《第1章 计算机网络安全概述》由会员分享,可在线阅读,更多相关《第1章 计算机网络安全概述(61页珍藏版)》请在金锄头文库上搜索。
1、ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted计算机网络安全技术主讲教师:陈锡文班级:08211参考教程:1.周苏,黄林国.信息安全技术M.中国铁道出版社.2009年8月湖南科技工业职业技术学院湖南科技工业职业技术学院湖南科技工业职业技术学院湖南科技工业职业技术学院湖南科技工业职业技术学院湖南科技工业职业技术学院陈锡文陈锡文陈锡文陈锡文陈锡文陈锡文第一章第一章 计算机网络安全概述计算机网络安全概述ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrigh
2、ted第一章第一章 计算机网络安全概述计算机网络安全概述 随着Internet迅猛发展和网络社会化的到来,网络已经无所不在地影响着社会的政治、经济、文化、军事、意识形态和社会生活等各个方面。同时在全球范围内,针对重要信息资源和网络基础设施的入侵行为和企图入侵行为的数量仍在持续不断增加,网络攻击与入侵行为对国家安全、经济和社会生活造成了极大的威胁。因此,网络安全已成为世界各国当今共同关注的焦点。ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted1.1 网络安全基本概念网络安全基本概念1. 安全在字典中的定义是为防范间谍活
3、动或蓄意破坏、犯罪、攻击而采取的措施,将安全的一般含义限定在计算机网络范畴,网络安全就是为防范计算机网络硬件、软件、数据偶然或蓄意破环、篡改、窃听、假冒、泄露、非法访问和保护网络系统持续有效工作的措施总和。1.1.1 1.1.1 网络安全定义网络安全定义网络安全定义网络安全定义ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted1. 网络安全保护范围密码安全密码安全计算机系统安全计算机系统安全网络安全网络安全信息安全信息安全图1 网络安全保护范围ChenxiwenChenxiwenChenxiwen copyrighte
4、d copyrighted copyrighted2. 网络安全侧重点研究人员更关注从理论上采用数学方法精确描述安全属性。工程人员从实际应用角度对成熟的网络安全解决方案和新型网络安全产品更感兴趣。评估人员关注的是网络安全评价标准、安全等级划分、安全产品测评方法与工具、网络信息采集以及网络攻击技术。ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted网络管理或网络安全管理人员通常更关心网络安全管理策略、身份认证、访问控制、入侵检测、网络安全审计、网络安全应急响应和计算机病毒防治等安全技术。国家安全保密部门来说,必须了解网络
5、信息泄露、窃听和过滤的各种技术手段,避免涉及国家政治、军事、经济等重要机密信息的无意或有意泄露;抑制和过滤威胁国家安全的反动与邪教等意识形态信息传播。ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted2. 网络安全侧重点公共安全部门应当熟悉国家和行业部门颁布的常用网络安全监察法律法规、网络安全取证、网络安全审计、知识产权保护、社会文化安全等技术,一旦发现窃取或破环商业机密信息、软件盗版、电子出版物侵权、色情与暴力信息传播等各种网络违法犯罪行为,能够取得可信的、完整的、准确的、符合国家法律法规的诉讼证据。 军事人员则更关
6、心信息对抗、信息加密、安全通信协议、无线网络安全、入侵攻击和网络病毒传播等网络安全综合技术,通过综合利用网络安全技术夺取网络信息优势;扰乱敌方指挥系统;摧毁敌方网络基础设施,以便赢得未来信息战争的决胜权。ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted1.1.2 网络安全目标网络安全的最终目标就是通过各种技术与管理手段实现网络信息系统的可靠性、保密性、完整性、有效性、可控性和拒绝否认性。可靠性(reliability)是所有信息系统正常运行的基本前提,通常指信息系统能够在规定的条件与时间内完成规定功能的特性。可控性(
7、controllability)是指信息系统对信息内容和传输具有控制能力的特性。拒绝否认性(no-repudiation)也称为不可抵赖性或不可否认性,拒绝否认性是指通信双方不能抵赖或否认已完成的操作和承诺,利用数字签名能够防止通信双方否认曾经发送和接收信息的事实。在多数情况下,网络安全更侧重强调网络信息的保密性、完整性和有效性。ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted保密性(confidentiality)是指信息系统防止信息非法泄露的特性,信息只限于授权用户使用,保密性主要通过信息加密、身份认证、访问控制
