信息安全国际行为准则
联合国A/69/723
大会Distr.: General
13 January 2015
Chinese
Original: English
15-00392 (C) 230115 260115
*1500392*
第六十九届会议
临时议程项目91
从国际安全的角度来看信息和
电信领域的发展
2015年1月9日中国、哈萨克斯坦、吉尔吉斯斯坦、俄罗斯联邦、塔
吉克斯坦和乌兹别克斯坦常驻联合国代表给秘书长的信
近年来,最新信息和电信技术的开发和应用方面取得了很大进展,但这些技术有可能被用于与维护国际稳定与安全的宗旨相悖的目的。国际上正在形成共
识,认为必须加强国际合作和制定有关国际准则,以便应对信息安全领域的共同
挑战。为此,2011年,中国、俄罗斯、塔吉克斯坦和乌兹别克斯坦向大会第六十
六届会议联合提交了信息安全国际行为准则,后来,吉尔吉斯斯坦和哈萨克斯坦
加入成为共同提案国。此准则作为大会文件(A/66/359)分发;国际社会予以高度
重视,反响热烈。因此,我们修改了此准则,以充分顾及所有方面的意见和建议。
谨此附上此准则修订本的中文、俄文和英文本(见附件)。我们希望藉此推动国际
上关于信息安全国际准则的辩论,并帮助及早就此问题达成共识。
请将本信及其附件作为大会第六十九届会议议程项目91下的文件分发为荷。
中华人民共和国常驻联合国代表
刘结一(签名)
哈萨克斯坦共和国常驻联合国代表
凯拉特·阿卜杜拉赫曼诺夫(签名)
吉尔吉斯共和国常驻联合国代表
塔莱贝克·克德若夫(签名)
A/69/723
15-00392 (C)
2/5
俄罗斯联邦常驻联合国代表 维塔利·丘尔金(签名)
塔吉克斯坦共和国常驻联合国代表 马哈马达明·马哈马达明诺夫(签名)
乌兹别克斯坦共和国常驻联合国代表 穆扎法尔贝克·马德拉希莫夫(签名)
A/69/723
3/5
15-00392 (C)
2015年1月9日中国、哈萨克斯坦、吉尔吉斯斯坦、俄罗斯联邦、塔吉克斯坦和乌兹别克斯坦常驻联合国代表给秘书长的信的附件
[原件:中文和俄文]
信息安全国际行为准则
大会
1.
回顾其关于科学和技术在国际安全领域的作用的各项决议,除其他外,确认
科学和技术的发展可以有民用和军事两种用途,需要维持和鼓励民用科学和技术的进展; 2.
又回顾其关于与国际安全相关的信息和通讯领域发展的各项决议,如1998
年12月4日的第53/70号决议,1999年12月1日的第54/49号决议,2000年11月20日的第55/28号决议,2001年11月29日的第56/19号决议,2002年11月22日的第57/53号决议,2003年12月8日的第58/32号决议,2004年12月3日的第59/61号决议,2005年12月8日的第60/45号决议,2006年12月6日的第61/54号决议,2007年12月5日的第62/17号决议,2008年12月2日的第63/37号决议,2009年12月2日的第64/25号决议,2010年12月8日的第65/41号决议,2011年12月2日的第66/24号决议,2012年12月3日的第67/27号决议和2013年12月27日的第68/243号决议; 3. 注意到在发展和应用最新的信息技术和电信手段方面取得了显著进展; 4.
认识到应避免将信息通信技术用于与维护国际稳定和安全的宗旨相悖的目
的,从而给各国国内基础设施的完整性带来不利影响,危害各国的安全; 5.
强调有必要加强各国的协调和合作打击非法滥用信息技术,并在这方面强调
联合国和其他国际及区域组织可以发挥的作用;
6. 强调互联网安全性、连续性和稳定性的重要意义,以及保护互联网及其他信息通信技术网络免受威胁与攻击的必要性。重申必须在国家和国际层面就互联网安全问题达成共识并加强合作; 7.
重申与互联网有关的公共政策问题的决策权是各国的主权。对于与互联网有
关的国际公共政策问题,各国拥有权利并负有责任; 8.
注意到2012年根据A/RES/66/24号决议要求并在以地区均衡分布基础上成
立的政府专家组成果报告的评估和建议,该专家组根据其授权审查了信息安全领域现有和潜在的威胁以及应对这些威胁的可能的合作措施,包括规范、规则或负责任国家行为准则和信息空间建立信任措施,并研究了旨在加强全球信息通讯系统安全相关国际概念;
A/69/723
15-00392 (C)
4/5
9. 重申有必要继续研究关于国家使用信息通信技术的现有国际法所衍生的规
范如何适用国家行为和各国使用信息通信技术的理解。这一适用是降低国际和平、安全和稳定风险的一项必要措施。这些正如政府专家组2013年6月24日报告(A/68/98)第16段所指出的那样;
10. 注意到信息通讯技术的特性,可随着时间的推移,拟订更多规范,正如政府专家组报告第16段所指出的;
11. 认识到可以放心安全地使用信息和通信技术是信息社会的一大支柱,必须鼓励、推动、发展和大力落实全球网络安全文化,正如第64届联合国大会第64/211号决议:“创建全球网络安全文化以及评估各国保护关键信息基础设施的努力”序言第4段所指出的;
