信息安全概述-第二章-安全法規(guī)和標(biāo)準(zhǔn)

信息安全工程師----第二章安全法規(guī)和標(biāo)準(zhǔn)

第二章安全法規(guī)和標(biāo)準(zhǔn)信息安全法律法規(guī)我國信息安全的法律體系可分為4個(gè)層面：一般性法律規(guī)定規(guī)范和懲罰信息網(wǎng)絡(luò)犯罪的法律針對(duì)信息安全的特別規(guī)定具體規(guī)范信息安全技術(shù)，信息安全管理等方面的法律法規(guī)。安全法規(guī)計(jì)算機(jī)犯罪定義為以計(jì)算機(jī)資產(chǎn)(包括硬件資產(chǎn)，計(jì)算機(jī)信息系統(tǒng)及其服務(wù))為犯罪對(duì)象的具有嚴(yán)重社會(huì)危害性的行為。

計(jì)算機(jī)犯罪的本質(zhì)是信息犯罪。計(jì)算機(jī)犯罪分類可分為六類：竊取和破壞計(jì)算機(jī)資產(chǎn)未經(jīng)批準(zhǔn)使用計(jì)算機(jī)信息系統(tǒng)資源未批準(zhǔn)或超越權(quán)限接受計(jì)算機(jī)服務(wù)篡改或竊取計(jì)算機(jī)中保存的信息或文件計(jì)算機(jī)信息系統(tǒng)裝入欺騙性數(shù)據(jù)和記錄竊取或詐騙系統(tǒng)中的電子錢財(cái)計(jì)算機(jī)犯罪的特征：隱秘性強(qiáng)高智能型破壞性強(qiáng)無傳統(tǒng)犯罪現(xiàn)場(chǎng)偵查和取證困難刑法對(duì)計(jì)算機(jī)犯罪的規(guī)定：刑法第285條：非法侵入計(jì)算機(jī)信息系統(tǒng)罪，國家事務(wù)、國防建設(shè)、尖端科技，三年以下尤其徒刑或者拘役。刑法286條：破壞計(jì)算機(jī)信息系統(tǒng)罪，系統(tǒng)功能和數(shù)據(jù)及病毒傳播，后果嚴(yán)重的，處5年以下尤其徒刑或拘役；特別驗(yàn)證的，5年以上。刑法287條：利用計(jì)算機(jī)實(shí)施的各類犯罪，金融詐騙、盜竊、貪污、挪用公款、竊密，有關(guān)規(guī)定定罪處罰。中華人民共和國網(wǎng)絡(luò)安全法由全國人民代表大會(huì)常務(wù)委員會(huì)于2016年11月7日發(fā)布，自2017年6月1日起施行?！吨腥A人民共和國網(wǎng)絡(luò)安全法》第八條規(guī)定，國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)安全工作和相關(guān)監(jiān)督管理工作。國務(wù)院電信主管部門、公安部門和其他有關(guān)機(jī)關(guān)依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)負(fù)責(zé)網(wǎng)絡(luò)安全保護(hù)和監(jiān)督管理工作?？h級(jí)以上地方人民政府有關(guān)部門的網(wǎng)絡(luò)安全保護(hù)和監(jiān)督管理職責(zé)，按照國家有關(guān)規(guī)定確定。第二十一條國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：（一）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任；

（二）采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；

（三）采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月；

（四）采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；

（五）法律、行政法規(guī)規(guī)定的其他義務(wù)。關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)履行下列安全保護(hù)義務(wù)：

（一）設(shè)置專門安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人，并對(duì)該負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查；

（二）定期對(duì)從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核；

（三）對(duì)重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份；

（四）制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期進(jìn)行演練；

（五）法律、行政法規(guī)規(guī)定的其他義務(wù)。第四十七條網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)加強(qiáng)對(duì)其用戶發(fā)布的信息的管理，發(fā)現(xiàn)法律，行政法規(guī)禁止發(fā)布或者傳輸信息的，應(yīng)當(dāng)立即停止傳輸該信息，采取消除等處置措施，防止信息擴(kuò)散，保存有關(guān)記錄，并向有關(guān)主管部門報(bào)告第五十一條國家建立網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度。國家網(wǎng)信部門應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門加強(qiáng)網(wǎng)絡(luò)安全信息收集、分析和通報(bào)工作，按照規(guī)定統(tǒng)一發(fā)布網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警信息。第五十八條因維護(hù)國家安全和社會(huì)公共秩序，處置重大突發(fā)社會(huì)安全事件的需要，經(jīng)國務(wù)院決定或者批準(zhǔn)，可以在特定區(qū)域?qū)W(wǎng)絡(luò)通信采取限制等臨時(shí)措施。1994年2月18日中華人民共和國國務(wù)院第147號(hào)發(fā)布了《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》第七條信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)：第一級(jí)：信息系統(tǒng)受到破壞后，會(huì)對(duì)公民，法人和其他組織的合法權(quán)益造成損害，但不損害國家安全，社會(huì)秩序和公共利益。

第二級(jí)：信息系統(tǒng)受到破壞后，會(huì)對(duì)公民，法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國家安全。

第三級(jí)：信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國家安全造成損害。

第四級(jí)：信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國家安全造成嚴(yán)重?fù)p害。

第五級(jí)：信息系統(tǒng)受到破壞后，會(huì)對(duì)國家安全造成特別嚴(yán)重?fù)p害《信息安全等級(jí)保護(hù)管理辦法》明確規(guī)定，在信息系統(tǒng)建設(shè)過程中，運(yùn)營，使用單位應(yīng)當(dāng)按照《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》GB17859-1999標(biāo)準(zhǔn)規(guī)定了計(jì)算機(jī)系統(tǒng)安全保護(hù)能力的五個(gè)等級(jí)第一級(jí)：用戶自主保護(hù)級(jí)，通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護(hù)的能力。

