◎

（接上期）

安全法律法規(guī)

建立SaaS系統(tǒng)安全體系，還要了解國(guó)家安全相關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范，這些將成為SaaS系統(tǒng)安全規(guī)劃實(shí)施過(guò)程的重要約束。 據(jù)相關(guān)統(tǒng)計(jì)，截至2008年，與信息安全直接相關(guān)的法律有65部，涉及網(wǎng)絡(luò)與信息系統(tǒng)安全、信息內(nèi)容安全、信息安全系統(tǒng)與產(chǎn)品、保密及密碼管理、計(jì)算機(jī)病毒與危害性程序防治、金融等特定領(lǐng)域的信息安全、信息安全犯罪制裁等多個(gè)領(lǐng)域。從形式看，有法律、相關(guān)的決定、司法解釋及相關(guān)文件、行政法規(guī)、法規(guī)性文件、部門(mén)規(guī)章及相關(guān)文件、地方性法規(guī)與地方政府規(guī)章及相關(guān)文件多個(gè)層次。與此同時(shí)，與信息安全相關(guān)的司法和行政管理體系迅速完善。

1.中國(guó)版塞班斯法案

2008年6月28日，財(cái)政部、證監(jiān)會(huì)、審計(jì)署、銀監(jiān)會(huì)、保監(jiān)會(huì)聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》，被稱(chēng)為中國(guó)版的塞班斯法案。為確保企業(yè)內(nèi)控規(guī)范體系平穩(wěn)順利實(shí)施，財(cái)政部等5部門(mén)制定了實(shí)施時(shí)間表：自2011年1月1日起首先在境內(nèi)外同時(shí)上市的公司施行，自2012年1月1日起擴(kuò)大到在上海證券交易所、深圳證券交易所主板上市的公司施行；在此基礎(chǔ)上，擇機(jī)在中小板和創(chuàng)業(yè)板上市公司施行；同時(shí)，鼓勵(lì)非上市大中型企業(yè)提前施行。 在中國(guó)版塞班斯法案中，與企業(yè)信息化相關(guān)的條款是第四十一條。該條款中規(guī)定：“企業(yè)應(yīng)當(dāng)利用信息技術(shù)促進(jìn)信息的集成與共享，充分發(fā)揮信息技術(shù)在信息與溝通中的作用。企業(yè)應(yīng)當(dāng)加強(qiáng)對(duì)信息系統(tǒng)開(kāi)發(fā)與維護(hù)、訪問(wèn)與變更、數(shù)據(jù)輸入與輸出、文件儲(chǔ)存與保管、網(wǎng)絡(luò)安全等方面的控制，保證信息系統(tǒng)安全穩(wěn)定運(yùn)行?！?從該條款可知，作為上市公司必須遵循的法律，《企業(yè)內(nèi)部控制基本規(guī)范》要求企業(yè)必須建立一個(gè)有效的安全性信息管理平臺(tái)，尤其體現(xiàn)在數(shù)據(jù)的安全性、保密性、完整性等方面。這項(xiàng)法律的頒布，將對(duì)中國(guó)上市企業(yè)以及非上市企業(yè)在數(shù)據(jù)安全實(shí)施方面產(chǎn)生巨大的影響。

