第 2 章 知识域:网络安全监管
目录
2.1 知识子域:网络安全法律体系建设
2.1.1 计算机犯罪
1.计算机犯罪的概念
2.计算机犯罪的特证
3.计算机犯罪的趋势
2.1.2 我国立法体系
1.立法与职能
2.立法分类
2.1.3 网络安全阀
1.《网络安全法》北京
2.《网络安全法》基本概念
3.《网络安全法》主要内容
2.1.4 网络安全相关法规
1.行政法相关法规
2.民法相关法规
3.刑法相关法规
4.其他网络安全相关法规及条款
2.2 知识子域:国家网络安全政策
2.2.1 国家网络空间安全战略
1.机遇和挑战
2.目标
3.原则
4.任务
2.2.2 网络安全等级保护相关政策
1.计算机系统安全保护等级划分思想提出(1994 - 1999)
2.等级保护工作试点(2002 - 2006)
3.等级保护相关政策文件颁布(2004 - 2009)
4.等级保护相关标准发布(2008 - 2014)
5.《网络安全法》明确我国实行网络安全等级保护制度(2016)
2.3 知识子域:网络安全道德准则
2.3.1 道德约束
1.道德的概念
2.道德和法律
3.道德约束
2.3.2 职业道德准则
1.计算机职业道德准则
2.CISP 职业道德准则
2.4 知识子域:信息安全标准
2.4.1 信息安全标准基础
1.标准和标准化
2.标准化组织
3.我国标准分类
2.4.2 我国信息安全标准
1.基础标准
2.技术与机制
3.管理标准
4.评测标准
2.4.3 网络安全等级保护标准族
1.等级保护标准体系
2.等级保护实施流程
3.等级保护标准发展
(1)多样化
传统计算机犯罪从国际通用的分类而言,可分为以下 3 种类型
针对计算机系统的犯罪行为
利用计算机系统实施犯罪的行为
基于计算机提示性犯罪
(2)复杂化
APT Advanced Persistent Threat
(3)国际化
(1)从无意识犯罪到有组织犯罪
(2)从个体损害向国家威胁发展
(3)跨越计算机本身的实施能力
(4)低龄化称为法律制约的难题
工具的傻瓜化
我国采用多级立法机制
2017 年 6 月 1 日,由全国人民代表大会审议通过并发布了我国第一部信息安全基本法《网络安全法》
《网络安全法》从制定到实施经历了 3 次审议和两次公开征求意见
第一次审议 2015 年 6 月 26 日
第二次审议 2016 年 6 月 28 日
第三次审议 2016 年 10 月 31 日
2016 年 11 月 7 日,《网络安全法》正式发布,2017 年 6 月 1 日实施
(1)网络
(2)网络安全
(3)网络运行安全
(4)网络信息安全
(5)网络运营者
(6)关键信息基础设施
(7)网络数据
(8)个人信息
(1)网络空间主权原则
(2)网络运行安全制度
(3)关键信息基础设施保护制度
关键信息基础设施外延
关键信息基础设施管理机制
关键信息基础设施建设要求
系统建设与安全技术措施遵循同步规划、同步建设、同步使用的原则
关键信息基础设施运营者安全保护义务
人员安全管理
数据境内留存
应急预案机制
安全采购措施
风险评估机制
(4)网路信息保护制度
(5)网络安全等级保护制度
(6)网络安全审查制度
(1)行政处罚的类型
(2)违反网络安全管理相关规定的行政处罚
(3)常见行政处罚
对网络运营者
对关键信息基础设施的运营者
针对黑色产业链
对网信部门和有关部门
对境外的机构、组织、个人
(1)民事责任及其构成
(2)常见民事责任风险
(1)刑事责任及其构成
(2)常见网络安全犯罪
(1)国家安全法
(2)秘密法
国家秘密的密级分为绝密、机密、秘密三级
保密设施、设备应当与涉密信息系统同步规划、同步建设、同步运行(三同步)
(3)电子签名法
(4)饭恐怖主义法
(5)密码法
密码分类管理:核心密码、普通密码、商用密码,核心密码、普通密码可以用于保护国家秘密信息,商用密码用于保护不属于国家秘密的信息
2004 年,公安部、保密局、密码委、信息办联合发文《关于信息安全等级保护工作的实施意见的通知》
