作者:吴世忠,江常青,彭勇
出版社:航空工业出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
信息安全保障基础试读:
前言
本书是作者多年在信息安全保障领域中学习、研究和实践的成果,它是在信息安全保障测评工作实践、在信息安全保障建设咨询工作实践,以及在信息安全保障理论研究工作的总结。本书以信息安全保障作为贯穿全书的主线,并形成以信息安全保障基础和标准法规为基础,覆盖信息安全技术、管理和工程保障领域的结构化的、有机的知识整体。
对于在信息安全保障领域中从事学习、研究、实践、工程和管理的人员,本书都能提供相应的帮助。
为了更好地帮助读者建立信息安全整体、全面的知识基础和实践能力,本书的主要内容将根据信息安全保障的实践——深度防御的战略和实践展开,这样,读者就可以更好地学习和了解信息安全保障的基础和实践。
本书共包括以下4个部分。
●第一部分:信息安全保障综述。它包含2个章节,第1章“信息化与信息安全”从信息化发展带来的安全问题入手,阐述了对信息安全概念内涵和外延的理解;第2章“我国信息安全保障工作介绍”简述了我国信息安全保障体系建设的含义、发展阶段、实践和思考。
●第二部分:信息安全标准法规。它包含2个章节,第3章“信息安全标准”从标准和标准化基础开始,全面介绍了信息安全标准组织以及信息安全相关的管理、技术和工程标准;第4章“信息安全法律法规”介绍了我国信息安全相关的各种法律法规。
●第三部分:信息安全管理和工程。它包含7个章节,第5章“信息安全管理基础”介绍了我国信息安全管理体系的现状以及信息安全管理体系的一些基础原则和知识;第6章“信息安全风险评估”介绍了国内外风险评估发展等的风险评估背景、基础并介绍了一个风险评估通用的流程;第7章“信息系统灾难恢复管理”介绍了灾难恢复管理的基础知识,灾难恢复的过程、相关技术,以及国家灾难恢复等级的划分和实现;第8章“信息安全应急响应管理”全面介绍了应急响应的历史、方法、应急响应小组和系统的建设以及应急响应技术的发展等;第9章“信息安全漏洞管理”介绍了漏洞定义、分类、技术研究方向和内容等,并介绍了常用的漏洞库,简要描述了一个帮助组织机构管理漏洞的可实际操作的五阶段七步骤漏洞管理方案;第10章“信息安全等级保护”介绍了我国信息安全等级保护的背景、基本概念,以及相关工作的主要内容;第11章“信息安全工程实践”从信息安全工程的角度建立了信息安全保障工程模型,并以一个示例描述了建设电子政务的整体流程和方法。
●第四部分:信息安全技术。它包含了7个章节,第12章“密码技术和应用”;第13章“网络安全基础”;第14章“常见网络安全技术”;第15章“操作系统安全”;第16章“应用与数据安全技术”;第17章“恶意软件防护技术”;第18章“信息安全攻防”。第一部分 信息安全保障综述
本部分包含以下章节:
第1章 信息化与信息安全
第2章 我国信息安全保障工作介绍第1章 信息化与信息安全
内容介绍
当今的信息安全工作,无论在产业环境、产业标准或是产业理论方面,还是在技术产品市场、管理方面,虽然已初显丰硕的成果,却仍然在摸索中前进。
阅读成果
通过本章的学习,读者应该能够:
●了解信息化的发展和信息安全现状;
●了解信息安全概念。1.1 信息化的发展和信息安全
21世纪之初,随着全球信息化趋势的不可避免性,信息安全问题日渐成为世界各国所面临的主要问题之一。我国也接连发生了多起重大信息安全事件,人们开始逐渐认识到国家的信息化程度越高,所面临的信息安全挑战也会越多。(1)信息化迅猛发展,信息技术广泛应用,我国步入信息化时代
作为世界上最大的发展中国家,中国的信息化进程起步于20世纪80年代。20世纪90年代,中国信息化建设取得长足进展,成为加快我国国民经济发展、提高政府管理和服务水平、增强企业竞争力、改善人民群众生活水平的重要推动力。信息化发展加快了采用信息技术和提升传统产业的步伐,增强了国民经济的竞争力,改善和提高了宏观调控和建设节约型社会的国家战略的实现。金卡、金税、金关、金财、金审、金顿、金农、金保、金水、金版、金卫和金质等一系列“金”字工程,代表了中国国民经济行业信息化建设的成就。
进入21世纪,中国的信息化步入快速发展的新阶段。国民经济与社会信息化水平不断提高,信息化在促进经济与社会协调、稳定、持续的发展过程中,发挥着越来越重要的作用。政府主导的人民网、新华网等新闻网站和新浪、搜狐等商业性综合网站的设立和稳步发展,在传播重要信息、反映社情民意、引导社会舆论等方面发挥了积极重要的影响和作用。信息化所带来的好处日益显现,广大民众对信息化的前景和潜在价值的认识越来越深刻。这些都充分说明,我国信息化建设已顺利迈入了一条适合本国国情、快速发展的道路,信息化进程势头良好、前景喜人。(2)信息安全重要性提升,信息安全产业和市场逐渐形成
随着信息化和经济全球化的加速发展趋势,我国面临更加复杂的竞争环境。显而易见,互联网发展成为世界各国联系和沟通的重要渠道,信息成为社会发展的重要战略资源,信息化程度的高低成为一个国家现代化水平和综合国力的重要标志。
信息化作为全球化的一个重要方面,直接推动了国际关系的演变和全球经济体系的形成。电子政务、电子商务和整个社会信息化的发展,标志着我国正在进入信息化社会。整个社会越来越依赖于网络和信息系统,网络和信息系统正成为社会运行和发展的重要支撑要素。网络、信息系统和信息资源的安全关系到国家的经济发展、社会稳定和国防巩固,没有信息安全就没有真正有效的信息化,确保国家信息安全已成为国家事务议程中一个突出的重要问题。
改革开放以来,在党中央、国务院的正确领导下,各有关部门及社会各方面积极探索,审慎实践,使我国信息安全保障能力不断提高,为保证我国信息化健康发展发挥了显著作用,已经制定了一批有关信息安全的法律法规和基本的规章,初步组建了具有我国特色的信息安全执法队伍,对加强安全管理、维护网络秩序、打击网络犯罪发挥了重要作用,为信息安全工作提供了法律保障。全社会信息安全意识得到加强,安全管理体制正在逐步理顺,工作机制正在逐步建立,信息安全责任制正在进一步落实,信息安全保障工作的跨部门协调正在得到加强。核心通信系统、信息系统的安全保障建设发挥了显著作用,保证了政令军令安全畅通。网络信息内容的安全管理得到了进一步加强,网络环境逐步改善,对保持社会稳定发挥了重要作用。信息安全基础设施建设步伐加快,提高了基础信息网络和重要信息系统的安全防护水平。自主可控的信息安全技术研究和产业取得重要进展,在某些领域,如密码技术和电磁泄漏防护等领域,已经形成了具有较高水平或我国特色的技术与产品,我国信息安全产业和市场正在形成。(3)信息安全问题日益突出,现阶段我国的信息安全环境
我国信息安全问题的出现和演变,与国际政治斗争和国际安全环境变化密切相关。与发达国家相比,我国信息安全环境具有四个特点。
第一,我国虽是一个信息大国,但不是一个信息强国。人口总量巨大、资源相对不足的基本国情决定了我国信息网络基础设施规模和网民数量将位居世界首位。但是,目前及今后相当长一段时间里,我国信息通信网络核心技术自主研发、信息化应用创新能力和信息内容建设的总体投入等方面,在一定程度上将受到国内外条件和环境的制约。我国已经成为一个信息大国,但在提高信息网络技术应用和管控能力上仍有诸多难题需要加以解决。
第二,我国信息化发展存在极大的不均衡性。在信息网络技术应用上,东部沿海发达地区和中西部内陆落后地区、城市与农村、工业与农业存在着较大差距,受网络条件和经济投入的制约,信息化在缩小地区发展差距方面的收效并不明显,信息安全问题的严重程度和紧迫性也因这些差距而有所不同。
第三,在信息流量和信息资源上外强内弱。近年来虽然我国的基础网络带宽和互联网络信息流量有所增加,但总体上仍处弱势状态。最新的统计数据显示,我国与发达国家的“数字鸿沟”问题日益突出,现实生活中发达国家对我国进行政治、思想、宗教、文化等信息渗透将有增无减,防范压力增大。
第四,我国信息安全问题具有现实的错综复杂性。从近年来出现的信息安全问题看,网络的互联性、开放性和信息传播性使得信息安全问题的非传统性特征十分明显。我国信息网络安全问题正越来越多并日益紧密地反映出它与社会热点问题相交织、与重大国际热点问题相交织、与各种不稳定因素相交织和与信息化发展进程中的各种不确定性相交织。1.2 信息安全概念的认识和深化
信息安全是一个不断演化、动态发展的概念,对于信息安全的认识和理解也是不断发展的。当今的信息安全工作,无论在产业环境、产业标准或是产业理论方面,还是在技术产品或市场、管理方面,虽然已初显丰硕的成果,却仍然在摸索中前进。从主机时代到微机时代,从局域网时代到互联网时代,在不同时期信息安全有不同的模式和含义。“信息安全”这一概念,在早期的“通信保密”阶段以通信内容保密为主,在中期的“信息安全”阶段以信息自身的静态防护为主,而在近期的“信息保障”阶段则强调动态的、纵深的、生命周期的、全信息系统资产的信息安全。我国对信息安全概念的理解和认识以及我国信息安全保障工作的范畴和重点,一方面随着国际上信息安全概念的不断演变而发展,另一方面也结合了我国信息化的实际发展状况。因此,在总结我国信息安全保障工作之前,有必要对信息安全的内涵、特征以及地位和作用做一个准确的梳理和阐释。(1)信息安全的内涵与发展
简要回顾信息安全的历史,不难看出人类对信息安全的认识和观念s上的发展历程经历了(通信)保密阶段、(计算机)信息安全阶段和现在的信息安全保障阶段。
[1](通信)保密阶段
在信息化早期,人们将安全之虞主要集中在防止对硬件、软件和数据的物理损害上。威胁纯粹是物理的,信息的载体一旦失窃,信息也就泄露了。
电子通信出现之后,以保护信息的“机密性、完整性和可用性”的通信安全概念逐渐形成。当时涉及的安全性是保密性,需要解决的问题是在远程通信中防止非授权用户窃取信息,在此阶段的主要安全威胁是线路窃听。
[2](计算机)信息安全阶段
20世纪70~80年代,随着计算机技术的发展和应用的普及,尤其是军队和政府对计算机技术的需求量增大,且在欧美各国计算机窃密和犯罪问题的出现,计算机安全问题日益突出,以“预防、消除和减少计算机系统用户的非授权行为”为核心的计算机安全概念逐渐流行。
