信息安全法律法规15-2016

1、 信息安全法律和法规(第15讲）北京信息科技大学 刘凯 课程安排课程安排n总课时：总课时：32课时课时n第一章第一章 信息安全法概述信息安全法概述 4学时学时n第二章第二章 纯正的计算机犯罪纯正的计算机犯罪 4学时学时n第三章第三章 不纯正的计算机犯罪不纯正的计算机犯罪 4学时学时n第四章电子证据及计算机取证第四章电子证据及计算机取证 4学时学时n第五章第五章 与信息安全相关的热点问题与信息安全相关的热点问题 12学时学时n第六章第六章 计算机安全与道德规范计算机安全与道德规范 2学时学时n第七章第七章 计算机犯罪对策计算机犯罪对策 2学时学时nbiti_ n口令：口令：12345678教材及

2、参考书教材及参考书n教材：教材：n信息安全法教程信息安全法教程第二版第二版n 麦永浩麦永浩 袁翔珠袁翔珠 著著 武汉大学出版社武汉大学出版社 2010.6n参考书：参考书：n信息安全法研究信息安全法研究n 马民虎马民虎 主编主编 陕西人民出版社陕西人民出版社 2004.11n网络法学网络法学n张楚张楚 主编主编 高等教育出版高等教育出版 2003.5n法律基础法律基础n教育部社科司教育部社科司 组编组编 高等教育出版社高等教育出版社 2003.7第七章第七章 计算机安全等级保护计算机安全等级保护北京信息科技大学北京信息科技大学 刘凯刘凯 主要内容主要内容n 概述概述n 我国计算机等级保护的主要

3、内容我国计算机等级保护的主要内容n 我国计算机安全保护等级标准我国计算机安全保护等级标准n 解读解读信息安全等级保护管理办法信息安全等级保护管理办法n 第一节第一节 我国计算机安全等级保护我国计算机安全等级保护n等保和重要性等保和重要性n等保的相关法律等保的相关法律n1994年年,保护条例保护条例中提出中提出n2001年，年，划分准则划分准则（GB17859-1999）开始执）开始执行行n2003年，年，意见意见提出加紧等保制度的建设提出加紧等保制度的建设n2004年，年，实施意见实施意见重申等保的意义并部署操作办重申等保的意义并部署操作办法法n2006年，年，管理办法管理办法规定了主要部门的

4、职能规定了主要部门的职能第一节第一节 我国计算机安全等级保护我国计算机安全等级保护n主要内容主要内容n1.对信息系统按业务安全应用域和区实行分级保护：对信息系统按业务安全应用域和区实行分级保护：第一级级为自主保护级、第二级为指导保护级、第三第一级级为自主保护级、第二级为指导保护级、第三级为监督保护级、第四级为强制保护级、第五级为专级为监督保护级、第四级为强制保护级、第五级为专控保护级控保护级n2.对系统中使用的信息安全产品实行按分级许可管理对系统中使用的信息安全产品实行按分级许可管理n3.对等级系统的安全服务资质分级许可管理对等级系统的安全服务资质分级许可管理n4.对信息系统中发生的信息安全事

5、件分等级响应、处对信息系统中发生的信息安全事件分等级响应、处置置第二节第二节 我国计算机安全保护等级标准我国计算机安全保护等级标准n国外等级保护的发展历程国外等级保护的发展历程n1985年，美国国防部公布年，美国国防部公布可信计算机评估标准可信计算机评估标准（TCSEC）n1990年，英、德、法、荷提出年，英、德、法、荷提出信息技术安全评估标信息技术安全评估标准准（ITSEC）n1991年，六国七方开始制定年，六国七方开始制定通用安全评估准则通用安全评估准则（CC）计划，）计划，1996年年1月公布月公布CC1.0版；版；1998年公年公布布CC2.0版，版，1999年年ISO接受接受CC为国

6、际标准为国际标准ISO/IEC15408第二节第二节 我国计算机安全保护等级标准我国计算机安全保护等级标准n我国等保的标准体系及相互关系我国等保的标准体系及相互关系n基础性标准基础性标准n构建过程控制标准构建过程控制标准n测评过程控制标准测评过程控制标准n运行过程控制标准运行过程控制标准n基本思想基本思想n以信息安全五个属性为基本内容，从以信息安全五个属性为基本内容，从5个层面，按个层面，按5个个等级的不同要求，要别对三个过程，实现对不同信息等级的不同要求，要别对三个过程，实现对不同信息类别按不同要求进行分等级安全保护的总体目标。类别按不同要求进行分等级安全保护的总体目标。第二节第二节 我国计

