1.3 サイバースペースのセキュリティポリシーと基準

データ参照：CISP公式 

目次

• 国家サイバーセキュリティ戦略
• ネットワークセキュリティ標準体系
• ネットワークセキュリティレベルの保護
• サイバーセキュリティ倫理

1.国家サイバーセキュリティ戦略

 1. 国家指導方針

•  「中華人民共和国ネットワークセキュリティ法」：この法律は2016年に公布され、2017年6月1日に施行されました。これは中国のサイバーセキュリティ分野の基本法であり、サイバーセキュリティの監督と保護を強化することを目的としています。

• 「情報セキュリティ技術個人情報セキュリティ仕様」( GB/T 35273): この仕様は 2018 年に正式に発行され、2018 年 5 月 1 日に発効しました。これは個人情報の保護とセキュリティをガイドする技術仕様であり、組織や個人に強力な指針を提供します。

• 「中華人民共和国暗号化法」：この法律は2019年10月26日、第13期全国人民代表大会常務委員会第14回会議で採決・可決され、2020年1月1日に施行される。主にパスワードの使用、管理、保護について規定しています。

• 「データセキュリティ法」：この法律は2021年6月10日、第13期全国人民代表大会常務委員会第29回会議で採決・可決され、2021年9月1日から施行される。この法律には主にデータの分類、セキュリティ評価、データの国境を越えた送信などが含まれており、データセキュリティの保護と管理が強化されています。

• 「データ輸出管理措置」と「重要データ管理措置」が指定され、近日公布される予定

• 「中華人民共和国コンピュータ情報システムのセキュリティ保護に関する規定」では、コンピュータ システムがセキュリティ レベルの保護を達成できると規定しています。

• GB 17859 は階層型保護要件を正式に改良し、ユーザー独立保護、システム監査保護、セキュリティ マーク保護、構造化保護、およびアクセス検証保護の 5 つのレベルに分割しています。

• 「情報セキュリティの階層的保護作業に関する実施意見に関する通知」では、階層的保護の指針となるイデオロギー、原則、要件が規定されています。格付けは、情報および情報システムのビジネス上の重要性と被害の影響から始まります

• ネットワークセキュリティ法は、私の国がネットワークセキュリティレベルの保護システムを導入していることを明確にしています

2. サイバー空間セキュリティ開発の国内外比較

3. コンピュータ犯罪

コンピュータ犯罪の傾向

• 無意識から組織へ: コンピューター技術の普及とインターネットの発展に伴い、コンピューター犯罪は、無意識の個人の行動から組織的な犯罪へと徐々に変化してきました。明らかな例は APT (Advanced Persistent Threat) 攻撃です。これは、機密情報を入手したり、特定のターゲットに侵入して攻撃したりすることを目的として、高度に専門化され組織化されたハッカー グループによって開始されます。

• 個人の侵害から国家の脅威へ: これまで、コンピュータ犯罪は主に、範囲が限られた個人または小規模グループをターゲットにしてきました。しかし、テクノロジーの進歩やネットワークのグローバル化に伴い、スタックスネット事件やウクライナの火力発電所事件など、一部の大規模なコンピューター犯罪は個別の違反行為を超え、ネットワークインフラや国家のセキュリティに深刻な脅威を与えています。国全体。

• コンピューター自体を超えて実行する能力: コンピューター犯罪は、コンピューター システム自体への攻撃に限定されず、ソーシャル エンジニアリングやその他の手法を使用して、人的および社会的レベルで攻撃します。ソーシャル エンジニアリングとは、個人情報を取得したり、個人情報に不利な行動を強制したりするために心理的操作や欺瞞を使用することです。コンピューター自体を超えて実装できるこの機能により、攻撃手法がより複雑になり、阻止が困難になります。

• 年齢が低いと法的制約が生じます。「スクリプトキディ」とは、比較的スキルは低いが攻撃的な 10 代のハッカーを指します。彼らは、個人的な利益、スリル、または名声を動機としてコンピュータ犯罪に関与することがよくあります。しかし、若いコンピュータ犯罪者にとっては、責任と教育のバランスをどう取るか、デマと本物の犯罪をどのように区別するかなど、法的制約がいくつかの課題に直面しています。

