网络与信息安全管理条例

信息安全要从法律、管理和技术三个方面着手 第一章信息安全概述 第一节信息技术  一、信息技术的概念  信息技术（Information Technology，缩写IT），是主要用于管理和处理信息所采用的各种技术的总称。它主要是应用计算机科学和通信技术来、开发、安装和实施信息系统及应用软件。它也常被称为信息和通信技术（Information and Communications Technology, ICT）。主要包括传感技术、计算机技术和通信技术。 有人将计算机与网络技术的特征——数字化、网络化、多媒体化、智能化、虚拟化，当作信息技术的特征。我们认为，信息技术的特征应从如下两方面来理解： 1. 信息技术具有技术的一般特征——技术性。具体表现为：方法的科学性，工具设备的先进性，技能的熟练性，经验的丰富性，作用过程的快捷性，功能的高效性等。 2. 信息技术具有区别于其它技术的特征——信息性。具体表现为：信息技术的服务主体是信息，核心功能是提高信息处理与利用的效率、效益。由信息的秉性决定信息技术还具有普遍性、客观性、相对性、动态性、共享性、可变换性等特性。 二、信息技术的发展  信息技术推广应用的显著成效，促使世界各国致力于信息化，而信息化的巨大需求又驱使信息技术高速发展。当前信息技术发展的总趋势是以互联网技术的发展和应用为中心，从典型的技术驱动发展模式向技术驱动与应用驱动相结合的模式转变。 微电子技术和软件技术是信息技术的核心。 三网融合和宽带化是网络技术发展的大方向。 互联网的应用开发也是一个持续的热点。 三、信息技术的应用  信息技术的应用包括计算机硬件和软件，网络和通讯技术，应用软件开发工具等。计算机和互联网普及以来，人们日益普遍地使用计算机来生产、处理、交换和传播各种形式的信息（如书籍、商业文件、报刊、唱片、电影、电视节目、语音、图形、影像等）。 第二节信息安全  一、信息安全的概念  保护信息系统的硬件软件及其相关数据，使之不因偶然或是恶意侵犯而遭受破坏，更改及泄露，保证信息系统能够连续正常可靠的运行。 信息安全的任务： （1） 可获得性 （2） 授权与密钥管理 （3） 身份识别与完整性 信息不安全因素 物理不安全、网络不安全、系统不安全、管理不安全 信息安全的对策与措施 对策：系统边界、网络系统、主机 措施：（1）发展和使用信息加密技术：文件加密技术、存储介质加密技术、数据库加密方法； （2）采取技术防护措施：审计技术、安全、访问控制技术； （3）行政管理措施：加强对计算机的管理、加强对人员的管理 二、信息安全基本特性  (5个基本属性见P1) 三、信息系统面临的主要威胁  系统系统是一种采集、处理、存储或传输信息的系统，它可以使一个嵌入式系统、一台计算机，也可以是通过网格连接的计算机组或服务器群。 TCB：计算机信息系统可信计算基是计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。  信息系统的安全性主要体现在以下几个方面： 信息的保密性；信息的完整性；信息源的真实性；对未授权访问的控制能力；对攻击的防护能力；信息系统的健壮性；信息的内容安全； 信息系统安全的定义 所谓的信息系统安全就是依靠法律法规道德纪律、管理细则和保护措施、物理实体安全环境、硬件系统安全措施、通信网络安全措施、软件系统安全措施等实现信息系统的数据信息安全。 信息系统安全的内容 信息系统的安全包括物理安全、网络安全、操作系统安全、应用软件安全、数据安全和管理安全，以下将分别给予详细的说明。 第一，物理安全，主要包括环境安全、设备安全、媒体安全等； 第二，网络安全，主要包括内外网隔离及访问控制系统——防火墙、物理隔离或逻辑隔离；内部网不同网络安全域的隔离及访问控制；网络安全测试与审计；网络防病毒和网络备份； 第三，网络反病毒技术，主要包括预防病毒、病毒和消毒； 第四，其他方面的安全，如操作系统安全、应用软件安全以及数据库的安全等。 