下载掌阅APP,畅读海量书库
立即打开
互联网与生俱来的开放性、交互性和分散性使其为信息共享、信息交流、信息服务创造了理想空间,网络技术的迅速发展和广泛应用,为人类社会的进步提供了巨大推动力。然而,也正是由于网络的上述特性,产生了许多安全问题,网络安全问题已成为信息时代人类共同面临的挑战。
近年来,计算机网络作为信息的重要载体发展非常迅猛,特别是国际互联网的发展更是日新月异,网络服务极其丰富。同时,信息网络的蓬勃发展也带动了企业信息化、商业信息化、金融信息化、教育信息化、政务信息化以及国防信息化等,互联网已经成为国民经济的重要基础设施,然而,网络发展带来的安全问题日益突出,已经成为困扰各国的共性问题。
网络安全的复杂化和多元化主要在于社会的信息化和网络化,可以说,一个国家的信息化程度越高,对网络的依赖程度就越高,所面临的网络安全问题以及潜在隐患也就越多。近年来,中国信息化进程不断加快,基础网络与重要信息系统等基础设施基本建成并投入使用,社会经济生活的各个方面对于网络的依赖程度越来越高,大有牵一发而动全身之势,近年来,网络安全问题却愈演愈烈,给经济增长和社会稳定带来了巨大隐患。
随着互联网规模的膨胀,各种网络基础应用、电脑系统、Web程序的漏洞层出不穷,普通网民安全意识及相关知识的匮乏,这些都为网络上不法分子提供了入侵和偷窃的机会。最初的病毒制造者通常以炫技、恶作剧或仇视破坏为目的。从2000年开始,病毒制造者逐渐变得贪婪,越来越多地以获取经济利益为目的。他们通过分工明确的产业化操作,从病毒程序开发、传播病毒到销售病毒,形成了分工明确的整条操作流程,这条黑色产业链每年的整体利润预计高达数亿元。黑客和电脑病毒窃取的个人资料从QQ密码、网游密码到银行账号、信用卡账号等,包罗万象,任何可以直接或间接转换成金钱的东西,都成为不法分子窃取的对象。
虽然各国不断加大网络管理的力度,但网络安全问题依然不容乐观。有关网络威胁统计数据表明,移动网络的威胁、金融领域的威胁以及新兴的网络攻击是网络安全威胁的主要途径,其中,移动威胁的增长趋势尤为明显。2014年,新增移动恶意程序和手机银行木马分别达295 500种和12 100种,较2013年高出1.8倍和8倍。不仅如此,53%的网络攻击均涉及窃取用户钱财(短信木马和银行木马)的手机木马。目前,全球超过200个国家均出现了移动恶意威胁。有关调查表明,利用Oracle Java和浏览器(如Explorer、Mozilla Firefox等)程序漏洞是感染用户计算机最常用的方法。此外,网络罪犯还使用Adobe Reader漏洞和Word漏洞等进行病毒传播。这些感染技巧之所以仍被使用是因为社交工程学技巧依然奏效。每年都可看到网络罪犯想出更多招数吸引受害者。正因如此,收件人仍然愿意阅读看似无害却来历不明的邮件,并会打开带有恶意程序的附件或链接。
据中国互联网络信息中心(CNNIC)统计,2014年,总体网民中有46.3%的网民遭遇过网络安全问题。如图1-1所示,在安全事件中,电脑或手机中病毒或木马、账号或密码被盗情况最为严重,分别达到26.7%和25.9%,在网上遭遇到消费欺诈比例为12.6%,其他为34.8%。频繁发生的网络安全事件严重地影响了网民的正常生活,给社会造成了重大损失甚至灾难。
图1-1 2014年中国网民遇到的主要安全事件
据CNCERT统计,我国境内木马僵尸网络感染主机数量虽然有所下降,但依然达到千万台级别。据抽样检测,2014年,我国境内感染木马僵尸网络的主机为1 108.8万余台,较2013年下降2.3%,图1-2为近几年我国境内木马僵尸网络感染主机数量示意。
图1-2 我国境内木马僵尸网络感染主机数量
近年来,涉及重要行业和政府部门的高危漏洞事件增多。针对漏洞的挖掘和利用研究日趋活跃。CNVD新增收录漏洞数量年均增长率在15%~25%,其中,高危漏洞为2 394个,占26.1%。攻击者对重要企事业单位信息系统安全问题的关注程度日益提升。图1-3为近几年CNVD收录漏洞和高危漏洞数量示意图。
图1-3 CNVD收录漏洞和高危漏洞数量
针对政府部门和重要行业单位网站的网络攻击频度、强度和复杂度加剧。据检测,2014年,我国境内被篡改的政府网站1 763个,被植入后门的政府网站1 529个,分别占全部被篡改网站的4.8%和全部被植入后门网站的3.8%。除网页篡改和植入后门外,攻击者还实施了许多技术手段复杂、流量规模大的拒绝服务攻击,以及窃取网站内存储的用户信息并公布情况,严重影响网站的正常运行。
可见,网络安全不仅影响普通网民的信息和数据的安全性,而且全面渗透到国家的政治、经济、军事、社会稳定等各个领域,严重影响一个国家的健康发展。
通过以上对网络安全现状的综述,可以发现网络安全问题已经非常严重,究其根源,可以从3个方面进行安全性分析和理解。
(1)互联网的设计原始背景
互联网最初是在5个科研教育服务超级计算机中心互连的基础上建立起来的,其总体架构和其所使用的TCP/IP的设计均在基于可信环境的前提下完成,因此缺乏安全措施考虑。但现在互联网络的发展已经到了一个设计之初完全无法预料的情态,网络安全业已成为亟待解决的首要问题。因此,互联网工程工作小组(IETF, Internet Engineering Task Force)历经3年研究,于1998年形成了关于IPv6的第一个协议RFC2460。在IPv6系列协议中安全被提到了一个前所未有的高度,人们希望下一代互联网能够很好地改善现有互联网遇到的安全性问题。
(2)网络传输的安全性
互联网的安全性问题不仅源于其开放性,而且与TCP/IP族的设计缺乏安全性考虑有很大关系。在网络层,由于IP缺乏安全认证和保密机制,因此容易受到各种攻击;在传输层,虽然TCP在建立连接时有“三次握手”,但只是简单的应答,其连接能被欺骗、截取及操纵,而UDP易受到IP源路由和拒绝服务的攻击;在应用层,传统的服务HTTP、FTP、Telnet、SMTP、POP3、DNS、SNMP等均缺乏较高的可认证性、完整性和保密性,因此,几乎没有安全性可言。
为了获得安全性,网络应用开发者不得不在应用层开发一些新的安全应用协议,来保证传输的安全性。当然,随着IPv6的逐步实施,这些安全问题会得到一定的改善。
(3)网络服务的安全性
信息系统作为网络服务的提供者,它的安全性实际上是互联网络的核心问题,各种网络安全威胁事件均以控制各个信息系统为最终目的。对信息系统的威胁主要源自以下几个方面。
