《第16章国家信息安全管理》由会员分享,可在线阅读,更多相关《第16章国家信息安全管理(118页珍藏版)》请在金锄头文库上搜索。
1、第16章 国家信息安全管理,16.1 信息安全法规与标准简介 16.2 网络信任体系建设与诚信管理 16.3 网络安全文化建设与网站监控 思考题 实验16 网页抓取与网络监控,内容导读 国家层面的信息安全管理机构和组织主要致力于信息安全战略、信息安全政策及法律法规、信息安全标准与认证、信息安全治理、信息安全国际合作等方面的规划与实施。,“推进信息安全等级保护等基础性工作,指导监督政府部门、重点行业的重要信息系统与基础信息网络的安全保障工作,加强信息安全的立法,加快形成法律规范、行政监管、行业自律、技术保障、公众监督、社会教育相结合的互联网管理体系”是一段时期内国家信息安全管理工作的主要任务。,
2、我国信息安全法规主要涉及信息系统安全保护、国际联网管理、商用密码管理、计算机病毒防治和安全产品检测与销售五个方面。所有这些法律和规章奠定了中国加强信息网络安全保护和打击网络违法犯罪活动的法律基础。1999年9月发布的GB 178591999计算机信息系统安全保护等级划分准则是我国计算机信息系统安全等级管理的重要标准。,网络信任体系建设与诚信管理的重要性在国办发200611号文件和2009的诚信管理条例中均有体现。只有在现实空间和虚拟空间中均形成人人以诚信为荣、以失信为耻的个人行动评价体系和价值观,形成完善的社会信任外部保障制度和信任建立机制,我们的社会才能更为和谐、有序和充满活力。网络信任体系
3、的建设一方面应充分借鉴社会信任体系的建设成果,另一方面应在整个社会信任体系建设框架下进行统一、科学的规划和建设。,加强和改进网络文化建设和管理,加强网上舆论引导是2011年10月25日通过的中共中央关于深化文化体制改革推动社会主义文化大发展大繁荣若干重大问题的决定的重要要求。,16.1 信息安全法规与标准简介 16.1.1 信息安全法律与法规 法是由国家制定或认可,并由国家强制力保证实施的,反映统治阶级意志的规范体系。信息安全是国家安全的基石,信息安全的立法应该上升到国家和民族利益的高度,作为一项基本国策加以重视。,世界各国都非常重视信息安全的立法工作。美国从最初规范网络传播色情内容开始,逐步
4、发展到政务安全、邮件、隐私、犯罪、电子商务、反恐等方面,已形成一整套较为完善的法规体系。,自20世纪90年代起,我国有关信息安全的法律法规相继出台。这些法规主要涉及到信息系统安全保护、国际联网管理、商用密码管理、计算机病毒防治和安全产品检测与销售五个方面。所有这些法律和规章奠定了我国加强信息网络安全保护和打击网络违法犯罪活动的法律基础。,信息安全保护法是命令性、禁止性、强制性规范。命令性和禁止性规范要求法律关系主体应当从事一定行为的规范,即规定必须为一定行为的规范。它规定的行为规则的内容是确定的,不允许主体一方或双方任意改变或违反,具有强制性。如果不履行,就要受到一定的法律制裁。,我国信息网络
5、安全立法体系框架分为法律、行政法规、地方性法规和规章以及规范性文件四个层面。,法律是指由全国人民代表大会及其常委会通过的法律规范。我国与信息网络安全相关的主要法律有:宪法、刑法、刑事诉讼法、保守国家秘密法、行政诉讼法、国家赔偿法、全国人大常委会关于维护互联网安全的决定、人民警察法、治安管理处罚条例、国家安全法、行政处罚法、行政复议法、立法法。,行政法规是指国务院为执行宪法和法律而制定的法律规范。与信息网络安全有关的行政法规主要有:国务院令147号中华人民共和国计算机信息系统安全保护条例、国务院令195号中华人民共和国计算机信息网络国际联网管理暂行规定、公安部令33号计算机信息网络国际联网安全保
6、护管理办法等。,规章是指国务院各部、委根据法律和国务院行政法规,在本部门权限范围内制定的法律规范,以及省、自治区、直辖市和较大市的人民政府根据法律、行政法规和本省、自治区、直辖市的地方性法规制定的法律规范。例如,国家广播电影电视总局制定的关于加强通过信息网络向公众传播广播电影电视类节目管理的通告等。,计算机犯罪是指通过非法(未经授权使用)或合法(计算机使用权人)利用计算机和网络系统,采取具有计算机运行特点的手段,侵害了计算机和网络系统的安全运行状态,或者违反计算机或网络安全管理规定,给计算机或网络安全造成重大损失或给社会带来了严重的危害,违反了刑事法律,依法应受刑事处罚的行为。,中华人民共和国
