1.3 网络空间安全政策与标准

数据参考：CISP官方 

目录

• 网络安全国家战略
• 网络安全标准体系
• 网络安全等级保护
• 网络安全职业道德

一、网络安全国家战略

 1、国家指导政策

•  《中华人民共和国网络安全法》：该法律于2016年出台，2017年6月1日正式生效。它是中国网络安全领域的基本法律，旨在加强网络安全的监管和保护。

• 《信息安全技术个人信息安全规范》(GB/T 35273)：该规范于2018年正式出台，于2018年5月1日正式生效。它是指导个人信息保护和安全的技术规范，为组织和个人提供了有力的指导。

• 《中华人民共和国密码法》：该法律于2019年10月26日在第十三届全国人民代表大会常务委员会第十四次会议表决通过，并于2020年1月1日起生效。它主要规定了密码的使用、管理和保护等方面的内容。

• 《数据安全法》：该法律于2021年6月10日，在第十三届全国人民代表大会常务委员会第二十九次会议表决通过，自2021年9月1日起生效。这部法律主要涉及数据的分类、安全评估、数据跨境传输等内容，加强了对数据安全的保护和管理。

• 《数据出境管理办法》、《重要数据管理办法》正在指定即将颁布

• 《中华人民共和国计算机信息系统安全保护条例》规定了计算机系统实现安全等级保护、

• GB 17859 正式细化等级保护要求，划分五个级别：用户自主保护、系统审计保护、安全标记保护、结构化保护、访问验证保护。

• 《关于信息安全等级保护工作的实施意见的通知》规定等级保护指导思想、原则和要求。定级从信息和信息系统的业务重要性及遭受破坏后的影响出发

• 网络安全法明确我国实行网络安全等级保护制度

2、国内外网络空间安全发展比较

3、计算机犯罪

计算机犯罪的趋势

• 从无意识到有组织：随着计算机技术的普及和互联网的发展，计算机犯罪逐渐从无意识的个体行为转变为有组织的犯罪形式。APT（高级持续性威胁）攻击就是一个明显的例子，这些攻击由高度专业化、有组织的黑客组织发起，其目标是获取敏感信息或对特定目标实施渗透和攻击。

• 从个体侵害到国家威胁：过去，计算机犯罪主要以个人或小团体为目标，其影响范围有限。然而，随着技术的进步和网络的全球化，一些大规模的计算机犯罪事件，如震网事件和乌克兰火电站事件，已经越过个体侵害，对整个国家的网络基础设施和安全造成了严重威胁。

• 跨越计算机本身的实施能力：计算机犯罪已经不仅仅局限于攻击计算机系统本身，而是利用社会工程学等手法，在人员和社交层面进行攻击。社会工程学是指通过心理操作和欺骗手段获取个人信息或迫使其采取不利行动的方式。这种跨越计算机本身的实施能力使得攻击手法更加复杂和难以防范。

• 低龄化成为法律制约难题："脚本小子"是指技术水平相对较低但具有攻击性的青少年黑客。他们通常出于个人兴趣、寻求刺激或声名等动机从事计算机犯罪行为。然而，对于低龄化的计算机犯罪者，法律制约面临一些挑战，如如何平衡对其追责和教育，以及如何区分恶作剧和真正的犯罪行为等。

4、近年的安全事件

震网病毒事件2010年

据说攻击者是美国，待考究。

乌克兰电站事件-2015年

        乌克兰电站事件指的是2015年12月23日发生在乌克兰的一次网络攻击事件，也被称为“乌克兰电力暴力事件”或“布列克电力干扰事件”。

        在这次事件中，乌克兰的布列克电站和周边区域的供电系统受到了网络攻击，导致了大规模的停电。这是迄今为止首次发生的针对电力系统的成功网络攻击。

        攻击者采用了先进的攻击技术，通过远程入侵电力系统的控制中心，破坏了控制和监控系统。攻击导致布列克电站和数十个分布在该地区的变电站暂时失去供电能力，影响了约22万户住宅和企业用户。