2.個(gè)人信息保護(hù)法

依據(jù)《刑法修正案》，對(duì)非法獲取公民個(gè)人信息犯罪嫌疑人有了明確的判罰，不過(guò)要真正有效解決個(gè)人信息泄露、倒賣(mài)這個(gè)社會(huì)難題，還需要《個(gè)人信息保護(hù)法》盡早出臺(tái)?！缎谭ㄐ拚浮反驌舻氖潜容^嚴(yán)重的公民信息泄露、買(mǎi)賣(mài)的行為，而《個(gè)人信息保護(hù)法》是一部專(zhuān)門(mén)針對(duì)個(gè)人信息進(jìn)行保護(hù)的法律，從民事的角度出發(fā)，可以更好、更全面地保護(hù)個(gè)人信息。個(gè)人信息保護(hù)對(duì)公民的意義可以概括為以下四個(gè)方面：一是個(gè)人隱私、自由的保障。個(gè)人信息的內(nèi)容中有不少涉及個(gè)人隱私的內(nèi)容。按照我國(guó)有關(guān)專(zhuān)家起草的《個(gè)人信息保護(hù)法》中規(guī)定的內(nèi)容，個(gè)人的醫(yī)療記錄、人事記錄、照片等可以歸類(lèi)于個(gè)人隱私的范圍。二是個(gè)人尊嚴(yán)的實(shí)現(xiàn)。個(gè)人尊嚴(yán)沒(méi)有權(quán)利的屬性，從尊嚴(yán)性質(zhì)的角度來(lái)看，屬于榮譽(yù)感的范圍。對(duì)個(gè)人信息的非法利用，可能會(huì)產(chǎn)生對(duì)個(gè)人名譽(yù)權(quán)侵害的后果，也可能不構(gòu)成對(duì)個(gè)人名譽(yù)權(quán)的侵害，但會(huì)造成對(duì)個(gè)人名譽(yù)感和榮譽(yù)感的損害。三是個(gè)人自由溝通的實(shí)現(xiàn)。個(gè)人進(jìn)行正常的交往和溝通，相互交換個(gè)人的電話和住址、郵箱，都是正常的社會(huì)和個(gè)人行為，并且是必需的行為。但個(gè)人正常的生活規(guī)律和價(jià)值判斷受到干擾，作出錯(cuò)誤的判斷和選擇，就會(huì)影響個(gè)人自由的交流和溝通。四是個(gè)人財(cái)產(chǎn)的保護(hù)。個(gè)人的一些信息屬于個(gè)人財(cái)產(chǎn)信息。這些信用信息本身就具有財(cái)產(chǎn)屬性。在民法理論上，信用權(quán)是財(cái)產(chǎn)權(quán)，信用的財(cái)產(chǎn)屬性可以從信用的內(nèi)容、用途、作用上得出結(jié)論。信用作為一種經(jīng)濟(jì)能力的評(píng)價(jià)，本身體現(xiàn)了一定的財(cái)產(chǎn)價(jià)值。

3.電子簽名法

《中華人民共和國(guó)電子簽名法》于2004年8月28日由全國(guó)人民代表大會(huì)常務(wù)委員會(huì)通過(guò)并頒發(fā)，它明確的法律責(zé)任有：1）電子簽名人知悉電子簽名制作數(shù)據(jù)已經(jīng)失密或者可能已經(jīng)失密，而未及時(shí)告知有關(guān)各方并終止使用電子簽名制作數(shù)據(jù)，未向電子認(rèn)證服務(wù)提供者提供真實(shí)、完整和準(zhǔn)確的信息，或者有其他過(guò)錯(cuò)，給電子簽名依賴(lài)方、電子認(rèn)證服務(wù)提供者造成損失的，承擔(dān)賠償責(zé)任。2) 電子簽名人或者電子簽名依賴(lài)方因依據(jù)電子認(rèn)證服務(wù)提供者提供的電子簽名認(rèn)證服務(wù)從事民事活動(dòng)遭受損失，電子認(rèn)證服務(wù)提供者不能證明自己無(wú)過(guò)錯(cuò)的，承擔(dān)賠償責(zé)任。 3)未經(jīng)許可提供電子認(rèn)證服務(wù)的，由國(guó)務(wù)院信息產(chǎn)業(yè)主管部門(mén)責(zé)令停止違法行為；有違法所得的，沒(méi)收違法所得；違法所得三十萬(wàn)元以上的，處違法所得一倍以上、三倍以下的罰款；沒(méi)有違法所得或者違法所得不足三十萬(wàn)元的，處十萬(wàn)元以上、三十萬(wàn)元以下的罰款。

4.等級(jí)保護(hù)系列(參見(jiàn)圖15-8)

圖15-8 信息安全等級(jí)體系

1）《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，國(guó)務(wù)院令147號(hào)，1994年2月18日 中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例，明確規(guī)定了“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)、安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法”，由公安部會(huì)同有關(guān)部門(mén)制定。

2）《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》，中辦發(fā)[2003]27號(hào)，2003年9月7日 其中明確指出，“要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級(jí)保護(hù)制度，制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南”。實(shí)行信息安全等級(jí)保護(hù)；加強(qiáng)以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系的建設(shè)。