4. 近年のセキュリティ事件

スタックスネット2010

攻撃者は米国であるとされており、捜査が進められている。

ウクライナの発電所事故 - 2015

        ウクライナ発電所事件とは、2015年12月23日にウクライナで発生したサイバー攻撃を指します。

        この事件では、ウクライナのブレク発電所とその周辺地域の電力供給システムがサイバー攻撃を受け、大規模な停電が発生した。これは電力システムに対するサイバー攻撃としてはこれまでに成功した初めての事例である。

        攻撃者は高度な攻撃手法を使用して、電力システムの制御センターに遠隔から侵入し、制御および監視システムを侵害しました。この攻撃により、ブラック発電所とその地域に点在する数十の変電所が一時的に停電し、約22万人の住宅および企業顧客に影響を与えた。

        この事件はウクライナ政府、エネルギー部門、国内外の専門家によって調査された。調査結果によると、この攻撃には、ソーシャル エンジニアリング技術と慎重に計画された攻撃ルートを利用したマルウェアの拡散と実行のほか、電力システムで使用される SCADA (監視制御およびデータ取得) システムへの直接攻撃が含まれていました。

        正確な攻撃者は公表されていないが、多くの専門家はこの事件はロシアのハッカーまたは関連グループによって実行されたと考えている。この事件は、重要インフラの安全性とサイバー攻撃の脅威について世界的な懸念を引き起こした。ウクライナの発電所事件も、ネットワークのセキュリティ保護を研究し強化するための重要な事例の 1 つとなっています。

ZTE リーク - 2016

TSMC がランサムウェア攻撃を受ける - 2018

2. ネットワークセキュリティ標準体系

1. 規格の概念

1) 標準

• 標準とは、一定の範囲内で最良の順序を得るために共同して再利用される規範的な文書であり、合意によって策定され、認知された機関によって承認されます。

2) 規格の種類

• 国際規格:国際標準化機構 (ISO) によって策定および発行され、国際的な協力と合意を通じて達成され、世界中のさまざまな国や地域に適用される規格。国際規格は、国際貿易、技術交流、協力を促進し、業界に共通の指針を提供することを目的としています。

• 国家規格（National Standard）：各国の標準化団体や標準設定団体が策定・発行する規格。国家基準は、特定の国の関連産業または分野に適用され、現地の法律、規制、ニーズに従って策定されます。規格は国によって異なる場合があります。

• 業界標準:特定の業界組織または協会によって策定された、その業界内の製品、サービス、および業務の指導および規制を目的とした標準。業界標準は主に特定業界のニーズとベスト プラクティスに対応しており、多くの場合、専門家と業界関係者が共同で開発および採用します。

• 地域標準:特定の地域または地方自治体によって策定および実施される標準。地域の基準は、地域の状況、リソース、規制の要件を満たすために、特定の地理的エリアまたは特定のコミュニティのニーズと規制に適用されることがよくあります。

注:他の規格が国家規格と矛盾する場合は、国家規格が優先されます。 

3) 標準化

標準化：一定の範囲内で最良の順序を得るために、現実的または潜在的な問題に対して共通に使用される用語や繰り返し使用される用語を策定する活動

標準化の基本的な特徴:

• 標準化は活動です: 標準化は、さまざまな標準の開発、開発、実装、更新を含む体系的な活動です。

• 標準化されたオブジェクト: 標準化されたオブジェクトには、さまざまな側面 (物、物、人)における物質的な製品、プロセス、サービス、管理プロセス、テスト方法、規範、および動作が含まれます。

• 標準化は動的な概念です: 標準化は静的なものではありません。テクノロジー、環境、ニーズの変化に応じて、有効性と適応性を維持するために標準を定期的に改訂および更新する必要があります。

• 標準化は相対的な概念です。標準化は、特定の範囲内での最良の順序に相対的です。規格の策定と適用では、さまざまな地域、業界、文化、法律や規制の違いを考慮する必要があります。

• 標準化の利点は適用後にのみ実現されます。標準を策定する目的は、すべての関係者が共通の要件と期待を満たせるようにすることであり、標準の真の価値と利点は実際のアプリケーションでのみ発揮されます。