8、、安全通信协议等技术实现,信息加密是防止信息非法泄露的最基本手段。ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted完整性(integrity)是指信息未经授权不能改变的特性,完整性与保密性强调的侧重点不同。保密性强调信息不能非法泄露,而完整性强调信息在存储和传输过程中不能被偶然或蓄意修改、删除、伪造、添加、破坏或丢失,信息在存储和传输过程中必须保持原样。信息完整性表明了信息的可靠性、正确性、有效性和一致性,只有完整的信息才是可信任的信息。ChenxiwenChenxiwenChenxiwen copyrighted
9、copyrighted copyrighted有效性(Availability)是指信息资源容许授权用户按需访问的特性,有效性是信息系统面向用户服务的安全特性。信息系统只有持续有效,授权用户才能随时、随地根据自己的需要访问信息系统提供的服务。ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted1.1.3 网络安全模型为了实现网络安全目标,安全研究人员希望通过构造网络安全理论模型获得完整的网络安全解决方案。早期的网络安全模型主要从安全操作系统、信息加密、身份认证、访问控制和服务安全访问等方面来保障网络系统的安全性,但网络安
10、全解决方案是一个涉及法律、法规、管理、技术和教育等多个因素的复杂系统工程,单凭几个安全技术不可能保障网络系统的安全性。事实上,安全只具有相对意义,绝对的安全只是一个理念,任何安全模型都不可能将所有可能的安全隐患都考虑周全。因此,理想的网络安全模型永远不会存在。ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted1.1.3 网络安全模型安全策略安全策略保护保护检检测测响响应应图2 PPDR网络安全模型ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighte
11、d1.1.3 网络安全模型安全保护是网络安全的第一道防线,包括安全细则、安全配置和各种安全防御措施,能够阻止决大多数网络入侵和危害行为。入侵检测是网络安全的第二道防线,目的是采用主动出击方式实时检测合法用户滥用特权、第一道防线遗漏的攻击、未知攻击和各种威胁网络安全的异常行为,通过安全监控中心掌握整个网络的运行状态,采用与安全防御措施联动方式尽可能降低威胁网络安全的风险。ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted1.1.4 网络安全策略 网络安全策略是保障机构网络安全的指导文件,一般而言,网络安全策略包括总体安全
12、策略和具体安全管理实施细则。总体安全策略用于构建机构网络安全框架和战略指导方针,包括分析安全需求、分析安全威胁、定义安全目标、确定安全保护范围、分配部门责任、配备人力物力、确认违反策略的行为和相应的制裁措施。总体安全策略只是一个安全指导思想,还不能具体实施,在总体安全策略框架下针对特定应用制定的安全管理细则才规定了具体的实施方法和内容。ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted1. 安全策略总则(1)均衡性原则 网络安全策略需要在安全需求、易用性、效能和安全成本之间保持相对平衡,科学制定均衡的网络安全策略是提高
13、投资回报和充分发挥网络效能的关键。(2)时效性原则 由于影响网络安全的因素随时间有所变化,导致网络安全问题具有显著的时效性。ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted(3 3)最小化原则)最小化原则 网络系统提供的服务越多,安全漏网络系统提供的服务越多,安全漏洞和威胁也就越多。因此,应当关闭洞和威胁也就越多。因此,应当关闭网络安全策略中没有规定的网络服务;网络安全策略中没有规定的网络服务;以最小限度原则配置满足安全策略定以最小限度原则配置满足安全策略定义的用户权限;及时删除无用账号和义的用户权限;及时删除无用账
14、号和主机信任关系,将威胁网络安全的风主机信任关系,将威胁网络安全的风险降至最低。险降至最低。ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted2. 安全策略内容(1)网络硬件物理安全(2)网络连接安全(3)操作系统安全(4)网络服务安全(5)数据安全(6)安全管理责任(7)网络用户安全责任ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted1.2 网络安全漏洞与威胁软件漏洞(flaw)是指在设计与编制软件时没有考虑对非正常输入进行处理或错误代码而
