網絡安全學習課件網絡與信息安全總綱（NISS培訓）P151網絡與信息安全綜述P2中國移動全員安全意識培訓P261123課程提綱課程1—

網絡與信息安全綜述目錄網絡與信息安全概述安全現狀與趨勢分析安全技術及產品介紹安全標準與政策法規安全工作思路與原則案例分析網絡與信息安全概述請思考什么是網絡與信息安全？什么是網絡與信息（1）強調信息：對企業具有價值（或能產生價值）以多種形式存在：紙、電子、影片、交談等是一種資產同其它重要的商業資產一樣需要適合的保護強調網絡：網絡是信息的一種載體是信息存放、使用、交互的重要途徑是一種容易識別的實體是基礎通信運營企業的有形資產什么是網絡與信息（2）從理論角度信息的范圍更大，更廣網絡只是信息使用過程的一種載體、一種方式從實際工作角度把信息局限在網絡上承載的內容、數據、業務保障業務連續性、網絡正常運行的配置數據等比理論角度的信息范圍要窄，但適合我們的工作實際兩種視角的相同點信息是目標網絡是基礎網絡與信息并重什么是網絡與信息安全信息安全：保護信息免受各種威脅確保業務的連續性將信息不安全帶來的損失降低到最小獲得最大的投資回報和商業機會網絡安全：網絡、設備的安全線路、設備、路由和系統的冗余備份網絡及系統的安全穩定運行網絡及系統資源的合理使用網絡與信息安全的論域對應通信網絡及信息化的發展，網絡與信息安全大致包含了信息環境、信息網絡和通信基礎設施、媒體、數據、信息內容、信息應用等多個方面。中國移動按企業實際情況把網絡與信息安全劃分為七類:物理安全、傳統通信安全、網絡與系統安全、業務安全、內容安全、信息安全需求屬性狀態能力功能工程結果安全的多維性——多角度思考信息化社會的需要比如：保密性等對應于信息不安全對應于人們的努力比如：防護、檢測等對應于人們努力的時間對應于努力的實力“安全”——動態發展的概念19911989X.800ISO7498-2“安全”是指將資產或資源的脆弱性降到最低限度。ISO154081999當對信息進行正確的控制以確保它能防止冒險,諸如不必要的或無保證的傳播、更改或遺失,IT產品和系統應執行它們的功能.“IT安全”用于概括防御和緩解這些及類似的冒險。2000ISO17799:20002005ISO17799:2005信息安全是要在很大的范圍內保護信息免受各種威脅，從而確保業務的連續性、減少業務損失并且使投資和商務機會獲得最大的回報。特指保護保密性、完整性和可用性。信息安全－保證信息的保密性，完整性，可用性；另外也可包括諸如真實性，可核查性，不可否認性和可靠性等特性.ISOTR13335-2:199719972004ISO13335-1:2004定義獲取和維護保密性、完整性、可用性、可核查性、真實性和可靠性。安全的相關屬性Confidentiality保密性Dataconfidentiality數據保密性Communicationsecurity通信安全Integrity完整性Dateintegrity數據完整性Availability可用性Non-repudiation抗抵賴性Accountability可核查性Authenticity真實性Reliability可靠性AccessControl訪問控制Authentication鑒別Privacy私密性13335:200417799:2005X.800X.805ISO17799:2000信息系統等級保護80年代的認識90年代的認識90年代后期的認識通信保密通信保密信息安全信息保障保密性完整性可用性真實性保密性可核查性完整性抗抵賴性可用性可靠性安全的相關屬性使信息不泄露給未授權的個人、實體或過程或不使信息為其所利用的特性。保護信息及處理方法的準確性和完備性。被授權實體一旦需要就可訪問和使用的特性。確保主體或資源的身份正是所聲稱身份的特性。真實性適用于用戶、過程、系統和信息之類的實體。確保可將一個實體的行動唯一地追蹤到此實體的特性。證明某一動作或事件已經發生的能力，以使事后不能抵賴這一動作或事件。保密性完整性可用性真實性可核查性抗抵賴性可靠性預期行為和結果相一致的特性。請思考企業為什么要投入大量成本實現網絡與信息安全？網絡與信息安全的重要性網絡與信息安全是國家的需要保障國家安全、社會穩定胡總書記提出“三個堅決”：堅決防止發生危害國家安全和社會穩定的重大政治事件；堅決防止發生暴力恐怖事件；堅決防止發生大規模群體性事件。企業生存和發展必須遵循外部網絡與信息安全強制要求國家及行業的要求：《電信法》、《增值電信業務網絡信息安全保障基本要求》、電信網絡安全等級保護等；資本市場：《薩班斯法案》。國家企業用戶網絡與信息安全的重要性網絡與信息安全是企業保持競爭力的內在需要企業戰略轉變做世界一流企業，成為移動信息專家，網絡與信息安全是必要條件：體現了中國移動企業核心觀正德厚生：旨于服務和諧社會，保障客戶利益臻于至善：打造中國移動安全健康的精品網絡實現中國移動對客戶及社會的承諾對客戶的承諾：提供卓越品質的移動信息專家對社會的承諾：承擔社會責任做優秀企業公民體現企業持續發展市場需求驅動安全發展安全服務已成為新的業務增長點。如綠色上網、電子商務等安全服務競爭優勢，樹立品牌企業正常運營的需求避免名譽、信譽受損避免直接經濟損失避免正常工作中斷或受到干擾避免效率下降國家企業用戶網絡與信息安全的重要性網絡與信息安全是用戶的需要保護個人隱私與財產威脅信息私秘性直接影響用戶對信息交互的信任度滿足用戶業務使用需求客戶在業務使用中，對安全的需求越來越強烈。如政府、銀行等集團客戶對網絡運營商提出更高的安全保障要求國家企業用戶網絡與信息安全的基本特征相對性只有相對的安全，沒有絕對的安全系統時效性新的漏洞與攻擊方法不斷發現相關性日常管理中的不同配置會引入新的問題（安全測評只證明特定環境與特定配置下的安全）新的系統組件也會引入新的問題不確定性攻擊發起的時間、攻擊者、攻擊目標和攻擊發起的地點都具有不確定性復雜性信息安全是一項系統工程，需要技術的和非技術的手段，涉及到管理、培訓、技術、人員、標準、運行等必要性網絡與信息安全必須是企業重點并持續關注和解決的網絡與信息安全的特點威脅永遠不會消失！漏洞/脆弱性客觀存在！客觀上無法避免的因素技術發展的局限，系統在設計之初不能認識到所有問題，如Tcp/ip協議人類的能力有限，失誤和考慮不周在所難免，如在編碼會引入Bug主觀上沒有避免的因素采用了默認配置而未定制和安全優化新的漏洞補丁跟蹤、使用不及時組織、管理和技術體系不完善技術發展和環境變化的動態性……國家間的競爭與敵對勢力永遠不會消失企業間諜、攻擊者、欺詐與偷竊內部系統的誤用、濫用問題長期存在新的威脅不斷出現使原有防護措施失效或新的威脅產生……隨著信息化建設，信息資產的價值在迅速增長資產的無形價值，如商業情報、聲譽、品牌等等已遠遠超過了購買價格……資產價值多樣化增長！有效保護網絡與信息安全的核心是進行持續、科學的風險管理！風險管理思想風險RISKRISKRISKRISK風險風險的構成風險的降低資產威脅漏洞資產威脅漏洞安全現狀與趨勢分析案例-中美黑客大戰事件背景和經過2001.4.1撞機事件為導火線4月初，以PoizonB0x、pr0phet為代表的美國黑客組織對國內站點進行攻擊，約300個左右的站點頁面被修改4月下旬，國內紅（黑）客組織或個人，開始對美國網站進行小規模的攻擊行動，4月26日有人發表了“五一衛國網戰”戰前聲明，宣布將在5月1日至8日，對美國網站進行大規模的攻擊行動。各方都得到第三方支援各大媒體紛紛報道，評論，中旬結束大戰典型案例-中美黑客大戰中經網數據有限公司中國科學院心理研究所國內某政府網站國內某大型商業網站遭PoizonB0x、pr0phet更改的我國部分網站主頁典型案例-中美黑客大戰美國勞工部網站美國某節點網站美國某大型商業網站美國某政府網站國內黑客組織更改的網站頁面常用入侵系統步驟（普通&高級）采用漏洞掃描工具選擇會用的方式入侵獲取系統一定權限提升為最高權限安裝系統后門獲取敏感信息或者其他攻擊目的端口判斷判斷系統選擇最簡方式入侵分析可能有漏洞的服務獲取系統一定權限提升為最高權限安裝多個系統后門清除入侵腳印攻擊其他系統獲取替換信息作為其他用途Ping、traceroute等系統自帶命令端口掃描NmapOS指紋鑒別漏洞掃描（X-scan、SSS、商業掃描器）構造特殊的攻擊和掃描，如firewalking社會工程配置錯誤信息收集與踩點網絡與信息安全面臨各種威脅內部、外部泄密拒絕服務攻擊欺詐釣魚信息丟失、篡改、銷毀內部網絡濫用病毒蠕蟲木馬黑客攻擊信息資產物理偷竊常見安全事件類型-網絡釣魚以假亂真，視覺陷阱域名類似

