C O N T E N T S 目录 01 我们所处的形势分析 02 国家和省的战略部署 03 电子政务网络安全现状及问题 04 展望

Size: px

Start display at page:

Download "C O N T E N T S 目录 01 我们所处的形势分析 02 国家和省的战略部署 03 电子政务网络安全现状及问题 04 展望"

川庚严
5 years ago
Views:

2 C O N T E N T S 目录 01 我们所处的形势分析 02 国家和省的战略部署 03 电子政务网络安全现状及问题 04 展望

3 分析网络安全必须先分析信息化习近平总书记指出安全是发展的前提, 发展是安全的保障, 安全和发展要同步推进这个著名的论断辩证而统一, 非常形象的概述了网络安全与信息化的关系第 3 页

4 ( 一 ) 我们身处于何处? 我们身处一个伟大的时代简言之是互联网时代, 一个基于大数据云计算和人工智能的时代手机等终端, 已经成功将我们连入了整个世界, 互联网世界这便是我们身处的时代, 连接一切的时代第 4 页

5 ( 二 ) 这个时代的基本特征变化变化是必然的, 一切都在变化之中, 我们生活中每一项显著变化的核心都是某种科技, 某种算法带动现代社会变化的核心, 是信息化不断的变化意味着流程比产品更加重要流程不仅指业务流程, 更多的是创造出科技产品的科学方法小步快跑, 快速迭代的腾讯理念, 就是对变化的最好响应那么问题来了, 我们网络安全如何去适应这种变化? 第 5 页

6 ( 二 ) 这个时代的基本特征流动信息混杂的上万亿条数据汇聚一起, 相互流动, 便是我们通常所说的云流动, 导致了互联网充斥着大量的复制品, 一个热点, 一秒之内会被复制几百万次, 不同的客户端都会同时提醒你去看那什么是无法复制的呢? 信任, 信任是虚拟网络时间的基础, 它无法生产, 无法复制, 亦无法购买信任的背后是什么呢? 安全在不安全的网络环境下, 信任会被破坏比如说 : 网络刷票, 淘宝刷钻, 赚好评, 本质上都是安全的问题第 6 页

7 ( 二 ) 这个时代的基本特征智能去年以来, 代表着这个世界上最强的十几位最强大脑, 在围棋领域完败阿法狗的背后, 是分布式网络大数据支撑云计算, 以及最为核心的人工智能计算这种基于云端和大数据的人工智能计算拥有改变一切的力量, 而且便于复制, 能推广到我们任何的行业和领域, 比互联网 + 更为的聪明而有效同理, 我们网络安全领域可否拥有一条阿法狗? 比世界上顶级的黑客还要厉害? 第 7 页

8 ( 三 ) 我们担负的使命? 互联网的蓬勃发展, 带来了网络安全问题, 各种各样的网络安全事件层出不穷, 大家都是行家, 我不一一列举, 我想问的是为什么近年来, 可以持续成为全国两会的热点议题? 从本质上来分析, 互联网已经关系到人民群众的切身利益, 网络安全, 无人可以置身事外涉及所有人切身利益的事情概况起来主要有衣食住行教育医疗如今又多了一个网络当每个人都关心一个事情的时候, 这个事情的重要性和优先级就会发生变化第 8 页

9 C O N T E N T S 目录 01 我们所处的形势分析 02 国家和省的战略部署 03 电子政务网络安全现状及问题 04 展望

10 ( 一 ) 国家的网络强国战略为保障网络安全, 维护网络空间主权和国家安全社会公共利益, 保护公民法人和其他组织的合法权益, 促进经济社会信息化健康发展党中央国务院从战略的角度成立了以习近平总书记为组长的中央网络安全和信息化领导小组, 首次提出网络强国战略, 习总书记对网络安全的系列讲话值得我们每一位网络安全人细细研读, 可以说是已经涵盖网络安全的各个方面从事网络安全工作的企业, 更加要深入细致的学习, 这里面有未来网络安全发展的方向第 10 页

11 ( 二 ) 国家网络安全法为网络安全立法工作十年磨一剑, 中华人民共和国网络安全法于 2016 年正式出台, 为我们今后的网络安全工作指明了方向, 为依法治网提供了法治保障这是一个划时代的法律, 我个人认为一个行业只有拥有属于自己的法律, 才能算的上真正意义的行业, 网络安全作为比信息化晚出现的事物, 能早于信息化立法, 可以说是一个巨大的进步第 11 页

12 国家明确指出对公共通信和信息服务能源交通水利金融公共服务电子政务等重要行业和领域, 以及其他一旦遭到破坏丧失功能或者数据泄露, 可能严重危害国家安全国计民生公共利益的关键信息基础设施, 在网络安全等级保护制度的基础上, 实行重点保护第 12 页

