信息安全标准与法规

国内外信息安全管理体制及法律法规主要内容•概述•国外信息安全管理体制（美国）•国内信息安全管理体制概述•建立信息安全管理体制，包括建立信息安全管理机构以及制定信息安全的法律政策是构筑国家信息安全保障体系的重要一环。•信息安全保障是一套管理体制。信息保障是美国信息安全界近年提出的一个新概念，是人们对信息安全认识的发展。在计算机出现以前，信息安全的主要内容是通信保密；有了计算机以后，我们讲计算机安全；计算机和通信融合在一起之后，我们讲网络安全。但当网络成为生活一部分的时候，只讲技术不行了，需要有一种制度上的保障，这就是信息保障。它是和质量、安全、管理、制度、可持续发展联系在一起的。如果说以前是从技术的安全到系统的安全，再到管理的安全的话，信息保障则是制度型的安全。我们说必须有一个完整的规范，形成一套制度才是最安全的，信息保障就是把信息安全从技术扩展到管理，进而延伸到制度的信息安全理念。信息安全技术支撑平台信息安全保障体系信息安全基础设施信息安全法律、法规、政策、规章环境信息安全人才培训教育体系信息安全组织机构体系•制定、颁布一系列信息安全的法律法规、政策，甚至信息安全发展战略等等，做到有法可依，有法必依；•完善信息安全组织机构管理体系，进一步强化管理机构的职能，建立高效能的、职责分工明确的行政管理和业务组织体系；•强化信息安全技术防护体系，采用先进技术手段，确保网络和电信传输、应用区域边界、应用环境等环节的安全，既能防外部攻击，又能做到防内部作案；•加强信息基础设施建设，建立安全事件应急响应中心、数据备份和灾难恢复设施、加强密码基础设施（KMI/PKI）的建设，加强信息安全测评认证工作；•确立信息安全人才教育和培训体系，培养大批高质量的信息安全专业人才，此外，加强全民信息安全素质也至关重要。国外信息安全管理体制——以美国为例•信息安全管理体制总框架•美国信息安全环境（法律和政策）•美国信息安全组织机构体系的发展•信息安全具体管理体系介绍美国信息安全管理体制总框架美国信息安全环境美国信息安全组织机构管理体系美国信息安全研发体系美国信息安全应急响应体系美国信息安全测评认证管理体系美国信息安全培训教育体系立法环境政策环境···美国信息安全环境•美国信息安全立法环境•美国信息安全政策环境美国信息安全立法环境电子监控&隐私保护保护联邦信息及信息系统计算机犯罪美国信息安全政策环境1968年联邦监听法1978年外国情报监控法1986年电子隐私保护法1994年执法通信援助法2001年爱国者法案1974年隐私权法1978年金融私有权法案1980年电子基金转让法案1984年冒名存取和计算机诈骗及滥用法案1988年计算机配置与隐私保护法案1934年通讯法案1949年联邦资产和行政管理服务法案1965年布鲁克斯法案1980年文牍简化法案1987年计算机安全法案1995年文牍简化法案1996年信息技术管理改革法案2002年联邦信息安全管理法案（FISMA）政府信息安全改革法案（GISRA）18U.S.C.§1029访问设备欺诈及相关行为18U.S.C.§1030计算机欺诈及相关行为18U.S.C.§1362通信线路、站点与系统18U.S.C.§2511禁止侦听与泄露电话、口头或电子通信18U.S.C.§2701禁止非法访问存贮通信18U.S.C.§2702内容泄漏18U.S.C.§2703政府信息系统访问要求电子监控保护联邦信息和信息系统安全明确机构责任关键基础设施保护明确该领域机构职责12333号行政令联邦情报活动12356行政命令国家安全信息12958号行政命令机密性国家安全信息13011号行政命令联邦信息技术OMBA-130通告之附录三联邦自动化信息资源的安全NSDD-145国家电信和自动信息系统安全政策NSD-42国家安全电信和信息系统的安全的国家政策12472号行政命令国家安全与应急防范电信职责分配13010行政命令关键基础设施保护行政命令13231信息时代的关键基础设施保护PDD-39打击恐怖主义的总统指令PDD-62打击恐怖主义PDD-63保护国家关键基础设施国家信息系统保护计划1.0版网络安全国家战略国土安全保护13228行政命令建立本土安全办公室和本土安全理事会国土安全国家战略信息安全研发1934年通讯法案美国信息安全立法环境•电子监控&隐私保护•保护联邦信息与信息系统的安全•计算机犯罪•信息安全研究与开发1、电子监控及隐私保护•1968年联邦监听法案–赋予执法部门执行通信（口头、有线）监听的权力，并对该权力的执行条件施以规定。