1、第九章第九章 信息安全标准与法律法规信息安全标准与法律法规n9.1 概述n9.2 国际安全标准n9.3 国内安全标准n9.4 重要的标准化组织n9.5 信息安全法律法规9.1 9.1 概述概述n为在一定范围内获得最佳秩序,对活动或其结果规定共同的和重复使用的规则、导则或特性的文件就是标准。标准应以科学技术和经验的综合成果为基础,以促进最佳社会效益为目的。标准文件必须经协商一致并由一个公认的机构批准。n信息技术安全方面的标准化,兴起于20世纪70年代中期,80年代有了较快的发展,90年代引起了世界各国的普遍关注,特别是随着信息数字化和网络化的发展和应用,信息技术的安全技术标准化变得更为重要。因此
2、标准化的范围在拓展,标准化的进程在加快,标准化的成果也在不断的涌现。9.1 9.1 概述概述n基础标准是整个信息安全标准体系的基础部分,并向其他的技术标准提供所需的服务支持。基础标准包括信息安全术语、信息安全体系结构、信息安全框架、信息安全模型、安全技术等。物理安全标准针对物理环境和保障、安全产品、介质安全等提出标准进行规范。系统与网络标准针对软硬件应用平台、网络、安全协议、安全信息交换语法规则、人机接口以及业务应用平台提出安全要求。应用与工程标准则针对安全工程和服务、人员资质、行业应用进行详细规定。管理类标准分为三大块:管理基础、系统管理和测评认证。n建立科学的信息安全标准体系,将众多的信息
3、安全标准在此体系下协调一致,才能充分发挥信息安全标准系统的功能,获得良好的系统效应,取得预期的社会效益和经济效益。信息安全标准体系框架描述了信息安全标准整体组成,是整个信息安全标准化工作的指南。,在标准框架中,基础标准和管理标准是支持该框架的支柱,物理安全标准、系统与网络标准和应用工程标准也都是组成信息安全保证的重要依据。9.2 9.2 国际安全标准国际安全标准n信息安全技术标准是信息安全产业的重要领域,一直受到国内外的普遍关注,早在1977年,美国国家标准局就正式颁发了世界第一个数据加密标准(DES),随着通信和计算机网络的发展,信息安全的标准化工作也取得了很大的进展。nBS7799BS77
4、99nCCCCnSSE-CMMSSE-CMM9.2 9.2 国际安全标准国际安全标准nBS7799n英国标准英国标准BS7799BS7799是目前世界上应用最广泛的典型的信息安全管理标准,它是目前世界上应用最广泛的典型的信息安全管理标准,它是在是在BSI/DISCBSI/DISC的的BDD/2BDD/2信息安全管理委员会指导下制定完成的。信息安全管理委员会指导下制定完成的。nBS7799BS7799标准提供一个开发组织安全标准、有效实施安全管理的公共基础,标准提供一个开发组织安全标准、有效实施安全管理的公共基础,还提供了组织间交易的可信度。该标准第一部分为组织管理者提供了信息还提供了组织间交易
5、的可信度。该标准第一部分为组织管理者提供了信息安全管理的实施惯例,例如信息与软件交换和处理的安全规定、设备的安安全管理的实施惯例,例如信息与软件交换和处理的安全规定、设备的安全配置管理、安全区域进出的控制等一些很容易理解的问题。这恰巧符合全配置管理、安全区域进出的控制等一些很容易理解的问题。这恰巧符合信息安全的信息安全的“七分管理,三分技术七分管理,三分技术”的原则。这些管理规定一般的单位都的原则。这些管理规定一般的单位都可以制定,但要想达到可以制定,但要想达到BS7799BS7799的全面性则需要一番努力。在信息安全管理的全面性则需要一番努力。在信息安全管理方面,方面,BS7799BS779
6、9的地位是其他标准无法取代的。总的说来,的地位是其他标准无法取代的。总的说来,BS7799BS7799涵盖了安涵盖了安全管理所应涉及的方方面面,全面而不失可操作性,提供了一个可持续提全管理所应涉及的方方面面,全面而不失可操作性,提供了一个可持续提高的信息安全管理环境。高的信息安全管理环境。9.2 9.2 国际安全标准国际安全标准nCCn信息安全安全性评估的标准信息安全安全性评估的标准信息技术安全性评估通用准则(信息技术安全性评估通用准则(CCCC:Common Common CriteriaCriteria),通常简称通用准则,也即是国际标准),通常简称通用准则,也即是国际标准ISO/IEC1