信息系统安全威胁因素剖析 信息系统软硬件的内在缺陷 这些缺陷不仅直接造成系统停摆，还会为一些人为的恶意攻击提供机会。最典型的例子就是微软的操作系统。相当比例的恶意攻击就是利用微软的操作系统缺陷设计和展开的，一些病毒、木马也是盯住其破绽兴风作浪。由此造成的损失实难估量。应用软件的缺陷也可能造成计算机信息系统的故障，降低系统安全性能。 恶意攻击（被动攻击、主动攻击、物理临近攻击、内部人员攻击、分发攻击） 攻击的种类有多种，有的是对硬件设施的干扰或破坏，有的是对数据的攻击，有的是对应用的攻击。前者，有可能导致计算机信息系统的硬件一过性或永久性故障或损坏。对数据的攻击可破坏数据的有效性和完整性，也可能导致敏感数据的泄漏、滥用。对应用的攻击会导致系统运行效率的下降，严重者会会导致应用异常甚至中断。 系统使用不当 如误操作，关键数据采集质量存在缺陷，系统管理员安全配置不当，用户安全意识不强，用户口令选择不慎甚至多个角色共用一个用户口令，等等。因为使用不当导致系统安全性能下降甚至系统异常、停车的事件也有报道。 自然灾害 对计算机信息系统安全构成严重威胁的灾害主要有雷电、鼠害、火灾、水灾、地震等各种自然灾害。此外，停电、盗窃、违章施工也对计算机信息系统安全构成现实威胁。 信息系统所面临的威胁以及遭受威胁的主要方式 在现有的信息系统中，随着相关技术的不断发展，威胁的种类是层出不穷。当前信息系统所面临的威胁主要有物理威胁、漏洞威胁、病毒威胁、入侵威胁和复合性威胁。 a物理威胁 物理威胁最为简单，也最容易防范，更容易被忽略，许多信息机构服务被中止仅仅因停电、断网和硬件损毁。 b漏洞威胁 仅次于物理威胁的是漏洞威胁，几乎所有的安全事件都源于漏洞。漏洞主要分系统漏洞和软件漏洞，网络结构漏洞。 c病毒威胁 操作系统的正确使用和配置很重要，操作系统安全是企业信息系统安全的基础，对企业信息系统杀伤力比较大的是病毒威胁。能够引起计算机的故障，破坏计算机数据的程序统称为计算机病毒，间谍软件、木马、流氓软件、广告软件、行为软件、恶意共享软件等等,这些新型病毒可以导致重要机密泄露，甚至现有的安全机制全部崩溃。 d入侵威胁 大部分病毒攻击已经被编写者确定，只是机械性的执行,但入侵则是人为攻击策略灵活多变。 e复合性威胁 复合性威胁并非出现在规范的广义里的，但现实应用中，任何威胁都以复合形式出现。试想，一次完美的入侵，并非一个单一的条件就可发生的，需要其他条件的配合。因此，多数的威胁属于复合性威胁 第三节信息安全防护体系  一、PDRR安全模型  PDRR安全模型定义： 最常用的网络安全模型为PDRR(Protection,Detection,Reaction,Recovery，既防护、检测、响应、恢复)模型，可以描述网络安全的整个环节。 二、信息安全防护体系  信息安全防护体系定义： 第二章信息安全法律法规与技术标准  第二节信息安全技术标准体系  一. 什么是信息安全技术标准体系？ 为了规范信息系统建设、资源保护、管理、服务等信息安全各方面的建设，使信息安全在各个方面都有据可依，信息安全标准的制定显得十分重要，国际国内都形成了具有一定规模的信息安全标准体系。信息安全标准体系是由信息安全领域内具有内在联系的标准组成的科学有机整体，是编制信息安全标准编制、修订计划的重要依据，是促进信息安全领域内的标准组成趋向科学合理化的手段。 信息安全技术领域有国际标准体系、国家标准体系、行业标准体系和地方标准体系等，而且通常高层次的标准体系对下有约束力。事实上，在这些特定领域标准的执行还要看各个国家的管理法规和制度。国际信息安全标准体系主要由信息系统安全的一般要求、开发安全技术和机制、开发安全指南和支撑性文件和标准等几部分组成。 二. 国内外信息安全标准化组织有哪些？ 国际上与信息安全标准化有关的组织主要有以下四个。 1.ISO/IEC JTC1（信息技术标准化委员会）所属SC27（安全技术分委员会）的前身是SC20（数据加密技术分委员会），主要从事信息技术安全的一般方法和技术的标准化工作。