网络与信息安全管理条例.docx
《网络与信息安全管理条例.docx》由会员分享,可在线阅读,更多相关《网络与信息安全管理条例.docx(17页珍藏版)》请在冰豆网上搜索。
网络与信息安全管理条例
信息安全要从法律、管理和技术三个方面着手
第一章信息安全概述
第一节信息技术
一、信息技术的概念
信息技术(Information Technology,缩写IT),是主要用于管理和处理信息所采用的各种技术的总称。
它主要是应用计算机科学和通信技术来设计、开发、安装和实施信息系统及应用软件.它也常被称为信息和通信技术(InformationandCommunications Technology,ICT).主要包括传感技术、计算机技术和通信技术。
有人将计算机与网络技术的特征--数字化、网络化、多媒体化、智能化、虚拟化,当作信息技术的特征。
我们认为,信息技术的特征应从如下两方面来理解:
1.信息技术具有技术的一般特征——技术性。
具体表现为:
方法的科学性,工具设备的先进性,技能的熟练性,经验的丰富性,作用过程的快捷性,功能的高效性等。
2.信息技术具有区别于其它技术的特征—-信息性.具体表现为:
信息技术的服务主体是信息,核心功能是提高信息处理与利用的效率、效益。
由信息的秉性决定信息技术还具有普遍性、客观性、相对性、动态性、共享性、可变换性等特性。
二、信息技术的发展
信息技术推广应用的显著成效,促使世界各国致力于信息化,而信息化的巨大需求又驱使信息技术高速发展.当前信息技术发展的总趋势是以互联网技术的发展和应用为中心,从典型的技术驱动发展模式向技术驱动与应用驱动相结合的模式转变。
微电子技术和软件技术是信息技术的核心。
三网融合和宽带化是网络技术发展的大方向。
互联网的应用开发也是一个持续的热点。
ﻫ三、信息技术的应用
信息技术的应用包括计算机硬件和软件,网络和通讯技术,应用软件开发工具等。
计算机和互联网普及以来,人们日益普遍地使用计算机来生产、处理、交换和传播各种形式的信息(如书籍、商业文件、报刊、唱片、电影、电视节目、语音、图形、影像等)。
第二节信息安全
一、信息安全的概念
保护信息系统的硬件软件及其相关数据,使之不因偶然或是恶意侵犯而遭受破坏,更改及泄露,保证信息系统能够连续正常可靠的运行。
信息安全的任务:
(1)可获得性
(2)授权与密钥管理
(3)身份识别与完整性
信息不安全因素
物理不安全、网络不安全、系统不安全、管理不安全
信息安全的对策与措施
对策:
系统边界、网络系统、主机
措施:
(1)发展和使用信息加密技术:
文件加密技术、存储介质加密技术、数据库加密方法;
(2)采取技术防护措施:
审计技术、安全协议、访问控制技术;
(3)行政管理措施:
加强对计算机的管理、加强对人员的管理
二、信息安全基本特性
(5个基本属性见P1)
三、信息系统面临的主要威胁
系统系统是一种采集、处理、存储或传输信息的系统,它可以使一个嵌入式系统、一台计算机,也可以是通过网格连接的计算机组或服务器群。
TCB:
计算机信息系统可信计算基是计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。
它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。
信息系统的安全性主要体现在以下几个方面:
信息的保密性;信息的完整性;信息源的真实性;对未授权访问的控制能力;对攻击的防护能力;信息系统的健壮性;信息的内容安全;
信息系统安全的定义
所谓的信息系统安全就是依靠法律法规道德纪律、管理细则和保护措施、物理实体安全环境、硬件系统安全措施、通信网络安全措施、软件系统安全措施等实现信息系统的数据信息安全.