80年代中期,随着网络和其他相关技术的发展,国外将传统保密、通信保密和计算机安全合在一起,统称信息技术安全、信息系统安全或信息安全。信息安全需要解决的主要问题是确保计算机系统中硬件、软件及正在处理、存储、传输信息的保密性、完整性和可用性。保密性,即一定时间只限授权人员知悉的事项;完整性,即防止未授权人员对信息的任何修改;可用性,即合法用户能获得预期的安全的服务和网络环境。此时,对计算机安全的威胁扩展到恶意代码(病毒)、非法访问、脆弱口令和黑客等。
20世纪90年代以来,通信和计算机技术相互依存,数字化技术促进了计算机网络发展,网络成为全球化、智能化、个人化的信息高速公路,因特网成为通信平台。随着网络的应用与发展,人类社会对网络及其信息系统的依赖程度日益增强,网络已经成为国家的重要基础设施。人们需要保护信息在存储、处理或传输过程中不被非法访问或更改,以及确保对合法用户服务并限制对非授权用户服务,包括必要的检测、记录和抵御攻击的措施。此时对安全性有了可控性和不可否认性的需求。
[3]信息安全保障阶段
20世纪80年代末90年代初,信息安全领域发生了巨大变化。1988年美国发生了莫里斯病毒事件,1989年联邦德国破获了克格勃利用黑客窃取计算机网上秘密案。为此,1989年美国和西欧国家提出了动态防护概念,并率先建立计算机应急反应小组。随后,欧美各国建立大量应急组织,并成立“计算机安全应急国际论坛”。1991年海湾战争后,在80年代美、苏、中军事理论界提出信息战命题的基础上,美国正式启动信息战和网络战的研究与准备,引发了世界范围的信息战军备竞赛。与此同时,社会各个重要领域均向信息化迈进,由此带来的针对计算机信息系统的攻击事件日趋频繁,信息安全的概念已不再局限于对信息的保护,为了保证关键信息系统的安全,系统的安全性和系统的可靠性作为安全的重要内涵引起人们的高度重视,并在军事、金融和工业管理中得到良好实践。当各国开始大力发展和建设社会信息基础设施,第一个进入信息化社会的美国,正式提出了信息安全保障的概念,将信息安全的观念提升到“以预防、检测和反应能力的提高来确保信息系统的可用性、完整性、可鉴别性和不可否认性的全面保障阶段”,以确保整个网络空间的安全性。
此外,随着互联网上有害信息的传播,将制作、复制、发布、传播有害信息也纳入信息安全的内涵。信息安全保障就是把信息系统安全从技术扩展到管理,从静态扩展到动态,通过各种安全保障技术和安全保障管理措施的综合融合至信息化中,形成对信息、信息系统乃至业务以及使命的保障。(2)信息安全的特征与范畴
信息技术的跨国性、信息网络的无国界性,信息安全依托于全球网络,其本身并不是一成不变,而是处于不断的发展变化之中,不同时期各个特点的突出程度不同,从信息安全的开放性、动态性、系统性和不对称性等方面分析信息安全本质。
信息安全是整体的、发展的、无边界的、非传统的安全。信息安全涉及多个领域,是一个系统工程,需要全社会的共同努力和承担责任及义务;信息安全不是绝对的,它是动态的和相对的;信息安全不是一个国家能完全控制的问题,具有全球化特点,应从全球信息化角度考虑和布局;信息安全属于非传统安全问题,不能用传统的办法来解决非传统的问题,要有新的思路和手段,需要综合运用政策、法律、管理和技术等各种手段。
[1]信息安全是系统的安全
信息安全是一个系统问题。一个安全的信息系统不仅仅要考虑环境安全和技术安全,还要考虑管理安全的问题;一个安全的信息系统不仅仅能够提供静态的保护能力,包括防止和降低故障、损害,还需要具备主动防御的能力,能够及时发现攻击,并能够从破坏中恢复。
[2]信息安全是动态的安全
信息安全不是绝对的,它是一个动态的、相对的概念。它随着信息技术的发展普及以及产业基础、用户认识、投入产出而发展。信息安全从通信安全,到计算机安全,到网络信息安全,到信息保障,其概念的发展本身就是一个动态的演进过程。区别于传统的加密、身份认证、访问控制、防火墙、安全路由等静态技术,信息保障强调信息系统整个生命周期的防御和恢复,其内容是保护(Protection)、检测(Detection)、反应(Reaction)和恢复(Restore)的有机结合。保护、检测、响应构成一个循环的闭环控制系统。该模型中既有被动的静态保护部分,又有主动的检测等动态部分,构成一个被动与主动相结合的动态防御安全体系。
[3]信息安全是无边界的安全
信息安全是广泛的、无国界的。网络互联使得网络的边界越来越模糊,传统意义上的国界、前方和后方正在消失,人们几乎可以从任何地点、任何时间对任何对象发起网络攻击。信息安全不是一个国家能完全控制的问题,具有全球化特点,应从全球信息化角度考虑和布局。作为人类彼此沟通,包括社会生产和社会生活活动的一种重要载体和手段,以计算机为主体构成的信息网络系统,正以前所未有的“爆炸”方式向前发展,并成为人类社会走向信息时代的主要表征。因特网在全球的爆炸性发展是和经济加速全球化趋势相呼应的,因特网作为一种自发的力量,推动着资本、金融、贸易科技的全球化进程,其作用超越了国家、民族、文化体系的界限。因特网本身就具有两重性。一方面它是一个全球性的网络,在全球化的大环境和大气候下存在和运行着,为促进世界科技交流,民族文化交融,发展生产力方面起着积极作用。但因特网的消极作用也体现了世界性和国际性,例如病毒泛滥、网上攻击、电子金融诈骗、垃圾电子邮件、网络窃密、网上国际恐怖活动和不良信息扩散等,均已成为各国政府共同面临和关注的信息安全焦点问题。
[4]信息安全是非传统的安全
信息安全属于非传统安全问题。各种信息网络的互联互通和资源共享,决定了信息安全具有不同于传统安全的特点。首先,与传统的国家安全威胁相比,信息安全杀伤力较强且带有突发性,有时事态看上去相当孤立,有时又“牵一发而动全身”,局部的安全问题很容易影响到整个网络安全,且其形态、边界和活动规律往往难于确定,使追踪和应对它们的努力变得相当困难。其次,与传统的国家安全威胁相比,信息安全发生的形态及蔓延的层次更加复杂多样。它既可以针对国家和政府,也可能瞄准社会和个人,还可能带来邻国区域的动荡和全球性的不安。为了对付这些威胁,需要更多地借助于多边机制的努力和国际社会的参与,包括多种非政府组织和跨领域、跨学科力量的加入。再次,与传统的国家安全威胁相比,信息安全威胁多半不是发生在国家之间,而更多是植根于社会体制、发作于国家内部,有着深刻的体制性、结构性根源。从国际关系角度观察,某些非传统安全的肆虐,不仅容易引发社会危机和政府失信,危及民众生命财产和国家间贸易,还可能孕育出一些新的冲突源并造成新的国际关系紧张。
因此在信息安全问题上,要确立新的发展观和安全观。互联网的全球性、快捷性、共享性、全天候性决定了信息安全的新特征。首先,信息基础设施本身的脆弱性和攻击技术的不断更新,使信息安全易攻难守。其次,信息网络同时又是一种覆盖全球的新兴媒体,各国的民族文化和道德价值观将面临越来越大的侵袭和冲击。对民族文化的保护和对不良信息的控制将更为困难,给各国对网上信息的管理与控制带来巨大的经济成本和技术困难。此外,网络的社会化,“网上论坛”、“网上俱乐部”、“网上聊天室”的推出,使网络的社会凝聚力和组织能力大增,构成了“网络空间”中不容忽视的力量。为人类发展带来巨大生机和繁荣的互联网,同时也给国家管理和社会稳定带来巨大的隐患。
信息安全,包括基础信息网络与重要信息系统安全以及信息内容传播的安全。
基础信息网络与重要信息系统安全,是指电信网、广播电视传输网和互联网等基础信息网络安全以及金融、电力、交通、税务、海关和党政军等重要信息系统的网络与信息系统正常运行,不因人为或偶发因素而被中断、破坏或恶意利用,网络与信息系统中存储、处理和传输的信息不被非法窃取、泄露、篡改或删除。
信息内容传播安全,指通过互联网或信息通信工具制作、发布、复制或传播的信息内容必须遵守中国已颁布的法律法规,不危害社会稳定和国家安全,不扰乱社会主义市场经济秩序和社会管理秩序,不侵犯个人、企业和其他组织的人身、财产等合法权利。另外,信息内容安全还包括对个人信息的保护,即指与公民个人身份相关联的信息不被以违背公民意愿的方式随意收集、传播或做其他处理,公民的隐私权不被侵犯。(3)信息安全的地位与作用“信息安全已经成为国家安全的重要组成部分”,这是党中央、国务院根据用信息技术为代表的世界科学技术迅猛发展、我国国民经济和社会信息化进程全面加快的新形势做出的科学论断。
国家安全是由政治安全、国防安全、经济安全、文化安全等部分构成。不同的历史时期,国家安全内容的侧重点也不同。当今世界,国际局势正在发生深刻变化,和平与发展成为时代主题,国家安全的内涵和外延也发生了相应改变,除了国家主权、领土完整等传统安全外,大规模疾病流行、环境恶化、能源危机、跨国犯罪、毒品走私、恐怖主义等非传统安全正不断显现出来。
信息化是当今高科技发展所带来的新潮流,给人类社会发展注入了新的活力。随着信息化的推进,国民经济和社会对信息和信息系统的依赖性越来越大,由此而产生的信息安全问题对国家安全的影响日益增加、日渐突出,使国家安全面临新的挑战。
就国家政治安全而言,信息安全是维护国家主权的坚实基础。由于信息技术的进步和全球性信息网络的建立,为国家间进行政治渗透提供了有力工具。某些国家会利用信息网络在别国建立反政府组织、开展反动舆论宣传、盗窃别国政治情报,或利用虚拟技术冒充政府部门散布假信息,达到煽动民心,颠覆他国政府的目的。另外,信息时代的国家政治呈现全球化。信息技术飞速发展,也为某些国家推行强权政治提供了更多、更经济实用的手段和途径。在这种情况下,信息安全成为了国家政治制度和意识形态稳定的基础,失去了信息安全保障的国家政权将处于严重威胁的境地。
就国家军事安全而言,信息安全是赢得未来军事战争的重要保障。现代信息技术的迅猛发展,使得信息由军事战争中的从属地位上升到了主导地位。信息战不可避免地成为未来军事战争的主要形式。信息获取、处理、传输、利用等各个环节上都可能存在着对抗,关键信息的泄露或破坏会给整个军事行动造成重大影响。为此世界各主要国家的军队都在积极研究计算机网络攻击技术,一旦取得关键性突破,对军用计算机网络系统的危害将无法估量,信息安全必然成为未来打赢高科技战争的战略课题。