首先,基础网络应用成为黑客及病毒的攻击重点。网络应用丰富,可供病毒传播利用的途径越来越复杂,如随着网络视频和音乐的发展,U盘、MP3等可移动介质被黑客广泛利用来传播病毒;厂商在保护用户利益上投入的精力远远不够,使即时通信软件和网络游戏都成为重要的病毒传播渠道和被害对象;网络银行和网络证券交易日益火爆,针对网络银行和证券的木马、后门程序暴增,大量缺乏基本安全意识和防护措施的股民则面临着更大安全风险。
其次,系统漏洞带来的安全问题异常突出。
再次,Web程序安全漏洞愈演愈烈。由于Web程序员的疏漏,存在代码注入漏洞的网站越来越多,这也成为当前入侵者入侵服务器的主要途径。
此外,社会工程学攻击也越来越多地引起人们的关注。所谓“社会工程学攻击”就是利用人类的心理弱点,骗取网络使用者的信任,获取机密信息及系统设置等机密资料,为黑客攻击和病毒感染创造有利条件。
随着网络应用的不断发展普及,各种安全问题不断暴露并被放大,网络安全受到巨大挑战。在这些网络安全挑战中,许多是那些传统的网络威胁,它们继续影响着信息网络的正常运转,同时随着网络新技术及应用的发展,新的威胁也不断产生,人们又迎来许多新的网络安全挑战。
网络威胁是指某个实体(人、事件、程序等)对某一资源的机密性、完整性、可用性在合法使用时可能受到的危害。从网络产生之初,就与各种威胁相伴,从最初的病毒,如“CIH”“大麻”等传统病毒,逐渐发展为包括特洛伊木马、后门程序、流氓软件、广告软件、网络钓鱼、垃圾邮件等。从时间和表现上大致可以分为3个阶段:第一阶段(1998年以前)网络威胁主要来源于传统的计算机病毒,其特征是通过媒介复制进行传染,以攻击破坏个人电脑为目的;第二阶段(大致在1998年~2005年)网络威胁主要以蠕虫、木马和黑客攻击为主,其表现为蠕虫病毒通过网络大面积爆发及黑客攻击一些服务网站;第三阶段(2005年以来)网络威胁多样化,多数以偷窃资料、控制利用主机等手段谋取经济利益为目的。
为了更深入了解网络威胁的特征,从而进行有效防御,需要进行准确的分类分析。从攻击发起者的角度来看,网络威胁可分为两大类:一类是主动攻击型威胁,如网络监听和黑客攻击等,这些威胁都是对方人为通过网络通信连接进行的;另一类就是被动型威胁,一般是用户通过某种途径访问了不当的信息,如使用了带病毒的软盘、光盘、U盘或访问了带病毒、木马或恶意软件的网页、图片和邮件等而遭受到的攻击。对于第一类的主动攻击型网络威胁,网络用户需要加固自己的信息系统,如部署防火墙、入侵检测系统及防病毒软件,另外需要升级操作系统,为各种软件打上补丁修补漏洞;而针对第二类被动型威胁,则需要网络用户提高网络安全意识,养成良好健康的上网习惯,不访问不良网站,安装软件的时候要注意防止捆绑软件入侵,并且定时对系统进行诊断,查杀恶意软件。
网络威胁也可以依据攻击手段及破坏方式进行分类,第一类是以传统病毒、蠕虫、木马等为代表的计算机病毒;第二类是以黑客攻击为代表的网络入侵;第三类是以广告软件、网络钓鱼软件为代表的欺骗类威胁。
一些威胁随着网络环境的变化发展而逐步消失,如传统计算机病毒,但更多的威胁则表现得非常顽强,不断变异继续威胁今天的网络。各种蠕虫、木马通过变种加壳等技术,继续危害网络安全。拒绝服务攻击也不断升级,分布式反射型攻击已经成为拒绝服务攻击的重要形式,攻击者不断分析挖掘更多可被利用的网络协议,增加攻击威力,突破防护措施。大量联网智能设备已存在成为攻击工具的可能,这将可能使攻击流量规模进一步增大。针对域名系统的攻击继续呈频繁态势,不仅影响受害目标,而且波及整个基础网络。此外,由于网络攻击软件的工具化和平台化、网络攻击服务的商业化等因素,发起攻击的难度和成本大大降低,攻击门槛将越来越低。
另外,越来越多的Web服务上线,使由于程序员的疏漏,存在代码注入漏洞的网站越来越多,这也成为当前入侵者入侵服务器的主要途径。入侵Web服务器并窃取机密信息、利用控制的Web服务器来“挂马”的行为大都通过代码注入攻击来完成。
可见,那些曾经被人们所了解并控制的网络威胁依然可能通过自我升级,继续在网络世界中肆虐,彻底消灭它们也许需要漫长的时间。
目前,我国的网络安全现状非常严峻,具体表现在以下几个方面。
(1)新型木马病毒等攻击范围扩大,后果严重
新型木马病毒、DDo S、APT 等各类网络攻击带来的计算机系统受病毒感染和被破坏的情况越来越严重。2010年,“震网”病毒的例子表明,网络攻击的对象不再局限于互联网本身,而扩大到了重要工业控制系统、重要信息基础设施、军事国防系统以及电子政务系统等对网络和信息技术高度依赖的关键基础设施,这种恶意攻击随时都有可能发生,成为国家网络安全的致命新威胁。
(2)信息泄露严重
数据泄露事件频发,用户账号和明文密码、身份证、银行卡卡号和密码等成为网络犯罪分子的目标,这些信息被直接出卖或者用于从事电信诈骗、非法讨债甚至绑架勒索等犯罪活动,广大网民的个人隐私、财产安全甚至人身安全正受到严重威胁。另外,近些年来,网络间谍活动兴起并已形成重要威胁,通过网络窃取重要情报和秘密等活动猖獗,国家秘密及敏感信息面临从未有过的高风险。
(3)信息技术的广泛应用带来更为复杂的安全问题
信息技术在铁路、银行、电力等重要行业的广泛应用,以及核设施、航空航天、先进制造等重要领域工业化与信息化深度融合,使这些行业或领域的系统数据和运行安全也面临着严重威胁。这些领域的信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节,等级保护、安全监测、通报预警、应急演练等重点工作未很好地落实。然而,这些重点行业内部的网络安全意识与其面临的威胁并不匹配,导致许多突出问题,如行业缺乏对机构设置、人员配备、机制、能力等方面的整体考虑和统筹;缺乏顶层设计和规划,安全保护策略不科学等。
(4)网络安全人才贫乏
目前,我国网络安全人才存在巨大缺口;2012年11月底,工信部中国电子信息产业发展研究院发布的数据显示,2011年~2012年,我国培养的信息安全专业人才总共约4万人,与各行业对信息安全人才的实际需求量之间存在50万人的差距。
信息技术在快速演进,但安全并未能保持同步。下一代互联网、移动互联网、物联网、云计算、大数据等新兴信息技术不断涌现,推动着我国技术进步和经济发展。但是,在带来新的经济增长点的同时,也带来了更多网络安全问题并使网络安全复杂性骤增,给保护网络安全带来新挑战。例如,云计算和移动性等正在减少网络安全能见度并增加安全的复杂性,而BYOD(Bring Your Own Devices)给企业带来的新的安全冲击也是显而易见的,因为移动性提供入侵用户和数据的新方法。
