下载掌阅APP,畅读海量书库
立即打开
中国工程院院士方滨兴指出国家的信息安全保障体系要加强密码技术的开发与应用,建设网络信息安全体系;加强网络信息安全风险评估工作,建设和完善信息安全监控体系;高度重视信息安全应急处置工作,重视灾难备份建设。信息安全保障能力建设要以提升国家信息安全保障能力为标准,着眼长远、抓住关键、突出重点,综合运用信息安全技术手段,整合信息安全保障力量,完善信息安全法规政策,保障信息内容、信息系统、信息基础设施、信息交互、信息认知等各个方面的安全。
国家建立安全保障体系的目的是加强信息安全防护能力,提高隐患发现能力,提升网络应急反应能力,增强信息对抗能力。因此,要增强国家信息安全保障能力,必须重视人才培养,加强自主研发与创新,掌握核心安全技术,大力推动国家信息安全基础建设,完善信息安全的法律保障能力、基础支撑能力等。
信息安全管理体系(Information Security Management System,ISMS)是通过计划、组织、领导、控制等措施以实现信息安全目标的相互关联或者相互作用的一组要素。国际信息安全管理标准体系(ISO 17799/BS 7799 Information Security Certification)是2000年12月ISO正式发布的有关信息安全的国际标准,包括信息系统安全管理和安全认证两大部分。企业和组织可以将ISO/IEC 17799作为衡量信息安全管理体系规范程度的一个标准和指标。我国已经将ISO/IEC 27001:2005(《信息安全管理体系要求》)等同转化为中国国家标准GB/T 22080—2008/ISO/IEC 27001:2005(《信息技术 安全技术 信息安全管理体系 要求》)(2008年6月19日发布,2008年11月1日实施),将ISO/IEC 27002:2005等同转化为中国国家标准GB/T 22081—2008/ISO/IEC 27002:2005(《信息技术 安全技术 信息安全管理实用规则》)(2008年6月19日发布,2008年11月1日实施)。全国信息安全标准化技术委员会(TC260)信息安全管理工作组(WG7)正在不断推进信息安全管理体系国家标准的编制和转化工作。
信息安全管理主要涵盖信息安全管理过程中的设备管理、密码管理、网络管理、人员管理、信息安全技术标准以及信息安全等级保护等内容。设备管理是指对网络中的安全产品,如防火墙、VPN、防病毒、入侵检测、漏洞扫描等,实现统一管理和统一监控,对网络设备进行安全有效的保护。密码管理是指对密码进行有效的安全保护和监控,防止对关于IT服务的未经许可的介入、损伤和干扰,避免对信息及其处理设施的破坏或窃取。网络管理就是保护网络通畅和安全,降低网络系统失效的风险,防止资产被损坏和业务活动被干扰和中断。人员管理则是通过降低人为错误、窃取、欺骗及滥用相关设施的风险,来确保使用者意识到信息安全的威胁。通常采用签署保密协议、定期的安全教育培训、安全事故与教训总结、惩罚等措施来减少人为造成的风险。
不同信息系统的其工作条件和工作性质都不相同,当然对其安全要求也就不尽相同,适合的安全技术和安全机制也不一样。国际标准化组织根据对各种信息系统的分析,提出一些共同的安全要求,制定一些通用的安全技术标准,这些通用的安全技术标准被称作信息安全的基础标准。这些标准在规定了必须遵循的一些原则的前提下,也提供了可供不同信息系统任意选用的多种可用选项。ISO对开放系统的安全问题进行了多方分析研究,开发了各种信息安全技术的基础标准,其中包括安全体系结构、框架和模型、服务和协议的安全扩充、安全技术和安全机制、分布式应用安全、安全管理等。
信息安全等级保护是信息安全保障的一项基本制度,是国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织通过对信息系统分等级而实行安全保护,并对等级保护工作的实施进行监督和管理。一直以来,我国在网络安全方面的主要依据是2007年和2008年颁布实施的《信息安全等级保护管理办法》和《信息安全等级保护基本要求》(称为等保1.0),根据《信息安全等级保护管理办法》的规定,我国信息系统安全分为以下五个等级。
· 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
· 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
· 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
· 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重的损害,或者对国家安全造成严重损害。
