网络安全法律法规资料.ppt

安全服务及产品的管理要求 --- 安全管理责任人必须经培训持证上岗 --- 计算机机房安全保障体系的设计、建设和检测应由有安全服务资质的机构承担。 --- 计算机信息系统及计算机机房须经具有安全服务资质的机构检测合格后，方可投入使用 对重点安全保护单位的要求 安全服务及产品的管理要求 公安部《计算机信息系统安全专用产品检测和销售许可证管理办法》 第三条 中华人民共和国境内的安全专用产品进入市场销售, 实行销售许可证制度。 安全专用产品的生产者在其产品进入市场销售之前, 必须申领《计算机信息系统安全专用产品销售许可证》（以下简称销售许可证）。 第四条 安全专用产品的生产者申领销售许可证, 必须对其产品进行安全功能检测和认定。 第五条 公安部计算机管理监察部门负责销售许可证的审批颁发工作和安全专用产品安全功能检测机构（以下简称检测机构）的审批工作。 对安全专用产品的管理要求 安全服务及产品的管理要求 ——网络安全检测产品的购买使用单位： 1）应当持单位的证明文件到所在地地级以上市公安机关公共网络安全监察部门办理备案手续，公安机关应当在15日内予以办理，发给《网络安全检测产品购买备案表》。 2）用户应当凭《网络安全检测产品购买备案表》购买网络安全检测产品。 3）投入使用后，应当在10日内将本单位的《用户IP地址配置备案表》报送所在地地级以上市公安机关公共网络安全监察部门备案。 4）安全检测产品只限于单位购买使用。购买网络安全检测产品的单位应当指定专人管理和使用，不得出租、出借、转让、赠送，不得擅自用于检测他人计算机信息系统。 对安全专用产品的管理要求 安全服务及产品的管理要求 《广东省计算机信息系统安全保护管理规定实施细则》规定 安全服务机构的安全服务资质实行： ----服务资质的申请制 ----分级管理制 （分四级，不同等级对应承担不同工程量资格） ----服务资质等级的条件划分 ----服务资质的年审制 ----安全审验 对安全服务机构的管理 五、信息系统安全等级保护的基本技术要求 信息系统安全等级保护的基本技术要求 GB 17859-1999 《计算机信息系统安全保护等级划分 准则》 GB/T 387-2002 《计算机信息系统安全等级保护网络 技术要求》 GB/T 388-2002 《计算机信息系统安全等级保护操作 系统技术要求》 GB/T 389-2002 《计算机信息系统安全等级保护数据 库管理技术要求》 GB/T 390-2002 《计算机信息系统安全等级保护通用 技术要求》 GB/T 391-2002 《计算机信息系统安全等级保护管理 要求》 GA 371-2001 《计算机信息系统实体安全技术要求》 第一部分：局域计算环境 安全保护技术要求及标准 信息系统安全等级保护的基本技术要求 1 党政系统（党委、政府）； 2 金融系统（银行、保险、证券）及财税系统（财政、税务、 工商）； 3 经贸系统（商业贸易、海关）； 4 电信系统（邮电、电信、广播、电视）； 5 能源系统（电力、热力、燃气、煤炭、 油料）； 6 交通运输系统（航空、航天、铁路、公路、水运、海运）； 需要实施安全等级保护的信息系统 信息系统安全等级保护的基本技术要求 7 供水系统（水利及水源供给）； 8 社会应急服务系统（医疗、消防、紧急救援）； 9 教育科研系统（教育、科研、尖端科技）； 10 国防建设系统； 11 国有大中型企业系统； 12 互联单位、接入单位、重点网站及向公众提供 上网服务场所的计算机信息系统。 需要实施安全等级保护的信息系统 信息系统安全等级保护的基本技术要求 第一级为用户自主保护级。它的安全保护机制使用户具备自主安全保护的能力，保护用户的信息免受非法的读写破坏。 第二级为系统审计保护级。除具备第一级所有的安全保护功能外，要求创建和维护访问的审计跟踪记录，使所有的用户对自己的行为的合法性负责。 第三级为安全标记保护级。除继承前一个级别的安全功能外，还要求以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制保护。 计算机安全保护等级划分 信息系统安全等级保护的基本技术要求 第四级为结构化保护级。在继承前面安全级别安全功能的基础上，将安全保护机制划分为关键部分和非关键部分，对关键部分直接控制访问者对访问对象的存取，从而加强