2021-2022-1学期 20212403《网络空间安全专业导论》第八周学习总结
第1章 网络空间安全概述
1.1 信息时代与信息安全
人类社会在经历了机械化、电气化之后,进入了一个崭新的信息化时代。
在信息时代,电子信息产业成为世界第一大产业。
可以说,在信息时代人们生存在物理世界、人类社会和信息空间组成的三元世界中。
1.1.1 信息技术与产业空前繁荣
(1)我国已经成为信息技术与产业大国
我国已经成为信息技术与产业大国,正逐步成为世界信息技术与产业强国。
目前,大多数的中低档电子信息产品的产量和拥有量,我国也处于世界领先水平。
2019年,我国网民规模数量达到8.29亿,居世界第一。
我国的计算机产量和拥有量都是世界第一。
我国的超级计算机技术居世界领先水平,超级计算机荣登世界第一的次数居世界第一。
2018年8月28日,中国科学院宣布中国已经研制出超导集成电路,并完成测试以及超导计算机体系结构设计。
在通信领域,我国华为公司在5G技术方面独占世界鳌头,而且在算法、芯片,操作系统等核心技术方面拥有自主知识产权,引领世界5G技术发展。
(2)量子信息技术高速发展
量子信息技术高速发展,推动了量子计算机、量子通信和量子密码的发展。
*加拿大的量子计算机是专用型量子计算机,不是通用型量子计算机。因此,有些计算工作能够完成,有些计算工作不能够完成,
*美国的量子计算机是通用型量子计算机。
我国的量子信息技术在一些领域居世界领先水平。
1.1.2 信息安全形势严峻
当前,一方面是信息技术与产业的空前繁荣,另一方面是危害信息安全的事件不断发生。
敌对势力的破坏、黑客攻击、病毒入侵、利用计算机犯罪、网络上的有害内容泛滥、隐私泄露等事件,对信息安全构成了极大威胁,信息安全的形式是严峻的。
(1)敌对势力的破坏
美国已经成为世界网络和信息安全最大的威胁!2018年以来,美国对我国实施贸易制裁和科技封锁,其根本目的是要阻止中国的现代化发展,维持其“一国独霸”的霸主地位。
从中华人民共和国成立到如今,我国已经成功战胜了多次国外对我们的封锁。
我们的国家早已今非昔比,美国的封锁只会给我们制造一些困难,不可能阻止我国胜利前进的步伐。
(2)黑客攻击
黑客攻击已经成为经常性、多发性的事件。目前在我国,只要是全国性或国际性的大型活动,都有可能遭到大量的黑客的攻击。即使是体育或文艺活动,也会遭到黑客攻击。
在国际上,黑客曾经攻破许多国家的政府网站,造成极大的不良影响。
对国计民生影响最大的是对工业控制系统的攻击。
(3)病毒入侵
计算机病毒入侵时人们普遍遭受过的信息安全事件,计算机病毒等恶意代码是黑客攻击的主要武器之一。
目前,计算机病毒已超过几万种,而且还在继续增加。追求经济和政治利益成为研制和使用计算机病毒的新特征。
恶意软件的开发、生产、销售,形成了一条地下产业链。这是值得我们认真对付的。
理论上,任何算法既可以用软件实现,也可以用硬件实现。因此,计算机病毒可以成为软件形式,也可以成为硬件形式。
与软件病毒相比,硬件病毒更难检测,而且无法清除。
我国大量使用国外集成电路,因此遭受硬件病毒攻击的风险很大。
(4)利用计算机进行经济犯罪
利用计算机进行经济犯罪的数量已经超过了传统经济犯罪的数量。
目前,网上银行和电信诈骗是恶性案件的高发区。
(5)网络上的有害内容泛滥
网络上的有害内容泛滥,垃圾邮件满天飞,网络环境亟待规范和治理。
创建网络精神文明成为我们的一项重要任务。在国外,一些国家的“颜色革命”都是伴随着网络上的“颜色舆论”而发生的。
(6)隐私保护问题严重
隐私保护问题十分严重。在国内外已经发生多起个人隐私数据被泄露的严重事件。
