1、网络安全网络安全监管监管讲师姓名 机构名称版本:4.1课程内容课程内容网络安全监管网络安全监管知识域知识域知识子域知识子域网络安全法律体系建设网络安全法律体系建设网络安全道德准则网络安全道德准则信息安全标准信息安全标准国家网络安全政策国家网络安全政策2知识子域:网络安全法律体系建设知识子域:网络安全法律体系建设v计算机犯罪 了解计算机犯罪的概念、特征及计算机犯罪的发展趋势。v我国立法体系 了解我国多级立法机制及相关职能;了解立法分类(法律、行政法规及地方性法规)。3计算机犯罪计算机犯罪v计算机犯罪的概念v计算机犯罪的特点 多样化 复杂化 国际化v计算机犯罪的趋势 从无意识到有组织 从个体侵害到
2、国家威胁 跨越计算机本身的实施能力 低龄化成为法律制约难题 4v立法是网络空间治理的基础工作v我国采取多级立法机制 我国立法体系我国立法体系5知识子域:网络安全法律体系建设知识子域:网络安全法律体系建设v网络安全法 理解网络安全法出台背景;理解网络安全法中定义的网络、网络安全等基本概念及网络空间主权原则;理解网络运行安全制度、关键基础设施保护制度、等级保护制度、网络安全审查制度的相关要求。v网络安全相关法规建设 了解行政违法相关概念及相关行政处罚;了解刑事责任、常见网络安全犯罪及量刑等概念;了解民事违法相关概念及违法民事处罚;了解国家安全法、保密法、电子签名法、反恐怖主义法、密码法中网络安全相
3、关条款。6各国网络安全立法的重点制度各国网络安全立法的重点制度 v对传统的网络安全制度进行立法修正 机构职责和管理制度 监测预警及应急处置机制v对近几年涌现的新问题进行应对 关键基础设施保护 数据安全防护(跨境数据流动、数据泄露处置等)云计算等新技术、新业务引发的安全问题等网络安全立法演变为全球范围内的利益协调与国家主权斗争7网络安全法出台背景网络安全法出台背景8网络安全法网络安全法基本概念基本概念v网络、网络安全v网络空间安全v关键信息基础设施v网络运营者v个人信息v网络数据v 网络空间 已成为领土、领海、领空、太空之外的“第五空间”或人类“第二类生存空间”成为国家主权延伸的新疆域9网络安全
4、法主要结构网络安全法主要结构v七章79条10第一章第一章 总则总则v明确网络空间主权原则11第二章第二章 网络安全支持与促进网络安全支持与促进v建立和完善网络安全标准体系建设v统筹规划,扶持网络安全产业(产品、服务等)v推动社会化网络安全服务体系建设v鼓励开发数据安全保护和利用技术、创新网络安全管理方式v开展经常性网络安全宣传教育v支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流12第三章第三章 网络运行安全网络运行安全v明确要求落实网络安全等级保护制度第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等
5、级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。13第三章第三章 网络运行安全网络运行安全v明确网络运营者的安全义务14第三章第三章 网络运行安全网络运行安全v明确网络产品、服务提供者的安全义务1
6、5第三章第三章 网络运行安全网络运行安全v明确一般性安全保护义务16第三章第三章 网络运行安全网络运行安全v关键信息基础设施保护17第三章第三章 网络运行安全网络运行安全v关键信息基础设施保护18第三章第三章 网络运行安全网络运行安全v关键基础设施运营中产生的数据必须境内存储v2017年04月10日国家互联网信息办公室发布关于个人信息和重要数据出境安全评估办法(征求意见稿)公开征求意见的通知。明确了 个人信息和重要数据出境的范围 有50万人以上的个人信息 数据量超过1000GB 7大重要领域数据等 数据出境评估原则 评估7个方面主要内容19第三章第三章 网络运行安全网络运行安全v明确我国实行网
7、络安全审查制度v2017年05月02日中央网信办正式发布网络产品和服务安全审查办法(试行)。其中就审查的目的、需要审查的网络产品和服务的范围、网络安全审查的管理部门(网络安全审查委员会)、审查的机构(国家统一认定网络安全审查第三方机构)和对党政机关和重点行业的审查工作提出要求。并于2017年6月1日同网络安全法一同实施。20第四章第四章 网络信息安全网络信息安全v重视对个人信息保护21第四章第四章 网络信息安全网络信息安全v规范信息管理22第四章第四章 网络信息安全网络信息安全v确定信息管理中相关职责23第四章第四章 网络信息安全网络信息安全v2017年05月02日国家互联网信息办公室正式发布