就国家经济安全而言,信息安全是保障国家经济持续稳定发展的重要条件。信息时代的全球化进程强化了国家之间的相互依存,资本、信息、劳务和商品的跨国流动十分频繁,互联网为这种流动推波助澜。保护国家关键基础设施、防范金融风险、避免经济情报泄密、监控经济领域的数字化犯罪都与国家经济安全息息相关。信息安全成为事关国家经济能否持续稳定发展的关键问题。
就国家文化安全而言,信息安全是保持民族文化传统的必然选择。信息技术和传播媒介的发展,正在加速各种文化的传播和相互吸收、融合。但同时,西方某些发达国家借助信息领域的优势地位对发展中国家进行文化侵略,大肆宣扬西方民主政治制度优越性,输出西方价值观,这无疑将使发展中国家传统的文化道德、文化准则和价值观念受到冲击。加之当前互联网上的信息存在大量迷信、暴力、色情等有害内容,已经在社会上造成严重影响。文化上的混乱,最终将影响社会发展。第2章 我国信息安全保障工作介绍
内容介绍
我国信息安全保障工作是随着对信息安全认识的深化而逐步向前推进的,从21世纪伊始,主要经历了启动、积极推进以及深化落实等几个阶段。
阅读成果
通过本章的学习,读者应该能够:
●了解我国信息安全保障体系建设的含义;
●了解我国信息安全保障工作发展阶段;
●了解我国信息安全保障体系的建设规划;
●了解国家信息安全保障体系工作的实践。
在经济全球化和全球信息化加速发展的大背景下,信息安全问题已经影响到国家经济发展、政治活动、社会管理、思想舆论和民众生活等诸多领域。党中央、国务院始终将信息安全作为全面推进我国国民经济和社会信息化进程的重要环节,做出了一系列重要决策和部署。但是必须看到,我国信息安全工作总体处于初始阶段,仍然存在一些亟待解决的问题:网络与信息系统的防护水平不高,应急处理能力不强;信息安全管理和技术人才缺乏,关键技术整体还比较落后,产业缺乏核心竞争力;信息安全法律法规和标准不完善;全社会的信息安全意识不强,信息安全管理薄弱。特别是我国的工业化水平不高,信息化刚刚起步,信息安全工作的基础还很薄弱,关键技术和设备依赖于进口、受制于人,且这种局面在短期内不会得到根本扭转。尤其是随着我国加入WTO,与各国在政治、经济、文化和军事上的交往越来越密切,导致影响信息安全的因素越来越多,信息安全涉及的面越来越宽,对信息安全工作提出了更高的要求。中央领导逐渐开始认识到完善的信息安全保障工作是构建全球健康和谐网络秩序、促进世界和平与发展的主要手段,对安全有效地开展其他各项工作的重要意义和积极作用,逐步把信息安全保障工作提上了议事日程。2.1 我国信息安全保障体系建设的含义
我国信息化发展到目前阶段,所面临的信息安全问题有的具有我国特色,有的则具有全球的共性。所以要保证信息化进程持续、平稳发展,需要结合我国信息化发展的国情,借鉴和吸取世界其他发达国家的信息安全经验和教训,理解我国信息安全保障体系的含义:重点推动和发展基础信息网络和重要信息系统建设;从政治、经济与技术结合的角度,采用基于风险管理的安全范式构建信息安全保障体系,最佳的信息安全保障实际上就是最优的风险管理方式。2.2 我国信息安全保障工作发展阶段
我国信息安全保障工作是随着对信息安全认识的深化而逐步向前推进,从21世纪伊始,主要经历了启动、积极推进以及深化落实等几个阶段。
2001年至2002年,是我国网络与信息安全事件频发且性质严重的时期,鉴于严峻的信息安全形势,国家信息化领导小组重组,网络与信息安全协调小组成立,我国信息安全保障工作正式启动。这一阶段的工作重点主要是围绕十六大和两会期间网络与信息安全,明确责任、强化监管、突出重点、落实预案,加强对网络有害信息的清理治理和推进各类重要信息网络的安全防范和应急处置工作,以保障十六大顺利召开。
2003年至2005年,是国家信息安全保障体系建设逐步展开和推进的阶段,国家出台指导政策,召开第一次全国信息安全保障会议,发布国家信息安全战略,国家网络与信息安全协调小组召开了四次会议,信息安全保障各项工作积极推进。
2006年至今,国家信息安全保障体系建设已取得实质性进展。信息安全保障工作迈出了新的坚实步伐。信息安全法律法规、标准化和人才培养工作取得了新成果。信息安全基础设施和工程建设进一步完善,信息安全等级保护和风险评估取得了新进展。2.3 我国信息安全保障体系的建设规划
国家信息安全保障体系是国家安全、经济发展和精神文明建设的重要组成部分,是国家信息化基础设施建设的重要支撑环境,是国家信息化发展规划建设的重要内容。构建信息安全保障体系是我国在信息安全领域中实施的一项很重要的战略行动。(1)国家信息安全保障体系建设的指导思想和原则
我国信息安全保障体系建设的指导思想是:以“三个代表”重要思想为指针,坚持发展、与时俱进、加强管理、趋利避害、积极保障和促进我国信息化健康发展,保护国家利益,保护人民群众的合法权益,为实现我国在全球信息网络化的发展中占据主动地位的目标提供坚强有力、安全可靠的基础。
依据这一指导思想,我国信息安全保障体系建设坚持的原则包括:
[1]国家主导、社会参与。信息安全保障体系建设事关国家安全,必须由国家主导,充分体现国家利益。同时,充分调动社会各方面的积极性,综合治理,群策群力,行业自律,共同负责。
[2]统一领导、分工协作。国家信息安全保障体系建设事关国家安全、社会稳定和经济发展,是整个国家安全工作的有机组成部分,因此,要在国家信息化领导小组的统一领导下,各主管部门按各自的职责范围,各负其责,分工协作。
[3]立足国情,务求实效。根据我国信息化发展的不同阶段的需求逐步推进中国特色的国家信息安全保障体系。
[4]突出重点,分步实施。坚持发展是硬道理,信息化发展与安全同步建设,管理与技术并重。(2)国家信息安全保障体系建设的主要内容
建设国家信息安全保障体系,就是要建设和完善信息安全法律法规体系,运用法律措施和手段保障国家信息化的发展;建立统一的技术标准体系,以标准化促进和带动信息安全产业的发展,以标准化来解决安全互联互通问题;建立信息安全管理体制,加强信息安全管理,加大网络、电视、电话、短信息等内容监管力度,坚决抑制利用网络破坏国家安全、社会安定事件的发生,严厉打击利用信息技术进行的各种违法犯罪活动;加强关键技术研究,开发具有自主知识产权的信息安全核心技术和产品,尽快改变信息网络核心技术受制于人的状况;建设信息安全基础设施,建立和完善各种应急备份体系;建立信息安全培训和人才培养体系,实施人才战略。通过逐步实现保护、检测、预警、反应、恢复和反制等信息安全保障环节,全面提升和增强信息安全防护能力、隐患发现能力、应急反应能力和信息对抗能力,为防范来自组织内部、外部和内外勾结以及灾害和系统的脆弱性所构成的对信息基础设施、应用和内容各层面的安全威胁,为国家信息安全提供全方位的保障。2.4 国家信息安全保障体系工作的实践
纵观我国信息安全事业十余年的发展历程,我们可以明显感到,我国信息安全保障体系建设得到了扎实稳步进展,取得了很大成绩。信息安全保障工作的发展,为推动国民经济和社会信息化进步,促进信息产业和信息安全产业发展,维护国家安全和利益,做出了重要贡献。
从我国信息安全管理体系的构建来看,逐步确立了“多方齐抓共管、协调管理”的信息安全管理体制,领导机构、专家咨询机构、综合协调机构、信息安全主管部门、基础信息网络和重要信息系统等运营、主管部门都在国家信息安全保障领域内充分发挥职能作用,共同构成了我国的信息安全管理体系。
从我国信息安全法制体系建设来看,我国的信息安全立法是基于我国当前现有国情的基础上而建立起来的,包括信息安全相关条例和规章制度等。通过清理、调整和修订信息安全行政法规和部门规章,逐步确立信息安全的基本法律原则、法律责任和法律制度,明确了社会各方面在信息安全保障中的责任和义务,同时在政府信息公开、个人信息保护、信息网络传播权保护、广播影视传播保障等方面都建立了相关规章制度。
从我国信息安全标准化建设来看,信息安全标准化工作是我国信息安全保障工作的重要组成部分之一,也是政府进行宏观管理的重要依据,同时也是保护国家利益、促进产业发展的重要手段之一。虽然国际上有很多标准化组织研究制定多个信息安全标准,但是信息安全标准事关国家安全利益,因此不能过分依赖于国际标准,而是要在充分借鉴国际标准的前提下,通过本国组织和专家制定和扩展出符合本国国情并可以信任的信息安全技术和管理领域的标准,以保护民族利益。
从我国基础信息网络和重要信息系统保障体系建设来看,我国将信息安全提升到了一个重要位置,开始从国家的层面上关注、重视信息安全问题。全国各机构、各部门围绕文件涉及的信息安全领域的任务,积极贯彻落实,推动我国信息安全保障工作的进程,体现在以下几个方面:开展信息安全应急处理与信息通报工作,提高信息安全应急响应能力;推动信息系统灾难恢复工作,逐步从探讨进入实践阶段;实行信息安全等级保护,将其作为我国信息安全保障的一项重要基础性工作;开展风险评估工作,最大限度地保障网络和信息安全;推行电子政务,深化行政管理体制改革措施;加强以密码技术为基础的信息保护和网络信任体系建设,充分发挥密码在保障电子政务、电子商务和保护公民个人信息等方面的重要作用;开展信息安全认证认可工作,保证网络和信息系统安全;加快信息安全人才培养、增加全民信息安全意识;
从我国信息安全技术和产业发展来看,我国信息安全技术和产业迅速发展,初步改变了核心产品全部依赖进口的被动局面,并形成了一定的产业规模。
我国通过确定信息安全科技发展的三个重大领域、九个重要方向,实现了信息安全技术上的迅速发展。其中,三个重大领域包括公钥基础设施和密钥管理(PKI/KMI)关键技术,密码算法标准研究及其关键芯片集成技术,网络安全积极防御技术。九个重要方向包括网络信息内容安全技术,计算机病毒防范技术,网络入侵检测、预警和管理技术,基础系统平台安全增强技术,宽带虚拟专用网(VPN)技术,无线网络安全技术,安全风险分析评估技术,应急响应和事故恢复技术,信息安全新技术。十五期间,科技部通过863计划、973计划和科技攻关计划的实施,在信息安全技术的研究、开发、应用和产业化方面,取得了重大进展。
