第13章 網(wǎng)絡(luò)信息安全管理

1、第第1313章章 網(wǎng)絡(luò)信息安全管理網(wǎng)絡(luò)信息安全管理 前面詳細(xì)討論了網(wǎng)絡(luò)信息安全的各種技術(shù)。前面詳細(xì)討論了網(wǎng)絡(luò)信息安全的各種技術(shù)。 只有技術(shù)只有技術(shù)是不是可以呢？是不是可以呢？ 答案是否定的。答案是否定的。 除了技術(shù)，還要有除了技術(shù)，還要有完善的安全管理完善的安全管理。 沒(méi)有完善的安全管理，安全只是一句空話。沒(méi)有完善的安全管理，安全只是一句空話。 試想，如果試想，如果密鑰因?yàn)楣芾砘靵y而泄密密鑰因?yàn)楣芾砘靵y而泄密，那么密，那么密鑰設(shè)置得強(qiáng)度再高又有什么用呢？鑰設(shè)置得強(qiáng)度再高又有什么用呢？ 第第13章章 網(wǎng)絡(luò)信息安全管理網(wǎng)絡(luò)信息安全管理Network and Information Security

2、 “三分技術(shù)三分技術(shù),七分管理七分管理”是網(wǎng)絡(luò)安全領(lǐng)域是網(wǎng)絡(luò)安全領(lǐng)域的一句至理名言的一句至理名言. 其原意是：網(wǎng)絡(luò)安全中的其原意是：網(wǎng)絡(luò)安全中的30%依依 靠計(jì)算靠計(jì)算機(jī)系統(tǒng)機(jī)系統(tǒng)信息安全設(shè)備和技術(shù)保障信息安全設(shè)備和技術(shù)保障， 而而70%則依靠用戶則依靠用戶安全管理意識(shí)的提高安全管理意識(shí)的提高以以及及管理模式管理模式 的更新的更新。 13.1 信息安全管理概述信息安全管理概述 1313.1.1 .1.1 信息安全管理的概念信息安全管理的概念所謂管理，是在群體活動(dòng)中，為了完成所謂管理，是在群體活動(dòng)中，為了完成一定一定的任務(wù)的任務(wù)，實(shí)現(xiàn)，實(shí)現(xiàn)既定的目標(biāo)既定的目標(biāo)，針對(duì)，針對(duì)特定的對(duì)特定的對(duì)象象，遵

3、循，遵循確定的原則確定的原則，按照，按照規(guī)定的程序規(guī)定的程序，運(yùn)用運(yùn)用恰當(dāng)?shù)姆椒ㄇ‘?dāng)?shù)姆椒?，所進(jìn)行的，所進(jìn)行的制定計(jì)劃、建制定計(jì)劃、建立機(jī)構(gòu)、落實(shí)措施、開展培訓(xùn)、檢查效果立機(jī)構(gòu)、落實(shí)措施、開展培訓(xùn)、檢查效果和實(shí)施改進(jìn)和實(shí)施改進(jìn)等活動(dòng)。等活動(dòng)。Network and Information Security第第13章章 網(wǎng)絡(luò)信息安全管理網(wǎng)絡(luò)信息安全管理 安全管理是以安全管理是以管理對(duì)象的安全管理對(duì)象的安全為為任務(wù)和目標(biāo)任務(wù)和目標(biāo)的管理。的管理。 安全管理的任務(wù)安全管理的任務(wù)是保證是保證管理對(duì)象的安全管理對(duì)象的安全。 安全管理的目標(biāo)安全管理的目標(biāo)是達(dá)到是達(dá)到管理對(duì)象所需的安全級(jí)別管理對(duì)象所需的安全