身份偽裝

admin@?改寫URL&item=q20299@/pub/msk/Q20299.asp編碼http://3633633987DNS劫持+Phishing常見安全事件類型-病毒及惡意代碼計算機病毒是指一段具有自我復制和傳播功能的計算機代碼，這段代碼通常能影響計算機的正常運行，甚至破壞計算機功能和毀壞數據。病毒的特點破壞性強傳播性強針對性強擴散面廣傳染方式多病毒的新動向傳播速度快：以網絡和Internet為主危害很大的病毒以郵件為載體病毒的延伸：特洛伊木馬有毒的移動編碼--來自Internet網頁威脅“熊貓燒香”事件熊貓燒香金豬報喜“熊貓燒香”去年11月中旬被首次發現，短短兩個月時間，新老變種已達700多種個常見安全事件類型-病毒蠕蟲紅色代碼2001年6月18日，微軟發布安全公告：MicrosoftIIS.IDA/.IDQISAPI擴展遠程緩沖區溢出漏洞。一個月后，利用此安全漏洞的蠕蟲“紅色代碼”一夜之間攻擊了國外36萬臺電腦，2001年8月6日，“紅色代碼Ⅱ”開始在國內發作，造成很多運營商和企事業單位網絡癱瘓。給全球造成了高達26億美元的損失。SQLslammer2002年7月24日，微軟發布安全公告：MicrosoftSQLServer2000Resolution服務遠程棧緩沖區溢出漏洞。到2003年1月25日，足足6個月后，利用此安全漏洞的蠕蟲“SQLSlammer”現身互聯網，幾天之內給全球造成了12億美元的損失。沖擊波震蕩波魔波……常見安全事件類型-特洛伊木馬Internet攻擊者的計算機攻擊者控制的服務器特洛伊木馬攻擊的計算機特洛伊木馬攻擊的計算機正向連接反向連接常見安全事件類型-僵尸網絡什么是僵尸網絡(BotNet)是互聯網上受到黑客集中控制的一群計算機，往往被黑客用來發起大規模的網絡攻擊，如分布式拒絕服務攻擊(DDoS)、海量垃圾郵件等，同時黑客控制的這些計算機所保存的信息也都可被黑客隨意“取用”。發現僵尸網絡是非常困難的因為黑客通常遠程、隱蔽地控制分散在網絡上的“僵尸主機”，這些主機的用戶往往并不知情。因此，僵尸網絡是目前互聯網上黑客最青睞的作案工具。常見安全事件類型-拒絕服務攻擊攻擊者就是讓你白等偽造地址進行SYN請求SYN（我可以連接嗎？）ACK（可以）/SYN（請確認！）不能建立正常的連接受害者為何還沒回應拒絕服務(DoS)的分類攻擊類型劃分I堆棧突破型（利用主機/設備漏洞）遠程溢出拒絕服務攻擊網絡流量型（利用網絡通訊協議）SYNFloodACKFloodICMPFloodUDPFlood、UDPDNSQueryFloodConnectionFloodHTTPGetFlood……攻擊類型劃分II應用層垃圾郵件、病毒郵件DNSFlood網絡層SYNFlood、ICMPFlood鏈路層ARP偽造報文物理層直接線路破壞電磁干擾發起突然可能之前毫無征兆危害巨大極大的破壞了系統和網絡的可用性涉及金錢利益的攻擊事件開始出現極易實施廣為傳播的免費工具軟件人的好奇心或者其他想法防范困難新的攻擊形式不斷出現攻擊制造的流量日益增大難于追查有意識的攻擊1999年Yahoo、ebay被拒絕服務攻擊，DDoS出現2001年CERT被拒絕服務攻擊2002年CNNIC被拒絕服務攻擊2003年全球13臺根DNS中有8臺被大規模拒絕服務有組織、有預謀的涉及金錢利益的拒絕攻擊出現無意識的攻擊蠕蟲傳播Exploit(ProofofConceptCode)DoS/DDoS的歷史和特點常見安全事件類型-社會工程社會工程假借客戶，騙取資料冒充技術員打電話，詢問個人郵件密碼搜集員工個人信息，破解用戶口令收買公司員工，竊取內部機密其它常見的攻擊/入侵方法黑客入侵跳板或肉雞：通過一個節點來攻擊其他節點。攻擊者控制一臺主機后，經常通過IP欺騙或者主機信任關系來攻擊其他節點以隱蔽其入侵路徑和擦除攻擊證據。電子郵件攻擊：郵件炸彈、郵件欺騙網絡監聽：獲取明文傳輸的敏感信息內部網絡濫用：BT下載、大附件郵件轉發等主要威脅的統計根據FBI調查統計，位列前五位的威脅分別是內部網絡的濫用、病毒和移動設備的偷竊、釣魚以及即時消息的濫用。威脅主體分析來源描述環境因素

斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災、火災、地震、意外事故等環境危害或自然災害，以及軟件、硬件、數據、通訊線路等方面的故障人為因素惡意人員

不滿的或有預謀的內部人員對信息系統進行惡意破壞；采用自主或內外勾結的方式盜竊機密信息或進行篡改，獲取利益外部人員利用信息系統的脆弱性，對網絡或系統的保密性、完整性和可用性進行破壞，以獲取利益或炫耀能力非惡意人員