首先,新技术新设备抢占市场意味着设计阶段未包含安全措施,或安全考虑存在严重局限性,或选择了糟糕的工程实现等。
其次,移动互联网、物联网等新技术几乎将所有设备都连接起来,这使整个网络越铺越大,网络安全生态系统在变得越来越庞大的同时也越来越脆弱。每当新的设备和新的系统加进来,就意味着带入了新的网络安全漏洞。人们往往更加重视主干网络或者业务网络,而忽略了那些与之相连的其他网络系统的安全性,而恶意攻击实施者却已经学会利用那些看起来微不足道的安全漏洞以达到他们的目的。
此外,由于移动应用制作成本较低、溯源困难等因素,黑客制作假冒手机网银、运营企业客户端、热门游戏等应用程序,通过钓鱼短信或小型网站、社交平台、广告平台等渠道传播以窃取用户钱财的现象变得更加猖獗。
云计算技术的普及加大了数据泄露和网络攻击风险,主要表现在2个方面。①云平台的数据安全保护问题。云计算技术的发展推动了数据的集中化,在大数据时代,海量数据既是企业和用户的核心资产,也成为网络攻击瞄准的目标。以窃取数据为主要目的的攻击事件越来越多,云平台自身的网络安全防护特别是对海量数据安全的防护面临着挑战。②云平台的安全审核和管理机制问题。目前,大多数云服务商的安全审核机制并不完善,用户租用后作何用途,云服务商并不清楚知晓,也未做严格审核或周期性检查,因此,出现黑客在云平台部署钓鱼网站、传播恶意代码或发动攻击的情况,如不及时加强管理,未来这种现象将继续增多。
近几年来,黑客更加关注应用广泛的网站应用框架、开源软件、集成组件、网络协议等安全问题,因为这些基础应用、通用软硬件的影响范围日趋广泛,一旦漏洞信息提前泄露、不客观泄露或被黑客攻破,就非常容易引发大面积攻击事件。
设备智能化的浪潮席卷各行业,智能终端具有带宽较高、全天候在线、系统升级慢、配置变动较少等特点,但由于技术不完善、忽视安全性等原因,大量智能终端设备存在弱口令或安全配置不当等漏洞,安全威胁也随之而来。随着物联网产业的发展和智慧城市的建设,智能生活逐渐推广,连接一切将成为现实,智能终端自身安全问题以及终端间连接或通信的安全问题,都是物联网面临的安全挑战。
一个比较严峻的事实是,由于中国在全球ICT产业链中所处的附属地位及后发展效应,中美信息技术产业实力严重不对等,我国长期无法摆脱对美国技术、标准的依赖,致使我国网络安全核心技术自主程度和基本防御能力均受到严重制约。美国密码学家Schneier曾说过:“安全是一个链条,其可靠程度取决于链中最薄弱的环节”。而技术上的无法自主正是我国网络安全链条上脆弱的一环。因此,形成自主可控的技术实力和产业综合实力,从根本上改变家底不清、防护无力、受制于人的被动局面是摆在我们面前的重大任务和紧迫使命。
以网络安全协议为例,尽管网络空间在物理设施、逻辑构成、信息内容等各个层面均面临着种种安全威胁,但是“有漏洞的、不安全的协议泛滥”导致的网络基础设施脆弱性成为当今我们所面临的一个最为严重的网络安全问题。此外,互联网安全协议 SSL 开源项目Open SSL“心脏出血”漏洞的曝光,为广大网民、企业和政府机构带来了隐私数据失窃、服务中断等严重安全问题,这提醒我们网络安全核心技术漏洞带来的威胁不容忽视。
当今人类生活的所有领域都越来越依赖信息和通信技术,这些暴露出来或仍然隐藏在网络安全协议及代码中的技术“漏洞”必须被合理定义,彻底地分析、弥补或者减少,广大网民的数字化生活以及国家的网络安全才能有所保障。
与“心脏出血”这种因为技术不足而造成的漏洞相比,应该更加关注的是在网络安全技术中的“蓄意漏洞”,其危害性更大。“蓄意漏洞”是指在技术研究及其具体实现过程中,为了达成某种非正当的目的而人为设计的缺陷,这种缺陷就是通常所说的“后门”。网络安全技术本来是用来保障网络空间的安全连接和安全的数据传输的。大部分网络应用和服务都要用到这类基础安全技术,并将其作为系统和服务的初始配置或默认选项。正因如此,为NSA等情报机构从技术源头实施网络控制提供了可乘之机。这些情报机构依据其战略考虑,从技术研发环节就深度介入,对技术设计方案施加影响,弱化基础的安全机制及密码算法,或者安插技术“陷门”。这种“蓄意漏洞”被隐藏在技术方案中,在一定时期内会进入标准提案而不被发现。如果在技术的工程实现环节依据有缺陷的技术方案或标准展开编码,这种技术缺陷必定会在代码中体现出来成为代码漏洞。此外,在技术的工程实现环节,同样也可以在编码过程中制造“蓄意漏洞”。这种在网络安全协议技术研发及其技术的工程实现层面存在的“蓄意漏洞”,会随着代码被集成到芯片、操作系统、计算设备中,经过产业链层层传递,单一的漏洞就构成了共因故障,既削弱了网络基础设施的基本安全能力,又方便其利用产品漏洞控制上的不对等权限来实现网络监控及攻击。这种“蓄意漏洞”的威胁十分隐蔽,对网络安全的危害也最为巨大。
因此,在技术的工程实现、操作系统开发、芯片制造等关键环节必须实现自主可控,以最大程度减少技术研发、集成和产品开发过程中“蓄意漏洞”带来的网络安全威胁和风险。
简单地说,网络安全体系包括安全防护体系、安全信任体系和安全保障体系。
网络安全的核心目标是保证信息网络安全。一般来说,信息网络一般可以看作是由用户、信息、信息网络基础设施组成。信息网络基础设施属于提供网络服务的软硬件基础,主要包括服务系统和网络环境;信息是信息网络的负载,也是信息网络的灵魂;用户是信息网络服务对象,信息服务的消费者。可见组成信息网络的基本三要素为人员、信息、系统(即信息网络基础设施)。如图1-4所示,针对组成信息网络的3个基本要素存在5个安全层次与之对应:系统部分对应物理安全和运行安全,信息部分对应数据安全和内容安全,而人员部分的安全需要通过管理安全来保证。5个层次存在一定的顺序关系,每个层次均为其上层提供基础安全保证,没有下层的安全,上层安全就无从谈起。同时,各个安全层次均依靠相应的安全技术来提供保障,这些技术从多角度全方位地保证信息网络安全,如果某个层次的安全技术处理不当,整个信息系统的安全性均会受到严重威胁。因此,可以看出网络安全防护是一个多层次的纵深型安全防护体系,无论哪个层次防护出现问题,都会严重威胁到网络安全。
图1-4 多层次的纵深型安全防护体系
(1)物理安全
物理安全指对网络及信息系统物理装备的保护。主要涉及网络及信息系统的机密性、可用性、完整性等。主要涉及的安全技术包括灾难防范、电磁泄露防范、故障防范以及接入防范等。灾难防范包括防火、防盗、防雷击、防静电等;电磁泄露防范主要包括加扰处理、电磁屏蔽等;故障防范涵盖容错、容灾、备份和生存型技术等内容;接入防范则是为了防止通信线路的直接接入或无线信号的插入而采取的相关技术以及物理隔离等。