15、造成的安全隐患,软件漏洞也称为软件脆弱性(vulnerability)或软件隐错(bug)。软件漏洞产生的主要原因是软件设计人员不可能将所有输入都考虑周全,因此,软件漏洞是任何软件存在的客观事实。软件产品通常在正式发布之前,一般都要相继发布版本、版本和版本供反复测试使用,目的就是为了尽可能减少软件漏洞。1.2.1 1.2.1 软件漏洞软件漏洞ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted 1.2.1 软件漏洞图4 攻击事件趋势图图3 软件漏洞趋势图ChenxiwenChenxiwenChenxiwen copyri
16、ghted copyrighted copyrighted 1.2.2 网络协议漏洞网络协议漏洞类似于软件漏洞,是指网络通信协议不完善而导致的安全隐患。截止到目前,Internet上广泛使用的TCP/IP协议族几乎所有协议都发现存在安全隐患 截止到2004年9月1日,专门从事安全漏洞名称标准化的公共漏洞披露机构CVE(common vulnerability and exposures)已发布了7616个不同的安全漏洞,新的安全漏洞仍在不断披露。ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted1.2.3 安全管理漏洞
17、 网络安全技术只是保证网络安全的基础,网络安全管理才是发挥网络安全技术的根本保证。因此,网络安全问题并不是一个纯技术问题,从网络安全管理角度看,网络安全首先应当是管理问题。 许多安全管理漏洞只要提高安全管理意识完全可以避免,如常见的系统缺省配置、脆弱性口令和信任关系转移等。系统缺省配置主要考虑的是用户友好性,但方便使用的同时也就意味着更多的安全隐患。ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted1.2.3 安全管理漏洞(续)网络安全管理是在网络安全策略指导下为保护网络不受内外各种威胁而采取的一系列网络安全措施,网络
18、安全策略则是根据网络安全目标和网络应用环境,为提供特定安全级别保护而必须遵守的规则。网络安全是相对的,是建立在信任基础之上的,绝对的网络安全永远不存在。ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted1.2.4 网络威胁来源网络安全威胁是指事件对信息资源的可靠性、保密性、完整性、有效性、可控性和拒绝否认性可能产生的危害,网络安全威胁根据威胁产生的因素可以分为自然和人为两大类。ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted1.2.4 网络威
19、胁来源(续)网络安全威胁网络安全威胁自然因素自然因素人为因素人为因素硬件故障;软件故障;电源故障;电磁干扰硬件故障;软件故障;电源故障;电磁干扰电磁辐射电磁辐射意外损坏意外损坏蓄意攻击蓄意攻击删除文件;格式化硬盘删除文件;格式化硬盘自然灾害自然灾害网络攻击;计算机病毒;滥用特权网络攻击;计算机病毒;滥用特权特洛伊木马;网络窃听;邮件截获特洛伊木马;网络窃听;邮件截获带电拔插;系统断电带电拔插;系统断电破坏保密性破坏保密性破坏完整性和有效性破坏完整性和有效性破坏保密性、完整性和有效性破坏保密性、完整性和有效性图图1.5 1.5 网络安全威胁分类及破坏目标网络安全威胁分类及破坏目标Chenxiwe
20、nChenxiwenChenxiwen copyrighted copyrighted copyrighted1.2.4 网络威胁来源(续) 据网络安全威胁来自网络边界内部或外部,蓄意攻击还可以分为内部攻击和外部攻击,由于内部人员位于信任范围内,熟悉敏感数据的存放位置、存取方法、网络拓扑结构、安全漏洞及防御措施,而且多数机构的安全保护措施都是“防外不防内”,因此,决大多数蓄意攻击来自内部而不是外部。以窃取网络信息为目的的外部攻击一般称为被动攻击,其他外部攻击统称为主动攻击。被动攻击主要破坏信息的保密性,而主动攻击主要破坏信息的完整性和有效性。ChenxiwenChenxiwenChenxiwe
