信息安全等级保护
概念
信息安全等级保护,是对信息和信息载体按照重要性等级,分级别进行保护的一种工作。是在中国、美国等很多国家都存在的一种信息安全领域的工作
在中国,信息安全等级保护广义上指:依据等级保护思想开展的安全工作;狭义上一般指信息系统安全等级保护
等级保护和风险管理的关系
风险管理是安全管理的重要组成部分。它包括:风险评估、风险控制以及根据风险评估结果,对信息系统运行的相关事项做出决策
等级保护是基本制度,风险评估是过程,风险管理是目标
我国等级保护
1994年国务院颁布 《中华人民共和国计算机信息系统安全保护条例》
1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。规范《GB17859-1999》
2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发 [2003]27 号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合制定并下发了《信息安全等级保护管理办法》,明确了信息安全等级保护的具体要求
目的是规范信息安全等级保护管理,提高信息安全保障能力和水平。
根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规而制定的管理办法
2017年6月1日正式实施的《中华人民共和国网络安全法》首次将等级保护制度写入了法律条文。
第三章第二十一条规定:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改
法律规定了五条义务
五条义务
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法 律、行政法规规定的其他义务。
我国的信息系统的安全保护等级分为五级:
第一级为自主保护级。由用户来决定如何对资源进行保护,以及采用何种方式进行保护。本级别适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益。
第二级为指导保护级。本级的安全保护机制支持用户具有更强的自主保护能力。特别是具有访问审记能力,创建、维护受保护对象的访问审计跟踪记录,所有和安全相关的操作都能够被记录下来,当系统发生安全问题时,可以根据审记记录,分析追查事故责任人。本级别适用于一般的信息系统,其受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全
三级为监督保护级。具有第二级系统审计保护级的所有功能,并对访问者及其访问对象实施强制访问控制。通过对访问者和访问对象指定不同安全标记,限制访问者的权限。本级别适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成损害。
第四级为强制保护级。将前三级的安全保护能力扩展到所有访问者和访问对象,支持形式化的安全保护策略。本级的安全保护机制能够使信息系统实施一种系统化的安全保护。本级别适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害
第五级为专控保护级。具备第四级的所有功能,还具有仲裁访问者能否访问某些对象的能力。为此,本级的安全保护机制不能被攻击、被篡改,具有极强的抗渗透能力。本级别适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成特别严重损害
2019年5月13日,网络安全等级保护制度国家标准的2.0版本发布
等级保护对象范围在传统系统的基础上,扩大了云计算、移动互联、物联网、大数据等
内涵更加丰富,除进行1.0时代网络定级及备案审核、等级测评、安全建设整改、自查等规定动作外,还增加了测评活动安全管理、网络服务管理、产品服务采购使用管理、技术维护管理、监测预警和信息通报管理、数据和信息安全保护要求、应急处置要求等内容
国外信息安全等级保护
“可信计算机系统评价准则”(TCSEC, 桔皮书)是第一个有关信息技术安全评价的标准,上世纪八十年代美国制定。
1991年,欧共体发布了“信息技术安全评价准则”( ITSEC)
1993年,加拿大发布了“加拿大可信计算机产品评价准则”(CTCPEC)
