站在云端的SaaS之云安全（中）

◎

（接上期）

安全法律法規

建立SaaS系統安全體系，還要了解國家安全相關法律法規和標準規范，這些將成為SaaS系統安全規劃實施過程的重要約束。 據相關統計，截至2008年，與信息安全直接相關的法律有65部，涉及網絡與信息系統安全、信息內容安全、信息安全系統與產品、保密及密碼管理、計算機病毒與危害性程序防治、金融等特定領域的信息安全、信息安全犯罪制裁等多個領域。從形式看，有法律、相關的決定、司法解釋及相關文件、行政法規、法規性文件、部門規章及相關文件、地方性法規與地方政府規章及相關文件多個層次。與此同時，與信息安全相關的司法和行政管理體系迅速完善。

1.中國版塞班斯法案

2008年6月28日，財政部、證監會、審計署、銀監會、保監會聯合發布了《企業內部控制基本規范》，被稱為中國版的塞班斯法案。為確保企業內控規范體系平穩順利實施，財政部等5部門制定了實施時間表：自2011年1月1日起首先在境內外同時上市的公司施行，自2012年1月1日起擴大到在上海證券交易所、深圳證券交易所主板上市的公司施行；在此基礎上，擇機在中小板和創業板上市公司施行；同時，鼓勵非上市大中型企業提前施行。 在中國版塞班斯法案中，與企業信息化相關的條款是第四十一條。該條款中規定：“企業應當利用信息技術促進信息的集成與共享，充分發揮信息技術在信息與溝通中的作用。企業應當加強對信息系統開發與維護、訪問與變更、數據輸入與輸出、文件儲存與保管、網絡安全等方面的控制，保證信息系統安全穩定運行。” 從該條款可知，作為上市公司必須遵循的法律，《企業內部控制基本規范》要求企業必須建立一個有效的安全性信息管理平臺，尤其體現在數據的安全性、保密性、完整性等方面。這項法律的頒布，將對中國上市企業以及非上市企業在數據安全實施方面產生巨大的影響。

2.個人信息保護法

依據《刑法修正案》，對非法獲取公民個人信息犯罪嫌疑人有了明確的判罰，不過要真正有效解決個人信息泄露、倒賣這個社會難題，還需要《個人信息保護法》盡早出臺。《刑法修正案》打擊的是比較嚴重的公民信息泄露、買賣的行為，而《個人信息保護法》是一部專門針對個人信息進行保護的法律，從民事的角度出發，可以更好、更全面地保護個人信息。個人信息保護對公民的意義可以概括為以下四個方面：一是個人隱私、自由的保障。個人信息的內容中有不少涉及個人隱私的內容。按照我國有關專家起草的《個人信息保護法》中規定的內容，個人的醫療記錄、人事記錄、照片等可以歸類于個人隱私的范圍。二是個人尊嚴的實現。個人尊嚴沒有權利的屬性，從尊嚴性質的角度來看，屬于榮譽感的范圍。對個人信息的非法利用，可能會產生對個人名譽權侵害的后果，也可能不構成對個人名譽權的侵害，但會造成對個人名譽感和榮譽感的損害。三是個人自由溝通的實現。個人進行正常的交往和溝通，相互交換個人的電話和住址、郵箱，都是正常的社會和個人行為，并且是必需的行為。但個人正常的生活規律和價值判斷受到干擾，作出錯誤的判斷和選擇，就會影響個人自由的交流和溝通。四是個人財產的保護。個人的一些信息屬于個人財產信息。這些信用信息本身就具有財產屬性。在民法理論上，信用權是財產權，信用的財產屬性可以從信用的內容、用途、作用上得出結論。信用作為一種經濟能力的評價，本身體現了一定的財產價值。

3.電子簽名法

《中華人民共和國電子簽名法》于2004年8月28日由全國人民代表大會常務委員會通過并頒發，它明確的法律責任有：1）電子簽名人知悉電子簽名制作數據已經失密或者可能已經失密，而未及時告知有關各方并終止使用電子簽名制作數據，未向電子認證服務提供者提供真實、完整和準確的信息，或者有其他過錯，給電子簽名依賴方、電子認證服務提供者造成損失的，承擔賠償責任。2) 電子簽名人或者電子簽名依賴方因依據電子認證服務提供者提供的電子簽名認證服務從事民事活動遭受損失，電子認證服務提供者不能證明自己無過錯的，承擔賠償責任。 3)未經許可提供電子認證服務的，由國務院信息產業主管部門責令停止違法行為；有違法所得的，沒收違法所得；違法所得三十萬元以上的，處違法所得一倍以上、三倍以下的罰款；沒有違法所得或者違法所得不足三十萬元的，處十萬元以上、三十萬元以下的罰款。

