第10章计算机系统安全管理资料
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
《准则》将计算机信息系统安全保护能力划分为5个 等级,计算机信息系统安全保护能力随着安全保护等级 的增高,逐渐增强。
第一级:用户自主保护级。
第二级:系统审计保护级。
第三级:安全标记保护级。
第四级:结构化保护级。
第五级:访问验证保护级。
2020/5/22
计算机系统安全原理与技术
6
➢ 国外计算机信息安全管理标准 1.ISO/IEC 17799:2000《信息技术 信息安全管理实用规则》
第10章 计算机系统安全管理
2020/5/22
计算机系统安全原理与技术
1
本章主要内容
计算机系统安全管理概述 信息安全标准及实施 安全管理与立法
2020/5/22
计算机系统安全原理与技术
2
10.1 计算机系统安全管理概述
➢安全管理的目的和任务
➢技术产品统一协调管理,提高系统防御入侵和抗攻击能力 ➢任务:技术、策略、制度
管理体系的建立。
2020/5/22
计算机系统安全原理与技术
13
10.6根据我国法律,软件著作权人有哪些权利?在 我们的学习和生活中,在我们的周围寻找有哪些 违反软件著作权的行为?
10.7 我国对计算机犯罪是如何界定的?
10.8我国有关计算机安全的法律法规有哪些?请了 解更多内容,思考在我们的学习和生活中如何规 范我们的行为。
2.信息技术安全性评估准则ITSEC
俗称“白皮书”。在吸收TCSEC成功经验的基础上, 首次在评估准则中提出了信息安全的保密性、完整性与 可用性的概念,把可信计算机的概念提高到了可信信息 技术的高度。
2020/5/22
计算机系统安全原理与技术
4
3.加拿大可信计算机产品评估准则CTCPEC
该标准将安全需求分为4个层次:机密性、完整性、可 靠性和可说明性。
4.《中华人民共和国刑法》
5.《全国人民代表大会常务委员会关于维护互联网安全的决定》
6.《计算机病毒防治管理办法》
7.《计算机信息系统国际联网保密管理规定》
8.《互联网电子公告服务管理规定》
9.《中华人民共和国电子签名法》
2020/5/22
计算机系统安全原理与技术
11
➢ 我国有关计算机知识产权的保护 1.《计算机软件保护条例》 2.《互联网著作权行政保护办法》
3.信息安全管理体系(ISMS)
2020/5/22
计算机系统安全原理与技术
ห้องสมุดไป่ตู้
7
➢ 我国信息安全管理标准 ·ISO/IEC 17799:2000《信息技术 信息安全管理实践规
范》;
·ISO/IEC TR 13335-1:1996《信息技术 IT安全管理指 南第1部分:IT安全的概念和模型》;
·ISO/IEC TR 13335-2:1997《信息技术 IT安全管理指 南第2部分:管理和规划IT安全》
4.美国联邦准则FC
5.信息技术安全评估通用标准CC
定义了作为评估信息技术产品和系统安全性的基础 准则,提出了目前国际上公认的表述信息技术安全性的 结构,即把安全要求分为规范产品和系统安全行为的功 能要求以及解决如何正确有效的实施这些功能的保证要 求。
6.ISO/IEC 21827:2002(SSE-CMM)
SSE-CMM的目的是建立和完善一套成熟的、可度 量的安全工程过程。该模型定义了一个安全工程过程应 有的特征,这些特征是完善的安全工程的根本保证。
2020/5/22
计算机系统安全原理与技术
5
➢ 我国计算机安全等级评测标准
由公安部主持制定、国家技术标准局发布的中华人民 共和国国家标准GBl7895—1999《计算机信息系统安全 保护等级划分准则》已经正式颁布,并于2001年1月1日 起实施。
