4-信息安全等级保护法律法规

信息安全等级保护制度信息安全等级保护法律法规2011年3月提纲前言一、信息安全等级保护的制度体系二、信息安全等级保护的工作要求三、信息安全等级保护的支撑条件四、信息安全等级保护接着做什么前言—什么是等保《信息安全等级保护管理办法》指出信息安全等级保护是以信息为核心的、根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度；针对信息的保密性、完整性和可用性要求及信息系统必须达到的基本的安全保护水平等因素，对最核心的信息和信息系统划分为五个安全保护和监管等级，实行分级保护。实施信息安全等级保护，可以有效地提高我国信息安全建设的整体水平，有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调；有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督；有利于明确国家、法人和其他组织、公民的安全责任，强化政府监管职能，共同落实各项安全建设和安全管理措施；有利于提高安全保护的科学性、整体性、针对性，推动信息安全产业水平，逐步探索一条适应社会主义市场经济发展的信息安全发展模式。前言——为什么实行等保前言——为什么实行等保•每月新增计算机病毒几千种。•我省是国内僵尸网络控制端服务器和被控服务器最多的省份（连续多月排名全国第一），2010年2月共有60多个IP地址被作为控制端服务器，占全国21%，6000多个IP对应的主机被作为客户端，占全国11%。前言——为什么实行等保英国国家医疗服务系统和10多家政府网站被入侵并植入病毒，登录这些网站的用户都可能感染病毒并导致个人信息泄露。前言——为什么实行等保2009年，广州市破获省人事厅网站被入侵案，带破福建省建设信息网等10多起黑客入侵案件。该案中，朱某入侵修改政府网站，添加虚假证书查询连接或将虚拟证书信息添加入网站数据库。前言——为什么实行等保2009年5月19号晚上，4名黑客利用多台中了木马的电脑向DNSPod进行狂轰滥炸，，导致江苏、安徽、广西、海南、甘肃、浙江六省网民从当天晚上9点50分开始几乎在同一时间感到网络反应变慢，并在随后长达三个多小时的时间内无法访问网络，直到次日凌晨1点20分，受影响地区的互联网服务才基本恢复正常。519事件也因此成为近年来我国规模较大的一次互联网断网事故。前言——为什么实行等保黑客入侵了美国某银行在某商店的自动提款机网络，盗取客户识别码，继而使用空白卡从自动提款机提取现金。前言——为什么实行等保2010年3月2日，西班牙警方破获全球最大黑客犯罪团伙。该团伙利用木马程序，控制全球190国的1300万台电脑，窃取信用卡密码、个人资料等数据，受入侵电脑包括家庭、政府、学校和1000家大型企亚，40多家重要银行机构受影响。案例近期一种名为“震网”（Stuxnet）的蠕虫病毒感染全球有超过4.5万个网络受到，伊朗、印尼、印度、美国等均有发生，其中伊朗布什尔核电站因此而推迟发电。据称，该病毒系当前首例专门针对工业控制系统编写的破坏性程序，也被称为“超级工厂病毒”，目前监测发现该病毒已开始在我国互联网上传播。案例即使是相对封闭的工业控制系统也无法以善其身•为掌握我国信息网络安全和计算机病毒疫情现状，宣传信息网络安全知识，提高广大用户网络安全防范意识，公安部网络安全保卫局定于11月20日至12月20日组织开展2010年全国信息网络安全状况和计算机病毒疫情调查活动。•本次调查活动由公安部网络安全保卫局主办，各省区市公安厅、局网络安全保卫部门、国家计算机病毒应急处理中心、国家反计算机入侵和防病毒研究中心以及新浪网站承办，国内主要计算机病毒防治厂商提供技术支持，重点调查我国互联网接入服务单位、互联网数据中心、大型互联网站、重点联网单位、计算机、移动终端用户2010年以来发生网络安全事件状况以及感染计算机病毒状况。