在我国也有不法分子在网上公开出售个人信息数据,严重侵犯了公民的隐私权,由此引发了大量恶性治安事件,严重扰乱了社会治安。
更普遍的一个问题是,几乎所有的手机用户都收到过骚扰电话,这也是个人隐私(手机号码)泄露所造成的。
(7)信息战、网络战已经开始
信息技术的发展推动了军事革命,出现了信息战、网络战等新型战法和网军等新型军兵种。
(8)科学技术进步对信息安全的挑战
科学技术的进步也对信息安全提出了新的挑战。
由于量子计算机具有并行性,如果量子计算机的规模进一步提升,则许多现有公钥密码(RSA、ElGamal、ECC等)将不再安全。
即使到了量子计算时代,我们仍然需要确保信息安全,仍然需要使用密码。
但是,在量子计算时代使用什么密码将是摆在我们面前的重大战略问题。
显然,我们应当未雨绸缪,现在就要研究能够抵抗量子计算机攻击的安全密码,确保我国在量子计算时代的信息安全。
另外,随着信息技术的发展,出现了云计算、物联网、大数据和人工智能等新热点。
由于他们的系统特点和工作环境不同,又引发出许多新的信息安全问题和需求。如果这些问题不解决,将影响这些系统的正常应用。
(9)我国在信息领域核心技术的差距,加剧了我国信息安全的严峻性
对于我国来说,信息安全形势的严峻性,不仅在于以上这些威胁,还在于我国在核心技术方面的差距。
1.1.3 我国重视信息安全
我国政府历来高度重视信息安全。“没有网络安全,就没有国家安全。没有信息化,就没有现代化。”
1.2 网络空间安全学科浅谈
网络空间安全事关国家安全、社会稳定、经济发展和公众利益。我们必须加快国家网络空间安全保障体系建设,确保我国的网络空间安全。
确保我国网络空间安全,人才是第一要素。因此,网络空间安全人才培养是我国国家网络空间安全保障体系建设的必备基础和先决条件。网络空间安全学科与专业则是网络空间安全人才培养的基础平台。
1.2.1 网络空间与网络空间安全的概念
网络空间(Cyberspace)是信息时代人们赖以生存的信息环境,是所有信息系统的集合。
把Cyberspace翻译成信息空间或网络空间:信息空间突出了信息环境和信息系统这两大核心内容,网络空间突出了网络互联这一重要特征。
网络空间既是人的生存环境,也是信息的生存环境,因此,网络空间安全是人和信息对网络空间的基本要求。
网络空间是所有信息系统的集合,是复杂的巨系统,所以网络空间的信息安全问题更加突出。
网络空间安全的核心内涵仍是信息安全,没有信息安全就没有网络空间安全。
1.2.2 网络空间安全学科内涵
早期传统的信息安全强调信息(数据)本身的安全属性,认为信息安全主要研究确保信息的以下属性:
秘密性:信息不被未授权者知晓的属性。
完整性:信息是正确的、真实的、未被篡改的、完整无缺的属性。
可用性:信息可以随时正常使用的属性。
我们不能脱离信息系统而孤立地谈论信息安全。
信息系统安全主要包括以下4个层次:设备安全——→数据安全——→行为安全——→内容安全。数据安全即是早期的信息安全。
(1)设备安全
信息系统设备(硬设备和软设备)的安全是信息系统安全的首要问题。包括三方面:
设备的稳定性:设备在一定时间内不出故障的概率。
设备的可靠性:设备能在一定时间内正确执行任务的概率。
设备的可用性:设备随时可以正确使用的概率。
(2)数据安全
数据安全指采取措施确保数据免受未授权的泄露、篡改和损坏。
数据的秘密性:数据不被未授权者知晓的属性。
数据的完整性:数据是正确的、真实的、未被篡改的、完整无缺的属性。
数据的可用性:数据可以随时正常使用的属性。
(3)行为安全
行为安全从主体行为的过程和结果来考察是否会危害信息安全,或者是否能够确保信息安全。