(2)运行安全
运行安全指对网络及信息系统的运行过程和运行状态的保护。主要涉及网络及信息系统的真实性、可控性、可用性等。主要安全技术包括身份认证、访问控制、防火墙、入侵检测、恶意代码防治、容侵技术、动态隔离、取证技术、安全审计、预警技术、反制技术以及操作系统安全等,内容繁杂并且不断变化发展。
(3)数据安全
数据安全指对数据收集、处理、存储、检索、传输、交换、显示、扩散等过程中的保护,保障数据在上述过程中依据授权使用,不被非法冒充、窃取、篡改、抵赖。主要涉及信息的机密性、真实性、完整性、不可否认性等,主要安全技术包括密码、认证、鉴别、完整性验证、数字签名、PKI、安全传输协议及VPN等。
(4)内容安全
内容安全指依据信息的具体内涵判断其是否违反特定安全策略,并采取相应的安全措施,对信息的机密性、真实性、可控性、可用性进行保护。主要涉及信息的机密性、真实性、可控性、可用性等。内容安全主要包括两方面内容:一是针对合法的信息内容加以安全保护,如对合法的音像制品及软件版权的保护;二是针对非法的信息内容实施监管,如对网络色情信息的过滤等。内容安全的难点在于如何有效地理解信息内容并甄别判断信息内容的合法性。主要涉及的技术包括文本识别、图像识别、音视频识别、隐写术、数字水印以及内容过滤等技术。
以往的经验教训表明,系统安全和数据安全不是信息安全的全部问题,内容安全是相当重要的部分,在未来,内容安全的重要性要大于系统安全。目前,网络上的“网络钓鱼”“信用卡欺骗”“知识产权侵犯”“反动色情暴力宣传”等安全威胁,都属于这类问题。如果这类问题处理不好,结果往往相当严重,甚至威胁社会及国家安全。
(5)管理安全
管理安全指通过针对人的信息行为的规范和约束,提供对信息的机密性、完整性、可用性以及可控性的保护。时至今日,“在信息安全中,人是第一位的”已经成为普遍被接受的理念,对人的信息行为的管理是信息安全的关键所在。主要涉及的内容包括安全策略、法律法规、技术标准、安全教育等。
在网络安全防护体系中,由于各层次、各级别都可能存在这样或那样的问题,并且各个问题之间可能既互相联系又互相影响,因此,网络安全防护需要多层次多维度全方位进行,任何单一的网络安全产品、安全技术和管理手段都无法独立承担提供网络整体安全防护的重任。构建网络安全防护体系分为3个主要步骤:安全评估、防护措施选择和措施部署,其中,安全评估和防护措施选择是组织合理构建网络安全防护体系的重中之重。安全评估的目的是识别目前的系统类型、识别系统的位置及周围自然环境,评估已存在的安全措施、威胁和风险分析等安全关注点。防护措施选择是根据安全评估的结果选择防护措施,需要考虑4个方面:影响、威胁、脆弱点和风险本身。安全总体上应该保持合理的平衡,过多关注某一类型或者层次的防护措施对于提高整体安全并没有效果。另外,选择防护措施时,应该平衡防护措施的实施、维护成本和被保护资产的价值,以及风险削弱带来的投资收益。
网络信任问题是网络安全中的核心问题之一,直接影响各种网络服务,如电子商务、电子政务、信息共享等。对于彼此了解的小型网络,各实体间很容易建立网络信任关系,这种信任建立在物理社会互相熟悉的基础上。当网络达到较大规模时,物理社会基础就不能满足维持网络信任的要求,需要建立网络信任体系来维护网络空间社会秩序。
实际上,网络安全信任体系可以理解成在网络上建立一套身份生态系统,其意义对个人而言,无需再创设、记忆和管理各种不同的用户名和密码,能够更加便捷享受网络服务,由于系统限制在线业务过程中大量收集和传输用户身份信息的行为,个人能够免遭在线跟踪,个人隐私得到更多保护;对私营机构而言,由于身份生态系统是受市场驱动的,它能为创新性服务的发展奠定基础,为新型商业模式提供平台,同时系统还能降低或消除传统的用户登录障碍,减少用户使用服务时与私营机构可能发生的争议。
建立网络信任体系一般需要解决3个问题:首先,需要一个具有仲裁职能的信任源,相当于赛场上的裁判,通常引入一个可信权威来解决这个问题;其次,需要鉴别实体的真实身份,这通常采用鉴别协议实现;再次,确认实体的权限,控制实体访问资源或者服务范围。解决了之前几个问题,还不能够确定已建立可用的信任体系,因为信任建立过程可能会有技术上的缺陷、管理上的漏洞,甚至是误操作,这些可能造成网络应用活动中信任安全性问题,因此,需要建立一种信任追踪机制,也就是责任认定。综上,网络信任体系必须具有身份认证、授权管理、责任认定3个功能。如图1-5所示,具有仲裁职能的可信权威的公正性是信任基础,基于密码技术的公钥基础设施(PKI, Public Key Infrastructure)和授权管理基础设施(PMI, Privilege Management Infrastructure)是技术保障,而相关的政策法规及标准规范为有效实施保驾护航。
图1-5 网络安全信任体系
其中,公钥基础设施是一种遵循一定标准的密钥管理基础平台,它能够为所有网络应用提供加密和数字签名等密码服务所必需的密钥和证书管理。授权管理基础设施依赖于PKI 的支持,提供用户身份到应用授权的映射功能,旨在简化应用中访问控制和权限管理的开发与维护。
网络信任体系是指以密码技术为基础,包括法律法规、技术标准和基础设施等内容,以解决网络应用中的身份认证、授权管理和责任认定问题为目的的完整体系。网络信任体系也被列为《国家中长期科学和技术发展规划纲要》(2006年~2020年)的重点领域优先主题,主要涉及以下3个部分:①身份认证,通过技术手段确认网络信息系统中主、客体真实身份的过程和方法,目前主要依靠PKI/CA技术体系;②授权管理,综合利用身份认证、访问控制、权限管理等技术措施解决访问者合理使用网络信息资源的过程和方法;③责任认定,应用数据保留、证据保全、行为审计、取证分析等技术,记录、保留、审计网络事件,确定网络行为主体责任的过程和方法。
网络安全保障体系是指通过相关安全技术之间的动态交互,保护支持信息网络的正常运行状态,是一个动态的深度防御体系。美国国防部提出的信息保障(IA, Information Assurance)概念,可以较好地诠释网络安全保障体系的内涵。如图1-6所示,网络安全保障体系由四部分内容组成,即人们常提到的PDRR。
图1-6 网络安全保障体系
(1)保护