• 標準化作業の原則: 標準化作業は、標準が簡潔かつ明確で理解しやすく実装が容易であっても、簡素化、標準間の一貫性と調整を確保するための統一、既存の規制や標準と接続するための調整など、いくつかの基本原則に従います。;最適化、すべての関係者に最高の技術的および経済的メリットを提供します。

4) 標準化組織

主要な標準化団体

• 国際標準化機構 (ISO): ISO は、スイスのジュネーブに本部を置く国際標準化分野の主要組織です。各国の標準化団体で構成され、さまざまな分野や業界を対象としたさまざまな標準の開発と推進を目的としています。

• 国際電気標準会議(国際電気標準会議、IEC): IEC は、電気および電子技術の標準化を担当する国際機関です。そのメンバーには、さまざまな国の標準化団体や関連業界組織が含まれます。

• Internet Engineering Task Force (IETF): IETF は、インターネット関連技術の研究と標準化を専門とするオープンな国際組織です。そのメンバーは、インターネット プロトコルを共同開発および推進するネットワーク エンジニアと専門家で構成されています。

• 国際電気通信連合(国際電気通信連合、ITU): ITUは国連傘下の専門機関であり、世界的な電気通信および情報通信技術の標準化と調整を担当しています。ITU の下には、電気通信に関連する標準と仕様の策定を担当する国際電気通信連合電気通信標準化部門 (ITU-T) があります。

国家標準化機構 (米国) 

• 国家標準化団体: さまざまな国に、米国国家標準協会 ( ANSI )、中国標準化局 (SAC) などの独自の標準化団体があります。これらの機関は国内の関連規格の開発と推進を担当しており、国際標準化機構と協力しています。
• 米国国立標準技術研究所 (NIST): NISTは米国の標準化および技術研究機関であり、さまざまな分野での標準および測定方法の策定と推進を担当しています。

これらの組織は標準化の分野で重要な役割を果たし、世界的な技術交流と協力を促進し、さまざまな分野の開発と革新を促進します。

私の国の標準化団体

 中国国家標準化局

• それは私の国の最高レベルの国家標準化団体です

国家情報セキュリティ標準化専門委員会 ( TC260 )

• 1984年にデータ暗号化技術小委員会が設置され、その後情報技術セキュリティ小委員会に改称
• 2002 年 4 月、国家標準委員会は、情報セキュリティ標準の調整を強化するために、国家標準委員会が直接主導する ISO に相当する国家情報セキュリティ標準化技術委員会 (西安標準化委員会、TC260) の設立を決定しました。 /IEC JTC1 SC27
• 国家標準化管理委員会高新書簡[2004]第 1 号決定: 2004 年 1 月から、すべての関連部門は国家情報セキュリティ標準計画プロジェクトを宣言するとき、情報セキュリティ標準委員会を通じて作業意見を提出しなければならず、その情報は公開されます。調整後、セキュリティ標準委員会が宣言を組織し、国家標準を策定する過程で、標準作業グループまたは主要な起草ユニットは情報セキュリティ標準委員会と積極的に協力する必要があり、情報セキュリティ標準委員会は国家標準の提出を完了します。レビューと承認のために

2. 国家情報セキュリティ標準化専門委員会

TC260の組織構造

3. 私の国の標準分類

GB強制国家標準: GB 標準は中国の国家標準 (Guo Biao) であり、必須の国家標準です。

• GB 標準が公布されたら、すべての関係者がそれを実装する必要があります。GB 基準の違反は、経済的または法的責任を負う可能性があり、特定の状況に応じて、対応する法的結果を招く可能性があります。

GB/T推奨国家標準: GB/T 標準は推奨国家標準です。

• これらの規格は自主的なものであり、相互準拠のための技術的基盤を提供します。強制ではありませんが、実際には、多くの企業や組織が自社の製品、サービス、管理プロセスを規制するために GB/T 標準を自主的に採用します。