7、算机安全保护等级标准我国计算机安全保护等级标准n划分准则划分准则n第第1级，系统自主保护级级，系统自主保护级n第第2级，系统审计保护级级，系统审计保护级n第第3级，安全标记保护级级，安全标记保护级n第第4级，结构化保护级级，结构化保护级n第第5级，访问验证保护级级，访问验证保护级第三节解读第三节解读信息安全等级保护管理信息安全等级保护管理办法办法n1. 总则总则n公安机关负责信息安全等级保护工作的监督、检查、公安机关负责信息安全等级保护工作的监督、检查、指导指导n国家保密工作部门负责等级保护工作中有关保密工作国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导的监督、检查、指导n国

8、家密码管理部门负责等级保护工作中有关密码工作国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导的监督、检查、指导n涉及其它职能部门管辖范围的事项，由有关职能部门涉及其它职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理依照国家法律法规的规定进行管理n国信办及地方信息化领导小组办事机构负责等级保护国信办及地方信息化领导小组办事机构负责等级保护工作的部门间的协调工作的部门间的协调第三节解读第三节解读信息安全等级保护管理信息安全等级保护管理办法办法n2.等级划分与保护等级划分与保护n信息系统的等级保护分为以下五级；信息系统的等级保护分为以下五级；n第一级，不损害国家安

9、全、社会秩序和公共利益第一级，不损害国家安全、社会秩序和公共利益n第二级，不损害国家安全第二级，不损害国家安全n第三级，社会秩序和公共利益受严重损害，或国家安全受到损第三级，社会秩序和公共利益受严重损害，或国家安全受到损害害n第四级，社会秩序和公共利益受特别严重损害，或国家安全受第四级，社会秩序和公共利益受特别严重损害，或国家安全受到严重损害到严重损害n第五级，对国家安全造成特别严重损害第五级，对国家安全造成特别严重损害第三节解读第三节解读信息安全等级保护管理信息安全等级保护管理办法办法n3. 等级保护的实施与管理等级保护的实施与管理n信息系统建设过程中，应参照有关标准信息系统建设过程中，应参

10、照有关标准n信息系统建设完成后，按要求信息系统建设完成后，按要求定期进行测评定期进行测评，三级系，三级系统至少每年一次；四级至少每半年一次；第五级系统统至少每年一次；四级至少每半年一次；第五级系统应依据特殊安全需求进行安全测评。应依据特殊安全需求进行安全测评。n二级以上系统应到所在地市级以上公安机关备案二级以上系统应到所在地市级以上公安机关备案n公安机关应当对第三级、第四级系统进行定期检查公安机关应当对第三级、第四级系统进行定期检查n对第五级系统，应当由国家指定的专门部门进行检查对第五级系统，应当由国家指定的专门部门进行检查n对三级以上安全产品，和等保测评机构进行规定对三级以上安全产品，和等保

11、测评机构进行规定第三节解读第三节解读信息安全等级保护管理信息安全等级保护管理办法办法n涉密系统的分级保护管理涉密系统的分级保护管理n依据等保的基本要求，按国家保密部门有关涉密系统依据等保的基本要求，按国家保密部门有关涉密系统分级保护的管理规定和技术标准；非涉密系统不得处分级保护的管理规定和技术标准；非涉密系统不得处理国家秘密信息理国家秘密信息n涉密系统按处理信息的最高密级，由低到高分为秘密、涉密系统按处理信息的最高密级，由低到高分为秘密、机密、绝密三个等级机密、绝密三个等级n涉密系统建设需要具有涉密集成资质的单位承担涉密系统建设需要具有涉密集成资质的单位承担n对应于秘密、机密和绝密，其保护水平

12、总体上不低于对应于秘密、机密和绝密，其保护水平总体上不低于等保的第三级、第四级、第五级的水平。等保的第三级、第四级、第五级的水平。n涉密系统的安全产品原则上应当涉密系统的安全产品原则上应当选择国产品选择国产品第三节解读第三节解读信息安全等级保护管理信息安全等级保护管理办法办法n等保的密码管理等保的密码管理n国家密码管理部门对信息安全等级保护的国家密码管理部门对信息安全等级保护的密码实行分密码实行分类分级管理类分级管理。n必须采用经密码办批准的密码产品；不得采用国外引必须采用经密码办批准的密码产品；不得采用国外引进或者擅自研制的密码产品；未经批准不得采用含有进或者擅自研制的密码产品；未经批准不得

