站在云端的SaaS之云安全（中）

◎

（接上期）

安全法律法规

建立SaaS系统安全体系，还要了解国家安全相关法律法规和标准规范，这些将成为SaaS系统安全规划实施过程的重要约束。 据相关统计，截至2008年，与信息安全直接相关的法律有65部，涉及网络与信息系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒与危害性程序防治、金融等特定领域的信息安全、信息安全犯罪制裁等多个领域。从形式看，有法律、相关的决定、司法解释及相关文件、行政法规、法规性文件、部门规章及相关文件、地方性法规与地方政府规章及相关文件多个层次。与此同时，与信息安全相关的司法和行政管理体系迅速完善。

1.中国版塞班斯法案

2008年6月28日，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》，被称为中国版的塞班斯法案。为确保企业内控规范体系平稳顺利实施，财政部等5部门制定了实施时间表：自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行；同时，鼓励非上市大中型企业提前施行。 在中国版塞班斯法案中，与企业信息化相关的条款是第四十一条。该条款中规定：“企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。” 从该条款可知，作为上市公司必须遵循的法律，《企业内部控制基本规范》要求企业必须建立一个有效的安全性信息管理平台，尤其体现在数据的安全性、保密性、完整性等方面。这项法律的颁布，将对中国上市企业以及非上市企业在数据安全实施方面产生巨大的影响。

2.个人信息保护法

依据《刑法修正案》，对非法获取公民个人信息犯罪嫌疑人有了明确的判罚，不过要真正有效解决个人信息泄露、倒卖这个社会难题，还需要《个人信息保护法》尽早出台。《刑法修正案》打击的是比较严重的公民信息泄露、买卖的行为，而《个人信息保护法》是一部专门针对个人信息进行保护的法律，从民事的角度出发，可以更好、更全面地保护个人信息。个人信息保护对公民的意义可以概括为以下四个方面：一是个人隐私、自由的保障。个人信息的内容中有不少涉及个人隐私的内容。按照我国有关专家起草的《个人信息保护法》中规定的内容，个人的医疗记录、人事记录、照片等可以归类于个人隐私的范围。二是个人尊严的实现。个人尊严没有权利的属性，从尊严性质的角度来看，属于荣誉感的范围。对个人信息的非法利用，可能会产生对个人名誉权侵害的后果，也可能不构成对个人名誉权的侵害，但会造成对个人名誉感和荣誉感的损害。三是个人自由沟通的实现。个人进行正常的交往和沟通，相互交换个人的电话和住址、邮箱，都是正常的社会和个人行为，并且是必需的行为。但个人正常的生活规律和价值判断受到干扰，作出错误的判断和选择，就会影响个人自由的交流和沟通。四是个人财产的保护。个人的一些信息属于个人财产信息。这些信用信息本身就具有财产属性。在民法理论上，信用权是财产权，信用的财产属性可以从信用的内容、用途、作用上得出结论。信用作为一种经济能力的评价，本身体现了一定的财产价值。

3.电子签名法

《中华人民共和国电子签名法》于2004年8月28日由全国人民代表大会常务委员会通过并颁发，它明确的法律责任有：1）电子签名人知悉电子签名制作数据已经失密或者可能已经失密，而未及时告知有关各方并终止使用电子签名制作数据，未向电子认证服务提供者提供真实、完整和准确的信息，或者有其他过错，给电子签名依赖方、电子认证服务提供者造成损失的，承担赔偿责任。2) 电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失，电子认证服务提供者不能证明自己无过错的，承担赔偿责任。 3)未经许可提供电子认证服务的，由国务院信息产业主管部门责令停止违法行为；有违法所得的，没收违法所得；违法所得三十万元以上的，处违法所得一倍以上、三倍以下的罚款；没有违法所得或者违法所得不足三十万元的，处十万元以上、三十万元以下的罚款。

4.等级保护系列(参见图15-8)