GB/Z国家標準指導技術文書: GB/Z 規格は国家標準指導技術文書です。

• これらの文書は、技術開発中またはその他の理由により、将来的に合意される可能性のある文書です。これらは、特定の分野の開発と応用をサポートするための指導的な技術的手法や提案を提供します。
• ガイド技術文書は、技術や市場の変化に確実に適応し続けるために、導入後 3 年以内にレビューする必要があります。

3. ネットワークセキュリティレベルの保護

 1. レベル保護の定義

「ネットワークセキュリティ法」の規定によると、我が国では階層的保護が情報セキュリティの基本システムとなっています。

「ネットワーク セキュリティ法」の第 20 条は、国家がネットワーク セキュリティに対して一定レベルの保護を実施することを規定しています。ネットワーク オペレータは、ネットワーク セキュリティ レベル保護システムの要件に従って、次の完全な保護義務を果たす必要があります: 干渉、破壊、不正アクセスからネットワークを保護する; ネットワーク データの漏洩、盗難、改ざんを防止する

等保1.0

• MLPS 1.0: MLPS 1.0とは、2007年に発行された「情報セキュリティレベル保護に関する行政措置」および2008年に発行された「情報セキュリティ技術および情報システムのセキュリティレベル保護に関する基本要件」を指します。
• クラス保証 1.0 の策定は、情報システムのセキュリティ保護作業を標準化および指導し、対応するセキュリティ分類基準と保護要件を確立することを目的としています。

等保2.0 

• MLB 2.0: MLB 2.0 は MLB 1.0 のアップグレード バージョンです。

• MLPS 2.0は、情報技術の発展やセキュリティ要件の変化に適応するために、独自の規格「情報セキュリティ技術情報システムセキュリティレベル保護の基本要件」を更新および調整したものです。

• クラス保証2.0は、情報システムのセキュリティ要件をさらに強化し、旧内容を改訂・改良したものです。

MLPS 2.0 の導入は、我が国の情報システムのセキュリティを向上させ、進化し続けるサイバーセキュリティの脅威と課題にさらに適切に対応することを目的としています。Class Security 2.0の適用範囲と要件により、情報システムのセキュリティレベル保護の標準化・標準化を促進し、より高いレベルの情報セキュリティ保護を提供することができます。

2. 平等な保護の開発プロセス

3. 情報セキュリティレベル保護基準体系

4. 階層型保護ワークフロー

1. 等級付け: 情報の重要性と機密性に応じて、対応する保護レベルを決定します。これは、国、業界、または組織が提供する基準に基づいて決定できます。

2. 記録: レベル保護の関連情報を記録します。これには、保護レベルの特定、関連責任者の指定、保護される特定の情報のリストが含まれます。

3. ギャップ分析: 包括的なセキュリティ リスク評価を実施して、既存のセキュリティ対策のギャップと弱点を特定して評価します。これには、情報システムの脆弱性評価、物理的施設のセキュリティ評価、従業員のセキュリティ トレーニングのニーズの分析などが含まれます。

4. 建設修正：ギャップ分析の結果に基づいて、改善計画を策定し、対応する建設および修正作業を実行します。これには、情報システムのセキュリティの強化、物理的施設の保護措置の改善、スタッフのトレーニングの実施、監視の強化などが含まれる場合があります。

5. 受入評価：工事の修正が完了した後、安全対策の有効性を確認し、期待される安全要件を満たしているかどうかを確認するために受入評価が実行されます。これは、内部監査、外部評価、または第三者認証を通じて行うことができます。

6. 定期的なレビュー: セキュリティ対策が引き続き有効であることを確認するために、定期的なレビューのメカニズムを確立します。定期的なレビューには、セキュリティ対策の有効性の評価、新しいセキュリティの脅威とリスクの発見、対応する更新と改善の実施が含まれる必要があります。

このプロセスは、継続的な分析、改善、レビューを通じて、階層的な保護作業の継続的な有効性と適応性を維持するための循環的なプロセスです。特定の階層型保護ワークフローは組織や業界によって異なる場合があり、特定の手順や操作は特定の状況に応じて調整できることに注意してください。

5. 階層的保護の核となる考え方

階層的保護の核となる考え方

• 保護対象の重要性と機密性に従って、保護対象は等級に分けられ、対応する基準に従って建設、管理、監督されます。

階層型保護の基本原則:

• 自主保護の原則：保護対象の責任部門は率先して保護責任を負い、自らの特性とニーズに応じて対応する保護措置を策定する。独立した保護の原則は、保護対象の自律性と主体性を強調します。

• キー保護の原則: 保護対象の重要性と機密性に応じて、キーのリソースと情報を保護する必要があります。キー保護の原則により、限られたリソースとエネルギーを最も重要なオブジェクトに最初に割り当てることができます。

• 同時構築の原則: 階層的な保護作業は、保護対象の構築と開発と同時に実行する必要があり、保護対策は保護対象の変更と進化と同期して更新する必要があります。同時建設の原則により、保護の取り組みが保護される人々のニーズと確実に一致するようになります。

• 動的調整の原則: 階層的な保護作業は、保護対象の変化、セキュリティ脅威の進化、技術進歩に応じて動的に調整される必要があります。動的調整の原理により、階層的な保護作業の柔軟性と適応性が保証されます。

6. 分類

分類

• 5 つのレベルに分かれており、レベル 1 が最も低く、レベル 5 が最も高くなります。
• セキュリティ構築の指導や機密非関連オブジェクトの監視・管理に適しています。
• ·第5レベルのオブジェクトは非常に重要な監視および管理オブジェクトであり、この規格には記載されていない特別な管理モードと安全要件があります。·

評価要素

• 侵害されたオブジェクト: 情報システム、機器、データなどの保護されるオブジェクト。オブジェクトが異なれば、セキュリティと重要性も異なる場合があります。
• 物体の損傷の程度: 物体に生じる可能性のある損傷の程度を指します。これには、情報漏洩、システム障害、業務中断などが含まれます。侵害の程度が異なると、等級も異なります。

7. 保護レベル

第 1 レベル:ユーザーの自己保護レベル

• 情報システムが破壊された後は、国民、法人、その他の組織の正当な権利と利益に損害を与える可能性がありますが、国家安全保障、社会秩序、公共の利益は損なわれません。

レベル 2:システム監査保護レベル

• 情報システムが破壊された後は、国民、法人、その他の組織の正当な権利や利益に重大な損害を与えたり、社会秩序や公共の利益に損害を与えたりする可能性がありますが、国家の安全に損害を与えることはありません。

第3レベル：セキュリティマーク保護レベル

• 情報システムが破壊されると、社会秩序や公共の利益に重大な損害を与えたり、国家安全保障に損害を与えたりする可能性があります。

4 番目のレベル:構造化された保護レベル

• 情報システムが被害を受けると、社会秩序や公共の利益に特に重大な損害を与えたり、国家安全保障に重大な損害を与えたりする可能性があります。

5 番目のレベル:アクセス検証保護レベル

• 情報システムが侵害されると、国家安全保障に特に重大な損害を引き起こす可能性があります。

8. レベル2.0規格比較

 9. クラス保証 2.0 の拡張要件

4. ネットワークセキュリティの職業倫理

1. 道徳の概念

道徳の概念:

• 特定の社会や階級が人々の利益を調整するために使用する行動規範
• 人の行動の善し悪しを判断する基準

道徳と法律の違い:

• 法律は厳格な論理と構造体系を持ち、国家意志の統一を体現するものである。
• 道徳には厳密な構造システムが欠けている

道徳的な制約:

• 健全な法的根拠に基づいて構築されています
• 法律は道徳的抑制において一定の役割を果たしている
• 組織は管理システムの懲罰条項を通じて組織メンバーの行動を制限できる

道徳的意識を高める方法:

• トレーニングと教育は重要な方法です
• 研修や教育を通じて従業員に倫理と価値観を伝える
• 従業員の道徳的資質を向上させる

2. ネットワークセキュリティ職業倫理ガイドライン

職業倫理の概念

コンピューティング専門職の倫理規定

• ACM 倫理規定、英国コンピュータ協会倫理規定、コンピュータ倫理の十戒

サイバーセキュリティ倫理規定

• 国、社会、国民の情報セキュリティを維持する
• 正直で信頼でき、法令を遵守する
• 一生懸命、誠実に働く
• 自分自身を成長させ、名誉を維持する