•1978年外国情报监控法案（FISA）–实施电子监控，在美国境内获取外国情报信息。•1986年电子通信保密法案（ECPA）–更新1968年联邦监听法案的向关内容，对无线、电子邮件以及计算机传输等通讯方式的执法监控作出规定，融入新技术和能力。•1994年《执法通信援助法案》（CALEA）–明确通信服务提供商对以执法为目的通讯截听负有给予合作的义务。•2001年《爱国者法案》–迎合“9.11”恐怖袭击之后的安全需求，加强执法监控力度。2、保护联邦信息和信息系统安全明确联邦机构信息安全职能•1987年计算机安全法案–目的：改善联邦政府计算机系统内敏感信息的安全保密，要求凡是存有敏感信息的联邦政府的计算机系统必须制定安全计划–将NIST作为联邦民用机构计算机安全的领导机构，负责制定联邦计算机系统的标准•1995年《文牍简化法案》–要求由传统的文案工作形式向在线或网络形式转变，向政府提出了新的安全要求•2000年《政府信息安全改革法案》GISRA–强调了信息保障的概念，要求联邦政府机构建立内部计算机安全机制，防止计算机系统遭受攻击和侵害•《2002年联邦信息安全管理法案》FISMA–进一步确立管理与预算办公室（OMB）在联邦信息和信息系统安全保护中的指导地位，并进一步明确联邦各机构的信息安全职能3、计算机犯罪•州法律–美国的计算机犯罪立法最初是从州开始的。1978年，佛罗里达州率先制定了计算机犯罪法，截至目前，除佛蒙特州以外，其他所有的州都制定了专门的计算机犯罪法。•联邦法律–《冒名存取与计算机诈骗及滥用法》（1984）→《1986年计算机诈骗及滥用法案》→《计算机滥用修正案》→《美国法典》第18篇“犯罪与刑事诉讼”篇第1030条款“计算机欺诈及相关行为”；•禁止在未经授权的情况下或带有欺诈性意图对政府计算机进行访问；–美国法典第18篇的1029款“访问设备欺诈及相关行为”。•禁止利用伪造的访问设备，例如个人身份号码、信用卡、账号、以及各种类型的电子识别器等进行欺诈。4、网络安全研究与开发•《网络安全研发法案》于2002年11月27日发布生效；•授权向国家科学基金会（NSF）以及主管国家标准技术研究所（NIST）的商务部长拨款，通过设立新的项目以及对现有项目增加资金投入，支持和鼓励全美国范围内的计算机和网络安全研发活动。美国信息安全政策环境•OMBA-130通告附录III《联邦自动化信息资源的安全》–提出了包括在联邦自动化信息安全程序中的最基本控制，明确了信息安全的责任•行政命令13010《关键基础设施保护》–建立PCCIP•第63号总统决定指令PDD-63《保护国家关键基础设施》（1998年）–建立一个“公-私”合营的关键基础设施保护合作体制•行政命令13231《信息时代的关键基础设施保护》–建立PCIPB（总统关键基础设施保护委员会）•*《信息系统保护国家计划》1.0版•*《网络安全国家战略》《信息系统保护国家计划》1.0版•2000年1月发布；•补充了PDD-63建立的“公-私”合作体制，为联邦政府保护国家关键网络基础设施免受攻击提供了一个总体行动框架：–三个目标–十个步骤三个目标（PDRR）•准备和防范：减小对美国关键信息网络进行成功攻击的可能性，建立一个面对类似攻击仍能保持有效运转的基础设施。•检测和响应：实时确定和评估攻击，对攻击进行控制，攻击后迅速恢复和重建。•建立牢固的根基:培养专业人员、建立相关组织、完善法律法规。