第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)，通過登錄規(guī)程，審計(jì)安全性相關(guān)事件和隔離資源，使用戶對(duì)自己的行為負(fù)責(zé)

第三級(jí)：安全標(biāo)記保護(hù)級(jí)，具有系統(tǒng)審計(jì)保護(hù)級(jí)所有功能，還提供有關(guān)安全策略模型，數(shù)據(jù)標(biāo)記以及主體對(duì)客體強(qiáng)制性訪問控制的非形式化描述，具有準(zhǔn)確地標(biāo)記輸出信息的能力，消除通過測(cè)試發(fā)現(xiàn)的任何錯(cuò)誤

第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)，要求將第三級(jí)系統(tǒng)中的自主和強(qiáng)制訪問控制擴(kuò)展到所有主體與客體。此外，還要考慮隱蔽通道。

第五級(jí)：訪問驗(yàn)證保護(hù)級(jí)，滿足訪問監(jiān)控器需求。訪問監(jiān)控器仲裁主體對(duì)客體的全部訪問。涉密信息系統(tǒng)安全分級(jí)保護(hù)涉密信息系統(tǒng)安全分級(jí)保護(hù)可以劃分為秘密級(jí)，機(jī)密級(jí)和機(jī)密級(jí)（增強(qiáng)），絕密級(jí)三個(gè)等級(jí)秘密級(jí)：不低于國家信息安全等級(jí)保護(hù)三級(jí)的要求

機(jī)密級(jí)：不低于國家信息安全等級(jí)保護(hù)四級(jí)的要求

絕密級(jí)：信息系統(tǒng)中包含有最高為絕密級(jí)的國家秘密，不低于國家信息安安等級(jí)保護(hù)五級(jí)的要求。屬于下列情況之一的機(jī)密級(jí)信息系統(tǒng)應(yīng)選擇機(jī)密級(jí)（增強(qiáng)）的要求

副省級(jí)以上的黨政首腦機(jī)關(guān)，以及國防，外交，國家安全，軍工等要害部門。

機(jī)密級(jí)信息含量較高或數(shù)量較多。

使用單位對(duì)信息系統(tǒng)的依賴程度較高。涉密信息系統(tǒng)分級(jí)保護(hù)的管理過程分為八個(gè)階段系統(tǒng)定級(jí)階段安全規(guī)劃方案設(shè)計(jì)階段安全工程實(shí)施階段信息系統(tǒng)測(cè)評(píng)階段系統(tǒng)審批階段安全運(yùn)行及維護(hù)階段定期評(píng)測(cè)與檢查階段和系統(tǒng)隱退終止階段等。涉密信息系統(tǒng)定級(jí)遵循“誰建設(shè)，誰定級(jí)”的原則隔離技術(shù)

目前國內(nèi)外的趨勢(shì)都是用網(wǎng)絡(luò)隔離這個(gè)概念來代替物理隔離或安全隔離等

隔離技術(shù)第一代隔離技術(shù)：完全地隔離

第二代隔離技術(shù)：硬件卡隔離

第三代隔離技術(shù)：數(shù)據(jù)傳播隔離

第四代隔離技術(shù)：空氣開關(guān)隔離

第五代隔離技術(shù)：安全通道隔離知識(shí)產(chǎn)權(quán)包括著作權(quán)（也稱版權(quán)），工業(yè)產(chǎn)權(quán)（包括專利權(quán)和商標(biāo)權(quán)），技術(shù)秘密和商業(yè)秘密。信息安全標(biāo)準(zhǔn)常見的標(biāo)準(zhǔn)代號(hào)如下：

強(qiáng)制性標(biāo)準(zhǔn)：由法律規(guī)定必須遵照?qǐng)?zhí)行的標(biāo)準(zhǔn)代號(hào)，強(qiáng)制性標(biāo)準(zhǔn)代號(hào)：GB

推薦性標(biāo)準(zhǔn)：非強(qiáng)制性標(biāo)準(zhǔn)代號(hào)：GB/T

指導(dǎo)性標(biāo)準(zhǔn)代號(hào)：GB/Z

實(shí)物標(biāo)準(zhǔn)代號(hào)：GSB.BS7799標(biāo)準(zhǔn)是英國標(biāo)準(zhǔn)協(xié)會(huì)（BirtishuStandardsInstitution,BSI）制定的信息安全管理體系標(biāo)準(zhǔn)?？尚庞?jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則TCSEC，俗稱橘皮書，是美國國防部在1985年發(fā)表的一份技術(shù)文件，制定該準(zhǔn)則的目的是向制造商提供一種制造標(biāo)準(zhǔn)，同時(shí)向用戶提供一種驗(yàn)證標(biāo)準(zhǔn)。TCSEC將系統(tǒng)分為A,B,C,D四類：

D級(jí)：最小保護(hù)級(jí)；

C級(jí)：自主保護(hù)級(jí)

C1級(jí)：自主安全保護(hù)級(jí)

C2級(jí)：可控訪問保護(hù)級(jí)

B級(jí)：強(qiáng)制保護(hù)級(jí)

B1級(jí)：標(biāo)記安全保護(hù)級(jí)

B2級(jí)：結(jié)構(gòu)化保護(hù)級(jí)

B3級(jí)：安全區(qū)域保護(hù)級(jí)

A級(jí)：驗(yàn)證保護(hù)

A1級(jí)：驗(yàn)證設(shè)計(jì)級(jí)

A2級(jí)：超A1級(jí)《信息技術(shù)，安全技術(shù)，信息技術(shù)安全性評(píng)估準(zhǔn)則》（簡稱