《信息安全管理与法律法规.ppt》由会员分享,可在线阅读,更多相关《信息安全管理与法律法规.ppt(74页珍藏版)》请在三一文库上搜索。
1、1,信息安全管理与法律法规 复习 2012,管理制度篇,信息安全概念,安全 没有危险、不受威胁、不出事故。 安全理念 以风险大小来划分安全与否 没有绝对的安全和零风险 风险可接受即可视为安全 风险大小与安全投入的平衡 信息安全木桶原理 短板理论,系统的安全性取决于系统的最薄弱环节,加强其安全,才能提高整体安全性。,“信息安全”问题 “信息系统”安全问题 信息不安全引发的其他安全问题 信息系统安全的保护目标与所属组织的安全利益是完全一致的,具体体现为对信息的保护、对系统的保护和对信息使用的监管。,广义的信息安全,信息安全属性,信息安全属性 保密性Confidentiality 完整性Integr
2、ity 可用性Availability 不可否认性(抗抵赖)Non-repudiation 真实性Authentication 可控性/可治理性Controllability/Governability 可靠性Reliability,信息安全风险评估,资产(保护对象) 软件、硬件、数据、人、业务、声誉(品牌) 脆弱性(隐患的关键因素) 软件、硬件、制度、人 威胁(威胁源与行为) 外部(如黑客攻击)、内部,有意、无意、自然、人为 可能性(动机和能力) 蓄谋、偶然,难度 后果 本身价值、直接和间接影响,信息安全的对策(管理部分),国家层面 法律法规、政策、国家标准 社会层面 道德 行业层面 行规、
3、行业标准 组织层面 规章制度 个人 最脆弱的环节 培训、意识、行为规范,信息安全技术与管理,技术必须与管理结合 技术有局限性,不是万能的,需要管理弥补 技术需要管理来实施和保障 很多(底层)技术不可控 技术的发展需要管理来调整以适应 技术可能被利用 内部原因的信息安全问题比重大,信息安全分类分级保护,对信息和信息系统进行分级保护是体现统筹规划、积极防范、突出重点的信息安全保护原则的重大措施。最有效和科学的方法是在维护安全、健康、有序的网络运行环境的同时,以分级分类的方式确保信息和信息系统安全既合符政策规范,又满足实际需求。实现安全成本与信息系统重要性的平衡。,等级保护内容,信息系统分等级保护
4、信息安全产品分等级管理 信息安全事件分等级响应、处置,定级要素与安全保护等级的关系,等级保护的原则,自主定级、自主保护与国家监管相统一 谁主管谁负责,谁运营谁负责,信息安全管理体系标准,ISO/IEC 27000 概述和词汇 ISO/IEC 27001 信息安全管理体系 要求 ISO/IEC 27002 信息安全管理体系 实用规则 ISO/IEC 27003 信息安全管理体系 实施指南 ISO/IEC 27004 信息安全管理度量 ISO/IEC 27005 信息安全风险管理 ISO/IEC 27006 ISMS认证机构的认可要求 ISO/IEC 27007 信息安全管理体系审核指南,风险评估
5、与处理,依据组织需求,识别、量化风险。其结果用于指导并确定适当的管理措施及其优先级 风险评估应定期/不定期进行 风险处置 规避 降低 转嫁 接受,信息安全管理实用规则GB/T 22081-2008,11个方面,39个控制目标,133个控制措施 11个方面(控制目标数) 信息安全方针(1) 信息安全的各方(2) 资产管理(2) 人力资源安全(3) 物理和环境安全(2) 通信和操作管理(10) 访问控制(7) 信息系统获取、开发和维护(6) 信息安全事件管理(2)业务连续性管理(1) 符合性(3),人力资源安全,任用前 角色和职责(清晰定义并传达) 人员背景审查(身份、信用、专业水平) 任用条款和
6、条件(合同明确安全职责),人力资源安全(2),任用中 管理者要求各方清楚并恪守职责 信息安全意识、教育和培训 纪律处理过程(证据与分级处理),人力资源安全(3),任用的终止或变更 终止职责(明确责任并传达) 资产的归还 撤销访问权,物理和环境安全,安全区域 物理安全周边(门、墙等) 物理入口控制(各处出入者标识、记录与限制) 办公室、房间和设施的安全保护(隐蔽性) 外部和环境威胁的安全防护(灾害预防) 在安全区工作(隐秘、受控、上锁、拒摄录) 公共访问、交接区安全(授权访问、进出的货物检查/登记/隔离),物理和环境安全(2),设备安全 设备和保护(设备防灾/盗保护、处理信息的保护) 支持性设施