21、n copyrighted copyrighted copyrighted1.2.4 网络威胁来源(续) 主动攻击主要来自网络黑客(hacker)、敌对势力、网络金融犯罪分子和商业竞争对手,早期黑客一词并无贬义,指独立思考、智力超群、精力充沛、热衷于探索软件奥秘和显示个人才干的计算机迷。但国内多数传播媒介将黑客作为贬义词使用,泛指利用网络安全漏洞蓄意破坏信息资源保密性、完整性和有效性的恶意攻击者。ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted1.3 信息安全评价标准 计算机信息系统安全产品种类繁多,功能也各不相同,
22、典型的信息安全评价标准主要有美国国防部颁布的可信计算机系统评价标准;欧洲德国、法国、英国、荷兰四国联合颁布的信息技术安全评价标准;加拿大颁布的可信计算机产品评价标准;美国、加拿大、德国、法国、英国、荷兰六国联合颁布的信息技术安全评价通用标准;中国国家质量技术监督局颁布的计算机信息系统安全保护等级划分准则。ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted1.3.1 信息安全评价标准简介表1.1 信息安全评价标准发展历程信息安全标准名称颁布国家颁布年份美国可信计算机系统评价标准TCSEC美国国防部1985美国TCSEC修
23、订版美国国防部1987德国计算机安全评价标准德国信息安全部1988英国计算机安全评价标准英国贸易部和国防部1989信息技术安全评价标准ITSEC欧洲德、法、英、荷四国1991加拿大可信计算机产品评价标准CTCPEC加拿大政府1993信息技术安全评价联邦标准草案FC美国标准技术委员会和安全局1993信息技术安全评价公共标准CC美、加、德、法、英、荷六国1996国家军用标准军用计算机安全评估准则中国国防科学技术委员会1996国际标准ISO/IEC 15408(CC)国际标准化组织1999计算机信息系统安全保护等级划分准则中国国家质量技术监督局1999信息技术-安全技术-信息技术安全评估准则中国国家
24、质量技术监督局2001ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted1.3.2 美国可信计算机系统评价标准TCSEC根据计算机系统采用的安全策略、提供的安全功能和安全功能保障的可信度将安全级别划分为D、C、B、A四大类七个等级,其中D类安全级别最低,A类安全级别最高。1.无安全保护D类2.自主安全保护C类3.强制安全保护B类4.验证安全保护A类ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted1.3.2 美国可信计算机系统评价标准(续)安全
25、功能安全功能无保护无保护D D级级自主保护自主保护C1C1级级图图 6 TCSEC6 TCSEC标准各安全等级关系标准各安全等级关系安全功能保障安全功能保障控制保护控制保护C2C2级级标记保护标记保护B1B1级级结构保护结构保护B2B2级级区域保护区域保护B3B3级级验证保护验证保护A A级级ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted1.3.3 其他国家信息安全评价标准1.德国计算机安全评价标准 德国信息安全部颁布的计算机安全评价标准绿皮书在TCSEC的基础上增加了系统有效性和数据完整性要求,共定义了10个安全
26、功能类别和8个实现安全功能的质量保障等级,安全功能类别用F1F10表示,安全质量保障等级用Q0Q7表示。ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted2.欧共体信息技术安全评价标准 欧洲共同体成员国德国、法国、英国、荷兰联合制定的信息技术安全评价标准ITSEC在吸收TCSEC、英国标准和德国绿皮书经验的基础上,首次提出了信息保密性、完整性和有效性安全目标概念。ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted3.加拿大可信计算机产品评价标准
27、 加拿大制定的可信计算机产品评价标准CTCPEC也将产品的安全要求分成安全功能和功能保障可依赖性两个方面,安全功能根据系统保密性、完整性、有效性和可计算性定义了6个不同等级05。ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted德国绿皮书标准 ITSEC标准 CTCPEC标准 TCSEC标准 功能等级 可信等级 功能等级 可信等级 功能等级 可信等级 安全等级 Q0 E0T0DF1 Q1F1E1T1C1F2Q2F2E20T2C2F3Q3F3E31T3B1F4Q4F4E42T4B2F5Q5F5E53T5B3Q6F6E64
