1. 12.5 安全保障模型
安全模型比较宽泛,安全保障模型则更接地气。
信息安全保障模型涉及三个层面,分别是信息系统的生命周期,信息安全的保障要素以及信息安全特征。更强调信息系统所处的运行环境、信息系统的生命周期和信息系统安全保障的概念。生命周期分为规划组织、开发采购、实施交付、运行维护和废弃;保障要素分为技术、管理、工程和人员四大要素;安全特征则是指机密性、完整性和保密性。
如果把这三个层面放在一个立方体上的话,顶面就是生命周期,正面是四大安全保障要素,测评则是三大安全特征。
这个模型又4个主要特点:
1)将风险和策略作为信息安全保障的核心和基础;
2)模型强调持续发展的动态安全特性。信息安全保障并非一而就,在信息系统的整个生命周期中,每一个环节都要离不开安全保障。从规划组织、开发采购、实施交付、运行维护以及信息系统的废弃,安全保障始终贯穿其中。
3)模型强调综合保障的观念。就是通过四大安全保障要素实现安全目标,通过对四大要素的安全评估,为信息系统的安全保障提供信心;
4)以风险和策略为基础,在信息系统的生命周期中实施四大安全保障要素,实现安全特征,达到保障组织机构执行其使命的根本目的。
信息安全就怕舍本逐末,纯粹将安全作为一项重点工作而忽视了组织机构的使命和任务。建设信息系统的根本目的是为了提高工作效率和效能,通过信息化的手段协助组织机构更快更好的实现其既定的战略和目标。一切安全措施都是应该而且只能为这个目标而服务。
某机构搭建了一个网站系统花费不到3万元,目的是为了宣传。如为其增加安全防护设施的话,费用大概是5万元左右。安全防护到底是要还是不要,这成了机构的抉择的一个难题。
《网络安全法》第二十一条规定,“国家实行网络安全等级报制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免收干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改……”。一旦网站被不法分子攻击,张贴反动标语或者其他影响社会安定的言论,必将给网络系统的运营者带来麻烦。在成本和法律面前,怎么选择?
根据信息系统安全保障模型来看,在信息系统的规划组织阶段,就以及缺失了对安全的考虑,才出现了运行维护阶段的难题。如果在网站系统生命周期的初始阶段就考虑了安全要素,进行项目可行性论证的话,成本高则放弃项目;成本可以接受则继续推进项目。
现阶段也可以继续评估系统面临的风险,风险可以接受则继续推进项目,如果不能接受则直接废弃,并接受前期项目投资的损失。同时,《网络安全法》也提出了三同步的概念,即“同步规划、同步实施、同步使用”,也是安全意识贯穿信息系统生命周期的体现。
信息系统的建设者,不仅要考虑信息系统对生产的促进作用,还要考虑建设信息系统后为组织机构带来的新的风险。引入信息系统安全保障模型,提升网络安全意识,才能让信息化为组织机构添砖加瓦、如虎添翼。
2. 网络安全法中网络运营者要遵守哪些法则
《中华人民共和国网络安全法》第二十四条网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。
第二十五条网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
第二十六条开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。
第二十七条任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
第二十八条网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。
第二十九条国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作,提高网络运营者的安全保障能力。
有关行业组织建立健全本行业的网络安全保护规范和协作机制,加强对网络安全风险的分析评估,定期向会员进行风险警示,支持、协助会员应对网络安全风险。
(2)网络安全法中的三同步扩展阅读
网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。网络运营者收集、使用、转移、披露儿童个人信息的,应当以显着、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意。
网络运营者收集、使用、转移、披露儿童个人信息的,应当以显着、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意。网络运营者不得收集与其提供的服务无关的儿童个人信息,不得违反法律、行政法规的规定和双方的约定收集儿童个人信息。
3. 国家支持网络运营者之间在网络安全信息什么等方面进行合作提高网络运营者的安
1、 国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作,提高网络运营者的安全保障能力。
2.、有关行业组织建立健全本行业的网络安全保护规范和协作机制,加强对网络安全风险的分析评估,定期向会员进行风险警示,支持、协助会员应对网络安全风险。
(3)网络安全法中的三同步扩展阅读:
1、《中华人民共和国网络安全法》是为保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展而制定的法律。
2、《中华人民共和国网络安全法》由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过,自2017年6月1日起施行。
4. 什么是安全工作的“三同步”原则
应该为“三同时”原则。“三同时”原则涉及环境保护、安全生产、矿山安全,所谓“三同时”即同时设计、同时施工、同时投产使用。
中国在1973年的《关于保护和改善环境的若干规定(试行草案)》中提出,一切新建、扩建和改建的企业中的防治污染项目必须和主体工程同时设计、同时施工、同时投产的原则。
(4)网络安全法中的三同步扩展阅读:
我国《安全生产法》第二十四条规定:生产经营单位新建、改建、扩建工程项目(以下统称建设项目)的安全设施,必须与主体工程同时设计、同时施工、同时投入生产和使用。安全设施投资应当纳入建设项目概算。