13 ( 三 ) 广东省信息化促进条例 1 网络安全总体性的规定第六章信息安全保障和监管第五十七条县级以上人民政府应当建立信息安全工作领导协调机制, 统筹协调和指导本行政区域内的信息安全保障和监管工作县级以上人民政府信息安全协调保障主管部门应当会同公安国家安全保密密码管理广电通信管理等部门, 建立和完善信息安全保障协调机制, 完善信息安全保障体系, 协调和指导重要信息网络和信息系统容灾备份建设, 加强信息安全管理和能力建设第 13 页

14 2 政府加强信息安全监管第五十八条各级人民政府应当加强信息安全监管, 及时建立大数据云计算物联网等新技术新产品在政府及其他重点领域应用的标准规范, 建立和完善风险评估和监测检查管理体系, 及时预警信息安全隐患, 保障网络信息系统信息资源资产的安全第 14 页

15 3 信息安全保障工作责任制第五十九条信息网络和信息系统的所有者或者运营者应当依据国家有关规定以及相关技术标准, 建立信息安全保障工作责任制, 制定本单位信息安全保护和容灾备份措施, 对信息网络和信息系统实行信息安全等级保护, 定期进行信息安全风险评估第 15 页

16 4 电子签名第六十一条县级以上人民政府信息化主管部门应当会同有关部门, 在电子政务电子商务公共服务等领域推广使用电子签名, 鼓励电子签名认证数字证书在互联网上的应用 ; 推动与港澳台电子签名认证证书的互认互通信息化主管部门密码管理部门应当按照国家有关规定, 对电子认证服务机构和电子认证服务实施监督管理第 16 页

17 5 信息安全应急处置协调与通报第六十二条县级以上人民政府信息化主管部门应当会同有关部门, 建立和完善信息安全应急处理协调机制和信息安全通报制度信息网络和信息系统的运行使用单位, 应当制定本单位信息安全应急预案, 定期开展应急演练, 增强信息网络和信息系统的抗毁能力灾后恢复能力发生重大信息网络与信息系统安全事故后, 相关单位应当迅速采取应急措施降低损害程度, 防止事故扩大, 保存相关记录, 并按照规定向有关部门报告第 17 页

18 ( 四 ) 广东省电子政务发展规划 ( ) 这个规划是由省经信委牵头草拟, 省政府印发的, 指导我省电子政务工作的一份纲领性的规划他不仅提出了要对电子政务网络云平台数据资源共享交换进行集约化建设, 还对网络信息安全工作, 提出了明确具体的任务第 18 页

19 1 完善电子政务信息安全协调机制建立健全省市县电子政务三级网络与信息安全协调工作机制, 统筹协调指导全省电子政务信息安全保障和监管工作, 落实电子政务信息安全责任制建设完善广东省电子政务信息安全联合工作平台, 上联国家下联市县横联各级政府部门, 及时发布信息安全评估监测预警信息, 提高政府部门信息安全联动响应能力第 19 页

20 2 提升电子政务信息安全管理水平加强电子政务网络和互联网出口的统筹管理做强内网, 提高政务内网涉密信息的保密水平 ; 做大外网, 实现政务外网对政府非涉密业务的全覆盖 ; 建设电子政务外网互联网出口汇聚平台加强电子政务信息资源应用系统生命周期安全管理建立电子政务供应链安全管理体系, 在政府采购建设防护运维等环节中实施信息安全审查和评估, 提高政府信息化资产安全管理水平, 逐步提高安全自主可控的国产软硬件产品在政府信息化资产中所占的比重第 20 页

21 3 构建电子政务信息安全服务支撑体系实施电子政务信息安全保障支撑计划, 加强电子政务监测评估预警, 建设省市县三级电子政务务外网和互联网实时监测体系, 对电子政务信息系统进行在线实时风险评估, 重点围绕省网上办事大厅社会治理等重要政务应用开展风险预警服务建立电子政务软件质量和集成水平评估体系, 加强对政府信息化资产上线前的测评和检查, 提高电子政务应用系统软件质量和集成水平第 21 页

22 3 构建电子政务信息安全服务支撑体系建设省数字证书交叉认证体系, 实现数字证书一证多用多证互通, 提高政府服务的安全性和便利性建立广东省政府部门可使用 IT 企业产品目录, 提升自主可控的信息产品覆盖率, 带动我省安全可控信息产业发展第 22 页