行为的秘密性:行为的过程和结果不能危害数据的秘密性,必要时行为的过程和结果也应是保密的。
行为的完整性:行为的过程和结果不能危害数据的完整性,行为的过程和结果是预期的。
行为的可控性:当行为的过程偏离预期时,能够发现、控制或纠正。
(4)内容安全
内容安全是信息安全在政治、法律、道德层次上的要求,是语义层次的安全。
信息内容在政治上是健康的。
信息内容符合国家法律法规。
信息内容符合中华民族优良的道德规范。
*信息安全三大定律:
普遍性定律:哪里有信息,哪里就有信息安全问题。
中性定律:安全和方便是一对矛盾。
就低性定律(木桶原理):信息系统的安全性取决于最薄弱部分的安全性。
信息只有存储、传输和处理三种状态。因此,要确保信息安全,就必须确保信息在存储、传输和处理三种状态下的安全。
网络空间安全学科是融合计算机、通信、电子、数学、物理、生物、管理、法律和教育等学科,并发展演绎而形成的交叉学科。
目前,我国网络空间安全学科领域的本科专业有信息对抗技术专业、信息安全专业、保密管理专业、网络安全与执法专业和网络空间安全专业。
网络空间安全学科属于工学,但视实际情况,允许学校给相应专业的毕业生授予工学、理学或管理学学士学位。
1.2.3 网络空间安全学科的主要研究方向及研究内容
网络空间安全学科的主要研究方向有:密码学、网络安全、系统安全、内容安全和信息对抗。
(1)密码学
密码学由密码编程学和密码分析学组成。其中,密码编程学主要研究对明文信息进行编码以实现信息隐藏,而密码分析学主要研究通过密文获取相应的铭文信息。
其主要研究内容有:
对称密码
公钥密码
哈希函数
密码协议
新型密码:生物密码、量子密码、混沌密码等
密码管理
密码应用
(2)网络安全
网络安全的基本思想是,针对不同的应用在网络的各个层次和范围内采取防护措施,以便能够对各种网络安全威胁进行检测发现,并采取相应的响应措施,确保网络设备安全、网络通信链路安全和网络的信息安全。
其主要研究内容有:
网络安全威胁
通信安全
协议安全
网络防护
入侵检测与态势感知
应急响应与灾难恢复
可信网络
网络安全管理
(3)系统安全
这里的系统指的是以计算机为中心的各种实际信息系统。
系统是信息的载体,因此系统应当确保存在于其中的信息的安全。
系统安全的特点是从系统的底层和整体上考虑信息安全威胁并采取综合防护措施。
其主要研究内容有:
系统的安全威胁
系统的设备安全
系统的硬件子系统安全
系统的软件子系统安全
访问控制
可信计算
系统安全等级保护
系统安全测评认证
应用信息系统安全
(4)内容安全
信息内容安全简称内容安全,它是信息安全在政治、法律、道德层次上的要求。
广义的内容安全既包括信息内容在政治、法律和道德方面的要求,也包括信息内容的保密、知识产权保护、隐私保护等多方面。
本书主要强调内容安全中的基本理论、基本技术和基本应用。
其主要研究内容有:
内容安全的威胁
内容的获取
内容的分析与识别
内容安全管理
信息隐藏
隐私保护
内容安全的法律保障
(5)信息对抗
信息对抗是为从对方信息系统中获取有用信息,削弱、破坏对方信息设备和信息的使用效能,保障己方信息设备和信息正常发挥效能而采取的综合战术、技术措施,其实质是斗争双方利用电磁波和信息的作用来争夺电磁频谱和信息的有效使用和控制权。
其主要研究内容有:
通信对抗
雷达对抗
光电对抗
计算机网络对抗
1.2.4 网络空间安全学科的理论基础
数学、信息论、控制论、系统论、可计算性理论、计算复杂性理论、密码学理论和访问控制理论等是网络空间安全学科的理论基础。
(1)数学
数学是一切自然科学的理论基础,当然也是网络空间安全学科的理论基础。
两类现代密码:基于数学的密码、基于非数学的密码。
