作（Operation，也称为运行） 强调信息安全保障要靠人操作好技术来实现。 四个焦点区域 保护网络和基础设施、保护区域边界、保护计算环境和支撑性基础设施 部署多层防御措施，形成纵深防御能力,50,知识体：信息安全保障理论及实践,知识域：我国信息安全保障工作实践 理解我国信息安全工作的发展阶段划分情况 了解我国信息安全保障工作的目标和主要内容 了解我国信息安全保障工作实践成果,51,52,我国信息安全保障工作发展阶段,52,启动阶段（2001-2002）,2001年至2002年 是我国网络与信息安全事件频发且性质严重的时期 国家信息化领导小组重组，网络

17、与信息安全协调小组成立 我国信息安全保障工作正式启动 期间重要事件 来自境外邪教组织、敌对势力的破坏 各种政治谣言、反动宣传和社会敏感热点问题日益增多 网络系统、重要信息系统自身存在诸多安全隐患,53,积极推进阶段（2003-2005）,2003年至2005年 国家信息安全保障体系建设逐步展开和推进的阶段 国家出台指导政策，发布国家信息安全战略 信息安全保障各项工作积极推进 期间重要事件 2003年7月，关于加强信息安全保障工作的意见（中办发27号文件） 国家网络与信息安全协调小组多次会议 重视信息安全风险评估、网络信任体系以及保密和密码工作,54,深化落实阶段（2006年至2013）,200

18、6年至2013年 深化落实阶段 各项信息安全保障工作迈出了新的坚实步伐 信息安全法律法规、标准化和人才培养工作取得了新成果 期间重要成果 等级保护工作取得重要进展 信息安全风险评估工作更加深入 制定了大量信息安全标准规范 建设了一批信息安全基础设施 加强了互联网信息内容安全管理,55,新时期新阶段（2013年至今）,2013年至今，中央进一步推动信息安全发展 2013年，中国共产党十八届三中全会的决定 要坚持积极利用、科学发展、依法管理、确保安全的方针，加大依法管理网络力度，完善互联网管理领导体制 2014年2月，成立中央网络安全和信息化领导小组 统筹协调涉及经济、政治、文化、社会及军事等各个

19、领域的网络安全和信息化重大问题 推动国家网络安全和信息化各方面建设,增强我国信息安全保障能力,56,57,工作目标 我国信息安全保障工作应当在“积极防御、综合防范”的方针指导下，全面提高信息安全防护能力，并重点保障基础信息网络和重要信息系统安全，达到保障和促进信息化发展，为企业和公众合法利益构建安全可信的网络信息传播秩序和保护互联网知识产权的工作目标。 要求 立足国情，以我为主 坚持管理与技术并重 正确处理安全与发展的关系，以安全保发展，在发展中求安全 充分发挥各方面的积极性，共同构筑国家信息安全保障体系,国家信息安全保障工作目标,57,58,我国信息安全保障工作的主要内容,建立健全国家信息安

20、全组织与管理体制机制，加强信息安全工作的组织保障 建立健全信息安全法律法规体系，推进信息安全法制建设 建立完善信息安全标准体系，加强信息安全标准化工作 加强信息安全技术研究开发，推进信息安全产业发展 建设信息安全基础设施，提供国家信息安全保障能力支撑 建立信息安全人才培养体系，加快信息安全学科建设和信息安全人才培养,信息安全保障工作实践成果,我国信息安全保障实践成果 信息安全标准化 应急处理与信息通报 等级保护 风险评估 灾难恢复 人才培养,59,重要实践成果标准化工作,信息安全标准化 2002年4月，成立“全国信息安全标准化技术委员会” 简称“全国信安标委”，代号为TC260 制定了多项信息

21、安全标准,60,自2004年1月起，各有关部门在申报信息安全国家标准计划项目时，必须经全国信安标委提出工作意见，协调一致后由全国信安标委组织申报。,重要实践成果应急处理和通报工作,应急处理与信息通报 2002年9月，成立“国家计算机网络应急技术处理协调中心”，简称“国家互联网应急中心”，英文简称是CNCERT或CNCERT/CC 2003年，“国家网络与信息安全协调小组” 2004年，“国家网络与信息安全信息通报中心”,61,重要实践成果等级保护,等级保护 1994年，国务院147号令中华人民共和国计算机信息系统安全保护条例 2004年，发布关于信息安全等级保护工作的实施意见（公通字20046