28、T6AQ75T7超A表表1.2 1.2 安全评价标准之间的大致对应关系安全评价标准之间的大致对应关系 ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted1.3.4 国际通用信息安全评价标准 信息技术安全评价公共标准CC能够对信息技术领域中的各种安全措施进行安全评价,重点考虑人为因素导致的安全威胁。评价的信息系统或技术产品及其相关文档在CC中称为评价目标TOE(target of evaluation)。 CC标准采用类(class)、族(family)、组件(component)层次结构化方式的TOE安全功能。CC标准
29、安全保证(security assurance)同样采用了类、族和组件层次结构,保证类包含保证族,保证族又包含保证组件,保证组件由多个保证元素组成。ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted1.3.4 国际通用信息安全评价标准序号 类名 类功能1FAU 安全审计(security audit) 2FCO 通信(communication) 3FCS 密码支持(cryptographic support) 4FDP 用户数据保护(user data protection) 5FIA 身份认证(identifica
30、tion and authentication) 6FMT 安全管理(security management) 7FPR 隐私(privacy) 8FPT TOE安全功能保护(protection of TOE security function9FRU 资源利用(resource utilization) 10FTA TOE访问(TOE access)11FTP 可信通路(trusted path) 表1.3 CC标准定义的安全功能类 ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted1.3.4 国际通用信息安全评价
31、标准表1.4 CC标准定义的安全保证类序号 类名 类功能1ACM 配置管理(configuration management) 2ADO提交与操作(delivery and operation) 3ADV开发(development) 4AGD指导文挡(guidance documents) 5ALC生命周期支持(life cycle support) 6ATE测试(tests) 7AVA脆弱性评估(vulnerability assessment) 8AMA保证维护(maintenance of assurance) 9APE资源利用(protection profile evaluatio
32、n) 10ASE安全对象评价(security target evaluation) ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted1.3.5 国家信息安全评价标准CC标准 国家GB17859-1999 国家GB/T 18336-2001 美国TCSEC DEAL1 EAL1 EAL2用户自主保护 EAL2C1EAL3系统审计保护 EAL3C2EAL4安全标记保护 EAL4B1EAL5结构化保护 EAL5B2EAL6访问验证保护 EAL6B3EAL7EAL7A表1.5 CC及国家标准与TCSEC标准的对应关系 Ch
33、enxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted1.4 国家信息安全保护制度信息安全技术标准只是度量信息系统或产品安全性的技术规范,但信息安全技术标准的实施必须通过信息安全法规来保障。为了保护计算机信息系统的安全,促进计算机的应用和发展,保障社会主义现代化建设的顺利进行,1994年2月18日,中华人民共和国国务院发布了第147号令中华人民共和国计算机信息系统安全保护条例(以下简称安全保护条例),为计算机信息系统提供了安全保护制度。ChenxiwenChenxiwenChenxiwen copyrighted copyri
34、ghted copyrighted1.4.1 信息系统建设和应用制度安全保护制度第八条规定:计算机信息系统的建设和应用,应当遵守法律、行政法规和国家其他有关规定。无论是扩建、改建或新建信息系统,还是设计、施工和验收,都应当符合国家、行业部门或地方政府制定的相关法律、法规和技术标准。军用信息系统建设和应用需符合国家军用标准。ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted1.4.2 信息安全等级保护制度安全等级保护的关键是确定不同安全等级的边界,只有对不同安全等级的信息系统采用相应等级的安全保护措施,才能保障国家安全、