內部人員由于缺乏責任心，或者由于不關心或不專注，或者沒有遵循規章制度和操作流程而導致故障或信息損壞；內部人員由于缺乏培訓、專業技能不足、不具備崗位技能要求而導致信息系統故障或被攻擊GB/T20894-2007《信息安全技術-信息安全風險評估規范》人—最主要的威脅主體截至2007年12月，網民數已增至2.1億人。中國網民數增長迅速，比2007年6月增加4800萬人，2007年一年則增加了7300萬人，年增長率達到53.3%。在過去一年中平均每天增加網民20萬人。目前中國的網民人數略低于美國的2.15億，位于世界第二位。目前中國4億手機用戶中，在過去半年有過手機接入互聯網行為的網民數量是5,040萬人。即網民中的24%、手機用戶中的12.6%是手機網民，手機上網已經漸成風氣。攻擊方法及技術趨勢高低19801985199019952000密碼猜測可自動復制的代碼密碼破解利用已知的漏洞破壞審計系統后門回話劫持擦除痕跡臭探包欺騙GUI遠程控制自動探測掃描拒絕服務www攻擊攻擊者入侵者技術攻擊手法半開放隱蔽掃描控制臺入侵檢測網絡管理DDOS攻擊SQL注入Googlehacking2005電信網絡面臨的威脅網絡結構龐大復雜，互聯網出入口多不同安全等級的網絡、系統隔離不充分，易導致威脅的擴散（生產網、網管網、OA等）業務系統自身的脆弱性（應用軟件、業務邏輯漏洞、安全補丁等）IP化及業務開放性趨勢導致新的弱點：信令網不再封閉不同安全域的互通控制更復雜ATCA平臺/通用操作系統的應用使得設備自身易受攻擊OABSS/OSS移動網絡安全威脅分析IPCoreNetworkIPAccessNetworkIPIPCSCFMGCFMRFIMSBTSNodeBBSCRNCIPBSSIPRANCSMSCMGWSGSNGGSNPSPSTN/PLMNInternetMMSSMSWAP自有業務系統PresenceIMConferenceGaming第三方ASP/ISP終端來自用戶側（接入/終端）威脅對用戶竊聽/用戶機密信息竊取病毒/蠕蟲/木馬中間人或偽基站攻擊對網絡業務盜用非法設備接入網絡攻擊/拓撲泄露