4、級(jí)別，將風(fēng)險(xiǎn)控制在可以接受的程度。將風(fēng)險(xiǎn)控制在可以接受的程度。 信息安全管理是以信息及其載體信息安全管理是以信息及其載體即即信息系統(tǒng)為信息系統(tǒng)為對(duì)象的安全管理。對(duì)象的安全管理。 信息安全管理的任務(wù)是保證信息安全管理的任務(wù)是保證信息的使用安全和信息信息的使用安全和信息載體的運(yùn)行安全。載體的運(yùn)行安全。 信息安全管理的目標(biāo)是達(dá)到信息安全管理的目標(biāo)是達(dá)到信息系統(tǒng)所需的安全級(jí)信息系統(tǒng)所需的安全級(jí)別，將風(fēng)險(xiǎn)控制在用戶可以接受的程度別，將風(fēng)險(xiǎn)控制在用戶可以接受的程度。 1313.1.2 .1.2 安全管理的重要性安全管理的重要性 在信息時(shí)代，信息是一種資產(chǎn)。在信息時(shí)代，信息是一種資產(chǎn)。 僅通過(guò)技術(shù)手段實(shí)現(xiàn)的

5、安全能力是有限的僅通過(guò)技術(shù)手段實(shí)現(xiàn)的安全能力是有限的，主，主要體現(xiàn)在以下兩個(gè)方面。要體現(xiàn)在以下兩個(gè)方面。 一方面，一方面，許多安全技術(shù)和產(chǎn)品遠(yuǎn)遠(yuǎn)沒(méi)有達(dá)到人許多安全技術(shù)和產(chǎn)品遠(yuǎn)遠(yuǎn)沒(méi)有達(dá)到人們需要的水準(zhǔn)們需要的水準(zhǔn)。 另一方面，另一方面，即使某些安全技術(shù)和產(chǎn)品在指標(biāo)上即使某些安全技術(shù)和產(chǎn)品在指標(biāo)上達(dá)到了實(shí)際應(yīng)用的某些安全需求，如果配置和達(dá)到了實(shí)際應(yīng)用的某些安全需求，如果配置和管理不當(dāng)，還是不能真正地實(shí)現(xiàn)這些安全需求。管理不當(dāng)，還是不能真正地實(shí)現(xiàn)這些安全需求。Network and Information Security第第13章章 網(wǎng)絡(luò)信息安全管理網(wǎng)絡(luò)信息安全管理安全管理模型PDCA持續(xù)改進(jìn)模式

6、 Network and Information Security執(zhí)行(do)建立機(jī)構(gòu)落實(shí)措施開展培訓(xùn)行動(dòng)(action)實(shí)施改進(jìn)檢查(check)檢查效果計(jì)劃(plan)制定計(jì)劃策略任務(wù)、目標(biāo)、對(duì)象、原則、程序、方法風(fēng)險(xiǎn)分析安全要求第第13章章 網(wǎng)絡(luò)信息安全管理網(wǎng)絡(luò)信息安全管理信息安全管理策略應(yīng)包括信息安全管理的信息安全管理策略應(yīng)包括信息安全管理的任務(wù)、目標(biāo)、任務(wù)、目標(biāo)、對(duì)象、原則、程序和方法對(duì)象、原則、程序和方法這些內(nèi)容。這些內(nèi)容。1.1.信息安全管理的任務(wù)：信息安全管理的任務(wù)：信息安全管理的任務(wù)是保證信息安全管理的任務(wù)是保證信息的信息的使用安全使用安全和信息和信息載體的運(yùn)行安全載體的運(yùn)行

7、安全。2.2.信息安全管理的目標(biāo)：信息安全管理的目標(biāo)：信息安全管理的目標(biāo)是達(dá)到信息安全管理的目標(biāo)是達(dá)到信息系統(tǒng)所需的安全級(jí)別，將風(fēng)險(xiǎn)控制在用戶可以接信息系統(tǒng)所需的安全級(jí)別，將風(fēng)險(xiǎn)控制在用戶可以接受的程度。受的程度。3.3.信息安全管理的對(duì)象：信息安全管理的對(duì)象：信息安全管理的對(duì)象從內(nèi)涵信息安全管理的對(duì)象從內(nèi)涵上講是指信息及其載體上講是指信息及其載體信息系統(tǒng)信息系統(tǒng)，從外延上說(shuō)其，從外延上說(shuō)其范圍范圍由實(shí)際應(yīng)用環(huán)境來(lái)界定。由實(shí)際應(yīng)用環(huán)境來(lái)界定。Network and Information Security1313.2 .2 信息安全管理策略信息安全管理策略 第第13章章 網(wǎng)絡(luò)信息安全管理網(wǎng)絡(luò)信