3）《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》，公通字[2004]66號(hào)，公安部、國(guó)家保密局、國(guó)家密碼管理委員會(huì)辦公室、國(guó)務(wù)院信息化工作辦公室，2004年9月15日 根據(jù)信息和信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度，針對(duì)信息的保密性、完整性和可用性要求及信息系統(tǒng)必須達(dá)到的基本安全保護(hù)水平等因素，信息和信息系統(tǒng)的安全保護(hù)等級(jí)共分5級(jí)，即自主保護(hù)級(jí)、指導(dǎo)保護(hù)級(jí)、監(jiān)督保護(hù)級(jí)、強(qiáng)制保護(hù)級(jí)、專(zhuān)控保護(hù)級(jí)。

4）《信息安全等級(jí)保護(hù)管理辦法》，公通字[2007]43號(hào)，公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息工作辦公室，2007年6月22日 國(guó)家信息安全等級(jí)保護(hù)堅(jiān)持自主定級(jí)、自主保護(hù)的原則。 信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》具體實(shí)施等級(jí)保護(hù)工作。信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)本辦法和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》確定信息系統(tǒng)的安全保護(hù)等級(jí)。有主管部門(mén)的，應(yīng)當(dāng)經(jīng)主管部門(mén)審核批準(zhǔn)。 信息系統(tǒng)的安全保護(hù)等級(jí)確定后，運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照國(guó)家信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用符合國(guó)家有關(guān)規(guī)定、滿足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品，開(kāi)展信息系統(tǒng)安全建設(shè)或者改建工作。

5.商用密碼管理?xiàng)l例

中華人民共和國(guó)國(guó)務(wù)院273號(hào)令，1999年10月7日主要內(nèi)容：

● 商用密碼技術(shù)屬于國(guó)家秘密。國(guó)家對(duì)商用密碼產(chǎn)品的科研、生產(chǎn)、銷(xiāo)售和使用實(shí)行專(zhuān)控管理。

● 商用密碼的科研任務(wù)，由獲得《商用密碼科研定點(diǎn)單位證書(shū)》的國(guó)家密碼管理機(jī)構(gòu)指定的單位承擔(dān)。

● 商用密碼產(chǎn)品由國(guó)家密碼管理機(jī)構(gòu)指定的單位生產(chǎn)。未經(jīng)指定，任何單位或個(gè)人不得生產(chǎn)商用密碼產(chǎn)品；要生產(chǎn)商用密碼產(chǎn)品的單位，必須獲得《商用密碼產(chǎn)品生產(chǎn)定點(diǎn)單位證書(shū)》。

6.國(guó)密局相關(guān)法規(guī)

《電子認(rèn)證服務(wù)密碼管理辦法》國(guó)家密碼管理局，2009年10月28日 主要內(nèi)容：

● 提供電子認(rèn)證服務(wù)，應(yīng)當(dāng)依據(jù)本辦法申請(qǐng)，獲得《電子認(rèn)證服務(wù)使用密碼許可證》。

● 采用密碼技術(shù)為社會(huì)公眾提供第三方電子認(rèn)證服務(wù)的系統(tǒng)(以下稱(chēng)電子認(rèn)證服務(wù)系統(tǒng))，使用商用密碼。

● 電子認(rèn)證服務(wù)系統(tǒng)應(yīng)當(dāng)由具有商用密碼產(chǎn)品生產(chǎn)資質(zhì)的單位承建。

● 電子認(rèn)證服務(wù)系統(tǒng)的建設(shè)和運(yùn)行，應(yīng)當(dāng)符合《證書(shū)認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范》。

其他法規(guī)：

● 《商用密碼科研管理規(guī)定》

● 《商用密碼產(chǎn)品生產(chǎn)管理規(guī)定》

● 《商用密碼產(chǎn)品銷(xiāo)售管理規(guī)定》

● 《商用密碼產(chǎn)品使用管理規(guī)定》

● 《境外組織和個(gè)人在華使用密碼產(chǎn)品管理辦法》

安全標(biāo)準(zhǔn)規(guī)范

1.等級(jí)保護(hù)相關(guān)規(guī)范

信息安全等級(jí)保護(hù)是指對(duì)國(guó)家秘密信息、法人和其他組織及公民的專(zhuān)有信息以及公開(kāi)信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。