DoS攻擊，資源耗竭來自Internet的威脅黑客入侵

DoS/DDos攻擊，資源耗竭非法接入業務系統來自第三方網絡的威脅身份欺騙業務欺詐/盜用來自運營商DCN網絡的威脅

病毒、蠕蟲、木馬非法訪問越權訪問、權限濫用敏感/機密信息泄露StreamHLR/Auc網絡技術快速發展，安全風險無處不在網絡IP化業務開放化終端智能化123在向全IP網絡轉變過程中，由于IP協議的不安全以及復雜的互聯需求，安全風險逐步滲入到電信網絡的核心。移動終端處理能力的提高、功能的豐富，同時意味著傳統計算機領域的安全問題也會擴散到移動終端領域，并給通信網絡帶來安全隱患。運營商、SP構成更加緊密的價值鏈，該此模式對管理和技術控制措施提出更高要求。安全攻擊日益受利益驅動，易于實施攻擊工具化驅動利益化45安全工具易于獲得，攻擊成本逐年降低大量自動化、集成度高的攻擊工具，可通過互聯網下載。隨著互聯網的發展，網上可供利用的安全漏洞數量逐年增加，成功實施攻擊所需時間不斷縮短。在經濟利益驅動下，安全事件更加難于處理和防范維護人員、第三方技術支持人員利用其了解的信息和掌握的權限謀取非法收入。傳統安全防護手段難于對此類情況進行防護。灰鴿子病毒，垃圾郵件等安全事件，反映出利用安全事件獲取非法收益的地下產業鏈已經形成。影響業務運作信息安全問題引起電信業務中斷帶來極大的社會影響。如：電信4.11斷網、北京網通斷網信息安全問題導致業務收入損失。如：智能網盜卡事件競爭力下降新業務模式、投資計劃等商業秘密泄漏。由于資本市場提出新的監管要求，信息安全問題更加嚴重影響企業的融資能力。因業務沒有充分的安全保障，造成客戶對業務的負向感知，引起客戶投訴、離網或不選擇相應的服務。安全問題可能導致移動多年精心經營的移動信息專家品牌蒙受重大損失。法律訴訟業務數據受到破壞，廣東動感地帶網站泄漏用戶個人信息香港和黃被起訴安全問題帶來的企業風險脆弱性面面觀-國家層面我國信息安全保障工作仍存在一些亟待解決的問題：網絡與信息系統的防護水平不高，應急處理能力不強；信息安全的管理和技術人才缺乏，信息安全關鍵技術整體上比較落后，信息安全產業缺乏核心競爭力；信息安全法律法規和標準不完善；全社會的信息安全意識不強，信息安全管理薄弱。國家信息化領導小組關于加強信息安全保障工作的意見（中辦發[2003]27號）脆弱性面面觀-企業層面安全脆弱性美國中國預算限制29%20%執行安全政策不利21%19%高級管理層對此缺乏關注或興趣19%28%信息安全策略不完善18%42%關鍵技術產品存在安全漏洞18%34%補丁產品使用不當17%38%采用外包服務13%9%IT架構陳舊過時12%15%安全產品不兼容或互操作性差10%20%安全政策和技術跟不上組織結構的變化10%17%內部開發的軟件未對信息安全予以關注10%16%雇用臨時員工9%9%其它6%1%InformationWeek研究部和埃森哲咨詢公司《2007年全球信息安全調查》德勤《2007年全球信息安全調查》脆弱性面面觀-個人層面應用存在的問題上傳下載病毒木馬傳播、身份偽造、機密泄漏郵件收發漏洞利用、病毒木馬傳播即時通訊病毒木馬傳播、Bot擴散、信息泄漏信息瀏覽網絡欺詐、網頁病毒攻擊網絡游戲外掛問題、身份偽造、賬號裝備失竊信息查詢敏感信息泄漏在線音視頻漏洞利用、身份偽造文件共享病毒木馬傳播、帶寬消耗電子商務身份偽造、網絡欺詐、賬號失竊安全技術及產品介紹主流安全產品格局網絡安全Web安全Message安全終端安全NetworkFireWallNetworkIPSNGNetworkFirewallUTMHostFirewallHostIPSHost/EndpointAnti-VirusHostAnti-SpywareEndpiontComplianceGatewayAntiVirusGatewayAnti-phishingURL-filteringGatewayAntispywareWebFirewall/IPSAnti-SpamMailServerAntivirusMailEncryptionOutboundContentComplianceConvergedClientSecuritysuitAnti-DDOSDPI/DFIUTMSSL/IPSecVPN帶寬管理用戶行為審計安全內容與威脅管理基礎平臺管理基于身份的認證與授權管理SIEMVulnerabilitymanagementUnifysecuritynetworkmanagementPatchmanagementIDMPKISmartCardBiometricalIdentifySSOAuthoritymanagementProvisioningRolemanagement應用安全主流安全產品介紹防火墻IDS/IPS抗DDOS防病毒安全域帳號口令審計安全管理平臺防火墻的概念防火墻是一種高級訪問控制設備，是置于不同網絡安全域之間的一系列部件的組合，是不同網絡安全域間通信流的唯一通道，能根據企業有關安全政策控制(允許、拒絕、監視、記錄)進出網絡的訪問行為。不可信的網絡及服務器可信任的網絡防火墻路由器InternetIntranet供外部訪問的服務及資源可信任的用戶不可信的用戶DMZ防火墻的主要技術包過濾技術(PacketFiltering)狀態包過濾技術(StatefulPacketFiltering)應用代理技術(ApplicationProxy)應用層表示層會話層傳輸層網絡層數據鏈路層物理層*包過濾技術的基本原理數據包數據包查找對應的控制策略拆開數據包根據策略決定如何處理該數據包數據TCP報頭IP報頭分組過濾判斷信息企業內部網屏蔽路由器數據包數據包UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource控制策略*狀態包過濾技術的基本原理數據包數據包查找對應的控制策略拆開數據包根據策略決定如何處理該數據包企業內部網屏蔽路由器數據包數據包數據3TCP報頭IP報頭分組過濾判斷信息數據2TCP報頭IP報頭數據1TCP報頭IP報頭數據1TCP報頭IP報頭數據狀態檢測控制策略*應用代理技術的基本原理數據包數據包查找對應的控制策略拆開數據包根據策略決定如何處理該數據包企業內部網屏蔽路由器數據包數據包數據TCP報頭IP報頭分組過濾判斷信息應用代理判斷信息控制策略防火墻的局限性防火墻不能防止通向站點的后門。防火墻一般不提供對內部的保護。防火墻無法防范數據驅動型的攻擊。防火墻不能防止用戶由Internet上下載被病毒感染的計算機程序或者將該類程序附在電子郵件上傳輸。確保網絡的安全,還要對網絡內部進行實時的檢測，對信息內容進行過濾。入侵檢測系統的基本概念入侵檢測系統(IDS：Intrusiondetectionsystem)用于監控網絡和計算機系統被入侵或濫用的征兆；IDS系統以后臺進程的形式運行，發現可疑情況，立即通知有關人員；IDS是監控和識別攻擊的標準解決方案，是安防體系的重要組成部分；假如說防火墻是一幢大樓的門鎖，那入侵檢測系統就是這幢大樓里的監視系統。監控室=控制中心后門保安=防火墻攝像機=探測引擎CardKey入侵檢測系統示意形象地說，它就是網絡攝象機，能夠捕獲并記錄網絡上的所有數據，同時它也是智能攝象機，能夠分析網絡數據并提煉出可疑的、異常的網絡數據，它還是X光攝象機，能夠穿透一些巧妙的偽裝，抓住實際的內容。它還不僅僅只是攝象機，還包括保安員的攝象機，能夠對入侵行為自動地進行反擊：阻斷連接、關閉道路（與防火墻聯動）。入侵檢測系統的類型主機入侵檢測系統(HostIntrusionDetection)網絡入侵檢測系統(NetworkIntrusionDetection)網絡入侵檢測系統，它通過抓取網絡上的所有報文，分析處理后，報告異常和重要的數據模式和行為模式，使網絡安全管理員清楚地了解網絡上發生的事件，并能夠采取行動阻止可能的破壞。入侵檢測系統的功能實時檢測實時地監視、分析網絡中所有的數據報文發現并實時處理所捕獲的數據報文安全審計對系統記錄的網絡事件進行統計分析發現異常現象得出系統的安全狀態，找出所需要的證據主動響應主動切斷連接或與防火墻聯動，調用其他程序處理入侵檢測系統與防火墻的區別所在的位置不同防火墻是安裝在網關上，將可信任區域和非可信任區域分開，對進出網絡的數據包進行檢測，實現訪問控制。一個網段只需要部署一個防火墻。而NIDS是可以裝在局域網內的任何機器上，一個網段內可以裝上數臺NIDS引擎，由一個總控中心來控制。防范的方向不同防火墻主要是實現對外部網絡和內部網絡通訊的訪問控制，防止外部網絡對內部網絡的可能存在的攻擊。網絡入侵檢測系統在不影響網絡性能的情況下能對網絡進行檢測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護，防止內外部的惡意攻擊和網絡資源濫用。檢測的細粒度不同防火墻為了實現快速的網絡包轉換，故只能對網絡包的IP和端口進行一些防黑檢測，比如端口掃描。可是對通過IIS漏洞及Nimda病毒之類的網絡入侵，防火墻是毫無辦法。而網絡入侵檢測系統則可以擁有更多特征的入侵數據特征庫，可以對整個網絡包進行檢查過濾。入侵防御系統入侵防御系統IPS（IntrusionPreventionSystem）提供一種主動的、實時的防護，其設計旨在對常規網絡流量中的惡意數據包進行檢測，阻止入侵活動，預先對攻擊性的流量進行自動攔截，使它們無法造成損失，而不是簡單地在傳送惡意流量的同時或之后發出警報。IPS是通過直接串聯到網絡鏈路中或安裝在服務器上而實現這一功能的，即IPS接收到外部數據流量時，如果檢測到攻擊企圖，就會自動地將攻擊包丟掉。IPS的優點IPS側重訪問控制，注重主動防御。目前，主流的IPS產品都內置了狀態包檢測防火墻，IPS代表了深度檢測和時時防御，IPS是2-7層的檢測在加上高性能的硬件的結合體。IPS的缺點：性能：設備性能不夠穩定，造成網絡延遲或丟包；誤報：存在誤檢測，對正常業務造成影響；漏報：存在漏報現象，影響系統安全性，給企業帶來損失。抗DDOS攻擊的技術趨勢黑洞流量全部丟棄,反而達到了DDoS攻擊的目的;ACL針對目的IP過濾或限速;無法防御應用攻擊;防火墻性能/擴展差;對運營商網絡的影響；被動防御時間異常流量監管按需部署方案安全威脅防范電信業務監管網絡保值到增值異常流量監管技術DDoS流量清洗部署在IDC/大用戶/運營商網絡側進行DDoS監測和防護;主要針對DDoS流量，其它異常流量防護能力有局限；攻擊流量清洗病毒及惡意代碼防護技術防病毒系統分類：主機型網關型特點：通過特征規則匹配發現病毒規則必須定期更新從發展上看，病毒及惡意代碼，包括木馬、蠕蟲甚至垃圾郵件、間諜軟件逐漸被歸納為內容安全的問題，傳統防病毒系統也逐漸演變為安全內容管理。安全域劃分組網方式隨意性強，缺乏統一規劃網絡區域之間邊界不清晰，互連互通沒有統一控制規范安全防護手段部署原則不明確擴展性差無法有效隔離不同業務領域，跨業務領域的非授權互訪難于發現和控制無法有效控制網絡病毒的發作區域和影響不能及時的發現安全事件和響應第三方維護人員缺乏訪問控制和授權管理員密碼和權限的難以管理關鍵服務器、信息資產的缺乏重點防護為什么要劃分安全域？安全域劃分安全域劃分的根本目的是把一個大規模復雜系統的安全問題，化解為更小區域的簡單系統的安全保護問題。這也是實現大規模復雜信息的系統安全分等級保護的有效方法。安全域是指具有相同或近似安全保護需求的一系列IT要素的邏輯集合。這些要素主要包括：業務應用網絡區域主機/系統組織人員物理環境主體、性質、安全目標和策略等元素的不同來劃分的不同邏輯子網或網絡，每一個邏輯區域有相同的安全保護需求，具有相同的安全訪問控制和邊界控制策略，區域間具有相互信任關系，而且相同的網絡安全域共享同樣的安全策略。安全域劃分示例帳號口令管理的需求（4A）隨著當前IP網絡中，不同種類業務和應用的飛速發展，網絡的安全性逐漸得到了人們的認識和重視，因此類如防火墻、IDS/IPS、防病毒網關、終端防護等安全技術產品在網絡中越來越流行起來，從某種程度上解決了一些安全上問題，但是如何確定網絡中用戶身份的真實性，實現用戶授權的可靠性，對用戶網絡行為的可追溯性，以及對用戶賬號管理的易用性，仍然是信息安全管理中不得不面對的難題。其常見的問題表現為：1、在網絡用戶只有IP，沒有與之對應的真實身份ID的前提下，發生非法網絡行為時，不能及時定位隔離。2、網絡對登錄用戶進行認證時，每個節點的設備各自配置自己的用戶信息、權限、策略及認證，從而難以管理，易出錯。3、網絡中不同功能服務區，沒有進行按級別訪問的權限設制。4、網絡中真實用戶身份不能確定，存在仿冒的可能，無法對個人行為進行監控。5、對網管人員自身的監控力度不夠6、對多種網絡接入方式的支持及認證強度不夠，不能提供穩定的硬件級別的認證系統7、目前基于IP進行管理的網絡，已不適應網絡實名化的趨勢帳號口令管理方法與目標增強內控安全，滿足法規遵從梳理系統帳號，增強系統安全加強對系統的訪問控制，提高系統安全性定制工作流，提供管理規范性技術手段支撐建立安全審計中心，及時發現安全問題，追溯違規行為建立管理平臺，提高管理效率實現單點登錄，提高用戶便利集中認證接入集中授權管理集中帳號口令管理………集中安全審計…通過建立基于4A（Account、Authentication、Authorization、Auditing）的統一身份及訪問安全管理平臺，使得系統安全管理人員可以對各業務系統中的用戶和資源進行集中賬戶管理、集中認證管理、集中權限分配、集中審計，從而在管理、技術上保證各種業務系統安全策略的實施。安全審計產品－需求能夠發現潛在的威脅和運行問題，未雨綢繆化解安全和運行風險。對于安全事件發生或關鍵數據遭到嚴重破壞之前可以預先通過日志異常行為告警方式通知管理人員，及時進行分析并采取相應措施進行阻止，降低安全事件的最終發生率。定位操作系統和應用程序的日志，忠實地記錄了操作系統和應用程序的“一舉一動”,能夠通過審計這些日志定位系統故障、網絡問題和入侵攻擊行為。舉證安全審計的日志可以用來法律舉證的證據，必要時能幫助進行事故的責任認定。一些行業要求定期對日志進行全面備份并保留相當時間。預警安全審計產品－審計目標操作系統日志登陸與SU日志：異常分析命令操作日志：分析異常操作標準系統日志：非法攻擊留下的日志痕跡主機運行狀態CPU資源監控內存占用監控磁盤空間監控應用系統日志數據庫操作和登陸W3C格式的應用系統分析特定應用系統的定制集中日志審計的基本功能保障日志安全傳輸加密第三方存儲訪問授權易于管理集中存儲方便支持不同應用系統日志審計的擴展采用多種直觀的顯示方式幫助管理員的分析和提供預警處理海量日志，提高分析效率自動化的日志分析支持海量日志事件的過濾、分析和處理更深層的對日志進行分析安全運行管理平臺（ISMP）ISMP不是單純產品，是承載安全管理與運行工作的平臺涵蓋安全工作的所有過程（包括預防、評估審計、監控、分析處理、恢復各個環節）承載安全工作流和信息流，針對各個安全流程的每個環節的工作提供相關信息、任務ISMP是安全保障體系的落實與體現形式，是安全保障體系有效運行的技術支撐手段實現動態、可量化的風險管理實現網絡安全工作從凌亂、零散、粗放向有序、體系化、精細化的管理模式轉變日常的安全運維工作通過ISMP開展，就像網管依賴網管平臺開展ISMP從技術體系采集數據，執行和審計策略體系各相關部門通過ISMP實現安全工作有序管理和密切協作ISMP體現管理意圖，以全面反映安全工作指導思想貫穿始終對領導層的價值：及時掌握各個部門整體安全狀況，輔助決策業務連續性高，績效好提高效率，減少人員需求，降低維護成本對安全管理者的價值：安全狀態可視化。全面、直觀識別和顯示各系統和設備的安全風險及時和全面的發現的安全事件實現各部門各業務系統的安全產品、網絡、主機、應用軟件的事件關聯分析實現安全事件精確定位，加快安全事件的響應速度，保障業務的連續性；智能化處理，降低對安全管理人員需求，提高工作效率；對系統維護人員、一般員工的價值：業務系統安全狀況可視化；安全事件快速定位，并提供處理支持（如補丁加載決策支持），提高生產效率，減少低級勞動對業務人員的價值：安全保障水平提高，實現客戶SLA；穩定客戶，提高客戶滿意度安全運行管理平臺（ISMP）ISMP產品核心技術發展以網元設備為核心（網管產品發展）基于網管系統開發的ISMP產品通常采用這個思想，把固定的安全事件固定到網元管理上以資產風險管理為核心（目前已應用的ISMP產品）以資產為核心視圖，比較直觀和靈活的管理事件、資產和脆弱性要素，實現了初步的風險管理思想ISMP產品核心技術的發展以過程管理為核心（未來ISMP發展方向）

