第5讲 信息安全防护措施与等级保护.ppt

第5讲 信息安全防护措施与等级保护 课前检查 李国华是一个计算机记录员，在一个数据收集记录部门工作，可以访问有关财产税记录的相关文件。为了作一项科学研究，王爱民被授权访问记录的数字部分，但无权访问相关人的姓名部分。 王爱民找到了想要使用的一些信息，但是需要对应的姓名和地址信息。于是他向李国华索要相关人的姓名、地址，以便与这些研究对象进行联系，从而获得更多信息，开展进一步研究。 李国华是否应该将姓名、地址信息告诉王爱民呢？ 案例1分析 1、工作权限与责任问题。 记录员没有权力决定数据信息是否可以给别人使用。应该请示上级。 2、隐私数据使用问题。 科学研究只能访问统计数据，而不能随便访问涉及个人隐私的信息数据 3、使用隐私数据动机问题。 声称作研究用，但也可能有其他目的。 4、工作权限的确定问题。 只允许访问统计数据，不允许访问个体姓名、地址，说明科学研究的范围。只能在此范围内完成。 类似的还有医学研究，要访问医疗疾病数据。也有隐私问题 郭某是一个程序员，在一家大公司下的计算机子公司X工作。这家公司有很多政府合同。陆某是郭某的上级，分配郭某去编写不同种类的仿真程序。 为了提高工作效率，郭某编写了一些工具程序，如交叉引用等工具。但这些都不是分配给他的工作，而是郭某晚上在自己家里使用自己的计算机编写完成的。他在工作中使用，没有将这些告诉任何人。 郭某决定出售自己的这些工具程序。当公司经理得知后，命陆某转告郭某，无权出售这些工具，因为受聘时签订的合同，注明了他的所有发明都属于公司。 案例2分析 陆某不同意这个观点，因为他知道郭某是自行完成这些工具的。所有他很不情愿地告诉郭某不要在市场上出售这些工具，并叫郭某复制了一份给他。 之后，陆某辞去了该公司的工作，并在另一计算机公司Y当上了管理人员。该公司是X公司的竞争对手。他把郭某的工具复制版发给和他一起工作的员工们。使他们大大提高了工作效率。因而陆某受到经理嘉奖，获得一大笔奖金。 郭某听说后就和陆某联系交涉，而陆某争辩说，因为这些工具属于X公司，且它的运转靠的是政府资金，所以这些工具是公共产品，并不属于任何人。 1、权利问题。对于这些工具软件。郭某、陆某、X公司、Y公司各自的权利是什么？ 2、权利的根据。谁给了他们的这些权利？这个案例牵涉到哪些有关公平竞争、商业、财产权的原则。 3、在公司开发产品的考虑。郭某能作什么事？ 4、对员工自己开发的产品应该如何处理。X公司如何作？陆某如何作？Y公司如何作？ 1.信息安全防护措施 2.信息安全等级保护 等级保护基本概念介绍 等级保护定级 等级保护基本要求 等级保护实施 等级保护测评 第5讲 信息安全防护措施与等级保护 学习目标 2.知道信息安全等级保护制度体系的组成 3.熟悉信息安全等级保护制度 4.了解有哪些信息安全保护措施 什么是等级保护？ 信息系统安全等级保护是指对信息和信息系统划分为五个安全保护和监管等级，实行分等级保护。 每月新增计算机病毒几千种，感染计算机1000多万台。 10多万个网络地址对应的主机被木马控制 300多台被利用作为僵尸网络控制端服务器 网页篡改事件达5000多次。 为什么实行等级保护？ 据英国一家报纸报道，最近该国国家医疗服务系统和10多家政府网站被入侵并植入病毒，登录这些网站的用户都可能感染病毒并导致个人信息泄露。 为什么实行等级保护？ 我国2003-2007被篡改网站数量 黑客入侵了美国某银行在某商店的自动提款机网络，盗取客户识别码，继而使用空白卡从自动提款机提取现金。 为什么实行等级保护？ 为什么实行等级保护？ 真正的中国工商银行网站 假冒的中国工商银行网站 如何进行等级保护？ 根据信息系统应用业务重要程度及其实际安全需求，实行分级、分类、分阶段实施保护，保障信息安全和系统安全正常运行，维护国家利益、公共利益和社会稳定。　　 如何进行等级保护？ 等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点，保障重要信息资源和重要信息系统的安全。 等级保护标准总体框架 中办发[2003]27号《国家信息化领导小组关于加强信息安全保障工作的意见》 公通字[2004]66号《关于信息安全等级保护工作的实施意见》 公通字[2006]43号《信息安全登记保护管理办法》 实施指南 等级划分准则 定级指南 测评准则 基本要求 通用安全技术要求 网络基础安全技术要求 操作系统安全技术要求 数据库安全技术要求 服务器安全技术要求 终端