1. 12.5 安全保障模型
安全模型比較寬泛,安全保障模型則更接地氣。
信息安全保障模型涉及三個層面,分別是信息系統的生命周期,信息安全的保障要素以及信息安全特徵。更強調信息系統所處的運行環境、信息系統的生命周期和信息系統安全保障的概念。生命周期分為規劃組織、開發采購、實施交付、運行維護和廢棄;保障要素分為技術、管理、工程和人員四大要素;安全特徵則是指機密性、完整性和保密性。
如果把這三個層面放在一個立方體上的話,頂面就是生命周期,正面是四大安全保障要素,測評則是三大安全特徵。
這個模型又4個主要特點:
1)將風險和策略作為信息安全保障的核心和基礎;
2)模型強調持續發展的動態安全特性。信息安全保障並非一而就,在信息系統的整個生命周期中,每一個環節都要離不開安全保障。從規劃組織、開發采購、實施交付、運行維護以及信息系統的廢棄,安全保障始終貫穿其中。
3)模型強調綜合保障的觀念。就是通過四大安全保障要素實現安全目標,通過對四大要素的安全評估,為信息系統的安全保障提供信心;
4)以風險和策略為基礎,在信息系統的生命周期中實施四大安全保障要素,實現安全特徵,達到保障組織機構執行其使命的根本目的。
信息安全就怕捨本逐末,純粹將安全作為一項重點工作而忽視了組織機構的使命和任務。建設信息系統的根本目的是為了提高工作效率和效能,通過信息化的手段協助組織機構更快更好的實現其既定的戰略和目標。一切安全措施都是應該而且只能為這個目標而服務。
某機構搭建了一個網站系統花費不到3萬元,目的是為了宣傳。如為其增加安全防護設施的話,費用大概是5萬元左右。安全防護到底是要還是不要,這成了機構的抉擇的一個難題。
《網路安全法》第二十一條規定,「國家實行網路安全等級報制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免收干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改……」。一旦網站被不法分子攻擊,張貼反動標語或者其他影響社會安定的言論,必將給網路系統的運營者帶來麻煩。在成本和法律面前,怎麼選擇?
根據信息系統安全保障模型來看,在信息系統的規劃組織階段,就以及缺失了對安全的考慮,才出現了運行維護階段的難題。如果在網站系統生命周期的初始階段就考慮了安全要素,進行項目可行性論證的話,成本高則放棄項目;成本可以接受則繼續推進項目。
現階段也可以繼續評估系統面臨的風險,風險可以接受則繼續推進項目,如果不能接受則直接廢棄,並接受前期項目投資的損失。同時,《網路安全法》也提出了三同步的概念,即「同步規劃、同步實施、同步使用」,也是安全意識貫穿信息系統生命周期的體現。
信息系統的建設者,不僅要考慮信息系統對生產的促進作用,還要考慮建設信息系統後為組織機構帶來的新的風險。引入信息系統安全保障模型,提升網路安全意識,才能讓信息化為組織機構添磚加瓦、如虎添翼。
2. 網路安全法中網路運營者要遵守哪些法則
《中華人民共和國網路安全法》第二十四條網路運營者為用戶辦理網路接入、域名注冊服務,辦理固定電話、行動電話等入網手續,或者為用戶提供信息發布、即時通訊等服務,在與用戶簽訂協議或者確認提供服務時,應當要求用戶提供真實身份信息。用戶不提供真實身份信息的,網路運營者不得為其提供相關服務。
國家實施網路可信身份戰略,支持研究開發安全、方便的電子身份認證技術,推動不同電子身份認證之間的互認。
第二十五條網路運營者應當制定網路安全事件應急預案,及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險;在發生危害網路安全的事件時,立即啟動應急預案,採取相應的補救措施,並按照規定向有關主管部門報告。
第二十六條開展網路安全認證、檢測、風險評估等活動,向社會發布系統漏洞、計算機病毒、網路攻擊、網路侵入等網路安全信息,應當遵守國家有關規定。
第二十七條任何個人和組織不得從事非法侵入他人網路、干擾他人網路正常功能、竊取網路數據等危害網路安全的活動;不得提供專門用於從事侵入網路、干擾網路正常功能及防護措施、竊取網路數據等危害網路安全活動的程序、工具;明知他人從事危害網路安全的活動的,不得為其提供技術支持、廣告推廣、支付結算等幫助。
第二十八條網路運營者應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助。
第二十九條國家支持網路運營者之間在網路安全信息收集、分析、通報和應急處置等方面進行合作,提高網路運營者的安全保障能力。
有關行業組織建立健全本行業的網路安全保護規范和協作機制,加強對網路安全風險的分析評估,定期向會員進行風險警示,支持、協助會員應對網路安全風險。