我国信息安全产业由国家的几个研究机构主要从事数据加密和单纯计算机系统安全研究发展到国家的一批研究机构、大学院系和一大批高科技中小企业共同从事信息、计算机系统和互联网络安全,到现在形成主体企业团队,全面服务于国家基础设施信息化安全建设运营,逐步走向成熟发展阶段。2.5 我国信息安全保障工作的思考
我国的信息安全保障工作经过几年的实践,取得了一定的成绩,也总结和提炼出了我国信息安全保障工作的经验和规律。(1)用战略和长效的眼光思考信息安全问题
随着信息安全对国家安全的影响日益增长,必须要从整个信息化的发展和国家安全战略角度来认识信息安全问题,必须要认清国内外信息安全的新变化、新特点、新趋势,深入分析当前形势下我国信息安全突出问题,才能确保我国信息安全战略与我国国情保持一致,并不断完善和发展。(2)研究与实践相结合,走顶层设计、总体安排、试点推广的路线
我国几年来信息安全保障工作的实践中,电子政务的信息安全保障、风险评估、等级保护等相关工作,不仅对已制定文件进行验证,而且也为下步解决试点工作中出现的问题,制定相关政策文件加以改进提供了必需的基础准备。实施这条路线的重要前提,就是信息安全工作要抓好顶层设计。具体讲,政策、战略、法律都是信息安全工作中非常重要的事情。目前,我们国家信息安全的政策框架已经基本形成。(3)实事求是,从实际出发,扎实推进信息安全保障工作
实事求是,一切从实际出发,是我党的思想路线,也是对信息安全保障工作的基本要求。在几年的信息安全保障工作实践中,这是一条始终不渝的思想路线和工作原则。信息安全保障工作要遵从信息化建设和经济社会发展的客观规律,要符合我国当前国情和发展阶段。推进信息安全保障工作要正视现实,结合实际,区分轻重缓急,从实际需求出发,在现有基础条件下,突出重点,按照需要,务实推进,综合平衡信息安全风险和建设成本,将有限的资源用到最急需的地方,才能有实效,这才是信息安全保障工作的基本思路。用科学的发展观指导,制定好本地的发展规划,创造良好的环境。信息安全保障的目标要和本地经济发展的目标相协调,避免脱离实际。(4)依据复杂巨系统的理论处理和解决信息安全问题
进入21世纪,网络技术的高速发展,使物理世界中涉及政治、军事、经济、文化、外交、安全关系和利益的全球化、多级化的复杂世界格局,已经全面映射到开放的互联网体系中,由此形成了一个社会、技术一体化的复杂巨系统。面对信息安全复杂巨系统,必须实施信息安全治理,对我国信息安全威胁与风险需要不断进行综合评估。回顾我国信息安全保障工作的实际运作,积累经验的同时,深入学习理论,使我们意识到要在复杂巨系统中理清思路,要用综合集成的思维方式,考虑应急响应的管理方法,提高应急响应水平的新方法,以解决信息安全问题。(5)努力调动各方面积极性,注重群体智慧,充分发挥专家作用
网络时代的开源式开发,是集中群体智慧的办法。群体的智慧能够产生巨大的商业价值,我们要善于对多数人的“潜在创造力”加以利用。然而群体中的每个人大脑里的智慧如何能够形成合力,这个价值如何能够形成价值链,则需要主管部门发挥自己在这个价值链中的汇聚作用,必须坚持总揽全局、协调各方,充分调动社会各界参与的积极性,依靠行业、依靠产业、依靠群众,尤其是重视群众力量,充分发挥专家作用,这是我国信息安全保障实践得以保持科学性和客观性的重要保障。(6)正确处理发展与安全的关系,遵循“以安全保发展,在发展中求安全”的理念,强调适度安全
正确处理发展与安全的关系,“以安全保发展,在发展中求安全”,保障安全、促进发展是贯穿科学建立国家信息安全保障体系,促进信息化发展的根本原则。要始终把信息安全放在至关重要的位置,坚持不断加强对信息安全工作的领导,坚持积极防御、综合防范的方针,努力做到未雨绸缪、防患未然,发展自主可控信息技术与加强信息安全管理并重,加快建设信息安全基础设施,发展信息安全产业,争取掌握信息安全工作的主动权。改善基础应用环境,做到“基础安全有保障”,在这个前提下,以风险评估、等级保护等多种手段为依托,承受一定范围的可控的风险,全速发展信息安全工作。(7)积极吸收国外经验,坚持中国特色和自主创新
发达国家现代信息系统应用早、使用范围广泛,信息安全问题也暴露得多。所以,他们对这一问题的重视程度与研究都走在世界的前列。我们在实践中借它山之石以攻玉。我国的信息化工作起步较晚,但是互联网是没有国界的,在互联网上使用的产品是可以互联互通的,在我国接入互联网的那一天起,在互联网上产生的信息安全问题就同样开始威胁我国的网络,所以借鉴国外的成熟的先进的经验发展我国的信息化建设事业是十分必要的。
在吸收外国经验的同时,全力提高自主创新能力是核心、是关键。当今世界科技发展日新月异,要想在激烈的科技竞争中立于不败之地,就需要全面提高自主创新能力。“自主创新、持续发展”的主题,既是对我国建立国家创新体系战略方针在信息安全方面的很好诠释,是对我国信息安全领域近年来理性思考和实践经验的高度总结,同时也是对信息安全事业发展内在规律的准确把握。只有加强原始创新能力和集成创新能力,我们才可能实现跨越式发展;只有准确把握世界科技发展趋势,积极促进自主科技成果转化和产业化,我们才可能实现可持续发展。第二部分 信息安全标准法规
本部分包含以下章节:
第3章信息安全标准
第4章信息安全法律法规
在本部分中:
详细描述了信息安全保障深度防御战略模型中的信息安全所处的外部环境——信息安全保障相关的政策、法律法规和标准。
在信息安全标准章节中,描述了标准和标准化的基础知识,然后进一步详细描述了我国信息安全相关标准的最新发展和内容。
在信息安全法律法规中,描述了目前我国信息安全相关的政策、国家和部门的法律法规、章程及规范。第3章 信息安全标准
内容介绍
在信息安全标准章节中,首先介绍标准化的一些基本概念,包括标准、标准化的定义、标准化的发展(特别是我国标准化的发展)等;然后介绍我国标准化的建设、信息安全标准体系、信息安全管理以及相关的组织机构,特别是同信息安全相关的一些组织结构;最后,我们将继续深入讨论目前我国信息安全标准组织机构的一些重要信息安全标准以及我国信息安全相关标准的情况和内容。
阅读成果
通过本章的学习,读者应该能够:
●了解标准和标准化的基本概念;
●了解我国信息标准化的建设历程;
●了解我国信息安全标准化的管理和组织机构;
●了解我国信息安全标准体系以及相关的信息安全标准;
●了解信息安全评估相关的标准,重点讨论TCSEC和通用评估准则(CC,ISO/IEC 15408,GB/T 18336);
●了解信息安全管理相关的标准;
●了解信息安全工程相关的标准。3.1 标准化概述3.1.1 标准和标准化的定义(1)标准的定义
标准是在一定范围内获得最佳秩序,对活动或其结果规定共同的和重复使用的规则、导则或特性的文件。该文件经协商一致并由一个公认的机构批准。
在《中华人民共和国标准化法条文解释》中,“标准”的含义是,对重复性事物和概念所做的统一规定。它以科学、技术和实践经验的综合成果为基础,经有关方面协商一致,由主管机构批准,以特定形式发布,作为共同遵守的准则或依据。(2)标准化的定义
标准化是国民经济和社会发展的重要技术基础性工作。“十五”期间,我国标准化工作取得了令人瞩目的成绩,对于推动技术进步、规范市场秩序、提高产业和产品竞争力、促进国际贸易发挥了重要的作用。随着形势的发展,我国标准的适用性较差,市场竞争力较弱等问题日益明显,不能更好地适应经济和社会协调发展的要求。加快我国标准化事业的发展成为一项十分紧迫的任务。
标准化就是使标准在社会一定范围内得以推广,使不够标准状态转变成标准状态的一项科学活动。
标准化的权威表述是:
[1]“为在一定的范围内获得最佳秩序,对实际或潜在的问题制定共同的重复使用的规则的活动”(上述活动主要是包括制定、发布及实施标准的过程)——GB 3935.1-1996。
[2]“针对现实的或潜在的问题,为制定(供有关各方)共同重复使用的规定所进行的活动,其目的是在给定范围内达到最佳有序化程度。”(1986年ISO第2号指南)
因此,标准化是一项活动,一个过程,其对象是共同的、可重复的事物,其范围包括制定、发布、实施和修改,其产品是标准。标准化的目的是在一定范围内获得最佳秩序。3.1.2 标准化的发展
3.1.2.1 中国标准化的发展历史
新中国成立后,国家一直重视标准化事业的发展,标准化发展分[1]为三个阶段。
第一个阶段从1949年到1988年,这是实行计划经济体制和实行计划经济为主、市场经济为辅的时期。在这一时期,国家通过颁布一系列法规、规章,确定了技术标准的分类和标准化管理部门的职责,建立了以政府为主导和对技术标准实行强制实施的管理运行模式,这种模式适应了当时我国实行的计划经济体制,促进了当时国民经济的发展。
在这个阶段中,中国的标准化事业一直是作为中国的各级政府直接管理经济、企业的行政手段来推行,它的本质特征是政府主导、计划控制、强制执行的。
第二个阶段从1988年到2001年,这一阶段以《中华人民共和国标准化法》的颁布和实施为标志,实现了在我国计划经济体制向社会主义市场经济体制过渡时期,技术标准体系和标准化管理体制的适应性转变,基本满足了发展国民经济的迫切要求,为促进中国经济和社会的发展做出了贡献。
第三个阶段从2001年到现在,这个阶段实际上是第二个阶段的延伸扩展,它主要反映了中国在2001年加入世界贸易组织后,面对国际市场的激烈竞争以及对技术标准的新挑战环境下所构建的新型国家技术标准体系。
2001年4月,党中央、国务院决定在组建国家质检总局的同时,成立“国家认证认可监督管理委员会”和“国家标准化管理委员会”。2001年10月11日,国家标准化管理委员会作为国务院授权履行行政管理职能、统一管理全国标准化工作的主管机构成立。这是我国在加入WTO的新形势下,中国标准化管理体制和运行机制为适应入世要求而进行的一系列改革的新起点。
3.1.2.2 信息技术标准的发展趋势
随着信息技术的飞速发展,特别是Internet的广泛利用,全面推动了信息的全球化,人类社会进入了一个新的时代——信息时代。信息技术标准有以下的发展趋势:
[1]标准逐步从技术驱动向市场驱动发展。信息技术标准过去总是由于新技术或新产品的出现而导出,标准的需求来源于技术和产品的发展;全球信息社会的建设,使得社会各个方面的需求骤增,而以市场驱动为主要动力的信息社会发展,使得信息技术标准由技术驱动向市场驱动快速发展。