12. 指出必须加强努力,通过便利在网络安全最佳做法和培训方面向发展中国家转让信息技术和能力建设,弥合数字鸿沟,正如第64届联合国大会第64/211号决议序言第11段所指出的。
通过以下信息安全国际行为准则:
一. 目标与适用范围
本行为准则旨在明确各国在信息空间的权利与责任,推动各国在信息空间采
取建设性和负责任的行为,促进各国合作应对信息空间的共同威胁与挑战,以便构建一个和平、安全、开放、合作的信息空间,确保信息通信技术和信息通信网络的使用促进社会和经济全面发展及人民福祉的目的,并与维护国际和平与安全的目标相一致。
本行为准则对所有国家开放,各国自愿遵守。
二. 行为准则
所有自愿遵守该准则的国家承诺:
㈠ 遵守《联合国宪章》和公认的国际关系基本原则与准则,包括尊重各国
主权,领土完整和政治独立,尊重人权和基本自由,尊重各国历史、文化、社会制度的多样性等。
㈡ 不利用信息通信技术和信息通信网络实施有悖于维护国际和平与安全
目标的活动。
㈢ 不利用信息通信技术和信息通信网络干涉他国内政,破坏他国政治、经
济和社会稳定。
㈣ 合作打击利用信息通信技术和信息通信网络从事犯罪和恐怖活动,或传
播宣扬恐怖主义、分裂主义、极端主义以及煽动民族、种族和宗教敌意的行为。
A/69/723
5/5
15-00392 (C)
㈤ 努力确保信息技术产品和服务供应链的安全,防止他国利用自身资源、
关键设施、核心技术、信息通讯技术产品和服务、信息通讯网络及其他优势,削弱接受上述行为准则国家对信息通讯技术产品和服务的自主控制权,或威胁其政治、经济和社会安全。
㈥ 重申各国有责任和权利依法保护本国信息空间及关键信息基础设施免
受威胁、干扰和攻击破坏。
㈦ 认识到人们在线时也必须享有离线时享有的相同权利和义务。充分尊重
信息空间的权利和自由,包括寻找、获得、传播信息的权利和自由,同时铭记根据《政治与公民权利国际公约》(第19条),这些权利的行使带有特殊的义务和责任,因此得受某些限制,但这些限制只应由法律规定并为下列条件所必需: ⑴ 尊重他人的权利或名誉;
⑵
保障国家安全或公共秩序,或公共卫生或道德。
㈧ 在国际互联网治理和确保互联网的安全性、连贯性和稳定性以及未来互
联网的发展方面,各国政府应平等发挥作用并履行职责,以推动建立多边、透明和民主的互联网国际管理机制,确保资源的公平分配,方便所有人的接入,并确保互联网的稳定安全运行。
㈨ 各国政府应与各利益攸关方充分合作,并引导社会各方面理解他们在信
息安全方面的作用和责任,包括私营部门和民间社会,促进创建信息安全文化及保护关键信息基础设施。
㈩ 各国应制订务实的建立信任措施,以帮助提高可预测性和减少误解,从
而减少发生冲突的风险。这些措施包括但不限于:自愿交流维护本国信息安全的国家战略和组织结构相关信息、在可行、适当的情况下分享可能和适合的最佳做法等。
(十一)
为发展中国家提升信息安全能力建设水平提供资金和技术援助,以弥合
数字鸿沟,全面落实“千年发展目标”。
(十二)
加强双边、区域和国际合作。推动联合国在促进制定信息安全国际法律
规范、和平解决相关争端、促进各国合作等方面发挥重要作用。加强相关国际组织之间的协调。
(十三)
在涉及上述行为准则的活动时产生的任何争端,都以和平方式解决,不
得使用武力或以武力相威胁。
信息安全管理
一、信息安全管理 1、什么是信息安全管理,为什么需要信息安全管理? 国际标准化组织对信息安全的定义是:“在技术上和管理上维数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。当今的信息系统日益复杂,其中必然存在系统设计、实现、内部控制等方面的弱点。如果不采取适当的措施应对系统运行环境中的安全威胁,信息资产就可能会遭受巨大的损失甚至威胁到国家安全。 2、系统列举常用的信息安全技术? 密码技术、访问控制和鉴权;物理安全技术;网络安全技术;容灾与数据备份。 3、信息安全管理的主要内容有哪些? 信息安全管理从信息系统的安全需求出发,结合组织的信息系统建设情况,引入适当的技术控制措施和管理体系,形成了综合的信息安全管理架构。 4、什么是信息安全保障体系,它包含哪些内容? 5、信息安全法规对信息安全管理工作意义如何? 它能为信息安全提供制度保障。信息安全法律法规的保障作用至少包含以下三方面: 1.为人们从事在信息安全方面从事各种活动提供规范性指导; 2.能够预防信息安全事件的发生; 3.保障信息安全活动参与各方的合法权益,为人们追求合法权益提供了依据和手段。 二、信息安全风险评估 1、什么是信息安全风险评估?它由哪些基本步骤组成? 信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。风险评估可分为四个阶段,第一阶段为风险评估准备;第二阶段为风险识别,第三阶段为风险评价,第四阶段为风险处理。 2、信息资产可以分为哪几类?请分别举出一两个例子说明。 可以分为数据、软件、硬件、文档、人员、服务。例如:软件有系统软件、应用软件、源程序、数据库等。服务有办公服务、网络服务、信息服务等。 3、威胁源有哪些?其常见表现形式分别是什么?