(2)網路安全法中的三同步擴展閱讀
網路運營者應當設置專門的兒童個人信息保護規則和用戶協議,並指定專人負責兒童個人信息保護。網路運營者收集、使用、轉移、披露兒童個人信息的,應當以顯著、清晰的方式告知兒童監護人,並應當徵得兒童監護人的同意。
網路運營者收集、使用、轉移、披露兒童個人信息的,應當以顯著、清晰的方式告知兒童監護人,並應當徵得兒童監護人的同意。網路運營者不得收集與其提供的服務無關的兒童個人信息,不得違反法律、行政法規的規定和雙方的約定收集兒童個人信息。
3. 國家支持網路運營者之間在網路安全信息什麼等方面進行合作提高網路運營者的安
1、 國家支持網路運營者之間在網路安全信息收集、分析、通報和應急處置等方面進行合作,提高網路運營者的安全保障能力。
2.、有關行業組織建立健全本行業的網路安全保護規范和協作機制,加強對網路安全風險的分析評估,定期向會員進行風險警示,支持、協助會員應對網路安全風險。
(3)網路安全法中的三同步擴展閱讀:
1、《中華人民共和國網路安全法》是為保障網路安全,維護網路空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展而制定的法律。
2、《中華人民共和國網路安全法》由中華人民共和國第十二屆全國人民代表大會常務委員會第二十四次會議於2016年11月7日通過,自2017年6月1日起施行。
4. 什麼是安全工作的「三同步」原則
應該為「三同時」原則。「三同時」原則涉及環境保護、安全生產、礦山安全,所謂「三同時」即同時設計、同時施工、同時投產使用。
中國在1973年的《關於保護和改善環境的若干規定(試行草案)》中提出,一切新建、擴建和改建的企業中的防治污染項目必須和主體工程同時設計、同時施工、同時投產的原則。
(4)網路安全法中的三同步擴展閱讀:
我國《安全生產法》第二十四條規定:生產經營單位新建、改建、擴建工程項目(以下統稱建設項目)的安全設施,必須與主體工程同時設計、同時施工、同時投入生產和使用。安全設施投資應當納入建設項目概算。
生產經營單位為了維持或擴大生產經營規模,經常要進行相關的工程建設。建設項目的安全設施未與主體工程同時設計、同時施工、同時投入生產和使用就會留下不安全因素和事故隱患,在生產經營過程中就可能會釀成生產安全事故。同時設計、同時施工、同時投入生產和使用的這一原則,簡稱「三同時」原則。
參考資料:網路-「三同時」原則
5. 科學開展安全建設整改要落實的三同步要求是指
法律分析:三要求具體是指同步規劃、同步建設、同步使用。
法律依據: 《中華人民共和國網路安全法》 第三十三條 建設關鍵信息基礎設施應當確保其具有支持業務穩定、持續運行的性能,並保證安全技術措施同步規劃、同步建設、同步使用。
6. 網路安全法》規定,網路運營者收集、使用個人信息,應當遵循合法、正當、必要的
網路運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,並經被收集者同意。
1.網路產品、服務應當符合相關國家標準的強制性要求。網路產品、服務的提供者不得設置惡意程序;發現其網路產品、服務存在安全缺陷、漏洞等風險時,應當立即採取補救措施,按照規定及時告知用戶並向有關主管部門報告。
網路產品、服務的提供者應當為其產品、服務持續提供安全維護;在規定或者當事人約定的期限內,不得終止提供安全維護。
網路產品、服務具有收集用戶信息功能的,其提供者應當向用戶明示並取得同意;涉及用戶個人信息的,還應當遵守本法和有關法律、行政法規關於個人信息保護的規定。
2.網路運營者不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能復原的除外。
網路運營者應當採取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時,應當立即採取補救措施,按照規定及時告知用戶並向有關主管部門報告。
法律依據:
《中華人民共和國網路安全法》
第四十一條
網路運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,並經被收集者同意。
網路運營者不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,並應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息。
7. 中華人民共和國網路安全法規定國家