7、5408-99ISO/IEC15408-99,该标,该标准是评估信息技术产品和系统安全特性的基础准则。它是在准是评估信息技术产品和系统安全特性的基础准则。它是在TESECTESEC、ITSECITSEC、CTCPECCTCPEC、FCFC等信息安全标准的基础上综合形成的,通过建立信息技术安全性等信息安全标准的基础上综合形成的,通过建立信息技术安全性评估的通用准则库,使得其评估结果能被更多的人理解、信任,并且让各种评估的通用准则库,使得其评估结果能被更多的人理解、信任,并且让各种独立的安全评估结果具有可比性,从而达到互相认可的目的。独立的安全评估结果具有可比性,从而达到互相认可的目的。n此标准是
8、现阶段最完善的信息技术安全性评估标准,我国也采用这一标准此标准是现阶段最完善的信息技术安全性评估标准,我国也采用这一标准(GB/T 18336GB/T 18336)对产品、系统和系统方案进行测试、评估和认可。)对产品、系统和系统方案进行测试、评估和认可。9.2 9.2 国际安全标准国际安全标准nSSE-CMMn系统安全工程能力成熟模型简写为系统安全工程能力成熟模型简写为SSE-CMMSSE-CMM,是原英文,是原英文Systems Security Engineering Systems Security Engineering Capability Maturity ModelCapabil
9、ity Maturity Model的缩写。它是一个模型,正如开放系统互连参考模型的缩写。它是一个模型,正如开放系统互连参考模型(OSIOSI)一样,但它指导着系统安全工程的完善和改进,使系统安全工程成为一个清晰)一样,但它指导着系统安全工程的完善和改进,使系统安全工程成为一个清晰定义的、成熟的、可管理的、可控制的、有效的和可度量的科学。定义的、成熟的、可管理的、可控制的、有效的和可度量的科学。nSSE-CMMSSE-CMM描述了一个组织的安全工程过程务必包含的本质特征,这些特征是完善安全工描述了一个组织的安全工程过程务必包含的本质特征,这些特征是完善安全工程的保证,也是安全工程实施的度量标准
10、,还是一个易于理解的评估安全工程实施的程的保证,也是安全工程实施的度量标准,还是一个易于理解的评估安全工程实施的框架。框架。nSSE-CMMSSE-CMM模型的开发源于模型的开发源于19931993年年5 5月美国国家安全局发起的研究工作。月美国国家安全局发起的研究工作。19951995年年1 1月,在第月,在第一次公共安全工程一次公共安全工程CMMCMM讨论会中,信息安全协会被邀请加入,超过讨论会中,信息安全协会被邀请加入,超过6060个组织的代表再次个组织的代表再次确认需要这样一种模型。因此,研讨会期间成立了项目工作组,由此进入了模型开发确认需要这样一种模型。因此,研讨会期间成立了项目工作
11、组,由此进入了模型开发阶段。通过项目领导、应用工作组全体的通力合作,于阶段。通过项目领导、应用工作组全体的通力合作,于19961996年年1010月完成了月完成了SSE-CMMSSE-CMM模型模型的第一版,的第一版,19971997年年5 5月完成了评价方法第一版。为检验模型及评价方法的有效性,月完成了评价方法第一版。为检验模型及评价方法的有效性,19961996年年6 6月到月到19971997年年6 6月进行了试验工作。一些试验组织向月进行了试验工作。一些试验组织向SSE-CMMSSE-CMM及其评价模型提供了有价及其评价模型提供了有价值的信息。值的信息。19971997年年8 8月,第