7、刑法第二百八十五条规定:违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。 第二百八十六条规定:违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑。,违反国家规定,对计算机信息系统中存储、处理或者传播的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款处罚。 故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第二百八十五条之规定处罚。,第二百八十七条规定:利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依
8、照本法有关规定定罪处罚。,在计算机犯罪的民事责任方面,我国刑事诉讼法第七十七条规定,被害人(指受到犯罪行为直接侵害的人)由于被告人的犯罪行为而遭受物质损失的,有权提起附带民事诉讼。最高人民法院关于执行若干问题的解释中将有权提起附带民事诉讼的人具体规定为被害人(公民、法人和其他组织)、已死亡被害人的近亲属、无行为能力或者限制行为能力被害人的法定代理人。,我国信息安全保护法律规范体现了如下的立法基本原则: (1) 谁主管、谁负责的原则; (2) 突出重点的原则; (3) 预防为主的原则; (4) 安全审计的原则; (5) 风险管理的原则。,(1) 谁主管、谁负责的原则。 中华人民共和国互联网上网服
9、务营业场所管理条例第四条规定:县级以上人民政府文化行政部门负责互联网上网服务营业场所经营单位的设立审批,并负责对依法设立的互联网上网服务营业场所经营单位经营活动的监督管理;公安机关负责对互联网上网服务营业场所经营单位的信息网络安全、治安及消防安全的监督管理;,工商行政管理部门负责对互联网上网服务营业场所经营单位登记注册和营业执照的管理,并依法查处无照经营活动;电信管理等其他有关部门在各自职责范围内,依照本条例和有关法律、行政法规的规定,对互联网上网服务营业场所经营单位分别实施相关监督管理。,(2) 突出重点的原则。 中华人民共和国计算机信息系统安全保护条例第四条规定: 计算机信息系统的安全保护
10、工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。,(3) 预防为主的原则。 计算机病毒防治管理办法第十一条规定:计算机信息系统的使用单位在计算机病毒防治工作中应当履行下列职责: 建立本单位的计算机病毒防治管理制度; 采取计算机病毒安全技术防治措施;, 对本单位计算机信息系统使用人员进行计算机病毒防治教育和培训; 及时检测、清除计算机信息系统中的计算机病毒,并备有检测、清除的记录; 使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品。,16.1.2 信息安全标准 为在一定的范围内获得最佳秩序,对实际的或潜在的问题制定共同的和重复使用的规则的
11、活动,称为标准化。它包括制定、发布及实施标准的过程。标准化的重要意义是改进产品、过程和服务的适用性,防止贸易壁垒,促进技术合作。 标准化是一项综合性的基础工作,是制定技术法规的基础,对发展国民经济和科学技术、提高工农业产品和工程建设的质量、扩大对外经济和技术交流、提高社会经济效益都有重要作用。,按照标准化对象,通常把标准分为技术标准、管理标准和工作标准三大类。信息安全标准可分为互操作标准、技术与工程标准和信息安全管理标准。,国际上信息安全标准化工作兴起于20世纪70年代中期,80年代有了较快的发展,90年代引起了世界各国的普遍关注。目前世界上有近300个国际和区域性组织制定标准或技术规则,与信
