【NISP一级】1.3 网络空间安全政策与标准

【NISP一级】1.3 网络空间安全政策与标准

1. 网络安全国家战略

1.1 国家指导政策

• 《中华人民共和国网络安全法》于2016 年出台，2017 年6月1日正式生效
• 《信息安全技术个人信息安全规范》GB/T-35273 于2018年正式出台，5月1日正式生效。
• 《中华人民共和国密码法》于2019年10月26日在第十三届全国人民代表大会常务委员会第十四次会议表决通过，自2020年1月1 日起施行。《数据安全法》于2021年6月10日，第十三届全国人民代表大会常务委员会第二十九次会议表决通过，自2021年9月1 日起施行。
• 《数据出境管理办法》、《 重要数据管理办法》正在制定即将颁布
• 《中华人民共和国计算机信息系统安全保护条例》规定了计算机系统实现安全等级保护
• GB 17859正式细化等级保护要求，划分五个级别:用户自主保护、系统审计保护、安全标记保护、结构化保护、
  访问验证保护。
• 《关于信息安全等级保护工作的实施意见的通知》规定等级保护指导思想、原则和要求。定级从信息和信息系统的业务重要性及遭受破坏后的影响出发
• 网络安全法明确我国实行网络安全等级保护制度

1.2 国内外网络空间安全发展比较

• 中国:
  • 2012年党的十八大文件进一步明确指出，要“高度关注海洋、太空、网络空间安全”。
  • 2014年国家领导人进一步指出: “没有网络安全， 就没有国家安全。没有信息化，就没有现代化。”
  • 2016年11月7日，我国颁布了《中华人民共和国网络安全法》。
  • 2016年12月27日，国家互联网信息办公室和中央网络安全与信息化领导小组办公室联合发布了我国《国家网络空间安全战略》
• 美国
  • 2011年5月16日美国公布了“网络空间国际战略”，7月14日公布了"网络空间作战战略”，提出“陆、海、空、天、网”5维一体的美国国家安全概念。
  • 2017年8月18日，美国总统特朗普宣布，批准美军将网络司令部升格为作战司令部。网络司令部升格后，将成为美军第10个作战司令部，与战略司令部、运输司令部、特种作战司令部并列为美军4大职能型作战司令部。
• 欧盟
  • 英、德、法等国先后制定了本国的网络空间安全战略，成立了专门机构推进相关体制机制的完善，将网络空间安全由“政策”、”计划” 提升为国家战略，并宣布了国际战略和作战战略。

1.3 计算机犯罪

• 趋势

  • 从无意识到有组织: APT攻击

  • 从个体侵害到国家威胁:震网事件、乌克兰火电站

  • 跨越计算机本身的实施能力:社会工程学

  • 低龄化成为法律制约难题:“脚本小子”

