信息系统安全与保密讲义.pptVIP

我国立法 1981年起我国开始开展计算机安全监察 1988年中华人民共和国计算机信息系统安全保护条例通过 1994年2月18日发布的《中华人民共和国计算机信息系统安全保护条例》 1996年2月1日发布了《中华人民共和国计算机信息网络国际联网管理暂行规定》 1997年3月18日公布的新刑法增加了有关计算机犯罪方面的规定，它们分别是第217条第1项、第285条至第287条。 1997年05月20日 国务院关于修改《中华人民共和国计算机信息网络国际联网管理暂行规定》 2000年04月26 日计算机病毒防治管理办法 2001年12月20 日计算机软件保护条例 行政法规： 《计算机软件保护条例》 《计算机病毒控制条例》（试行） 《计算机信息系统安全保护条例》 《计算机信息网络国际联网管理暂行规定》等 1.4 政策法规 计算机安全评价标准 安全评价的目的是制订适合出—定范围的系统一致的评估方法，避免同一系统、同一应用的多重评价 它主要适用范围是硬件和操作系统，也可用于应用系统评价 1.4 政策法规 计算机安全评价标准 制定安全标准的策略应从以下几方由来考虑： 与计算机系统的实际环境相结合 与国际环境相适应 具有一定程度的模糊性 具有一定范围的适应性 1.4 政策法规 可信计算机系统评估准则 《可信计算机系统评估准则》（TCSEC-Trusted Computer System Evaluation Criteria，俗称橘皮书）是美国国防部于1985年发表的一份技术文件 制定《准则》的目的: 向制造商提供一个标准，即指导制造商如何在他们新开发的、并将广泛使用的商用产品中采用安全部件来满足敏感应用的可信要求。 向用户提供一种验证标准，用户可用此标准来评估计算机系统处理秘密信息和其它敏感信息的可信程序。为制定规范时的安全需求提供一个基准。 1.4 政策法规 可信计算机系统评估准则 《可信计算机系统评估准则》分成D，C，B和A四类： D级：最小保护 C级:自主保护 C1级：自主型安全保护 C2级：可控访问保护 B级:强制安全保护 B1级：标记安全保护 B2级：结构化保护 B3级：安全域 A级：验证设计 A1：经过验证的设计 A2：A1级以外的系统 英国的5（安全控制可实施）+6标准（安全目标不可实施） 原西德信息安全部门1989公布的信息技术系统可信性评价标准 1.4 政策法规 OSI安全体系结构 安全技术评价标准：国际标准化组织ISO7498-2中描述开放互连OSI安全体系结构的5种安全服务项目 鉴别 访问控制 数据保密 数据完整 抗否认 1.4 政策法规 OSI安全体系结构 具体安全协议上国际标准： 安全电子交易协议SET ANSI的DES RSA加密算法标准 数据传输时新的加密标准(AES) 1.4 政策法规 1.5本章总结 （1）信息系统的概念 （2）信息系统受到的威胁 （3）信息系统常见的安全攻击； （4）信息系统安全及其目标； （5）信息系统安全模型； （6）信息安全保密的研究内容； （7）信息系统安全体系结构 （8） 政策法规 1.6 作业 查询国内外关于网络信息安全有关法规以及近年来信息安全的大事件！ 第一章 完 安全相关网站 /　网络安全焦点 /　爱国者黑客 著名的商业化安全公司 (国外领先的网络安全软件及服务提供商） （由IIS，软银，趋势公司共同投资建立的安氏中国） （国外著名的计算机病毒及网络安全软件服务提供商） （国外著名的安全公司） （中联绿盟，国内最著名的安全公司） （安氏科技，国内公司） （@stack公司的网站，国外） 著名的漏洞发布站点 （国外著名的漏洞发布站点，即bugtrap） （关于windows系统安全的综合网站） （美国计算机应急反映小组） 安全相关网站 （有IIS公司发布的漏洞库） （漏洞修补网站） /icat.cfm（ICAT漏洞发布及漏洞库搜索站点） （中国信息安全论坛） /cert/index.php（中国计算机网络应急处理中心） 著名的黑客站点 http://www.hack.co.za（国外著名的黑客站点，有较全的exploit库） （国外著名的phrack安全杂志） （国外经典的黑客站点） （国外经典的漏洞及exploit库） （白帽子网站，有最新的IDS规则库下载，关于snort等） （发布最新的exploits程序） （国外著名的漏洞库，有大量expolits程序） http://oliver.efri.hr/~crv/security/bugs/lists.html（有整理好的最新漏洞库下载） http://astalavista.box.sk（著