➢安全管理原则 ➢规范、成熟、自主、均衡、应急
➢安全管理程序方法
➢基本程序和方法,并不断提升
2020/5/22
计算机系统安全原理与技术
3
10.2 信息安全标准及实施
➢国外主要的计算机系统安全评测准则
1.可信计算机系统评估准则TCSEC(桔皮书)
桔皮书把计算机系统的安全分为A、B、C、D四个 大等级七个安全级别。按照安全程度由弱到强的排列顺 序是:D,C1,C2,B1,B2,B3,A。
ISO/IEC 17799:2000是目前信息安全管理标准中应用 最为广泛的一个,来源于英国标准局BS7799系列标准的第 1部分,于2000年成功转化成ISO/IEC标准。
2.ISO/IEC TR 13335系列《信息技术 IT安全管理指南》 该系列标准的主要贡献是给出了IT安全管理的概念和模
型,并提供了多种可供选择的风险评估方法。
10.9 查阅计算机信息系统安全等级保护管理要求 制定的说明文件。
2020/5/22
计算机系统安全原理与技术
14
人有了知识,就会具备各种分析能力, 明辨是非的能力。 所以我们要勤恳读书,广泛阅读, 古人说“书中自有黄金屋。 ”通过阅读科技书籍,我们能丰富知识, 培养逻辑思维能力; 通过阅读文学作品,我们能提高文学鉴赏水平, 培养文学情趣; 通过阅读报刊,我们能增长见识,扩大自己的知识面。 有许多书籍还能培养我们的道德情操, 给我们巨大的精神力量, 鼓舞我们前进。
2020/5/22
计算机系统安全原理与技术
12
思考与练习
10.1 计算机安全管理有何重要意义?安全管理包 含哪些内容?安全管理要遵循哪些原则?
10.2 分析国外安全评估标准的发展,谈谈你对计 算机系统安全评估内容的认识。
10.3 本章中介绍的一些安全标准有何联系与区别? 10.4 简述ISO/IEC 17799标准的应用范围。 10.5 简述基于BS 7799/ISO 17799的信息安全
不仅对计算机信息系统安全的五个层面提出与安全管理 有关的要求,对管理层面本身的安全也提出了相应的要求, 其关系如图:
2020/5/22
计算机系统安全原理与技术
10
10.3 安全管理与立法
➢我国信息安全相关法律法规介绍
1.《中华人民共和国宪法》
2.《中华人民共和国计算机信息系统安全保护条例》
3.《计算机信息网络国际联网安全保护管理办法》
2020/5/22
计算机系统安全原理与技术
8
➢ 构建基于BS 7799/ISO 17799的信息安全管理体系 一个组织建立和实施ISMS大致包括以下三个阶段:
1.需求分析和计划 2.信息安全管理体系文件的编制 3.运行、审核和改进
2020/5/22
计算机系统安全原理与技术
9
➢ 计算机信息系统安全等级保护管理要求
第一级:用户自主保护级。
第二级:系统审计保护级。
第三级:安全标记保护级。
第四级:结构化保护级。
第五级:访问验证保护级。
2020/5/22
计算机系统安全原理与技术
6
➢ 国外计算机信息安全管理标准 1.ISO/IEC 17799:2000《信息技术 信息安全管理实用规则》
第10章 计算机系统安全管理
2020/5/22
计算机系统安全原理与技术
1
本章主要内容
计算机系统安全管理概述 信息安全标准及实施 安全管理与立法
2020/5/22
计算机系统安全原理与技术
2
10.1 计算机系统安全管理概述
➢安全管理的目的和任务
➢技术产品统一协调管理,提高系统防御入侵和抗攻击能力 ➢任务:技术、策略、制度
管理体系的建立。
2020/5/22
计算机系统安全原理与技术
13
10.6根据我国法律,软件著作权人有哪些权利?在 我们的学习和生活中,在我们的周围寻找有哪些 违反软件著作权的行为?
10.7 我国对计算机犯罪是如何界定的?