7、(电、水、温度、湿度等) 布缆安全(防窃听和损坏) 设备维护(保证连续可用) 组织场所外的设备安全(看管、正确使用) 设备的安全处置或再利用(残余信息防重用) 资产的移动(有授权、人员、时间、记录、返回核查),通信和操作管理(5),备份 信息备份(规程、记录、比例/频率、异地、同保护等级存放环境、测试备份信息及恢复规程),通信和操作管理(7),介质处置 可移动介质的管理(规程、授权、记录、防重用、存储安全、介质老化、少用) 介质的处置(敏感信息及部件、大量介质信息综合可能变敏感) 信息处理规程(介质分级并标识、信息访问与接收限制并记录) 系统文件安全(存储与传输安全、授权访问),通信和操作管理
8、(10),监视 审计记录(审计项) 监视系统的使用(使用规程、评审监视结果) 日志信息的保护(完整性、访问控制) 管理员和操作员日志(记录、评审) 故障日志(记录、分析、评估纠正措施) 时钟同步(统一时间、时间漂移核查和校准),信息安全事件管理,报告信息安全事态和弱点 报告信息安全事态(上报规程、明确上报点、反馈、报告必要的事项、违规的纪律规定) 报告安全弱点(尽快报告事件、不宜证明可疑的脆弱点),信息安全事件管理(2),信息安全事件和改进的管理 职责和规程(建立处理各种安全事件的规程、应急计划、事件分析与处置、收集和保护证据、恢复措施应授权,记录,报告和确认其效果) 对信息安全事件的总结(建
9、立事件类型、数量和损失的量化机制、监视、改进措施和方针) 证据的收集(内部规程、法律效力、证据的质量和完备性、电子证据应是可信的副本、注意保存证据、跨域证据),业务连续性管理,业务连续性管理的信息安全方面 在业务连续性管理过程中包含信息安全 业务连续性和风险评估(信息安全事件发生的概率和后果,对业务连续性的影响) 制定和实施包含信息安全的连续性计划(在要求的时间和水平上恢复、计划更新) 业务连续性计划框架(计划项协调一致、计划项的优先级、各项的责任人、安全要求、启动条件、各种运行情况的规程及所需资源、培训) 测试、维护和再评估业务连续性计划(各环节测试和完整的演练),符合性,符合法律要求 可用
10、法律的识别(明确并满足法规合同等的要求、形成文件并及时更新) 知识产权(不侵犯版权、识别有知识产权要求的资产、维护产权证据、防止超限使用、核查) 保护组织的记录(按要求保存记录、分类、介质有效期、记录保存期可用) 数据保护和个人信息的隐私 防止滥用信息处理设施(告知将监视不当使用并处理、通告各方访问范围) 密码控制措施的规则(使用合法的密码、合理使用密码技术),符合性(2),符合安全策略和标准以及技术符合性 符合安全策略和标准(安全规程正确执行、定期评审、纠正措施也要评审) 技术符合性核查(专家通过人工或工具核查、渗透测试和脆弱性评估要谨慎),符合性(3),信息系统审计考虑 信息系统审计控制措
11、施(最小化对系统的干扰、确定审计范围、审计对软件和数据只读、提供审计资源、记录所有访问、时间戳、规程形成文件、审计独立) 信息系统审计工具的保护(审计工具和数据独立并加以保护,防止滥用和被破坏),个人计算机(信息)安全常见问题,一、随便安装外来/盗版程序,打开外来文件 二、误操作 三、上不明网站 四、口令过于简单 五、介质疏于管理 六、随便留个人信息 七、防盗防丢失措施不够 ,如何改进?,业务网络信息系统,网络类型的划分 涉密网络 如电子政务内网,是存储、处理和传输涉及国家秘密信息的计算机信息系统或网络。 非涉密网络,如电子政务外网 互联网,信息的存在形态和运行方式变化,1、存储介质的多样化、
12、便携化 2、信息的存载与保护方式数据化、系统化 3、信息泄漏渠道增多,形式隐蔽,隐患严重 涉密笔记本电脑泄密 移动存储介质交叉使用泄密 无线局域网泄密 手机泄密 数字复印机泄密,主要的违规现象,1、不该连的连,非法外联 2、不该存的存,连接互联网存储、处理 3、不该用的用,如涉密移动介质交叉使用 4、不该发的发,对发布的信息未严格审查,34,标准的分类/性质,执行强制性 中华人民共和国标准化法规定,保障人体健康、人身、财产安全的标准和法律、行政法规规定强制执行的标准是强制性标准,其它标准是推荐性标准。 强制性 GB 17859 1999 计算机信息系统安全保护等级划分准则 推荐性 指导性 对标