对于基于数学的密码,设计一个密码本质上就是设计一个数学函数,破译一个密码本质上就是求解一个数学难题。
这就清晰地阐明了数学是密码学的理论基础。
作为密码学理论基础之一的数学主要有代数、数论、概率统计等。
协议是网络的核心,因此协议安全是网络安全的核心。
作为网络协议安全理论基础之一的数学主要有逻辑学等。
网络空间安全领域的斗争本质上是对抗双方之间的斗争,因此数学中的博弈论便成为网络空间安全的基础理论之一。
博弈论(Game Theory)是现代数学的一个分支,是研究具有对抗或竞争性质的行为的理论与方法。
一般称具有对抗或竞争性质的行为为博弈行为。
在博弈行为中,参加对抗或竞争的各方具有各自不同的目标或利益,并力图选取对自己最有利或最合理的方案。
博弈论研究的就是博弈行为中对抗各方是否存在最合理的行为方案,以及如何找到这个最合理的方案。
博弈论考虑对抗双方的预期行为和实际行为,并研究其优化策略。
(2)信息论、控制论和系统论
信息论、控制论和系统论是现代科学的理论基础,也是网络空间安全学科的理论基础。
信息论是为解决现代通信问题而建立的;控制论是在解决自动控制问题中建立的;系统论是为解决现代化大科学工程项目的组织管理问题而建立的。
一开始它们相互独立,但它们在后来的应用和发展中互相渗透、互相作用,出现了趋向综合统一、形成统一学科的趋势。
信息论对信息源、密钥、加密和密码分析进行了数学分析,用不确定性和唯一解距离来度量密码体制的安全性,阐明了密码体制、完善保密、纯密码、理论保密和实际保密等重要概念,把密码置于坚实的数学基础之上,标志着密码学作为一门独立学科的形成。
因此,信息论成为密码学重要的理论基础之一。
信息论构成了信息隐藏的理论基础之一。
控制论是研究机器、生命社会中控制和通信的一般规律的科学。
它研究动态系统在变化的环境条件下如何保持平衡状态或稳定状态。
控制的基础是信息,信息的获取是为了控制,任何控制又都依赖于信息反馈。
保护、检测、反应(PDR)策略是确保信息系统安全和网络安全的基本策略。在信息系统和网络系统中,系统的安全状态是系统的平衡状态或稳定状态。
恶意软件的入侵打破了这种平衡和稳定。检测到这种入侵,便获得了控制的信息,进而杀灭这些恶意软件,使系统恢复安全状态。
系统论是研究系统的一般模式、结构和规律的科学。
系统论的核心思想是整体观念。
确保信息系统安全是一个系统工程,只有从系统的软硬件底层做起,从整体上综合采取措施,才能比较有效地确保信息系统的安全,这也是系统论的思想在信息安全领域的具体体现。
控制论和系统论是信息系统安全和网络安全的理论基础之一。
(3)计算理论
计算理论也是网络空间安全学科的理论基础之一。
这里主要包括可计算性理论和计算复杂性理论等。
可计算性理论是研究计算的一般性质的数学理论。
它通过建立计算的数学模型,精确区分哪些问题是可计算的,哪些问题是不可计算的。
对于判定问题,可计算性理论研究哪些问题是可判定问题,哪些问题是不可判定问题。
计算复杂性理论使用数学方法对计算中所需的各种资源的耗费作定量的分析,并研究各类问题之间在计算复杂程度上的相互关系和基本性质。
可计算是理论上的可计算,或原则上的可计算。而计算复杂性理论则进一步研究现实的可计算性。
所谓判定问题,是这样一类问题。它不是要计算出一个数值解,而是要求给出一种方法,用这种方法能够对一类问题做出确切的判定。如果这种方法是存在的、确定的,则这一类方法就是可判定的;反之则是不可判定的。
判定问题是广泛存在的。
众所周知,授权是计算机信息系统访问控制的核心。计算机信息系统是安全的,其授权系统必须是安全的。