保护,就是指预先采取安全措施,阻止触发攻击发生的条件形成,让攻击者无法顺利地入侵。保护是被动防御,不可能完全阻止各种对信息系统的攻击行为。主要的安全保护技术包括信息保密技术、物理安全防护、访问控制技术、网络安全技术、操作系统安全技术以及病毒预防技术等。
(2)检测
检测,是指依据相关安全策略,利用有关技术措施,针对可能被攻击者利用的信息系统的脆弱性进行具有一定实时性的检查,根据结果形成检测报告。主要的检测技术包括脆弱性扫描、入侵检测、恶意代码检测等。
(3)反应
反应,是指对于危及安全的事件、行为、过程及时做出适当的响应处理,杜绝危害事件进一步扩大,将信息系统受到的损失降低到最小。主要的反应技术包括报警、跟踪、阻断、隔离以及反击等相关技术。反击又可分为取证和打击,其中,取证是依据法律搜取攻击者的入侵证据,而打击是采用合法手段反制攻击者。
(4)恢复
恢复,是指当危害事件发生后把系统恢复到原来的状态或比原来更安全的状态,将危害的损失降到最小。主要的恢复技术包括应急处理、漏洞修补、系统和数据备份、异常恢复以及入侵容忍等。
如图1-7所示,网络安全保障体系是一个具有一定交互的动态过程体系,保护、检测、反应和恢复可以看作保障体系的4个子过程。这4个子过程分别在攻击行为的不同阶段为系统提供保障。保护是最基本的被动防御措施,也是第一道防线;检测的重要目的之一是针对突破“保护防线”后的入侵行为进行探测预警;而反应是在检测报警后针对入侵采取的控制措施;恢复是针对攻击入侵带来的破坏进行弥补,是最后的减灾方法,如果前边的保障过程有效地控制了攻击行为,恢复过程则无需进行。
图1-7 网络安全保障动态过程
从安全要素方面,信息安全保障也可以理解为由人借助技术的支持实施一系列的操作过程,最终实现信息安全保障的目标。
人(People):人是信息体系的主体,是信息系统的拥有者、管理者和使用者,是信息保障体系的核心,是第一位的要素,同时也是最脆弱的。正是基于这样的认识,安全管理在安全保障体系中就愈显重要,可以这么说,信息安全保障体系,实质上就是一个安全管理的体系,包括意识培训、组织管理、技术管理和操作管理等多个方面。
技术(Technology):技术是实现信息保障的重要手段,信息保障体系所应具备的各项安全服务就是通过技术机制来实现的。当然,这里所说的技术,已经不单是以防护为主的静态技术体系,而是防护、检测、响应、恢复并重的动态技术体系。
操作(Operation):或者叫运行,它构成了安全保障的主动防御体系,如果说技术的构成是被动的,那么操作和流程就是将各方面技术紧密结合在一起的主动过程,包括风险评估、安全监控、安全审计、跟踪告警、入侵检测、响应恢复等内容。
从广义上讲,网络安全保障体系是一个庞大的社会系统工程,需要解决的是保障整个网络社会所有网络用户的安全,因此,一般认为网络安全保障体系应该具有国家特征,包括网络安全技术保障体系、国家信息安全保障基础设施、标准及法律保障体系、人才培养体系以及经费保障体系等。
在网络安全领域的多年研究实践中,人们逐渐认识到管理在网络安全中的重要性高于安全技术层面,“三分技术,七分管理”的理念在业界中已经得到共识。管理主要分为对技术的管理和对人员的管理,网络安全标准用于规范网络安全技术工程,而法律法规则是约束使用者的网络行为。
网络安全标准是确保网络安全产品和系统在设计、研发、生产、建设、使用等过程中保证其一致性、可靠性、可控性、先进性以及符合性的技术规范、技术依据,是保障网络安全的重要内容。依据相关技术和管理标准对网络安全进行管理,已经成为全球化和信息化趋势下维护网络安全的重要手段。
世界上第一个网络安全评估准则是美国在 1983 年提出的《可信计算机系统评估准则(TCSEC)》,TCSEC最初只是军用标准,后来延至民用领域。因为网络安全在国家的安全利益和经济利益上的直接影响越来越深远,各家对网络安全标准制定的重视程度越来越高。经过30年的发展,网络安全相关国际标准经过国际标准化组织(ISO)和各国的共同努力,目前已经日臻成熟。我国网络安全标准制定起步较晚,经过多年的努力也已经日益完善,初步形成了国家网络安全标准体系。但是与先进国家相比,我国基础较差、信息安全自主创新能力不足,很多技术标准直接借用国外标准。
目前,国际上已经制定了大量的有关信息安全的国际标准,可以分为互操作标准、技术与工程标准、信息安全管理与控制标准三类。互操作标准主要是非标准组织研发的算法和协议经过自发的选择过程,成为了所谓的“事实标准”,如AES、RSA、SSL以及通用脆弱性描述标准CVE等。技术与工程标准主要指由标准化组织制定的用于规范信息安全产品、技术和工程的标准,如信息产品通用评测准则(ISO 15408)、安全系统工程能力成熟度模型(SSE-CMM)、美国信息安全白皮书等。信息安全管理与控制标准是指由标准化组织制定的用于指导和管理信息安全解决方案实施过程的标准规范,如信息安全管理体系标准(BS-7799)、信息安全管理标准(ISO 13335)以及信息和相关技术控制目标(COBIT)等。
CC标准是“The Common Criteria for Information Technology Security Evaluation”的缩写,即《信息技术安全性通用评估标准》的简称,是在美国和欧洲等国家和地区各自推出的测评准则的基础上总结和融合发展起来的。CC标准的发展演变如图1-8所示,其中,1983年美国国防部公布的《可信计算机系统评估准则》(TCSEC)被认为是 CC 标准的最初原型。但CC标准在多方面对TCSEC进行了改进。TCSEC主要是针对操作系统的评估,提出的是安全功能要求,而CC更全面地考虑了与信息技术安全性有关的所有因素,以“安全功能要求”和“安全保证要求”的形式提出了这些因素。CC 定义了作为评估信息技术产品和系统安全性的基础准则,提出了目前国际上公认的表述信息技术安全性的结构。
图1-8 CC标准的演进历程