· 第五级,信息系统受到破坏后,会对国家安全造成特别严重的损害。
为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护问题,2019年由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作,随着《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019)和《信息安全技术 网络安全等级保护测评要求》(GB/T 28448—2019)等核心标准的正式发布,网络安全等级保护正式进入2.0时代(如图1-5所示)。从等保1.0到等保2.0,安全防护的范围从原有的信息系统扩展到整个网络空间,涵盖了云计算平台、大数据、物联网、移动互联网等多个系统平台和工控安全等。从网络安全、系统安全过渡到网络空间安全,这个过程中传统的安全边界日益模糊,等保2.0正是顺应这个发展趋势而出台的。除了等保1.0要求的定级、备案、建设整改、等级评测与监督检查五个规定动作之外,等保2.0增加了风险评估、安全监测、通报预警、态势感知等新的安全要求。等保2.0安全观念从被动转变到主动防御,让安全管理必须贯穿企业基础设施建设和业务全过程,安全不仅仅是检测、响应、防御,而要全面、整体地考虑到事前、事中、事后,要做到事前能够预警异常事件,事中可以及时阻断攻击和违规行为,并且在各个环节做到全方位、多层次审计。
信息系统的安全风险是指由于系统中存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的后果或影响。信息安全风险评估是依据国家有关信息安全技术标准,对信息系统及其处理、传输和存储信息的保密性、完整性和可用性等安全属性进行科学评价的过程。它要评估导致风险的事件对信息系统的脆弱性、信息系统面临的威胁,以及脆弱性被威胁利用后所产生的后果和实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。
图1-5 网络安全等级保护
信息安全是一个动态的复杂过程,它贯穿于信息资产和信息系统的整个生命周期。信息安全的威胁来自内部破坏、外部攻击和内外勾结进行的破坏以及自然危害。显然,在信息安全风险评估的初级阶段,我们无法精确地预测事件发生的概率,也没有该事件发生后其损失的精确数字(后果),因此,必须按照风险管理的思想,对可能的威胁、脆弱性和需要保护的信息资源进行分析,依据风险评估的结果为信息系统选择适当的安全保护措施,妥善地应对可能发生的风险。
信息安全风险评估工具是信息安全风险评估的辅助手段,是保证风险评估结果可信度的一个重要因素。信息安全风险评估工具包括风险评估与管理工具(如表1-1所示)、系统基础平台风险评估工具和风险评估辅助工具。常见的系统基础平台风险评估工具有流光Fluxay脆弱性扫描工具、Nessus脆弱性扫描工具、极光远程安全评估系统、天镜脆弱性扫描与管理系统、Metasploit渗透工具、Immunity CANVAS渗透测试工具等,风险评估辅助工具常采用调查问卷、人员访谈、入侵检测工具和安全审计工具等。
表1-1 常用风险评估与管理工具
任何信息系统都会有安全风险。人们追求的所谓安全的信息系统,实际上是指信息系统在实施了风险评估并做出风险控制后,残余风险可被接受的信息系统。因此,要追求信息系统的安全,就不能脱离全面、完整的安全评估,就必须运用风险评估的思想和规范,对信息系统开展风险评估。
法律是国家意志的体现,是一种制度保障和行为约束。加快系统和网络方面的立法能够从制度上保障信息的安全性,与从技术上提升网络防范风险的能力相互呼应,使信息安全保障机制更为有效。由于再先进的技术也不免存在漏洞,会被不法分子利用来侵害公民权益、危及国家安全,只有用法律法规对侵害他人及国家安全的不法分子实施制裁和处罚,才能真正地保护广大人民群众的利益和国家的安定。所以,加快网络立法和完善网络信息安全法律法规体系十分重要。
我国在信息安全方面的法律法规体系已初步形成并在不断发展完善。在现行法律法规及规章中,与信息安全直接相关的有100多部,它们涉及信息安全的多个方面,例如网络与信息系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒与危害性程序防治、某些特定领域的信息安全、信息安全犯罪制裁等。
我国信息安全相关法律法规在文件形式上也分多个层次:法律、有关法律问题的决定、司法解释及相关文件、行政法规、法规性文件、部门规章及相关文件、地方性法规与地方政府规章及相关文件等。