一般信息系统是否安全这一问题是不可判定的,但是一些具体“首先”的信息系统的安全问题又是可判定的。
一般软件系统的安全问题是不可判定的,而一些具体“受限”的软件系统的安全问题却又是可判定的。
网络空间安全领域的许多问题都是不可判定的。
可判定问题也存在判定复杂性问题。
即可计算性理论是信息系统安全的理论基础之一。
如果一个密码是理论不可计算的,则这个密码就是理论上安全的。
如果一个密码虽然是理论可计算的,但是由于计算复杂性太大而实际上不可计算,则这个密码就是实际安全的,或计算上安全的。
至今,只有“一次一密”密码是理论上安全的密码,其余的密码都只能是计算上安全的密码。
计算复杂性理论是密码学的理论基础之一。
(4)密码学理论
密码学在其发展过程中已经超越了传统信息论,形成了自己的一些新理论。例如单项陷门函数理论、公钥密码理论、零知识证明理论、安全多方计算理论,以及部分密码设计与分析理论。
从应用角度看,密码技术是网络空间安全的一种共性技术,许多网络空间安全领域都要应用密码技术。
密码学理论是网络空间安全学科的理论基础之一,而且是网络空间安全学科特有的理论基础。
(5)访问控制理论
访问控制是信息系统安全的核心问题。
访问控制的本质:允许授权者执行某种操作、获得某种资源;不允许非授权者执行某种操作、获得某种资源。
信息系统中的身份认证便是一种最基本的访问控制。
许多网络空间安全技术都可看作访问控制。
访问控制理论包括访问控制模型及其安全理论。
访问控制技术也是网络空间安全的一种共性技术,许多网络空间安全领域都要应用访问控制技术。
因此,访问控制理论是网络空间安全学科的理论基础之一,而且是网络空间安全学科所特有的理论基础。
1.2.5 网络空间安全学科的方法论基础
笛卡尔的《方法论》中,强调了把复杂问题分解成一些细小的问题分别解决,是一种分而治之的思想。但是他忽略了各部分的关联和彼此影响。
有时必须用整体的思想和方法来处理事件,由此导致系统工程的出现。方法论由传统的方法论发展到系统性的方法论。
系统工程的出现推动了环境科学、气象学、生物学、人工智能和软件工程的快速发展。
解决网络空间安全领域的问题必须遵循一套科学的方法论,人们在网络空间安全保障的长期实践中逐渐形成了自己的方法论。
网络空间安全学科的方法论是以解决网络空间安全问题为目标、以使用网络空间安全需求为特征的具体科学方法论,它既包含分而治之的传统方法论,又包含综合治理的系统工程方法论,并将这两者有机地融合为一体。
网络空间安全学科方法论具体分为下四个步骤:
理论分析
逆向分析
实验验证
技术实现
其中逆向分析是网络空间安全学科特有的方法论。因为网络空间安全领域的斗争本质上都是攻防双方的斗争,网络空间安全学科的每一分支都具有攻和防两个方面,因此必须从攻和防两方面进行分析研究。
在运用网络空间安全学科的方法论分析和解决网络空间安全问题时,这4个步骤即可以独立运用,也可以结合运用。通常需要循环往复多次,才能较好地解决网络空间安全问题。
运用网络空间安全方法论时,需注意以下几点:
坚持“以人为核心”
网络空间安全领域的对抗,本质上是人与人之间的对抗,不考虑人的因素,是不可能有效解决网络空间安全问题的。
许多网络空间安全事件都是由于人的思想出了问题所造成的。因此,对人进行有效的政治思想教育和管理是十分必要的。
强调底层性和系统性
从系统的软硬件底层和系统整体上分析信息安全问题,从系统的软硬件底层和系统整体上综合采取措施解决信息安全问题。
实行综合治理
必须综合采取法律、管理、教育、技术多方面的措施综合治理,才能较好地解决网络空间安全问题。
1.3 网络空间安全法律法规
1.3.1 我国信息安全立法现状
本小节主要讨论我国有关信息安全的主要法律和行政法规。
