《网络安全评估和安全法规.ppt》由会员分享,可在线阅读,更多相关《网络安全评估和安全法规.ppt(18页珍藏版)》请在金锄头文库上搜索。
1、第第1111章章 网络安全评估和安全法规网络安全评估和安全法规11.1 11.1 安全评估的国际通用准则安全评估的国际通用准则11.2 11.2 安全评估的国内通用准则安全评估的国内通用准则11.3 11.3 网络安全的法律和法规网络安全的法律和法规11.1 11.1 安全评估的国际通用准则安全评估的国际通用准则11.1.1 可信计算机系统安全评估准则可信计算机系统安全评估准则 TCSEC将将计计算算机机系系统统的的安安全全划划分分为为4个个等级、等级、8个级别。个级别。D类安全等级类安全等级 C类安全等级类安全等级 B类安全等级类安全等级 A类安全等级类安全等级 11.1.2 信息系统技术安
2、全评估通用准则信息系统技术安全评估通用准则国际通用准则(国际通用准则(CC)是)是ISO统一现有多种准则统一现有多种准则的结果,是目前最全面的评估准则。的结果,是目前最全面的评估准则。 CCCC认为安全的实现应构建在如下的层次框架之认为安全的实现应构建在如下的层次框架之上(自下而上)。上(自下而上)。(1 1)安全环境:使用评估对象时必须遵照的法律和)安全环境:使用评估对象时必须遵照的法律和组织安全政策以及存在的安全威胁。组织安全政策以及存在的安全威胁。(2)安全目的:对防范威胁、满足所需的组织安)安全目的:对防范威胁、满足所需的组织安全政策和假设声明。全政策和假设声明。(3)评估对象安全需求
3、:对安全目的的细化,主)评估对象安全需求:对安全目的的细化,主要是一组对安全功能和保证的技术需求。要是一组对安全功能和保证的技术需求。(4)评估对象安全规范:对评估对象实际实现或)评估对象安全规范:对评估对象实际实现或计划实现的定义。计划实现的定义。(5)评估对象安全实现:与规范一致的评估对象)评估对象安全实现:与规范一致的评估对象实际实现。实际实现。11.2 11.2 安全评估的国内通用准则安全评估的国内通用准则11.2.1 信息系统安全划分准则信息系统安全划分准则 国家标准国家标准GB17859-99是我国计算机信息系统安是我国计算机信息系统安全等级保护系列标准的核心,是实行计算机信息系全
4、等级保护系列标准的核心,是实行计算机信息系统安全等级保护制度建设的重要基础。此标准将信统安全等级保护制度建设的重要基础。此标准将信息系统分成息系统分成5个级别,分别是用户自主保护级、系个级别,分别是用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。访问验证保护级。 第第 一一 级第第 二二 级第第 三三 级第第 四四 级第第 五五 级自主自主访问控制控制身份身份鉴别数据完整性数据完整性客体重用客体重用审计强强制制访问控制控制标记隐蔽信道分析蔽信道分析可信路径可信路径可信恢复可信恢复表表11.1 信息系统的信息系统的5个级别
5、个级别 在在此此标标准准中中,一一个个重重要要的的概概念念是是可可信信计计算算基基(TCBTCB)。可可信信计计算算基基是是一一个个实实现现安安全全策策略略的的机机制制,包包括括硬硬件件、固固件件和和软软件件,它它们们将将根根据据安安全全策策略略来来处处理理主主体体(例例如如:系系统统管管理理员员、安安全全管管理理员员和和用用户户等等)对对客体(例如:进程、文件、记录和设备等)的访问。客体(例如:进程、文件、记录和设备等)的访问。1自主访问控制自主访问控制2身份鉴别身份鉴别3数据完整性数据完整性4客体重用客体重用5审计审计6强制访问控制强制访问控制7标记标记8隐蔽信道分析隐蔽信道分析9可信路径
6、可信路径10可信恢复可信恢复11.2.2 信息系统安全有关的标准信息系统安全有关的标准 随着随着CCCC标准的不断普及,我国也在标准的不断普及,我国也在20012001年发布年发布了了GB/T 18336GB/T 18336标准,这一标准等同采用标准,这一标准等同采用ISO/IEC ISO/IEC 15408-315408-3:信息技术信息技术 安全技术安全技术 信息技术安全性评信息技术安全性评估准则估准则 11.3 网络安全的法律和法规网络安全的法律和法规11.3.1 网络安全相关的法规网络安全相关的法规我国对信息系统的立法工作很重视,关于计算机信息系统安全我国对信息系统的立法工作很重视,关
7、于计算机信息系统安全方面的法规较多,涉及到信息系统安全保护、国际联网管理、方面的法规较多,涉及到信息系统安全保护、国际联网管理、计算机病毒防治、商用密码管理和安全产品检测与销售等多计算机病毒防治、商用密码管理和安全产品检测与销售等多方面。主要有以下一些。方面。主要有以下一些。(1)1989年,公安部发布了年,公安部发布了计算机病毒控制规定(草案)计算机病毒控制规定(草案)。(2)1991年,国务院第年,国务院第83次常委会议通过次常委会议通过计算机软件保护计算机软件保护条例条例。(3)1994年年2月月18日,国务院发布日,国务院发布中华人民共和国计算机信中华人民共和国计算机信息系统安全保护条