8、息安全管理（1 1） 策略指導(dǎo)策略指導(dǎo)原則原則（2 2） 風(fēng)險(xiǎn)評(píng)估原則風(fēng)險(xiǎn)評(píng)估原則（3 3） 預(yù)防為主預(yù)防為主原則原則 （4 4） 適度安全原則適度安全原則（5 5） 立足國(guó)內(nèi)立足國(guó)內(nèi)原則原則（6 6） 成熟技術(shù)原則成熟技術(shù)原則（7 7） 規(guī)范標(biāo)準(zhǔn)規(guī)范標(biāo)準(zhǔn)原則原則（8 8） 均衡防護(hù)原則均衡防護(hù)原則（9 9） 分權(quán)制衡分權(quán)制衡原則原則（1010）全體參與原則）全體參與原則（1111）應(yīng)急恢復(fù)）應(yīng)急恢復(fù)原則原則（1212）持續(xù)發(fā)展原則）持續(xù)發(fā)展原則Network and Information Security第第13章章 網(wǎng)絡(luò)信息安全管理網(wǎng)絡(luò)信息安全管理4.4.信息安全管理遵循如下基本原則：信

9、息安全管理遵循如下基本原則：（1 1）計(jì)劃（計(jì)劃（PlanPlan）：）：制定工作計(jì)劃，明確責(zé)任分制定工作計(jì)劃，明確責(zé)任分工，安排工作進(jìn)度，突出工作重點(diǎn)，形成工作工，安排工作進(jìn)度，突出工作重點(diǎn)，形成工作文件。文件。（2 2）執(zhí)行（執(zhí)行（DoDo）：）：按照計(jì)劃展開各項(xiàng)工作，包括按照計(jì)劃展開各項(xiàng)工作，包括建立權(quán)威的安全機(jī)構(gòu)，落實(shí)必要的安全措施，建立權(quán)威的安全機(jī)構(gòu)，落實(shí)必要的安全措施，開展全員的安全培訓(xùn)等。開展全員的安全培訓(xùn)等。（3 3）檢查（）檢查（CheckCheck）：）：對(duì)上述工作所構(gòu)建的信息安對(duì)上述工作所構(gòu)建的信息安全管理體系進(jìn)行符合性檢查，并報(bào)告結(jié)果。全管理體系進(jìn)行符合性檢查，并報(bào)告結(jié)

10、果。（4 4）行動(dòng)（行動(dòng)（ActionAction）：）：依據(jù)上述檢查結(jié)果，對(duì)現(xiàn)依據(jù)上述檢查結(jié)果，對(duì)現(xiàn)有信息安全管理策略的適宜性進(jìn)行評(píng)審與評(píng)估，有信息安全管理策略的適宜性進(jìn)行評(píng)審與評(píng)估，評(píng)價(jià)現(xiàn)有信息安全管理體系的有效性，采取改評(píng)價(jià)現(xiàn)有信息安全管理體系的有效性，采取改進(jìn)措施。進(jìn)措施。Network and Information Security第第13章章 網(wǎng)絡(luò)信息安全管理網(wǎng)絡(luò)信息安全管理5.信息安全管理的程序，信息安全管理的程序遵循PDCA循環(huán)模式的4大基本步驟：（1 1）制定各類管理制度，并在工作中真正執(zhí)行。）制定各類管理制度，并在工作中真正執(zhí)行。（2 2）系統(tǒng)由專人管理，其他人員不應(yīng)該接

11、觸系統(tǒng)。）系統(tǒng)由專人管理，其他人員不應(yīng)該接觸系統(tǒng)。（3 3）禁止非工作人員進(jìn)入重要機(jī)房。）禁止非工作人員進(jìn)入重要機(jī)房。（4 4）使用不間斷電源）使用不間斷電源UPSUPS，做好防火、防水、防雷擊保做好防火、防水、防雷擊保護(hù)措施。護(hù)措施。（5 5）各用戶必須管理好自己的口令，并定期更改，不能）各用戶必須管理好自己的口令，并定期更改，不能泄露。泄露。（6 6）重要的設(shè)備應(yīng)該安放在安裝了攝像頭的隔離房間內(nèi)，）重要的設(shè)備應(yīng)該安放在安裝了攝像頭的隔離房間內(nèi)，要保留要保留1313天以上的攝像記錄，并使用門禁系統(tǒng)。機(jī)箱，天以上的攝像記錄，并使用門禁系統(tǒng)。機(jī)箱，鍵盤，電腦桌抽屜要上鎖，以確保旁人即使進(jìn)入房間鍵