信息安全风险评估报告
1111单位:1111系统安全项目信息安全风险评估报告 我们单位名 日期
报告编写人: 日期: 批准人:日期: 版本号:第一版本日期 第二版本日期 终板
目录 1概述 (5) 1.1项目背景 (5) 1.2工作方法 (5) 1.3评估范围 (5) 1.4基本信息 (5) 2业务系统分析 (6) 2.1业务系统职能 (6) 2.2网络拓扑结构 (6) 2.3边界数据流向 (6) 3资产分析 (6) 3.1信息资产分析 (6) 3.1.1信息资产识别概述 (6) 3.1.2信息资产识别 (7) 4威胁分析 (7) 4.1威胁分析概述 (7) 4.2威胁分类 (8) 4.3威胁主体 (8) 4.4威胁识别 (9) 5脆弱性分析 (9) 5.1脆弱性分析概述 (9) 5.2技术脆弱性分析 (10) 5.2.1网络平台脆弱性分析 (10) 5.2.2操作系统脆弱性分析 (10) 5.2.3脆弱性扫描结果分析 (10) 5.2.3.1扫描资产列表 (10) 5.2.3.2高危漏洞分析 (11) 5.2.3.3系统帐户分析 (11) 5.2.3.4应用帐户分析 (11)
5.3管理脆弱性分析 (11) 5.4脆弱性识别 (13) 6风险分析 (14) 6.1风险分析概述 (14) 6.2资产风险分布 (14) 6.3资产风险列表 (14) 7系统安全加固建议 (15) 7.1管理类建议 (15) 7.2技术类建议 (15) 7.2.1安全措施 (15) 7.2.2网络平台 (16) 7.2.3操作系统 (16) 8制定及确认................................................................................................................. 错误!未定义书签。9附录A:脆弱性编号规则.. (17)
工业控制系统信息安全管理制度(修订版)
工业控制系统信息安全管理制度 1 适用范围 为了规范公司工业控制系统的使用和操作,防止发生人为或意外损坏系统事故以及误操作引起的设备停运,保证工控系统的稳定运行,特制定本制度。 本制度适用于DCS及DEH系统以及辅控网DCS。 2 计算机使用管理 2.1 工程师站严格按照权限进行操作,无关人员不准使用。 2.2 工程师站、操作员站等人机接口系统应分级授权使用。严禁非授权人员使用工程师站的系统组态功能,工程师站用户的权限可以实施逻辑修改和系统管理工作;操作员站用户权限,查看运行状态画面,实施监控。 2.3 每三个月更改一次口令,同时检查每一级用户口令的权限设置应正确。口令字长应大于6个字符并由字母数字混合组成。修改后的口令应填写《DCS系统机器密码记录》,妥善保管。 2.4 计算机在使用过程中发生异常情况,立即停止当前操作,通知集控室负责人和相关维修人员。如服务器发生故障,按各《信息系统故障应急预案》操作,维修人员记录《软件故障处理和修改记录》。 2.5 使用工程师站计算机后,需详细填写《工程师站出入及机器使用记录》后方可离开。 3 软件保护 3.1 严禁在计算机控制系统中使用其他无关软件。除非软件升级或补丁的需要,严禁在计算机控制系统中使用U盘、光盘等。 3.2 禁止向DCS网络中连接系统外接计算机、手机。
3.3 在连接到DCS中的计算机上进行操作时,使用的可读写存储介质必须是固定的一个设备,并且在每次使用前对其进行格式化处理,然后才可以接入以上计算机。 4 软件的修改、保存及维护 4.1 更新、升级计算机系统软件、应用软件或下载数据,其存储介质须是本计算机控制系统专用存储介质,不允许与其他计算机系统交换使用。 4.2进行计算机软件、系统组态、设定值等修改工作,必须严格执行相关审批手续后方可工作,同时填写《组态及参数修改记录》,并及时做好修改后的数据备份工作。 5 软件和数据库备份 5.1 计算机控制系统的软件和数据库、历史数据应定期进行备份,完全备份间隔三个月一次,系统备份必须使用专用的U盘备份,并且由系统管理员进行相关操作。 5.2 对系统软件(包括操作系统和应用软件)的任何修改,包括版本升级和安装补丁,都应及时进行备份。 5.3备份结束后,在备份件上正确标明备份内容、对象,并做好记录,填写《DCS系统备份记录》。 5.4 DCS中各系统的备份必须由系统管理员定期手动进行,具体要求同上。 有限公司 2017年1月 1日
国际信息安全标准系列之SOX 404 Guidance v1 1
SOX 404 Implementation Guidance October 2003 STRICTLY FOR INTERNAL CIRCULATION ONLY
Contents Page 1Sarbanes-Oxley, 2002, Section 404 (“SOX 404”) 3 1.1Management’s attestation requirement under SOX 404 3 1.2Management’s attestation 3 2Overview of the COSO framework 4 2.1COSO Framework 4 2.2Components of COSO framework 5 3Internal control 6 3.1Who 6 3.2Objective 6 3.3Effective internal controls 6 4IINV’s SOX 404 Framework 7 4.1SOX 404 framework 7 4.2Entity Assessment Questionnaires 7 4.3Controls performed at the Corporate Office 8 4.4Controls not documented or not formalised 8 5Financial Statements and Disclosure Assertion 9 5.1The Six assertions 9 5.2Financial statement caption 10 5.3Assertion Risk 10 5.4Mitigating controls 10 5.5Examples of control techniques 11 6Documentation 12 6.1Routine transactions 12 6.2Non-routine transactions 13 6.3Estimations 13 6.4Informal controls 14 6.5Some sources of Control Documentation 14 7How to address deficiencies 15 8Roles and responsibilities 16 8.1Unit management 16 8.2Unit Internal Assurance 16 8.3External Auditors 16 SOX 404 – Implementation Guidance October 2003