12、二次公共安全工程月,第二次公共安全工程CMMCMM研讨会举行,以明确一些与模型应用研讨会举行,以明确一些与模型应用相关的问题,特别是关于:获取领域、过程改善、及产品及系统的安全保证。由于研相关的问题,特别是关于:获取领域、过程改善、及产品及系统的安全保证。由于研讨会中明确了上述问题,便成立了一个新的工作组以直接落实这些问题,于讨会中明确了上述问题,便成立了一个新的工作组以直接落实这些问题,于19991999年年4 4月月完成了完成了SSE-CMMSSE-CMM模型的第二版。模型的第二版。9.3 9.3 国内安全标准国内安全标准n中华人民共和国标准化法将我国的标准分为国家标准、行业标准、地方标准
13、、企业标准四级。我国的国家标准由国务院标准化行政主管部门制定;行业标准由国务院有关行政主管部门制定;地方标准由省、自治区和直辖市标准化行政主管部门制定;企业标准由企业自己制定。n我们国家的信息安全从保密技术、难度、标准的特点出发,将信息安全保密标准分三级,第一级国家标准,第二级国家军队标准,第三级国家保密标准。在这三级标准中,国家保密标准最高。其他标准还包括:公共安全行业标准(GA)。n我国信息安全标准在相关标准化组织的有效领导下,取得了长足的发展,颁布了多项标准,国家标准、军队标准、行业标准对信息安全领域均有涉及,大致从以下物理安全、密码及安全算法、安全技术及安全机制、开放系统互连、边界保护
14、、信息安全评估等几方面规定了信息安全的不同技术要求,9.3 9.3 国内安全标准国内安全标准n物理安全相关国家标准:nGB9254-1988GB9254-1988信息技术设备的无线电干扰极限值和测量方法。信息技术设备的无线电干扰极限值和测量方法。nGB9361-1988GB9361-1988计算机场地安全要求。计算机场地安全要求。nGB4943-1995GB4943-1995信息技术设备(包括电气事务设备)的安全。信息技术设备(包括电气事务设备)的安全。n密码及安全算法相关国家标准:nGB/T15277-1994 GB/T15277-1994 信息处理信息处理 64bit 64bit分组密码算
15、法的工作方法。分组密码算法的工作方法。nGB/T15278-1994 GB/T15278-1994 信息处理信息处理 数据加密数据加密 物理层可互操作性要求。物理层可互操作性要求。nGB/T15851-1995 GB/T15851-1995 信息技术信息技术 安全技术安全技术 带消息恢复的数字签名方案。带消息恢复的数字签名方案。nGB/T15852-1995 GB/T15852-1995 信息技术信息技术 安全技术安全技术 用块密码算法作密码校验函数的数据用块密码算法作密码校验函数的数据完整性机制。完整性机制。nGB/T185238.1-2000 GB/T185238.1-2000 信息技术信
16、息技术 安全技术安全技术 散列函数散列函数 第第1 1部分:概述。部分:概述。nGB/T185238.2-200X GB/T185238.2-200X 信息技术信息技术 安全技术安全技术 散列函数散列函数 第第2 2部分:使用部分:使用n-bitn-bit分分组密码算法的散列函数。组密码算法的散列函数。nGB/T185238.3-200X GB/T185238.3-200X 信息技术信息技术 安全技术安全技术 散列函数散列函数 第第3 3部分:专用散列函部分:专用散列函数。数。9.3 9.3 国内安全标准国内安全标准n安全技术及安全机制相关国家标准:nGB/T17903.1-1999 GB/T
17、17903.1-1999 信息技术信息技术 安全技术安全技术 抗抵赖抗抵赖 第第1 1部分:概述。部分:概述。nGB/T17903.2-1999 GB/T17903.2-1999 信息技术信息技术 安全技术安全技术 抗抵赖抗抵赖 第第2 2部分:使用对称技术的部分:使用对称技术的机制。机制。 nGB/T17903.3-1999 GB/T17903.3-1999 信息技术信息技术 安全技术安全技术 抗抵赖抗抵赖 第第3 3部分:使用部分:使用非对称技术的机制。非对称技术的机制。nGB/T15843.1-1999 GB/T15843.1-1999 信息技术信息技术 安全技术安全技术 实体鉴别实体鉴