        乌克兰政府、能源部门以及国内外专家对这次事件进行了调查。调查结果表明，攻击涉及恶意软件的传播和执行，利用了社交工程的技巧和精心策划的攻击路线，以及对电力系统所用的SCADA（Supervisory Control and Data Acquisition）系统的直接攻击。

        虽然具体的攻击者身份没有被公开确认，但许多专家认为这次事件是由俄罗斯的黑客或相关团体发动的。该事件引发了全球对于关键基础设施安全和网络攻击威胁的关注。乌克兰电站事件也成为了研究和加强网络安全防护的重要案例之一。

中兴泄密事件-2016年

台积电遭受勒索病毒攻击-2018年

二、网络安全标准体系

1、标准的概念

1）标准

• 标准为了在一定范围内获得最佳秩序，经协商一致制定并由公认机构批准，共同使用的和重复使用的一种规范性文件

2）标准的类型

• 国际标准（International Standard）：由国际标准化组织（ISO）制定和发布的标准，通过国际合作和共识达成，适用于全球范围内的各个国家和地区。国际标准旨在促进国际贸易、技术交流和合作，并提供通用的行业指导。

• 国家标准（National Standard）：由各个国家的标准化机构或标准制定机构制定和发布的标准。国家标准适用于特定国家内的相关行业或领域，并根据当地的法律法规和需求制定。不同国家的标准可能会有所不同。

• 行业标准（Industry Standard）：由特定行业组织或协会制定的标准，以指导和规范该行业内的产品、服务和运作。行业标准主要满足特定行业的需求和最佳实践，并通常由专业从业人员和行业利益相关者共同制定和采用。

• 地方标准（Local Standard）：由特定地区或地方政府制定和实施的标准。地方标准通常适用于特定地理区域或特定社区的需求和规定，以满足当地环境、资源和法规的要求。

注意：如果其他标准与国家标准发生冲突，那就以国家标准为主。 

3）标准化

标准化：为了在一定范围内获得最佳秩序，对现实问题或潜在问题制定共同使用和重复使用的条款的活动

标准化的基本特点：

• 标准化是一项活动：标准化是一种系统性的活动，涉及到制定、制定、实施和更新各种标准

• 标准化的对象：标准化的对象可以是物质产品、工艺、服务、管理流程、测试方法、规范和行为等各个方面的事物（物、事、人）。

• 标准化是一个动态的概念：标准化不是一成不变的，随着技术、环境和需求的变化，标准需要定期修订和更新，以保持其有效性和适应性。

• 标准化是一个相对的概念：标准化是相对于一定范围内的最佳秩序而言的。标准的制定和应用需要考虑不同地区、行业、文化和法律法规的差异。

• 标准化的效益只有应用后才能体现：制定标准的目的是为了使各方达到共同的要求和期望，标准的真正价值和效益只有在实际应用中才能被发挥出来。

• 标准化工作原则：标准化工作遵循一些基本原则，包括简化，即使标准简洁明确易于理解和实施；统一，确保标准之间的一致性和协调性；协调，与现有法规和标准相互衔接；优化，为各方提供最佳的技术和经济效益。

4）标准化组织

主要的标准化组织

• 国际标准化组织（International Organization for Standardization, ISO）：ISO是国际标准化领域的主要组织，总部位于瑞士日内瓦。它由各个国家的标准化机构组成，旨在制定和推广各种标准，涵盖了各个领域和行业。

• 国际电工委员会（International Electrotechnical Commission, IEC）：IEC是负责电工和电子技术标准化工作的国际组织。它的成员包括来自不同国家的标准化机构和相关行业组织。

• 互联网工程任务组（Internet Engineering Task Force, IETF）：IETF是一个开放的国际组织，致力于互联网相关技术的研究和标准化。它的成员由网络工程师和专家组成，共同制定和推广互联网协议。

• 国际电信联盟（International Telecommunication Union, ITU）：ITU是联合国下属的专门机构，负责全球电信和信息通信技术的标准化和协调。ITU下设有国际电信联盟远程通信标准化部门（ITU-T），负责制定远程通信相关的标准和规范。