13、准化工作的原则和一些具体做法的统一规定。例如:产品型号编制规则、各类标准编制导则等,35,CC的组成,第1部分“简介和一般模型” 正文介绍了CC中的有关术语、基本概念和一般模型以及与评估有关的一些框架; 附录部分主要介绍PP和ST的基本内容; 第2部分“安全功能要求” 按“类子类组件”的方式提出安全功能要求,每一个类除正文以外,还有对应的提示性附录作进一步解释; 第3部分“安全保证要求” 定义了评估保证级,介绍了PP和ST的评估,并按“类子类组件”方式提出安全保证要求。,36,功能要求结构举例,以安全审计为例 审计事件响应(处理、记录、告警) 审计记录产生(审计事件、身份关联) 审计事件选择
14、审计记录查阅(权限、选择性查阅) 审计记录分析(维护、攻击检测) 审计记录存储(可用性、完整性、防新记录丢失),37,保证要求结构举例,以脆弱性评定为例 隐蔽信道分析 开发者:分析和文档 评估者:测试 误用 开发者:文档说明了各种情况的处理 评估者:测试 TOE功能强度 开发者:分析强度 评估者:测试确认 脆弱性分析 开发者:脆弱性分析及处置 评估者:穿透性测试以确认脆弱性已正确处置,法律法规(1),概述 立法(人大/国务院:制定、修改、废止) 司法(依法审理和评判案件:检察院、法院) 执法(执行法律:法院、检察院、公安部、安全部、工商局、税务局等) 法律分类 适用性:民法、刑法和行政法民事责
15、任、刑事责任和行政责任,法律法规(2),法律法规的作用 指引作用(规范) 评判作用(判决) 预测作用(震慑、警示) 教育作用(引以为戒) 强制作用(惩戒),信息安全法律法规(2),信息安全法律法规概述 信息安全现状与立法的必要性 法人与公民的合法权益(法人与公民的财产权、知识产权、公民的人身权-肖像与隐私等) 信息安全的特殊性(数字出版限制、知识产权、国家信息主权控制、签名法律效力、电子取证等) 网民的权利和义务,信息安全法律法规(3),信息安全法律法规概述 信息安全法律的主要内容 信息系统的规划与建设 信息系统的管理与经营 信息系统的安全 知识产权保护/个人数据保护 传统犯罪在计算机上的延伸
16、 电子商务/电子政务/电子化业务 计算机犯罪/证据与诉讼,信息安全法律法规条款,普适性法律法规 宪法 刑法 国家安全法 保守国家秘密法 信息安全法律法规 计算机犯罪相关法律 电子商务(电子签名法) 计算机信息系统安全保护 国际互联网安全管理 国际互联网服务管理 ,刑 法,与计算机相关的条款 传统犯罪通过计算机实施 利用信息技术非法传播信息 利用信息技术传播非法信息 利用信息技术从事非法活动 针对计算机系统的犯罪 利用信息技术侵入或攻击计算机系统 利用信息技术获取或破坏计算机系统信息,刑法中惩治计算机犯罪条款,非法侵入计算机信息系统罪 中华人民共和国刑法第285条规定:“违反国家规定,侵入国家事
17、务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。” 犯罪手段? 其他计算机可以侵入? 本罪属行为犯,刑法中惩治计算机犯罪条款,破坏计算机信息系统功能罪 刑法第286条第1款规定:“违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。” 犯罪动机? 计算机信息系统的功能有哪些? 什么行为可能触犯该条款? 本罪属结果犯,刑法中惩治计算机犯罪条款,破坏计算机信息系统数据、应用程序罪 中华人民共和国刑法第286条第2款规定:“违反国家规定,对计算机信息系统
18、中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。”,刑法中惩治计算机犯罪条款,故意制作、传播计算机病毒等破坏性程序罪 刑法第286第3款规定:“故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。” 该罪与破坏计算机信息系统功能罪可能重叠 破坏性程序 硬件设备(接入时激活)炸弹 逻辑炸弹(时间、程序等条件激活) 贪婪程序(消耗资源) 木马 蠕虫,刑法中惩治计算机犯罪条款,适用于一切利用计算机实施的其他犯罪 刑法第287条规定:“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依
