信息安全标准与法律法规

内容概要

　　《普通高等教育信息安全类国家级特色专业系列规划教材：信息安全标准与法律法规》主要介绍了国内外信息安全标准和法律法规的背景知识、发展状况，并对较有影响力的标准和法律法规进行了详细说明。通过对《普通高等教育信息安全类国家级特色专业系列规划教材：信息安全标准与法律法规》的学习，读者可对标准的概念、国内外信息安全标准及法律法规有一个较为全面的了解。全书共分为三个部分，由12章组成，内容包括标准概述，立法、司法和执法概述，信息安全国际标准概况，我国信息安全标准概况，信息安全主要应用标准介绍，信息安全管理相关国际标准，我国计算机信息系统安全等级保护标准，信息安全法律法规概况，信息安全国家法律，信息安全行政法规，信息安全部门规章和规范性文件。　　《普通高等教育信息安全类国家级特色专业系列规划教材：信息安全标准与法律法规》可作为高等院校信息安全专业高年级本科生与研究生的教材，也可作为信息安全专业人员培训班的培训教材，以及供从事相关工作的技术人员和对信息安全感兴趣的读者阅读参考。

书籍目录

丛书序前言第1部分 总论第1章 绪论1.1 信息安全概述1.2 信息安全涉及的法律问题第2章 标准概述2.1 标准和标准化的概念2.2 标准化的意义2.3 标准化的发展第3章 立法、司法和执法概述3.1 立法3.2 司法3.3 执法第2部分 信息安全标准第4章 信息安全国际标准概况4.1 ISO/IEC4.2 IEC相关内容介绍4.3 ITU4.4 美国信息安全管理标准体系4.5 英国信息安全管理标准体系4.6 IETF和RFC第5章 我国信息安全标准概况5.1 我国标准化情况简介5.2 我国信息安全标准概况5.3 我国信息安全标准化未来的发展趋势5.4 我国信息安全标准体系概述5.5 信息安全基础标准5.6 物理安全标准5.7 系统与网络标准5.8 应用与工程标准5.9 管理类标准第6章 信息安全主要应用标准介绍6.1 密码学相关安全标准6.2 计算机网络相关安全标准6.3 电子商务安全相关标准6.4 数据库安全相关标准第7章 信息安全管理相关国际标准7.1 信息安全管理相关国际标准7.2 ISO/IEC27002：20057.3 ISO/IEC27001：2005第8章 我国计算机信息系统安全等级保护标准8.1 计算机信息系统安全保护等级划分简介8.2 GB17859-1999《计算机信息系统安全保护等级划分准则》8.3 GB/T20269-2006《信息安全技术 信息系统安全管理要求》8.4 GB/T20271-2006《信息安全技术 信息系统通用安全技术要求》第3部分 信息安全法律法规第9章 信息安全法律法规概况9.1 国际信息安全法律法规概况9.2 我国现有信息安全相关法律法规第10章 信息安全国家法律10.1 中华人民共和国保守国家秘密法10.2 中华人民共和国国家安全法10.3 关于维护互联网安全的决定10.4 中华人民共和国电子签名法第11章 信息安全行政法规11.1 计算机信息系统安全保护条例11.2 计算机信息网络国际联网管理暂行规定实施办法11.3 商用密码管理条例11.4 互联网信息服务管理办法11.5 计算机软件保护条例11.6 认证认可条例第12章 信息安全部门规章和规范性文件12.1 保密局与科委发布的规章和规范性文件12.2 公安部发布的规章和规范性文件12.3 密码管理局发布的规章和规范性文件12.4 其他部门发布的信息安全规章和规范性文件参考文献附录A ISO/IEC信息安全相关标准一览表附录B 信息安全相关RFC标准一览表附录C NIST信息安全相关标准一览表附录D 信息安全相关中国国家标准一览表