由6个国家7方(美国国家安全局和国家技术标准研究所、加、英、法、德、荷)共同提出了“信息技术安全评价通用准则CC(The Common Criteria for Information Technology security Evaluation)
TCSEC Trusted Computer System Evaluation Criteria依照安全性从高到低划分为 A,B,C,D四类 ,共七级:D1、C1、C2、B1、B2、B3、A1。
D1级:计算机安全的最低一级,不要求用户进行用户登录和密码保护,任何人都可以使用,整个系统是不可信任的,硬件软件都易被侵袭。
C1级:自主安全保护级,要求硬件有一定的安全级,用户必须通过登录认证方可使用系统,并建立了访问许可权限机制(windows)
C2级:受控访问保护级,比C1级增加了几个特性:引进了受控访问环境,进一步限制了用户执行某些系统指令;授权分级,给用户分组,授予他们访问某些程序和分级目录的权限;采用系统审计国外信息安全等级保护
B1级:标记安全保护级,支持多级安全,对网络、应用程序、工作站实施不同的安全策略;采取强制访问控制,不允许拥有者自己改变所属资源的权限。
B2级:结构化保护级,对网络和计算机系统中所有对象都加以定义,给一个标签;为工作站、终端等设备分配不同的安全级别;按最小特权原则取消权力无限大的特权用户。
B3级:安全域级,要求用户工作站或终端必须通过信任的途径连接到网络系统内部的主机上;采用硬件来保护系统的数据存储区;根据最小特权原则,增加了系统安全员,将系统管理员、系统操作员和系统安全员的职责分离,将人为因素对计算机安全的威胁减至最小
A1级:验证设计级,是计算机安全级中最高一级,本级包括了以上各级别的所有措施,并附加了一个安全系统的受监视设计,所有构成系统的部件的来源都必须有安全保证;
只有一些特殊系统能达到这一级的要求
信息安全法律法规
计算机犯罪
随着网络技术越来越广泛的渗透到社会的各个领域,国民经济和社会发展对网络技术的依赖程度越来越强
网络的普及程度越来越高,计算机犯罪的危害也就越大。计算机犯罪不仅会造成企业或个人的财产损失,还可能危及公共安全和国家安全
刑法
1997年新刑法发布,其中和计算机相关的法律条文,是第285~287条
随着计算机技术的发展和新的犯罪手段的出现,2009年刑法修正案对上述条款进行了进一步的修订,使得刑法涉及的犯罪内容更加具体,实用性更强
2013年,针对办理利用信息网络实施诽谤,寻衅滋事,敲诈勒索,经营等刑事案件适用法律的若干问题进行解释,对刑法第246条有关计算机犯罪做了明确的表述.
第285条特指非法入侵计算机系统罪,非法获取计算机信息系统数据,控制计算机信息系统罪
计算机犯罪的手段和方法,会随着技术的发展而不断变化,所以相关的法律规定,必须也要与时俱进
信息安全相关法律法规
《中华人民共和国网络安全法》
全国人大常委员会2016年11月7日发布,自2017年6月1日起施行。
为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定的法律。
网络安全法
是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑
网络安全法的发布得到了社会各界的广泛关注,其中有六大亮点成为了关注的焦点
第1个亮点是,不得出售个人信息.近些年,公民个人信息的泄露,收集,转卖,已经形成了完整的黑色产业链
为了更加有效的保护公民个人信息,网络安全法当中做出了专门的规定,并且规定了相应的法律责任网络产品服务,具有收集用户信息功能的,其提供者应该向用户明示并且取得同意。网络运营者不得泄露篡改损毁其收集的个人信息,任何个人和组织不得窃取,或者以其他 非法方式获得个人信息,不得非法出售或者,非法向他人提供个人信息
第2个亮点是严厉打击网络诈骗
除了严防个人信息的泄露,网络安全法针对层出不穷的新型的网络诈骗犯罪,还做出了相应的规定
任何个人和组织不得设立用于实施诈骗,传授犯罪方法,制作或销售违禁物品,管制物品等违法犯罪活动的网站和通信群组。不得利用网络发布、实施诈骗,制作或者销售违禁物品,管制物品 ,以及其他违法犯罪活动的信息
第3个亮点是以法律形式明确了网络实名制
网络运营者,为用户办理网络接入,域名注册服务,办理固定电话,移动电话入网手续,或者为用户提供信息发布,及时通信服务,应当要求用户提供真实身份信息