数据交换中如随意使用移动存储设备，没有严格执行安全隔离要求，则可能被感染。专用网络难以及时获取安全补丁,安全软件升级滞后。案例2010年重大安全事件回顾及分析•事件一：维基解密•2010年7月25日，“维基解密”通过英国《卫报》、德国《明镜》和美国《纽约时报》公布了92000份美军有关阿富汗战争的军事机密文件。10月23日，“维基解密”公布了391,832份美军关于伊拉克战争的机密文件。11月28日，维基解密网站泄露了25万份美国驻外使馆发给美国国务院的秘密文传电报。“维基解密”是美国乃至世界历史上最大规模的一次泄密事件，其波及范围之广，涉及文件之众，均史无前例。该事件引起了世界各国政府对信息安全工作的重视和反思。据美国有线电视新闻网12月13日报道，为防止军事机密泄露，美国军方已下令禁止全军使用USB存储器、CD光盘等移动存储介质。案例2010年重大安全事件回顾及分析•事件二：震网病毒•震网病毒（Stuxnet），是世界上首个以直接破坏现实世界中工业基础设施为目标的蠕虫病毒，被称为网络“超级武器”。震网病毒于2010年7月开始爆发，截至2010年9月底，包括中国、印度、俄罗斯在内的许多国家都发现了这个病毒。据统计，目前全球已有约45000个网络被该病毒感染，其中60%的受害主机位于伊朗境内，并已造成伊朗核电站推迟发电。目前我国也有近500万网民、以及多个行业的领军企业遭此病毒攻击。•事件三：3Q之争•2010年9月，奇虎公司针对腾讯公司的QQ聊天软件，发布了“360隐私保护器”和“360扣扣保镖”两款网络安全软件，并称其可以保护QQ用户的隐私和网络安全。腾讯公司认为奇虎360的这一做法严重危害了腾讯的商业利益，并称“360扣扣保镖”是“外挂”行为。随后，腾讯公司在11月3日宣布将停止对装有360软件的电脑提供QQ服务。由此引发了“360QQ大战”，同时引起了360软件与其它公司类似产品的一系列纷争，最终演变成为了互联网行业中的一场混战。最终3Q之争在国家相关部门的强力干预下得以平息，扣扣保镖被召回，QQ与360恢复兼容。但此次事件对广大终端用户造成的恶劣影响和侵害，并由此引发的公众对于终端安全和隐私保护的困惑和忧虑却远没有消除。案例上述三个安全事件均发自于终端，可见终端安全已经成为世界范围内的突出问题，在各国精心构建的信息安全防御体系中，终端安全仍是一个薄弱环节。美国政府历来以防御严密、技术先进著称，尚且发生了维基解密事件，我国在核心技术依赖于国外的情况下，面临的严峻的信息安全形势可想而知，发达国家要使我们的网络信息系统瘫痪或盗窃我们的渉密信息易如反掌。因此，信息安全建设必须走自主之路，而3Q之争又暴露出国内安全厂商和安全产业发展存在的诸多问题，我们的安全意识、技术和管理水平都亟待提高。如何真正提高终端安全性，可以得到如下启示：案例•（1）要建立可控的信息交换机制。不同等级网络之间进行数据交换的需求是客观存在的，禁止一切数据交换只会导致“地下”数据交换，专用U盘、刻光盘，物理隔离都存在安全风险和漏洞。强行“封堵”不如合理“疏导”，建立集中的数据交换渠道，并对交换过程进行全程监控和审计，切实落实信息使用和管理的相关责任，才能确保数据安全。•（2）攻击和窃密是终端安全的外部原因，计算机系统存在缺陷或漏洞、系统配置不当是终端安全的内部原因。外因通过内因起作用，内因是决定因素，通过实施终端安全核心配置，对操作系统等系统软件和常用软件进行安全配置，提高系统自身安全性，减少系统安全漏洞，降低对第三方工具技术的依赖，真正提高终端安全防护的自主性。•（3）国家应尽快建立政府终端安全保障基础设施，形成从中央到地方多级部署，覆盖全国各级政府部门的终端安全管理应用支撑环境，实现对全国政务终端的统一安全管理和安全状态监测，掌握终端安全态势，提高运行管理效率，保障国家信息安全。•（4）国家应加强对信息安全市场的监督管理，尽快出台有关信息安全、软件行为、信息采集及隐私保护方面的法律法规，规范商业竞争，维护广大用户的合法权益，促进国内安全厂商和信息安全产业的良性发展。