第11章 网络安全评估与安全法规.pptVIP

1．自主访问控制 2．身份鉴别 3．数据完整性 4．客体重用 5．审计 6．强制访问控制 7．标记 8．隐蔽信道分析 9．可信路径 10．可信恢复 11.3 网络安全的法律和法规 11.3.1 网络安全相关的法规 我国对信息系统的立法工作很重视，关于计算机信息系统安全方面的法规较多，涉及到信息系统安全保护、国际联网管理、计算机病毒防治、商用密码管理和安全产品检测与销售等多方面。主要有以下一些。 （1）1989年，公安部发布了《计算机病毒控制规定（草案）》。 （2）1991年，国务院第83次常委会议通过《计算机软件保护条例》。 （3）1994年2月18日，国务院发布《中华人民共和国计算机信息系统安全保护条例》。其主要内容如下： （4）1996年2月1日，国务院发布《中华人民共和国计算机信息网络国际联网管理暂行规定》。 （5）1997年5月20日，国务院信息化工作领导小组制定了《中华人民共和国计算机信 （6）1997年，国务院信息化工作领导小组发布《中国互联网络域名注册暂行管理办法》、 《中国互联网络域名注册实施细则》。 （7）1997年，原邮电部出台《国际互联网出入信道管理办法》。 （8）2000年，《互联网信息服务管理办法》正式实施。 （9）2000年11月，国务院新闻办公室和信息产业部联合发布《互联网站从事登载新闻业务管理暂行规定》。 （10）2000年11月，信息产业部发布《互联网电子公告服务管理规定》。 11.3.2 网络安全相关的法律 11.3.3 网络安全管理的有关法律 1．网络服务业的法律规范 （1）网络服务机构设立的条件 ① 是依法设立的企业法人或者事业法人。 ② 具有相应的计算机信息网络、装备以及相应的技术人员和管理人员。 ③ 具有健全的安全保密管理制度和技术保护措施。 ④ 符合法律和国务院规定的其他条件。 （2）网络服务业的对口管理 《中华人民共和国计算机信息系统安全保护条例》规定，对计算机信息系统中发生的案件，有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告。对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作，由公安部归口管理。国家对计算机信息系统安全专用产品的销售实行许可证制度。具体办法由公安部会同有关部门制定。 （3）互联网出入口信道管理 《中华人民共和国计算机网络国际联网管理暂行规定》规定，计算机信息网络直接进行国际联网，必须使用邮电部国家公用电信网提供的国际出入口信道。任何单位和个人不得自行建立或者使用其他信道进行国际联网。已经建立的互联网络，根据国务院有关规定调整后，分别由邮电部、电子工业部，国家教育委员会和中国科学院管理。新建互联网络，必须报经国务院批准。 （4）计算机网络系统运行管理 根据《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》要求，国际出入口信道提供单位、互联单位和接入单位必须建立网络管理中心，健全管理制度，做好网络信息安全管理工作。 （5）安全责任根据《中华人民共和国计算机信息网络国际联网管理暂行规定》，从事国际联网业务的单位和个人，应当遵守国家有关法律、行政法规，严格执行安全保密制度，不得利用国际联网从事危害国家安全、泄露国家秘密等违法犯罪活动，不得制作、查阅、复制和传播妨碍社会治安的信息和淫秽色情等信息。 2．网络用户的法律规范 3．互联网信息传播安全管理制度 11.3.4 电子公告服务的法律管制 * * 第11章 网络安全评估和安全法规 11.1 安全评估的国际通用准则 11.2 安全评估的国内通用准则 11.3 网络安全的法律和法规 11.1 安全评估的国际通用准则 11.1.1 可信计算机系统安全评估准则 TCSEC将计算机系统的安全划分为4个等级、8个级别。 D类安全等级 C类安全等级 B类安全等级 A类安全等级 11.1.2 信息系统技术安全评估通用准则 国际通用准则（CC）是ISO统一现有多种准则的结果，是目前最全面的评估准则。 CC认为安全的实现应构建在如下的层次框架之上（自下而上）。 （1）安全环境：使用评估对象时必须遵照的法律和组织安全政策以及存在的安全威胁。 （2）安全目的：对防范威胁、满足所需的组织安全政策和假设声明。 （3）评估对象安全需求：对安全目的的细化，主要是一组对安全功能和保证的技术需求。 （4）评估对象安全规范：对评估对象实际实现或计划实现的定义。 （5）评估对象安全实现：与规范一致的评估对象实际实现。 11.2 安全评估的国内通用准则 11.2.1 信息系统安全划分准则 国家标准GB17859-99是我国计算机信息系统安全等级保护系列标准的核心，是实行计算机信息系统安全等级保护制度建设的重要基础。此标准将