主要突出安全運維流程過程管理作為安全運行支撐手段，非事件關聯分析告警的平臺以安全事件為核心(日志收集與安全審計產品)收集多種不同來源的安全事件，進行關聯并可設定監控閥值安全標準與政策法規安全標準與政策法規簡介框架標準指南政策法律法規國內相關的政策、法律法規、安全框架及各類適用標準。國際相關國家管理部門標準研究機構企業管理部門行業主管部門發布國家層面的信息戰略、信息安全戰略、安全相關法律法規等。研究國內外先進標準體系、制訂、發布安全國家標準、地方標準等。發布行業安全指南、指引，研究、制訂本行業安全相關標準等。發布本企業信息安全政策、策略、制度、指南，以及本企業標準等。研究、制訂、發布國際信息安全標準化組織ISOIECITUIETFPGP開發規范；鑒別防火墻遍歷；通用鑒別技術；域名服務系統安全；IP安全協議；一次性口令鑒別)；X.509公鑰基礎設施；S/MIME郵件安全；安全Shell；簡單公鑰基礎設施；傳輸層安全；Web處理安全。TC56可靠性；TC74IT設備安全和功效；TC77電磁兼容；CISPR無線電干擾特別委員會。前身是CCITT消息處理系統；目錄系統(X.400系列、X.500系列)；安全框架；安全模型等標準。JTC1SC27，信息技術-安全技術，共個工作組發布，主要信息安全標準；其他子委員會主要有SC6、、SC18、SC21、SC22、SC30等等；ISO/TC68，銀行和有關的金融服務。除以上國際組織外，各個國家均有自己的信息安全標準化組織，如ANSI(美國國家標準)BIS(印度標準)BSI(英國標準)BS標準目錄NF(法國標準)DIN(德國標準)GOST(俄羅斯國家標準)JSA(日本標準)TIS(泰國標準)AS(澳大利亞標準)CSA(加拿大標準協會)等等國際標準化組織ISO介紹ISO的主要工作是制修訂與出版國際標準。ISO標準的范圍涉及除電工與電子工程以外的所有領域；電工與電子工程標準，由國際電工委員會（IEC）負責制修訂；信息技術標準化工作由ISO和IEC共同負責。1987年11月，這兩大國際組織成立了ISO/IEC的JTCI聯合技術委員會即"信息技術委員會"，現有50個成員團體參加其工作。SC02SC27SC37WG1WG2WG3WG4WG5Cs47B/83TC971987國際標準化組織ISO介紹Product（產品）System（系統）Process（流程）Environment（環境）Techniques（技術）Guidelines（指南）Assessment（評估）WG1ISMSWG3EvaluationCriteriaWG2Cryptograph&MechanismsWG4ControlsandServicesWG5IM&PrivacyTechnologies中國信息安全標準化組織與標準體系國標地方標準行業標準企業標準GBGB/TGB/ZDB11北京DB31上海DB44廣東GA公安JR金融YD通信Q+*企業中國信息安全標準體系框架合規與遵循的必要性