1987年,国际标准化组织(ISO, International Organization for Standardization)和国际电工委员会(IEC, International Electrotechnical Commission)联合成立了一个联合技术委员会ISO/IEC JTC1,并于1996年推出了ISO/IEC TR 13335,其目的是为有效实施IT安全管理提供建议和支持,是一个信息安全管理方面的指导性标准。早前被称作IT安全管理指南(GMITS, Guidelines for the Management of IT Security),新版被称作“信息和通信技术安全管理”(MICTS, Management of Information and Communications Technology Security)。GMITS由5个部分标准组成,它们分别是 ISO/IEC13335−1:1996(IT安全的概念与模型)、ISO/IEC13335−2:1997(IT安全管理与策划)、ISO/IEC13335−3:1998(IT安全管理技术)、ISO/IEC13335−4:2000(防护措施的选择)以及ISO/IEC13335−5:2001(网络安全管理指南)。目前,ISO/IEC 13335−1:1996 已经被新的ISO/IEC 13335−1:2004(信息和通信技术安全管理的概念和模型)所取代,ISO/IEC 13335−2:1997也将被正在开发的ISO/IEC 13335−2(信息安全风险管理)所取代。这份文件适用于各种类型的组织,第一部分明确指出适用于高级管理和信息管理经理,而其他部分则适用于那些对安全规则实施有责任的人,如信息技术经理和信息技术安全人员等。
SSE−CMM(System Security Engineering Capability Maturity Model)是由美国国家安全局NSA领导开发的专门用于系统安全工程的能力成熟度模型。1996年10月,发布了第一版, 2002年,被ISO采纳成为国际标准,即ISO/IEC 21827:2002(信息技术系统安全工程——成熟度模型)。SSE-CMM是CMM在系统安全工程领域的具体应用,适合作为评估工程实施组织能力与资质的标准使用。
CVE的英文全称是“Common Vulnerabilities & Exposures”,即通用漏洞及暴露,是IDn A (Intrusion Detection and Assessment)的行业标准,它为每个信息安全漏洞或者已经暴露出来的弱点给出了一个通用的名称和标准化的描述,可以成为评价相应入侵检测和漏洞扫描等工具产品和数据库的基准。CVE就好像是一个字典表,如果在一个漏洞报告中指明的一个漏洞有CVE名称,那么就可快速地在任何CVE兼容的数据库中找到相应修补的信息,解决安全问题。ISS联合其他几个机构从1999年开始建立CVE系统,最初只有321个条目。2000年10月16日,CVE达到了一个重要的里程碑,正式条目超过了1 000个,并且已经有超过28个漏洞库和工具声明与CVE兼容。CVE 的编辑部成员包括安全工具厂商、学术界、研究机构、政府机构以及一些优秀的安全专家,他们通过开放合作式的讨论,决定哪些漏洞和暴露要包含进CVE,并且确定每个条目的公共名称和描述。CVE标准的管理组织和形成机制可以说是国际先进技术标准制定的典范,CVE 标准对信息系统安全做出了很大的贡献。
BS 7799是英国标准协会(BSI, British Standards Institute)针对信息安全管理而制定的一个标准,最早始于1995年,后来几经改版,2000年被采纳为ISO/IEC 17799,目前,其最新版本为2005年版,也就是ISO 17799:2005。BS7799共分为2个部分。第一部分BS7799−1是《信息安全管理实施细则》,也就是国际标准化组织的ISO/IEC 17799标准的部分,主要提供给负责信息安全系统开发的人员参考使用,其中,分11个标题,定义了133项安全控制(最佳惯例)。第二部分BS7799−2是《信息安全管理体系规范》(即ISO/IEC 27001),其中,详细说明了建立、实施和维护信息安全管理体系的要求,可用来指导相关人员去应用ISO/IEC 17799,其最终目的是建立适合企业所需的信息安全管理体系。BS 7799标准采用层次结构化形式定义描述了安全策略、信息安全的组织结构、资产管理、人力资源安全等11个安全管理要素。
COBIT是信息及其技术的控制目标的简称,英文全称为Control Objectives for Information and Related Technology,由国际信息系统审计与控制协会(ISACA)于1996年提出,是目前国际上通用的信息系统审计标准。在COBIT文档中,提出了7个控制目标,分别是机密性、完整性、可用性、有效性、高效性、可靠性和符合性;归纳了4个控制域,包括规划和组织(Plan and Organize)、获得和实施(Acquire and Implement)、交付与支持(Deliver and Support)以及监视与评价(Monitor and Evaluate)。在这4个控制域中,包括34个控制过程以及318个详细控制目标。COBIT在创建了一个IT管理框架的同时,提供了支持工具集,用来帮助管理者弥补控制需求与技术问题、业务风险之间的差距。目前,已在世界100多个国家的重要组织或企业中运用,指导这些组织有效地利用信息资源,有效地管理与信息相关的风险。
从20世纪80年代开始,在全国信息技术标准化技术委员会下属的信息安全分技术委员会和社会各界的努力下,吸收转化了一批国际信息安全基础技术标准,同时也积极制定了具有我国特色的信息安全标准。1985年,发布了第一个标准GB4943“信息技术设备的安全”,并于1994年发布了第一批信息安全技术标准。截至2008年11月,国家共发布有关信息安全技术、产品、测评和管理的国家标准69项(不包括密码与保密标准)。同时,公安部、国家保密局、国家密码管理委员会等相继制定、颁布了一批信息安全的行业标准,为推动信息安全技术在各行业的应用和普及发挥了积极的作用。
《中华人民共和国标准化法》将中国标准分为国家标准、行业标准、地方标准(DB)、企业标准(QB)四级。其中,国家标准由中国国家标准化管理委员会制定;行业标准由国务院有关行政主管部门制定,目前,主导网络安全行业标准制定的主要是工信部和公安部;企业生产的产品没有国家标准和行业标准,应当制定企业标准作为组织生产的依据,并报有关部门备案。除了国家强制标准之外,其他标准采取自愿遵守的原则。
