06访问控制和系统审计说课.ppt

第7章 访问控制和系统审计 7.1 计算机安全等级的划分 7.2 访问控制 7.3 系统审计 除了国际通用准则cc外, 国际标准化组织和国际电工委也已经制订了上百项安全标准，其中包括专门针对银行业务制订的信息安全标准。国际电信联盟和欧洲计算机制造商协会也推出了许多安全标准。? 7.1 计算机安全等级的划分 1985年，美国国防部发表了《可信计算机评估准则》(缩写为TCSEC) ，它依据处理的信息等级采取的相应对策，划分了四类七个安全等级（从低到高，依次是D、C1、C2、B1、B2、B3和A1级。）,随着安全等级的提高，系统的可信度随之增加，风险逐渐减少。 七个安全等级 四个安全等级： 无保护级(D1) 自主保护级(C1,C2) 强制保护级(B1,B2 ,B3) 验证保护级(A1) ●D级——最低安全保护(Minimal Protection)。没有任何安全性防护，整个系统不可信。对于硬件来说，无任何保护；对于操作系统来说，容易受到损害；对于用户及其访问权限来说，没有身份认证。例：如DOS和Windows 95/98等操作系统。 ●C1级——自主安全保护(Discretionary Security Protection)。通过隔离用户与数据，使用户具备自主安全保护的能力,是一种粗粒度安全保护, 具有以下特点： 用户与数据