网络工程-1_信息安全基础知识.pptVIP

* * 1.9.3 我国网络信息安全评测认证体系 中国国家信息安全测评认证中心：是经国家授权，依据国家认证的法律、法规和信息安全管理的政策，并按照国际通用准则建立的中立的技术机构。它代表国家对信息技术、信息系统、信息安全产品以及信息安全服务的安全性实施测试、评估和认证，为社会提供相关的技术服务，为政府有关主管部门的信息安全行政管理和行政执法提供必要的技术支持。 中华人民共和国国家信息安全认证:是国家对信息安全技术、产品或系统安全质量的最高认可。 中国国家信息安全测评认证中心开展（1999年公布）四种认证业务 （1）产品型号认证：是认证的基础形式，仅包括质量认证中的“型式试验”和“监督检验”两个要素 * * （2）产品认证：是认证的完整形式，包括了质量认证中从产品检验到质量保证能力评审的全部要素 （3）信息系统安全认证：是对信息系统或网络的运行安全、信息安全和管理控制安全的综合认证 （4）信息安全服务认证：是对向社会提供信息安全服务的企业、组织、机构或团体的技术实力、服务能力和资质条件的系统认证。 * * 中国国家信息安全测评认证中心的认证准则 （1）达到中心认证标准的产品或系统只是达到了国家规定的管理安全风险的能力，并不表明该产品完全消除了安全风险 （2）中心的认证程序能够确保产品安全的风险降低到了国家标准规定的和公众可以接受的水平 （3）中心的认证程序是一个动态的过程，中心将根据信息安全产品的技术发展和最终用户的使用要求，动态增加认证测试的难度 （4）中心的认证准则和认证程序最终须经专家委员会和管理委员会审查批准。 中国已接受了OSI安全体系结构即IS07498-2标准，在中国命名为GB/T9387-2标准，并完善了国家信息安全测评认证体系，即CC评估认证体系。 * * （3）工程应用层面，等保2.0时代重点对云计算、移动互联、物联网、工业控制以及大数据安全等进行全面安全防护，确保关键信息基础设施安全 （2）科学技术层面，由分层被动防护发展到了科学安全框架下的主动免疫安全可信防护体系 等级保护条例将等级保护、分级保护、密码支持融为一体，构建完整的国家网络空间保障体系。 * 等级 按级监管 保护级（GB17859) 一级 自主保护 自主保护 二级 指导保护 系统审计（自主访问） 三级 监督检查 安全标记保护（强制访问） 四级 强制监督检查 结构化保护 五级 专门监督检查 访问验证保护 * * 1.10.1 网络信息安全立法的现状与思考 我国对信息网络的立法工作一直十分重视在国外，保障网络安全的立法工作已经逐渐普及目前，世界各国政府正在寻求提高信息安全的法律手段 网络立法应注意的两方面问题： 网络立法要强制与激励并行 网络立法还要考虑到规范实现的可能性 网络立法本身需要根据现实发展不断作出调整 1.10 网络信息安全与法律 我国近年来非常重视互联网、发展互联网、治理互联网，统筹协调涉及政治、经济、文化、社会、军事等领域信息化和网络安全重大问题，作出一系列重大决策，并且通过立法的手段颁布了多项网络安全领域的重要的法律法规。有力的推动我国的网信事业快速发展，并取得历史性成就。 2010颁布的《国家必威体育官网网址法》第二十三条规定，存储、处理国家秘密的计算机信息系统(以下简称涉密信息系统)按照涉密程度实行分级保护。 * 2016年颁布的《网络安全法》第二十一条明确了国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。 2019年颁布的《国家密码法》第二十七条也规定，法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。 * 2021年9月1日起正式施行《数据安全法》明确数据安全主管机构的监管职责，建立健全数据安全协同治理体系，提高数据安全保障能力，促进数据出境安全和自由流动，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，让数据安全有法可依、有章可循，为数字化经济的安全健康发展提供了有力支撑。 * 2022年2月15日十三部门联合修订发布的《网络安全审查办法》，重点提出了“掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查”的要求。 《办法》在列举国家安全风险因素时，明确指出，要评估供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险，以及上市存在关键信息基础设施、核心数据、重要数据或者大量个人信