互联网相关安全规范内容

互联网相关安全规范内容篇一：网络与信息安全-题目整理 3一、信息、信息安全、Syber 1、 信息 （1） 定义：指音讯、消息、通讯系统传输和处理的对象，泛指人类社会传播的一切内容 就是客观世界中各种事物的变化和特征的最新反映，是客观事物之间联系的表征，也是客观事物状态经过传递后的再现。 （2）信息的特点： a:消息 x发生的概率 P(x)越大，信息量越小；反之，发生的概率越小，信息量就越大。可见，信息量（我们用I来表示）和消息发生的概率是相反的关系。 b:当概率为 1时，百分百发生的事，地球人都知道，所以信息量为 0。 c:当一个消息是由多个独立的小消息组成时，那么这个消息所含信息量应等于各小消息所含信息量的和。 2、 信息安全：保护信息系统的硬件软件及其相关数据，使之不因偶然或是恶意侵犯而遭受 破坏，更改及泄露，保证信息系统能够连续正常可靠的运行。(5 个基本属性见 P1) (1)为了达到信息安全的目标，各种信息安全技术的使用必须遵守一些基本的原则。 最小化原则。受保护的敏感信息只能在一定范围内被共享，履行工作职责和职能的安全主体，在法律和相关安全策略允许的前提下，为满足工作需要。仅被授予其访问信息的适当权限，称为最小化原则。敏感信息的。知情权”一定要加以限制，是在“满足工作需要”前提下的一种限制性开放。可以将最小化原则细分为知所必须(need to know)和用所必须(need 协峨)的原则。 分权制衡原则。在信息系统中，对所有权限应该进行适当地划分，使每个授权主体只能拥有其中的一部分权限，使他们之间相互制约、相互监督，共同保证信息系统的安全。如果个授权主体分配的权限过大，无人监督和制约，就隐含了“滥用权力” 、 “一言九鼎”的安全隐患。 安全隔离原则。隔离和控制是实现信息安全的基本方法，而隔离是进行控制的基础。信息安全的一个基本策略就是将信息的主体与客体分离，按照一定的安全策略，在可控和安全的前提下实施主体对客体的访问。 在这些基本原则的基础上，人们在生产实践过程中还总结出的一些实施原则，他们是基本原则的具体体现和扩展。包括：整体保护原则、谁主管谁负责原则、适度保护的等级化原则、分域保护原则、动态保护原则、多级保护原则、深度保护原则和信息流向原则等。 3、CyberSpace(网络空间，赛博空间) （1）赛博空间是指以计算机技术、现代通讯网络技术，甚至还包括虚拟现实技术等信息技术的综合运用为基础，以知识和信息为内容的新型空间，这是人类用知识创造的人工世界，一种用于知识交流的虚拟空间。 网络空间需要计算机基础设施和通信线路来实现。换句话说，它是在计算机上运行的。然而计算机内所包含什么样的信息才是其真正的意义所在，并且以此作为网络空间价值的衡量标准。信息具有如下重要特点：一是信息以电子形式存在；二是计算机能对这些信息进行处理 （如存储、搜索、索引、加工等） 。 （2）赛博空间对人类知识传播的影响：知识的传播由口述、书面、广播、电视变为赛博媒体，即网络化、虚拟化的媒体，构成了赛博空间中知识传播和交流的基本工具。 （3）网络电磁空间作为人类开辟的第五维空间，其形成经历了计算机网络空间、电磁与网络融合空间、泛在网络电磁空间三个阶段。 （4）站长就是网站的管理员，有着运营整个网站的权限与技术能力。站长眼中的网络空间其实就是虚拟主机。虚拟主机是使用特殊的软硬件技术，把一台真实的物理电脑主机分割成多个的逻辑存储单元，每个单元都没有物理实体，但是每一个逻辑存储单元都能像真实的物理主机一样在网络上工作，具有单独的域名、IP 地址(或共享的 IP地址)以及完整的 Internet 服务器功能。虚拟主机与网站空间其实是一个概念，它有两个作用：a.存放网站的各种网页文件； b.搭建网站正常运行的各种服务。 （5）建设“战略清晰”的网络安全保障体系是复杂的系统工程。其基本构架为：“四个层面、两个支撑、一个确保” 。 层面一：要有良好信息基础设施，加强网络安全平台及密码基础设施建设。建立安全事件应急响应中心、数据备份和灾难恢复设施和安全保密监控平台，具有攻防兼备能力。 层面二：需要自己的过硬技术，强化国家网络安全技术防护体系。