国内外信息安全现状对比
国内外信息安全现状对比 中外在保障信息安全重要性认识上的差异比较 (一)从战略地位层面来看:一些区域性国际组织明确强调把保障信息安全作为国际安全体系的重要组成部分,美国则坚持把保障信息安全的法制建设放在事关国家安全的位置来优先发展,并正式启动网络司令部以应对网络攻击。韩国国防部也计划成立网络司令部及规模为200人左右的独立部队,少将级将军负责指挥。而中国目前虽然认识到了保障信息安全对国家安全的重要性,但仍然没有把保障信息安全放到国家战略的层面来推进。这是导致中国在信息化建设中缺乏长远战略目标,信息化法制建设缺乏基本法的一个关键原因。 (二)从法制建设层面来看:西方国家对信息网络安全及其衍生出来的问题都予以高度重视,都坚持大力推进保障信息安全的法律规制体系建设,对网络监管毫不手软,对网络犯罪坚持依法从重从快打击。而中国信息化法制建设虽然也取得了一定成效,但完善的法律保障体系还没有建立起来,而且建设的推进速度还比较缓慢,甚至有些地方立法已经走在了国家立法的前面。各地探索依法规范信息安全的压力与积极性都比较大。 (三)从保障信息安全的组织措施层面来看:许多国家都坚持依法组建新的或提升保障信息安全的机构,不断健全国家信息安全机制,不择手段地网罗精英人才护卫信息安全,确保赢信息战的主动权。而中国的思想认识还没有跟上全球信息化发展的形势,对掌握赢得信息战主动权的重要性认识还不到位,导致组织措施不到位、法制促进机制没有到位,许多具体工作的推进难以有作为。 (四)从提升信息安全保障能力层面来看:许多国家都坚持通过不断完善信息安全立法,健全信息安全保障体系,来提高和强化保障信息安全的能力。而中国的信息化法制建设由于受制于经济发展阶段,谋求提升信息安全保障能力的意识、措施都还不到位,特别是危机意识、使命意识和责任意识都有待提高。 (五)从保障信息安全的法律措施层面来看:许多国家都坚持依法规制信息网络,依法坚决围剿和打击网络色情行为,坚持依法强化信息安全的保障措施,强力推进网络实名制规范。而中国保障信息安全的法治措施则还处在网民们的“是与否”的讨论之中,且大多是无果而终,使得本应由国家意志强力推进的行为,却往往在酝酿与等待之中“消亡”。实践反复证明,面对全球信息化飞速发展和日新月异的复杂变化形势,信息化法制建设根本犹豫不得、迟疑不得。
国内外信息安全产品认证标准简介
国内外信息安全产品认证标准简介信息安全标准是解决有关信息安全的产品和系统在设计、研发、生产、建设、使用、检测认证中的一致性、可靠性、可控性,先进性和符合性的技术规范和技术依据。因此,世界各国越来越重视信息安全产品认证标准的制修订工作。 一、国外信息安全标准发展现状 l .CC标准的发展过程 CC标准(Common Criteria for Information Technology Security Evaluation)是信息技术安全性评估标准,用来评估信息系统和信息产品的安全性。CC标准源于世界多个国家的信息安全准则规范,包括欧洲ITSEC、美国TCSEC(桔皮书)、加拿大CTCPEC以及美国的联邦准则(Federal Criteria)等,由6个国家(美国国家安全局和国家技术标准研究所、加拿大、英国、法国、德国、荷兰)共同提 出制定。CC标准的发展过程见附图。 国际上,很多国家根据CC标准实施信息技术产品的安全性评估与认证。1999年CCV2.1被转化为国际标准ISO/IEC15408-1999《Information technology-Security techniques-Evaluation criteria for IT security》,目前,最新版本ISO/IEC15408-2008采用了CCV3.1。 用于CC评估的配套文档CEM标准(Common Methodology for Information Technology Security Evaluation)提供了通用的评估方法,并且跟随CC标准版本的发展而更新。CEM标准主要描述了保护轮廓(PP-Protection Profile)、安全目标(ST-Security Target)和不同安全保证级产品的评估要求和评估方法。CEM标准于2005年成为国际标准ISO/IEC18045《Information technology-Security techniques-Methodology for ITsecurity evaluation》。 2. CC标准内容介绍 CC标准共分为三部分,主要内容包括信息技术安全性评估的一般模型和基本框架,以及安全功能要求和安全保证要求,目的是建立一个各国都能接受的通用的信息安全产品和系统的安全性评估准则。CC标准为不同国家或实验室的评估结果提供了可比性。 CC标准的第一部分为简介和一般模型,描述了信息安全相关的基本概念和模型,以及PP和ST的要求。PP是为一类产品或系统定义信息安全技术要求,包括功要求和保证要求。ST则定义了一个既定评估对象(TOE-TarEet of aluation)的IT
现行国家信息安全技术标准
现行国家信息安全技术标准 序号 标准号 Standard No. 中文标准名称 Standard Title in Chinese 英文标准名称 Standard Title in English 备注 Remark 1GB/T 33133.1-2016信息安全技术祖冲之序列密码算法第1部分:算法描述Information security technology—ZUC stream cipher algorithm— Part 1: Algorithm description 2GB/T 33134-2016信息安全技术公共域名服务系统安全要求Information security technology—Security requirement of public DNS service system 3GB/T 33131-2016信息安全技术基于IPSec的IP存储网络安全技术要求Information security technology—Specification for IP storage network security based on IPSec 4GB/T 25067-2016信息技术安全技术信息安全管理体系审核和认证机构要求Information technology—Security techniques—Requirements for bodies providing audit and certification of information security management systems 5GB/T 33132-2016信息安全技术信息安全风险处理实施指南Information security technology—Guide of implementation for information security risk treatment 6GB/T 