4.等級保護系列(參見圖15-8)

圖15-8 信息安全等級體系

1）《中華人民共和國計算機信息系統安全保護條例》，國務院令147號，1994年2月18日 中華人民共和國計算機信息系統安全保護條例，明確規定了“計算機信息系統實行安全等級保護、安全等級的劃分標準和安全等級保護的具體辦法”，由公安部會同有關部門制定。

2）《國家信息化領導小組關于加強信息安全保障工作的意見》，中辦發[2003]27號，2003年9月7日 其中明確指出，“要重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南”。實行信息安全等級保護；加強以密碼技術為基礎的信息保護和網絡信任體系的建設。

3）《關于信息安全等級保護工作的實施意見》，公通字[2004]66號，公安部、國家保密局、國家密碼管理委員會辦公室、國務院信息化工作辦公室，2004年9月15日 根據信息和信息系統在國家安全、經濟建設、社會生活中的重要程度，遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度，針對信息的保密性、完整性和可用性要求及信息系統必須達到的基本安全保護水平等因素，信息和信息系統的安全保護等級共分5級，即自主保護級、指導保護級、監督保護級、強制保護級、專控保護級。

4）《信息安全等級保護管理辦法》，公通字[2007]43號，公安部、國家保密局、國家密碼管理局、國務院信息工作辦公室，2007年6月22日 國家信息安全等級保護堅持自主定級、自主保護的原則。 信息系統運營、使用單位應當按照《信息系統安全等級保護實施指南》具體實施等級保護工作。信息系統運營、使用單位應當依據本辦法和《信息系統安全等級保護定級指南》確定信息系統的安全保護等級。有主管部門的，應當經主管部門審核批準。 信息系統的安全保護等級確定后，運營、使用單位應當按照國家信息安全等級保護管理規范和技術標準，使用符合國家有關規定、滿足信息系統安全保護等級需求的信息技術產品，開展信息系統安全建設或者改建工作。

5.商用密碼管理條例

中華人民共和國國務院273號令，1999年10月7日主要內容：

● 商用密碼技術屬于國家秘密。國家對商用密碼產品的科研、生產、銷售和使用實行專控管理。

● 商用密碼的科研任務，由獲得《商用密碼科研定點單位證書》的國家密碼管理機構指定的單位承擔。

● 商用密碼產品由國家密碼管理機構指定的單位生產。未經指定，任何單位或個人不得生產商用密碼產品；要生產商用密碼產品的單位，必須獲得《商用密碼產品生產定點單位證書》。

6.國密局相關法規

《電子認證服務密碼管理辦法》國家密碼管理局，2009年10月28日 主要內容：

● 提供電子認證服務，應當依據本辦法申請，獲得《電子認證服務使用密碼許可證》。

● 采用密碼技術為社會公眾提供第三方電子認證服務的系統(以下稱電子認證服務系統)，使用商用密碼。

● 電子認證服務系統應當由具有商用密碼產品生產資質的單位承建。

● 電子認證服務系統的建設和運行，應當符合《證書認證系統密碼及其相關安全技術規范》。

其他法規：

● 《商用密碼科研管理規定》

● 《商用密碼產品生產管理規定》

● 《商用密碼產品銷售管理規定》

● 《商用密碼產品使用管理規定》

● 《境外組織和個人在華使用密碼產品管理辦法》

安全標準規范

1.等級保護相關規范

信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。

● 《計算機信息系統安全保護等級劃分準則》(GB 17859-1999)

● 《信息安全等級保護實施指南》

● 《信息安全等級保護定級指南》(GB/T 22240-2008)

● 《信息安全等級保護基本要求》(GB/T 22239-2008)

● 《信息安全等級保護測評準則》

根據信息系統的重要性，以及信息系統遭到破壞后對國家安全、社會穩定、人民群眾合法權益的危害程度為依據，可以將信息系統的安全等級分為以下5級，如表15-1所示。

不同等級的安全保護能力如表15-2所示。

表15-1 信息系統安全等級

表15-2 不同等級的安全保護能力

信息系統的安全保護等級由兩個定級要素決定：等級保護對象受到破壞時所侵害的客體以及對客體造成侵害的程度，如圖15-9所示。等級保護對象受到破壞時所侵害的客體包括以下三個方面：

● 公民、法人和其他組織的合法權益。

● 社會秩序、公共利益。

● 國家安全。

圖15-9 信息系統安全定級要素

對客體的侵害程度由客觀方面的不同外在表現綜合決定。對客體的侵害外在表現為對等級保護對象的破壞，通過危害方式、危害后果和危害程度加以描述。 等級保護對象受到破壞后對客體造成侵害的程度歸結為以下三種：