對于今天身處激烈竟爭中的現代企業來說，滿足日益復雜的外部合規性要求，提升企業管理水平，有效抵御各類風險，最終實現業務持續性健康發展的目標是實施遵從要求的根本原因。而隨著企業對IT技術依賴性的提高，由IT控制而引發的IT遵從成為企業遵從行為的重要形式，由此產生的管理活動和控制目標將貫穿于企業的整個生命周期中。

合規性檢查

(SOX,GLBA,HIPAA)遷移到新的軟件模型外部威脅員工使用移動設備新技術，例如VoIP不安全的商業計算平臺內部威脅來源:高盛安全花費調查,2006財富1000強企業CIOs/CSOs調查(目前在安全方面花費的最主要驅動因素):Sarbanes-Oxley《薩班斯-奧克斯利法案》海外法律法規Gramm-Leach-Bliley《格愛姆－里赤－布里利法案》BaselII巴塞爾新資本協議HIPAA健康保險流通與責任法案國家信息安全等級保護制度《互聯網安全保護技術措施規定》公安部第82號令國信辦信息安全風險評估規范銀監會《商業銀行內部控制指引》證監會《證券公司內部控制指引》電監會5號令

保監會《保險公司風險管理指引（試行）》ISO27002CobitITILCOSO國內法律法規行業標準指南最佳實踐框架……企業合規與遵循框架IT基礎設施企業IT相關資源或元素網絡區域物理環境組織人員策略制度主機和系統業務應用政策法規框架標準實踐指南自身現狀及特點27號文147號令SOX法案等級保護……COSO-ERMCOBITISO27000系列ITILISO27002ISO13335系列等級保護標準……信息安全國標風險評估規范風險管理指南政策法規介紹國際政策法規中國政策法規《薩班斯-奧克斯利法案》(Sarbanes-OxleyAct）《格愛姆－里赤－布里利法案》(Gramm-Leach-BlileyAct)《健康保險流通與責任法案》(HIPAA)《巴塞爾新資本協議》(BaselII)《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發[2003]27號）《中華人民共和國計算機信息系統安全保護條例》（國務院令147號）《關于信息安全等級保護工作的實施意見》(公通字[2004]66號)《信息安全等級保護管理辦法》（試行公通字[2006]7號文）《信息安全等級保護管理辦法》（公通字[2007]43號文）《關于開展全國重要信息系統安全等級保護定級工作的通知》(公信安[2007]861號文)《關于開展信息安全風險評估工作的意見》《中華人民共和國保守國家秘密法》《信息安全法》《電子簽名法》等國家加強對信息化工作的領導日期信息化領導機構領導1993-12國家經濟信息化聯席會議鄒家華副總理1996-01國務院信息化工作領導小組鄒家華副總理1998-03

無1999-12國家信息化工作領導小組吳邦國副總理2001-08國家信息化領導小組朱镕基總理2001-08國務院信息化工作辦公室曾培炎部長2003-05國家信息化領導小組溫家寶總理2003-05國務院信息化工作辦公室王旭東部長電子政務與信息化應用專業委員會網絡與信息安全專業委員會政策規劃專業委員會技術專業委員會專家委秘書處3、國家信息化專家咨詢委員會綜合組政策規劃網絡與信息安全推廣應用電子政務2、國務院信息化工作辦公室國家信息化的工作體制1、國家信息化領導小組國務院中共中央政策法規介紹-27號文信任體系監控體系應急處理安全技術研究法律法規標準人才與意識資金保障加強領導明確責任總體要求及原則等級保護《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發[2003]27號），2003年8月26日發布。我國第一個信息安全戰略層面的文件，是指導我國信息安全保障工作的綱領。27號文件主要內容：一、加強信息安全保障工作的總體要求和主要原則二、實行信息安全等級保護三、加強以密碼技術為基礎的信息保護和網絡信任體系建設四、建設和完善信息安全監控體系五、重視信息安全應急處理工作六、加強信息安全技術研究開發，推進信息安全產業發展七、加強信息安全法制建設和標準化建設八、加快信息安全人才培養，增強全民信息安全意識九、保證信息安全資金十、加強對信息安全保障工作的領導，建立健全信息安全管理責任制政策法規介紹-147號令主要條款（摘要）第六條公安部主管全國計算機信息系統安全保護工作。第九條計算機信息系統實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定。第十四條對計算機信息系統中發生的案件，有關使用單位應當在24小時內向當地縣級以上人民政府公安機關報告。第十七條公安機關對計算機信息系統安全保護工作行使下列監督職權：監督、檢查、指導計算機信息系統安全保護工作；查處違法犯罪案件。