采用先进技术手段，确保网络和电信传输、应用区域边界、应用环境等环节的安全，解决受制于人的问题，能抵御 apt攻击。 （6）网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的。凡将地理位置不同，并具有独立功能的多个计算机系统通过通信设备和线路而连接起来，且以功能完善的网络软件（网络协议、信息交换方式及网络操作系统等）实现网络资源共享的系统，可称为计算机网络。 二、信息系统安全设计的一般原则 （1）选择先进的网络安全技术、进行严格的安全管理、遵循完整一致性、坚持动态性、实行最小化授权、实施全面防御、建立控制点、监测薄弱环节、失效保护。 （2）适度安全原则 从网络、主机、应用、数据等层面加强防护措施，保障信息系统的机密性、完整性和可用性，同时综合成本，针对信息系统的实际风险，提供对应的保护强度，并按照保护强度进行安全防护系统的设计和建设，从而有效控制成本。 重点保护原则 根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。技术管理并重原则 把技术措施和管理措施有效结合起来，加强信息系统的整体安全性。 标准性原则 信息安全建设是非常复杂的过程，在规划、设计信息安全系统时，单纯依赖经验是无法对抗未知的威胁和攻击，因此需要遵循相应的安全标准，从更全面的角度进行差异性分析。 同时，在规划、设计信息安全保护体系时应考虑与其他标准的符合性，在方案中的技术部分将参考 IATF安全体系框架进行设计，在管理方面同时参考 27001安全管理指南，使建成后的等级保护体系更具有广泛的实用性。动态调整原则 信息安全问题不是静态的，它总是随着安全组织策略、组织架构、信息系统和操作流程的改变而改变，因此必须要跟踪信息系统的变化情况，调整安全保护措施。 成熟性原则 本方案设计采取的安全措施和产品，在技术上是成熟的，是被检验确实能够解决安全问题并在很多项目中有成功应用的。 科学性原则 在对信息系统进行安全评估的基础上，对其面临的威胁、弱点和风险进行了客观评价，因此规划方案设计的措施和策略一方面能够符合国家等级保护的相关要求，另一方面也能够很好地解决信息网络中存在的安全问题，满足特性需求 三、国际信息安全发展态势、各国应对策略1、国际信息安全发展态势： （1）信息安全技术发展的关联性、主动性显著加强；（2）信息安全产品呈现高效化、系统化、集成化趋势； （3）信息安全产业形态向服务化方向发展； （4）信息安全技术和产品的应用的领域不断拓展； （5）互联网空间成为信息安全主战场； 其他国家应对策略： （1）当前，随着信息化的不断深入，各国纷纷重视信息安全保障工作，从战略、组织结构、军事、外交、科技等各个方面加强信息安全保障工作力度。 在战略方面，发布网络安全战略、政策评估报告、推进计划等文件； 在组织方面，通过设立网络安全协调机构、设立协调官，强化集中领导和综合协调； 在军事方面，陆续成立网络战司令部，开展大规模攻防演练，招募网络战精英人才，加快军事网络和通信系统的升级改造，网络战成为热门话题； 在外交方面，信息安全问题的国际交流与对话增多，美欧盟友之间网络协同攻防倾向愈加明显，信息安全成为国际多边或双边谈判的实质性内容； 在科技方面，各国寻求走突破性跨越式发展路线推进技术创新，力求在科技发展上保持和占据优势地位。 （2）将信息安全视为国家安全的重要组成部分；积极推动信息安全立法和标准规范建设；重视对基础网络和重要信息系统的监管和安全测评；普遍重视信息安全事件应急响应；普遍认识到公共私营合作伙伴关系的重要性，一方面政府加强管理力度，一方面充分利用社会资源。 2、我国信息安全面临的形势和存在的问题 第一，世界各国不断加大在网络空间的部署，爆发国家级网络冲突的风险不断增加。 第二，贸易保护“安全壁垒”被广泛使用，将波及整个信息技术产业。 第三，西方国家将我国树为网络公敌，将进一步加强针对我国的网络遏制行为。 第四，有针对性的网络安全事件增多，造成的经济和社会影响将进一步加深。 第五，云计算、移动互联网等新兴技术应用日趋深入，信息安全问题威胁将更加突出。 