1.3.2 计算机犯罪有关《刑法》的法律条款
中国社会信息化已从以计算机单机、互联网为中心的阶段,进入以网络服务平台为中心的时期。
计算机、互联网相关犯罪随之完成了三次改变:从20世纪90年代计算机犯罪到21世纪初的网络犯罪,再转变为当前的网络空间犯罪。中国刑法及时回应了每次转变。
1.3.3 互联网安全的刑事责任
第九届全国人大常委会第十九次会议通过了《全国人民代表大会常务委员会关于维护互联网安全的规定》。
1.3.4 中华人民共和国网络安全法
长期以来,我国网络安全法律法规体系建设滞后,没有一部真正意义上的网络安全法。《网络安全法》的通过,解决了我国网络安全“基本法”的问题,我国网络安全工作从此有了基础性的法律框架。
(1)关于维护网络主权和战略规划
网络主权是国家主权在网络空间的体现和延伸,网络主权原则是我国维护国家安全和利益、参与网络国际治理与合作所坚持的重要原则。
为此,《网络安全法》第一条把“为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法”为立法宗旨。
(2)明确规定了政府各部门的职责权限,使网络安全监管体制法制化
这种一个部牵头、多部门协同的监管体制,符合当前互联网与现实社会全面融合的特点,满足我国监管需要,解决了监管工作分工不明、责权不清的现实问题,对提高监管效率和治理效果具有积极意义。
(3)关于保障网络产品和服务安全
维护网络安全,首先要保障网络产品和服务的安全。
(4)关于保障网络运行安全
保障网络运行安全必须落实网络运营者第一责任人的责任。
(5)关于保障网络数据安全
随着云计算、大数据等技术的发展和应用,网络数据安全对维护国家安全、经济安全,保护公民合法权益,促进数据利用至为重要。
(6)关于保障网络信息安全
2012年,全国人大常委会关于加强网络信息保护的决定对规范网络信息传播活动作了原则规定。
《网络安全法》坚持加强网络信息保护的决定确立的原则,进一步完善了相关管理制度。
(7)关于监测预警与紧急处置
为了加强国家的网络安全监测预警和应急制度建设,,提高网络安全保障能力,《网络安全法》作了相关规定。
(8)关于网络安全监督管理体制
为加强网络安全工作,《网络安全法》也作出相关规定。
此外,《网络安全法》还对违反本法规定的法律责任、相关用语的含义等作了规定。
1.3.5 中华人民共和国密码法
《密码法》是总体国家安全观框架下,国家安全法律体系的重要组成部分,其颁布实施将极大提升密码工作的科学化、规范化、法治化水平,有力促进密码技术进步、产业发展和规范应用,切实维护国家安全、社会公共利益以及公民、法人和其他组织的合法权益,同时也将为密码部门提高“三服务”能力提供坚实的法制保障。
(1)什么是密码
《密码法》第二条规定,“本法所称密码,是指采用特定变化的方法对信息等进行加密保护、安全认证的技术、产品和服务。”
密码是保障网络和信息安全的核心技术和基础支撑,是解决网络与信息安全问题最有效、最可靠、最经济的手段。
密码就像网络空间的DNA,是构筑网络信息系统免疫体系和网络信任体系的基石,是保护党和国家根本利益的战略性资源,是国之重器。
(2)谁来管密码
《密码法》第四条规定,要坚持党管密码的根本原则,依法确立密码工作领导体制,并明确中央密码工作领导机构,即中央密码工作领导小组(国家密码管理委员会),对全国密码工作实行统一领导;要把中央确定的领导管理体系,通过法律形式固定下来,变成国家意志,为密码工作沿着正确方向发展提供根本保证。
中央密码工作领导小组负责制定国家密码重大方针政策,统筹协调国家密码重大事项和重要工作,推进国家密码法制建设。