18、别 第第1 1部分:概部分:概述。述。nGB/T15843.2-1997 GB/T15843.2-1997 信息技术信息技术 安全技术安全技术 实体鉴别实体鉴别 第第2 2部分:采部分:采用非对称加密算法的机制。用非对称加密算法的机制。nGB/T15843.3-1998 GB/T15843.3-1998 信息技术信息技术 安全技术安全技术 实体鉴别实体鉴别 第第3 3部分:采部分:采用非对称签名技术的机制。用非对称签名技术的机制。nGB/T15843.4-1999 GB/T15843.4-1999 信息技术信息技术 安全技术安全技术 实体鉴别实体鉴别 第第4 4部分:采用密码校验部分:采用密码
19、校验函数的机制。函数的机制。9.3 9.3 国内安全标准国内安全标准n开放系统互连相关国家标准:nGB/T9387.2-1995 GB/T9387.2-1995 信息处理系统信息处理系统 开放系统互连开放系统互连 基本参考模型基本参考模型 第第2 2部分:安全体部分:安全体系结构。系结构。nGB/T17963-2000 GB/T17963-2000 信息技术信息技术 开放系统互连开放系统互连 网络层安全协议。网络层安全协议。nGB/T17965-2000 GB/T17965-2000 信息技术信息技术 开放系统互连开放系统互连 高层安全模型。高层安全模型。nGB/T17143.7-1997GB
20、/T17143.7-1997信息技术信息技术 开放系统互连开放系统互连 系统管理系统管理 安全报警报告功安全报警报告功能。能。nGB/T17143.8-1997GB/T17143.8-1997信息技术信息技术 开放系统互连开放系统互连 系统管理系统管理 安全审计跟踪功安全审计跟踪功能。能。nGB/T18231-2000 GB/T18231-2000 信息技术信息技术 开放系统互连开放系统互连 低层安全模型。低层安全模型。nGB/T18237.1-2000 GB/T18237.1-2000 信息技术信息技术 开放系统互连开放系统互连 通用高层安全通用高层安全 第第1 1部分:部分:概述、模型和记
21、法。概述、模型和记法。nGB/T18237.2-2000 GB/T18237.2-2000 信息技术信息技术 开放系统互连开放系统互连 通用高层安全通用高层安全 第第2 2部分:部分:安全交换服务元素(安全交换服务元素(SESESESE)服务定义。)服务定义。nGB/T18237.3-2000 GB/T18237.3-2000 信息技术信息技术 开放系统互连开放系统互连 通用高层安全通用高层安全 第第3 3部分:安全交换服部分:安全交换服务元素(务元素(SESESESE)协议规范。)协议规范。9.4 9.4 重要的标准化组织重要的标准化组织n为适应信息技术的迅猛发展,国内外成立了很多标准化组织
22、,目前国际上有两个重要的标准化组织,即国际标准化组织(ISO)和国际电工委员会(IEC)。ISO/IEC JTC1(第一联合技术委员会)是制定信息技术领域国际标准的机构,下辖19个分技术委员会(SC)和SGFS(功能标准化专门组)等特别工作小组,还有四个管理机构(一致性评定特别工作小组、信息技术任务组、注册机构特别工作组和业务分析与计划特别小组)。SC27负责信息技术和安全技术。P成员(积极成员)29个,O成员(观察成员)27个,内部联络员14个,外部A类联络员3个,外部B类联络员18个。P成员有表决权并承担指定任务,O成员没有表决权,但有发表意见及参加会议和获得某些文件的权利,中国是P成员之