国家标准化组织（美国） 

• 国家标准化组织（National Standards Body）：不同国家有各自的标准化机构，如美国国家标准化组织（American National Standards Institute，ANSI）、中国国家标准化管理委员会（Standardization Administration of China，SAC）等。这些机构负责在国内制定和推广相关标准，并与国际标准化组织进行合作。
• 美国国家标准技术研究院（National Institute of Standards and Technology, NIST）：NIST是美国的标准化和技术研究机构，负责制定和推广各个领域的标准和测量方法。

这些组织在标准化领域扮演着重要的角色，促进全球的技术交流和合作，并推动各个领域的发展和创新。

我国的标准化组织

 中国国家标准化管理委员会

• 是我国最高级别的国家标准机构

全国信息安全标准化技术委员会（TC260）

• 1984年，成立数据加密技术分委员，后来改为信息技术安全分技术委员会
• 2002年4月，为加强信息安全标准的协调工作，国家标准委决定成立全国信息安全标准化技术委员会（信安标委，TC260），由国家标准委直接领导，对口ISO/IEC JTC1 SC27
• 国家标准化管理委员会高新函【2004】1号文决定：自2004年1月起，各有关部门在申报信息安全国家标准计划项目时，必须经信息安全标委会提出工作意见，协调一致后由信息安全标委会组织申报；在国家标准制定过程中，标准工作组或主要起草单位要与信息安全标委会积极合作，并由信息安全标委会完成国家标准送审、报批工作

2、全国信息安全标准化技术委员会

TC260组织结构

3、我国标准分类

GB强制性国家标准：GB标准是中国国家标准（Guo Biao），是强制性的国家标准。

• 一旦GB标准颁布，就必须被各个相关方贯彻执行。违反GB标准可能会构成经济或法律方面的责任，依据具体情况可能承担相应的法律后果。

GB/T推荐性国家标准：GB/T标准是推荐性的国家标准。

• 这些标准是自愿采用的，它们提供了共同遵守的技术依据。虽然不是强制性的，但在实践中，很多企业和组织会自愿采用GB/T标准来规范自己的产品、服务和管理流程。

GB/Z国家标准指导性技术文件：GB/Z标准是国家标准指导性技术文件。

• 这些文件是由技术发展过程中的共识或其他理由，在未来可能达成一致意见的文件。它们提供了指导性的技术方法或建议，以支持特定领域的发展和应用。
• 指导性技术文件在实施后的3年内必须进行复审，以确保其继续适应技术和市场的变化。

三、网络安全等级保护

 1、等级保护定义

根据《网络安全法》的规定，等级保护是我国信息安全保障的基本制度

《网络安全法》第二十规定，国家实行网络安全等级保护度。网络运营者应当按照网络安全等级保护制度的要求，履行下列全保护义务：保障网络免受干扰，破坏或者未经授权的访问；防止网络数据泄露或者被窃取、篡改

等保1.0

• 等保1.0：等保1.0指的是2007年发布的《信息安全等级保护管理办法》和2008年发布的《信息安全技术 信息系统安全等级保护基本要求》。
• 等保1.0的制定是为了规范和指导信息系统的安全保护工作，建立相应的安全等级划分准则和保护要求。

等保2.0 

• 等保2.0：等保2.0是对等保1.0的升级版本。

• 等保2.0对原有标准《信息安全技术 信息系统安全等级保护基本要求》进行了更新和调整，以适应信息技术的发展和安全需求的变化。

• 等保2.0进一步提升了对信息系统安全的要求，并对旧有内容进行了修订和完善。

等保2.0的引入是为了提高我国信息系统的安全性，更好地满足不断演变的网络安全威胁和挑战。通过等保2.0的范畴和要求，可以推动信息系统安全等级保护工作的标准化和规范化，提供更高水平的信息安全保护。