(3)怎么管密码
《密码法》明确规定,密码管理部门依法对核心密码、普通密码实行严格统一管理,并规定了核心密码、普通密码使用要求,安全管理制度以及国家加强核心密码、普通密码工作的一系列特殊保障制度和措施。
核心密码、普通密码本身就是国家秘密,一旦泄密,将危害国家安全和利益。因此,有必要对核心密码、普通密码的科研、生产、服务、检测、装备、使用和销毁等各个环节实行严格统一管理,确保核心密码、普通密码的安全。
(4)怎么用密码
对于核心密码、普通密码的使用,《密码法》第十四条要求:在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,应当依法使用核心密码、普通密码进行加密保护、安全认证。
对于商用密码的使用,一方面,第八条规定公民、法人和其他组织可以依法使用商用密码保护网络与信息安全,对一般用户使用商用密码没有提出强制性要求。
另一方面,为了保障关键信息基础设施安全稳定运行,维护国家安全和社会公共利益,任何组织或个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统,不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。
1.3.6 中华人民共和国计算机信息系统安全保护条例
该条例是我国在信息系统安全保护方面最早制定的一部法规,也是我国信息系统安全保护最基本的一部法规。
它确立了我国信息系统安全保护的基本原则,为以后相关法规的制定奠定了基础。
条例的宗旨是保护计算机信息系统的安全,促进计算机的应用与发展,保障社会主义现代化建设的顺利进行。
适用范围如下:
条例适用于组织和个人。
中华人民共和国境内的计算机信息系统的安全保护适用本条例。
未联网的微型计算机的安全保护不适用本条例。
军队的计算机信息系统安全保护工作,按照军队的有关法规执行。
计算机信息系统安全保护的内容:保障计算机及其相关的和配套的设备、设施和网络的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,维护计算机信息系统的安全运行。
其中重点维护国家事务、经济建设、国防建设、尖锐科学技术等重要领域的计算机信息系统的安全。
公安机关对计算机信息系统保护工作行使下列监督职权:
监督、检查、指导计算机信息系统安全保护工作。
查处危害计算机信息系统安全的违法犯罪案件。
履行计算机信息系统安全保护工作的其他监督职责。
同属,若公安机关发现影响计算机信息系统安全的隐患时,应当及时通知使用单位采用保护措施。
在紧急情况下,可以就涉及计算机信息系统安全的特定事项发布专项通令。
且条例中也系统设置了安全保护的制度。
1.4 信息安全标准
1.4.1 技术标准的基本知识
标准是用过标准化活动,按照规定的程序经协商一致指定,为各种活动或其结果提供规则、指南或特性,供共同使用和重复使用的文件。
标准化是为了在既定范围内获得最佳秩序,促进共同效益,对现实问题或潜在问题确立共同使用和重复使用的条款以及编制、发布和应用文件的活动。
标准化以制定、发布和实施标准达到统一,确立条款并共同遵循,来实现最佳效益。
标准是标准化活动的结果。
标准具有民主性,是各利益相关方协商一致的结果,反映的是共同意愿,而不是个别利益;
标准具有权威性,标准要按照规定程序制定,必须有能够代表各方利益,并为社会所公认的权威机构批准发布;
标准具有系统性,需要协调处理标准化对象各要素之间的关系,统筹考虑使系统性能和秩序达到最佳;
标准具有科学性,来源于人类社会实践活动,其产生的基础是科学研究和技术进步的成果,是实践经验的总结。