信息系统安全的内容
信息系统的安全包括物理安全、网络安全、操作系统安全、应用软件安全、数据安全和管理安全,以下将分别给予详细的说明。
第一,物理安全,主要包括环境安全、设备安全、媒体安全等;ﻫ 第二,网络安全,主要包括内外网隔离及访问控制系统——防火墙、物理隔离或逻辑隔离;内部网不同网络安全域的隔离及访问控制;网络安全测试与审计;网络防病毒和网络备份;ﻫ 第三,网络反病毒技术,主要包括预防病毒、检测病毒和消毒;
第四,其他方面的安全,如操作系统安全、应用软件安全以及数据库的安全等.ﻫ信息系统安全威胁因素剖析
信息系统软硬件的内在缺陷
这些缺陷不仅直接造成系统停摆,还会为一些人为的恶意攻击提供机会。
最典型的例子就是微软的操作系统.相当比例的恶意攻击就是利用微软的操作系统缺陷设计和展开的,一些病毒、木马也是盯住其破绽兴风作浪。
由此造成的损失实难估量。
应用软件的缺陷也可能造成计算机信息系统的故障,降低系统安全性能。
ﻫ 恶意攻击(被动攻击、主动攻击、物理临近攻击、内部人员攻击、分发攻击)ﻫ 攻击的种类有多种,有的是对硬件设施的干扰或破坏,有的是对数据的攻击,有的是对应用的攻击。
前者,有可能导致计算机信息系统的硬件一过性或永久性故障或损坏。
对数据的攻击可破坏数据的有效性和完整性,也可能导致敏感数据的泄漏、滥用。
对应用的攻击会导致系统运行效率的下降,严重者会会导致应用异常甚至中断.
系统使用不当
如误操作,关键数据采集质量存在缺陷,系统管理员安全配置不当,用户安全意识不强,用户口令选择不慎甚至多个角色共用一个用户口令,等等。
因为使用不当导致系统安全性能下降甚至系统异常、停车的事件也有报道。
ﻫ 自然灾害
对计算机信息系统安全构成严重威胁的灾害主要有雷电、鼠害、火灾、水灾、地震等各种自然灾害。
此外,停电、盗窃、违章施工也对计算机信息系统安全构成现实威胁。
信息系统所面临的威胁以及遭受威胁的主要方式ﻫ在现有的信息系统中,随着相关技术的不断发展,威胁的种类是层出不穷.当前信息系统所面临的威胁主要有物理威胁、漏洞威胁、病毒威胁、入侵威胁和复合性威胁。
a物理威胁ﻫ 物理威胁最为简单,也最容易防范,更容易被忽略,许多信息机构服务被中止仅仅因停电、断网和硬件损毁.
b漏洞威胁
仅次于物理威胁的是漏洞威胁,几乎所有的安全事件都源于漏洞。
漏洞主要分系统漏洞和软件漏洞,网络结构漏洞。
c病毒威胁
操作系统的正确使用和配置很重要,操作系统安全是企业信息系统安全的基础,对企业信息系统杀伤力比较大的是病毒威胁。
能够引起计算机的故障,破坏计算机数据的程序统称为计算机病毒,间谍软件、木马、流氓软件、广告软件、行为记录软件、恶意共享软件等等,这些新型病毒可以导致重要机密泄露,甚至现有的安全机制全部崩溃。
d入侵威胁ﻫ 大部分病毒攻击已经被编写者确定,只是机械性的执行,但入侵则是人为攻击策略灵活多变。
e复合性威胁ﻫ 复合性威胁并非出现在规范的广义里的,但现实应用中,任何威胁都以复合形式出现.试想,一次完美的入侵,并非一个单一的条件就可发生的,需要其他条件的配合.因此,多数的威胁属于复合性威胁
第三节信息安全防护体系
一、PDRR安全模型
PDRR安全模型定义:
最常用的网络安全模型为PDRR(Protection,Detection,Reaction,Recovery,既防护、检测、响应、恢复)模型,可以描述网络安全的整个环节。
二、信息安全防护体系
信息安全防护体系定义:
ﻫ第二章信息安全法律法规与技术标准 ﻫ第二节信息安全技术标准体系
一.什么是信息安全技术标准体系?
为了规范信息系统建设、资源保护、管理、服务等信息安全各方面的建设,使信息安全在各个方面都有据可依,信息安全标准的制定显得十分重要,国际国内都形成了具有一定规模的信息安全标准体系。
信息安全标准体系是由信息安全领域内具有内在联系的标准组成的科学有机整体,是编制信息安全标准编制、修订计划的重要依据,是促进信息安全领域内的标准组成趋向科学合理化的手段。
信息安全技术领域有国际标准体系、国家标准体系、行业标准体系和地方标准体系等,而且通常高层次的标准体系对下有约束力.事实上,在这些特定领域标准的执行还要看各个国家的管理法规和制度。
国际信息安全标准体系主要由信息系统安全的一般要求、开发安全技术和机制、开发安全指南和安全管理支撑性文件和标准等几部分组成。
二.国内外信息安全标准化组织有哪些?
