信息安全标准与法规.ppt

主要内容 概述 国外信息安全管理体制（美国） 国内信息安全管理体制 概述 建立信息安全管理体制，包括建立信息安全管理机构以及制定信息安全的法律政策是构筑国家信息安全保障体系的重要一环。 信息安全保障是一套管理体制。 信息保障是美国信息安全界近年提出的一个新概念，是人们对信息安全认识的发展。在计算机出现以前，信息安全的主要内容是通信必威体育官网网址；有了计算机以后，我们讲计算机安全；计算机和通信融合在一起之后，我们讲网络安全。但当网络成为生活一部分的时候，只讲技术不行了，需要有一种制度上的保障，这就是信息保障。它是和质量、安全、管理、制度、可持续发展联系在一起的。如果说以前是从技术的安全到系统的安全，再到管理的安全的话，信息保障则是制度型的安全。我们说必须有一个完整的规范，形成一套制度才是最安全的，信息保障就是把信息安全从技术扩展到管理，进而延伸到制度的信息安全理念。 信息安全保障体系 制定、颁布一系列信息安全的法律法规、政策，甚至信息安全发展战略等等，做到有法可依，有法必依； 完善信息安全组织机构管理体系，进一步强化管理机构的职能，建立高效能的、职责分工明确的行政管理和业务组织体系； 强化信息安全技术防护体系，采用先进技术手段，确保网络和电信传输、应用区域边界、应用环境等环节的安全，既能防外部攻击，又能做到防内部作案； 加强信息基础设施建设，建立安全事件应急响应中心、数据备份和灾难恢复设施、加强密码基础设施（KMI/PKI）的建设，加强信息安全测评认证工作； 确立信息安全人才教育和培训体系，培养大批高质量的信息安全专业人才，此外，加强全民信息安全素质也至关重要。 国外信息安全管理体制 ——以美国为例 信息安全管理体制总框架 美国信息安全环境（法律和政策） 美国信息安全组织机构体系的发展 信息安全具体管理体系介绍 美国信息安全管理体制总框架 美国信息安全环境 美国信息安全立法环境 美国信息安全政策环境 美国信息安全立法环境 电子监控隐私保护 保护联邦信息与信息系统的安全 计算机犯罪 信息安全研究与开发 1、电子监控及隐私保护 1968年联邦监听法案 赋予执法部门执行通信（口头、有线）监听的权力，并对该权力的执行条件施以规定 。 1978年外国情报监控法案（FISA） 实施电子监控，在美国境内获取外国情报信息。 1986年电子通信必威体育官网网址法案（ECPA） 更新1968年联邦监听法案的向关内容，对无线、电子邮件以及计算机传输等通讯方式的执法监控作出规定，融入新技术和能力。 1994年《执法通信援助法案》（CALEA） 明确通信服务提供商对以执法为目的通讯截听负有给予合作的义务 。 2001年《爱国者法案》 迎合 “9.11”恐怖袭击之后的安全需求，加强执法监控力度。 2、保护联邦信息和信息系统安全 明确联邦机构信息安全职能 1987年计算机安全法案 目的：改善联邦政府计算机系统内敏感信息的安全必威体育官网网址，要求凡是存有敏感信息的联邦政府的计算机系统必须制定安全计划 将NIST作为联邦民用机构计算机安全的领导机构，负责制定联邦计算机系统的标准 1995年《文牍简化法案》 要求由传统的文案工作形式向在线或网络形式转变，向政府提出了新的安全要求 2000年《政府信息安全改革法案》GISRA 强调了信息保障的概念，要求联邦政府机构建立内部计算机安全机制，防止计算机系统遭受攻击和侵害 《2002年联邦信息安全管理法案》FISMA 进一步确立管理与预算办公室（OMB）在联邦信息和信息系统安全保护中的指导地位，并进一步明确联邦各机构的信息安全职能 3、计算机犯罪 州法律 美国的计算机犯罪立法最初是从州开始的。1978年，佛罗里达州率先制定了计算机犯罪法，截至目前，除佛蒙特州以外，其他所有的州都制定了专门的计算机犯罪法。 联邦法律 《冒名存取与计算机诈骗及滥用法》（1984） →《1986年计算机诈骗及滥用法案》 →《计算机滥用修正案》 → 《美国法典》第18篇“犯罪与刑事诉讼”篇第1030条款“计算机欺诈及相关行为”； 禁止在未经授权的情况下或带有欺诈性意图对政府计算机进行访问； 美国法典第18篇的1029款“访问设备欺诈及相关行为”。 禁止利用伪造的访问设备，例如个人身份号码、信用卡、账号、以及各种类型的电子识别器等进行欺诈。 4、网络安全研究与开发 《网络安全研发法案》于2002年11月27日发布生效； 授权向国家科学基金会（NSF）以及主管国家标准技术研究所（NIST）的商务部长拨款，通过设立新的项目以及对现有项目增加资金投入，支持和鼓励全美国范围内的计算机和网络安全研发活动。 美国信息安全政策环境 OMB A-130通告附录III《联邦