[2]信息技术标准化机构由分散走向联合。如ISO、IEC、IETF,OMG等一方面积极听取工业、政府、用户等各方面对标准化的急迫需求,另一方面都表示在建立信息过程中,彼此之间建立相应的联系,避免工作交叉和竞争。许多标准制定组织正在制定合作机制,共同制定信息技术标准,各组织都在逐步使自己更加开放,并由分散走向联合。
[3]信息技术标准化的内容更加广泛,重点更加突出,从IT技术领域向社会各个领域渗透,涉及教育、文化、医疗、交通、商务等广泛领域,需求大量增加。从技术角度看,IT标准化的重点将放在网络接口、软件接口、信息格式安全等方面,并向以技术中立为前提,以互操作为目的的方向发展。
[1]
新中国标准化三个阶段的划分方法是参考《国家技术标准体系建设研究》中的两阶段的分法,并将进入WTO以后的标准化工作单独划分为一个阶段以加强标准化工作当前状态的讨论。3.2 我国信息安全标准化建设概况3.2.1 我国信息安全标准化建设工作的意义
信息安全标准是确保有关信息安全的产品和系统在设计、研发、生产、建设、使用、测评中解决其一致性、可靠性、可控性、先进性和符合性的技术规范、技术依据。信息安全保障体系的建设、应用,是一个极其庞大的复杂系统,没有配套的安全标准,就不能构造出一个可用、实用的信息安全保障体系,没有自主开发的安全标准,就不能构造出一个自主可控的信息安全保障体系。信息安全标准作为我国信息安全保障体系的重要组成部分,开展信息安全标准化工作具有极其重要的意义。
信息安全标准化工作是解决信息安全问题的重要技术支撑。信息安全标准体系是信息安全保障体系十分重要的技术体系,其主要作用突出地体现在能够确保有关产品、设施的技术先进性、可靠性和一致性,确保信息化安全技术工程的整体合理、可用、互联互通互操作;能够按国际规则实行IT产品市场准入时为相关产品的安全性合格评定提供依据,以强化和保证我国信息化的安全产品、工程、服务的技术自主可控性。3.2.2 我国标准化管理和组织机构[1]
3.2.2.1 全国信息安全标准化技术委员会
全国信息安全标准化技术委员会(信息安全标委会,TC 260),其英文名称是“China Information Standardization Technical Committee”(CISTC),2002年4月15日成立。信息安全标委会是我国在信息安全专业领域内,从事标准化工作的技术组织。
信息安全标准化技术委员会的成立标志着我国信息安全标准化工作,步入了“统一领导、协调发展”的新时期。该标委会是在信息安全的专业领域内,从事信息安全标准化工作的技术工作组织。它的工作任务是向国家标准化管理委员会提出本专业标准化工作的方针、政策和技术措施的建议。信息安全标委会将协调各有关部门,本着平等、公开、协商的原则组织提出一套系统、全面、分布合理的信息安全标准体系,以信息安全标准体系为工作依据有步骤、有计划地进行信息安全标准的制定工作。信息安全标委会主要以工作组形式开展工作,希望有关部门、研究机构,特别是企业参与工作组的活动。
信息安全标委会为国家标准化管理委员会直属标委会,主要负责全国信息安全技术、安全机制、安全服务、安全管理、安全评估等领域标准化工作。按照《全国专业标准化技术委员会章程》规定,全国信息安全标准化技术委员会负责统一协调申报信息安全国家标准年度计划项目,并组织国家标准的送审、报批工作(国标委高新函[2004]1号文件)。
[1]
全国信息安全标准化技术委员会(简称信息安全标委会,TC260)网址为:http://www.tc260.org.cn/。其中,关于全国信息安全标准化技术委员会的介绍参考网址:http://www.tc260.org.cn/aboutus/index.jsp3.2.3 体系介绍
在对国内外信息安全标准化工作研究的基础上,将信息安全标准从总体上划分为六大类:基础标准、技术与机制标准、管理标准、测评标准、密码技术标准和保密技术标准,在每一大类的基础上,可按照标准所涉及的主要内容进行细分。信息安全标准体系总体框架见图3-1。图3-1 信息安全标准体系总体框架
3.2.3.1 基础标准
基础标准是为其他标准制定提供支撑的公用的标准,包括安全术语、体系结构、模型、框架标准四个组成部分,基础标准体系框架见图3-2。图3-2 基础标准体系框架
3.2.3.2 技术与机制标准
技术与机制标准包括标识与鉴别、授权与访问控制、实体管理和物理安全技术标准,体系框架见图3-3。图3-3 技术与机制标准体系框架
3.2.3.3 信息安全管理标准
信息安全管理标准包括管理基础标准、管理要素标准、管理支撑技术标准和工程与服务管理标准,体系框架见图3-4。图3-4 信息安全管理标准体系框架
3.2.3.4 信息安全测评标准
信息安全测评标准包括测评基础标准、产品测评标准和系统测评标准,信息安全测评标准体系框架见图3-5。图3-5 信息安全测评标准体系框架
3.2.3.5 密码技术标准
密码技术标准包括基础标准、技术标准和管理标准,密码技术标准体系框架见图3-6。图3-6 密码技术标准体系框架
3.2.3.6 保密技术标准
保密技术标准包括技术标准和管理标准,保密技术标准体系框架见图3-7。图3-7 保密技术标准体系框架3.2.4 我国信息安全相关标准介绍
信息安全标准是我国信息安全保障体系的重要组成部分,是政府进行宏观管理的重要依据。虽然国际上有很多标准化组织在信息安全方面制定了许多的标准,但是信息安全标准事关国家安全利益,任何国家都不会轻易相信和过分依赖别人,总要通过自己国家的组织和专家制定出自己可以信任的标准来保护民族的利益。因此,各个国家在充分借鉴国际标准的前提下,制定和扩展自己国家对信息安全的管理领域,这样,就出现许多国家建立了自己的信息安全标准化组织和制定本国的信息安全标准。
我国标准化工作经过几十年的建设,特别是改革开放20多年的发展,建成了一套基本上满足我国经济和社会发展需要的标准体系,为促进国民经济和社会发展发挥了积极作用。
目前,我国按照国务院授权,在国家质量监督检验检疫总局管理下,由国家标准化管理委员会统一管理全国标准化工作,下设有255个专业技术委员会。中国标准化工作实行统一管理与分工负责相结合的管理体制,有88个国务院有关行政主管部门和国务院授权的有关行业协会分工管理本部门、本行业的标准化工作,由各省、自治区、直辖市政府有关行政主管部门分工管理本行政区域内本部门、本行业的标准化工作。
我国信息安全标准化工作,虽然起步较晚,但是近年来发展较快,入世后标准化工作在公开性、透明度等方面取得实质性进展。我国从20世纪80年代开始,本着积极采用国际标准的原则,转化了一批国际信息安全基础技术标准,制定了一批符合中国国情的信息安全标准,同时一些重点行业还颁布了一批信息安全的行业标准,为我国信息安全技术的发展做出了很大的贡献。
虽然我国的信息安全标准化工作取得了可喜的成绩,但是,面临我国经济结构的战略性调整,我国的标准化工作仍然存在着不适应形势的一些突出问题。一是标准制定周期太长,跟不上市场变化和企业需求;二是标准水平偏低,修订不及时,标龄太长,满足不了产品更新和产业升级的需要;三是标准的实施状况差,特别是相当一部分企业的负责人、管理者标准意识、质量意识太差;四是采用国际标准和国外先进标准的比例太低。
随着网络的延伸和发展,信息安全问题受到了全社会前所未有的普遍关注,人们对信息安全的理解和认识更加深入全面,信息安全标准化的工作也在各级组织中得到了重视。信息技术安全标准化是一项基础性工作,必须统一领导、统筹规划、各方参与、分工合作,以保证其顺利和协调发展。3.3 信息安全相关标准3.3.1 信息安全评估标准介绍
信息安全相关技术标准主要包括密码技术和安全机制相关标准以及安全评估相关标准。在这里,我们将重点讨论安全评估相关的标准。
目前,在信息安全评估领域,IT安全性评估通用准则已成为评估信息系统及产品安全性的世界性通用准则。IT安全性评估通用准则定义了作为评估信息技术产品和产品系统安全性的基础准则,提出了目前国际上公认的表述信息技术安全性的结构以及如何正确有效地实施这些功能的保证要求,是目前系统安全认证方面最权威的标准。GB/T 18336(等同于ISO/IEC 15408-1999)《信息技术安全技术信息技术安全性评估准则》(简称CC),作为评估信息技术产品和系统安全性的世界性通用准则,是信息技术安全性评估结果国际互认的基础。目前已有美国、加拿大、英国、法国、德国、荷兰等国加入了此互认协定。
CC是国际标准化组织为统一现有多种评估准则努力的结果,是在美国和欧洲等国家和地区分别自行推出并实践测评准则及标准的基础上,通过相互间的总结和互补发展起来的。图3-8描述了通用准则(CC)的发展历史。
通用准则是在美国的可信计算机评估准则(TCSEC,又称橘皮书)、欧洲的信息技术安全评估准则(ITSEC)、加拿大的可信计算机产品评估准则(CTCSEC)和美国联邦准则(FC)的基础上发展整合而来,由美国、加拿大、法国、德国、英国和荷兰等国的安全标准机构共同合作制定的,1999年,通用准则的2.0版正式成为国际标准ISO/IEC 15408;2001年,正式成为中国的国家标准GB/T 18336。图3-8 通用准则(CC)的发展历史
同橘皮书不同,在橘皮书中使用基于保密性的Bell-Lapudula模型来比较测评所有产品的安全性,即仅考虑产品的安全功能并且用同一种方式来比较测评包括操作系统、数据库等所有类型的安全产品;在通用准则中,首先是将功能和保证分开,分别提供功能要求和保证要求;其次,通用准则中的评估并不是直接使用通用准则,而是引入了保护轮廓(PP)和安全目标(ST)的概念,也就是说对每一类特定安全要求的产品使用通用准则先编制其安全的需求——保护轮廓,然后具体产品根据保护轮廓的要求编制其满足安全需求的方案——安全目标,最后使用安全目标来评估安全产品,检查安全产品对于安全目标的符合程度以及其保证的级别。通过通用准则的这整个安全产品和安全产品系统的评估框架,回答了测评产品的两个基本和普遍的问题:安全产品是干什么的(安全功能)以及对安全产品的作用提供[1]多大的保证(安全保证)。
