信息安全工程师----五天修炼（第二章安全法规和标准）

第二章安全法规和标准

信息安全法律法规

我国信息安全的法律体系可分为4个层面：

一般性法律规定
规范和惩罚信息网络犯罪的法律
针对信息安全的特别规定
具体规范信息安全技术，信息安全管理等方面的法律法规。

安全法规

计算机犯罪定义为以计算机资产(包括硬件资产，计算机信息系统及其服务) 为犯罪对象的具有严重社会危害性的行为。
计算机犯罪的本质是信息犯罪。

计算机犯罪分类可分为六类：

窃取和破坏计算机资产
未经批准使用计算机信息系统资源
未批准或超越权限接受计算机服务
篡改或窃取计算机中保存的信息或文件
计算机信息系统装入欺骗性数据和记录
窃取或诈骗系统中的电子钱财

计算机犯罪的特征：

隐秘性强
高智能型
破坏性强
无传统犯罪现场
侦查和取证困难

刑法对计算机犯罪的规定：

刑法第285条：非法侵入计算机信息系统罪，国家事务、国防建设、尖端科技，三年以下尤其徒刑或者拘役。

刑法286条：破坏计算机信息系统罪，系统功能和数据及病毒传播，后果严重的，处5年以下尤其徒刑或拘役；特别验证的，5年以上。

刑法287条：利用计算机实施的各类犯罪，金融诈骗、盗窃、贪污、挪用公款、窃密，有关规定定罪处罚。

中华人民共和国网络安全法由全国人民代表大会常务委员会于2016年11月7日发布，自2017年6月1日起施行。

《中华人民共和国网络安全法》第八条规定，国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。县级以上地方人民政府有关部门的网络安全保护和监督管理职责，按照国家有关规定确定。

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；
（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；
（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；
（四）采取数据分类、重要数据备份和加密等措施；
（五）法律、行政法规规定的其他义务。

关键信息基础设施的运营者应当履行下列安全保护义务：
（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；
（二）定期对从业人员进行网络安全教育、技术培训和技能考核；
（三）对重要系统和数据库进行容灾备份；
（四）制定网络安全事件应急预案，并定期进行演练；
（五）法律、行政法规规定的其他义务。

第四十七条 网络运营者应当加强对其用户发布的信息的管理，发现法律，行政法规禁止发布或者传输信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告

第五十一条国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。

第五十八条 因维护国家安全和社会公共秩序，处置重大突发社会安全事件的需要，经国务院决定或者批准，可以在特定区域对网络通信采取限制等临时措施。

1994年2月18日中华人民共和国国务院第147号发布了《中华人民共和国计算机信息系统安全保护条例》

第七条 信息系统的安全保护等级分为以下五级：

第一级：信息系统受到破坏后，会对公民，法人和其他组织的合法权益造成损害，但不损害国家安全，社会秩序和公共利益。
第二级：信息系统受到破坏后，会对公民，法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。
第三级：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。
第四级：信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。
第五级：信息系统受到破坏后，会对国家安全造成特别严重损害

《信息安全等级保护管理办法》明确规定，在信息系统建设过程中，运营，使用单位应当按照《计算机信息系统安全保护等级划分准则》

GB17859-1999标准规定了计算机系统安全保护能力的五个等级

第一级：用户自主保护级，通过隔离用户与数据，使用户具备自主安全保护的能力。
第二级：系统审计保护级，通过登录规程，审计安全性相关事件和隔离资源，使用户对自己的行为负责
第三级：安全标记保护级，具有系统审计保护级所有功能，还提供有关安全策略模型，数据标记以及主体对客体强制性访问控制的非形式化描述，具有准确地标记输出信息的能力，消除通过测试发现的任何错误
第四级：结构化保护级，要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外，还要考虑隐蔽通道。
第五级：访问验证保护级，满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。

涉密信息系统安全分级保护

涉密信息系统安全分级保护可以划分为秘密级，机密级和机密级（增强），绝密级三个等级

秘密级：不低于国家信息安全等级保护三级的要求
机密级：不低于国家信息安全等级保护四级的要求
绝密级：信息系统中包含有最高为绝密级的国家秘密，不低于国家信息安安等级保护五级的要求。

属于下列情况之一的机密级信息系统应选择机密级（增强）的要求
副省级以上的党政首脑机关，以及国防，外交，国家安全，军工等要害部门。
机密级信息含量较高或数量较多。
使用单位对信息系统的依赖程度较高。

涉密信息系统分级保护的管理过程分为八个阶段

系统定级阶段
安全规划方案设计阶段
安全工程实施阶段
信息系统测评阶段
系统审批阶段
安全运行及维护阶段
定期评测与检查阶段和系统隐退终止阶段等。

涉密信息系统定级遵循“谁建设，谁定级”的原则

隔离技术
目前国内外的趋势都是用网络隔离这个概念来代替物理隔离或安全隔离等
隔离技术

第一代隔离技术：完全地隔离
第二代隔离技术：硬件卡隔离
第三代隔离技术：数据传播隔离
第四代隔离技术：空气开关隔离
第五代隔离技术：安全通道隔离

知识产权包括著作权（也称版权），工业产权（包括专利权和商标权），技术秘密和商业秘密。

信息安全标准

常见的标准代号如下：
强制性标准：由法律规定必须遵照执行的标准代号，强制性标准代号：GB
推荐性标准：非强制性标准代号：GB/T
指导性标准代号：GB/Z
实物标准代号：GSB

.BS7799标准是英国标准协会（Birtishu Standards Institution,BSI）制定的信息安全管理体系标准。

可信计算机系统评估准则TCSEC，俗称橘皮书，是美国国防部在1985年发表的一份技术文件，制定该准则的目的是向制造商提供一种制造标准，同时向用户提供一种验证标准。

TCSEC将系统分为A,B,C,D四类：
D级：最小保护级；
C级：自主保护级
C1级：自主安全保护级
C2级：可控访问保护级
B级：强制保护级
B1级：标记安全保护级
B2级：结构化保护级
B3级：安全区域保护级
A级：验证保护
A1级：验证设计级
A2级：超A1级

《信息技术，安全技术，信息技术安全性评估准则》（简称CC）相当于最后的集大成者，是目前国际上最通行的信息技术产品及系统安全性评估准则，也是信息技术安全性评估结果国际互认的基础。

CC标准分为3个部分：

第1部分：简介和一般模型
第2部分：安全功能要求
第3部分：安全保证要求