12、盤，電腦桌抽屜要上鎖，以確保旁人即使進(jìn)入房間也無(wú)法操作設(shè)備，鑰匙要放在安全的地方。也無(wú)法操作設(shè)備，鑰匙要放在安全的地方。Network and Information Security第第13章章 網(wǎng)絡(luò)信息安全管理網(wǎng)絡(luò)信息安全管理6.信息安全管理的具體方法很多，應(yīng)該根據(jù)具體情況制訂，以下是通用的方法：（7 7）隨時(shí)檢查并記錄服務(wù)器、網(wǎng)絡(luò)設(shè)備及各類應(yīng)用軟件的運(yùn)）隨時(shí)檢查并記錄服務(wù)器、網(wǎng)絡(luò)設(shè)備及各類應(yīng)用軟件的運(yùn)行情況，對(duì)軟硬件進(jìn)行的修改、升級(jí)一定要記錄在案。行情況，對(duì)軟硬件進(jìn)行的修改、升級(jí)一定要記錄在案。（8 8）對(duì)軟硬件進(jìn)行重大的更改前，必須先形成方案文件，經(jīng)）對(duì)軟硬件進(jìn)行重大的更改前，必須先形

13、成方案文件，經(jīng)過(guò)詳細(xì)研究確認(rèn)可行后再實(shí)行，并應(yīng)對(duì)更改可能帶來(lái)的負(fù)面過(guò)詳細(xì)研究確認(rèn)可行后再實(shí)行，并應(yīng)對(duì)更改可能帶來(lái)的負(fù)面后果做好充分的準(zhǔn)備?？梢栽谄渌O(shè)備上試驗(yàn)后再正式實(shí)行，后果做好充分的準(zhǔn)備?？梢栽谄渌O(shè)備上試驗(yàn)后再正式實(shí)行，絕不能在工作中的設(shè)備上進(jìn)行試驗(yàn)性質(zhì)的調(diào)試。絕不能在工作中的設(shè)備上進(jìn)行試驗(yàn)性質(zhì)的調(diào)試。（9 9）服務(wù)器上僅安裝必須的軟件，非必須的軟件一律刪除。）服務(wù)器上僅安裝必須的軟件，非必須的軟件一律刪除。（1010）定時(shí)備份重要數(shù)據(jù)，一定要把數(shù)據(jù)備份在光盤或另一臺(tái)）定時(shí)備份重要數(shù)據(jù)，一定要把數(shù)據(jù)備份在光盤或另一臺(tái)設(shè)備上，不能備份在同一臺(tái)設(shè)備上，這樣的話還不如不備份。設(shè)備上，不能備份在

14、同一臺(tái)設(shè)備上，這樣的話還不如不備份。至關(guān)重要的數(shù)據(jù)應(yīng)該異地備份，防止大規(guī)模自然災(zāi)害，如地至關(guān)重要的數(shù)據(jù)應(yīng)該異地備份，防止大規(guī)模自然災(zāi)害，如地震發(fā)生時(shí)數(shù)據(jù)全滅。震發(fā)生時(shí)數(shù)據(jù)全滅。 Network and Information Security第第13章章 網(wǎng)絡(luò)信息安全管理網(wǎng)絡(luò)信息安全管理 要確定一個(gè)信息系統(tǒng)的安全性究竟怎樣要確定一個(gè)信息系統(tǒng)的安全性究竟怎樣，必須進(jìn)，必須進(jìn)行行安全評(píng)估安全評(píng)估。安全評(píng)估分為。安全評(píng)估分為3 3步。步。 第第1 1步是發(fā)現(xiàn)階段步是發(fā)現(xiàn)階段. .所有有關(guān)安全體系結(jié)構(gòu)適用的所有有關(guān)安全體系結(jié)構(gòu)適用的文本都必須檢查。文本都必須檢查。 第第2 2步是人工檢查階段步是人工檢

