信息安全制度宣贯课件

信息安全制度宣贯课件第一章信息安全基础概念什么是信息安全？信息安全的定义信息安全（，简称）是指通过采取必要措施，保护信息及信Information SecurityInfoSec息系统免遭未经授权的访问、使用、披露、破坏、修改或销毁，从而确保信息的机密性、完整性和可用性保护范围物理安全设备、设施的物理保护•访问控制身份认证与权限管理•网络安全传输通道与边界防护•应用安全软件系统的安全防护•数据安全敏感信息的全生命周期保护•信息安全的三大核心要素模型CIA三元组是信息安全领域最基础、最重要的理论模型，构成了信息安全体系的核心支柱理解并正确应用这三个要素，是建立有效安全防护体系的前CIA提机密性Confidentiality完整性Integrity可用性Availability确保信息仅被授权人员访问，防止未授权的保证信息的准确性和完整性，防止信息被非确保授权用户在需要时能够及时、可靠地访信息泄露法篡改或破坏问信息和资源数据加密技术数字签名验证冗余备份系统•••访问控制策略哈希校验机制负载均衡技术•••安全传输协议版本控制管理灾难恢复计划•••信息安全的关键技术与措施1加密技术采用对称加密（）和非对称加密（）相结合的方式，保障数据在传输和AES RSA存储过程中的安全性通过密钥管理系统确保密钥的安全分发与更新2访问控制与身份鉴别实施基于角色的访问控制（）和最小权限原则，结合多因素认证（）RBAC MFA技术，确保只有合法用户才能访问相应资源技术防护体系3防火墙与入侵检测系统（）•IDS/IPS事件响应与灾难恢复安全审计与日志分析•建立完善的安全事件监测、预警和响应机制，制定详细的业务连续性计划漏洞扫描与补丁管理•（）和灾难恢复计划（），确保系统持续稳定运行BCP DRP恶意代码防护•安全态势感知平台•信息安全三要素可视化信息资产可用性完整性机密性第二章国家网络安全法律法规与制度框架国家高度重视网络安全工作，已建立起以《网络安全法》为核心的法律法规体系了解和遵守相关法律法规是每个组织和个人的基本义务，也是保障网络空间安全的重要基础《中华人民共和国网络安全法》核心内容《网络安全法》于年月日正式实施，是我国网络安全领域的基础性法律，标志着我国网络安全保障工作进入了法治化轨道201761网络空间主权合法权益保护技术创新与人才培养明确网络空间主权原则，维护国家网络安全保护公民、法人和其他组织的合法权益，特鼓励网络安全技术创新和产业发展，加强网和数字主权，禁止任何个人和组织利用网络别是个人信息和隐私保护，明确网络运营者络安全人才培养和国际合作，提升国家网络从事危害国家安全的活动的安全保护义务安全整体水平法律责任违反《网络安全法》的行为将面临警告、罚款、责令停业整顿、吊销许可证或营业执照等行政处罚，构成犯罪的将依法追究刑事责任网络安全等级保护制度（等保）

2.0制度概述网络安全等级保护制度是国家网络安全的基本制度、基本策略和基本方法等保在等保基础上，扩展了保护对象范围，实现了对云计算、移动互联、物联

2.