35、维护社会稳定和促进信息化建设健康发展。信息保密等级是划分信息系统安全等级的关键要素,中华人民共和国保守国家秘密法明确指出:国家秘密是关系国家的安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。 ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted1.4.2 信息安全等级保护制度(续)由于国家秘密信息限局部范围人员知晓,根据用户应知晓范围赋予不同的访问权限,将用户划分成不同安全等级。 此外,国家公安部依据安全保护条例、GB17859-1999和GB/T18336-2001陆续颁布了一系列计算机信息系统
36、安全等级保护公共安全行业标准,这些行业标准也是信息系统安全等级保护的重要依据。 ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted1.4.3 国际联网备案与媒体进出境制度 国际联网备案与媒体进出境制度是保障国家安全与利益的重要手段之一,安全保护条例第十一条规定:进行国际联网的计算机信息系统,由计算机信息系统的使用单位报省级以上人民政府公安机关备案。 第十二条规定:运输、携带、邮寄计算机信息媒体进出境的,应当如实向海关申报。ChenxiwenChenxiwenChenxiwen copyrighted copyright
37、ed copyrighted中国互联网络协会和各地公安机关相继建立了不良信息公众举报网站,例如,公安部网络违法案件举报网站(http:/),中国互联网络协会主办的违法和不良信息举报中心(http:/)。ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted1.4.4 安全管理与计算机犯罪报告制度 安全保护条例第十三条和第十四条分别规定:计算机信息系统的使用单位应当建立健全安全管理制度,负责本单位计算机信息系统的安全保护工作。对计算机信息系统中发生的案件,有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告。Che
38、nxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted 我国1997年全面修订中华人民共和国刑法时,分别加进了第二百八十五条非法侵入计算机信息系统罪、第二百八十六条破坏计算机信息系统罪和第二百八十七条利用计算机实施的各类犯罪条款。ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted1.4.4 安全管理与计算机犯罪报告制度(续) 打击计算机犯罪的关键是获取真实、可靠、完整和符合法律规定的电子证据,由于计算机犯罪具有无时间与地点限制、高技术手段、犯罪主体与对象
39、复杂、跨地区和跨国界作案、匿名登录或冒名顶替等特点,使电子证据本身和取证过程不同于传统物证和取证方法,给网络安全和司法调查提出了新的挑战。计算机取证(computer forensics)技术属于网络安全和司法调查领域交叉学科,目前已成为网络安全领域中的研究热点。ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted1.4.5 计算机病毒与有害数据防治制度有害数据是指计算机信息系统及其存储介质中存在、出现的,以计算机程序、图象、文字、声音等多种形式表示的,含有攻击人民民主专政、社会主义制度,攻击党和国家领导人,破坏民族团结
40、等危害国家安全内容的信息;含有宣扬封建迷信、淫秽色情、凶杀、教唆犯罪等危害社会治安秩序内容的信息,以及危害计算机信息系统运行和功能发挥,应用软件、数据可靠性、完整性和保密性,用于违法活动的包含计算机病毒在内的计算机程序。ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted中华人民共和国公安部第51号令计算机病毒防治管理办法对计算机病毒概念、计算机病毒主管部门、传播计算机病毒行为、计算机病毒疫情和违规责任等事项进行了详细说明。ChenxiwenChenxiwenChenxiwen copyrighted copyright
41、ed copyrighted1.4.6 安全专用产品销售许可证制度 安全保护条例第十六条规定:国家对计算机信息系统安全专用产品的销售实行许可证制度,具体办法由公安部会同有关部门制定。由于信息系统和信息安全产品直接影响着国家的安全和经济利益,各个国家都有自己的测评认证体系。我国的测评认证体系由国家信息安全测评认证管理委员会、国家信息安全测评认证中心(http:/)和授权分支机构组成。ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted 为方便读者引用或参考信息安全相关法律法规,表6 给出了国家信息安全保护常用法律法规名称、