现在,我国全面规范信息安全的法律法规有50多部,包括国家和地方法律法规。其中,2017年6月1日起施行的《中华人民共和国网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律;2019年10月第十三届全国人大常委会第十四次会议正式通过《中华人民共和国密码法》,旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益;为了规范密码应用,2019年我国发布了《中华人民共和国电子签名法(2019年修正)》;为了营造良好的网络生态,保障公民、法人和其他组织的合法权益,维护国家安全和公共利益,制定《网络信息内容生态治理规定》行政法规;侧重于信息安全监管的有《互联网新闻信息服务管理规定》;也有重点用于信息安全保密的,包括《中华人民共和国保守国家秘密法》等法律和《计算机信息系统保密管理暂行规定》等部门规章;为了保障数据安全,促进数据开发利用,2020年7月3日,《中华人民共和国数据安全法(草案)》全文在中国人大网公开征求意见。
2017年11月,工业和信息化部印发《公共互联网网络安全突发事件应急预案》,出台细化了现行《网络安全法》关于监测预警与应急处置的已有规定,为基础电信企业、域名注册管理和服务机构以及互联网企业提供了具体的实施标准与指引;同时,拟以规范性文件《网络安全漏洞管理规定(征求意见稿)》,面向社会公开征求意见,加强网络安全漏洞管理。针对网络犯罪案件,公安部颁布了《公安机关办理刑事案件电子数据取证规则》(公通字〔2018〕41号),在执法和司法实践的推动下,在公安机关打击网络犯罪案件中电子数据取证经验的基础上,我国刑事司法领域逐步建立起电子数据取证规则体系。根据规定,公安机关应当根据网络安全防范需要和网络安全风险隐患的具体情况,对互联网服务提供者和互联网使用单位开展监督检查。
还有专门针对特定领域内信息安全的部门规章和地方法规,如2018年公安部发布的《公安机关互联网安全监督检查规定》、2019年8月出台的《儿童个人信息网络保护规定》、2019年十部门联合发布的《加强工业互联网安全工作的指导意见》等。
公民隐私权是自然人享有的私人生活安宁与私人信息秘密依法受到保护,不被他人非法侵扰、知悉、收集、利用和公开的一种人格权,而且权利主体对他人在何种程度上可以介入自己的私生活,对自己是否向他人公开隐私以及公开的范围和程度等具有决定权。随着我国法制的不断完善,公民隐私权的价值逐渐体现出来。我国宪法、民法、刑法、行政法、诉讼法和网络法律都针对公民隐私权出台了相关的法律条规。这些保护公民隐私权的相关法律规定,对于提高公民的权利意识、引导公民树立正确的隐私观念起到了积极作用,但是公民隐私权在我国现行法律体系中还没有成为一项独立的人格权,对公民隐私权进行全面、充分保护的法律还需完善。2020年5月,十三届全国人大常委会工作报告指出,围绕国家安全和社会治理,制定个人信息保护法、数据安全法等。
数字知识产权的保护正在成为社会的普遍关注点。信息化给知识产权带来了数字化的特点,让数字知识产权的保护变得更加复杂和具有挑战性。如何在享有信息化高效性的前提下,构建有效的数字知识产权保护体系成为棘手问题。目前,我国从立法和技术两个方面入手保护数字信息的知识产权。常见的主要技术措施有数字保密、数据完整性、CA认证、软件加密、入侵检测等。针对数字信息种类及内容的多样性而言,我国对数字知识产权保护的立法有待进一步完善。
电子签名是现在网络交互中普遍使用的一种签名认证方法,它是通过电子技术实现的,当然要有明确的操作规则。2004年8月28日,第十届全国人大常委会第十一次会议通过了《中华人民共和国电子签名法》(简称电子签名法),2005年4月1日正式实施。《电子签名法》被称为“我国第一部真正意义上的信息化法律”。《电子签名法》明确规定电子签名与手写签名具有同等的法律效力,在客观上推动了电子商务和电子政务的发展。当然《电子签名法》的实施和完善还有一段漫长的过程,还有许多相关问题需要解决。
我国信息安全法律法规的基本制度可以归纳为统一领导与分工负责、等级保护、技术检测与风险评估、安全产品认证、生产销售许可、信息安全通报、备份等制度;基本原则可以分为国家安全、单位安全和个人安全三者相结合,保护等级、保障信息权利、救济、依法监管、技术中立、权利与义务统一等原则。
目前我国信息安全法律法规及配套体系建设已初见成效,行政管理体系及信息安全相关的司法制度迅速完善,但相应也存在一些问题。例如,目前法律规定中规章制度等偏多但法律少,缺少信息安全基本法,而且与信息安全相关的其他法律也有待完善。
总体而言,我国现行法律法规有待完善的地方主要有以下三个方面:法律法规内容对于涉及信息安全的行为规范规定比较简单;已有法律法规在处罚措施方面规定得不够具体;在特定领域信息安全方面的法律法规还需进一步健全。