01.0网、工业控制系统等新技术新应用的全覆盖五个安全等级第一级（自主保护级）适用于一般信息系统第二级（系统审计级）适用于市级以上政府部门重要系统第三级（安全标记级）适用于地市级以上政府重要系统第四级（结构化保护级）适用于省级以上政府核心系统重要提示第三级及以上信息系统必须每年进行一次等第五级（访问验证级）适用于国家级核心系统级测评，第二级系统至少每两年进行一次测评等级保护要求网络运营者根据系统的重要性和面临的风险，采取相应级别的安全保护措施，落实分级防护责任，实现精准防护关键信息基础设施安全保护制度关键信息基础设施（，简称）是指那些一旦遭到破坏、丧失功能或数据泄露，可能严重危害国家安全、国计民Critical InformationInfrastructure CII生、公共利益的信息设施12明确安全责任供应链安全管理关键信息基础设施运营者是本单位网络安全的责任主体涉及公共通采购网络产品和服务应当按照规定通过安全审查，优先采购安全可信信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国的产品和服务重要系统和设备应进行国产化替代，降低供应链风防科技工业等重要行业和领域险34应急响应能力建设监测预警与检测评估建立健全网络安全应急预案，定期开展应急演练，提高网络安全事件设置专门安全管理机构，部署网络安全监测预警系统，定期开展风险应急处置能力与相关部门建立信息共享和协同联动机制评估和安全检测，及时发现和处置安全隐患法律法规体系架构部门规章与标准各部门规章和技术标准支撑实施配套行政法规等级保护条例、关键信息基础设施保护条例核心法律《网络安全法》作为基本法第三章信息系统安全等级保护详解等级保护工作是国家信息安全保障的基本制度，是促进信息化健康发展的重要举措深入理解等级保护的要求和实施流程，对于建设安全可靠的信息系统至关重要等级保护五级详解根据信息系统在国家安全、经济建设、社会生活中的重要程度，以及遭到破坏后对国家安全、社会秩序、公共利益及公民、法人和其他组织合法权益的危害程度，将信息系统的安全保护等级分为五级第一级用户自主保护级信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益第二级系统审计保护级信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全第三级安全标记保护级信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害这是大多数重要系统的基本要求第四级结构化保护级信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害第五级访问验证保护级信息系统受到破坏后，会对国家安全造成特别严重损害这是最高安全级别，适用于涉及国家核心机密的系统等级保护实施流程等级保护工作是一个系统工程需要按照定级、备案、建设整改、等级测评、监督检查五个规定动作开展每个环节都有明确的要求和标准需要严格执行,,定级备案安全建设系统运营者依据定级指南科学评估系统安全等级确定保护等级后到公安机关备案按照等级保护要求同步规划、设计、实施安全技术措施和管理措施,,等级测评运行维护委托具有资质的第三方测评机构对系统进行全面的安全检测和评估建立持续的安全监控、风险评估和改进机制,确保安全防护能力不断提升关键成功因素常见问题•领导重视,落实安全责任•定级不准确或过低充足的资金和人员保障安全建设与业务脱节•••选择合格的服务机构•测评走过场,整改不到位建立长效管理机制重建设轻运维••等级保护关键技术要求01身份鉴别与访问控制实施强身份认证采用口令、数字证书、生物特征等多种方式建立细粒度的访问控制策略实,,现用户、资源、操作的三元组控制02安全审计与日志管理记录用户行为、系统事件、安全事件等审计信息审计记录应包括日期、时间、用户、事件类型等要素保存时间不少于个月,603数据加密与完整性保护对重要数据进行加密存储和传输采用国产密码算法通过数字签名、消息认证码等技术保证,数据完整性技术防护体系等级保护要求从物理安全、网络安全、主机安全、应用安全、数据安全五个层面构建纵深防04御体系系统漏洞管理与应急响应建立漏洞管理流程,定期进行漏洞扫描和补丁更新制定应急响应预案,明确响应流程和处置措不同等级的系统在技术要求上有显著差异第三级系统相比第二级需要增加安全标施记、强制访问控制等要求等级保护实施流程可视化定级备案安全建设整改加固等级测评等级保护不是一次性工作而是一个持续改进的循环过程通过定期测评和风险评估及,,时发现安全问题并进行整改不断提升系统的安全防护能力适应不断变化的安全威胁,,第四