15、查階段. .將文本描述的體系結(jié)構(gòu)與將文本描述的體系結(jié)構(gòu)與實(shí)際的結(jié)構(gòu)進(jìn)行比較，找出其差別。實(shí)際的結(jié)構(gòu)進(jìn)行比較，找出其差別。 第第3 3步是漏洞測(cè)試階段步是漏洞測(cè)試階段。這是一個(gè)系統(tǒng)的檢查，。這是一個(gè)系統(tǒng)的檢查，以決定安全方法的適用性、標(biāo)識(shí)安全的差別、評(píng)以決定安全方法的適用性、標(biāo)識(shí)安全的差別、評(píng)價(jià)現(xiàn)有的和計(jì)劃的保護(hù)措施的有效性。價(jià)現(xiàn)有的和計(jì)劃的保護(hù)措施的有效性。Network and Information Security第第13章章 網(wǎng)絡(luò)信息安全管理網(wǎng)絡(luò)信息安全管理7信息系統(tǒng)安全評(píng)估BS7799BS7799標(biāo)準(zhǔn)是由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（標(biāo)準(zhǔn)是由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（BSIBSI）制定的制定的信息安全信息安全管

16、理標(biāo)準(zhǔn)管理標(biāo)準(zhǔn)，是國(guó)際上具有代表性的信息安全管理體系標(biāo)，是國(guó)際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)包括以下兩部分：準(zhǔn)。該標(biāo)準(zhǔn)包括以下兩部分：BS7799-1:2000BS7799-1:2000信息安全管理信息安全管理實(shí)施規(guī)則實(shí)施規(guī)則；BS7799-2:2002BS7799-2:2002信息安全管理信息安全管理體系規(guī)范體系規(guī)范。其中，其中，BS7799-1:2000BS7799-1:2000于于20002000年年1212月通過(guò)國(guó)際標(biāo)準(zhǔn)化組月通過(guò)國(guó)際標(biāo)準(zhǔn)化組織（織（ISOISO）認(rèn)可，正式成為國(guó)際標(biāo)準(zhǔn)，即認(rèn)可，正式成為國(guó)際標(biāo)準(zhǔn)，即ISO/IEC ISO/IEC 17799:20001779

17、9:2000信息技術(shù)信息技術(shù)信息安全管理實(shí)施規(guī)則。信息安全管理實(shí)施規(guī)則。Network and Information Security1313.3 .3 信息安全管理標(biāo)準(zhǔn)信息安全管理標(biāo)準(zhǔn)13.3.1 BS7799標(biāo)準(zhǔn)標(biāo)準(zhǔn)第第13章章 網(wǎng)絡(luò)信息安全管理網(wǎng)絡(luò)信息安全管理 標(biāo)準(zhǔn)的第一部分為標(biāo)準(zhǔn)的第一部分為BS7799-1:2000BS7799-1:2000信息安全管信息安全管理實(shí)施規(guī)則，理實(shí)施規(guī)則，是組織建立并實(shí)施信息安全管理是組織建立并實(shí)施信息安全管理體系的一個(gè)體系的一個(gè)指導(dǎo)性指導(dǎo)性準(zhǔn)則準(zhǔn)則，主要是為組織實(shí)施主要是為組織實(shí)施有效有效的信息安全管理的信息安全管理提供通用的提供通用的最佳實(shí)施規(guī)則。最

18、佳實(shí)施規(guī)則。 第二部分為第二部分為BS7799-2:2002BS7799-2:2002信息安全管理體系信息安全管理體系規(guī)范，規(guī)范，規(guī)定了建立、實(shí)施和維護(hù)信息安全管理規(guī)定了建立、實(shí)施和維護(hù)信息安全管理體系的要求，指出組織需依據(jù)體系的要求，指出組織需依據(jù)風(fēng)險(xiǎn)評(píng)估和自身需風(fēng)險(xiǎn)評(píng)估和自身需求求來(lái)確定來(lái)確定最適宜最適宜的安全控制要求，采取的安全控制要求，采取最適當(dāng)最適當(dāng)?shù)牡陌踩刂拼胧┌踩刂拼胧?可以這樣說(shuō)，可以這樣說(shuō)，BS7799-1:2000BS7799-1:2000為為BS7799-2:2002BS7799-2:2002的的具體實(shí)施提供了指南。具體實(shí)施提供了指南。Network and Inf