ISO/TC68负责银行业务应用范围内有关信息安全标准的制定，主要制定行业应用标准，与SC27有着密切的联系。ISO/IEC JTC1负责制定的标准主要是开放系统互连、密钥管理、数字签名、安全评估等方面。 2. lEC在信息安全标准化方面除了与ISO联合成立了JTC1下的分委员会外，还在电信、信息技术和电磁兼容等方面成立了技术委员会，如TC56可靠性、TC74 IT设备安全和功效、TC77电磁兼容、TC108音频/视频、信息技术和通信技术电子设备的安全等，并且制定相关国际标准。 3.ITU SG17组负责研究网络安全标准，包括通信安全项目、安全架构和框架、计算安全、安全管理、用于安全的生物测定、安全通信服务等。 4.IETF（Internet工程任务组）制定标准的具体工作由各个工作组承担。IETF分成八个工作组，分别负责Internet路由、传输、应用等八个领域，其著名的IKE和IPSec都在RFC系列之中，还有电子邮件、网络认证和密码及其他安全协议标准。 国内的安全标准化组织主要有全国信息安全标准化技术委员会以及中国通信标准化协会（CCSA）下辖的网络与信息安全技术工作委员会（TC8）。 全国信息安全标准化技术委员会（TC260）于2002年4月成立，是在信息安全的专业领域内，从事信息安全标准化工作的技术工作组织，任务是向国家标准化管理委员会提出本专业标准化工作的方针、政策和技术措施的建议。主要以工作组形式开展工作，现下设六个工作组：信息安全标准体系与协调工作组（WG1）、涉密信息系统标准工作组（WG2）、密码工作组（WG3）、鉴别与授权工作组（WG4）、信息安全评估工作组（WG5）、信息安全管理工作组（WG7）。 网络与信息安全技术工作委员会该委员会成立于2003年12月，主要负责研究涉及有关通信安全技术和管理标准。其研究领域包括面向公众服务的互联网的网络与信息安全标准、电信网与互联网结合中的网络与信息安全标准、特殊通信领域中的网络与信息安全标准。目前，设置有有线网络安全工作组（WG1）、无线网络安全工作组（WG2）、安全管理工作组（WG3）和安全基础设施工作组（WG4）四个工作组。 三. 我国的信息安全技术标准体系是怎样的？ 我国信息安全标准化工作是从学习国际标准化工作开始的，目前，我国的信息安全标准化工作也已经取得了比较大的进展。近些年，先后发布了几十项信息安全标准，也进行了信息安全标准体系的专门研究，提出了基础标准、技术与机制标准、管理标准、测评标准、密码技术标准和保密技术标准等六大类信息安全技术标准的体系结构，可按照标准所涉及的主要内容进行细分，为现阶段信息安全标准编制、修订提供依据，为信息安全保障体系建设提供有效的支撑。 四. 我国信息安全主要技术标准有哪些？ 我国信息安全技术标准体系涉及网络与信息安全各个方面，包括已经发布、报批和在研的技术标准有很多，主要的有： 1.计算机信息系统安全保护等级划分准则（GB 17859-1999） 2.信息安全技术信息安全风险评估规范（GB/T 20984-2007） 3.信息安全技术信息系统安全等级保护基本要求（GB/T 22239-2008） 4.信息安全技术信息系统通用安全技术要求（GB/T 20271-2010） 5.信息安全技术信息系统安全管理要求（GB/T 20269-2006） 6.信息安全技术信息安全事件管理指南（GB/Z 20985-2007） 7.信息安全技术信息安全事件分类分级指南（GB/Z 20986-2007） 8.信息安全技术信息系统灾难恢复规范（GB/T 20988-2007） 9.信息安全技术信息系统安全等级保护实施指南（GB/T 25058-2010） 10.信息安全技术信息系统安全等级保护定级指南（GB/T 22240-2008） 11.信息安全技术信息系统等级保护安全设计技术要求（GB/T 25070-2010） 12.信息安全技术信息系统物理安全技术要求（GB/T 21052-2007）   第三节信息安全认证认可体系  一. 