2、等保发展过程

3、信息安全等级保护标准体系

4、等级保护工作流程

1. 定级：根据信息的重要性和敏感性，确定相应的保护等级。这可以根据国家、行业或组织提供的标准进行确定。

2. 备案：将等级保护的相关信息进行备案。这包括对保护等级的确认、相关责任人的指定和需要保护的具体信息的清单。

3. 差距分析：进行一次全面的安全风险评估，识别和评估现有安全措施的差距和薄弱点。这可以包括信息系统的脆弱性评估、物理设施的安全性评估和员工的安全培训需求分析。

4. 建设整改：根据差距分析的结果，制定改进计划并进行相应的建设和整改工作。这可能涉及加强信息系统的安全性、改善物理设施的保护措施、提供员工培训和加强监控等。

5. 验收测评：完成建设整改后，进行验收测评，确保安全措施的有效性和符合预期的安全要求。这可以通过内部审计、外部评估或第三方认证来完成。

6. 定期复查：建立定期的复查机制，以确保安全措施持续有效。定期复查应包括对安全措施的有效性评估、发现新的安全威胁和风险，并进行相应的更新和改进。

这个流程是一个循环过程，通过不断地分析、改进和复查，保持等级保护工作的持续有效性和适应性。请注意，具体的等级保护工作流程可能因组织和行业的不同而有所差异，具体的步骤和操作可以根据具体情况进行调整。

5、等级保护的核心思想

等级保护的核心思想

• 根据保护对象的重要程度和敏感性，将其按照等级划分，并根据相应的标准进行建设、管理和监督。

等级保护的基本原则：

• 自主保护原则：保护对象的责任单位应主动承担保护责任，根据自身特点和需求制定相应的保护措施。自主保护原则强调保护对象的自主性和主动性。

• 重点保护原则：根据保护对象的重要性和敏感性，将重点资源和信息进行重点保护。重点保护原则确保有限的资源和精力能够优先分配给最重要的对象。

• 同步建设原则：等级保护工作应与保护对象的建设和发展同步进行，保护措施应与保护对象的变化和演化同步更新。同步建设原则确保保护工作与保护对象的需求保持一致。

• 动态调整原则：等级保护工作应根据保护对象的变化、安全威胁的演变和技术的进步进行动态调整。动态调整原则保证等级保护工作的灵活性和适应性。

6、等级划分

等级划分

• 分为五级，一级最低，五级最高。
• 适用于指导分等级的非涉密对象的安全建设和监督管理。
• ·第五级对象是非常重要的监督管理对象,对其有特殊的管理模式和安全要求,不在本标准总描述。·

定级要素

• 受侵害的客体：即需要保护的对象，可以是信息系统、设备、数据等。不同的客体可能在安全性和重要性上有所区别。
• 对客体的侵害程度：指对客体可能造成的损害程度。这包括信息泄露、系统瘫痪、业务中断等。不同的侵害程度对应不同的等级划分。

7、等级保护级别

第一级：用户自主保护级

• 信息系统受到破坏后，可能对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级：系统审计保护级

• 信息系统受到破坏后，可能对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级：安全标记保护级

• 信息系统受到破坏后，可能对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级：结构化保护级

• 信息系统受到破坏后，可能对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级：访问验证保护级

• 信息系统受到破坏后，可能对国家安全造成特别严重损害。

8、等级2.0标准对比

 9、等保2.0的扩展要求

四、网络安全职业道德

1、道德的概念

道德的概念：

• 一定社会或阶级用以调整人们之间利益关系的行为准则
• 评价人们行为善恶的标准

道德和法律的区别：

• 法律具有严密的逻辑和结构体系，是国家意志统一的体现
• 道德缺乏严谨的结构体系

道德约束：

• 建立在完善的法律基础上
• 法律起到一定的道德约束作用
• 组织可以通过管理制度中的惩戒性条款来约束组织成员的行为

提升道德意识的途径：

• 培训与教育是重要途径
• 通过培训和教育向员工传递道德准则和价值观
• 增强员工的道德素养

2、网络安全职业道德准则

职业道德的概念

著名的计算机职业伦理守则

• 美国计算机学会职业伦理守则、英国计算机学会伦理守则、计算机伦理十诫

网络安全职业道德准则

• 维护国家、社会和公众的信息安全
• 诚实守信、遵纪守法
• 努力工作，尽职尽责
• 发展自身，维护荣誉