22、6号） 全面启动等级保护的实施工作 发布了多项等级保护有关政策和标准,62,重要实践成果风险评估,风险评估 2003年，国务院信息办启动了信息安全风险评估的调研、试点和标准编写等工作 2006年1月，发布关于开展信息安全风险评估工作的意见 （国信办20065号） 组织风险评估专控队伍对全国基础信息网络和重要信息系统进行检查,63,重要实践成果灾难恢复,灾难恢复 随着数据大集中的发展，国家对灾难恢复工作高度重视，越来越多的单位和部门认识到灾难恢复的重要性和必要性 2002年4月，银监会颁布了商业银行内部控制指引，其中第八章计算机信息系统的内部控制规定，商业银行应当建立计算机安全应急系统 2004

23、年9月，印发关于做好重要信息系统灾难备份工作的通知（信安通200411号 2005年4月，下发重要信息系统灾难恢复指南,64,重要实践成果人才培养,人才培养 2001年，武汉大学，信息安全本科专业 2005年，教育部发文加强信息安全学科体系建设 目前，我国信息安全专业教育已基本形成了从专科、本科、硕士、博士到博士后的正规高等教育人才培养体系 除正规大学教育外，我国信息安全非学历教育已基本形成了以各种认证为核心，辅以职业技能培训的信息安全人才培训体系 2002年，CISP 2005年，CISM,65,知识体：信息安全法规政策标准,知识域：重点信息安全法律法规解读 了解我国信息安全法律体系情况 理

24、解中华人民共和国保守国家秘密法中主要条款 了解中华人民共和国刑法、中华人民共和国电子签名法关于信息安全的重要条款,66,我国法律法规体系,多级立法的法律体系 法律 行政法规 地方性法规 地方政府规章 部门规章 共同构成了以中华人民共和国宪法为基础的统一的法律体系,67,我国信息安全法律体系,68,保守国家秘密法（保密法 1）,演进 保守国家秘密暂行条例（1951年） 保守国家秘密法（1989年） 保守国家秘密法（2010年修订，4月29日修订，10月1日施行） 主旨（总则） 目的：保守国家秘密，维护国家安全和利益 国家秘密是关系国家安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知

25、悉的事项 国家秘密受法律保护。一切国家机关、武装力量、政党、社会团体、企业事业单位和公民都有保守国家秘密的义务 国家保密行政管理部门主管全国的保密工作 国家机关和涉及国家秘密的单位（以下简称机关、单位）管理本机关和本单位的保密工作 保密工作责任制：健全保密管理制度，完善保密防护措施，开展保密宣传教育，加强保密检查,法律,69,保守国家秘密法（保密法 2）,国家秘密的范围 国家事务、国防武装、外交外事、政党秘密 国民经济和社会发展、科学技术 维护国家安全的活动、经保密主管部门确定的事项等 国家秘密的密级 绝密-是最重要的国家秘密，泄露会使国家安全和利益遭受特别严重的损害；保密期限不超过30年 机

26、密-是重要的国家秘密，泄露会使国家安全和利益遭受严重的损害；保密期限不超过20年 秘密-是一般的国家秘密，泄露会使国家安全和利益遭受损害；保密期限不超过10年 国家秘密的其他基本属性 定密权限（定密责任人）、保密期限、解密条件、知悉范围 国家秘密载体、国家秘密标志,法律,70,保守国家秘密法（保密法 3）,保密制度 对国家秘密载体的行为要求 对属于国家秘密的设备、产品的行为要求 对存储、处理国家秘密的计算机信息系统的要求-分级保护 对组织和个人的行为要求（涉密信息系统管理、国家秘密载体管理、公开发布信息、各类涉密采购、涉密人员分类管理、保密教育培训、保密协议等） 对公共信息网络及其他传媒的行为

27、要求 对互联网及其他公共信息网络运营商、服务商的行为要求 监督管理 国家保密行政管理部门依照法律、行政法规的规定，制定保密规章和国家保密标准 组织开展保密宣传教育、保密检查、保密技术防护和泄密案件查处工作，对机关、单位的保密工作进行指导和监督,法律,71,刑法中的有关规定（1）,刑法 第六章 妨碍社会管理秩序罪 第一节 扰乱公共秩序罪 第285、286、287条 285条：非法侵入计算机信息系统罪；非法获取计算机信息系统数据、非法控制计算机信息系统罪；提供侵入、非法控制计算机信息系统程序、工具罪 违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘

28、役 违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金 提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚,法律,72,刑法中的有关规定（2）,刑法 第六章 妨碍社会管理秩序罪 第一节 扰乱公共秩序罪 第285、286、287条 286条：破坏计算机信息系统罪 违反国家规定

29、，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑 违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚 故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚 287条：利用计算机实施犯罪的提示性规定 利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚,73,法律,74,中华人民共和国电子签名法,意义 2005年4月1日正式施行的

30、中华人民共和国电子签名法，被称为“中国首部真正意义上的信息化法律”，自此电子签名与传统手写签名和盖章具有同等的法律效力 适用范围 民事活动中的合同或者其他文件、单证等文书 不适用范围 （国际惯例）：涉及证明人身关系的、涉及不动产权益转让的、涉及停止公共事业服务的、法律法规所规定的不适用电子文书的其他情形,法律,全国人大关于维护互联网安全的决定,背景 互联网日益广泛的应用，对于加快我国国民经济、科学技术的发展和社会服务信息化进程具有重要作用。如何保障互联网的运行安全和信息安全问题已经引起全社会的普遍关注 互联网安全的范畴（法律约束力） 互联网的运行安全（侵入、破坏性程序、攻击、中断服务等） 国家

31、安全和社会稳定（有害信息、窃取/泄露国家秘密、煽动、非法组织等） 市场经济秩序和社会管理秩序（销售伪劣产品/虚假宣传、损害商业信誉、侵犯知识产权、扰乱金融秩序、淫秽内容服务等） 个人、法人和其他组织的人身、财产等合法权利（侮辱或诽谤他人、非法处理他人信息数据/侵犯通信自有和通信秘密、盗窃/诈骗/敲诈勒索等） 法律责任 构成犯罪的，依照刑法有关规定追究刑事责任 构成民事侵权的，依法承担民事责任 尚不构成犯罪的：治安管理处罚 / 行政处罚 / 行政处分或纪律处分,75,法律,知识体：信息安全法规政策标准,知识域：重点信息安全政策解读 理解国家信息化领导小组关于加强信息安全保障工作的意见的重要性和有

32、关内容 了解中华人民共和国计算机信息系统安全保护条例的有关内容 了解国务院关于大力推进信息化发展和切实保障信息安全的若干意见的有关内容,76,国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）,意义 标志着我国信息安全保障工作有了总体纲领 提出要在5年内建设中国信息安全保障体系 总体要求 坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全 信息安全与国家安全 27号文：信息安全已成为国家安全的重要组成部分 十六届四中全会：确保国家的政治安全、经济安全、文化

33、安全和信息安全,77,中华人民共和国计算机信息系统安全保护条例（国务院147号令）,国务院147号令 1994年2月，国务院发布 是我国在信息系统安全保护方面最早制定的一部政策性法规，也是我国信息系统安全保护最基本的一部法规 规定了 安全等级保护制度 国际互联网备案制度 信息系统安全产品销售许可证制度 ,78,关于加强政府信息安全和保密管理工作的通知（国办发200817号）,加强组织领导，明确安全责任 重视信息安全和保密工作，明确主管领导 谁主管谁负责、谁运行谁负责、谁使用谁负责 强化教育培训，提高安全意识和防护技能 组织信息安全和保密基本技能培训 深入学习宣传信息安全“五禁止”规定 完善安全

34、措施和手段 管理制度+技术手段 做好信息安全检查工作，依法追究责任 详见政府信息系统安全检查办法,79,国务院关于大力推进信息化发展和切实保障信息安全的若干意见（国发201223号）,重要意义 调整经济结构，转变发展方式，保障和改善民生 健全信息安全保障体系，切实增强信息安全保障能力，维护国家信息安全 主要目标 重点领域信息化水平明显提高 下一代信息基础设施初步建成 国家信息安全保障体系基本形成 重要信息系统和基础网络安全防护能力明显增强 信息化装备的安全可控水平明显提高 信息安全等级保护等基础性工作明显加强,80,国务院关于大力推进信息化发展和切实保障信息安全的若干意见（国发201223号）,保障重点领域信息安全 确保重要信息系统和基础信息网络安全 加强政府和涉密信息系统安全管理 保障工业控制系统安全 强化信息资源和个人信息保护 提升网络与信息安全保障水平 夯实网络与信息安全基础，研究制定国家信息安全战略和规划，落实信息安全等级保护制度 加强网络信任体