第二十條公安機關有權處以警告或者停機整頓。第二十三條危害計算機信息系統安全的，或者未經許可出售安全專用產品的，由公安機關處以警告或者對個人5000元以下、單位處以15000以下罰款；沒收違法所得，并可處以違法所得1至3倍的罰款。第二十四條構成違反治安管理行為的，依照《中華人民共和國治安管理處罰條例》的有關規定處罰；構成犯罪的，依法追究刑事責任。《中華人民共和國計算機信息系統安全保護條例》（國務院令147號），1994年2月18日國務院總理李鵬簽發。政策法規介紹-等級保護系列66號文7號文43號文861號文《關于開展全國重要信息系統安全等級保護定級工作的通知》（公信安[2007]861號）。2007年7月16日，公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室聯合下發。《信息安全等級保護管理辦法》（試行公通字[2006]7號文）。2006年1月由公安部、保密局、國密局、國信辦聯合印發。主要內容：職能劃分；等級劃分與保護；實施與管理；定級、建設和管理、測評和自查、備案、監督檢查等；涉秘系統的分級保護；密碼管理。《信息安全等級保護管理辦法》（公通字[2007]43號文）。2007年6月22日，公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室聯合下發。在7號文的基礎上進行了修訂，7號文同時廢止。《關于信息安全等級保護工作的實施意見》(公通字[2004]66號)2004年9月16日由公安部、國家保密局、國家密碼管理局、國信辦聯合發文。主要內容包括（6個方面）開展信息安全等級保護工作的重要意義；原則；基本內容；職責分工；工作要求；實施計劃。等級保護作為我國一項基本制度，早在94年的國務院147號令中就進行了明確，其后03年27號文件又進行了強調04年起，陸續頒布了66號、7號、43號、861號等一系列文件。《關于電信網絡等級保護工作有關問題的通知》（信電函[2006]35號）《關于開展電信網絡安全防護試點工作的通知》（信部電函[2007]304號）《關于進一步開展電信網絡安全防護工作的實施意見》（信部電[2007]555號）《關于貫徹落實電信網絡等級保護定級工作的通知》（信電函[2007]101號）山東省內長途交換網進行了試點去年10月進行了試點總結去年12月召開了專家組會議1月底總部及奧運省完成定級工作3月底其它省完成定級工作各行業安全等級保護工作由公安部牽頭電信網絡安全等級保護工作政策法規介紹-中辦發[2006]5號文《關于開展信息安全風險評估工作的意見》（中辦發[2006]5號文）2006年3月16日，國務院信息化工作辦公室在昆明召開了《關于開展信息安全風險評估工作的意見》宣貫會。各省、市信息化主管部門、國信辦專家組、解放軍有關部門和部分信息安全企業的130余名代表出席了會議。會議由國信辦網絡與信息安全組熊四皓處長主持，國信辦網絡與信息安全組王渝次司長發表了學習貫徹《國家網絡與信息安全協調小組<關于開展信息安全風險評估工作的意見>》的重要講話。云南省、北京市、上海市、黑龍江省分別介紹了信息安全風險評估試點工作的過程和經驗。有關專家介紹了風險評估工作應遵循的標準和方法。政策法規介紹-SOX法案針對安然、世通等財務欺詐事件，美國國會出臺了《2002年公眾公司會計改革和投資者保護法案》。對于在美上市的中國公司有同樣約束力。涉及信息安全的主要有302、404等章節。截至2006年3月底，內地和香港一共有70余家公司在美國上市，其中包括多家大型國有企業，如中海油、東方航空、中國人壽、UT斯達康、中國移動、中國聯通、百度等。政策法規介紹-SOX法案302條款公司對財務報告的責任要求公司首要官員及首要財務官在季度/年度報告中保證：對信息披露的控制和程序負責設計必要的內部控制手段并確保其執行可使高層及時獲得重要信息對披露控制的有效性進行評估，評估結果需存檔不可向審計委員會和外部審計人員隱瞞公司重大的內控失敗和人員舞弊行為……404條款管理層對內部控制的評價CEO和CFO必須在年度報告中確保：內部控制的管理層責任評估內部控制的有效性由獨立審計機構出具審計報告框架標準介紹IS27000系列（信息技術-安全技術-信息安全管理體系）IS13335系列（信息技術-IT安全管理指南）等級保護標準（測評準則基本要求實施指南測評準則定級指南）國家信息安全相關標準GBeTOM（增強的電信運營圖）COSO-ERM（COSO-企業風險管理框架）COBIT（信息及相關技術控制目標）標準框架eTOM業務流程框架模型框架標準介紹-COSOCOSO（CommitteeofSponsoringOrganization，COSO）委員會，專門研究內部控制問題。1992年9月，COSO委員會發布《內部控制整合框架》（COSO-IC），由于COSO報告提出的內部控制理論和體系集內部控制理論和實踐發展之大成，成為現代內部控制最具有權威性的框架，因此在業內倍受推崇，在美國及全球得到廣泛推廣和應用。

2004年9月COSO正式頒布了《企業風險管理整合框架》（COSO-ERM）。COSO將企業風險管理定義為：“企業風險管理是一個過程，受企業董事會、管理層和其他員工的影響，包括內部控制及其在戰略和整個公司的應用，旨在為實現經營的效率和效果、財務報告的可靠性以及法規的遵循提供合理保證。”COSO-ERM框架是一個指導性的理論框架，為公司的董事會提供了有關企業所面臨的重要風險，以及如何進行風險管理方面的重要信息。

框架標準介紹-COSO四個目標戰略目標經營目標報告目標合規目標八個要素內部環境目標設置事件辨識風險評估風險反應控制活動信息與溝通監控COSO-ERM框架標準介紹-COBIT

CoBIT（ControlObjectivesforInformationandrelatedTechnology,信息和相關技術控制目標）由ITGI（ITGovernanceInstitute）制定，是信息、IT以及相關風險控制方面的國際公認標準。CoBIT用于執行IT管理，改善IT控制。它既可以滿足管理人員和董事局的IT管理需求，同時也能應對負責交付解決方案和服務的人員的更為具體的要求。這就為在一個具有透明度的環境里優化IT投資、確保價值傳遞以及減輕IT風險提供了更好的支持。

效果效率保密性完整性可用性合規性可靠性應用軟件信息基礎架構人員域流程活動企業要求IT流程IT資源COBIT立方體框架標準介紹-COBIT以業務為中心：提供企業實現其目標所需需的信息，企業需要采用結構化的流程來管理、控制IT資源，以交付所需要的信息服務。為了完成企業目標，要設立信息標準和劃分IT資源的類別。定位于流程：以一個通用的流程模型在四個控制域里定義IT活動。這些控制域就是計劃與組織，獲得與實施，交付與支持和監控與評價。這四個控制域包含34個流程，映射到傳統的IT職責域：計劃、建設、運營和監視。以控制為基礎：每個IT流程都有一個高層控制目標和多個詳細控制目標，34個流程共有214個控制目標。以衡量為驅動：提供成熟度模型以識別和校驗必須提高的能力；提供IT流程的績效目標和衡量標準；提供使流程高效的活動目標。業務需求COBIT企業信息IT資源IT流程框架標準介紹-27000系列27000標準族框架標準介紹-27000系列相關方信息安全需求和期望相關方受控的信息安全信息安全管理體系的持續改進建立