章常见信息安全威胁与案例分析网络安全威胁日益复杂多样攻击手段不断升级了解常见的安全威胁类型和真实案例,,有助于提高安全意识采取有效的防护措施防患于未然,,典型网络攻击类型随着信息技术的发展网络攻击手段日趋专业化、隐蔽化、持久化攻击者利用系统漏洞、社会工程、恶意代码等多种方式发起攻击给组织带来严重的,,安全威胁高级持续性威胁APT分布式拒绝服务攻击DDoS攻击是有组织、有目的、长期潜伏的网络攻击攻击者通过多阶段、利用大量被控制的计算机向目标系统发送海量请求耗尽系统资源导致正常APT,,多手段的方式渗透目标系统窃取核心数据和机密信息具有强隐蔽性、长服务中断攻击规模可达数百严重影响业务连续性,Gbps,期性和针对性特点网络钓鱼与社会工程攻击勒索软件与恶意代码通过伪造邮件、网站、短信等方式诱骗用户泄露敏感信息或下载恶意软恶意代码通过加密用户文件或锁定系统要求支付赎金才能恢复近年来勒,件利用人性弱点成功率高是最常见的攻击手段之一索攻击呈爆发式增长给企业造成巨大经济损失和业务中断,,,内部威胁与安全管理盲区内部威胁的危害研究表明,超过60%的安全事件与内部人员有关内部威胁往往比外部攻击更难防范,造成的损失也更大内部人员熟悉系统架构和业务流程,拥有合法访问权限,其恶意行为更具隐蔽性和破坏力主要风险来源恶意内部人员:主动窃取、破坏或泄露信息疏忽大意:误操作、弱口令、随意共享账号社会工程:被外部攻击者利用成为跳板离职员工:带走敏感数据或留下后门授权滥用员工超出职责范围访问或使用数据,或将权限转借他人使用经典安全事件回顾历史上发生的重大安全事件为我们提供了宝贵的教训通过分析这些案例我们可以更好地理解安全威胁的现实影响从中汲取经验完善自身的安全防护体系,,,12013年斯诺登事件美国前雇员斯诺登披露棱镜计划揭露大规模监控项目此事件引发NSA,全球对隐私保护、数据主权的高度关注推动了各国网络安全立法进程,22017年WannaCry勒索软件利用系统漏洞的勒索软件在全球爆发影响多个国家的多Windows,15030万台计算机造成数十亿美元损失此事件凸显了及时修补系统漏洞的重,32018年Facebook数据泄露要性超过万用户数据被不当获取用于政治广告投放此事件导致5000面临巨额罚款推动了《通用数据保护条例》的严格执Facebook,GDPR42020年SolarWinds供应链攻击行黑客通过入侵软件供应商植入后门影响数千家企业和政府机构此事件,警示我们必须重视供应链安全加强第三方软件的安全审查,启示这些重大安全事件共同的教训是安全防护必须全面覆盖、持续改进任何薄弱环节都可能成为攻击突破口::,网络攻击路径与防御体系外层网络边界防护防火墙与IDS/IPS拦截侦察渗透中层主机与应用防护终端安全与WAF阻断利用核心数据层防护加密、备份与访问控制现代网络攻击通常遵循侦察→武器化→投递→利用→安装→命令控制→目标达成的攻击链条构建多层次、全方位的防御体系在攻击链的各个环节设置防护措施可以有效,,提高攻击难度和成本最大限度降低安全风险,第五章信息安全管理制度与职责分工技术手段只是信息安全的一个方面完善的管理制度和清晰的职责分工同样重要建立科,学的信息安全管理体系明确各级人员的安全责任是保障信息安全的组织基础,,组织架构与职责分工建立健全的信息安全组织架构是做好安全工作的前提明确的职责分工和顺畅的协调机制能够确保安全策略得到有效执行安全事件得到及时响应,,信息安全领导小组1信息化办公室2各业务部门3全体员工4信息安全领导小组信息化办公室各部门职责统筹全局安全工作负责技术实施与维护落实本部门安全责任•••制定安全战略和政策开展风险评估和监测指定安全联络员•••审批重大安全事项处置安全事件执行安全管理制度•••协调资源配置组织安全培训报告安全隐患•••制度建设要点核心管理制度信息安全管理制度是规范安全工作的基础,应涵盖信息安全工作的各个方面,形成完整的制度体系制度要具有可操作性,并根据实际情况不断完善更新信息安全总体策略明确安全目标、原则和责任体系访问控制管理制度规范账号申请、授权、变更、注销流程数据安全管理制度明确数据分类分级和保护要求安全事件管理制度规定事件分类、报告、响应和处置流程第三方管理制度规范供应商和合作伙伴的安全要求安全培训与意识提升员工是信息安全的第一道防线也是最薄弱的环节加强安全意识培训让每个员工都成为安全守护者是信息安全工作的重要内容,,,定期培训案例教学新员工入职培训、年度全员培训、专项技能培训通过真实案例增强感性认识和警惕性模拟演练持续宣传开展钓鱼邮件、应急响应等实战演练利用多种渠道进行安全知识宣传普及培训内容体系激励与问责机制信息安全法律法规和政策建立安全工作考核机制将安全责任落实情况纳入绩效考核对安全工作突