我国信息安全的应对之策 （1）明确我国信息安全发展战略定位。明确我国在网络空间的核心利益，将定位到国家安全角度;认清我国信息安全问题的根源，明确独立自主的信息安全技术产业体系在保障国家信息安全中的重要性;充分考虑到我国的发展现状，承认在技术产业上的巨大差距，循序渐进地发展技术产业，有选择地学习和吸收西方技术，充分保持自主性。（2）全面构建信息安全积极防御体系。采取以防为主的积极防御策略，强化对安全风险、威胁和安全事件的预防和发现能力，构建以可信计算、访问控制等为基础的主动防御技术体系;整合现有技术手段和信息资源，形成国家网络空间积极防御协作机制，建设国家网络空间战略预警平台;建立跨部门、(来自: 小 龙 文档网:互联网相关安全规范内容)跨行业的应急处置体系，提高国家对信息安全事件的处置能力;研究各种网络攻防对抗技术，提升网络攻防能力;加强有关信息安全漏洞、恶意代码等核心信息的共享，提升对漏洞分析验证、恶意代码检测等核心技术能力。（3）打造自主信息安全产业生态体系。加强顶层设计，明确信息安全技术重点发展方向，扶持信息安全“国家队”;在当前我国信息技术产品高度依赖国外的情况下，加快推进可信计算产业化，并有序推进国产化替代;充分发挥举国体制优势，支持安全芯片、操作系统、应用软件、安全终端产品等核心技术和关键产品研发，实现关键技术和产品的技术突破;联合产业上下游企业，整合自主信息安全产业链;坚持以应用促发展，支持政府部门和重要领 域率先采用具有自主信息安全技术产品，带动从基础产品到应用产品和服务的具有完全自主知识产权产业发展。四、信息安全管理条例、法律、法规 法律法规体系,具体条款解释，地方法律法规 （1） 法律有几个层次:国家、地区、部门、相关条文解释 见法律法规； （2）1984 年美国国防部发布的可信计算机系统评估准则 （Trusted Computer System Evaluation Criteria）即桔皮书。 目的： 为制造商提供一个安全标准； 为国防部各部门提供一个度量标准，用来评估计算机系统或其他敏感信息的可信度； 在分析、研究规范时，为指定安全需求提供基础。 计算机系统安全评价标准 TCSEC：4 等 7级（内容要知道） 无保护级 D类安全等级 D 类安全等级只包括 D1一个级别。D1 的安全等级最低。D1 系统只为文件和用户提供安全保护。D1 系统最普通的形式是本地操作系统，或者是一个完全没有保护的网络。自主保护级 C类安全等级 该类安全等级能够提供审记的保护，并为用户的行动和责任提供审计能力。C 类安全等级可划分为 C1和 C2两类。C1 系统的可信任运算基础体制（Trusted Computing Base，TCB）通过将用户和数据分开来达到安全的目的。在C1系统中，所有的用户以同样的灵敏度来处理数据，即用户认为 C1系统中的所有文档都具有相同的机密性。C2 系统比 C1系统加强了可调的审慎控制。 在连接到网络上时，C2 系统的用户分别对各自的行为负责。C2 系统通过登陆过程、安全事件和资源隔离来增强这种控制。C2 系统具有 C1系统中所有的安全性特征。 强制保护级 B类安全等级 B 类安全等级可分为 B1、B2 和 B3三类。B 类系统具有强制性保护功能。强制性保护意味着如果用户没有与安全等级相连，系统就不会让用户存取对象。 B1 系统满足下列要求：系统对网络控制下的每个对象都进行灵敏度标记；系统使用灵敏度标记作为所有强迫访问控制的基础；系统在把导入的、非标记的对象放入系统前标记它们；灵敏度标记必须准确地表示其所联系的对象的安全级别;当系统管理员创建系统或者增加新的通信通道或 I/O设备时，管理员必须指定每个通信通道和 I/O设备是单级还是多级，并且管理员只能手工改变指定;单级设备并不保持传输信息的灵敏度级别;所有直接面向用户位置的输出（无论是虚拟的还是物理的）都必须产生标记来指示关于输出对象的灵敏度;系统必须使用用户的口令或证明来决定用户的安全访问级别;系统必须通过审计来记录未授权访问的企图。 B2 系统必须满足 B1系统的所有要求。另外，B2 系统的管理员必须使用一个明确的、文档化的安全策略模式作为系统的可信任运算基础体制。