ISMS4.2.1監控和評審ISMS4.2.3實施和運行ISMS4.2.2維護和改進ISMS4.2.4InputOutputPDACPDACPDACPDAC27001中應用于ISMS的PDCA模型框架標準介紹-27000系列中國大陸地區，可以提供ISO27001認證服務的主要是BSI（BritishStandardsInstitution英國標準協會），DNV（DetNorskeVeritas挪威船級社），BV（BureauVeritas法國國際檢驗局），以及ISCCC（中國信息安全認證中心）。27001認證基本介紹情況框架標準介紹-27000系列資料來源:ISMSIUG截止2008年2月,獲取27001證書的組織為4140.其中中國80個,全球第6位.27001證書獲取情況框架標準介紹-13335系列ISO13335是由ISO/IECJTC1制定的技術報告，是一個信息安全管理方面的指導性標準，其目的是為有效實施IT安全管理提供建議和支持。ISO/IECTR13335，（IT安全管理指南”，GuidelinesfortheManagementofITSecurity，GMITS），04年發布ISO/IEC13335-1:2004Part1-概念和模型（“信息和通信技術安全管理”，（ManagementofInformationandCommunicationsTechnologySecurity，MICTS），ISO/IECTR13335series(GMITS)TR13335-1:1996TR13335-2:1997TR13335-3:1998TR13335-4:2000TR13335-5:2001ISO/IEC13335(MICTS)13335-1:2004IT安全概念和模型IT安全管理和規劃IT安全管理技術選擇控制措施網絡安全管理指南ICT安全管理-概念和模型框架標準介紹-電信網絡安全等級保護標準32個標準（草案）安全等級描述第1級定級對象受到破壞后，會對其網絡和業務運營商的合法權益造成輕微損害，但不損害國家安全、社會秩序、經濟運行和公共利益。網絡和業務運營商依據國家和通信行業有關標準進行保護。第2級定級對象受到破壞后，會對網絡和業務運營商的合法權益產生嚴重損害，或者對社會秩序、經濟運行和公共利益造成輕微損害，但不損害國家安全。網絡和業務運營商依據國家和通信行業有關標準進行保護，主管部門對其安全等級保護工作進行指導。第3級第3.1級定級對象受到破壞后，會對網絡和業務運營商的合法權益產生很嚴重損害，或者對社會秩序、經濟運行和公共利益造成較大損害，或者對國家安全造成輕微損害。網絡和業務運營商依據國家和通信行業有關標準進行保護，主管部門對其安全等級保護工作進行監督、檢查。第3.2級定級對象受到破壞后，會對網絡和業務運營商的合法權益產生特別嚴重損害，或者對社會秩序、經濟運行和公共利益造成嚴重損害，或者對國家安全造成較大損害。網絡和業務運營商依據國家和通信行業有關標準進行保護，主管部門對其安全等級保護工作進行重點監督、檢查。第4級定級對象受到破壞后，會對社會秩序、經濟運行和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。網絡和業務運營商依據國家和通信行業有關標準以及業務的特殊安全要求進行保護，主管部門對其安全等級保護工作進行強制監督、檢查。第5級定級對象受到破壞后，會對國家安全造成特別嚴重損害。網絡和業務運營商依據國家和通信行業有關標準以及業務的特殊安全需求進行保護，主管部門對其安全等級保護工作進行專門監督、檢查。框架標準介紹-電信網絡安全等級劃分框架標準介紹-等保《實施指南》信息系統定級總體安全規劃安全設計與實施安全運行與維護信息系統終止1信息系統定級2總體安全規劃3安全設計與實施4安全運行與維護5信息系統終止等級變更系統調整框架標準介紹-等保《實施指南》1信息系統定級2總體安全規劃3安全設計與實施4安全運行與維護5信息系統終止信息系統分析確定保護等級安全需求分析總體安全設計建設項目規劃方案詳細設計管理措施實現技術措施實現運行管理和控制變更管理和控制安全狀態監控安全事件處置及應急預案安全檢查和持續改進等級測評系統備案監督檢查信息轉移、儲存和清除設備遷移或廢棄存儲介質的清除或銷毀實踐指南介紹ITILIS17799信息安全風險評估規范信息安全風險管理指南信息安全事件分類分級指南信息安全事件管理指南信息系統災難恢復規范最佳實踐指南實踐指南介紹-ITILITIL，全稱InformationTechnologyInfrastructureLibrary，本白皮書統一譯為“信息技術基礎架構庫”或“IT基礎架構庫”。它是英國國家計算機和電信局CCTA（現在已并入英國商務部）于80年代中期開始開發的一套針對IT行業的服務管理標準庫。ITIL產生的背景是，當時英國政府為了提高政府部門IT服務的質量，啟動一個項目來邀請國內外知名IT廠商和專家共同開發一套規范化的、可進行財務計量的IT資源使用方法。這種方法應該是獨立于廠商的并且可適用于不同規模、不同技術和業務需求的組織。這個項目的最終成果就是現在被廣泛認可的ITIL。ITIL雖然最初是為英國政府部門開發的，但它很快在英國企業中得到廣泛的應用。在20世紀90年代初期，ITIL被介紹到歐洲的許多其它國家并這些國家得到應用。到90年代中期ITIL已經成為歐洲IT管理領域事實上的標準。90年代后期ITIL又被引入美國、南非和澳大利亞等國。90年代末，ITIL也被有關公司引入中國。ITIL是最佳實踐的總結：OGC（英國商務部）組織收集和分析各種有關組織如何解決服務管理問題等方面的信息，找出那些對本部門和在英國政府部門中的客戶有益的做法，最后形成了ITIL。ITIL的各部分之間并沒有嚴格的邏輯關系。或者這樣說，與一般的標準是先設計整體框架再細化各部分這種“自頂向下”的設計方式不同，ITIL的開發過程是“自下向上”的。實踐指南介紹-ITIL實踐指南介紹-ISO17799安全策略合規性信息安全組織資產管理信息系統獲取開發和維護人力資源安全物理和環境安全通信和操作管理訪問控制信息安全事件管理業務連續性管理實踐指南介紹-信息安全風險評估規范信息安全風險評估規范信息安全風險管理指南信息安全事件分類分級指南信息安全事件管理指南信息系統災難恢復規范對指導組織網絡信息安全建設有重要指導意義！安全工作思路與原則思考：怎樣的信息安全工作算到位？沒出過安全事件？已經部署了許多安全設備？全面、完整的安全制度？成熟的安全組織？安全工作成功的關鍵原則管理層的高度重視統一管理，總體協調同步規劃、同步建設、同步運行三分技術、七分管理內外并重整體規劃，分步實施全民參與關鍵原則-領導層高度重視管理層的高度重視：公司管理層要高度重視網絡安全工作，并給予明確支持高層重視的優勢：組織保障指明方向和目標權威預算保障，提供所需的資源監督檢查領導重視關鍵原則-領導層高度重視將行政管理角色注入安全業務中部門IS主管IS專員安全管理處接口資產管理部xxxxxxxx財務部……指定流程owner和監控評審人員活動測量、改進領導（owner)資源記錄輸入輸出信息安全流程領導對安全工作的要求（1）要把安全問題做為當前工作的重點高度重視網絡安全與應急管理在網絡安全與應急管理方面，網絡部負有雙重責任，一方面是職能責任，即集團公司網絡部承擔全集團的網絡與信息安全與應急管理的責任，省公司網絡部承擔所在省公司的網絡信息安全與應急管理的責任。因此，各級網絡部要主動推動所在公司各個范圍的網絡與信息安全及應急管理工作的開展。另一方面是自身網絡與信息安全事故的責任，我們強調“誰主管誰負責”，出現問題網絡部要負責任，同時將責任進行層層分解。

——摘自李躍總《2006年網絡工作座談會總結》安全問題已時不我待。安全漏洞很多，我們當前的重視還不夠。一方面是安全規則、安全規章、安全責任的建設，集團和各省都要加強。另一方面是手段建設要跟上去。安全不光依靠規則，一定要有手段。對內部人員的登陸要有嚴格的管理規定，后臺操作要留有痕跡。對外來人員的進入，我們一定要限人、限時、限范圍，明確進入的時間、進入的目的誰放廠家的人進去誰就要負責檢查，出了問題要承擔責任。

——摘自李躍總《2006年中南五省一市關聯維護研討會的講話》緊急重要領導對安全工作的要求（2）李躍總在2008年全國網絡工作會上做了題為《狠抓網絡安全，確保奧運盛會》的重要講話，對網絡與信息安全工作做出重要指示：堅持集中化的網絡與信息安全體系建設

1、完善體系，強化能力與手段建設；

2、全網共同努力，快速完善、細化安全管理和安全技術要求；

3、進一步加大安全預警、安全作業執行力度，完善安全考核指標體系；

4、建設滿足要求的新一代安全防護系統；

5、堅持日常性的賬號口令管理系統、日志審計系統、集中防病毒系統、綜合接入網關等基礎安全防護手段建設，以手段促管理。關鍵原則-統一管理總體協調統一管理，總體協調：由信息安全管理相關單位牽頭，通過制定和貫徹流程將安全工作要點條理化，將人、標準、技術結合在一起，為管理層支持提供明確依據、為全民參與明確職責及分工界面，從而將各項安全要求真正落地。安全的建設應和業務系統相結合，做到全程全網統一監控和審計，統一管理。

關鍵原則-統一管理總體協調明確職能在公司統一企業治理框架下，作好IT相關的內部控