23、一。n美国的信息技术标准主要由ANSI、NAST制定,其电子工业协会(EIA)和通信工业协会(TIA)也制定了部分信息技术标准。欧洲的ECMA主要在世界范围内制定与计算机及计算机应用有关的标准。IETF主要制定与因特网相关的标准。另外还有ITU、IEEE、EDTI和OMG等组织制定有关的信息技术标准。我国主要由中国通信标准化协会负责相关的标准制定工作。9.4 9.4 重要的标准化组织重要的标准化组织n国际标准化组织ISOn国际标准化组织国际标准化组织(International Organization for Standardization)(International Organizati
24、on for Standardization)简称简称ISOISO,是一个全球性的非政府组织,是国际标准化领域中一个十分重要的组织。,是一个全球性的非政府组织,是国际标准化领域中一个十分重要的组织。ISOISO成立于成立于19461946年,当时来自年,当时来自2525个国家的代表在伦敦召开会议,决定成立一个个国家的代表在伦敦召开会议,决定成立一个新的国际组织,以促进国际间的合作和工业标准的统一。于是,新的国际组织,以促进国际间的合作和工业标准的统一。于是,ISOISO这一新组这一新组织于织于19471947年年2 2月月2323日正式成立,总部设在瑞士的日内瓦。日正式成立,总部设在瑞士的日内
25、瓦。ISOISO于于19511951年发布了年发布了第一个标准第一个标准工业长度测量用标准参考温度。工业长度测量用标准参考温度。nISOISO的任务是促进全球范围内的标准化及其有关活动,以利于国际间产品与服的任务是促进全球范围内的标准化及其有关活动,以利于国际间产品与服务的交流,以及在知识、科学、技术和经济活动中发展国际间的相互合作。务的交流,以及在知识、科学、技术和经济活动中发展国际间的相互合作。ISOISO的组织机构包括全体大会、主要官员、成员团体、通信成员、捐助成员、的组织机构包括全体大会、主要官员、成员团体、通信成员、捐助成员、政策发展委员会、理事会、政策发展委员会、理事会、ISOIS
26、O中央秘书处、特别咨询组、技术管理局、标样中央秘书处、特别咨询组、技术管理局、标样委员会、技术咨询组、技术委员会等。委员会、技术咨询组、技术委员会等。9.4 9.4 重要的标准化组织重要的标准化组织n国际电工委员会IECnIECIEC(International Electro technical CommissionInternational Electro technical Commission)成立于)成立于19061906年,是年,是世界上最早的非政府性国际性电工标准化机构,总部设在日内瓦,是联合国世界上最早的非政府性国际性电工标准化机构,总部设在日内瓦,是联合国经社理事会(经社理事
27、会(E-COSOCE-COSOC)的甲级咨询组织。)的甲级咨询组织。IECIEC负责有关电工、电子领域的国负责有关电工、电子领域的国际标准化工作,其他领域则由际标准化工作,其他领域则由ISOISO负责。负责。IECIEC的宗旨是促进电工、电子领域中的宗旨是促进电工、电子领域中标准化及有关方面问题的国际合作,增进相互了解。标准化及有关方面问题的国际合作,增进相互了解。IECIEC的工作领域包括了的工作领域包括了电力、电子、电信和原子能方面的电工技术。目前电力、电子、电信和原子能方面的电工技术。目前IECIEC成员国包括了大多数成员国包括了大多数的工业发达国家及一部分发展中国家。这些国家拥有世界人
28、口的的工业发达国家及一部分发展中国家。这些国家拥有世界人口的80%80%,其生,其生产和消耗的电能占全世界的产和消耗的电能占全世界的95%95%,制造和使用电气、电子产品占全世界产量,制造和使用电气、电子产品占全世界产量的的90%90%。nIECIEC下设下设8080多个标准化技术委员会,已制定标准多个标准化技术委员会,已制定标准40004000余项。在信息安全技术余项。在信息安全技术标准化方面,除了同标准化方面,除了同ISOISO联合建立的联合建立的JTC1JTC1下属几个分委员会外,还在电磁兼下属几个分委员会外,还在电磁兼容等方面成立了技术委员会,并制定了相关的国际标准,如信息技术设备安容