23 ( 五 ) 广东省电子政务网络信息安全预警通报反馈暂行管理办法第一章总则第一条为建立健全广东省电子政务网络信息安全预警通报反馈工作机制, 规范电子政务网络信息安全预警管理, 推动党政机关及时高效地发现处置网络信息安全预警信息, 预防和减少网络信息安全事件造成的损失和危害, 结合本省实际情况, 制定本办法第二条本办法适用于广东省电子政务网络信息安全预警信息的通报反馈工作第三条电子政务网络信息安全预警通报反馈工作遵循快速反应科学处置及时反馈闭环管理信息保密原则第 23 页

24 C O N T E N T S 目录 01 我们所处的形势分析 02 国家和省的战略部署 03 电子政务网络安全现状及问题 04 展望

25 我省近年来积极贯彻落实国家和省的决策部署, 严格按照网络安全与信息化同步规划同步设计同步建设, 要求所有政府部门信息化项目在规划之初, 就预留网络安全资金, 在设计之初, 要有网络安全预算, 在建设之时, 要使用网络安全产品和服务没有做到以上几点项目, 我们会退回整改第 25 页

26 我们建成省级电子政务网络信息安全保障服务体系构建上联中央下联市县的联动协调机制, 建立高效顺畅的四级电子政务网络安全预警通报反馈机制和形成网络安全事件预警发布跟踪支撑处置反馈的闭环工作机制目前已经做到网络安全事件高效处置, 以近期的 Struts2 漏洞为例, 从国家下发预警, 到我们通知到具体市县负责的同志, 总共只花了几个小时, 就完成几百个具体政府网站的预警第 26 页

27 总体而言, 我省电子政务网络安全状况是良好的全省电子政务网络运行总体平稳, 电子政务外网各项监测指标正常, 未发生较大以上网络安全事件但是问题依然非常突出, 主要表现在 : 第 27 页

28 ( 一 ) 电子政务网络信息安全事件整改不及时第 28 页

29 从类型上分析, 我省电子政务安全事件漏洞类事件 73 起 ( 占 73.0%), 网页篡改事件 14 起 ( 占 14.0%), 网站后门事件 8 起 ( 占 8.0%), 网站暗链事件 5 起 ( 占 5.0%) 第 29 页

30 进一步分析网站漏洞类事件的类型分布情况如图所示, SQL 注入事件 ( 占 39.7%) 居首位, 其次是弱口令漏洞 ( 占 20.5%) 上述两类漏洞占比之和超过全部事件的 60% 第 30 页

31 ( 二 ) 频繁遭受互联网攻击以 2016 年某月为例, 来源于互联网的尝试攻击 21,030 次, 日均约为 701 次, 较上月日均次数增加 16.3%, 单日尝试攻击次数最高达 2,675 次第 31 页

32 ( 二 ) 频繁遭受互联网攻击恶意代码疑似感染事件 42 起, 恶意代码感染事件每日发生次数变化趋势如下图所示, 其中, 最大值达到 11 次 / 日第 32 页

33 C O N T E N T S 目录 01 我们所处的形势分析 02 国家和省的战略部署 03 电子政务网络安全现状及问题 04 展望

34 ( 一 ) 加强电子政务网络信息监测预警体系建设应进一步加强电子政务网络信息监测预警体系建设更加灵敏的感知网络安全态势应在互联网出口电子政务网络平台互联网域等关键节点部署基于大数据云计算的网络安全产品第 34 页

35 ( 二 ) 大数据安全感知, 多方共享网络安全信息中央省市县共享共有网络安全信息, 开展大数据安全感知, 研究网络安全事件规律, 提早预判和防范网络安全攻击第 35 页

36 ( 三 ) 完善数字证书交叉认证平台建设完善数字证书交叉认证平台建设, 实现国内 ca 间的互认, 构建基于数字证书的网络信任基础体系建设基于移动端的证书服务功能 ; 推进粤港粤澳电子签名互认工作第 36 页

37 谢谢

山西省信息化促进条例

山西省信息化促进条例 (2013 年 8 月 1 日山西省第十二届人民代表大会常务委员会第四次会议通过 ) 第一章总则第一条为了加快信息化发展, 提高信息化水平, 规范信息化行为, 保障信息安全, 促进经济发展和社会进步, 根据有关法律行政法规, 结合本省实际, 制定本条例第二条本条例适用于本省行政区域内信息化规划与建设信息资源共享与开发利用信息产业发展信息技术应用与服务信息安全保障等活动

C O N T E N T S 目 录 01 我们所处的形势分析 02 国家和省的战略部署 03 电子政务网络安全现状及问题 04 展望

C O N T E N T S 目录 01 我们所处的形势分析 02 国家和省的战略部署 03 电子政务网络安全现状及问题 04 展望