图15-8 信息安全等级体系

1）《中华人民共和国计算机信息系统安全保护条例》，国务院令147号，1994年2月18日 中华人民共和国计算机信息系统安全保护条例，明确规定了“计算机信息系统实行安全等级保护、安全等级的划分标准和安全等级保护的具体办法”，由公安部会同有关部门制定。

2）《国家信息化领导小组关于加强信息安全保障工作的意见》，中办发[2003]27号，2003年9月7日 其中明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。实行信息安全等级保护；加强以密码技术为基础的信息保护和网络信任体系的建设。

3）《关于信息安全等级保护工作的实施意见》，公通字[2004]66号，公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室，2004年9月15日 根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度，针对信息的保密性、完整性和可用性要求及信息系统必须达到的基本安全保护水平等因素，信息和信息系统的安全保护等级共分5级，即自主保护级、指导保护级、监督保护级、强制保护级、专控保护级。

4）《信息安全等级保护管理办法》，公通字[2007]43号，公安部、国家保密局、国家密码管理局、国务院信息工作办公室，2007年6月22日 国家信息安全等级保护坚持自主定级、自主保护的原则。 信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。 信息系统的安全保护等级确定后，运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品，开展信息系统安全建设或者改建工作。

5.商用密码管理条例

中华人民共和国国务院273号令，1999年10月7日主要内容：

● 商用密码技术属于国家秘密。国家对商用密码产品的科研、生产、销售和使用实行专控管理。

● 商用密码的科研任务，由获得《商用密码科研定点单位证书》的国家密码管理机构指定的单位承担。

● 商用密码产品由国家密码管理机构指定的单位生产。未经指定，任何单位或个人不得生产商用密码产品；要生产商用密码产品的单位，必须获得《商用密码产品生产定点单位证书》。

6.国密局相关法规

《电子认证服务密码管理办法》国家密码管理局，2009年10月28日 主要内容：

● 提供电子认证服务，应当依据本办法申请，获得《电子认证服务使用密码许可证》。

● 采用密码技术为社会公众提供第三方电子认证服务的系统(以下称电子认证服务系统)，使用商用密码。

● 电子认证服务系统应当由具有商用密码产品生产资质的单位承建。

● 电子认证服务系统的建设和运行，应当符合《证书认证系统密码及其相关安全技术规范》。

其他法规：

● 《商用密码科研管理规定》

● 《商用密码产品生产管理规定》

● 《商用密码产品销售管理规定》

● 《商用密码产品使用管理规定》

● 《境外组织和个人在华使用密码产品管理办法》

安全标准规范

1.等级保护相关规范

信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

● 《计算机信息系统安全保护等级划分准则》(GB 17859-1999)

● 《信息安全等级保护实施指南》

● 《信息安全等级保护定级指南》(GB/T 22240-2008)

● 《信息安全等级保护基本要求》(GB/T 22239-2008)

● 《信息安全等级保护测评准则》

根据信息系统的重要性，以及信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据，可以将信息系统的安全等级分为以下5级，如表15-1所示。

不同等级的安全保护能力如表15-2所示。

表15-1 信息系统安全等级

表15-2 不同等级的安全保护能力

信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体以及对客体造成侵害的程度，如图15-9所示。等级保护对象受到破坏时所侵害的客体包括以下三个方面：

● 公民、法人和其他组织的合法权益。

● 社会秩序、公共利益。

● 国家安全。

图15-9 信息系统安全定级要素

对客体的侵害程度由客观方面的不同外在表现综合决定。对客体的侵害外在表现为对等级保护对象的破坏，通过危害方式、危害后果和危害程度加以描述。 等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种：