国际上与信息安全标准化有关的组织主要有以下四个。
1.ISO/IECJTC1(信息技术标准化委员会)所属SC27(安全技术分委员会)的前身是SC20(数据加密技术分委员会),主要从事信息技术安全的一般方法和技术的标准化工作.ISO/TC68负责银行业务应用范围内有关信息安全标准的制定,主要制定行业应用标准,与SC27有着密切的联系。
ISO/IECJTC1负责制定的标准主要是开放系统互连、密钥管理、数字签名、安全评估等方面。
2. lEC在信息安全标准化方面除了与ISO联合成立了JTC1下的分委员会外,还在电信、信息技术和电磁兼容等方面成立了技术委员会,如TC56可靠性、TC74 IT设备安全和功效、TC77电磁兼容、TC108音频/视频、信息技术和通信 技术电子设备的安全等,并且制定相关国际标准。
3.ITUSG17组负责研究网络安全标准,包括通信安全项目、安全架构和框架、计算安全、安全管理、用于安全的生物测定、安全通信服务等。
4.IETF(Internet工程任务组)制定标准的具体工作由各个工作组承担。
IETF分成八个工作组,分别负责Internet路由、传输、应用等八个领域,其著名的IKE和IPSec都在RFC系列之中,还有电子邮件、网络认证和密码及其他安全协议标准。
国内的安全标准化组织主要有全国信息安全标准化技术委员会以及中国通信标准化协会(CCSA)下辖的网络与信息安全技术工作委员会(TC8).
全国信息安全标准化技术委员会(TC260)于2002年4月成立,是在信息安全的专业领域内,从事信息安全标准化工作的技术工作组织,任务是向国家标准化管理委员会提出本专业标准化工作的方针、政策和技术措施的建议。
主要以工作组形式开展工作,现下设六个工作组:
信息安全标准体系与协调工作组(WG1)、涉密信息系统标准工作组(WG2)、密码工作组(WG3)、鉴别与授权工作组(WG4)、信息安全评估工作组(WG5)、信息安全管理工作组(WG7).
网络与信息安全技术工作委员会该委员会成立于2003年12月,主要负责研究涉及有关通信安全技术和管理标准。
其研究领域包括面向公众服务的互联网的网络与信息安全标准、电信网与互联网结合中的网络与信息安全标准、特殊通信领域中的网络与信息安全标准。
目前,设置有有线网络安全工作组(WG1)、无线网络安全工作组(WG2)、安全管理工作组(WG3)和安全基础设施工作组(WG4)四个工作组。
三.我国的信息安全技术标准体系是怎样的?
我国信息安全标准化工作是从学习国际标准化工作开始的,目前,我国的信息安全标准化工作也已经取得了比较大的进展。
近些年,先后发布了几十项信息安全标准,也进行了信息安全标准体系的专门研究,提出了基础标准、技术与机制标准、管理标准、测评标准、密码技术标准和保密技术标准等六大类信息安全技术标准的体系结构,可按照标准所涉及的主要内容进行细分,为现阶段信息安全标准编制、修订提供依据,为信息安全保障体系建设提供有效的支撑。
四。
我国信息安全主要技术标准有哪些?
我国信息安全技术标准体系涉及网络与信息安全各个方面,包括已经发布、报批和在研的技术标准有很多,主要的有:
1.计算机信息系统安全保护等级划分准则(GB 17859-1999)
2。
信息安全技术信息安全风险评估规范(GB/T20984-2007)
3.信息安全技术信息系统安全等级保护基本要求(GB/T22239—2008)
4。
信息安全技术 信息系统通用安全技术要求(GB/T20271-2010)
5.信息安全技术信息系统安全管理要求(GB/T 20269-2006)
6。
信息安全技术信息安全事件管理指南(GB/Z 20985-2007)
7。
信息安全技术信息安全事件分类分级指南(GB/Z20986-2007)
8。
信息安全技术信息系统灾难恢复规范(GB/T 20988—2007)
9.信息安全技术信息系统安全等级保护实施指南(GB/T25058—2010)
10.信息安全技术信息系统安全等级保护定级指南(GB/T22240-2008)
11.信息安全技术 信息系统等级保护安全设计技术要求(GB/T25070-2010)
12。
信息安全技术信息系统物理安全技术要求(GB/T 21052-2007)
第三节信息安全认证认可体系
一。
什么是信息安全认证认可?