B2 系统必须满足下列要求：系统必须立即通知系统中的每一个用户所有与之相关的网络连接的改变；只有用户能够在可信任通信路径中进行初始化通信；可信任运算基础体制能够支持独立的操作者和管理员。 B3 系统必须符合 B2系统的所有安全需求。B3 系统具有很强的监视委托管理访问能力和抗干扰能力。B3 系统必须设有安全管理员。B3 系统应满足以下要求:除了控制对个别对象的访问外，B3 必须产生一个可读的安全列表；每个被命名的对象提供对该对象没有访问权的用户列表说明;B3系统在进行任何操作前，要求用户进行身份验证；B3 系统验证每个用户，同时还会发送一个取消访问的审计跟踪消息；设计者必须正确区分可信任的通信路径和其他路 径；可信任的通信基础体制为每一个被命名的对象建立安全审计跟踪；可信任的运算基础体制支持独立的安全管理。验证保护级 A类安全等级 A 系统的安全级别最高。目前，A 类安全等级只包含A1一个安全类别。A1 类与 B3类相似，对系统的结构和策略不作特别要求。A1 系统的显著特征是，系统的设计者必须按照一个正式的设计规范来分析系统。对系统分析后，设计者必须运用核对技术来确保系统符合设计规范。A1 系统必须满足下列要求：系统管理员必须从开发者那里接收到一个安全策略的正式模型;所有的安装操作都必须由系统管理员进行；系统管理员进行的每一步安装操作都必须有正式文档。 这信息安全保障阶段，欧洲四国（英、法、德、荷）提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则（ITSEC）后，美国又联合以上诸国和加拿大，并会同国际标准化组织（ISO）共同提出信息技术安全评价的通用准则（CC for ITSEC） ，CC 已经被五技术发达的国家承认为代替 TCSEC的评价安全信息系统的标准。目前，CC已经被采纳为国家标准 ISO 15408。 篇二：互联网信息服务单位网络安全责任告知书 互联网信息服务单位网络安全责任告知书 为了保护网络信息安全，保障公民、法人和其他组织的合法权益，维护国家安全和社会公共利益，根据中华人民共和国计算机信息系统安全保护条例 、 计算机信息网络国际联网安全保护管理办法等相关法律法规规定，现就你单位应依法履行的网络安全责任告知如下： 一、具备法律法规所要求的相应资质； 互联网信息服务提供者应为独立承担法律责任的主体，从事互联网信息服务依据法律、行政法规以及国务院有关决定，需经有关部门许可的应取得相应许可资质。 二、依法接受公安机关监督、检查、指导； 三、协助公安机关依法查处涉网违法犯罪活动； 四、根据中华人民共和国计算机信息系统安全保护条例 、 计算机信息网络国际联网安全保护管理办法 、互联网安全保护技术措施规定 、 互联网交互式服务安全保护要求 、 互联网服务安全评估基本程序及要求 （超链）等相关法律法规以及安全管理标准规范，履行违法信息过滤、公共信息巡查、用户资质查验、日志信息留存和应急快速处置等安全保护义务，落实安全管理责任和相关安全保护技术措施； 五、在网站首页显著位置张贴公安机关核发的备案图标； 六、当网站备案信息发生变更时，请您于变更后 30日内登录本平台提交变更信息，若未按规定要求、时限办理变更手续，公安机关将依法通知接入商暂停网站接入； 七、当网站不再开办时，请您于个工作日内登录本平台，向属地公安机关网安部门提出注销申请。 我已阅知上述告知事项，保证提交内容真实有效，承诺履行上述网络安全义务。 签名（盖章）： 年 月 日 篇三：公安部关于互联网安全保护技术措施的规定XX 年 11月 24日， 互联网安全保护技术措施规定（以下简称“规定” ）已经公安部部长办公会审议通过，于12月 13日正式颁布，并将于 XX年 3月 1日起实施。 互联网安全保护技术措施规定 规定是与计算机信息网络国际联网安全保护管理办法 （以下简称“管理办法” ）相配套的一部部门规章。规定从保障和促进我国互联网发展出发，根据管理办法的有关规定，对互联网服务单位和联网单位落实安全保护技术措施提出了明确、具体和可操作性的要求，保证了安全保护技术措施的科学、合理和有效的实施，有利于加强和规范互联网安全保护工作，提高互联网服务单位和联网单位的安全防范能力和水平，预防和制止网上违法犯罪活动。 