政策法规与标准-Read.PPT

第二章 政策法规与标准 陈天洲 tzchen@zju.edu.cn Addoil.net Embedded.zju.edu.cn 政策法规与标准 组织机构 立法立足点 计算机犯罪法 各国立法 我国立法 计算机安全评价标准 可信计算机系统评估准则 OSI安全体系结构 组织机构 比较活跃的组织有： IFIP(国际信息处理联合会) WISE（国际强化安全研究所） 中国电子学会于1978年提出申请，1979年国务院批准向IFIP递交入会申请，1980年1月1日IFIP正式接纳中国电子学会代表中国为其成员学会 政策法规与标准 组织机构 立法立足点 计算机犯罪法 各国立法 我国立法 计算机安全评价标准 可信计算机系统评估准则 OSI安全体系结构 立法立足点 计算机安全是指计算机资产安全，具体含义有四层： 系统设备和相关设施运行正常，系统服务适时。 软件(包括网络软件，应用软件和相关的软件)正常。 系统拥有的或产生的数据信息完整，有效，使用合法，不会被泄漏。 系统资源和信息资源使用合法 立法立足点 计算机安全需要以下五个机制： 威慑:提醒人们不要做有害于计算机的事，否则将受到法律的制裁。 预防并阻止不法分子对计算机资源产生危害。 检查:能查出系统安全隐患，查明已发生的各种事情的原因。 恢复。系统发生意外事件或是事故从而导致系统中断或数据受损后，能在短期内恢复。 纠正，能及时堵塞安全漏洞，改进安全措施。 立法立足点 计算机安全战略应当是： 运用政策、法律、管理和技术手段，保护计算机资产免受自然和人为有害因素的威胁和危害，把计算机安全事件发生率和可能造成的政治、经济损失降低到最小限度。 政策法规与标准 组织机构 立法立足点 计算机犯罪法 各国立法 我国立法 计算机安全评价标准 可信计算机系统评估准则 OSI安全体系结构 计算机犯罪法 计算机犯罪法是以防止计算机犯罪行为、惩罚犯罪、保护计算机资产为目的。 它规定 利用计算机收取非法利益； 非法取得计算机信息系统服务； 用非法手段侵入计算机信息系统和网络进行盗窃、破坏、篡改数据流文件，或扰乱系统功能； 利用计算机或计算机知识窃取金融证券、现金、程序、信息、情报等行为的 为计算机犯罪。 计算机犯罪法 典型的计算机犯罪条文： 任何人未经许可企图利用或已经利用计算机系统或网络进行诈骗或窃取钱财。 任何人未经许可企图或以已经使用任何计算机系统或网络，窃取信息或输入假信息，侵犯他人利益。 任何人超出其工作范围企图或未经许可访问任何计算机系统、网络、程序、文件，存取数据。 任何人故意删除、篡改、损害、破坏程序、数据、文件，破坏、更改计算机系统和网络，中断或拒绝计算机服务，非法获得计算机服务。 计算机犯罪法 以瑞典为代表的欧洲（数据法与数据保护法类型法律）： 建立和处理文件不得侵害私人(包括法人)的权利。 任何个人、社会团体及政府部门，凡需建立有关私人情况的文件或处理这方面的文件，都必须事先得到数据监察局的许可，根据政府或议会命令而建立文件，也要事先征求监察局的意见。 监察人员在执行任务时，有权进入数据处理中心，接触任何文件和资料，有权命令停止计算机系统运行。 监察局在发给许可证时，要对建立文件的日期，文件组成、数据处理、使用何种设备等方面作一些指示，必要时还要发布命令，有关方面必须遵守。 监察局除了进行监督，检查、指导工作外，还起监诉官的作用，并处理受害者的申诉事务。 政策法规与标准 组织机构 立法立足点 计算机犯罪法 各国立法 我国立法 计算机安全评价标准 可信计算机系统评估准则 OSI安全体系结构 各国立法 1973年瑞典通过数据法，成立国家计算机安全脆弱委员会以及脆弱性局、数据安全局。 1978年美国佛罗里达州对计算机犯罪立法，之后美国联邦政府相继通过“计算机诈骗与滥用法”，“电子通讯隐私法”，“联邦计算机安全法”，信息自由法，反腐败行动法，伪造访问设备和计算机欺骗与滥用法，计算机安全法等法律。 英国也有数据保护法与计算机滥用法案等法律。 政策法规与标准 组织机构 立法立足点 计算机犯罪法 各国立法 我国立法 计算机安全评价标准 可信计算机系统评估准则 OSI安全体系结构 我国立法 1981年起我国开始开展计算机安全监察 1988年中华人民共和国计算机信息系统安全保护条例通过 1994年2月18日发布的《中华人民共和国计算机信息系统安全保护条例》 1996年2月1日发布了《中华人民共和国计算机信息网络国际联网管理暂行规定》 1997年3月18日公布的新刑法增加了有关计算机犯罪方面的规定，它们分别是第217条第1项、第285条至第287条。 行政法规： 《计算机软件保护条例》 《计算机病毒控制条例》（试行） 《计算机信息系统安全保护条例》 《计算机信息网络