● 造成一般损害。

● 造成严重损害。

● 造成特别严重损害。

两个定级要素与等级的关系如表15-3所示。

公通字[2007]43号文、公信安[2007]861号文等文件规定了等级保护的各个层面工作。从总体看，等级保护总共包括了5个阶段的工作，如图15-10所示。

表15-3

图15-10 等级保护的5项工作

图15-11 等级保护基本安全要求

随着2007年7月开始在全国开展的重要信息系统等级保护定级工作，信息安全等级保护工作已经开始在全国落实。在开展信息安全等级保护定级和备案工作的基础上，各单位、各部门应按照信息安全等级保护有关 政策规定和技术标准规范，开展信息系统安全建设整改等工作，建立、健全信息安全管理制度，落实安全保护技术措施，全面贯彻落实信息安全等级保护制度。 为了达到各级的安全保护能力要求，国家等级保护基本安全要求提出了技术要求和管理要求两大类，涵盖了安全管理要求、安全技术要求、安全运维要求、物理安全要求等4大方面的内容，如图15-11所示。

信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级也从“业务信息安全”和“系统服务安全”两方面确定。

● 从业务信息安全角度反映的信息系统安全保护等级，称为业务信息安全保护等级。

● 从系统服务安全角度反映的信息系统安全保护等级，称为系统服务安全保护等级。

信息系统定级的一般流程如图15-12所示。

2.ISO 27001

图15-12 信息系统一般定级流程

信息安全管理实用规则ISO/IEC 27001的前身为英国的BS 7799标准。该标准由英国标准协会(BSI)于1995年2月提出，并于1995年5月修订而成。1999年，BSI重新修改了该标准。BS 7799分为两部分： BS 7799 Part 1的全称是Code of Practice for Information Security，也即信息安全的实施细则。2000年被采纳为ISO/IEC 17799，目前其最新版本为2005版，也就是ISO 17799: 2005。 BS 7799 Part 2的全称是Information Security Management Specif i cation，也即信息安全管理体系规范，其最新修订版在2005年10月正式成为ISO/IEC 27001:2005。ISO/IEC 27001是建立信息安全管理体系(ISMS)的一套规范，其中详细说明了建立、实施和维护信息安全管理体系的要求，可用来指导相关人员去应用ISO/IEC 17799，其最终目的，在于建立适合企业需要的信息安全管理体系(ISMS)。 信息安全管理体系标准的发展历程如图15-13所示。

ISO/IEC 17799:2005通过层次结构化形式，提供安全策略、信息安全的组织结构、资产管理、人力资源安全等11个安全管理要素如图15-14所示，还有39个主要执行目标和133个具体控制措施(最佳实践)，供负责信息安全系统应用和开发的人员作为参考使用，以规范化组织机构信息安全管理建设的内容。

BS 7799完全从管理角度制定，并不涉及具体的安全技术，实施不复杂，主要是告诉管理者一些安全管理的注意事项和安全制度，例如磁盘文件交换和处理的安全规定、设备的安全配置管理、工作区进出的控制等一些很容易理解的问题。这些管理规定一般的单位都可以制定，但要想达到BS 7799的全面性则需要一番努力。

图15-13 信息安全管理体系标准的发展历程

图15-14 ISO 17799概要

同BS 7799相比，信息技术安全性评估准则（CC）和美国国防部可信计算机评估准则（TCSEC）等更侧重于对系统和产品的技术指标的评估；系统安全工程能力成熟模型（SSE-CMM）更侧重于对安全产品开发、安全系统集成等安全工程过程的管理。在对信息系统日常安全管理方面，BS 7799的地位是其他标准无法取代的。

总的来说，BS 7799涵盖了安全管理所应涉及的方方面面，全面而不失可操作性，提供了一个可持续提高的信息安全管理环境。推广信息安全管理标准的关键在重视程度和制度落实方面。

3.国密局相关规范

● 《数字证书认证系统密码协议规范》

● 《数字证书认证系统检测规范》

● 《证书认证密钥管理系统检测规范》

● 《证书认证系统密码及其相关安全技术规范》

● 《智能IC卡及智能密码钥匙密码应用接口规范》

● 《IPSec VPN技术规范》

● 《SSL VPN技术规范》

● 《可信计算密码支撑平台功能与接口规范》

（未完待续 摘自《站在云端的SssS》）