13、采用含有加密功能的进口信息技术产品。加密功能的进口信息技术产品。n测评机构需由国家密码管理局认可，其它任何部门、测评机构需由国家密码管理局认可，其它任何部门、单位和个人不得对密码进行评测和监控单位和个人不得对密码进行评测和监控第三节解读第三节解读信息安全等级保护管理信息安全等级保护管理办法办法n法律责任法律责任n三级以上信息系统运营、使用单位违反本法规定，需三级以上信息系统运营、使用单位违反本法规定，需要进行相关处理，造成严重损害的，由相关部门依据要进行相关处理，造成严重损害的，由相关部门依据有关法律、法规给以处理。有关法律、法规给以处理。n信息安全监管部门及其工作人员在履行监管职责中，信息安

14、全监管部门及其工作人员在履行监管职责中，玩忽职守、滥用职权、徇私舞弊的，依法给予行政处玩忽职守、滥用职权、徇私舞弊的，依法给予行政处分；构成犯罪的，依法追究刑事责任。分；构成犯罪的，依法追究刑事责任。n附则附则n180日内确定等保级别；新建系统在设计阶段确定级别日内确定等保级别；新建系统在设计阶段确定级别第八章第八章 技术法规和技术标准技术法规和技术标准北京信息科技大学北京信息科技大学 刘凯刘凯 主要内容主要内容n 概述概述n 网络与信息安全标准研究现状网络与信息安全标准研究现状n 信息安全管理标准信息安全管理标准n信息安全评估标准信息安全评估标准n信息安全服务资质评估准则信息安全服务资质评估

15、准则n信息安全测评认证标准信息安全测评认证标准n 信息安全产品评估标准信息安全产品评估标准概述概述n信息安全标准的基础性、规范性作用信息安全标准的基础性、规范性作用n保证信息安全产品和系统的一致性、可靠性、可保证信息安全产品和系统的一致性、可靠性、可控性控性n信息安全标准体系主要包括信息安全标准体系主要包括n基础标准：术语、体系结构、模型和框架等基础标准：术语、体系结构、模型和框架等n技术标准：各类安全技术标准技术标准：各类安全技术标准n管理标准：系统安全管理、等级保护、工程、评估和管理标准：系统安全管理、等级保护、工程、评估和运行等方面运行等方面n测评标准：评估基础、产品评估、系统评估测评标

16、准：评估基础、产品评估、系统评估n我国我国2002年成立信息安全标委，年成立信息安全标委，TC260，CISTC）第一节第一节 网络与信息安全标准研究现状网络与信息安全标准研究现状n信息安全标准组织简介信息安全标准组织简介n 国际国际nISO /IEO JTC1 所属所属SC27（安全技术分委会）（安全技术分委会）nIEC（国际电工委员会）（国际电工委员会）nITU（国际电信联盟）（国际电信联盟）nIETF（互联网工作任务组）（互联网工作任务组）n国内国内nCITS（信息技术安全标准化技术委员会）（信息技术安全标准化技术委员会）nCCSA（中国通信标准化协会）下辖的网络与信息安全技术工（中国通

17、信标准化协会）下辖的网络与信息安全技术工作委员会作委员会第第2节节 信息安全管理标准信息安全管理标准n发展发展n1995 BS7799-1n1998 BS7799-2n2000.12 ISO17799 n2005.10ISO 27001 2700n 基于风险管理的思想，指导组织建立信息安全管理体系基于风险管理的思想，指导组织建立信息安全管理体系ISMS。nISMSn系统化：安全风险评估、预防控制为主系统化：安全风险评估、预防控制为主n程序化：强调全过程和动态控制程序化：强调全过程和动态控制n文化化：遵守国家有关法律法规和其他合同方要求文化化：遵守国家有关法律法规和其他合同方要求第第2节节 信息