32905-2016信息安全技术 SM3密码杂凑算法Information security techniques—SM3 crytographic hash algorithm 国标委计划[2006]81号 7GB/T 22186-2016信息安全技术具有中央处理器的IC卡芯片安全技术要求Information security techniques—Security technical requirements for IC card chip with CPU 8GB/T 32907-2016信息安全技术 SM4分组密码算法Information security technology—SM4 block cipher algorthm 国标委计划[2006]81号 9GB/T 32918.1-2016信息安全技术 SM2椭圆曲线公钥密码算法第1部分:总则Information security technology—Public key cryptographic algorithm SM2 based on elliptic curves—Part 1: General 国标委计划 [2006]81号
国内外信息安全标准
国内外信息安全标准 姓名杨直霖 信息安全标准是解决有关信息安全的产品和系统在设计、研发、生产、建设、使用、检测认证中的一致性、可靠性、可控性,先进性和符合性的技术规范和技术依据。因此,世界各国越来越重视信息安全产品认证标准的制修订工作。 国外信息安全标准发展现状:CC标准(Common Criteria for Information Technology Security Evaluation)是信息技术安全性评估标准,用来评估信息系统和信息产品的安全性。CC标准源于世界多个国家的信息安全准则规范,包括欧洲ITSEC、美国TCSEC(桔皮书)、加拿大CTCPEC 以及美国的联邦准则(Federal Criteria)等,由6个国家(美国国家安全局和国家技术标准研究所、加拿大、英国、法国、德国、荷兰)共同提出制定。 国际上,很多国家根据CC标准实施信息技术产品的安全性评估与认证。1999年被转化为国际标准ISO/IEC15408-1999《Information technology-Security techniques-Evaluation criteria for IT security》,目前,最新版本ISO/IEC15408-2008采用了。 用于CC评估的配套文档CEM标准(Common Methodology for Information Technology Security Evaluation)提供了通用的评估方法,并且跟随CC标准版本的发展而更新。CEM标准主要描述了保护轮廓(PP-Protection Profile)、安全目标(ST-Security Target)和不同安全保证级产品的评估要求和评估方法。CEM标准于2005年成为国际标准ISO/IEC18045《Information technology-Security techniques-Methodology for ITsecurity evaluation》。 国内信息安全标准:为了加强信息安全标准化工作的组织协调力度,国家标准化管理委员会批准成立了全国信息安全标准化技术委员会(简称“信安标委会”编号为TC260)。在信安标委会的协调与管理下,我国已经制修订了几十个信息安全标准,为信息安全产品检测认证提供了技术基础。 2001年,我国将ISO/IEC15408-1999转化为国家推荐性标准GB/T18336-2001 (CC 《信息技术安全技术信息技术安全性评估准则》。目前,国内最新版本GB/T18336-2008采用了 IS0/IEC15408-2005.即CC 。 我国信息安全标准借鉴了GB/T 18336结构框架和技术要求,包括安全功能要求、安全保证要求和安全保证级的定义方法,以及标准的框架结构等。例如,GB/T20276-2006《信息安全技术智能卡嵌入式软件安全技术要求(EAL4增强级)》借用了PP的结构和内容要求,包括安全环境、安全目的和安全要求(安全功能要求和安全保证要求)等内容,以及CC标准预先定义的安全保证级别(EAL4)。同时,结合国内信息安全产品产业的实际情况,我国信息安全标准还规定了产品功能要求和性能要求,以及产品的测试方法。有些标准描述产品分级要求时,还考虑了产品功能要求与性能要求方面的影响因素。 国外信息安全现状 信息化发展比较好的发达国家,特别是美国,非常重视国家信息安全的管理工作。美、俄、日等国家都已经或正在制订自己的信息安全发展战略和发展计划,确保信息安全沿着正确的方向发展。美国信息安全管理的最高权力机构是美国国土安全局,分担信息安全管理和执行的机构有美国国家安全局、美国联邦调查局、美国国防部等,主要是根据相应的方针和政策结合自己部门的情况实施信息安全保障工作。2000年初,美国出台了电脑空间安全计划,旨在加强关键基础设施、计算机系统网络免受威胁的防御能力。2000年7月,日本信息技术战略本部及信息安全
征信机构信息安全规范
征信机构信息安全规范 一、总则 1.1标准适用范围 标准规定了不同安全保护等级征信系统的安全要求,包括安全管理、安全技术和业务运作三个方面。 标准适用于征信机构信息系统的建设、运行和维护,也可作为各单位开展安全检查和内部审计的安全依据。接入征信机构信息系统的信息提供者、信息使用者也可以参照与本机构有关条款执行,标准还可作为专业检测机构开展检测、认证的依据。 1.2相关定义 (一)征信系统:征信机构与信息提供者协议约定,或者通过互联网、政府信息公开等渠道,对分散在社会各领域的企业和个人信用信息,进行采集、整理、保存和加工而形成的信用信息数据库及相关系统。 (二)敏感信息:影响征信系统安全的密码、密钥以及业务敏感数据等信息。 1、密码包括但不限与查询密码、登录密码、证书的PIN等。 2、密钥包括但不限与用于确保通讯安全、报告完整性的密
钥。 3、业务敏感数据包括但不限于信息主体的身份信息、婚姻状况以及银行账户信息等涉及个人隐私的数据。 (三)客户端程序:征信机构开发的、通过浏览器访问征信系统并为征信系统其他功能(如数据采集)的程序,并提供必需功能的组件,包括但不限于:可执行文件、控件、浏览器插件、静态链接库、动态链接库等(不包括IE等通用浏览器);或信息提供者、信息使用者以独立开发的软件接入征信系统的客户端程序。 (四)通讯网络:通讯网络指的是由客户端、服务器以及相关网络基础设施组建的网络连接。征信系统通过互联玩或网络专线等方式与信息提供者、信息使用者相连,征信系统安全设计应在考虑建设成本、网络便利性等因素的同时,采取必要的技术防护措施,有效应对网络通讯安全威胁。(五)服务器端:服务器端指用于提供征信系统核心业务处理和应用服务的服务器设备及安装的相关软件程序,征信机构应充分利用有效的物理安全技术、网络安全技术、主机安全技术、应用安全技术及数据安全与备份恢复技术等,在外部威胁和受保护的资源间建立多道严密的安全防线。 1.3总体要求 本标准从安全管理、安全技术和业务运作三个方面提出征信
