网络安全评估和安全法规课件.PPTVIP

网络安全评估和安全法规 11.1 安全评估的国际通用准则 11.1.1 可信计算机系统安全评估准则 TCSEC将计算机系统的安全划分为4个等级、8个级别。 D类安全等级 C类安全等级 B类安全等级 A类安全等级 11.1.2 信息系统技术安全评估通用准则 国际通用准则（CC）是ISO统一现有多种准则的结果，是目前最全面的评估准则。 CC认为安全的实现应构建在如下的层次框架之上（自下而上）。 （1）安全环境：使用评估对象时必须遵照的法律和组织安全政策以及存在的安全威胁。 （2）安全目的：对防范威胁、满足所需的组织安全政策和假设声明。 （3）评估对象安全需求：对安全目的的细化，主要是一组对安全功能和保证的技术需求。 （4）评估对象安全规范：对评估对象实际实现或计划实现的定义。 （5）评估对象安全实现：与规范一致的评估对象实际实现。 11.2 安全评估的国内通用准则 11.2.1 信息系统安全划分准则 国家标准GB17859-99是我国计算机信息系统安全等级保护系列标准的核心，是实行计算机信息系统安全等级保护制度建设的重要基础。此标准将信息系统分成5个级别，分别是用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。 第 一 级 第 二 级 第 三 级 第 四 级 第 五 级 自主访问控制 √ √ √ √ √ 身份鉴别 √ √ √ √ √ 数据完整性 √ √ √ √ √ 客体重用 √ √ √ √ 审计 √ √ √ √ 强制访问控制 √ √ √ 标记 √ √ √ 隐蔽信道分析 √ √ 可信路径 √ √ 可信恢复 √ 表11.1 信息系统的5个级别 在此标准中，一个重要的概念是可信计算基（TCB）。可信计算基是一个实现安全策略的机制，包括硬件、固件和软件，它们将根据安全策略来处理主体（例如：系统管理员、安全管理员和用户等）对客体（例如：进程、文件、记录和设备等）的访问。 1．自主访问控制 2．身份鉴别 3．数据完整性 4．客体重用 5．审计 6．强制访问控制 7．标记 8．隐蔽信道分析 9．可信路径 10．可信恢复 11.2.2 信息系统安全有关的标准 随着CC标准的不断普及，我国也在2001年发布了GB/T 18336标准，这一标准等同采用ISO/IEC 15408-3：《信息技术 安全技术 信息技术安全性评估准则》 11.3 网络安全的法律和法规 11.3.1 网络安全相关的法规 我国对信息系统的立法工作很重视，关于计算机信息系统安全方面的法规较多，涉及到信息系统安全保护、国际联网管理、计算机病毒防治、商用密码管理和安全产品检测与销售等多方面。主要有以下一些。 （1）1989年，公安部发布了《计算机病毒控制规定（草案）》。 （2）1991年，国务院第83次常委会议通过《计算机软件保护条例》。 （3）1994年2月18日，国务院发布《中华人民共和国计算机信息系统安全保护条例》。其主要内容如下： （4）1996年2月1日，国务院发布《中华人民共和国计算机信息网络国际联网管理暂行规定》。 （5）1997年5月20日，国务院信息化工作领导小组制定了《中华人民共和国计算机信 （6）1997年，国务院信息化工作领导小组发布《中国互联网络域名注册暂行管理办法》、 《中国互联网络域名注册实施细则》。 （7）1997年，原邮电部出台《国际互联网出入信道管理办法》。 （8）2000年，《互联网信息服务管理办法》正式实施。 （9）2000年11月，国务院新闻办公室和信息产业部联合发布《互联网站从事登载新闻业务管理暂行规定》。 （10）2000年11月，信息产业部发布《互联网电子公告服务管理规定》。 11.3.2 网络安全相关的法律 11.3.3 网络安全管理的有关法律 1．网络服务业的法律规范 （1）网络服务机构设立的条件 ① 是依法设立的企业法人或者事业法人。 ② 具有相应的计算机信息网络、装备以及相应的技术人员和管理人员。 ③ 具有健全的安全保密管理制度和技术保护措施。 ④ 符合法律和国务院规定的其他条件。 （2）网络服务业的对口管理 《中华人民共和国计算机信息系统安全保护条例》规定，对计算机信息系统中发生的案件，有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告。对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作，由公安部归口管理。国家对计算机信息系统安全专用产品的销售实行许可证制度。具体办法由公安部会同有关部门制定。 （3）互联网出入口信道管理 《中华人民共和国计算机网络国际联网管理暂行规定》规定，计算机信息网络直接进行国际联网，必须使用邮电部国家公用电信