章节摘录

第1章 绪论1.1 信息安全概述信息安全本身包括的范围很大。大到国家军事政治等机密的安全，小到如防范商业企业机密泄露、青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名、信息认证、数据加密等），直至安全系统，其中任何一个安全漏洞便可以威胁全局安全。信息安全服务至少应该包括支持信息网络安全服务的基本理论，以及基于新一代信息网络体系结构的网络安全服务体系结构。1.1.1 信息的定义中文“信息”一词有着很悠久的历史，早在两千多年前的西汉，即有“信”字的出现，常可作消息来理解。一千多年前，唐代诗人杜牧在《寄远》诗中写到：“塞外音书无信息，道傍车马起尘埃”。李中的《暮春怀故人》中也有“梦断美人沉信息，目穿长路倚楼台”的佳句。宋代的李清照则发出“不乞隋珠与和璧，只乞乡关新信息”的感叹，在她心目中，来自家乡的信息比珍贵的“隋珠”与“和璧”的价值更高。在《红楼梦》第十六回里，讲到贾政突然奉旨入朝，贾府上下不知是祸是福，都惶惶不安。后来，随从贾政入朝的赖大等三四个管家气喘吁吁地跑回府来，贾母便唤进赖大来细问端的。赖大禀道：“小的们只在临敬门外伺候，里头的信息一概不能得知。后来还是夏太监出来道喜，说咱们家大小姐晋封为风藻宫尚书，加封贤德妃。”《红楼梦》是一部现实主义的伟大古典著作，作者曹雪芹在这部作品中为我们留下了他那个时代的极为丰富的活语言材料。在上面那段引文中，“信息”一词十分自然地出于赖大之口，说明它在当时民间口语中已使用得很平常了。在古人的文章里，信息的意思多指消息。因为“信息”能够带来家人的问候与平安的消息，所以，在通讯并不发达的古代，古人对“信息”充满了期盼。一个词能历经时代的变迁而保持生命的活力是一回事，使用它的人对它的内涵作何理解则是另一回事。从李中到曹雪芹，“信息”这个词基本上是作为“音信”、“消息”的同义词来使用的。在现代汉语中，在这样的意义上使用“信息”一词，在很长一个时期反倒少了。“信息”一词来源于拉丁文“informatio”，意思是指解释、陈述。在英语中，表达这个概念的词是information。早些时候出版的英汉词典中，information的汉语释义是“消息、见闻、情报、知识、通知、报道”等等。就是说，英语中的information与汉语中的“信息”，本来的涵义是大体相当的。后来，information在收入专业英汉词典时，只用“信息”作为它的汉语释义，这时，它已经作为现代科学技术的一个基本概念而崭露头角了。information（信息）被改造和发展成新的科学概念，是在通信理论的研究中发生的。通信，即使在狭义上理解，在人类社会也有悠久的历史沿革；information（信息）的本来涵义，即音信、消息、情报等等，也是与人类的通信行为或通信过程密不可分的。人类社会的进步和科学技术的进步，就包含着通信手段和通信技术的不断进步。不过，通信在严格意义上成为科学研究的对象，还只是20世纪才发生的事。随着社会的进步、科学技术的发展，人们对信息的认识也越来越深入，信息概念的含义也在不断地改变和发展。现在，人们所说的“信息”已成为一个包含内容很丰富、意义很深刻的概念，以至人们很难给它下一个确切的定义。作为一个严谨的科学术语，信息的定义却不存在一个统一的观点，这是由它的极端复杂性决定的。信息的表现形式数不胜数：声音、图片、温度、体积、颜色..信息的分类也不计其数：电子信息、财经信息、天气信息、生物信息..要对信息作一个严密而又具有普适性的定义，就必须从本质上来把握信息。现在学术界主要有以下几种观点：美国数学家、信息论的奠基人克劳德•艾尔伍德•香农（Claude Elwood Shannon）在他的著名论文《通信的数学理论》（1948）中提出计算信息量的公式，即若一个信息由n个符号所构成，符号k出现的几率为pk，则有H＝∑npklog2pkSk＝1这个公式和热力学的熵的计算方式一样，故也称为信息熵。从公式可知，当各个符号出现的几率相等，即“不确定性”最高时，信息熵最大。故信息可以视为“不确定性”或“选择的自由度”的度量。美国数学家、控制论的奠基人诺伯特•维纳在他的《控制论――动物和机器中的通讯与控制问题》中认为，信息是“我们在适应外部世界，控制外部世界的过程中同外部世界交换的内容的名称”。英国学者阿希贝认为，信息的本性在于事物本身具有变异度。意大利学者朗高在《信息论：新的趋势与未决问题》中认为，信息是反映事物的形成、关系和差别的东西，它包含于事物的差异之中，而不在事物本身。