什么是信息安全认证认可？ 2003年 9月，国务院发布《认证认可条例》，这一条例对认证和认可是这样定义的：认证是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动；认可则是指由认可机构对认证机构、检查机构、文验室以及从事评审、审核等认证活动人员的能力和执业资格，予以承认的合格评定活动。 认证的对象分为三类：产品、服务和管理体系。在信息安全领域，目前针对这三类对象的认证活动在我国都已开展，即信息安全产品认证、信息安全服务认证和信息安全管理体系认证。 《国家信息化领导小组关于加强信息安全保障丁作的意见》（中办发[2003]27号）文件及其后发布的《关于建立国家信息安全产品认证认可体系的通知》（国认证联[2004]57号）文件对信息安全产品认证工作做出了规定，这也是我国信息安全保障体系建设中的一项基础性工作。除此之外，信息安全服务认证和信息安全管理体系认证也是我国信息安全认证认可事业的重要组成部分，我国认证认可主管部门为推动这些工作也作了大量努力。 二. 我国对信息安全认证认可的主要内容有哪些？ 1．信息安全产品认证 国家认监委会同有关部门推进了统一的信息安全产品认证认可体系的建设，成立了国家信息安全产品认证管理委员会及其执委会，成立了专门的认证机构（中国信息安全认证中心），公布了信息安全产品强制性认证、指定认证机构和第一批指定实验室，公布了信息安全产品强制性认证目录，制定了检测收费标准，公布了认证实施规则，明确了强制性认证所依据的技术标准、规范以及相关技术指标。 2．信息安全服务资质认证，其中包括：信息安全应急处理服务资质认证、信息安全风险评估服务资质认证和信息系统安全集成服务资质认证。 随着我国信息化和信息安全保障工作的不断深入推进，以应急处理、风险评估、安全集成、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。信息安全服务资质管理和相关认证评价工作已成为信息安全保障工作的重要组成部分。 3．信息安全管理体系（ISMS）认证，信息安全管理体系简称ISMS（Information Security Management System）。 为了推动 ISO/IEC 27000标准族的应用和转化，原国务院信息办于 2006年 3月至 2007年 1月组织开展了“信息安全管理标准应用（ISMS）试点”工作。在试点的基础上，完成了ISO/IEC 27001：2005和ISO/IEC27002：2005的转化工作，上述标准已经等同采用为国家标准GB/T 22080-2008《信息技术安全技术信息安全管理体系要求》和国家标准GB/T22081-2008《信息技术安全技术信息安全管理实用规则》，并于2008年11月1日起实施。 4．信息技术服务管理（ITSM）体系认证Information technology Service management ITSM认证是对组织能否有效交付IT服务的能力进行评价的过程。随着IT的迅猛发展，有效地提供IT服务管理以满足业务和顾客的要求，已经成为了各类组织建立、实施、运行IT服务管理体系的内在需求和动力。通过建立IT服务管理体系并寻求第三方认证已逐渐成为各类组织提高和检验自身IT服务管理水平的优先选择。 三. 我国对信息安全人员资格的认证有哪些？ 目前，我国对信息安全人员资质的最高认可是“注册信息安全专业人员”，英文为Certified Information Security Professional（简称CISP）。注册信息安全专业人员是有关信息安全企业，信息安全咨询服务机构、信息安全测评认证机构（包含授权测评机构）、社会各组织、团体、企事业有关信息系统（网络）建设、运行和应用管理的技术部门（含标准化部门）必备的专业岗位人员，其基本职能是对信息系统的安全提供技术保障，其所具备的专业资质和能力，由中国信息安全产品测评认证中心（CNITSEC）实施认证。