19、ormation Security第第13章章 網(wǎng)絡(luò)信息安全管理網(wǎng)絡(luò)信息安全管理美國(guó)美國(guó)Carnegie MellonCarnegie Mellon大學(xué)的軟件工程研究所制定了大學(xué)的軟件工程研究所制定了系統(tǒng)安系統(tǒng)安全工程能力成熟度模型全工程能力成熟度模型（System Security Engineering System Security Engineering Capability Maturity Model, SSE-CMMCapability Maturity Model, SSE-CMM）。）。Network and Information Security1313.3.2 .3.2

20、 安全成熟度模型安全成熟度模型 安全成熟度能力級(jí)別安全成熟度能力級(jí)別說(shuō)明說(shuō)明無(wú)效力（無(wú)效力（50%50%）總的安全體系結(jié)構(gòu)沒(méi)有遵從企業(yè)總的安全體系結(jié)構(gòu)沒(méi)有遵從企業(yè)安全策略、法規(guī)，以及最佳經(jīng)營(yíng)實(shí)際安全策略、法規(guī)，以及最佳經(jīng)營(yíng)實(shí)際需要改進(jìn)（需要改進(jìn)（65%65%）安全體系結(jié)構(gòu)中無(wú)效力部分的應(yīng)少于安全體系結(jié)構(gòu)中無(wú)效力部分的應(yīng)少于35%35%合適（合適（85%85%）企業(yè)的安全計(jì)劃、部署、配置和過(guò)程控制企業(yè)的安全計(jì)劃、部署、配置和過(guò)程控制使安全體系結(jié)構(gòu)能滿足總的目標(biāo)。使安全體系結(jié)構(gòu)能滿足總的目標(biāo)。極好（超過(guò)極好（超過(guò)100%100%）安全體系結(jié)構(gòu)超過(guò)了總的目標(biāo)及需求。安全體系結(jié)構(gòu)超過(guò)了總的目標(biāo)及需求。

21、第第13章章 網(wǎng)絡(luò)信息安全管理網(wǎng)絡(luò)信息安全管理 1.1.安全計(jì)劃：安全計(jì)劃：一個(gè)好的安全體系結(jié)構(gòu)必須建立一個(gè)好的安全體系結(jié)構(gòu)必須建立在一個(gè)堅(jiān)固的安全計(jì)劃基礎(chǔ)之上。在一個(gè)堅(jiān)固的安全計(jì)劃基礎(chǔ)之上。 計(jì)劃的文本必須清晰、完整。很多組織的安全計(jì)劃的文本必須清晰、完整。很多組織的安全策略、標(biāo)準(zhǔn)和指南存在以下一些問(wèn)題：策略、標(biāo)準(zhǔn)和指南存在以下一些問(wèn)題： （1 1）內(nèi)容太舊，已過(guò)時(shí)，不適用于當(dāng)前的應(yīng)）內(nèi)容太舊，已過(guò)時(shí)，不適用于當(dāng)前的應(yīng)用。用。 （2 2）文本有很多用戶，如開發(fā)者、風(fēng)險(xiǎn)管理）文本有很多用戶，如開發(fā)者、風(fēng)險(xiǎn)管理者、審計(jì)人員，所用語(yǔ)言又適用于多種解釋。者、審計(jì)人員，所用語(yǔ)言又適用于多種解釋。 （3

22、 3）表達(dá)不夠詳細(xì)。很多組織的安全策略觀）表達(dá)不夠詳細(xì)。很多組織的安全策略觀念只是一個(gè)口令管理。念只是一個(gè)口令管理。 （4 4）用戶需要知道有關(guān)安全的文本。）用戶需要知道有關(guān)安全的文本。Network and Information Security第第13章章 網(wǎng)絡(luò)信息安全管理網(wǎng)絡(luò)信息安全管理 2.2.技術(shù)和配置：技術(shù)和配置：安全專業(yè)人員應(yīng)能適當(dāng)?shù)剡x擇產(chǎn)安全專業(yè)人員應(yīng)能適當(dāng)?shù)剡x擇產(chǎn)品，正確地將它們安置在基礎(chǔ)設(shè)施中，品，正確地將它們安置在基礎(chǔ)設(shè)施中，合適地配合適地配置和支持。置和支持。 3.3.操作運(yùn)行過(guò)程：操作運(yùn)行過(guò)程：運(yùn)行過(guò)程包括安全組件需要的運(yùn)行過(guò)程包括安全組件需要的必要支持和維護(hù)、變更