用户不提供真实身份信息的网络运营者不得为其提供相应服务
第4个亮点是重点保护关键信息基础设施
网络安全法专门单列一节,对关键信息基础设施的运行安全进行了明确规定。指出,国家对公共通信,信息服务,能源,交通,水利,金融,公共服务,电子政务等重要行业和领域的关键信息基础设施,实行重点保护
保护国家关键信息基础设施是国际惯例,以法律的形式给予明确和强调,是非常及时和必要的
第5个亮点是,惩治攻击破坏我国关键信息基础设施的境外组织和个人
网络安全法规定,或组织从事攻击入侵干扰破坏,等危害我国关键信息基础设施活动的,造成严重后果的,依法追究法律责任
公安部门和有关部门可以决定对该个人或者是组织采取冻结财产,或者其他必要的制裁措施
第6个亮点是,重大突发事件可以采取网络通信管制
现实社会中出现重大突发事件,为了确保应急处置,维护国家和公共安全,有关部门往往会采取交通管制等措施,网络空间也不例外
网络安全法中特别规定,因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,国务院决定或批准,需在特定区域对网络 通信采取限制等临时措施
信息安全相关法律法规
《中华人民共和国密码法》受到广泛关注
2019年7月,第十三届全国人大常委会第十一次会议对《中华人民共和国密码法(草案)》进行了审议
2019年10月26日,十三届全国人大常委会第十四次会议表决通过《中华人民共和国密码法》。于2020年1月1日起施行。
密码法是我国密码领域的第一部法律,是党的十九大以、来出台的维护国家安全的又一部重要法律。
密码法
密码工作是党和国家的一项特殊重要事业,在党领导我国革命、建设、改革的各个历史时期,都发挥了不可替代的重要作用。
随着新技术的发展,新形势下,密码工作面临许多新的机遇和挑战,担负着更加繁重的保障和管理任务
制定和实施密码法,全面提升密码工作法治化和现代化水平,更好发挥密码在维护国家安全、促进经济社会发展、保护人民群众利益方面的重要作用,具有十分重要的意义
信息安全相关法律法规
网络信息安全等级保护制度
信息安全等级保护管理办法
互联网信息服务管理办法
中华人民共和国电信条例
中华人民共和国计算机信息系统安全保护条例
中华人民共和国电子签名法
1 以下信息安全等级保护说法不正确的是
A.1999年9月13日我国发布《计算机信息系统安全保护等级划分准则》
B.信息安全等级保护,是对信息和信息载体按照重要性等级,分级别进行保护的一种工作。
C.信息安全等级保护,是在中国、美国等很多国家都存在的一种信息安全领域的工作。
D.1999年6月1日正式实施的《中华人民共和国网络安全法》首次将等级保护制度写入了法律条文 √
2 关于我国的信息系统的安全保护等级,说法不正确的是
A.第一级为自主保护级。由用户来决定如何对资源进行保护,以及采用何种方式进行保护。
B.第二级为指导保护级。本级的安全保护机制支持用户具有更强的自主保护能力。
C.第三级为监督保护级。具有第二级系统审计保护级的所有功能,并对访问者及其访问对象实施强制访问控制。
D.第四级为为专控保护级,也是所有等级中的最高级。本级的安全保护机制能够使信息系统实施一种系统化的安全保护。 √
3 以下哪项不是我国信息安全相关法律法规
A.信息安全等级保护管理办法
B.中华人民共和国计算机信息系统安全保护条例
C.中华人民共和国电子签名法
D.中华人民共和国外商投资法 √
4以下关于《中华人民共和国密码法》(以下简称密码法)的描述不正确的是
A.2019年10月26日,十三届全国人大常委会第十四次会议表决通过《中华人民共和国密码法》。
B.密码法是我国密码领域的第一部法律,于2000年1月1日起施行。 √
C.我国制定和实施密码法有利于更好发挥密码在维护国家安全、促进经济社会发展、保护人民群众利益方面的重要作用,具有十分重要的意义。
D.我国制定和实施密码法有利于全面提升密码工作法治化和现代化水平。
5根据《中华人民共和国网络安全法》,以下描述不正确的是
A.网络运营者为用户提供信息发布服务应当要求用户提供真实身份信息
B.网络运营者为用户提供及时通信服务禁止要求用户提供真实身份信息 √
C.网络运营者为用户办理移动电话入网手续应当要求用户提供真实身份信息
D.网络运营者为用户提供网络接入服务应当要求用户提供真实身份信息