统一标准是互联互通、信息共享、业务协同的基础。
标准产生的基础是“科学、技术和经验的综合成果”,这奠定了标准的科学性和先进性。标准的产生要经过协商一致制定并由公认机构批准。
制定标准一般指制定一项新标准,是指制定过去没有而现在需要进行制定的标准。
它是根据生产发展的需要和科学技术发展的需要及其水平来制定的,因而反映了当前的生产技术水平。
修订标准是指对一项已在生产中实施多年的标准进行修订。
在我国,依据《中华人民共和国标准化法》将标准划分为国家标准、行业标准、地方标准和企业标准四个层次级别。
依据《中华人民共和国标准化法》的规定,国家标准、行业标准均可分为强制性和推荐性两种属性的标准。
保障人体健康、人身、财产安全的标准和法律、行政法规规定强制执行的标准是强制性标准,其他标准是推荐性标准。
省、自治区、直辖市标准化行政主管部门制定的工业产品安全、卫生要求的地方标准,在本地区域内是强制性标准。
强制性标准是由法律规定必须遵照执行的标准。
强制性标准以外的标准是推荐性标准,又叫非强制性标准。
1.4.2 信息安全有关的主要标准化组织
(1)国际化标准组织
1906年,根据国际电工会议的决议,创立了世界范围的标准化组织————国际电工委员会(IEC),它是世界上最早的国际性电工标准化机构。
1926年,国际标准化协会(ISA)成立,并于同年成立了国际化标准化组织(ISO)。
目前,国际标准化组织有89个国家的标准化团体成员。
ISO和IEC成立了第一联合技术委员会JTC1制定信息技术领域国际标准。
SC27是JTC1中专门从事信息安全通用方法及技术标准化工作的分技术委员会。
美国的信息技术标准主要由ANSI、NIST制定,其电子工业协会EIA和通信工业协会TIA也制定了部分信息标准。
(2)我国的标准化组织
全国信息安全标准化技术委员会
简称信安标委,委员会编号为TC260,专门从事信息安全标准化的技术工作,负责全国信息安全技术、安全机制、安全管理、安全评估等领域的标准化工作,统一、协调、申报信息安全国家标准项目,组织国家标准的送审、批报工作,向国家标准化管理委员会提出信息安全标准化工作的方针、政策和技术措施等建议。
信安标委下设7个工作组和一个特别工作组。
密码行业标准化技术委员会
密标委是在密码领域内从事密码标准化工作的非法人技术组织,归口国家密码管理局领导和管理,主要从事密码技术、产品、系统和管理等方面的标准化工作。
1.4.3 信息安全标准
信息安全标准是确保信息安全产品和系统在设计、研发、生产、建设、使用、测评中保证其一致性、可靠性、可控性的技术规范和技术依据。
信息安全标准化是支撑国家信息安全保障体系建设,关系国家信息安全的大事,各个国家都高度重视信息安全标准化工作。
(1)《涉及国家秘密的信息系统分级保护管理办法》
涉密信息系统分级保护是国家信息安全等级的重要部分。
国家保密局是涉密信息系统分级保护工作的主管部门。
已投入使用的涉密信息系统,其建设使用单位在按照分级保护要求完成系统整改后,应当向保密工作部门备案。
(2)《信息系统安全等级保护基本要求》
信息安全等级保护的核心是分级及保护。
等级保护1.0时代
信息系统安全等级保护的内容可分为系统分级、系统备案、建设整改、等级测评、监督检查五个方面。
等级保护2.0时代
GB/T 22239——2019《信息安全技术 网络安全等级保护基本要求》
标准名称的变化
等级保护对象的变化
安全要求的变化
安全分类的变化
关于安全管理中心
关于可信验证
(3)商用密码标准
SM系列密码标准
祖冲之密码标准(ZUC)
ZUC算法是中国自主设计的流密码算法,是中国第一个成为国际密码标准的密码算法。