信息安全有关标准标准的发展一.国际标准的发展
第三章信息安全有关标准 第一节标准的发展 一.国际标准的发展 1960年代末,1970年代初,美国出现有关论文。 可信Ttusted,评测级别,DoD美国防部 1967年10月,美国防科委赞助成立特别工作组。 1970年,Tast Force等人《计算机系统的安全控制》(始于1967年)。 1970年代初,欧、日等国开始。 1970年2月,美发表计算机系统的安全控制。 1972年,美发表DoD5200.28条令。 1972年,美DoD《自动数据处理系统的安全要求》 1973年,美DoD《ADP安全手册-实施、撤消、测试和评估安全的资源共享ADP系统的技术与过程》 1973年,美发表DoD5200.28-M(.28相应的指南)。 1976年,MITRE公司的Bell、LaPadula推出经典安全模型——贝尔-拉柏丢拉模型(形式化)。 1976年,美DoD《主要防卫系统中计算机资源的管理》 1976年,美联邦信息处理标准出版署FIPS PUB制订《计算机系统安全用词》。 1977年,美国防研究与工程部赞助成立DoD(Computer Security Initiative,1981年01月成立DoD CSC)。 1977年3月,美NBS成立一个工作组,负责安全的审计。 1978年,MITRE公司发表《可信计算机系统的建设技术评估标准》。 1978年10月,美NBS成立一个工作组,负责安全的评估。 1983年,美发布“可信计算机系统评价标准TCSEC”桔皮书(1985年正式版DoD85)。 DoD85:四类七级:D、C(C1、C2)、B(B1、B2、B3)、A(后又有超A)。 1985年,美DoD向DBMS,NET环境延伸。 1991年,欧四国(英、荷兰、法等)发布“信息技术安全评价标准IT-SEC”。 1993年,加拿大发布“可信计算机系统评价标准CTCPEC”。 国际标准组织IEEE/POSIX的FIPS,X/OPEN。 1993年,美DoD在C4I(命令、控制、通信、计算机、集成系统)上提出多级安全MIS技术。 1994年4月,美国家计算机安全中心NCSC颁布TDI可信计算机系统评估标准在数据库管理系统的解释。 1994年,美、加、欧的信息技术安全评测公共标准CC V0.9,1996年为1.0版本。 与上述标准不同,目前信息安全尚无统一标准。 影响较大的: 美TCSEC 桔皮书及红皮书(桔皮书在网络环境下和解释); 美信息系统安全协会ISSA的GSSP(一般接受的系统原则)(与C2不同,更强调个人管理而不是系统管理); 日本《计算机系统安全规范》; 英国制订自己的安全控制和安全目标的评估标准(1989年);
国内外信息安全研究现状及发展趋势
来,国际上已经提出了许多种公钥密码体制,但比较流行的主要有两类:一类是基于大整数因子分解问题的,其中最典型的代表是RSA;另一类是基于离散对数问题的,比如ElGamal公钥密码和影响比较大的椭圆曲线公钥密码。 我国学者也提出了一些公钥密码,另外在公钥密码的快速实现方面也做了一定的工作,比如在RSA的快速实现和椭圆曲线公钥密码的快速实现方面都有所突破。 公钥密码主要用于数字签名和密钥分配。当然,数字签名和密钥分配都有自己的研究体系,形成了各自的理论框架。目前数字签名的研究内容非常丰富,包括普通签名和特殊签名。特殊签名有盲签名,代理签名,群签名,不可否认签名,公平盲签名,门限签名,具有消息恢复功能的签名等,它与具体应用环境密切相关。 序列密码主要用于政府、军方等国家要害部门,尽管用于这些部门的理论和技术都是保密的,但由于一些数学工具(比如代数、数论、概率等)可用于研究序列密码,其理论和技术相对而言比较成熟。从八十年代中期到九十年代初,序列密码的研究非常热,在序列密码的设计与生成以及分析方面出现了一大批有价值的成果,我国学者在这方面也做了非常优秀的工作。 国外目前不仅在密码基础理论方面的研究做的很好,而且在实际应用方面也做的非常好。制定了一系列的密码标准,特别规范。算法的征集和讨论都已经公开化,但密码技术作为一种关键技术,各国都不会放弃自主权和控制权,都在争夺霸权地位。我国在密码基础理论的某些方面的研究也做得很好,但在实际应用方面与国外存在差距,缺乏自己的标准,也不够规范。 密码技术特别是加密技术是信息安全技术中的核心技术,国家关键基础设施中不可能引进或采用别人的加密技术,只能自主开发。目前我国在密码技术的应用水平
国际信息安全现状
国际信息安全现状 2008-10-19 19:34:01 信息安全直接关乎国家安全,一场没有硝烟的角逐已经在世界各大国间展开较量。 美国 世界发达国家的信息安全产业的开发投入,一般占整个信息产业产值的5%左右。美国政府明确规定:必须将信息系统开发和建设总费用的10%以上,用于信息系统安全的建设。1998年12月,以美国为首的33个发达国家联合签署了瓦瑟纳尔协议。该协议以控制军备为理由,对较为先进的密码技术和设备严格控制外流,其中,中国被列入最严格限制的国家和地区名单内。 08年2月28日,美国总统布什开新闻发布会要求美通信部门协助政府对国际长途电话、电子邮件等实施拦截与侦听,统计表明,全球1/10的电话通话被美国侦听,尤其中国、俄罗斯是重点侦听对象。美国夏威夷库尼亚侦听站拥有二千余名情报人员,专门开展对华侦听活动。 目前,尽管有重重防护,美国每年由于网络信息安全问题而遭受的经济损失仍超过170亿美元。 欧洲 瑞士一直把“加密机”产业作为其信息安全的支柱产于予以重点扶持; 法国多次修改密码政策,在欧共体框架内进行合作,共同抵制美国的密码政策。法国每年因网络安全问题而遭受的经济损失高达100亿法郎。 德、英等国因网络安全的经济损失达数十亿美元,均强化对加密产品的研制。 中国 中国被列入信息安全防护能力最低的国家之一。近年来,与网络有关的各类违法行为以每年30%的速度递增。而且有33%的组织不知道自己是否受到损害。 中国信息化建设所需的设备主要靠进口,引进的设备中的核心芯片和系统内核逻辑编程都掌握在他人之手,无法保证安全利用和有效监控。有些信息安全设备也只是国外低级别的安全产品,国家权威机构研究揭示这些产品存在着许多缺陷,并且有情报机构埋伏安全陷阱的可能。 国务院第273号令明确规定:“任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制的或者境外生产的密码产品。”,同时,建立国家级研究机构,加快国产化信息安全产品的工程化研究与产业化转化。
信息安全风险评估方案