狭义上，信息就是符号的排列顺序。但作为一个概念，信息有着多种多样的含义。一般来说，与信息这一概念密切相关的概念包括约束（constraint）、沟通（communication）、控制、数据、形式、指令、知识、含义、精神刺激、模式、感知以及表达。信息是人们在适应外部世界并使这种适应反作用于外部世界过程中，同外部世界进行互相交换的内容和名称。尽管从不同的角度出发对信息存在不同的定义，但是就信息的一些基本性质还是达成以下一些了共识。普遍性：只要有事物的地方，就必然存在信息。信息在自然界和人类社会活动中广泛存在。客观性：信息是客观现实的反映，不随人的主观意志而改变。如果人为地篡改信息，那么信息就会失去它的价值，甚至不能称之为“信息”了。动态性：事物是在不断变化发展的，信息也必然随之运动发展，其内容、形式、容量都会随时间而改变。时效性：由于信息的动态性，那么一个固定的信息的使用价值必然会随着时间的流逝而衰减。可识别性：人类可以通过感觉器官和科学仪器等方式来获取、整理、认知信息。这是人类利用信息的前提。可传递性：信息可以通过各种媒介在人-人，人-物，物-物等之间传递。可共享性：信息与物质、能量显著不同的是，信息在传递过程中并不是“此消彼长”，同一信息可以在同一时间被多个主体共有，而且还能够无限的复制、传递。1.1.2 信息安全的定义“安全”作为现代汉语的一个基本语词，在各种现代汉语辞书中有着基本相同的解释。《现代汉语词典》对“安全”的解释是“没有危险；不受威胁；不出事故”。当汉语的“安全”一词用来译指英文时，可以与其对应的主要有safety和security两个单词，虽然这两个单词的含义及用法有所不同，但都可在不同意义上与中文“安全”相对应。在这里，与信息安全相联系的“安全”一词，是security。按照英文词典解释，security也有多种含义，其中经常被提到的含义有两方面，一方面是指安全的状态，即免于危险，没有恐惧；另一方面是指对安全的维护，指安全措施和安全机构。没有危险是安全的特有属性，也是本质属性。单是没有外在威胁，并不是安全的特有属性；单是没有内在的疾患，也不是安全的特有属性。但是，包括了没有威胁和没有疾患这样内外两个方面的“没有危险”，则是安全的特有属性了。那么，信息安全（information security）就是指信息处于“没有危险”的状态，是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。自从世界上出现了文字之后，各国元首和军队指挥官就逐渐明白，非常有必要使用一些技巧来保证通信的机密性以及获知其是否被篡改。恺撒在公元前50年发明了恺撒密码，它被用来防止秘密的消息落入错误的人手中时被读取。第二次世界大战使得信息安全的研究取得了许多进展，并且标志着它开始成为一门专业的学问。20世纪末以及21世纪初，通信、计算机软硬件以及数据加密领域得到巨大发展，小巧、功能强大、价格低廉的计算设备使得小公司和家庭用户能够负担和掌握对电子数据的加工处理，这些计算机进而很快被因特网连接起来。在因特网上快速增长的电子数据处理和电子商务应用，以及不断出现的国际恐怖主义事件，大大增加了对保护计算机及其存储、加工和传输的信息的需求。计算机安全、信息安全以及信息保障等学科，是和许多专业的组织一起出现的。它们都持有共同的目标，即确保信息系统的安全和可靠。信息安全，简称信安，意为保护信息及信息系统免受未经授权的进入、使用、披露、破坏、修改、检视、记录及销毁。政府、军队、公司、金融机构、医院、私人企业积累了大量的有关它们的雇员、顾客、产品、研究、金融数据的机密信息。绝大多数此类信息现在被收集、产生、存储在电子计算机内，并通过网络传送到别的计算机。万一一家企业的顾客、财政状况、新产品线的机密信息落入了其竞争对手的手中，这种安全性的丧失可能会导致经济上的损失、法律诉讼甚至该企业的破产。保护机密的信息是商业上的需求，并且在许多情况中也是道德和法律上的需求。对于个人来说，信息安全对于其个人隐私具有重大的影响，但这在不同的文化中的看法差异相当大。信息安全的领域在最近这些年经历了巨大的成长和进化，有很多方式进入这一领域，并将之发展为一项事业。它提供了许多专门的研究领域，包括安全的网络和公共基础设施、安全的应用软件和数据库、安全测试、信息系统评估、企业安全规划以及数字取证技术等。1.1.3 信息安全的基本属性信息安全具有以下基本属性。