8、互联网新闻信息服务管理规定(国信办1号令),于6月1日同网络安全法一起实施。规范了:互联网新闻信息服务的范围 互联网新闻信息服务的6项许可条件 互联网新闻信息服务提供者的责任义务 网信部门对互联网新闻信息服务的监督检查要求 相关法律责任24第四章第四章 网络信息安全网络信息安全v同日国家互联网信息办公室一并发布互联网信息内容管理行政执法程序规定(国信办2号令),于6月1日同网络安全法一起实施。规范了:互联网信息内容管理部门行政执法依据 管辖范围 立案流程 调查取证过程 听证及约谈机制 处罚决定及执行办法等25第五章第五章 监测预警与应急处置监测预警与应急处置v工作制度化、法制化26第六章第六章
9、 法律责任法律责任v对违反 网络安全法 的行为,第六章规定了民事责任、行政责任、刑事责任27网络安全相关法规网络安全相关法规v行政法相关法规 v民法相关法规 v刑法相关法规 出售或者提供公民个人信息罪、非法侵入计算机信息系统罪、网络服务渎职罪等v其他网络安全相关法规及条款 国家安全法 保密法 电子签名法 反恐怖主义法 密码法 28知识子域:国家网络安全政策知识子域:国家网络安全政策v国家网络空间安全战略 了解国家网络空间安全战略中总结的七种新机遇、六大严峻挑战及网络空间“和平、安全、开放、合作、有序”的发展战略目标;了解国家网络空间战略提出的四项基本原则和九大任务;v国家网络安全等保政策 了解
10、我国网络安全等级保护相关政策。29国家网络空间安全战略国家网络空间安全战略v七种新机遇v六大严峻挑战v发展战略目标v四项原则v九大任务30网络安全等级保护政策网络安全等级保护政策v中华人民共和国计算机信息系统安全保护条例规定了计算机系统实现安全等级保护vGB 17859正式细化等级保护要求,划分五个级别v关于信息安全等级保护工作的实施意见的通知规定等级保护指导思想、原则和要求。定级从信息和信息系统的业务重要性及遭受破坏后的影响出发v网络安全法明确我国实行网络安全等级保护制度31知识子域:网络安全道德准则知识子域:网络安全道德准则v道德约束 了解道德的概念、道德与法律的差异;理解道德约束相关概念
11、。v职业道德准则 理解信息安全从业人员遵守职业道德的重要性;了解目前国际团体和组织制作的职业道德规范文件;理解CISP职业道德准则的要求;32道德约束道德约束v道德的概念 一定社会或阶级用以调整人们之间利益关系的行为准则,也是评价人们行为善恶的标准v道德和法律 道德没有严谨的结构体系,法律是国家意志统一体系,有严密的逻辑v道德约束 道德约束是建立在完善的法律基础上 惩戒性条款的管理制度是组织内部建立职业道德约束的有效手段之一 培训与教育是不可获取的增强员工道德意识的途径33计算机职业道德准则计算机职业道德准则v职业道德的概念v著名的计算机职业伦理守则 美国计算机学会职业伦理守则、英国计算机学会
12、伦理守则、计算机伦理十诫vCISP职业道德准则 维护国家、社会和公众的信息安全 诚实守信、遵纪守法 努力工作,尽职尽责 发展自身,维护荣誉34知识子域:知识子域:信息安全标准信息安全标准v信息安全标准基础 了解标准的基本概念及标准的作用、标准化的特点及原则等;了解国际信息安全标准化组织和我国信息安全标准化组织;了解我国标准分类及信息安全标准体系。v我国信息安全标准 了解我国信息安全标准体系分类及基础标准、技术与机制、管理与服务标准、测评标准构成;35标准标准v标准 为了在一定范围内获得最佳秩序,经协商一致制定并由公认机构批准,共同使用的和重复使用的一种规范性文件v标准类型 国际标准 国家标准
13、行业标准 地方标准36标准化标准化v标准化:为了在一定范围内获得最佳秩序,对现实问题或潜在问题制定共同使用和重复使用的条款的活动v标准化的基本特点 标准化是一项活动 标准化的对象:物、事、人 标准化是一个动态的概念 标准化是一个相对的概念 标准化的效益只有应用后才能体现v标准化工作原则:简化、统一、协调、优化37标准化组织标准化组织v主要国际标准化组织 国际标准化组织(ISO)国际电工委员会(IEC)Internet工程任务组(IETF)国际电信联盟(ITU)及国际电信联盟远程通信标准化组织(ITU-T)v国家标准化组织(美国)美国国家标准化协会(ANSI)美国国家标准技术研究院(NIST)3
14、8我国标准化组织我国标准化组织v 中国国家标准化管理委员会 是我国最高级别的国家标准机构v 全国信息安全标准化技术委员会(TC260)1984年,成立数据加密技术分委员,后来改为信息技术安全分技术委员会 2002年4月,为加强信息安全标准的协调工作,国家标准委决定成立全国信息安全标准化技术委员会(信安标委,TC260),由国家标准委直接领导,对口ISO/IEC JTC1 SC27 国家标准化管理委员会高新函20041号文决定:自2004年1月起,各有关部门在申报信息安全国家标准计划项目时,必须经信息安全标委会提出工作意见,协调一致后由信息安全标委会组织申报;在国家标准制定过程中,标准工作组或主