生产经营单位为了维持或扩大生产经营规模,经常要进行相关的工程建设。建设项目的安全设施未与主体工程同时设计、同时施工、同时投入生产和使用就会留下不安全因素和事故隐患,在生产经营过程中就可能会酿成生产安全事故。同时设计、同时施工、同时投入生产和使用的这一原则,简称“三同时”原则。
参考资料:网络-“三同时”原则
5. 科学开展安全建设整改要落实的三同步要求是指
法律分析:三要求具体是指同步规划、同步建设、同步使用。
法律依据: 《中华人民共和国网络安全法》 第三十三条 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
6. 网络安全法》规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的
网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
1.网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
2.网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
法律依据:
《中华人民共和国网络安全法》
第四十一条
网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
7. 中华人民共和国网络安全法规定国家
中华人民共和国网络安全法规定,国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。
《网络安全法》的出台具有里程碑式的意义。它是全面落实党的十八大和十八届三中、四中、五中、六中全会相关决策部署的重大举措,是我国第一部网络安全的专门性综合性立法,提出了应对网络安全挑战这一全球性问题的中国方案。
此次立法进程的迅速推进,显示了党和国家对网络安全问题的高度重视,是我国网络安全法治建设的一个重大战略契机。网络安全有法可依,信息安全行业将由合规性驱动过渡到合规性和强制性驱动并重。
(7)网络安全法中的三同步扩展阅读:
网络空间逐步成为世界主要国家展开竞争和战略博弈的新领域。我国作为一个拥有大量网民并正在持续发展中的国家,不断感受到来自现存霸主美国的战略压力。
这决定了网络空间成为我国国家利益的新边疆,确立网络空间行为准则和模式已是当务之急。现代国家是法治国家,国家行为的规制由法律来决定。
《网络安全法》中明确提出了有关国家网络空间安全战略和重要领域安全规划等问题的法律要求,这有助于实现推进中国在国家网络安全领域明晰战略意图,确立清晰目标,厘清行为准则,不仅能够提升我国保障自身网络安全的能力,还有助于推进与其他国家和行为体就网络安全问题展开有效的战略博弈。
8. 网络安全法增加了网络运营者必须遵守什么的内容
一、网络安全法运营商对网络运行安全的规定
(一)一般规定
1、第二十一条
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(1)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(2)采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施;
(3)采取记录、跟踪网络运行状态,监测、记录网络安全事件的技术措施,并按照规定留存网络日志;
(4)采取数据分类、重要数据备份和加密等措施;
(5)法律、行政法规规定的其他义务。
网络安全等级保护的具体办法由国务院规定。
2、第二十二条
网络产品、服务应当符合相关国家标准、行业标准。网络产品、服务的提供者不得设置恶意程序;其产品、服务具有收集用户信息功能的,应当向用户明示并取得同意;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当及时向用户告知并采取补救措施。网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期间内,不得终止提供安全维护。
第二十三条
3、网络关键设备和网络安全专用产品应当按照相关国家标准、行业标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。
4、第二十四条
网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布服务,应当在与用户签订协议或者确认提供服务时,要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。国家支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证技术之间的互认、通用。
5、第二十五条
网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络入侵、网络攻击等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
6、第二十七条
任何个人和组织不得从事入侵他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供从事入侵网络、干扰网络正常功能、窃取网络数据等危害网络安全活动的工具和制作方法;不得为他人实施危害网络安全的活动提供技术支持、广告推广、支付结算等帮助。
7、第二十八条
为国家安全和侦查犯罪的需要,侦查机关依照法律规定,可以要求网络运营者提供必要的支持与协助。
8、第二十九条
国家支持网络运营者之间开展网络安全信息收集、分析、通报和应急处置等方面的合作,提高网络运营者的安全保障能力。有关行业组织建立健全本行业的网络安全保护规范和协作机制,加强对网络安全风险的分析评估,定期向会员进行风险警示,支持、协助会员应对网络安全风险。
法律依据:《网络安全法》第二十五条网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。第二十八条网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。