在通用准则的实际使用中,人们仍然存在一些误解并常常与TCSEC等传统的信息安全产品测评标准相混淆,这些是对通用准则的整个思想和使用的不理解而导致的。因此,在本书中,我们将首先简要描述一下通用准则的一些思想和使用方法,然后再继续详细介绍通用准则的具体内容。
使用通用准则对信息安全产品和产品系统进行测试评估时,并不是直接使用通用准则来对所有类型的产品来进行评估,而是引入了保护轮廓(PP)和安全目标(ST)以及功能和保证的概念。整个评估过程从概念上来说分为以下步骤。
首先,根据产品的类型和用户的安全需求,使用通用准则来编制适用于某一类型产品(例如,防火墙、入侵检测系统和操作系统等产品类型)标准化的安全需求为用户编制对应的保护轮廓,也就是说保护轮廓是用户对某一类安全产品标准化安全需求的标准化、结构化和规范化的描述的文件。
然后,产品厂商根据保护轮廓(PP)针对其具体的安全产品编制相对应的安全目标(ST)以描述其具体安全产品对用户需求,也就是保护轮廓的满足情况的描述。
当经过认可的通用准则测试实验室拿到标准化用户需求的保护轮廓(PP)、厂商所编制的具体产品的安全目标(ST)和IT产品后,测试实验室使用通用准则的标准评估方法(CEM)检查厂商所编制的安全目标(ST)相对于保护轮廓的符合性、安全产品相对于安全目标的符合性以及安全产品的保证级别,得出正式的测试报告。在测试报告中,根据客观的测试证据,描述安全产品功能是否符合保护轮廓的要求以及安全产品的保证级别。图3-9 编制反映用户需求的产品类型的保护轮廓(PP)图3-10 产品厂商编制保护轮廓对应的具体安全产品的安全目标(ST)图3-11 通用准则测试实验室测试评估安全产品,得出测试报告
最后,通用准则的认可机构根据认证认可的标准、规定和流程,对通用准则测试机构所得出的测试报告进行确认,并给安全产品厂商发放相应的认证报告。在认证报告中描述了所测试评估的安全产品功能上符合的产品类型以及安全产品的保证级别。图3-12 通用准则认证机构确认测试报告,发放认证证书
[1]
在GB/T 18336(通用准则CC)中,Assurance翻译为保证,但在后面的信息系统安全保障评估框架中,我们将Assurance翻译为保障,它们所反映的是同一个概念,因此,在本书中这两个词汇将可以互换使用。3.3.2 信息安全管理标准介绍
3.3.2.1 综述
近年来,国际ISO/IEC和某些发达国家开始发布和改版一系列信息安全管理标准,使安全标准进入了一个繁忙的改版期。这表明,信息安全管理标准已经从零星的、随意的指南性标准,逐渐衍变成为层次化、体系化、覆盖信息安全管理全生命周期的信息安全管理体系。
目前,在国际上,有ISO/IEC的国际标准27000(ISMS)标准族等;在发达国家,有美国国家标准和技术委员会(NIST)的特别出版物系列、英国标准协会(BSI)的7799系列;在我国,有风险管理、灾难恢复的国家政策。同时,与信息安全管理交叉的ITIL、同信息系统审计相关的信息和相关技术的控制目标(CoBIT),以及信息安全管理系统、风险管理、业务持续性和灾难恢复等方面的国际、国家、组织机构和企业的信息安全管理标准;这些,都已成为信息安全界耳熟能详的热门词汇。
3.3.2.2 ISO/IEC信息安全管理标准
ISO/IEC联合技术委员会1子委员会27(ISO/IEC JTC1 SC 27)是信息安全领域最权威和国际认可的标准化组织,它为信息安全保障领域发布了一系列的国际标准和技术报告,为信息安全领域的标准化工作做出了巨大贡献。在ISO/IEC JTC1 SC 27中,工作组1(WG1)信息安全管理系统和工作组4(WG4)安全控制和服务编制安全管理方面的标准;其中特别是WG1负责信息安全管理系统(ISMS)相关的标准。
图3-13描述了ISO/IEC 27000系列标准的现状和规划。图3-13 ISO/IEC 27000系列管理标准系列
3.3.2.3 英国和美国的信息安全管理标准
信息安全是一项涉及国家安全的领域,在发达国家信息安全管理的实践中,制定了一些自有的标准,并形成一整套自有的、完整的信息安全管理体系。(1)英国门派——BS 7799和BS 15000系列
英国标准协会在信息安全管理和相关领域里做了大量的工作,其成果也已得到国际社会的广泛认可。其中最让人关注的是BS 7799的第一部分,信息安全管理导则,目前已成为了国际ISO/IEC 27002(即ISO/IEC 17799);第二部分,信息安全管理系统规范,它讨论以PDCA过程方案建设信息安全管理系统(ISMS)以及信息安全管理系统评估的内容,目前也已成为ISO/IEC 27001标准。另外其BS 15000提供了IT服务管理的规范和导则,在BS 15000基础上所建立的ITIL(IT基础设施库)也成为IT服务管理的公认标准。(2)美国门派——美国NIST SP系列特别出版物
2002年,美国通过了一部联邦信息安全管理法案(FISMA),根据它,美国国家标准和技术委员会(NIST)负责为美国政府和商业机构提供信息安全管理相关的标准规范。因此,NIST的一系列FIPS标准和NIST特别出版物800系列(NIST SP 800系列)成为了指导美国信息安全管理建设的主要标准和参考资料。在NIST的标准系列文件中,虽然NISTSP并不作为正式法定标准,但在实际工作中,已成为美国和国际安全界得到广泛认可的事实标准和权威指南。
目前,NIST SP 800系列已经出版了100多本同信息安全相关的正式文件,形成了从计划、风险管理、安全意识培训和教育以及安全控制措施的一整套信息安全管理体系,成为信息安全各领域的指南文件。2005年,NIST SP 800系列最主要的的发展是配合FISMA 2002年的法案,建立以800-53等标准为核心的一系列测评认证和认可的标准指南。
其他重要的NIST SP系列文件还包括,NIST SP 800-18:开发IT系统安全计划指南,它提供了开发IT系统安全计划的流程等的详细指南;NIST SP 800-30:IT系统风险管理指南,它提供建设包括风险评估、风险减轻和评价及评估的风险管理整体的详细流程和说明;NIST SP 800-34:IT系统业务持续性规划指南。它提供了组织机构建立IT系统业务持续性计划的流程和内容,并给出特定类型IT系统业务持续性计划的详细指南;NIST SP 800-50:建立信息安全意识和培训管理,它提供了如何建立包括意识、培训和教育的多层次信息安全人员培训体系的指南。
3.3.2.4 信息技术服务和信息系统审计治理领域——CoBIT和ITIL
信息安全是一个综合的交叉学科,信息安全管理领域的很多内容同信息技术服务、信息系统审计等有着非常密切的联系,与IT服务、信息系统审计等建立联系,将更好地服务于用户应用,推动信息安全的管理工作,下面就对这些领域的一些热门标准进行简要介绍。(1)信息系统审计领域——CoBIT
CoBIT(信息和相关技术的控制目标)模型是美国ISACA协会所提供的一个IT审计和治理的框架。它为信息系统审计和治理提供了一整套的控制目标、管理措施、审计指南。CoBIT控制模型架起了沟通强调业务的控制模型(如COSO)和强调IT的控制模型(如BS 7799)之间的桥梁。CoBIT提供了包含规划和组织、采购和实施、交付和支持以及监控4个域,34个表达IT过程的高层控制目标,通过解决这34个高层控制目标,组织机构可以确保已为其IT环境提供了一个充分的控制系统,支持这些IT过程的是用于有效实施的300多个详细的控制目标。图3-14描述了CoBIT模型。(2)IT服务管理领域——ITIL
ITIL由英国政府部门CCTA(Central Computing and Telecommunications Agency)在20世纪80年代末制定,现由英国商务部OGC(Office of Government Commerce)负责管理,主要适用于IT服务管理(ITSM)。20世纪90年代后期,ITIL的思想和方法,被美国、澳大利亚、南非等国家广泛引用,并进一步发展。2001年英国标准协会(British Standard Institute, BSI)在国际IT服务管理论坛(ITSMF)年会上,正式发布了基于ITIL的英国国家标准BS 15000。目前,ITSM领域正成为全球IT厂商、政府、企业和业界专家广泛参与的新兴领域,对未来的IT走向和企业信息化,将会产生深远的影响。ITIL的核心内容包括服务支持和服务交付,共11个流程。图3-15描述了ITIL框架。图3-14 CoBIT模型图3-15 ITIL架构图3.3.3 信息安全工程标准介绍(1)SSE-CMM简介
SSE-CMM是系统安全工程能力成熟模型(Systems Security Engineering CapabilityMaturity Model)的缩写,是一种衡量系统安全工程实施能力的方法。它描述了一个组织的安全工程过程必须包含的本质特征,这些特征是完善的安全工程保证。尽管SSE-CMM没有规定一个特定的过程和步骤,但是它汇集了工业界常见的实施方法,抽取了一组“好的”工程实施并定义了过程的“能力”。SSE-CMM主要用于指导系统安全工程的完善和改进,使系统安全工程成为一个清晰定义的、成熟的、可管理的、可控制的、有效的和可度量的学科。它是安全工程实施的标准度量标准,它覆盖了:
[1]整个生命期,包括开发、运行、维护和终止;
[2]整个组织,包括其中的管理、组织和工程活动;
[3]与其他规范并行的相互作用,如系统、软件、硬件、人的因素、测试工程、系统管理、运行和维护等规范;
[4]与其他机构的相互作用,包括获取、系统管理、认证、认可和评价机构。
在SSE-CMM模型描述中,提供了对所基于的原理、体系结构的全面描述,模型的高层综述,适当运用此模型的建议,包括在模型中的实施以及模型的属性描述。它还包括了开发该模型的需求。SSE-CMM评定方法部分描述了针对SSE-CMM来评价一个组织的安全工程能力的过程和工具。