中華人民共和國網路安全法規定,國家堅持網路安全與信息化發展並重,遵循積極利用、科學發展、依法管理、確保安全的方針,推進網路基礎設施建設和互聯互通,鼓勵網路技術創新和應用,支持培養網路安全人才,建立健全網路安全保障體系,提高網路安全保護能力。
《網路安全法》的出台具有里程碑式的意義。它是全面落實黨的十八大和十八屆三中、四中、五中、六中全會相關決策部署的重大舉措,是我國第一部網路安全的專門性綜合性立法,提出了應對網路安全挑戰這一全球性問題的中國方案。
此次立法進程的迅速推進,顯示了黨和國家對網路安全問題的高度重視,是我國網路安全法治建設的一個重大戰略契機。網路安全有法可依,信息安全行業將由合規性驅動過渡到合規性和強制性驅動並重。
(7)網路安全法中的三同步擴展閱讀:
網路空間逐步成為世界主要國家展開競爭和戰略博弈的新領域。我國作為一個擁有大量網民並正在持續發展中的國家,不斷感受到來自現存霸主美國的戰略壓力。
這決定了網路空間成為我國國家利益的新邊疆,確立網路空間行為准則和模式已是當務之急。現代國家是法治國家,國家行為的規制由法律來決定。
《網路安全法》中明確提出了有關國家網路空間安全戰略和重要領域安全規劃等問題的法律要求,這有助於實現推進中國在國家網路安全領域明晰戰略意圖,確立清晰目標,釐清行為准則,不僅能夠提升我國保障自身網路安全的能力,還有助於推進與其他國家和行為體就網路安全問題展開有效的戰略博弈。
8. 網路安全法增加了網路運營者必須遵守什麼的內容
一、網路安全法運營商對網路運行安全的規定
(一)一般規定
1、第二十一條
國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:
(1)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;
(2)採取防範計算機病毒和網路攻擊、網路入侵等危害網路安全行為的技術措施;
(3)採取記錄、跟蹤網路運行狀態,監測、記錄網路安全事件的技術措施,並按照規定留存網路日誌;
(4)採取數據分類、重要數據備份和加密等措施;
(5)法律、行政法規規定的其他義務。
網路安全等級保護的具體辦法由國務院規定。
2、第二十二條
網路產品、服務應當符合相關國家標准、行業標准。網路產品、服務的提供者不得設置惡意程序;其產品、服務具有收集用戶信息功能的,應當向用戶明示並取得同意;發現其網路產品、服務存在安全缺陷、漏洞等風險時,應當及時向用戶告知並採取補救措施。網路產品、服務的提供者應當為其產品、服務持續提供安全維護;在規定或者當事人約定的期間內,不得終止提供安全維護。
第二十三條
3、網路關鍵設備和網路安全專用產品應當按照相關國家標准、行業標準的強制性要求,由具備資格的機構安全認證合格或者安全檢測符合要求後,方可銷售。國家網信部門會同國務院有關部門制定、公布網路關鍵設備和網路安全專用產品目錄,並推動安全認證和安全檢測結果互認,避免重復認證、檢測。
4、第二十四條
網路運營者為用戶辦理網路接入、域名注冊服務,辦理固定電話、行動電話等入網手續,或者為用戶提供信息發布服務,應當在與用戶簽訂協議或者確認提供服務時,要求用戶提供真實身份信息。用戶不提供真實身份信息的,網路運營者不得為其提供相關服務。國家支持研究開發安全、方便的電子身份認證技術,推動不同電子身份認證技術之間的互認、通用。
5、第二十五條
網路運營者應當制定網路安全事件應急預案,及時處置系統漏洞、計算機病毒、網路入侵、網路攻擊等安全風險;在發生危害網路安全的事件時,立即啟動應急預案,採取相應的補救措施,並按照規定向有關主管部門報告。
6、第二十七條
任何個人和組織不得從事入侵他人網路、干擾他人網路正常功能、竊取網路數據等危害網路安全的活動;不得提供從事入侵網路、干擾網路正常功能、竊取網路數據等危害網路安全活動的工具和製作方法;不得為他人實施危害網路安全的活動提供技術支持、廣告推廣、支付結算等幫助。
7、第二十八條
為國家安全和偵查犯罪的需要,偵查機關依照法律規定,可以要求網路運營者提供必要的支持與協助。
8、第二十九條
國家支持網路運營者之間開展網路安全信息收集、分析、通報和應急處置等方面的合作,提高網路運營者的安全保障能力。有關行業組織建立健全本行業的網路安全保護規范和協作機制,加強對網路安全風險的分析評估,定期向會員進行風險警示,支持、協助會員應對網路安全風險。
法律依據:《網路安全法》第二十五條網路運營者應當制定網路安全事件應急預案,及時處置系統漏洞、計算機病毒、網路侵入等安全風險;在發生危害網路安全的事件時,立即啟動應急預案,採取相應的補救措施,並按照規定向有關主管部門報告。第二十八條網路運營者應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助。