第一章网络安全现状与问题 目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性,自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处,会造成多大的损失,如何评估,投入多大可以满足要求,对应这些问题应该采取什麽措施,这些用户真正关心的问题却很少有人提及。 网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路,其原因是由于没有一套完整的安全体系,不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下,安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象,它们过分强调了某个方面的重要性,而忽略了安全构件(产品)之间的关系。因此在客户化的、可操作的安全策略基础上,需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理。无论静态或动态(可管理)安全产品,简单的叠加并不是有效的防御措施,应该要求安全产品构件之间能够相互联动,以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点,因此即使是多层面的安全防御体系,如果是静态的,也无法抵御来自外部和内部的攻击,只有将众多的攻击手法进行搜集、归类、分析、消化、综合,将其体系化,才有可能使防御系统与之相匹配、相耦合,以自动适应攻击的变化,从而
信息安全国际行为准则
联合国A/69/723 大会Distr.: General 13 January 2015 Chinese Original: English 15-00392 (C) 230115 260115 *1500392* 第六十九届会议 临时议程项目91 从国际安全的角度来看信息和 电信领域的发展 2015年1月9日中国、哈萨克斯坦、吉尔吉斯斯坦、俄罗斯联邦、塔 吉克斯坦和乌兹别克斯坦常驻联合国代表给秘书长的信 近年来,最新信息和电信技术的开发和应用方面取得了很大进展,但这些技术有可能被用于与维护国际稳定与安全的宗旨相悖的目的。国际上正在形成共 识,认为必须加强国际合作和制定有关国际准则,以便应对信息安全领域的共同 挑战。为此,2011年,中国、俄罗斯、塔吉克斯坦和乌兹别克斯坦向大会第六十 六届会议联合提交了信息安全国际行为准则,后来,吉尔吉斯斯坦和哈萨克斯坦 加入成为共同提案国。此准则作为大会文件(A/66/359)分发;国际社会予以高度 重视,反响热烈。因此,我们修改了此准则,以充分顾及所有方面的意见和建议。 谨此附上此准则修订本的中文、俄文和英文本(见附件)。我们希望藉此推动国际 上关于信息安全国际准则的辩论,并帮助及早就此问题达成共识。 请将本信及其附件作为大会第六十九届会议议程项目91下的文件分发为荷。 中华人民共和国常驻联合国代表 刘结一(签名) 哈萨克斯坦共和国常驻联合国代表 凯拉特·阿卜杜拉赫曼诺夫(签名) 吉尔吉斯共和国常驻联合国代表 塔莱贝克·克德若夫(签名)
A/69/723 15-00392 (C) 2/5 俄罗斯联邦常驻联合国代表 维塔利·丘尔金(签名) 塔吉克斯坦共和国常驻联合国代表 马哈马达明·马哈马达明诺夫(签名) 乌兹别克斯坦共和国常驻联合国代表 穆扎法尔贝克·马德拉希莫夫(签名)
信息安全风险评估报告
附件: 国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式 项目名称: 项目建设单位: 风险评估单位: 年月日
目录 一、风险评估项目概述 (1) 1.1工程项目概况 (1) 1.1.1 建设项目基本信息 (1) 1.1.2 建设单位基本信息 (1) 1.1.3承建单位基本信息 (2) 1.2风险评估实施单位基本情况 (2) 二、风险评估活动概述 (2) 2.1风险评估工作组织管理 (2) 2.2风险评估工作过程 (2) 2.3依据的技术标准及相关法规文件 (2) 2.4保障与限制条件 (3) 三、评估对象 (3) 3.1评估对象构成与定级 (3) 3.1.1 网络结构 (3) 3.1.2 业务应用 (3) 3.1.3 子系统构成及定级 (3) 3.2评估对象等级保护措施 (3) 3.2.1XX子系统的等级保护措施 (3) 3.2.2子系统N的等级保护措施 (3) 四、资产识别与分析 (4) 4.1资产类型与赋值 (4) 4.1.1资产类型 (4) 4.1.2资产赋值 (4) 4.2关键资产说明 (4) 五、威胁识别与分析 (4)
5.2威胁描述与分析 (5) 5.2.1 威胁源分析 (5) 5.2.2 威胁行为分析 (5) 5.2.3 威胁能量分析 (5) 5.3威胁赋值 (5) 六、脆弱性识别与分析 (5) 6.1常规脆弱性描述 (5) 6.1.1 管理脆弱性 (5) 6.1.2 网络脆弱性 (5) 6.1.3系统脆弱性 (5) 6.1.4应用脆弱性 (5) 6.1.5数据处理和存储脆弱性 (6) 6.1.6运行维护脆弱性 (6) 6.1.7灾备与应急响应脆弱性 (6) 6.1.8物理脆弱性 (6) 6.2脆弱性专项检测 (6) 6.2.1木马病毒专项检查 (6) 6.2.2渗透与攻击性专项测试 (6) 6.2.3关键设备安全性专项测试 (6) 6.2.4设备采购和维保服务专项检测 (6) 6.2.5其他专项检测 (6) 6.2.6安全保护效果综合验证 (6) 6.3脆弱性综合列表 (6) 七、风险分析 (6) 7.1关键资产的风险计算结果 (6) 7.2关键资产的风险等级 (7) 7.2.1 风险等级列表 (7)
工业控制网络信息安全事件案例
精心整理 工业控制网络信息安全案例 一、澳大利亚马卢奇污水处理厂非法入侵事件 2000年3月,澳大利亚昆士兰新建的马卢奇污水处理厂出现故障,无线连接信号丢失, 污水泵工作异常,报警器也没有报警。本以为是新系统的磨合问题,后来发现是该厂前工程师 VitekBoden因不满工作续约被拒而蓄意报复所为。 这位前工程师通过一台手提电脑和一个无线发射器控制了150个污水泵站;前后三个多月,总计有100万公升的污水未经处理直接经雨水渠排入自然水系,导致当地环境受到严重破坏。 二、美国Davis-Besse核电站受到Slammer蠕虫攻击事件 2003年1月,美国俄亥俄州Davis-Besse核电站和其它电力设备受到SQLSlammer蠕虫病毒攻击,网络数据传输量剧增,导致该核电站计算机处理速度变缓、安全参数显示系统和过程控制 计算机连续数小时无法工作。 经调查发现,一供应商为给服务器提供应用软件,在该核电站网络防火墙后端建立了一个 无防护的T1链接,病毒就是通过这个链接进入核电站网络的。这种病毒主要利用SQLServer2000中1434端口的缓冲区溢出漏洞进行攻击,并驻留在内存中,不断散播自身,使得网络拥堵,造成SQLServer无法正常工作或宕机。实际上,微软在半年前就发布了针对SQLServer2000这个漏洞的补丁程序,但该核电站并没有及时进行更新,结果被Slammer病毒乘虚而入。 三、美国BrownsFerry核电站受到网络攻击事件 2006年8月,美国阿拉巴马州的BrownsFerry核电站3号机组受到网络攻击,反应堆再循环泵和冷凝除矿控制器工作失灵,导致3号机组被迫关闭。 