该通知将信息和信息系统的安全保护等级划分为五级,自主保护级、指导保护级、监督保护级、强制保护级、专控保护级
2007 年,公安部、保密局、密码委、信息办联合发文《信息安全等级保护管理办法》
(1)美国计算机学会(ACM)职业伦理守则
(2)英国计算机学会(BCS)伦理守则
(3)澳大利亚计算机学会伦理守则
(4)计算机伦理十诫
(1)维护国家、社会和公众的信息安全
自觉维护国家信息安全
自觉维护网络社会安全
自觉 维护公众信息安全
(2)诚实守信、遵纪守法
(3)努力工作,尽职尽责
(4)发展自身,维护荣誉
(1)标准
国际标准
国家标准
行业标准
地方标准
(2)标准化
标准化的基本特点:
标准化对象不是孤立的一件事、一个事物,而是共同的、可重复的事物
标准化的对象可以概括为“物”、“事”、“人”三方面
标准化是一个动态的概念
标准化是一个相对的概念
标准化工作应遵循的原则:
简化
统一
协调
优化
(1)国际信息安全标准化组织
国际标准化组织(ISO)
国际电工委员会(IEC)
国际电信联盟(ITU)
Internet 工程任务组(IETF)
信息安全标准化的分技术委员(SC27)是信息安全领域种最具代表性的国际标准化组织
国际电信联盟(ITU)成立于 1865 年 5 月 17 日
Internet 工程任务组(IETF)创建于 1986 年,其主要任务是负责互联网相关技术规范的研发和制定,目前 IETF 已成为全球互联网界最具权威的大型技术研究组织。工作组分成 8 个领域,分别是 Internet 路由、传输、应用领域等,著名的 IKE 和 IPSec 都在 RFC 系列之中
(2)国家标准化组织
美国国家标准化协会(ANSI)
美国国家标准与技术研究院(NIST)
中国国家标准化管理委员会
中国国家标准化管理委员会(以下简称“国家标准委”)是我国最高级别的国家标准化机构,其下属全国信息安全标准化技术委员会(TC260)负责信息安全相关标准制定及管理
[2004] 1 号文决定:自 2004 年 1 月起,各有关部门在申报信息安全国家标准计划项目时,必须经信息安全标委会提出工作意见,协调一致后由信息安全标委会组织申报
全国信息安全标准化技术委员会设秘书处负责委员会的日常事务工作,秘书处时委员会的常设办事机构,负责委员会的日常事务工作;秘书处设在中国电子技术标准化研究所
强制性标准 GB
推荐性标准 GB/T
国家标准化指导性技术文件 GB/Z
国家标准化指导性技术文件在实施后 3 年内必须进行复审。
复审结果可能时以下结果:
再延长 3 年
转为国家标准
撤销
常见的基础标准分为 6 类
(1)安全术语类
(2)评测基础类
(3)管理基础类
(4)物理安全类
(5)安全模型类
(6)安全体系架构类
(1)密码技术
(2)鉴别机制
(3)授权机制
(4)电子签名
(5)公钥基础设施
(6)通信安全技术
(7)涉密系统通用技术要求
(1)涉密服务
(2)安全控制与服务
(3)网络安全管理
(4)行业/领域安全管理
(1)密码产品
(2)通用产品
(3)安全保密产品
(4)通用系统
(5)涉密信息系统
(6)通信安全
(7)政府安全检查
(8)安全能力评估
(1)安全等级类标准
(2)方法指导类标准
(3)状况分析类标准
(4)基线要求类标准
等级保护实施根据 GB/T 25058-2010《信息安全技术 信息系统安全等级保护实施指南》分为五大阶段:定级、总体规划、设计实施、运行维护和系统终止。但由于再开展等级保护试点工作时,大量信息系统已经建设完成,因此根据实际情况逐步形成了定级、备案、差距分析(也叫差距评测)、建设整改、验收测评、定期复查为流程的等级保护工作流程。
等保测评,三级系统每年至少一次四级系统每半年至少一次
(1)定级
(2)备案
二级以上系统应当到所在地设区的市级以上公安机关办理备案手续
(3)安全建设和整改
(4)信息安全等级测评
信息系统建设完成后,二级以上的信息系统的运营使用单位应当选择符合国家规定的评测机构进行评测,合格方可投入使用