● 《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB 17859-1999)

● 《信息安全等級(jí)保護(hù)實(shí)施指南》

● 《信息安全等級(jí)保護(hù)定級(jí)指南》(GB/T 22240-2008)

● 《信息安全等級(jí)保護(hù)基本要求》(GB/T 22239-2008)

● 《信息安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則》

根據(jù)信息系統(tǒng)的重要性，以及信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)穩(wěn)定、人民群眾合法權(quán)益的危害程度為依據(jù)，可以將信息系統(tǒng)的安全等級(jí)分為以下5級(jí)，如表15-1所示。

不同等級(jí)的安全保護(hù)能力如表15-2所示。

表15-1 信息系統(tǒng)安全等級(jí)

表15-2 不同等級(jí)的安全保護(hù)能力

信息系統(tǒng)的安全保護(hù)等級(jí)由兩個(gè)定級(jí)要素決定：等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體以及對(duì)客體造成侵害的程度，如圖15-9所示。等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體包括以下三個(gè)方面：

● 公民、法人和其他組織的合法權(quán)益。

● 社會(huì)秩序、公共利益。

● 國(guó)家安全。

圖15-9 信息系統(tǒng)安全定級(jí)要素

對(duì)客體的侵害程度由客觀方面的不同外在表現(xiàn)綜合決定。對(duì)客體的侵害外在表現(xiàn)為對(duì)等級(jí)保護(hù)對(duì)象的破壞，通過(guò)危害方式、危害后果和危害程度加以描述。 等級(jí)保護(hù)對(duì)象受到破壞后對(duì)客體造成侵害的程度歸結(jié)為以下三種：

● 造成一般損害。

● 造成嚴(yán)重?fù)p害。

● 造成特別嚴(yán)重?fù)p害。

兩個(gè)定級(jí)要素與等級(jí)的關(guān)系如表15-3所示。

公通字[2007]43號(hào)文、公信安[2007]861號(hào)文等文件規(guī)定了等級(jí)保護(hù)的各個(gè)層面工作。從總體看，等級(jí)保護(hù)總共包括了5個(gè)階段的工作，如圖15-10所示。

表15-3

圖15-10 等級(jí)保護(hù)的5項(xiàng)工作

圖15-11 等級(jí)保護(hù)基本安全要求

隨著2007年7月開(kāi)始在全國(guó)開(kāi)展的重要信息系統(tǒng)等級(jí)保護(hù)定級(jí)工作，信息安全等級(jí)保護(hù)工作已經(jīng)開(kāi)始在全國(guó)落實(shí)。在開(kāi)展信息安全等級(jí)保護(hù)定級(jí)和備案工作的基礎(chǔ)上，各單位、各部門(mén)應(yīng)按照信息安全等級(jí)保護(hù)有關(guān) 政策規(guī)定和技術(shù)標(biāo)準(zhǔn)規(guī)范，開(kāi)展信息系統(tǒng)安全建設(shè)整改等工作，建立、健全信息安全管理制度，落實(shí)安全保護(hù)技術(shù)措施，全面貫徹落實(shí)信息安全等級(jí)保護(hù)制度。 為了達(dá)到各級(jí)的安全保護(hù)能力要求，國(guó)家等級(jí)保護(hù)基本安全要求提出了技術(shù)要求和管理要求兩大類(lèi)，涵蓋了安全管理要求、安全技術(shù)要求、安全運(yùn)維要求、物理安全要求等4大方面的內(nèi)容，如圖15-11所示。

信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，與之相關(guān)的受侵害客體和對(duì)客體的侵害程度可能不同，因此，信息系統(tǒng)定級(jí)也從“業(yè)務(wù)信息安全”和“系統(tǒng)服務(wù)安全”兩方面確定。

● 從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護(hù)等級(jí)，稱(chēng)為業(yè)務(wù)信息安全保護(hù)等級(jí)。

● 從系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全保護(hù)等級(jí)，稱(chēng)為系統(tǒng)服務(wù)安全保護(hù)等級(jí)。