（来源：国家信息中心李新友刘蓓蔡军霞许涛刘帅）前言——为什么实行等保制度要求——法律法规一、信息安全等级保护的制度体系法规•行政法规——《中华人民共和国计算机信息系统安全保护条例》1997年国务院行政法规，规定计算机信息系统实行安全等级保护。•地方法规——《广东省计算机信息系统安全保护条例》2007年广东地方法规，系统规定了等级保护，并设置了法律责任一、信息安全等级保护的制度体系规范性文件•国家——《关于信息安全等级保护工作的实施意见》2004年公安部、保密局、密码委、信息办联合发文，初步规定了信息安全等级保护工作的指导思想、原则、要求《信息安全等级保护管理办法》2007年公安部、保密局、密码委、信息办联合发文，系统规定了信息安全等级保护制度一、信息安全等级保护的制度体系《公安机关信息安全等级保护检查工作规范（试行）》公安部十一局2008年颁发，规范监督检查工作的具体要求。《信息安全等级保护备案工作实施细则》公安部十一局2008年颁发一、信息安全等级保护的制度体系规范性文件•地方——《广东省公安厅关于计算机信息系统安全保护的实施办法》2008年广东省公安厅（经省政府法制办审查通过）发布《关于贯彻广东省计算机信息系统安全保护条例和广东省公安厅关于计算机信息系统安全保护的实施办法的通知》2008年广东省公安厅网警总队印发《广东省信息安全等级保护备案工作实施细则（试行）》2008年广东省公安厅网警总队印发标准•系统定级–《信息系统安全保护等级定级指南》（国家推荐性标准）•安全保护–《信息系统安全等级保护基本要求》（国家推荐性标准）–《信息系统安全等级保护实施指南》–《信息系统安全等级保护安全设计技术要求》•检测评估–《信息系统安全等级保护基本要求》–《信息系统安全等级保护测评要求》•监督检查–《信息系统安全等级保护监督检查要求》一、信息安全等级保护的制度体系标准•《计算机信息系统安全保护等级划分准则》（GB17859-1999）•《信息安全技术网络基础安全技术要求》•《信息安全技术信息系统通用安全技术要求》•《信息安全技术操作系统安全技术要求》•《信息安全技术数据库管理系统安全技术要求》•《信息安全技术服务器技术要求》•《信息安全技术终端计算机系统安全等级技术要求》一、信息安全等级保护的制度体系原则来源：《关于信息安全等级保护工作的实施意见》信息安全等级保护制度遵循以下基本原则：一是明确责任，共同保护二是依照标准，自行保护三是同步建设，动态调整四是指导监督，保护重点二、信息安全等级保护的工作要求•明确责任，共同保护通过等级保护，组织和动员职能部门、法人和其他组织、公民共同参与信息安全保护工作；各方主体按照规范和标准分别承担相应的、明确具体的信息安全保护责任。二、信息安全等级保护的工作要求•依照标准，自行保护国家运用强制性的规范及标准，要求信息和信息系统按照相应的建设和管理要求，自行定级、自行保护。二、信息安全等级保护的工作要求•同步建设，动态调整。信息系统在新建、改建、扩建时应当同步建设信息安全设施，保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级。等级保护的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订。二、信息安全等级保护的工作要求•指导监督，重点保护国家指定信息安全监管职能部门通过备案、指导、检查、督促整改等方式，对重要信息和信息系统的信息安全保护工作进行指导监督。二、信息安全等级保护的工作要求主要内容来源：《信息安全等级保护管理办法》国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。二、信息安全等级保护的工作要求职责分工公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。