29、等方面成立了技术委员会,并制定了相关的国际标准,如信息技术设备安全(全(IEC 60950IEC 60950)。)。9.4 9.4 重要的标准化组织重要的标准化组织n国际电信联盟ITUnITUITU(International Telecommunication UnionInternational Telecommunication Union)是世界各国政府的电信)是世界各国政府的电信主管部门之间协调电信事务方面的一个国际组织,于主管部门之间协调电信事务方面的一个国际组织,于18651865年年5 5月月1717日成立于日成立于巴黎。巴黎。ITUITU现有成员国现有成员国189189个,总
30、部设在日内瓦。个,总部设在日内瓦。ITUITU是联合国负责电信事务是联合国负责电信事务的专门机构,但在法律上不是联合国附属机构。的专门机构,但在法律上不是联合国附属机构。ITUITU的宗旨是:维持和扩大的宗旨是:维持和扩大国际合作,以改进和合理地使用电信资源;促进技术设施的发展及其有效运国际合作,以改进和合理地使用电信资源;促进技术设施的发展及其有效运用,以提高电信业务的效率,扩大技术设施的用途,并尽量使公众普遍利用;用,以提高电信业务的效率,扩大技术设施的用途,并尽量使公众普遍利用;协调各国行动,以达到上述目的。协调各国行动,以达到上述目的。nITUITU的组织原有全权代表会、行政大会、行政
31、理事会和的组织原有全权代表会、行政大会、行政理事会和4 4个常设机构,即总秘个常设机构,即总秘书处、国际电报电话咨询委员会(书处、国际电报电话咨询委员会(CCITTCCITT)、国际无线电咨询委员会()、国际无线电咨询委员会(CCIRCCIR)和国际频率登记委员会(和国际频率登记委员会(IFRBIFRB)。)。19931993年年3 3月月1 1日日ITUITU第一次世界电信标准大第一次世界电信标准大会(会(WTSC-93WTSC-93)确立)确立ITUITU的改革首先从机构上进行,对原有的的改革首先从机构上进行,对原有的3 3个机构个机构CCITTCCITT、CCIRCCIR和和IFRBIF
32、RB进行了改组,取而代之的是电信标准化部门(进行了改组,取而代之的是电信标准化部门(TSSTSS,即,即ITU-TITU-T)、)、无线电通信部门(无线电通信部门(RSRS,即,即ITU-RITU-R)和电信发展部门()和电信发展部门(TDSTDS,即,即ITU-DITU-D)。电信)。电信标准化部门标准化部门ITU-TITU-T由原来的由原来的CCITTCCITT和和CCIRCCIR从事标准化工作的部门合并而成。其从事标准化工作的部门合并而成。其主要职责是完成国际电信联盟有关电信标准方面的目标,即研究电信技术、主要职责是完成国际电信联盟有关电信标准方面的目标,即研究电信技术、操作和资费等问题
33、,出版件艺术,目的是在世界范围内实现电信标准化,包操作和资费等问题,出版件艺术,目的是在世界范围内实现电信标准化,包括在公共电信网上无线电系统互联和为实现互联所应具备的性能。括在公共电信网上无线电系统互联和为实现互联所应具备的性能。9.4 9.4 重要的标准化组织重要的标准化组织n因特网工程任务组IETFnIETF(Internet Engineering Task Force)IETF(Internet Engineering Task Force)主要提出主要提出InternetInternet标准草案和成标准草案和成为为RFCRFC(征求意见稿)的协议文稿,也包括安全方面的建议稿,内容比