SSE-CMM涉及到信息安全产品或者系统整个生命期的安全工程活动,其中包括:概念定义、需求分析、设计、开发、集成、安装、运行、维护和终止。
SSE-CMM的用户包括设计到安全工程的各类机构,包括产品开发商、服务提供商、系统集成商、系统管理员、安全专家等。这些SSE-CMM用户涉及的工程层面各不相同,在应用时可根据需要剪裁。对于如下不同的用户,其可能的应用为:
[1]安全服务提供商:用于衡量一个机构的信息安全工程过程能力;
[2]安全对策开发人员:当一个机构致力于开发安全对策时,该机构的能力将以其对SSE-CMM中各项工程实施元素的掌握能力来体现;
[3]产品开发商:SSE-CMM中包含的很多安全过程实施元素有助于理解客户的安全需求。
SSE-CMM并不意味着在一个组织中任何项目组或角色必须执行这个模型中所描述的任何过程,也不要求使用最新的和最好的安全工程技术和方法论。然而,这个模型要求是一个组织机构要有一个适当过程,这个过程应包括这个模型中所描述的基本安全实施。组织机构以任何方式随意创建符合他们业务目标的过程以及组织结构。
SSE-CMM也并不意味着执行通用实施的专门要求。一个组织机构一般可随意以他们所选择的方式和次序来计划、跟踪、定义、控制和改进他们的过程。然而,由于一些较高级别的通用实施依赖于较低级别的通用实施,因此组织机构应在试图达到较高级别之前,应首先实现较低级别通用实施。(2)SSE-CMM的应用
SSE-CMM可应用于所有从事某种形式的安全工程组织,这种应用与生命期、范围、环境或专业无关。该模型适用于以下三种方式:
[1]评定:允许获取组织了解潜在项目参加者的组织层次上的安全工程过程能力。
SSE-CMM支持范围广泛的改进活动,包括自身管理评定,或由从内部或外部组织的专家进行的更强要求的内部评定。虽然SSE-CMM主要用于内部过程改进,但也可用于评价潜在销售商从事安全工程过程的能力。
[2]改进:使安全工程组织获得自身安全工程过程能力级别的认识,并不断地改进其能力。
组织在第一次定义过程时经常忽视许多内部的过程或产品和/或中间的过程或产品。不过,对于一个组织在第一次定义安全工程过程时并不需要考虑所有的可能性。一个组织应通过适当的精确性来将当前的过程状态确定为基线。基线建立的过程最好在六个月到一年之间,随着时间推移该过程可以得到改进。
[3]保证:通过有根据地使用成熟过程,增加可信产品、系统和服务的可信度。
SSE-CMM设计用于衡量和帮助提高一个安全工程组织的能力,同时也可用于提高该组织所开发的系统或产品的安全保证。第4章 信息安全法律法规
内容介绍
信息安全并不是孤立存在的,它存在于我国的国情环境中,因此,本章将介绍国家信息安全相关的政策、法律法规。
阅读成果
通过本章的学习,读者应该能够:
●了解我国信息安全相关法律法规概况;
●了解信息安全相关的国家政策、法律法规和规章制度。4.1 信息安全法律法规的概述4.1.1 构建信息安全法律法规的意义
构建信息安全法律法规的宗旨是通过规范信息资源主体的开发和利用活动,不断地协调和解决信息自由与安全、信息不足与过滥、信息公开与保密、信息共享与垄断之间的矛盾,以及个体营利性和社会公益性的矛盾,从而兼顾效率与公平,保障国家利益、社会公共利益和基本人权,通过制定和实施相关立法,鼓励企业、公众和其他组织开展公益性信息服务,鼓励社会力量投资设立公益性信息机构,鼓励著作权拥有人许可公益性信息机构无偿利用其相关信息资源开展公益性服务,就能够产生对国家利益、社会公共利益的积极的保护作用,特别是对国家的信息安全,社会信息资源共享有积极的保护作用,它是充分保护信息权利的必然要求。
加强信息安全法律法规的建设,制定政府信息安全可以建立健全政府信息公开、交换、共享、保密制度;可以为公益性信息服务发展提供法制保障;可以保障企业建立并逐步完善各类信息系统,在生产、经营、管理等环节中深度开发并充分利用信息资源,提高竞争能力和经济效益;可以依法保护信息内容产品的知识产权,建立和完善信息内容市场监管体系;可以创建安全健康的信息和网络环境。4.1.2 构建信息安全法律法规体系的任务
构建国家信息安全法律法规体系是指依据宪法,制定国家关于信息安全的基本法以及与之相配套、相协调、相统一,并且与现有法律、法规相衔接的信息安全法律、法规和部门规章,形成一套能够覆盖信息安全领域基本问题、主要内容的,系统、完整、有机的信息安全法律规范体系。建立健全信息安全法律法规体系的任务是:确立我国信息安全领域的基本法律原则、基本法律责任和基本法律制度,从不同层次妥善处理信息安全各方主体的权利义务关系,系统、全面地解决我国信息安全立法中的基本问题,规范公民、法人和其他组织的信息安全行为,明确信息安全的执法主体,为信息安全各个职能部门提供执法依据。4.1.3 我国信息安全法律法规的建设历程
我国从20世纪90年代中期至今制定了一大批专门针对信息网络安全的法律、法规及行政规章。
1994年2月18日,国务院颁布了第一部有关信息网络安全的行政法规——《中华人民共和国计算机信息系统安全保护条例》,该条例规定了计算机信息系统安全保护的主管机关、安全保护制度、安全监管等,这一条例从根本上改变了我国信息安全法规的空白局面。
从1994年以后,随着信息技术特别是互联网技术的飞速发展,我国在信息网络安全领域的法制建设工作取得了令人瞩目的成绩。与信息网络及其安全有关的包括法律、行政法规、部门规章及规范性政策文件在内的法律政策体系逐渐形成,公安部、国家安全部、工业和信息化部、国家保密局、国家密码管理委员会、国务院新闻办公室、国家质量监督检验检疫总局、文化部、国家工商行政管理总局、国家版权局等执法部门在各自的领域发挥了重要作用,为保障我国信息化事业的健康发展做出了应有的贡献。
2000年12月28日,全国人民代表大会常务委员会发布《关于维护互联网安全的决定》(《决定》),标志着我国信息安全法律体系建设进入了一个新的阶段。《决定》规定了一系列禁止利用互联网从事的危害国家、单位和个人合法权益的活动。从这个阶段开始,标志着我国更加重视网络及互联网的安全,也更加重视信息内容的安全。到2003年,我国已从上至下具备了一套分层次、分领域的信息安全相关法律法规。
全国人民代表大会及其常委会通过了与信息安全相关的法律规范,如《宪法》、《刑法》、《治安管理处罚条例》、《国家安全法》、《保守国家秘密法》、《全国人大常委会关于维护互联网安全的决定》等。
国务院制定了有关信息安全的行政法规,如《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《商用密码管理条例》、《中华人民共和国电信条例》、《互联网信息服务管理办法》、《互联网上网服务营业场所管理条例》。
各部委依据职能和任务在各领域制定了相关的信息安全规章及规范性文件,如公安部的《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机病毒防治管理办法》、《金融机构计算机信息系统安全保护工作暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《关于开展计算机安全员培训工作的通知》;信息产业部的《互联网电子公告服务管理规定》、《计算机信息系统集成资质管理办法》、《中国互联网络域名管理办法》、《信息系统工程监理暂行规定》;国务院新闻办和信息产业部的《互联网站从事登载新闻业务管理暂行规定》;国家保密局的《计算机信息系统保密管理暂行规定》、《计算机信息系统国际联网保密管理规定》、《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》、《涉及国家秘密的计算机信息系统集成资质管理办法(试行)》。
27号文件的出台标志我国信息安全法制建设进入一个新的阶段,信息安全法律体系进一步深化和发展。为继续贯彻落实27号文件,加快推进信息安全工作,由国务院信息化办公室负责牵头组织起草工作,《信息安全条例》的研究和起草工作正式启动。2006年12月,形成了《信息安全条例(送审稿)》,送交国务院审查。《信息安全条例》的制定有利于推动信息安全法律法规建设,特别是对信息安全法的研究制定发挥了积极作用,对构筑国家信息安全法律法规体系具有重要意义。
2004年,《互联网新闻信息服务自律公约》、《互联网站禁止传播淫秽、色情等违法和不良信息自律规范》、《互联网搜索引擎服务商抵制淫秽、色情等违法和不良信息自律规范》发布,进一步规范了互联网信息服务。2004年8月28日,十届人大第十一次会议通过了《中华人民共和国电子签名法》,并于2005年4月1日起实施,标志我国信息安全建设的法制化进程向前迈出了重要一步。2004年12月11日,国家密码管理局发布《商用密码科研管理规定》、《商用密码产品生产管理规定》和《商用密码产品销售管理规定》,对商用密码进行管理,以保护公民和组织的合法权益,维护国家信息安全和利益。
2005年,为适应形势发展的需要,有关部委出台了一批涉及信息安全的部门规章。信息产业部发布《电子认证服务管理办法》、《非经营性互联网信息服务备案管理办法》、《互联网IP地址备案管理》;国家版权局、信息产业部发布了《互联网著作权行政保护办法》;国务院新闻办、信息产业部发布了《互联网新闻信息服务管理规定》。国务院信息办组织开展了《信息安全法》的立法调研工作。公安部发布《互联网安全保护技术措施规定》,2006年3月1日起实施,与《计算机信息网络国际联网安全保护管理办法》相配套,从保障和促进我国互联网发展出发,对互联网服务机构和联网单位落实安全保护技术措施提出了明确的要求,对提高互联网的安全防护能力具有重要意义。
2006年2月20日,信息产业部颁布《互联网电子邮件服务管理办法》,于3月30日起施行。该办法规定公民使用互联网电子邮件服务的通信秘密受法律保护。2006年5月10日,国务院第135次常务会议通过了《信息网络传播权保护条例》,2006年7月1日起施行,该条例以著作权法为立法依据,首次对我国网络合理使用与法定许可做出了明确规定,进一步完善、健全了对信息网络传播权的保护制度。4.1.4 我国信息安全法律法规体系框架
