《网络安全技术与实践》第3章 网络安全管理概述.pptVIP

3.2网络安全的法律法规我国从网络安全管理的需要出发，从20世纪90年代初开始，国家及相关部门、行业和地方政府相继制定了多项有关的法律法规。我国网络安全立法体系分为以下三个层面：第一层面:法律.全国人民代表大会及其常委会通过的法律规范。宪法-刑法-刑事诉讼法-治安管理处罚条例-国家安全法第二个层面：行政法规。主要指国务院为执行宪法和法律而制定的法律规范。-计算机信息系统安全保护条例，计算机信息网络国际联网管理暂行规定、保护管理办法、密码管理条例、电信条例、互联网信息服务管理办法、计算机软件保护条例等3.2.2我国相关的法律法规网络犯罪案件非常猖獗。瑞星公司曾在发布的《中国电脑病毒疫情互联网安全报告》称,黑客除了通过木马程序窃取他人隐私外,更多的是谋求经济利益,木马病毒背后所带来的巨大的经济利益催生了病毒“工业化”入侵的进程，并形成了数亿元的产业链。“熊猫烧香”的程序设计者李俊,被警方抓获后,承认自己每天入账收入近万元，共获利上千万元。腾讯QQ密码被盗成为黑客的重灾区,高峰时腾讯每天约有10万人次反映QQ密码被盗。一著名网络游戏公司遭到长达10天网络攻击，服务器全面瘫痪,其经营的网络游戏被迫停止,损失高达3460万元人民币。案例3-33.2网络安全的法律法规第三个层面：地方性法规、规章、规范性文件公安部制定的《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机病毒防治管理办法》、《金融机构计算机信息系统安全保护工作暂行规定》、《关于开展计算机安全员培训工作的通知》等。工业和信息化部制定的《互联网电户公告服务管理规定》《软件产品管理办法》《计算机信息系统集成资质管理办法》《国际通信出入口局管理办法》、《国际通信设施建设管理规定》、《中国互联网络域名管理办法》《电信网间互联管理暂行规定》等。?讨论思考：（1）为什么说法律法规是网络安全体系的重要保障和基石？（2）国外的网络安全法律法规对我们有何启示？（3）我国网络安全立法体系框架分为哪三个层面？3.2.2我国相关的法律法规3.3网络安全准则和风险评估1.美国TCSEC(橙皮书)1983年由美国国防部制定的5200.28安全标准——可信计算系统评价准则TCSEC，即网络安全橙皮书或桔皮书，主要利用计算机安全级别评价计算机系统的安全性。它将安全分为4个方面（类别）：安全政策、可说明性、安全保障和文档。将这4个方面（类别）又分为7个安全级别，从低到高为D、C1、C2、B1、B2、B3和A级。数据库和网络其他子系统也一直用橙皮书来进行评估.橙皮书将安全的级别从低到高分成4个类别：D类、C类、B类和A类，并分为7个级别。如表3-1所示。3.3.1国外网络安全评价标准3.3.1国外网络安全评估标准类别级别名称主要特征DD低级保护没有安全保护CC1自主安全保护自主存储控制C2受控存储控制单独的可查性，安全标识BB1标识的安全保护强制存取控制，安全标识B2结构化保护面向安全的体系结构，较好的抗渗透能力B3安全区域存取监控、高抗渗透能力AA验证设计形式化的最高级描述和验证表3-1安全级别分类3.3网络安全准则和风险评估2．欧洲评价标准ITSEC信息技术安全评估标准ITSEC，俗称欧洲的白皮书，将保密作为安全增强功能，仅限于阐述技术安全要求，并未将保密措施直接与计算机功能相结合。ITSEC是欧洲的英国、法国、德国和荷兰等四国在借鉴橙皮书的基础上联合提出的。橙皮书将保密作为安全重点，而ITSEC则将首次提出的完整性、可用性与保密性作为同等重要的因素，并将可信计算机的概念提高到可信信息技术的高度。信息技术安全通用评价标准CC（CommonCriteriaforITSecurityEvaluation）由美国、加拿大、英国、法国、德国、荷兰于1996年联合提出，并逐渐形成国际标准ISO15408。网络安全评价标准形成与发展过程，如图3-7所示3．通用评价标准(CC)3.3网络安全准则和风险评估3．通用评估准则(CC)通用评估准则CC主要确定了评估信息技术产品和系统安全性的基本准则，提出了国际上公认的表述信息技术安全性的结构，将安全要求分为规范产品和系统安全行为的功能要求，以及解决如何正确有效的实施这些功能的保证要求。CC结合了FC及ITSEC的主要特征