• 犯罪成立的共同特征
  • 犯罪主体
  • 犯罪主观方面
  • 犯罪客观方面
  • 犯罪客体

1.4 今年安全事件

• 震网(Stuxnet)攻击（2010/6）:席卷全球工业界的病毒，伊朗核工业基础设施遭到重创(APT)，延缓伊朗核进程。
  • 世界上第一款军用级网络攻击武器
  • 世界上第一款针对工业控制系统的木马病毒
  • 世界上第一款能够对现实世界产生破坏性影响的冯病毒
• 代号夜龙(Night Dragon)的攻击（2011/2）:5家跨国能源公司遭到攻击，超过干兆字节的敏感文件被窃，包括油气田操作的机密信息、项目融资与投标文件等。
• “海莲花”攻击（2015/5）:境外黑客组织"海莲花”被爆自2012年4月起，通过特种木马针对我海事机构、海域建设部门、科研院所和航运企业展开了精密组织鱼叉式攻击。
• blackenergy APT（2015/12）:乌克兰多家电厂设施被感染，，造成大面积停电，整个城市陷入恐慌，损失惨重。
• 中兴泄密事件（2016）
  • 2016年3月，美国商务部对中兴通讯实施出口限制措施，导致公司暂时停牌交易。禁运事件爆发后，在双方政府协调下，美国商务部给中兴颁布了临时许可证，从而保证中兴通讯可以正常采购美国元器件和软件。
  • 2017年3月，总部在深圳的中兴通讯因被控违反美国的制裁，同意接受处罚，支付11.9亿美元的罚款。
  • 2018年4月16日，美国商务部工业与安全局(BIS) 以中兴通讯对涉及历史出口管制违规行为的某些员工未及时扣减奖金和发出惩戒信，并在2016年11月30日和2017年7月20日提交给美国政府的两份函件中对此做了虚假陈述为由，做出了激活对中兴通讯和中兴通讯公司拒绝令的决定。
• 永恒之蓝（2017/12）:不法分子改造基于"永恒之蓝”攻击程序的网络攻击，导致勒索病毒在全球大范围爆发。
• 台积电遭受勒索病毒攻击（2018年）
  • 台积电在2018年8月2日傍晚遭勒索病毒入侵，并于当晚10时许扩散至三大厂区。台积电公告推算，事件发生后约40 小时已恢复八成机台生产作业，预计在关键的60小时"排毒行动"后有望全数排除电脑病毒。但比原先预期慢了约一天，受冲击营收也比预期大，将冲击第三季度营收约3%，约为87亿元新台币(约合人 民币17.7亿元)

2. 网络安全标准体系

2.1 标准的概念

• 标准：为了在一定范围内获得最佳秩序，经协商一致制定并由公认机构批准，共同使用的和重复使用的一种规范性文件
• 标准类型：国际标准、国家标准、行业标准和地方标准

2.2 标准化

• 标准化:为了在一定范围内获得最佳秩序，对现实问题或潜在问题制定共同使用和重复使用的条款的活动
• 标准化的基本特点
  • 标准化是一项活动
  • 标准化的对象:物、事、人
  • 标准化是一个动态的概念
  • 标准化是一个相对的概念
  • 标准化的效益只有应用后才能体现
  • 标准化工作原则:简化、统一、协调、优化

2.3 标准化组织

2.3.1主要国际标准化组织

• 国际标准化组织（International Organization for Standardization，ISO）

• 开放式互联（Open System Interconnection，OSI）安全体系

  • 安全服务

  • 认证安全服务

  • 访问控制安全服务

  • 数据保密性安全服务

  • 数据完整性安全服务

  • 防抵赖性服务

    • 安全机制

    • 安全管理

    • 安全层次

• 国际电工委员会(IEC)

• Internet工程任务组(IETF)

• 国际电信联盟(ITU)及国际电信联盟远程通信标准化组织(ITU-T)

2.3.2 国家标准化组织

• 美国

• 美国国家标准化协会(ANSI)

• 美国国家标准技术研究院(NIST)

• 我国

• 中国国家标准化管理委员会：是我国最高级别的国家标准机构

• 全国信息安全标准化技术委员会(TC260)

• 1984年， 成立数据加密技术分委员，后来改为信息技术安全分技术委员会

• 2002年4月，为加强信息安全标准的协调工作，国家标准委决定成立全国信息安全标准化技术委员会(信安标委，TC260) ，由国家标准委直接领导，对口ISO/IEC JTC1 SC27

• 国家标准化管理委员会高新函[2004]1号文决定: 自2004年1月起， 各有关部门在申报信息安全国家标准计划项目时，必须经信息安全标委会提出工作意见，协调一致后由信息安全标委会组织申报;在国家标准制定过程中，标准工作组或主要起草单位要与信息安全标委会积极合作，并由信息安全标委会完成国家标准送审、报批工作