全面了解和掌握我国的立法体系和立法内容,是信息网络安全领域法律、技术和管理等各项工作的重要基础。我国信息网络安全领域的相关法律体系框架分为法律、行政法规和部门规章及规范性文件3个层面。(1)法律
这一层面是指由全国人民代表大会及其常委会通过的有关法律,主要包括:《中华人民共和国宪法》、《中华人民共和国刑法》、《中华人民共和国治安管理处罚条例》、《中华人民共和国刑事诉讼法》、《中华人民共和国人民警察法》、《中华人民共和国国家安全法》、《中华人民共和国保守国家秘密法》、《中华人民共和国行政处罚法》、《中华人民共和国行政诉讼法》、《中华人民共和国行政复议法》、《中华人民共和国国家赔偿法》、《中华人民共和国立法法》、《中华人民共和国著作权法》、《中华人民共和国专利法》、《中华人民共和国反不正当竞争法》、《中华人民共和国标准化法》、《中华人民共和国产品质量法》、《中华人民共和国电子签名法》、《全国人大常委会关于维护互联网安全的决定》等。(2)行政法规
这一层面主要是指国务院为执行宪法和法律的规定而制定的行政法规。主要包括《计算机软件保护条例》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《商用密码管理条例》、《中华人民共和国电信条例》、《互联网信息服务管理办法》、《中华人民共和国产品质量认证管理条例》等。
其中,1994年2月发布实施的《中华人民共和国计算机信息系统安全保护条例》是我国第一部涉及计算机信息系统安全的行政法规,它确定了公安部主管全国计算机信息系统安全保护工作的职能,其规定的计算机信息系统的建设和使用、安全等级保护、计算机机房及其环境管理、国际联网备案、计算机信息系统使用单位的安全案件报告、有害数据的防治管理、安全专用产品销售许可证管理等计算机信息系统安全保护的九项制度,是公安机关从80年代初期开始在全社会开展计算机安全的普及、宣传、管理、查处等多年工作经验的总结。1997年12月由国务院批准,公安部发布的《计算机信息网络国际联网安全保护管理办法》是我国第一部全面调整互联网安全的行政法规,它所规定的计算机信息网络国际联网安全保护的四条禁则和六项安全保护责任,不仅在我国互联网迅猛发展初期起到了重要的保障作用,而且为后续有关信息网络安全的法规或规章的出台起到了重要的指导作用。(3)部门规章及规范性文件
这一层面主要包括国务院各部、委等根据法律和国务院的行政法规,在本部门的权限范围内制定的规章或规范性文件,以及省、自治区、直辖市和较大的市的人民政府根据法律、行政法规和本省、自治区、直辖市的地方性法规制定的规章或规范性文件。与信息网络安全相关的部门规章或规范性文件主要包括:
[1]公安部制定的《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机病毒防治管理办法》;公安部和中国人民银行联合制定的《金融机构计算机信息系统安全保护工作暂行规定》;公安部和人事部联合制定的《关于开展计算机安全员培训工作的通知》等。[1]
[2]原信息产业部(现职责划给新设立的工业和信息化部)制定的《互联网电子公告服务管理规定》、《软件产品管理办法》、《计算机信息系统集成资质管理办法》、《关于互联网中文域名管理的通告》、《电信网间互联管理暂行规定》以及与国务院新闻办联合制定的《互联网站从事登载新闻业务管理暂行规定》等。原信息产业部、公安部、文化部、国家工商行政管理总局联合制定的《互联网上网服务营业场所管理办法》。
[3]国家保密局制定的《计算机信息系统保密管理暂行规定》、《计算机信息系统国际联网保密管理规定》、《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》、《涉密计算机信息系统建设资质审查和管理暂行办法》等。[2]
[4]国家密码管理局(原国家密码管理委员会办公室)的国家密码管理局公告等。
[5]国务院新闻办公室制定的《互联网站从事登载新闻业务管理暂行规定》等。
[6]中国互联网络信息中心制定的《CNNIC——中文域名争议解决办法》和《CNNIC——中文域名注册管理办法》等。
[7]教育部制定的《中国教育和科研计算机网暂行管理办法》、《教育网站和校网暂行管理办法》等。
[8]新闻出版署制定的《电子出版物管理规定》、关于实施《电子出版物管理暂行规定》若干问题的通知等。
[9]中国证监会制定的《网上证券委托暂行管理办法》。
[10]国家广播电影电视总局制定的《关于加强通过信息网络向公众传播广播电影电视类节目管理的通告》。
[11]国家药品监督管理局制定的《互联网药品信息服务管理暂行规定》。
[12]中华人民共和国国家科学技术委员会制定的科学技术保密规定等。
[13]最高人民法院制定的关于审理扰乱电信市场管理秩序案件具体应用法律若干问题的解释、关于审理涉及计算机网络域名民事纠纷案件适用法律若干问题的解释、关于审理扰乱电信市场管理秩序案件具体应用法律若干问题的解释等。
[14]此外,一些省、自治区、直辖市根据本行政区域的具体情况和实际需要,还制定了十余部有关信息网络安全的地方性法规和规章。
[1]
根据《国务院办公厅关于印发工业和信息化部主要职责内设机构和人员编制规定的通知》(国办发[2008]72号),国家发展和改革委员会的工业行业管理和信息化有关职责、原国防科学技术工业委员会除核电管理以外的职责、原信息产业部和原国务院信息化工作办公室的职责划给新设立的工业和信息化部。工业和信息化部网址:http://www.miit.gov.cn/。
[2]
国家密码管理局网址:http://www.oscca.gov.cn/。4.2 现有主要国家信息安全法律简介4.2.1 现有部分国家法律简介
依法治国,依法办事,遵纪守法,依法保护国家和自己的利益是国家及每一个公民必须的权利和义务,也是各行各业必须遵循的规范,信息安全保障也不例外。
本章简单介绍了我国现行信息安全的法律法规。
4.2.1.1 中华人民共和国国家安全法《中华人民共和国国家安全法》1993年2月22日第七届全国人民代表大会常务委员会第三十次会议通过,1993年2月22日中华人民共和国主席令第68号公布,本法分五章共三十四条,其主要内容摘录如下:
第一章 总则(1~5条)
第四条:任何组织和个人进行危害中华人民共和国国家安全的行为都必须受到法律追究。
本法所称危害国家安全的行为,是指境外机构、组织、个人实施或者指使、资助他人实施的,或者境内组织、个人与境外机构、组织、个人相勾结实施的下列危害中华人民共和国国家安全的行为:(一)阴谋颠覆政府,分裂国家,推翻社会主义制度的;(二)参加间谍组织或者接受间谍组织及其代理人的任务的;(三)窃取、刺探、收买、非法提供国家秘密的;(四)策动、勾引、收买国家工作人员叛变的;(五)进行危害国家安全的其他破坏活动的。
第二章 国家安全机关在国家安全工作中的职权(6~14条)
第七条:国家安全机关的工作人员依法执行国家安全工作任务时,经出示相应证件,有权查验中国公民或者境外人员的身份证明;向有关组织和人员调查、询问有关情况。
第三章 公民和组织维护国家安全的义务和权利(15~22条)
第二十一条:任何个人和组织都不得非法持有、使用窃听、窃照等专用间谍器材。
第四章 法律责任(23~32条)
第二十五条:在境外受胁迫或者受诱骗参加敌对组织,从事危害中华人民共和国国家安全的活动,及时向中华人民共和国驻外机构如实说明情况的,或者入境后直接或者通过所在组织及时向国家安全机关或者公安机关如实说明情况的,不予追究。
第五章 附则(33~34条)
4.2.1.2 中华人民共和国保守国家秘密法《中华人民共和国保守国家秘密法》于1988年9月5日第七届全国人民代表大会常务委员会第三次会议通过,自1989年5月1日起施行,本法分五章共三十五条,其主要内容摘录如下:
第一章 总则(1~7条)
第三条:一切国家机关、武装力量、政党、社会团体、企业事业单位和公民都有保守国家秘密的义务。
第二章 国家秘密的范围和密级(8~16条)
第九条:国家秘密的密级分为“绝密”、“机密”、“秘密”三级。“绝密”是最重要的国家秘密,泄露会使国家的安全和利益遭受特别严重的损害;“机密”是重要的国家秘密,泄露会使国家的安全和利益遭受严重的损害;“秘密”是一般的国家秘密,泄露会使国家的安全和利益遭受损害。
第十一条:各级国家机关、单位对所产生的国家秘密事项,应当按照国家秘密及其密级具体范围的规定确定密级。
第三章 保密制度(17~30条)
第二十条:报刊、书籍、地图、图文资料、声像制品的出版和发行以及广播节目、电视节目、电影的制作和播放,应当遵守有关保密规定,不得泄露国家秘密。
第二十六条:未经有关主管部门批准,禁止将属于国家秘密的文件、资料和其他物品携带、传递、寄运至境外。
第四章 法律责任(31~32条)
第三十二条:为境外的机构、组织、人员窃取、刺探、收买、非法提供国家秘密的,依法追究刑事责任。
第五章 附则(33~35条)4.2.2 现有部分刑法简介
4.2.2.1 中华人民共和国刑法《中华人民共和国刑法》是1979年7月1日第五届全国人民代表大会第二次会议通过的,目的是为了惩罚犯罪,保护人民,根据宪法,结合我国同犯罪作斗争的具体经验及实际情况制定的。
针对我国信息安全问题,经八届人大五次会议于1997年3月14日通过,同年10月1日正式实施的新修订的《刑法》增加了三个法律条款。
第五章 总则(1~12条)
第二条:中华人民共和国刑法的任务,是用刑罚同一切犯罪行为作斗争,以保卫国家安全,保卫人民民主专政的政权和社会主义制度,保护国有财产和劳动群众集体所有的财产,保护公民私人所有的财产,保护公民的人身权利、民主权利和其他权利,维护社会秩序、经济秩序,保障社会主义建设事业的顺利进行。
第六章 妨害社会管理秩序罪(277~367条)
第一节 扰乱公共秩序罪(277~304条)
第二百八十五条:违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
第二百八十六条:违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上
试读结束[说明:试读内容隐藏了图片]