34、较广(征求意见稿)的协议文稿,也包括安全方面的建议稿,内容比较广泛,经过网上讨论修改,被大家接受的就成了事实上的标准。目前有关安全泛,经过网上讨论修改,被大家接受的就成了事实上的标准。目前有关安全方面的方面的RFCRFC有有170170多个,例如:多个,例如:RFC1352RFC1352(SNMPSNMP安全协议)、安全协议)、RFC1421-1424RFC1421-1424(因特网电子邮件保密增强协议)和(因特网电子邮件保密增强协议)和RFC1825RFC1825(因特网协议安全体系结构)(因特网协议安全体系结构)等。有关信息安全的工作组有等。有关信息安全的工作组有PGPPGP开发规范(开发
35、规范(OpenPGPOpenPGP)、鉴别防火墙遍历)、鉴别防火墙遍历(AFTAFT)、通过鉴别技术()、通过鉴别技术(CATCAT)、域名服务系统安全()、域名服务系统安全(DnssecDnssec)、)、IPIP安全协安全协议(议(IPSecIPSec)、一次性口令鉴别()、一次性口令鉴别(OtpOtp)、)、X.509X.509公钥基础设施(公钥基础设施(PKIPKI)、)、S/MIMES/MIME邮件安全、安全邮件安全、安全ShellShell(SecshSecsh)、简单公钥基础设施()、简单公钥基础设施(SPKISPKI)、传输)、传输层安全(层安全(TLSTLS)和)和WebWe
36、b处理安全(处理安全(WTSWTS)等)等1212个。个。9.4 9.4 重要的标准化组织重要的标准化组织n中国通信标准化协会n中国通信标准化协会(中国通信标准化协会(CCSACCSA,China Communications Standards China Communications Standards AssociationAssociation),该协会是国内企业、事业单位自愿联合起来,经业务主管部),该协会是国内企业、事业单位自愿联合起来,经业务主管部门批准,国家社团登记管理机关登记,开展通信技术标准化活动的非营利性法门批准,国家社团登记管理机关登记,开展通信技术标准化活动的非营利性
37、法人社会团体。人社会团体。n中国国家标准化管理委员会n中国国家标准化管理委员会(中国国家标准化管理委员会(SCASCA,Standardization Administration of the Standardization Administration of the Peoples Republic of ChinaPeoples Republic of China),),SACSAC是国务院授权履行行政管理职能,统一是国务院授权履行行政管理职能,统一管理全国标准化工作的主攻机构。管理全国标准化工作的主攻机构。9.5 9.5 信息安全法律法规信息安全法律法规n我国历来重视信息安全法律法规的
38、建设,经过多年的探索和实践,我国已经制定和颁布了涉及信息系统安全、信息内容安全、信息产品安全、网络犯罪、密码管理等方面的多项法律法规,构建了较为完善的信息安全法律框架。n从发展过程来看,我国的信息安全法律法规建设是一个与一些关键信息安全技术和事件密切相关的动态发展过程。n1994年,国务院颁布了计算机信息系统安全保护条例,在该条例中首次使用了“信息系统安全”的表述,以该条例为起点,中国开始了信息安全领域的立法进程。n2002年12月28日,第九届全国人民代表大会常务委员会第十九次会议通过了全国人民代表大会常务委员会关于维护互联网安全的决定,该决定规定禁止利用互联网实施危害互联网安全运行、危害国
39、家安全和社会稳定、危害社会主义市场经济秩序和社会管理秩序、危害个人、法人和其他组织的人身、财产等合法权益,开启了我国在信息安全领域实施法治化的新纪元。9.5 9.5 信息安全法律法规信息安全法律法规n2003年7月22日,国家信息化领导小组第三次会议通过了国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号),简称27号文,意见明确要求加强信息安全法制建设和标准化建设,抓紧研究起草信息安全法,建立和完善信息安全法律法规和制度,明确社会各方面保障信息安全的责任和义务。以此为标志,我国的信息安全立法工作进入了全面发展的阶段。n2012年12月28日,全国人民代表大会常务委员会第三