十个步骤•准备和防范：–步骤1：确认关键基础设施资产以及互依赖性，发现其脆弱性•检测和响应：–步骤2：检测攻击和非法入侵–步骤3：开发稳健的情报和执法功能，保持与法律的一致–步骤4：以实时的方式共享攻击警告和信息–步骤5：建立响应、重建和恢复能力•建立牢固的根基–步骤6：为支持程序1—5，加强研究和开发–步骤7：培训和雇佣足够数量的信息安全专家–步骤8：对公众进行网络安全意识培训，使其了解提高网络安全的必要性–步骤9：通过立法和拨款，支持程序1—8–步骤10：在计划的每一步骤和部分中，要完全保护美国公民的自由权、隐私权以及私有数据网络安全国家战略•2003年2月14日正式发布。•进一步明确和协调政府、私营部门以及个人在保护网络基础设施上的职能和责任，调动全社会各个领域的力量，对网络基础设施给予全方位、多层次的保护：–三个战略目标–五个优先发展项目三大战略目标•预防针对美国关键基础设施的网络袭击•减少国家在网络方面的脆弱性•在网络攻击发生之后降低损失并缩短恢复时间五大优先发展项目•建立国家网络安全响应系统•制定国家网络安全威胁和脆弱性减少计划•确立国家网络安全意识教育和培训计划及实施项目•政府网络空间保护•国家安全与国际间的网络安全合作美国信息安全组织机构体系•克林顿时期的信息安全组织机构体系•布什时期的信息安全组织机构框架•担负信息安全及关键信息基础设施保护职能的联邦机构克林顿时期•CIWG•PCCIP•PDD-63：–NIPC、CIAO、NIAC–ISACCIWG•1995年6月，政府成立了一个由司法部长领导的关键基础设施工作组，负责定义国家现有关键基础设施的范围，对其所面临的威胁范围及性质进行评估；同时，工作组还负责审查政府现行的威胁处理机制并制定政府有关关键基础设施威胁响应的长远计划。PCCIP•1996年7月，政府建立了一个专门的委员会——总统关键基础设施保护委员会（PCCIP），全面主持国家关键基础设施的调研工作。在PCCIP运行期间，它向总统和国会提交了若干有关网络关键基础设施保护的解决方案和研究报告，涉及关键基础设施各个领域，从而为日后出台各种关于描述美国国家信息安全和关键基础设施保护的总统决定令以及行政命令奠定了先期的调研基础。PDD-63•1998年发布；•建立关键基础设施“公—私”合作体制的雏形；•建立三个关键基础设施保护宏观协调和支持机构：–国家基础设施保护中心（NIPC)，负责国家一级的威胁评估、预警、漏洞和执法调查及响应；–关键基础设施保障办公室（CIAO)，负责制定有关关键基础设施保护的国家战略；–国家基础设施保障理事会（NIAC)，负责增强公共及私营部门在保护关键基础设施方面的合作。•鼓励私营部门建立一系列信息共享和分析中心(ISAC)，形成收集、分析、过滤和发送信息的机制。总统长官委员会国家基础设施保障理事会国家协调者关键基础设施保障办公室基础设施部门信息与通信银行与金融水资源供给航空、公路、公交系统、管道、铁路、水运贸易应急执法应急消防服务政府连续运作电力、石油及天然气生产和存储公共卫生医疗服务关键基础设施协调小组部门联络领导机构商务部财政部环境保护署交通部司法部/联邦调查局联邦应急响应管理局能源部卫生和福利部特殊职能领导机构司法部/FBI执法/国内安全中央情报局情报国务院外交事务国防部国防科学技术政策办公室OSTP研发信息共享和分析中心ISAC国家基础设施保护中心NIPC注：2001年2月关键设施协调小组被政策协调委员会之下的信息基础设施保护保障小组代替。PDD-63公-私合作体制图总统国家安全事务助理布什时期•PCIPB•DHSPCIPB•2001年10月16日根据13231号总统行政命令建立，作为美国信息安全的核心管理协调机构，由理查德•克拉克任主席。•主要负责提供涉及有关关键基础设施信息系统保护的政策建议；协调和审查联邦各个机构关于关键基础设施保护的各种行动和项目；同时，PCIPB还将与各州和地方政府以及私营部门包括企业界和学术界开展合