23、管理、經(jīng)營(yíng)業(yè)務(wù)的連續(xù)性、必要支持和維護(hù)、變更管理、經(jīng)營(yíng)業(yè)務(wù)的連續(xù)性、用戶安全意識(shí)培訓(xùn)、安全管理用戶安全意識(shí)培訓(xùn)、安全管理，以及安全報(bào)警與，以及安全報(bào)警與監(jiān)控。監(jiān)控。 安全基礎(chǔ)設(shè)施組件的支持和維護(hù)安全基礎(chǔ)設(shè)施組件的支持和維護(hù)類似于主機(jī)和應(yīng)類似于主機(jī)和應(yīng)用服務(wù)器所需的支持。用服務(wù)器所需的支持。1.1.相關(guān)法規(guī)相關(guān)法規(guī)（1 1）計(jì)算機(jī)病毒控制規(guī)定；）計(jì)算機(jī)病毒控制規(guī)定；（2 2）中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例；中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例；（3 3）中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行）中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定；規(guī)定；（4 4）國(guó)際互聯(lián)網(wǎng)出入信道

24、管理辦法；國(guó)際互聯(lián)網(wǎng)出入信道管理辦法；（5 5）計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定；）計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定；（6 6）商用密碼管理?xiàng)l例；商用密碼管理?xiàng)l例；（7 7）互聯(lián)網(wǎng)信息服務(wù)管理辦法；）互聯(lián)網(wǎng)信息服務(wù)管理辦法；（8 8）電子認(rèn)證服務(wù)管理辦法；電子認(rèn)證服務(wù)管理辦法；（9 9）電子認(rèn)證服務(wù)密碼管理辦法。）電子認(rèn)證服務(wù)密碼管理辦法。Network and Information Security1313.4 .4 我國(guó)關(guān)于網(wǎng)絡(luò)安全的法律法規(guī)我國(guó)關(guān)于網(wǎng)絡(luò)安全的法律法規(guī) 1313.4.1 .4.1 相關(guān)法律法規(guī)相關(guān)法律法規(guī)第第13章章 網(wǎng)絡(luò)信息安全管理網(wǎng)絡(luò)信息安全管理（1 1）19881988

25、年年9 9月月5 5日第七屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第三次日第七屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第三次會(huì)議通過(guò)的中華人民共和國(guó)保守國(guó)家秘密法第三章第十會(huì)議通過(guò)的中華人民共和國(guó)保守國(guó)家秘密法第三章第十七條提出七條提出“采用電子信息等技術(shù)存取、處理、傳遞國(guó)家秘密采用電子信息等技術(shù)存取、處理、傳遞國(guó)家秘密的辦法，由國(guó)家保密部門會(huì)同中央有關(guān)機(jī)關(guān)規(guī)定的辦法，由國(guó)家保密部門會(huì)同中央有關(guān)機(jī)關(guān)規(guī)定”；（2 2）19971997年年1010月，我國(guó)第一次在修訂刑法時(shí)增加了計(jì)算機(jī)犯罪月，我國(guó)第一次在修訂刑法時(shí)增加了計(jì)算機(jī)犯罪的罪名；的罪名；（3 3）為規(guī)范互聯(lián)網(wǎng)用戶的行為，）為規(guī)范互聯(lián)網(wǎng)用戶的行為，20002000

26、年年1212月月2828日九屆全國(guó)人大日九屆全國(guó)人大常委會(huì)通過(guò)了全國(guó)人大常委會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決常委會(huì)通過(guò)了全國(guó)人大常委會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定；定；（4 4）20042004年年8 8月月2828日第十屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第十一日第十屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第十一次會(huì)議通過(guò)中華人民共和國(guó)電子簽名法。次會(huì)議通過(guò)中華人民共和國(guó)電子簽名法。 此外，我國(guó)還締約或者參與了許多與計(jì)算機(jī)相關(guān)的國(guó)際性的法此外，我國(guó)還締約或者參與了許多與計(jì)算機(jī)相關(guān)的國(guó)際性的法律法規(guī)。律法規(guī)。 Network and Information Security第第13章章 網(wǎng)絡(luò)信息安全管理網(wǎng)絡(luò)信息安全管理2.相