12、息安全标准化有关的组织主要有ISO(国际标准化组织)、IEC(国际电工委员会)、ITU(国际电信联盟)和IETF(Internet工程任务组)。,ISO/IEC 27000系列标准是国际上具有代表性的信息安全管理体系标准。许多国家的政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司已采用了此标准对自己的信息安全进行系统的管理。,国内的安全标准组织主要有信息技术安全标准化技术委员会(CITS)以及中国通信标准化协会(CCSA)下辖的网络与信息安全技术工作委员会。 我国从保密技术、难度、标准的特点出发,将信息安全保密标准分为三级: 一级:国家标准; 二级:国家军队标准; 三级:国家
13、保密标准。,上述三级中,在技术要求上国家保密标准最高,比国家标准和军队标准更严格,在测试方法上更贴近现代测试技术。,国内信息技术安全标准的制定工作是从20世纪80年代中期开始的。1999年9月发布的GB 178591999计算机信息系统安全保护等级划分准则是我国计算机信息系统安全等级管理的重要标准,为推进安全登记管理工作的稳健迅速发展,我国已经或正在着手制定一系列相关的配套标准。其中包括:,(1) 计算机信息系统安全等级保护技术要求系列标准; (2) 计算机信息系统安全等级保护评测系列标准; (3) 计算机信息系统安全等级保护管理要求; (4) 计算机信息系统安全等级保护工程实施要求; (5)
14、 计算机信息系统安全等级保护实施管理办法。,网络环境下研究信任管理的动因可以归纳为如下两个方面: 分析我们在现实世界中传统的、用来建立信任关系所依赖的相关信息,并在互联网中找到充足的相应的替代品;在不同的应用环境中找出产生信任的新的相关信息元素; 充分利用IT和互联网,建立和收集这些相关信息,然后对采集的信息进行加工处理,最后给出被信任者的信任等级或信任度,以便信任决策和改善信任环境。,16.2 网络信任体系建设与诚信管理,安全和信任是互为基础互相依赖的。安全是通过建立安全环境、安全网络和安全通信来保障所计算事件的可信性来提供对信任的支持;反过来,信任的建立也可以在某种程度上帮助避免安全风险。
15、,信任机制可以看成是一种软的安全机制。一般来说,安全机制的目的是提供一种对恶意实体的防护措施,但是,在很多情况下我们需要保护自己免受恶意资源信息的侵扰。信息提供者可能提供错误的或具有误导性的信息,传统的安全机制往往无法防御这种威胁,而信任系统可以进行防御。,16.2.1 信任与网络信任的概念界定 信任是一种社会现象,在计算机学者开始研究这个问题之前,它一直是心理学、社会学和管理学领域的研究对象,虽然信任的重要性在信息科学领域获得了广泛的认可,但其含义却是相当复杂的。到目前为止,这一概念在计算机与信息科学领域尚没有一个统一的、一致的定义,研究人员往往根据它在具体的应用场合下的不同表现形式来进行不
16、同的定义。在信息科学领域中,几个公认较好的信任定义如下:,定义1:如果一个实体A面临和两个选择,其中选择可导致收益(Va+),选择可导致损失(Va-),并且A知道(Va+)和(Va-)的出现依附于另外一个实体B。如果A在这种情况下做出了选择,我们就认为A做了一个信任决定,如果A两个都不选,我们就说A做了一个不信任决定。,上述定义说明,信任是一个实体对另外一个实体在某一方面的主观度量,信任与否依赖于收益,而且随实体对(Va+)和(Va-)估计的不同而不同。,定义2:信任是一个实体A期望另一个实体B完成一个特殊活动的主观概率,实体B所完成的特殊活动对A的收益有影响。 这一定义突出反映了信任实体之所以被信任,是因为被信任实体具有较高的可靠性。但后来有人发现具有较高的可靠性并不足以构成信任关系。,定义3(决策性信任):信任是指在给定环境下,一个实体在感觉相对安全的情况下,对一件事情或另外一个实体愿意依赖的程度,即使这种依赖可能招致负面影响。 上述定义尽管非常模糊,但很多学者认为该定义更具有一般性,它不仅包含了信任本身应该包含的依赖、可靠、正面效应和负面效应,而且也包含了信任者对待信任风