我国的信息安全标准体系包括6个部分,如图1-9所示,分别是基础标准、技术与机制标准、管理标准、测评标准、密码技术标准和保密技术标准。基础标准主要定义或描述信息安全领域的安全术语、体系结构、模型、框架等内容。技术与机制标准主要包括标识与鉴别、授权与访问控制、实体管理、物理安全等内容。管理标准主要包括管理基础、管理要素、管理支撑技术、工程与服务等内容。测评标准主要分为基础标准、产品标准、系统标准三部分,每一部分均针对其对象提出了安全级别标准及相应的测试方法。密码技术标准主要包括基础标准、技术标准和管理标准三部分,基础标准描述了密码术语、密钥算法配用和密钥配用;技术标准涉及密码协议、密码管理、密码检测评估、密码算法、密码芯片、密码产品、密码管理应用接口以及密码应用服务系统等内容;管理标准设计密码产品的开发、生产及使用等内容。保密技术标准主要分为技术标准和管理标准两部分,技术标准包括电磁泄漏发射防护与检测、涉密信息系统技术要求和测评、保密产品技术要求和测评、涉密信息消除和介质销毁以及其他技术标准等内容;管理标准包括电子文件管理、涉密信息系统管理和实验室要求三部分内容。
在我国众多的信息安全标准中,公安部主持制定、国家质量技术监督局发布的中华人民共和国国家标准 GB17895−1999《计算机信息系统安全保护等级划分准则》被认为我国信息安全标准的奠基石。准则将信息系统安全分为5个等级:自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。主要的安全考核指标有身份认证、自主访问控制、数据完整性、审计等,这些指标涵盖了不同级别的安全要求。在该准则中给出了计算机信息系统、可信计算基、主体、客体、敏感标记、安全策略、信道、隐蔽信道、访问监控器等定义,其中,计算机信息系统可信计算基(Trusted Computing Base of Computer Information System)的定义是计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。
图1-9 国家信息安全标准体系
除了GB17895−1999标准之外,我国制定的GB/T 18336−2001《信息技术安全性评估准则》和GB/T 20269−2006《信息安全技术信息系统安全管理要求》等信息安全标准对指导我国信息安全领域的具体实践起到了重要的作用。
下面仅列出部分网络安全技术标准供参考。
(1)国家标准
GB/T 25070−2010《信息系统等级保护安全设计技术要求》
GB/T 20271−2006《信息系统通用安全技术要求》
GB/T 16264.8−2005《信息技术开放系统互连目录第八部分:公钥和属性证书框架》
GB/T 19717−2005《基于多用途互联网邮件扩展(MIME)的安全分组交换》
GB/T 19771−2005《信息技术 安全技术公钥基础设施 PKI组件最小互操作规范》
GB/T 20270−2006《信息安全技术网络基础安全技术要求》
GB/T 20275−2006《信息安全技术入侵检测系统技术要求和测试评价方法》
GB/T 20280−2006《信息安全技术网络脆弱性扫描产品测试评价方法》
(2)密码行业标准
GM/T 0001−2012 祖冲之序列密码算法
GM/T 0002−2012 SM4分组密码算法
GM/T 0003−2012 SM2椭圆曲线公钥密码算法
(3)公安部制定的行业标准
GA 216.1−1999 计算机信息系统安全产品部件第一部分:安全功能检测
GA/T 671−2006 信息安全技术终端计算机系统安全等级技术要求
GA/T 681−2007 信息安全技术网关安全技术要求
GA/T 684−2007 信息安全技术交换机安全技术要求
GA/T 686−2007 信息安全技术虚拟专用网安全技术要求
GA/T 687−2007 信息安全技术公钥基础设施安全技术要求
(4)安全管理体系标准
GB/T 20269−2006《信息系统安全管理要求》
GB/T 22080−2008《信息安全管理体系要求》
GB/T 22081−2008《信息安全管理实用规则》
GB/T 20282−2006《信息系统安全工程管理要求》
GB/T 25067−2010《信息安全管理体系审核认证机构的要求》
GB/Z 20985−2007《信息安全事件管理指南》
GB/T 20269−2006《信息系统安全管理要求》
GB/T 20984−2007《信息安全风险评估规范》
GB/T 20988−2007《信息系统灾难恢复规范》
GB/Z 20986−2007《信息安全事件分类分级指南》
(5)服务资质标准
GB/T 20261−2006《信息技术系统安全工程能力成熟度模型》
GB/T 24405.1−2009《信息技术服务管理第一部分:规范》
GB/T 24405.2−2010《信息技术服务管理第二部分:实践规则》
YD/T 1799−2008《网络与信息安全应急处理服务资质评估方法》
YD/T 2252−2011《网络与信息安全风险评估服务能力评估方法》
YD/T 1621−2007《网络与信息安全服务资质评估准则》
自从1973年瑞典率先在世界上制定第一部含有计算机犯罪处罚内容的《瑞典国家数据保护法》,迄今已有数10个国家相继制定、修改或补充了惩治计算机犯罪的法律,其中既包括已经迈入信息社会的美欧日等发达国家,也包括正在迈向信息社会的巴西、韩国、马来西亚等发展中国家。根据英国学者巴雷特的归纳,各国对计算机犯罪的立法,主要采取了2种方案:一种是制定计算机犯罪的专项立法,如美国、英国等;另一种是通过修订法典,增加规定有关计算机犯罪的内容,如法国、俄罗斯等。我国的信息安全立法工作发展较快,目前,我国现行法律法规中,与信息安全有关的已有近百部,它们涉及网络与信息系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒与危害性程序防治、金融等特定领域的信息安全、信息安全犯罪制裁等多个领域,初步形成了我国信息安全的法律体系。
美国的计算机犯罪立法最初是从州开始的。1978年,佛罗里达州率先制定了计算机犯罪法,随后其他各州均纷纷起而效之。目前,世界多数国家均颁布了有关信息安全的法律法规。美国先后颁布了《信息自由法》《计算机欺诈和滥用法》《计算机安全法》《国家信息基础设施保护法》《通信净化法》《个人隐私法》《儿童网上保护法》《爱国者法案》《联邦信息安全管理法案》《关键基础设施标识、优先级和保护》《涉密国家安全信息》等法律法规。国外重要的信息安全法律法规还有德国的《信息和通信服务规范法》、法国的《互联网络宪章》、英国的《三R互联网络安全规则》以及俄罗斯的《联邦信息、信息化和信息保护法》、日本的《电讯事业法》等,欧洲理事会也出台了《网络犯罪公约》。