15、要起草单位要与信息安全标委会积极合作,并由信息安全标委会完成国家标准送审、报批工作39全国信息安全标准化技术委员会全国信息安全标准化技术委员会vTC260组织结构40我国标准分类我国标准分类vGB 强制性国家标准 一经颁布必须贯彻执行,违反则构成经济或法律方面的责任vGB/T 推荐性国家标准 自愿采用的标准,共同遵守的技术依据,严格贯彻执行vGB/Z 国家标准指导性技术文件 由于技术发展过程中或其他理由,将来可能达成一致意见指导性技术文件 实施后3年内必须进行复审41我国信息安全标准体系我国信息安全标准体系42基础类标准基础类标准v安全术语类 v测评基础类 v管理基础类 v物理安全类 v安全模
16、型类 v安全体系架构类 43技术与机制标准技术与机制标准v密码技术v鉴别机制v授权机制v电子签名v公钥基础设施v通信安全技术v涉密系统通用技术要求44管理与服务标准管理与服务标准v涉密服务v安全控制与服务v网络安全管理v行业/领域安全管理45测评标准测评标准 v密码产品 v通用产品 v安全保密产品 v通用系统 v涉密信息系统 v通信安全 v政府安全检查 v安全能力评估 46知识子域:信息安全标准知识子域:信息安全标准v等级保护标准族 了解网络安全等级保护标准体系;掌握等级保护实施流程中定级、备案的工作要求并了解等级保护整改、测评相关要求;了解等级保护2.0的相关变化。47信息安全等级保护标准体
17、系信息安全等级保护标准体系48信息安全等级保护标准体系信息安全等级保护标准体系v安全等级类:主要对如何进行信息系统定级做出指导 GB/T22240-2008 信息安全技术 信息系统安全保护等级保护定级指南 各类行业定级准则v方法指导类:对如何开展等级保护工作做了详细规定 GB/T25058-2010信息安全技术 信息系统安全等级保护实施指南 GB/T25070-2010信息系统等级保护安全设计技术要求等49信息安全等级保护标准体系信息安全等级保护标准体系v状况分析类:对如何开展等级保护测评工作做出了详细规定 GB/T28448-2012信息安全技术 信息系统安全等级保护测评要求 GB/T284
18、49-2012信息安全技术 信息系统安全等级保护测评过程指南等v基线要求类:分技术类、管理类和产品类等标准,分别对某些专门技术、管理和产品的进行要求 例如:GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求、GB/T20271-2006信息系统通用安全技术要求、GB/T21052-2007信息系统物理安全技术要求50等级保护工作流程等级保护工作流程v定级v备案v差距分析v建设整改v验收测评v定期复查517、系统服务安全等级定级与备案定级与备案保护对象受到破坏时受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第三级社会秩序、
19、公共利益第二级第三级第四级国家安全第三级第四级第五级等级保护定级方法等级保护定级方法保护对象保护对象对客体的侵害程度对客体的侵害程度客体:客体:社会关系社会关系受侵害的客体受侵害的客体信息系统安全信息系统安全系统服务安全系统服务安全业务信息安全业务信息安全3、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所侵害的客体4、业务信息安全等级8、定级对象的安全保护等级8MAX(4,7)1、确定定级对象(系统边界)一般流程一般流程等级确定等级确定52差距分析差距分析v目的:发现系统当前安全状况与等级保护基本要求之间差距,指导
20、下一步整改工作v流程:差距分析流程与等级保护测评一致v报告:在完成差距分析后一般形成等级保护差距分析报告,格式一般参考等级保护测评报告,为下一阶段开展等级保护安全建设整改工作提出建设整改需求。53建设整改建设整改v依据:GB/T25070-2010信息系统等级保护安全设计技术要求v流程:依据等级保护差距分析报告中提出的安全建设整改需求,设计等级保护安全建设整改方案,并根据单位实际的资金、技术、人员配备情况分阶段地开展等级保护建设整改工作。v报告:建设整改前,需要编制等级保护安全建设整改方案,提出建设整改目标和步骤。在完成整改后,由建设单位开展验收工作,验证是否达到方案要求54等级保护要求体系等级保护要求体系55等级保护扩展要求等级保护扩展要求v云计算安全要求v移动互联网安全v物联网安全v工业控制系统安全56总结总结v网络安全法律体系建设 计算机犯罪、信息安全等基本概念 我国立法体系及网络安全法v国家网络安全政策 网络空间安全国家战略 网络安全法相关保护v网络安全道德与准则v网络安全标准 标准与标准化 标准机构与标准体系 国家网络安全标准体系57邀请您参与讲师考评邀请您参与讲师考评58谢谢,请提问题!谢谢,请提问题!