18、安全管理标准信息安全管理标准n主要内容主要内容n第一部分：大管理要项；个执行目标；第一部分：大管理要项；个执行目标；个控制方法个控制方法n第第10要项：法律符合性信息系统的设计、操作和使用均需要项：法律符合性信息系统的设计、操作和使用均需符合法规（刑法、民法、知识产权法等）。符合法规（刑法、民法、知识产权法等）。n 第二部分：第二部分：ISO/IEC27001：2005n用于认证目的，用于认证目的， 可以帮助组织建立和维护可以帮助组织建立和维护ISMSn适用于所有类型的组织适用于所有类型的组织n要求组织通过风险评估的方法，建立、实施、运行、监视、评要求组织通过风险评估的方法，建立、实施、运行、

19、监视、评审、保持和改进其审、保持和改进其ISMSn基于基于“PDCA”过程模型，进行管理和控制过程模型，进行管理和控制第三节第三节 信息安全评估标准信息安全评估标准n1985 TCSECn 机密性机密性n1991年年 ITSECn 机密性、完整性、可用性机密性、完整性、可用性n1996年年 CC（1999年年ISO 15408，GB18336）n安全功能、安全保障安全功能、安全保障n1996年年 ISO 13335n保密性、完整性、可用性、审计性、认证性、可靠性保密性、完整性、可用性、审计性、认证性、可靠性n以风险为核心的安全模型以风险为核心的安全模型n1999年年 GB17895-1999（

20、等级保护）（等级保护）第四节第四节 信息安全服务资质评估标准信息安全服务资质评估标准n适用范围适用范围n有关概念有关概念n信息安全服务信息安全服务n信息安全服务提供者信息安全服务提供者n信息安全服务资质等级信息安全服务资质等级n信息安全工程过程能力级别信息安全工程过程能力级别n信息安全服务评估组织信息安全服务评估组织n信息安全服务类型信息安全服务类型n安全工程、安全测试和监控、安全相关施工、安全咨安全工程、安全测试和监控、安全相关施工、安全咨询和教育、方案试验、其它服务询和教育、方案试验、其它服务第四节第四节 信息安全服务资质评估标准信息安全服务资质评估标准n提供信息安全服务的基本资格要求提供

21、信息安全服务的基本资格要求n提供信息安全服务的基本能力要求提供信息安全服务的基本能力要求n 组织与管理要求组织与管理要求n技术能力要求技术能力要求n人员构成与素质要求人员构成与素质要求n设备、实施与环境要求设备、实施与环境要求 等等等等n信息安全工程过程及能力级别信息安全工程过程及能力级别n信息安全工程是一组与信息安全相关的工程过程的集信息安全工程是一组与信息安全相关的工程过程的集合，至少包括合，至少包括11个基本过程；能力级别可以反映组织个基本过程；能力级别可以反映组织的成熟程度，可以划分的成熟程度，可以划分5个级别个级别n信息安全服务资质等级划分信息安全服务资质等级划分第五节第五节 信息安

22、全测评认证标准信息安全测评认证标准n测评认证工作体系测评认证工作体系n三个层次：信息安全认证管理委员会、信息安全测评三个层次：信息安全认证管理委员会、信息安全测评认证中心、测评分支机构认证中心、测评分支机构n信息安全测评认证中心信息安全测评认证中心第六节第六节 信息安全产品评估标准信息安全产品评估标准n信息安全产品信息安全产品n广义：具备安全功能的产品广义：具备安全功能的产品n狭义：具有安全功能的专用产品狭义：具有安全功能的专用产品n2005年以来的国家标准年以来的国家标准n见书见书p232小结小结1、实施等保的意义、实施等保的意义? 等保标准体系的理解等保标准体系的理解2、信息安全等级保护管

23、理办法信息安全等级保护管理办法的主要内的主要内容容3、信息安全标准、信息安全标准附录附录1 十大重要标准十大重要标准n计算机信息系统安全等级保护划分准则计算机信息系统安全等级保护划分准则 （GB 17859-1999） （基础类（基础类标准）标准）n信息系统安全等级保护实施指南信息系统安全等级保护实施指南 （GB/T 25058-2010） （基础类标准）（基础类标准）n信息系统安全保护等级定级指南信息系统安全保护等级定级指南 （GB/T 22240-2008） （应用类定级（应用类定级标准）标准）n信息系统安全等级保护基本要求信息系统安全等级保护基本要求 （GB/T 22239-2008） （应用类建设（应用类建设标准）标准）n信息系统通用安全技术要求信息系统通用安全技术要求 （GB/T 20271-2006） （应用类建设标准）（应用类建设标准）n信息系统等级保护安全设计技术要求信息系统等级保护安全设计技术要求 （GB/T 2