原来,调节再循环泵马达速度的变频器(VFD)和用于冷凝除矿的可编程逻辑控制器(PLC)中都内嵌了微处理器。通过微处理器,VFD和PLC可以在以太局域网中接受广播式数据通讯。但是,由于当天核电站局域网中出现了信息洪流,VFD和PLC无法及时处理,致使两设备瘫痪。 四、美国Hatch核电厂自动停机事件 2008年3月,美国乔治亚州的Hatch核电厂2号机组发生自动停机事件。 当时,一位工程师正在对该厂业务网络中的一台计算机(用于采集控制网络中的诊断数据)进行软件更新,以同步业务网络与控制网络中的数据信息。当工程师重启该计算机时,同步程序重置了控制网络中的相关数据,使得控制系统以为反应堆储水库水位突然下降,自动关闭了整个机组。 五、震网病毒攻击美国Chevron、Stuxnet等四家石油公司 2012年,位于美国加州的Chevron石油公司对外承认,他们的计算机系统曾受到专用于 攻击伊朗核设施的震网病毒的袭击。不仅如此,美国BakerHughes、ConocoPhillips和Marathon 等石油公司也相继声明其计算机系统也感染了震网病毒。他们警告说一旦病毒侵害了真空阀,就会造成离岸钻探设备失火、人员伤亡和生产停顿等重大事故。 虽然美国官员指这种病毒不具有传播用途,只对伊朗核设施有效,但事实证明,震网病毒 已确确实实扩散开来。 六、Duqu病毒(Stuxnet变种)出现 2011年安全专家检测到Stuxnet病毒的一个新型变种—Duqu木马病毒,这种病毒比Stuxnet病毒更加聪明、强大。与Stuxnet不同的是,Duqu木马不是为了破坏工业控制系统,而是潜伏并收集攻击目标的各种信息,以供未来网络袭击之用。前不久,已有企业宣称他们的设施中已 经发现有Duqu代码。目前,Duqu僵尸网络已经完成了它的信息侦测任务,正在悄然等待中……。 没人知晓下一次攻击何时爆发。 七、比Suxnet强大20倍的Flame火焰病毒肆虐中东地区 Flame火焰病毒具有超强的数据攫取能力,不仅袭击了伊朗的相关设施,还影响了整个中 东地区。据报道,该病毒是以色列为了打聋、打哑、打盲伊朗空中防御系统、摧毁其控制中心而实 页脚内容
国际信息安全技术发展趋势及对策建议
构建信息安全体系推广自主可控产品——国际信息安全技术发展趋势及对策建议 中电科技国际贸易有限公司总经理闫立金 “大力发展具有自主知识产权的信息安全技术产品,依靠自主创新,努力做到自主可控,实现我国重要信息安全系统技术和装备的国产化。” 随着信息化技术的不断发展和广泛应用,信息正逐渐成为人类社会发展的重要战略资源。信息安全已成为维护国家安全和社会稳定的重要基石。世界各国对信息安全的重视程度不断提高,发展信息安全技术已成为世界各国信息化建设的重要任务,而信息安全技术水平也成为衡量一个国家综合国力的重要标志之一。 国际信息安全发展趋势 近几年来,国际信息安全领域动作频繁,各国政府、军队、相关企业成为该领域的主角。云计算、云安全、物联网、智慧地球、智能化安全产品、网络战等新概念、新技术和新产品纷纷粉墨登场,国际信息安全领域的发展呈现出一些新特点和新趋势。 技术发展关联性主动性显著加强 信息安全技术向完整、联动、快速响应的防护系统方向发展,采用系统化的思想和方法构建信息系统安全保障体系成为一种趋势,具有复杂性、动态性、可控性等特点。其中,复杂性体现在网络和系统的生存能力方面;动态性体现在主动实时防护能力方面,包括应急响应与数据恢复、病毒与垃圾信息防范、网络监控与安全管理;可控性则体现在网络和系统的自主可控能力方面,包括高安全等级系统、密码与认证授权、逆向分析与可控性等。 2010年,美国政府实施了一项代号为“完美公民”的信息安全防护项目,旨在保护政府重要基础设施或企业免遭黑客侵袭,国家安全局打算从电网、核电站、空中交通管理系统入手,大力部署网络安全的多层防御体系,最终全面介入基础设施;北约紧随其后拟建立3重安全防御体系“数字盾牌”。种种迹象预示着一种全新的信息安全战略即将实施。基础“有效保护”和“大规模报复”的主动防御技术的建立,使信息安全发展正在向主动防御进行根本性转变。正是由于采取了主动防御的安全策略,“美中经济与安全评估委员会”的一份年度报告表示,2010年可能是最近10年来针对计算机网络攻击最少的一年。 产品呈现高效系统集成化趋势 一方面,随着网络和信息技术的迅猛发展,各种信息安全产品必须不断提高其性能,方能满足高速海量数据环境下的信息安全需求;另一方面,随着网络和信息系统日趋复杂化,将信息安全技术依据一定的安全体系进行设计、整合和集成,从而达到综合防范的目的已成为一种必然趋势。因此,信息安全技术作为关键环节已融入信息系统和产品的设计和生产中,成为不可替代的一个独立模块,信息安全产品的集成化趋势日益显著。 产业形态向服务化方向发展
工业控制系统信息安全系统应急预案
工业控制系统信息安全应急预案为了切实做好市污水厂网络与信息安全突发事件的防范和应急处理工作,提高污水厂中控系统预防和控制网络与信息安全突发事件的能力和水平,减轻或消除突发事件的危害和影响,确保市污水厂中控系统网络与信息安全,结合工作实际,制定本预案。 一、总则 本预案适用于本预案定义的1级、2级网络与信息安全突发公共事件和可能导致1级、2级网络与信息安全突发公共事件的应对处置工作。 本预案所指网络与信息系统的重要性是根据系统遭到破坏后对国家安全、社会秩序、经济建设、公共利益以及公民、法人和其他组织的合法权益的危害程度来确定的。 (一)分类分级。 本预案所指的网络与信息安全突发公共事件,是指重要网络与信息系统突然遭受不可预知外力的破坏、毁损、故障,发生对国家、社会、公众造成或者可能造成重大危害,危及公共安全的紧急事件。 1、事件分类。 根据网络与信息安全突发公共事件的发生过程、性质和特征,网络与信息安全突发公共事件可划分为网络安全突发事件和信息安全突发事件。网络安全突发事件是指自然灾害,
事故灾难和人为破坏引起的网络与信息系统的损坏;信息安全突发事件是指利用信息网络进行有组织的大规模的反动宣传、煽动和渗透等破坏活动。 自然灾害是指地震、台风、雷电、火灾、洪水等。 事故灾难是指电力中断、网络损坏或者是软件、硬件设备故障等。 人为破坏是指人为破坏网络线路、通信设施、黑客攻击、病毒攻击、恐怖袭击等事件。 2、事件分级。 根据网络与信息安全突发公共事件的可控性、严重程度和影响范围,将网络与信息安全突发公共事件分为四级:1级 (特别重大)、2级 (重大)、3级 (较大)、4级 (一般)。国家有关法律法规有明确规定的,按国家有关规定执行。 1级 (特别重大):网络与信息系统发生全局性大规模瘫痪,事态发展超出自己的控制能力,对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的突发公共事件。 2级 (重大):网络与信息系统造成全局性瘫痪,对国家安全、社会秩序、经济建设和公共利益造成严重损害需要跨部门协同处置的突发公共事件。 3级 (较大):某一部分的网络与信息系统瘫痪,对国家安全、社会秩序、经济建设和公共利益造成一定损害,但不需要跨部门、跨地区协同处置的突发公共事件。