2003年 9月,国务院发布《认证认可条例》,这一条例对认证和认可是这样定义的:
认证是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动;认可则是指由认可机构对认证机构、检查机构、文验室以及从事评审、审核等认证活动人员的能力和执业资格,予以承认的合格评定活动.
认证的对象分为三类:
产品、服务和管理体系.在信息安全领域,目前针对这三类对象的认证活动在我国都已开展,即信息安全产品认证、信息安全服务认证和信息安全管理体系认证。
《国家信息化领导小组关于加强信息安全保障丁作的意见》(中办发[2003]27号)文件及其后发布的《关于建立国家信息安全产品认证认可体系的通知》(国认证联[2004]57号)文件对信息安全产品认证工作做出了规定,这也是我国信息安全保障体系建设中的一项基础性工作。
除此之外,信息安全服务认证和信息安全管理体系认证也是我国信息安全认证认可事业的重要组成部分,我国认证认可主管部门为推动这些工作也作了大量努力。
二.我国对信息安全认证认可的主要内容有哪些?
1.信息安全产品认证
国家认监委会同有关部门推进了统一的信息安全产品认证认可体系的建设,成立了国家信息安全产品认证管理委员会及其执委会,成立了专门的认证机构(中国信息安全认证中心),公布了信息安全产品强制性认证、指定认证机构和第一批指定实验室,公布了信息安全产品强制性认证目录,制定了检测收费标准,公布了认证实施规则,明确了强制性认证所依据的技术标准、规范以及相关技术指标.
2.信息安全服务资质认证,其中包括:
信息安全应急处理服务资质认证、信息安全风险评估服务资质认证和信息系统安全集成服务资质认证.
随着我国信息化和信息安全保障工作的不断深入推进,以应急处理、风险评估、安全集成、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出.信息安全服务资质管理和相关认证评价工作已成为信息安全保障工作的重要组成部分.
3.信息安全管理体系(ISMS)认证,信息安全管理体系简称ISMS(Information SecurityManagementSystem)。
为了推动 ISO/IEC27000标准族的应用和转化,原国务院信息办于 2006年 3月至2007年1月组织开展了“信息安全管理标准应用(ISMS)试点”工作。
在试点的基础上,完成了ISO/IEC 27001:
2005和ISO/IEC27002:
2005的转化工作,上述标准已经等同采用为国家标准GB/T22080-2008《信息技术安全技术信息安全管理体系要求》和国家标准GB/T22081-2008《信息技术安全技术信息安全管理实用规则》,并于2008年11月1日起实施。
4。
信息技术服务管理(ITSM)体系认证InformationtechnologyServicemanagement
ITSM认证是对组织能否有效交付IT服务的能力进行评价的过程.随着IT的迅猛发展,有效地提供IT服务管理以满足业务和顾客的要求,已经成为了各类组织建立、实施、运行IT服务管理体系的内在需求和动力.通过建立IT服务管理体系并寻求第三方认证已逐渐成为各类组织提高和检验自身IT服务管理水平的优先选择。
三.我国对信息安全人员资格的认证有哪些?
目前,我国对信息安全人员资质的最高认可是“注册信息安全专业人员",英文为CertifiedInformation SecurityProfessional(简称CISP)。
注册信息安全专业人员是有关信息安全企业,信息安全咨询服务机构、信息安全测评认证机构(包含授权测评机构)、社会各组织、团体、企事业有关信息系统(网络)建设、运行和应用管理的技术部门(含标准化部门)必备的专业岗位人员,其基本职能是对信息系统的安全提供技术保障,其所具备的专业资质和能力,由中国信息安全产品测评认证中心(CNITSEC)实施认证。
根据实际岗位工作需要,CISP分为三类,分别是“注册信息安全工程师”,英文为CertifiedInformationSecurityEngineer(简称CISE),CISE主要从事信息安全技术开发服务工程建设等工作;“注册信息安全管理人员”, 英文为CertifiedInformation SecurityOfficer(简称CISO),CISO从事信息安全管理等相关工作;“注册信息安全审核员”,英文为Certified InformationSecurityAuditor(简称CISA),CISA从事信息系统的安全性审核或评估等工作。
在国家信息安全测评认证机构(包含授权测评机构)、信息安全咨询服务机构、社会各组织、团体、企事业单位从事信息安全服务或高级安全管理工作的人员,具备一定的信息安全基础知识,了解并掌握GB/T18336、ISO15408、ISO17799等有关信息安全标准,具有进行信息安全服务的能力,可以参加中国信息安全产品评测认证中心组织的培训和考试,申报CISP资格.