27、關(guān)法律 1.網(wǎng)絡(luò)服務(wù)機(jī)構(gòu)設(shè)立的條件網(wǎng)絡(luò)服務(wù)機(jī)構(gòu)設(shè)立的條件 2.網(wǎng)絡(luò)服務(wù)業(yè)的對(duì)口管理網(wǎng)絡(luò)服務(wù)業(yè)的對(duì)口管理 3.互聯(lián)網(wǎng)出入口信道管理互聯(lián)網(wǎng)出入口信道管理 4.計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行管理計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行管理 5.安全責(zé)任安全責(zé)任Network and Information Security第第13章章 網(wǎng)絡(luò)信息安全管理網(wǎng)絡(luò)信息安全管理13.4.2 網(wǎng)絡(luò)服務(wù)業(yè)的法律規(guī)范網(wǎng)絡(luò)服務(wù)業(yè)的法律規(guī)范13.4.3 網(wǎng)絡(luò)用戶的法律規(guī)范網(wǎng)絡(luò)用戶的法律規(guī)范1.用戶用戶接入互聯(lián)網(wǎng)接入互聯(lián)網(wǎng)的管理的管理2.用戶用戶使用互聯(lián)網(wǎng)使用互聯(lián)網(wǎng)的管理的管理1.從事經(jīng)營(yíng)性從事經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)應(yīng)具備的條件互聯(lián)網(wǎng)信息服務(wù)應(yīng)具備的條件（

28、1）有）有業(yè)務(wù)發(fā)展計(jì)劃及相關(guān)技術(shù)方案業(yè)務(wù)發(fā)展計(jì)劃及相關(guān)技術(shù)方案；（2）有）有健全的網(wǎng)絡(luò)與信息安全保障措施健全的網(wǎng)絡(luò)與信息安全保障措施，包括，包括網(wǎng)站安全保障措施、信息安全保密管理制度、網(wǎng)站安全保障措施、信息安全保密管理制度、用戶信息安全管理制度；用戶信息安全管理制度；（3）服務(wù)項(xiàng)目屬于）服務(wù)項(xiàng)目屬于某些特定范圍的某些特定范圍的，已取得有已取得有關(guān)主管部門同意的文件。關(guān)主管部門同意的文件。Network and Information Security第第13章章 網(wǎng)絡(luò)信息安全管理網(wǎng)絡(luò)信息安全管理13.4.4 互聯(lián)網(wǎng)信息傳播安全管理制度互聯(lián)網(wǎng)信息傳播安全管理制度2.從事非經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)應(yīng)提

29、交的材料從事非經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)應(yīng)提交的材料 從事非經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)應(yīng)當(dāng)向省、自治區(qū)、直從事非經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)應(yīng)當(dāng)向省、自治區(qū)、直轄市電信管理機(jī)構(gòu)或者國(guó)務(wù)院信息產(chǎn)業(yè)主管部門辦理轄市電信管理機(jī)構(gòu)或者國(guó)務(wù)院信息產(chǎn)業(yè)主管部門辦理備案手續(xù)。辦理備案時(shí)，應(yīng)當(dāng)提交下列材料：備案手續(xù)。辦理備案時(shí)，應(yīng)當(dāng)提交下列材料：（1）主辦單位和網(wǎng)站負(fù)責(zé)人主辦單位和網(wǎng)站負(fù)責(zé)人的基本情況；的基本情況；（2）網(wǎng)站網(wǎng)址和服務(wù)項(xiàng)目網(wǎng)站網(wǎng)址和服務(wù)項(xiàng)目；（3）服務(wù)項(xiàng)目屬于某些特定范圍服務(wù)項(xiàng)目屬于某些特定范圍的，已取得有關(guān)主管部的，已取得有關(guān)主管部門的同意文件。門的同意文件。 我國(guó)公安部發(fā)布的計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理我國(guó)公安部發(fā)布的計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法規(guī)定了電子公告系統(tǒng)的用戶登記和信息管理制度，具辦法規(guī)定了