规定的颁布对于保障我国互联网安全将起到促进作用。 一、制定规定的必要性 随着我国互联网的发展和普及，互联网安全问题日益凸现。目前，我国互联网上网用户已经突破 1亿人，成为世界上第二大互联网用户国。网上论坛、电子邮件、网上短消息、网络游戏、电子商务和搜索引擎等网上服务已经成为人民群众工作学习、生活娱乐的重要工具，互联网在经济社会发展中的作用越来越突出。与此同时，互联网上淫秽色情、赌博等有害信息传播、垃圾电子邮件和垃圾短信息泛滥，计算机病毒传播和网络攻击破坏频繁发生，网上违法犯罪活动不断增多，严重危害了上网用户的合法权益和互联网服务单位的正常运营，人民群众反映强烈，给我国互联网的发展带来严重的负面影响。据统计，XX 年我国接报互联网违法犯罪案件 2700起, XX年达到万起，并且还保持着较快的增长态势。网上淫秽色情、赌博和诈骗活动已经成为多发性违法犯罪案件，仅今年以来公安机关就依法关闭境内淫秽色情和赌博网站 1800余个。近年来，公安机关的调查表明，每年我国有半数以上的联网单位发生各种信息网络安全事件，联网用户计算机病毒的感染率持续保持在 80%以上的较高水平。同时，我国也已经成为国际上互联网垃圾电子邮件接收和发送大国，据有关单位统计，国内用户平均每天收到的垃圾电子邮件达到 6000 余万封。 有效防范和打击网上违法犯罪和治理各种有害垃圾信息，需要“打防结合” ，动员社会各界力量开展综合治理。当前，在防范打击和治理工作中，安全技术保护措施滞后和不落实的问题比较突出。目前，我国联网单位防范网络攻击和计算机病毒传播的安全保护技术措施使用率低，大部分安全保护技术措施的使用率低于 25%；同时安全保护技术措施缺乏必要的管理维护，一些措施形同虚设，使用效果很不理想。XX 年，公安机关侦办的一起 “僵尸网络”入侵案件中，犯罪嫌疑人利用国内联网单位安全保护技术措施不落实的漏洞，在一年时间内入侵并控制了国内 6万余台联网主机，造成了很大危害。此外，因安全保护技术措施不落实造成的用户资料信息和帐号密码泄露等案（事）件频繁发生，给上网用户和互联网服务单位造成了很大损失，也严重影响了电子商务等互联网应用服务的发展。 落实安全保护技术措施是有效防范、打击网上违法犯罪活动和治理有害垃圾信息的重要保障。经国务院批准，公安部于 1997年颁布实施的计算机信息网络国际联网安全保护管理办法第十条明确规定，互联网服务单位和联网使用单位应当落实安全保护技术措施，保障本网络运行安全和信息安全。但是，限于当时我国互联网发展和应用水平，对互联网安全保护技术措施缺乏明确、具体的规定和要求，在实践中难以执行和落实。为了尽快改变互联网服务单位和联网单位安全保护技术措施滞后，不适应当前互联网安全保护工作要求的现状，使安全保护技术措施更加科学、合理、有效，公安部在广泛征求互联网服务单位、联网单位、相关专家和政府有关部门意见的基础上，制定、颁布了互联网安全保护技术措施规定 。 二、 规定的主要内容规定包括立法宗旨、适用范围、互联网服务单位和联网使用单位及公安机关的法律责任、安全保护技术措施要求、措施落实与监督和相关名词术语解释等六个方面的内容，共 19条 XX余字。主要内容是： （一）明确了互联网安全保护技术措施是指保障互联网网络安全和信息安全、防范违法犯罪的技术设施和技术手段，并且规定了负责落实互联网安全保护技术措施的责任主体是互联网服务提供者和联网使用单位，负责实施监督管理工作的责任主体是各级公安机关公共信息网络安全监察部门。 （二）强调了互联网服务单位和联网使用单位要建立安全保护措施管理制度，保障安全保护技术措施的实施不得侵犯用户的通信自由和通信秘密，除法律和行政法规规定外，任何单位和个人未经用户同意不得泄露和公开用户注册信息。 （三）规定了互联网服务单位和联网使用单位应当落实的基本安全保护技术措施，并分别针对互联网接入服务单位、互联网信息服务单位、互联网数据中心服务单位和互联网上网服务单位规定了各自应当落实的安全保护技术措施。安全保护技术措施主要包括：防