42、颁布部门和年份。这些法律法规是实施国家信息安全保护制度的指导文件;是保护国家信息安全的坚强后盾;是打击计算机犯罪的有力武器;是公安机关和相关部门行使监督职权的执法依据;也是科学、规范管理信息安全的重要保证。ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted1.4.6 安全专用产品销售许可证制度法律法规名称 颁布部门 颁布年份 中华人民共和国计算机信息系统安全保护条例 国务院147号令1994-2-18中国公用计算机互联网国际联网管理办法邮电部493号令1996-4-3专用网与公用网联网的暂行规定邮电部1996-7-24
43、计算机信息系统安全专用产品检测和销售许可证管理办法公安部令第32号令1997-12-12计算机信息网络国际联网安全保护管理办法国务院批准公安部发布1997-12-30金融机构计算机信息系统安全保护工作暂行规定公安部和中国人民银行1998-8-31中华人民共和国保守国家秘密法全国人大常务委员会1988-9-5计算机信息系统国际联网保密管理规定国家保密局2000-1-1计算机病毒防治产品评级准则GA243-2000公安部公共安全行业标准2000-3-20计算机病毒防治管理办法公安部第51号令2000-4-26互联网信息服务管理办法国务院第292号令2000-9-20表6 国家信息安全保护常用法律法
44、规 ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted1.4.6 安全专用产品销售许可证制度(续)联网单位安全员管理办法公安部2000-9-29互联网电子公告服务管理规定信息产业部2000-11-7互联网站从事登载新闻业务管理暂行规定国务院新闻办公室2000-11-10关于维护互联网安全的决定全国人民代表大会常务委员会2000-12-2关于进一步加强互联网上网服务营业场所管理的通知国务院办公厅2001-4-3中国互联网行业自律公约中国互联网协会2002-3-26互联网出版管理暂行规定新闻出版总署、信息产业部2002-8
45、-1互联网上网服务营业场所管理条例国务院第363号令2002-9-29反垃圾邮件规范中国互联网协会2003-2-26互联网站禁止传播淫秽色情等不良信息自律规范中国互联网协会2004-6-10中华人民共和国电子签名法全国人民代表大会常务委员会2004-8-28(续表)(续表)ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted1.5 本章知识点小结1. 网络安全基本概念(1)网络安全定义(2)网络安全目标(3)网络安全模型(4)网络安全策略ChenxiwenChenxiwenChenxiwen copyrighted co
46、pyrighted copyrighted1.5 本章知识点小结(续)2.网络安全漏洞与威胁(1)软件漏洞(2)网络协议漏洞(3)安全管理漏洞(4)网络安全威胁ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted1.5 本章知识点小结(续)3.信息安全评价标准(1)美国可信计算机系统评价标准(2)其他国家信息安全评价标准(3)国际通用信息安全评价标准(4)国家信息安全评价标准ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted1.5 本章知识点小结
47、(续)3.信息安全评价标准(1)美国可信计算机系统评价标准(2)其他国家信息安全评价标准(3)国际通用信息安全评价标准(4)国家信息安全评价标准ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted1.5 本章知识点小结(续)4.国家信息安全保护制度中华人民共和国计算机信息系统安全保护条例是实施国家信息安全保护制度的法律文件,从计算机信息系统建设和应用、信息安全等级保护、国际联网备案、媒体进出境申报、建立健全安全管理、计算机犯罪案件报告、计算机病毒与有害数据防治、安全专用产品销售许可证9个方面规定了信息安全保护制度。ChenxiwenChenxiwenChenxiwen copyrighted copyrighted copyrighted全国人民代表大会常务委员会、国务院、公安部、国家保密局、信息产业部、邮电部、中国人民银行、中国互联网协会等部门先后颁布了多条配套的法律法规。这些法律法规和国家质量技术监督局颁布的信息安全技术标准为全面实施国家信息安全保护制度奠定了坚实的基础。