19、照本法有关规定定罪处罚。”,保守国家秘密法,制订中华人民共和国保守国家秘密法是为保守国家秘密,维护国家的安全和利益,保障改革开放和社会主义建设事业的顺利进行。 该法第2条对国家秘密作了明确定义,即国家秘密是关系国家的安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。 一切国家机关、武装力量、政党、社会团体、企业事业单位和公民都有保守国家秘密的义务。 保守国家秘密的工作,实行积极防范、突出重点、既确保国家秘密又便利各项工作的方针。,保守国家秘密法,国家秘密的范围和密级 国家秘密的密级分为“绝密”、“机密”、“秘密”三级 “绝密”是最重要的国家秘密,泄露会使国家的安全和利益遭
20、受特别严重的损害 “机密”是重要的国家秘密,泄露会使国家的安全和利益遭受严重的损害 “秘密”是一般的国家秘密,泄露会使国家的安全和利益遭受损害。,保守国家秘密法,国家秘密的保密期限 限定必要的期限或确定解密的条件 一般,绝密30年,机密20年,秘密10年。 根据工作需要决定公开的,正式公布时即视为解密。,保守国家秘密法,国家秘密的知悉范围 应当根据工作需要限定在最小范围。 限定到具体人员或限定到机关、单位,由机关、单位限定到具体人员。 国家秘密的知悉范围以外的人员,因工作需要知悉国家秘密的,应当经过机关、单位负责人批准。,保守国家秘密法,秘密标记 国家秘密的载体以及属于国家秘密的设备、产品,应
21、当做出国家秘密标志。 不属于国家秘密的,不应当做出国家秘密标志。 保密期限未满而需要解密时,应以能够明显识别的方式标明“解密”字样,表明该项国家秘密事项已被解密。,保守国家秘密法,保密制度 从事国家秘密载体制作、复制、维修、销毁,涉密信息系统集成,或者武器装备科研生产等涉及国家秘密业务的企业事业单位,应当经过保密审查,并取得相应资质,具体办法由国务院规定。,保守国家秘密法,法律责任(1) 违反本法规定,有下列行为之一的,依法给予处分;构成犯罪的,依法追究刑事责任: (一)非法获取、持有国家秘密载体的; (二)买卖、转送或者私自销毁国家秘密载体的; (三)通过普通邮政、快递等无保密措施的渠道传递
22、国家秘密载体的; (四)邮寄、托运秘密载体出境,或未经有关主管部门批准,携带、传递国家秘密载体出境; (五)非法复制、记录、存储国家秘密的; (六)在私人交往和通信中涉及国家秘密的;,保守国家秘密法,法律责任(2) (七)在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密的; (八)将涉密计算机、涉密存储设备接入互联网及其他公共信息网络的; (九)在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换的; (十)使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息的; (十一)擅自卸载、修改涉密信息系统的安全技术程序、管理程序的; (十二)
23、将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途的。,涉密信息系统管理,涉及国家秘密信息系统的分级保护管理 系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。系统按照所处理信息的最高密级,由低到高分为秘密、机密、绝密三个等级。 非涉密信息系统不得处理国家秘密信息。,商用密码管理条例,商用密码,是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。 商用密码产品,是指采用密码技术对不涉及国家秘密内容的信息进行加密保护或安全认证的产品。 商用密码技
24、术属于国家秘密。国家对商用密码产品的科研、生产、销售和使用实行专控管理。,计算机信息系统安全保护,作为我国第一个关于信息系统安全方面的法规,中华人民共和国计算机信息系统安全保护条例国务院令第147号,94年2月18日发布,分五章共31条,目的是保护信息系统的安全,促进计算机的应用和发展。主要内容: 公安部主管全国计算机信息系统安全保护工作; 计算机信息系统实行安全等级保护; 健全安全管理制度; 信息系统安全专用产品的销售实行许可证制度; 公安机关行使监督职权,包括监督、检查、指导和查处危害信息系统安全的违法犯罪案件等。,国际互联网安全管理联网管理,中华人民共和国计算机信息网络国际联网管理暂行规