（1）保密性（Confindentialy）：保证未授权者无法享用信息，信息不会被非法泄漏而扩散；（2）完整性（Integrity）：保证信息的来源、去向、内容真实无误；（3）可用性（Availability）：保证网络和信息系统随时可用；（4）可控性（Controllability）：保证信息管理者能对传播的信息及内容实施必要的控制及管理；（5）不可否认性（NonRepudiation）：又称不可抵赖性，保证每个信息参与者对各自的信息行为负责。其中，前三者又称为信息安全的目标――CIA。对信息安全的认识经历了数据保安阶段（强调保密通信）、网络信息安全时代（强调网络环境）和目前的信息保障时代（强调不能只是被动地保护，需要有保护――检测――反应――恢复四个环节）。除了上述的信息安全五性外，还有信息安全的可审计性（Audiability）、可鉴别性（Authenticity）等。信息安全的可审计性是指信息系统的行为人不能否认自己的信息处理行为，与具有不可否认性的信息交换过程中行为可认定性相比，可审计性的含义更宽泛一些。信息安全的可鉴别性是指信息的接收者能对信息的发送者的身份进行判定，它也是一个与不可否认性相关的概念。1.1.4 信息保障保障信息安全有三个支柱，一个是技术，一个是管理，一个是法律法规。而我们日常提及信息安全时，多是在技术相关的领域，例如入侵检测技术、防火墙技术、防病毒技术、加密技术、认证技术等等，这是因为技术提供商在培育市场。而世界各国信息安全领域的研究，已经从早期的通信保密到信息安全发展到目前的信息保障。1998年5月22日，美国政府颁发了《保护美国关键基础设施》总统令（PDD63）。围绕“信息保障”成立了多个组织，其中包括全国信息保障委员会、全国信息保障同盟、关键基础设施保障办公室、首席信息官委员会、联邦计算机事件响应能动组等10多个全国性机构。1998年美国国家安全局（NSA）制定了《信息保障技术框架》（IATF），提出了“深度防御策略”，确定了包括网络与基础设施防御、区域边界防御、计算环境防御和支撑性基础设施的深度防御目标。2000年1月，美国发布了《保卫美国的计算机空间――保护信息系统的国家计划》。该计划分析了美国关键基础设施所面临的威胁，确定了计划的目标和范围，制定出联邦政府关键基础设施保护计划（其中包括民用机构的基础设施保护方案和国防部基础设施保护计划）以及私营部门、州和地方政府的关键基础设施保障框架。1995年，俄罗斯颁布了《联邦信息、信息化和信息保护法》，为提供高效益、高质量的信息保障创造条件，明确界定了信息资源开放和保密的范畴，提出了保护信息的法律责任。1997年，俄罗斯出台的《俄罗斯国家安全构想》明确提出“保障国家安全应把保障经济安全放在第一位”，而“信息安全又是经济安全的重中之重”。2000年，普京总统批准了《国家信息安全学说》，明确了联邦信息安全建设的目的、任务、原则和主要内容。第一次明确指出了俄罗斯在信息领域的利益是什么，受到的威胁是什么以及为确保信息安全首先要采取的措施等。党的十五届五中全会提出了大力推进国民经济和社会信息化的战略举措――“以信息化带动工业化，发挥后发优势，实现社会生产力的跨越式发展”。同时，要求强化信息网络安全保障体系。目前我国信息与网络安全的防护能力处于发展的初级阶段，许多应用系统处于不设防状态。国防科技大学的一项研究表明，目前我国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵入，其中银行和证券机构是攻击重点。当前我国的信息与网络安全研究，处于忙于封堵现有信息系统的安全漏洞阶段。要彻底解决这些迫在眉睫的问题，归根结底取决于信息安全保障体系的建设。

编辑推荐

周世杰、蓝天、傅翀、赵洋编著的《信息安全标准与法律法规》主要介绍了国内外信息安全标准和法律法规的背景知识、发展状况，并对较有影响力的标准和法律法规进行了详细说明。通过对本书的学习，读者可对标准的概念、国内外信息安全标准及法律法规有一个较为全面的了解。全书共分为三个部分，由12章组成，内容包括标准和法律法规基本概念、信息安全国际国内标准概况、信息安全主要应用和管理标准、我国计算机信息系统安全等级保护标准、信息安全国际国内法律法规概况、信息安全国家法律、行政法规、部门规章、规范性文件和地方法规等。

图书封面

评论、评分、阅读与下载

---

    信息安全标准与法律法规 PDF格式下载

---