1.,出的个人和部门给予表彰奖励对违反安全规定造成严重后果的依规问责公司安全管理制度和规范,

2.常见安全威胁和防范措施

3.培训不是一次性活动需要持续开展与时俱进更新内容安全事件报告和应急处置,,

4.岗位相关的专业安全技能

5.信息安全管理体系框架Plan策略与评估Do制度与技术Check监控与评估Act改进与响应信息安全管理应遵循PDCA计划-执行-检查-改进循环模式,形成持续改进的闭环管理通过科学的风险管理、规范的制度执行、有效的监控审计和及时的改进优化,不断提升组织的整体安全水平第六章信息安全技术防护措施面对日益复杂的安全威胁需要部署先进的安全技术和工具构建多层次、智能化的技术,,防护体系本章介绍当前主流的信息安全技术和最佳实践关键技术应用随着云计算、大数据、人工智能等新技术的广泛应用信息安全防护技术也在不断创新发展以下是当前主流的关键安全技术为组织构建现代化安全防,,护体系提供有力支撑云访问安全代理CASB数据丢失防护DLP微分段技术终端检测与响应EDR在用户和云服务之间提供可见性和监控、检测和阻止敏感数据的未授将网络划分为多个细粒度的安全区持续监控和收集终端设备数据利用,控制能力保护云端数据安全实现权传输通过内容识别、上下文分域限制横向移动即使攻击者突破,,行为分析和机器学习技术检测高级对应用的访问控制、数据保析和策略执行防止数据通过邮件、一个区域也无法轻易扩散到其他区SaaS,,威胁提供威胁情报、自动化响应护、威胁防护和合规性管理、云盘等渠道泄露域有效降低攻击面和影响范围USB,和取证调查能力应急响应与灾难恢复应急响应体系再完善的防护措施也无法百分百阻止安全事件的发生建立高效的应急响应机制,能够在事件发生时快速反应,最大限度降低损失和影响应急预案要素准备事件分级标准:根据影响范围和严重程度分级响应流程:明确各级事件的处置流程检测角色职责:应急响应团队成员分工联系方式:关键人员24小时联系方式分析技术手段:取证工具、备份恢复系统遏制灾难恢复策略•定期数据备份,实现异地容灾恢复结语共筑信息安全防线，守护数字未来全员参与持续改进共建生态信息安全是全员的责任每个人都是安全防线的安全威胁不断演变防护措施也要与时俱进持信息安全需要全社会共同努力加强行业协作,,,一部分从领导到员工从技术到业务人人都应续完善制度流程及时更新技术手段定期评估风共享威胁情报提升整体防护水平共同营造安,,,,,,树立安全意识遵守安全规范险才能保持有效的防护能力全、可信、健康的网络环境,,让我们携手同行在数字化转型的浪潮中信息安全既是挑战也是机遇让我们以更高的站位、更严的标准、更实的举措筑牢信息安全防线为组织的数字化发展保驾护航为国家,,,,网络空间安全贡献力量!。