25、定体现了国家对国际联网实行统筹规划、统一标准、分级管理、促进发展的原则,主要内容如下: 国务院信息化工作领导小组负责协调、解决有关国际联网工作中的重大问题。 互联网络必须使用国家公用电信网提供的国际出入口信道。 接入网络必须通过互联网络进行国际联网。 用户的计算机或者网络必须通过接入网络进行国际联网。 新建互联网络,必须报经国务院批准。 拟从事国际联网经营活动或非经营活动的接入单位应具备一定的条件并报批。 国际出入口信道提供单位、互联单位和接入单位应建立相应的网管中心。,国际互联网安全管理保密管理,国家保密局发布、自2000年1月1日起施行的计算机信息系统国际联网保密管理规定共4章20条。主要
26、内容如下: 计算机信息系统国际联网的保密管理,实行控制源头、归口管理、分级负责、突出重点、有利发展的原则。 涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相联接,必须实行物理隔离。 上网信息的保密管理坚持“谁上网谁负责”的原则。 各级保密工作部门和机构接到举报或检查发现网上有泄密情况时,应当立即组织查处,并督促有关部门及时采取补救措施,监督有关单位限期删除网上涉及国家秘密的信息。,常见案例,制作计算机病毒、木马案 电子银行账户被盗案 黑客入侵、攻击、敲诈勒索案 利用网络操纵股票案 网络钓鱼案 盗用QQ诈骗案 网络(电子邮件、QQ、网页等)诈骗、勒索案 利用网络散布
27、虚假、诽谤信息案 泄露个人隐私、国家秘密案 传播淫秽、反动信息案,不道德行为原因,(1)无知 (2)心存侥幸 (3)现实的无奈 (4)无聊、低俗 (5)恶搞 (6)引起关注 (7)广告营销,有违道德案例1,利用计算机的机时问题 侵犯软件、作品的知识产权 个人的计算行为影响到他人的合法访问 编写或运行恶意代码 黑客扫描系统漏洞及非法访问 垃圾信息、垃圾邮件 个人隐私信息公开和贩卖,有违道德案例2,曝隐私冠希艳照门 人肉搜索魔兽铜须门 裸聊建裸聊网站、与网友裸聊 照片视频篡改 营销炒作明星绯闻、陶然居 报复?炒作?兽兽门,有违道德案例3,哗众取宠网上乞钱,网络微博晒私奔 提供虚假信息和造谣 网上污
28、言谩骂SB,2B,NC,290,TMD 地域歧视言论河南、广东、四川等等 虐待动物虐猫女、虐狗、生吃、硫酸泼黑熊 炫富90后炫富女,千金小姐,雅阁女,烧钱男 盗窃或骗取虚拟货币、装备 对不幸遭遇冷嘲热讽辽宁女对四川地震,有违道德案例4,不当角色模拟游戏宫心计,青楼,偷菜 网瘾因网瘾荒废学业、耽误工作 传播、浏览、沉溺网络不健康的信息 开发、玩不当游戏自杀、犯罪、暴力游戏禁售 不怀好意的网络交友感情欺骗,一夜情,世纪佳缘 低俗的娱乐炒作伪娘、XX哥、芙蓉姐姐、凤姐 不当商业竞争奶企、网络水军、360与QQ 重大影响的传言震后化工厂污染、千年极寒,道德?法律?,网络诈骗、网售假药假药网站 网络胁迫
29、胁迫裸聊、敲诈 传播不当信息贩卖传播个人或非法信息 网络换妻聚众淫乱,网络婚姻拆迁队 知识产权使用盗版 不当抗议煽动聚众闹事,围攻淘宝新政 助纣为虐QQ直播母杀子,优良道德案例,网络救自杀者最后的直播、网络干预自杀 网络捐助发起捐助、网络(电子银行等)捐款 对不当言论、行为的揭露、声讨天价烟、准备替党还是老百姓说话?躲猫猫、洗脸死、俯卧撑 对良好行为的褒扬最美女大学生、最美女医生和护士 对不当制度等的监督和促改孙志刚案 推进民主进程,计算机(网络)道德建设,网民的需要 互联网发展的需要 和谐、文明社会的需要,计算机(网络)道德准则,遵守社会公德 慎独慎微 己所不欲勿施于人,计算机(网络)道德培养,遵循一般的道德准则 网络言论要文明 网络行为要适宜 网络信息的取舍要明智 信息的真假 信息的好坏 网络交友要慎重,计算机(网络)道德建设措施,行政部门:整治互联网低俗之风专项行动、法规、通知、接受举报、执法、实名制 网站:不打“擦边球”、加强自律(中国互联网行业自律公约、网页游戏行业规范自律组织)、增强社会责任意识,建“绿色网站” 个人:绿坝、不制作/浏览/传播不良信息、不制作/使用/传播恶意程序、不沉溺虚拟世界,防沉迷系统、网络诚信、善用计算机和网络,74,考 试,试卷题型 判断题210 单项选择题 220 多项选择题35 简答题35 问答题5 2,
链接地址:https://www.31doc.com/p-2330362.html