此外,中国信息安全认证中心(ISCCC)面向广大信息安全保障工作者和在校大学生、研究生推出的人员认证服务,ISCCC将通过认证考试、素质与资质评价,证明获证人员具备从事信息安全保障工作所需要的个人素质、信息安全相关技术知识以及知识的应用能力,以供用人单位聘用信息安全保障人员时参考。
第三章信息安全管理主要工作制度 ﻫ信息安全管理定义:
是实现与保证信息安全的关键活动
第一节等级保护与风险评估
一、等级保护
等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置.
信息系统的安全保护等级分为五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
等级保护工作主要内容
信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段,作为公安部授权的第三方测评机构,为企事业单位提供专业的信息安全等级测评咨询服务.
信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程.信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现;另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关.因此,信息系统安全等级测评在安全控制测评的基础上,还要包括系统整体测评
在等级保护的实际操作中,强调从五个部分进行保护,即:
物理部分:
包括周边环境,门禁检查,防火、防水、防潮、防鼠、虫害和防雷,防电磁泄漏和干扰,电源备份和管理,设备的标识、使用、存放和管理等;
支撑系统:
包括计算机系统、操作系统、数据库系统和通信系统;
网络部分:
包括网络的拓扑结构、网络的布线和防护、网络设备的管理和报警,网络攻击的监察和处理;
应用系统:
包括系统登录、权限划分与识别、数据备份与容灾处理,运行管理和访问控制,密码保护机制和信息存储管理;
管理制度:
包括管理的组织机构和各级的职责、权限划分和责任追究制度,人员的管理和培训、教育制度,设备的管理和引进、退出制度,环境管理和监控,安防和巡查制度,应急响应制度和程序,规章制度的建立、更改和废止的控制程序。
由这五部分的安全控制机制构成系统整体安全控制机制.
实施原则
自主保护原则:
信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护等级,自行组织实施安全保护。
重点保护原则:
根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。
同步建设原则:
信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。
动态调整原则:
要跟踪信息系统的变化情况,调整安全保护措施.由于信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护.
政策法规
计算机信息系统安全保护等级划分准则
第一级:
用户自主保护级:
本级的计算机信息系统可信计算机通过隔离用户与数据,使用户具备自主安全保护的能力。
它具有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏。
第二级:
系统审计保护级:
与用户自主保护级相比,本级的计算机信息系统可信计算机实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责.
第三级:
安全标记保护级:
本级的计算机信息系统可信计算机具有系统审计保护级所有功能。
此外,还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述;具有准确地标记输出信息的能力;消除通过测试发现的任何错误.
第四级:
结构化保护级:
本级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上,它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。
此外,还要考虑隐蔽通道。
本级的计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素。
计算机信息系统可信计算基的接口也必须明确定义,使其设计与实现能经受更充分的测试和更完整的复审.加强了鉴别机制;支持系统管理员和操作员的职能;提供可信设施管理;增强了配置管理控制。
系统具有相当的抗渗透能力。
第五级:
访问验证保护级:
本级的计算机信息系统可信计算基满足访问监控器需求。
访问监控器仲裁主体对客体的全部访问。
访问监控器本身是抗篡改的;必须足够小,能够分析和测试.为了满足访问监控器需求,计算机信息系统可信计算基在其构造时,排除那些对实施安全策略来说并非必要的代码;在设计和实现时,从系统工程角度将其复杂性降低到最小程度。
支持安全管理员职能;扩充审计机制,当发生与安全相关的事件时发出信号;提供系统恢复机制.系统具有很高的抗渗透能力.
二、
升级会员 