• TC260组织结构

  • 委员会（主任、副主任、委员）

  • 秘书处

    • WG1信息安全标准体系与协调工作组

    • WG3密码技术工作组

    • WG4鉴别与授权工作组

    • WG5信息安全评估工作组

    • WG6通信安全标准工作组

    • WG7信息安全管理工作组

    • SWG-BDS大数据安全标准特别工作组

2.4 我国标准分类

• GB强制性国家标准：经颁布必须贯彻执行，违反则构成经济或法律方面的责任
• GB/T推荐性国家标准：自愿采用的标准，共同遵守的技术依据，严格贯彻执行
• GB/Z 国家标准指导性技术文件：由于技术发展过程中或其他理由，将来可能达成一致意见指导性技术文件实施后3年内必须进行复审

3. 网络安全等级保护

3.1 等级保护定义

• 根据《网络安全法》的规定，等级保护是我国信息安全保障的基本制度。
  • 《网络安全法》第二十一条规定，国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列全保护义务:保障网络免受干扰、破环或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。
• 等保1.0指的是2007年的《信息安全等级保护管理办法》和2008年的《信息安全技术信息系统安全等级保护基本要求》
• 等保2.0将原来的标准 《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》，并对旧有内容进行调整

3.2 等保发展过程

• 1994-2006 试点启动
  • 1994:《计算机信息系统安全保护条例》规定计算机信息系统实施等级保护。
  • 1999:《计算机信 息系统安全保护等级划分准则(GB17859-1999)》，等级保护成为国家强制标准
  • 2003:《国家信 息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号) 明确指出:实行信息安全等级保护
• 2007-2016 正式推广
  • 2007:四部委联合出台《信息安全等级保护管理办法》等系列文件
  • 2008:等级保护系列标准发布，等级保护工作正式启动
• 2017-2020 全面推进
  • 2017:《中华 人民共和国网络安全法》正式实施，明确规定“国家实行网络安全等级保护制度"
  • 2019:等级保护标准v2.0发布，等级保护迈入新阶段

3.3 信息安全登记保护标准体系

3.4 等级保护流程

• 定级
• 备案
• 差距分析
• 建设整改
• 验收测评
• 定期复查
  

3.5 等级保护核心思想

• 核心思想：对保护对象按等级划分，按标准进行建设、管理和监督
• 基本原则
  • 自主保护原则
  • 重点保护原则
  • 同步建设原则
  • 动态调整原则

3.6 等级划分

• 等级划分
  • 分为五级，一级最低，五级最高
  • 适用于指导分等级的非涉密对象的安全建设和监督管理
  • 第五级对象是非常重要的监督管理对象，对其有特殊的管理模式和安全要求，不在本标准总描述。
• 定级要素
  • 受侵害的客体
  • 对客体的侵害程度

3.7 等级保护级别

• 第一级:用户自主保护级（E）
  • 信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。
• 第二级:系统审计保护级（D）
  • 信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害,但不损害国家安全。
• 第三级:安全标记保护级（C）
  • 信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害
• 第四级:结构化保护级（B）
  • 信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。
• 第五级:访问验证保护级（A）
  • 信息系统受到破坏后，会对国家安全造成特别严重损害。
• 最新版本等级保护2.0标准中，将公民、法人和其他组织的合法权益受到特别严重损害定级仍然维持第二级(标准公开征求意见稿中曾提高到第三级)
  
  
  
  

4. 网络安全职业道德

4.1 道德的概念

• 道德的概念
  • 一定社会或阶级用以调整人们之间利益关系的行为准则，也是评价人们行为善恶的标准
• 道德和法律
  • 道德没有严谨的结构体系，法律是国家意志统一-体系，有严密的逻辑
• 道德约束
  • 道德约束是建立在完善的法律基础上
  • 惩戒性条款的管理制度是组织内部建立职业道德约束的有效手段之一
  • 培训与教育是不可获取的增强员工道德意识的途径

4.2 网络安全职业道德准则

• 职业道德的概念
• 著名的计算机职业伦理守则
  • 美国计算机学会职业伦理守则
  • 英国计算机学会伦理守则
  • 计算机伦理十诫
• 网络安全职业道德准则
  • 维护国家、社会和公众的信息安全
  • 诚实守信、遵纪守法
  • 努力工作、尽职尽责
  • 发展自身、维护荣誉