40、十次会议通过了全国人民代表大会常务委员会关于加强网络信息保护的决定,该决定的内容全面涵盖了个人网络电子信息保护、垃圾电子信息治理、网络和手机用户身份管理、网络服务提供商对国家有关主管部门的协助执法等重要制度。其核心内容和立法宗旨是建立公民个人电子信息保护制度,将公民信息权利保护,特别是信息安全的保护,提升到了十分显著的位置,这是我国信息安全立法的重大突破,填补了长久以来我国在个人信息保护方面的立法缺位,反映了我国信息安全立法开始加强对个人信息安全的关注。9.5 9.5 信息安全法律法规信息安全法律法规n我国信息安全法制建设的基本原则n要实现我国信息安全立法工作的有序进行,必须首先明确信息安全法
41、制建设要实现我国信息安全立法工作的有序进行,必须首先明确信息安全法制建设的基本原则。法律原则是法律的基础性原理,是立法主体进行立法活动的重的基本原则。法律原则是法律的基础性原理,是立法主体进行立法活动的重要依据,体现着立法的内在精神。信息安全法制建设必须在基本原则的指导要依据,体现着立法的内在精神。信息安全法制建设必须在基本原则的指导下进行,这样才能准确把握信息安全的客观规律,更好地发挥信息安全法律下进行,这样才能准确把握信息安全的客观规律,更好地发挥信息安全法律的保障作用。的保障作用。n通过保障安全促进发展的原则。通过保障安全促进发展的原则。n积极预防原则。积极预防原则。n重点保护原则。重点
42、保护原则。n谁主管、谁负责和协同原则。谁主管、谁负责和协同原则。9.5 9.5 信息安全法律法规信息安全法律法规n其他国家的信息安全立法情况n美国的信息安全立法美国的信息安全立法n美国规范信息安全的法律经历了一个从预防为主到先发制人、以控制硬件设备到控美国规范信息安全的法律经历了一个从预防为主到先发制人、以控制硬件设备到控制网络信息内容的演化过程。总体而言,美国当前有关信息安全立法的发展趋势是制网络信息内容的演化过程。总体而言,美国当前有关信息安全立法的发展趋势是要扩大政府部门在网络监管中的权限,明确其职责和任务,以满足应对与日俱增的要扩大政府部门在网络监管中的权限,明确其职责和任务,以满足应
43、对与日俱增的信息安全风险的需求。信息安全风险的需求。n俄罗斯的信息安全立法俄罗斯的信息安全立法n从整体上来看,俄罗斯的信息安全立法将保护范围从只侧重国家机关的信息安全保从整体上来看,俄罗斯的信息安全立法将保护范围从只侧重国家机关的信息安全保护逐步扩大到对公民、组织和社会的信息安全保护,在不断发展中寻求着各方利益护逐步扩大到对公民、组织和社会的信息安全保护,在不断发展中寻求着各方利益的平衡。的平衡。n欧盟的信息安全立法欧盟的信息安全立法n欧盟的信息安全法律框架经历了一个逐步完善的过程。欧盟通过一系列的战略突出欧盟的信息安全法律框架经历了一个逐步完善的过程。欧盟通过一系列的战略突出了数字时代信息安
44、全的重要性,在战略布局下,欧盟通过统一立法、各成员国独立了数字时代信息安全的重要性,在战略布局下,欧盟通过统一立法、各成员国独立立法、专项立法等多层次组成,既强调了欧盟整体利益,又照顾到了各个成员国的立法、专项立法等多层次组成,既强调了欧盟整体利益,又照顾到了各个成员国的具体实际。具体实际。本章总结本章总结n信息安全标准化不仅关系到信息安全产品和技术的发展方向,而且还关系到每个国家根本的安全利益,是信息安全重要的研究领域之一,日益引起人们的高度关注。作为信息安全技术的延伸和支撑,本章概要介绍了信息安全领域国内外相关标准,介绍了重要的国内外标准化组织的概况。信息安全法制建设是保障国家信息安全的基础,不仅对信息安全技术和管理具有促进和指导作用,而且信息安全法制化建设本身就是信息安全管理的重要组成部分,本章还介绍了我国在信息安全领域的法制化建设情况以及其他主要国家和组织的信息安全立法情况,为从事信息安全工作的人员具有一定的参考和指导作用。