● 造成一般損害。

● 造成嚴重損害。

● 造成特別嚴重損害。

兩個定級要素與等級的關系如表15-3所示。

公通字[2007]43號文、公信安[2007]861號文等文件規定了等級保護的各個層面工作。從總體看，等級保護總共包括了5個階段的工作，如圖15-10所示。

表15-3

圖15-10 等級保護的5項工作

圖15-11 等級保護基本安全要求

隨著2007年7月開始在全國開展的重要信息系統等級保護定級工作，信息安全等級保護工作已經開始在全國落實。在開展信息安全等級保護定級和備案工作的基礎上，各單位、各部門應按照信息安全等級保護有關 政策規定和技術標準規范，開展信息系統安全建設整改等工作，建立、健全信息安全管理制度，落實安全保護技術措施，全面貫徹落實信息安全等級保護制度。 為了達到各級的安全保護能力要求，國家等級保護基本安全要求提出了技術要求和管理要求兩大類，涵蓋了安全管理要求、安全技術要求、安全運維要求、物理安全要求等4大方面的內容，如圖15-11所示。

信息系統安全包括業務信息安全和系統服務安全，與之相關的受侵害客體和對客體的侵害程度可能不同，因此，信息系統定級也從“業務信息安全”和“系統服務安全”兩方面確定。

● 從業務信息安全角度反映的信息系統安全保護等級，稱為業務信息安全保護等級。

● 從系統服務安全角度反映的信息系統安全保護等級，稱為系統服務安全保護等級。

信息系統定級的一般流程如圖15-12所示。

2.ISO 27001

圖15-12 信息系統一般定級流程

信息安全管理實用規則ISO/IEC 27001的前身為英國的BS 7799標準。該標準由英國標準協會(BSI)于1995年2月提出，并于1995年5月修訂而成。1999年，BSI重新修改了該標準。BS 7799分為兩部分： BS 7799 Part 1的全稱是Code of Practice for Information Security，也即信息安全的實施細則。2000年被采納為ISO/IEC 17799，目前其最新版本為2005版，也就是ISO 17799: 2005。 BS 7799 Part 2的全稱是Information Security Management Specif i cation，也即信息安全管理體系規范，其最新修訂版在2005年10月正式成為ISO/IEC 27001:2005。ISO/IEC 27001是建立信息安全管理體系(ISMS)的一套規范，其中詳細說明了建立、實施和維護信息安全管理體系的要求，可用來指導相關人員去應用ISO/IEC 17799，其最終目的，在于建立適合企業需要的信息安全管理體系(ISMS)。 信息安全管理體系標準的發展歷程如圖15-13所示。

ISO/IEC 17799:2005通過層次結構化形式，提供安全策略、信息安全的組織結構、資產管理、人力資源安全等11個安全管理要素如圖15-14所示，還有39個主要執行目標和133個具體控制措施(最佳實踐)，供負責信息安全系統應用和開發的人員作為參考使用，以規范化組織機構信息安全管理建設的內容。

BS 7799完全從管理角度制定，并不涉及具體的安全技術，實施不復雜，主要是告訴管理者一些安全管理的注意事項和安全制度，例如磁盤文件交換和處理的安全規定、設備的安全配置管理、工作區進出的控制等一些很容易理解的問題。這些管理規定一般的單位都可以制定，但要想達到BS 7799的全面性則需要一番努力。

圖15-13 信息安全管理體系標準的發展歷程

圖15-14 ISO 17799概要

同BS 7799相比，信息技術安全性評估準則（CC）和美國國防部可信計算機評估準則（TCSEC）等更側重于對系統和產品的技術指標的評估；系統安全工程能力成熟模型（SSE-CMM）更側重于對安全產品開發、安全系統集成等安全工程過程的管理。在對信息系統日常安全管理方面，BS 7799的地位是其他標準無法取代的。

總的來說，BS 7799涵蓋了安全管理所應涉及的方方面面，全面而不失可操作性，提供了一個可持續提高的信息安全管理環境。推廣信息安全管理標準的關鍵在重視程度和制度落實方面。

3.國密局相關規范

● 《數字證書認證系統密碼協議規范》

● 《數字證書認證系統檢測規范》

● 《證書認證密鑰管理系統檢測規范》

● 《證書認證系統密碼及其相關安全技術規范》

● 《智能IC卡及智能密碼鑰匙密碼應用接口規范》

● 《IPSec VPN技術規范》

● 《SSL VPN技術規范》

● 《可信計算密碼支撐平臺功能與接口規范》

（未完待續 摘自《站在云端的SssS》）