信息系統(tǒng)定級(jí)的一般流程如圖15-12所示。

2.ISO 27001

圖15-12 信息系統(tǒng)一般定級(jí)流程

信息安全管理實(shí)用規(guī)則ISO/IEC 27001的前身為英國(guó)的BS 7799標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(BSI)于1995年2月提出，并于1995年5月修訂而成。1999年，BSI重新修改了該標(biāo)準(zhǔn)。BS 7799分為兩部分： BS 7799 Part 1的全稱(chēng)是Code of Practice for Information Security，也即信息安全的實(shí)施細(xì)則。2000年被采納為ISO/IEC 17799，目前其最新版本為2005版，也就是ISO 17799: 2005。 BS 7799 Part 2的全稱(chēng)是Information Security Management Specif i cation，也即信息安全管理體系規(guī)范，其最新修訂版在2005年10月正式成為ISO/IEC 27001:2005。ISO/IEC 27001是建立信息安全管理體系(ISMS)的一套規(guī)范，其中詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理體系的要求，可用來(lái)指導(dǎo)相關(guān)人員去應(yīng)用ISO/IEC 17799，其最終目的，在于建立適合企業(yè)需要的信息安全管理體系(ISMS)。 信息安全管理體系標(biāo)準(zhǔn)的發(fā)展歷程如圖15-13所示。

ISO/IEC 17799:2005通過(guò)層次結(jié)構(gòu)化形式，提供安全策略、信息安全的組織結(jié)構(gòu)、資產(chǎn)管理、人力資源安全等11個(gè)安全管理要素如圖15-14所示，還有39個(gè)主要執(zhí)行目標(biāo)和133個(gè)具體控制措施(最佳實(shí)踐)，供負(fù)責(zé)信息安全系統(tǒng)應(yīng)用和開(kāi)發(fā)的人員作為參考使用，以規(guī)范化組織機(jī)構(gòu)信息安全管理建設(shè)的內(nèi)容。

BS 7799完全從管理角度制定，并不涉及具體的安全技術(shù)，實(shí)施不復(fù)雜，主要是告訴管理者一些安全管理的注意事項(xiàng)和安全制度，例如磁盤(pán)文件交換和處理的安全規(guī)定、設(shè)備的安全配置管理、工作區(qū)進(jìn)出的控制等一些很容易理解的問(wèn)題。這些管理規(guī)定一般的單位都可以制定，但要想達(dá)到BS 7799的全面性則需要一番努力。

圖15-13 信息安全管理體系標(biāo)準(zhǔn)的發(fā)展歷程

圖15-14 ISO 17799概要

同BS 7799相比，信息技術(shù)安全性評(píng)估準(zhǔn)則（CC）和美國(guó)國(guó)防部可信計(jì)算機(jī)評(píng)估準(zhǔn)則（TCSEC）等更側(cè)重于對(duì)系統(tǒng)和產(chǎn)品的技術(shù)指標(biāo)的評(píng)估；系統(tǒng)安全工程能力成熟模型（SSE-CMM）更側(cè)重于對(duì)安全產(chǎn)品開(kāi)發(fā)、安全系統(tǒng)集成等安全工程過(guò)程的管理。在對(duì)信息系統(tǒng)日常安全管理方面，BS 7799的地位是其他標(biāo)準(zhǔn)無(wú)法取代的。

總的來(lái)說(shuō)，BS 7799涵蓋了安全管理所應(yīng)涉及的方方面面，全面而不失可操作性，提供了一個(gè)可持續(xù)提高的信息安全管理環(huán)境。推廣信息安全管理標(biāo)準(zhǔn)的關(guān)鍵在重視程度和制度落實(shí)方面。

3.國(guó)密局相關(guān)規(guī)范

● 《數(shù)字證書(shū)認(rèn)證系統(tǒng)密碼協(xié)議規(guī)范》

● 《數(shù)字證書(shū)認(rèn)證系統(tǒng)檢測(cè)規(guī)范》

● 《證書(shū)認(rèn)證密鑰管理系統(tǒng)檢測(cè)規(guī)范》

● 《證書(shū)認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范》

● 《智能IC卡及智能密碼鑰匙密碼應(yīng)用接口規(guī)范》

● 《IPSec VPN技術(shù)規(guī)范》

● 《SSL VPN技術(shù)規(guī)范》

● 《可信計(jì)算密碼支撐平臺(tái)功能與接口規(guī)范》

（未完待續(xù) 摘自《站在云端的SssS》）