8、例息系统安全保护条例。其主要内容如下:。其主要内容如下:(4)1996年年2月月1日,国务院发布日,国务院发布中华人民共和国计算机信中华人民共和国计算机信息网络国际联网管理暂行规定息网络国际联网管理暂行规定。(5)1997年年5月月20日,国务院信息化工作领导小组制定了日,国务院信息化工作领导小组制定了中华人民共和国计算机信中华人民共和国计算机信(6)1997年,国务院信息化工作领导小组发布年,国务院信息化工作领导小组发布中国互联网中国互联网络域名注册暂行管理办法络域名注册暂行管理办法、中国互联网络域名注册实施细则中国互联网络域名注册实施细则。(7)1997年,原邮电部出台年,原邮电部出台国际
9、互联网出入信道管理办法国际互联网出入信道管理办法。(8)2000年,年,互联网信息服务管理办法互联网信息服务管理办法正式实施。正式实施。(9)2000年年11月,国务院新闻办公室和信息产业部联合发布月,国务院新闻办公室和信息产业部联合发布互联网站从事登载新闻业务管理暂行规定互联网站从事登载新闻业务管理暂行规定。(10)2000年年11月,信息产业部发布月,信息产业部发布互联网电子公告服务管互联网电子公告服务管理规定理规定。11.3.2 网络安全相关的法律网络安全相关的法律11.3.3 网络安全管理的有关法律网络安全管理的有关法律1网络服务业的法律规范网络服务业的法律规范(1)网络服务机构设立的
10、条件)网络服务机构设立的条件 是依法设立的企业法人或者事业法人。是依法设立的企业法人或者事业法人。 具有相应的计算机信息网络、装备以及相应具有相应的计算机信息网络、装备以及相应的技术人员和管理人员。的技术人员和管理人员。 具有健全的安全保密管理制度和技术保护措具有健全的安全保密管理制度和技术保护措施。施。 符合法律和国务院规定的其他条件。符合法律和国务院规定的其他条件。(2)网络服务业的对口管理)网络服务业的对口管理中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例规规定,对计算机信息系统中发生的案件,有关使用单定,对计算机信息系统中发生的案件,有关使用单位应当在
11、位应当在24小时内向当地县级以上人民政府公安机小时内向当地县级以上人民政府公安机关报告。对计算机病毒和危害社会公共安全的其他关报告。对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作,由公安部归口管理。国有害数据的防治研究工作,由公安部归口管理。国家对计算机信息系统安全专用产品的销售实行许可家对计算机信息系统安全专用产品的销售实行许可证制度。具体办法由公安部会同有关部门制定。证制度。具体办法由公安部会同有关部门制定。(3)互联网出入口信道管理)互联网出入口信道管理中华人民共和国计算机网络国际联网管理暂行规定中华人民共和国计算机网络国际联网管理暂行规定规定,计算机信息网络直接进行国际联网
12、,必须规定,计算机信息网络直接进行国际联网,必须使用邮电部国家公用电信网提供的国际出入口信道。使用邮电部国家公用电信网提供的国际出入口信道。任何单位和个人不得自行建立或者使用其他信道进任何单位和个人不得自行建立或者使用其他信道进行国际联网。已经建立的互联网络,根据国务院有行国际联网。已经建立的互联网络,根据国务院有关规定调整后,分别由邮电部、电子工业部,国家关规定调整后,分别由邮电部、电子工业部,国家教育委员会和中国科学院管理。新建互联网络,必教育委员会和中国科学院管理。新建互联网络,必须报经国务院批准。须报经国务院批准。 (4)计算机网络系统运行管理)计算机网络系统运行管理根据根据中华人民共
13、和国计算机信息网络国际联中华人民共和国计算机信息网络国际联网管理暂行规定实施办法网管理暂行规定实施办法要求,国际出入要求,国际出入口信道提供单位、互联单位和接入单位必须口信道提供单位、互联单位和接入单位必须建立网络管理中心,健全管理制度,做好网建立网络管理中心,健全管理制度,做好网络信息安全管理工作。络信息安全管理工作。(5)安全责任根据)安全责任根据中华人民共和国计算机信中华人民共和国计算机信息网络国际联网管理暂行规定息网络国际联网管理暂行规定,从事国际,从事国际联网业务的单位和个人,应当遵守国家有关联网业务的单位和个人,应当遵守国家有关法律、行政法规,严格执行安全保密制度,法律、行政法规,严格执行安全保密制度,不得利用国际联网从事危害国家安全、泄露不得利用国际联网从事危害国家安全、泄露国家秘密等违法犯罪活动,不得制作、查阅、国家秘密等违法犯罪活动,不得制作、查阅、复制和传播妨碍社会治安的信息和淫秽色情复制和传播妨碍社会治安的信息和淫秽色情等信息。等信息。2网络用户的法律规范网络用户的法律规范3互联网信息传播安全管理制度互联网信息传播安全管理制度11.3.4 电子公告服务的法律管制电子公告服务的法律管制