我国信息安全法律体系建设是从20世纪80年代开始,1994年2月,国务院颁布的《中华人民共和国计算机信息系统安全保护条例》赋予公安机关行使对计算机信息系统的安全保护工作的监督管理职权。1995年2月,全国人大常委会颁布的《中华人民共和国人民警察法》明确了公安机关具有监督管理计算机信息系统安全的职责。我国有关信息安全的立法原则是重点保护、预防为主、责任明确、严格管理和促进社会发展。
我国的信息安全法律法规从性质及适用范围上可分为以下几类。
(1)通用性法律法规
如宪法、国家安全法、国家秘密法,电子签名法等,这些法律法规并没有专门针对信息安全进行规定,但它所规范和约束的对象中包括了危害信息安全的行为。
(2)惩戒信息犯罪的法律
这类法律包括《中华人民共和国刑法》《全国人大常委会关于维护互联网安全的决定》等。这类法律中的有关法律条文可以作为规范和惩罚网络犯罪的法律规定。
(3)针对信息网络安全的特别规定
这类法律规定主要有《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国计算机信息网络国际联网管理暂行规定》《中华人民共和国计算机软件保护条例》等。这些法律规定的立法目的是保护信息系统、网络以及软件等信息资源,从法律上明确哪些行为违反法律法规,并可能被追究相关民事或刑事责任。
(4)规范信息安全技术及管理方面的规定
这类法律主要有《商用密码管理条例》《计算机信息系统安全专用产品检测和销售许可证管理办法》《计算机病毒防治管理办法》等。
目前,我国信息安全法律法规体系主要由6个部分组成,分别是法律、行政法规、部门规章和规范性文件、地方性法规、地方政府规章和司法解释。这些法律由不同的立法机构制定,因此,它们的法律效力层次是不同的,根据立法层次不同,也可以将我国网络安全立法体系框架分为4个层面:法律、行政法规、地方性法规和规章。
1)法律层面
我国全国人民代表大会和全国人民代表大会常务委员会制定和修改与网络安全相关的法律。现行网络安全相关法律主要有《治安管理处罚条例》《刑事诉讼法》《国家安全法》《保守国家秘密法》《行政处罚法》《行政诉讼法》《电子签名法》《全国人大常委会关于维护互联网安全的决定》等。
其中,2000年12月28日,第九届全国人民代表大会常务委员会第十九次会议通过的《全国人大常委会关于维护互联网安全的决定》是我国第一部关于互联网安全的专门法律,主要从保障互联网的运行安全,维护国家安全和社会稳定,维护社会主义市场经济秩序和社会管理秩序,保护个人、法人和其他组织的人身和财产等合法权利这4个方面,明确规定了对构成犯罪的行为,依照刑法有关规定追究刑事责任。
1997年,《刑法》除了分则规定的大多数犯罪罪种(包括危害国家安全罪,危害公共安全罪,破坏社会主义市场经济秩序罪,侵犯公民人身权利、民主权利罪,侵犯财产罪,妨害社会管理秩序罪等)适用于利用计算机网络实施的犯罪以外,还专门在第二百八十五条和第二百八十六条
分别规定了非法入侵计算机信息系统罪和破坏计算机信息系统罪,共两条四款。
2)行政法规层面
国务院可以根据宪法和法律制定网络安全相关行政法规。我国与网络安全相关的行政法规主要有《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国计算机信息网络国际联网管理暂行规定》《商用密码管理条例》《中华人民共和国电信条例》《互联网信息服务管理办法》《计算机软件保护条例》等。其中,《计算机信息系统安全保护条例》是我国第一部涉及计算机信息系统安全的行政法规。《条例》赋予“公安部主管全国计算机信息系统安全保护工作”的职能。主管权体现在:①监督、检查、指导权;②计算机违法犯罪案件查处权;③其他监督职权,并规定了计算机信息系统安全保护的基本制度:①计算机信息系统建设和使用制度;②安全等级保护制度;③计算机机房及其环境管理制度;④国际联网备案制度;⑤计算机信息系统使用单位的安全管理制度;⑥信息媒体进出境申报制度;⑦案件强制报告制度;⑧计算机病毒防治专管制度;⑨对计算机信息系统安全专用产品的销售实行许可证制度。
3)地方法规层面
省、自治区、直辖市的人民代表大会及其常务委员会根据本行政区域的具体情况和实际需要,在不与宪法、法律、行政法规相抵触的前提下,可以制定与网络安全相关的地方性法规。例如,《广东省计算机信息系统安全保护管理规定》《广东省计算机信息系统安全保护管理规定实施细则》《四川省计算机信息系统安全保护管理办法》等。
4)规章层面
国务院各部、委员会、中国人民银行、审计署和具有行政管理职能的直属机构,可以根据法律和国务院的行政法规、决定、命令,在本部门的权限范围内制定网络安全相关的规章。我国网络安全相关的主要现行规章包括国家保密局制定的《计算机信息系统保密管理暂行规定》《计算机信息系统国际联网保密管理规定》《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》《涉密计算机信息系统建设资质审查和管理暂行办法》《关于加强政府上网信息保密管理的通知》等,公安部制定的《信息安全等级保护管理办法》《计算机信息系统安全专用产品检测和销售许可证管理办法》《计算机病毒防治管理办法》《计算机信息网络国际联网安全保护管理办法》等,信息产业部制定的《互联网电子公告服务管理规定》《软件产品管理办法》《计算机信息系统集成资质管理办法》《国际通信出入局管理办法》《国际通信设施建设管理规定》《中国互联网络域名管理办法》《电信网间互联管理暂行规定》。此外,中国人民银行和公安部共同制定的《金融机构计算机信息系统安全保护工作暂行规定》,教育部制定的《中国教育和科研计算机网暂行管理办法》和《教育网站和网校暂行管理办法》等规章均与网络安全相关。
我国信息安全法律法规体系的建立,有效地促进了信息安全工作的有序开展。然而,信息安全是一个多层面、极其复杂的问题,不仅涉及技术领域,也深入到社会的各个层面,安全技术、安全管理、法律法规以及伦理道德等均与信息安全息息相关。只有信息安全的各个领域、层面不断丰富、完善、发展,才能最大限度地满足人们对信息安全的需求。
简答题
1.信息安全的发展过程主要经历了哪些阶段?
2.信息安全的意义是什么?
3.信息保障的内容是什么?
4.应该如何理解信息安全的体系结构?
5.数据安全与内容安全的有什么区别?
6.CC标准与BS 7799标准有什么区别?
7.我国有关信息安全的法律法规有什么特点?
辨析题
1.有人说“信息安全就是网络安全”,你认为正确与否,为什么?
2.有人说“信息安全问题使用安全技术就可以完美地解决”,你认为正确与否,为什么?
3.有人说“保守国家秘密是那些涉密人员的事情,与我无关”,你认为正确与否,为什么?