10.8我国有关计算机安全的法律法规有哪些?请了 解更多内容,思考在我们的学习和生活中如何规 范我们的行为。
2.信息技术安全性评估准则ITSEC
俗称“白皮书”。在吸收TCSEC成功经验的基础上, 首次在评估准则中提出了信息安全的保密性、完整性与 可用性的概念,把可信计算机的概念提高到了可信信息 技术的高度。
2020/5/22
计算机系统安全原理与技术
4
3.加拿大可信计算机产品评估准则CTCPEC
该标准将安全需求分为4个层次:机密性、完整性、可 靠性和可说明性。
4.《中华人民共和国刑法》
5.《全国人民代表大会常务委员会关于维护互联网安全的决定》
6.《计算机病毒防治管理办法》
7.《计算机信息系统国际联网保密管理规定》
8.《互联网电子公告服务管理规定》
9.《中华人民共和国电子签名法》
2020/5/22
计算机系统安全原理与技术
11
➢ 我国有关计算机知识产权的保护 1.《计算机软件保护条例》 2.《互联网著作权行政保护办法》
3.信息安全管理体系(ISMS)
2020/5/22
计算机系统安全原理与技术
ห้องสมุดไป่ตู้
7
➢ 我国信息安全管理标准 ·ISO/IEC 17799:2000《信息技术 信息安全管理实践规
范》;
·ISO/IEC TR 13335-1:1996《信息技术 IT安全管理指 南第1部分:IT安全的概念和模型》;
·ISO/IEC TR 13335-2:1997《信息技术 IT安全管理指 南第2部分:管理和规划IT安全》
4.美国联邦准则FC
5.信息技术安全评估通用标准CC
定义了作为评估信息技术产品和系统安全性的基础 准则,提出了目前国际上公认的表述信息技术安全性的 结构,即把安全要求分为规范产品和系统安全行为的功 能要求以及解决如何正确有效的实施这些功能的保证要 求。
6.ISO/IEC 21827:2002(SSE-CMM)
SSE-CMM的目的是建立和完善一套成熟的、可度 量的安全工程过程。该模型定义了一个安全工程过程应 有的特征,这些特征是完善的安全工程的根本保证。
2020/5/22
计算机系统安全原理与技术
5
➢ 我国计算机安全等级评测标准
由公安部主持制定、国家技术标准局发布的中华人民 共和国国家标准GBl7895—1999《计算机信息系统安全 保护等级划分准则》已经正式颁布,并于2001年1月1日 起实施。
➢安全管理原则 ➢规范、成熟、自主、均衡、应急
➢安全管理程序方法
➢基本程序和方法,并不断提升
2020/5/22
计算机系统安全原理与技术
3
10.2 信息安全标准及实施
➢国外主要的计算机系统安全评测准则
1.可信计算机系统评估准则TCSEC(桔皮书)
桔皮书把计算机系统的安全分为A、B、C、D四个 大等级七个安全级别。按照安全程度由弱到强的排列顺 序是:D,C1,C2,B1,B2,B3,A。
ISO/IEC 17799:2000是目前信息安全管理标准中应用 最为广泛的一个,来源于英国标准局BS7799系列标准的第 1部分,于2000年成功转化成ISO/IEC标准。
2.ISO/IEC TR 13335系列《信息技术 IT安全管理指南》 该系列标准的主要贡献是给出了IT安全管理的概念和模
型,并提供了多种可供选择的风险评估方法。
10.9 查阅计算机信息系统安全等级保护管理要求 制定的说明文件。
2020/5/22
计算机系统安全原理与技术
14
人有了知识,就会具备各种分析能力, 明辨是非的能力。 所以我们要勤恳读书,广泛阅读, 古人说“书中自有黄金屋。 ”通过阅读科技书籍,我们能丰富知识, 培养逻辑思维能力; 通过阅读文学作品,我们能提高文学鉴赏水平, 培养文学情趣; 通过阅读报刊,我们能增长见识,扩大自己的知识面。 有许多书籍还能培养我们的道德情操, 给我们巨大的精神力量, 鼓舞我们前进。
2020/5/22
计算机系统安全原理与技术
12
思考与练习
10.1 计算机安全管理有何重要意义?安全管理包 含哪些内容?安全管理要遵循哪些原则?
10.2 分析国外安全评估标准的发展,谈谈你对计 算机系统安全评估内容的认识。
10.3 本章中介绍的一些安全标准有何联系与区别? 10.4 简述ISO/IEC 17799标准的应用范围。 10.5 简述基于BS 7799/ISO 17799的信息安全
不仅对计算机信息系统安全的五个层面提出与安全管理 有关的要求,对管理层面本身的安全也提出了相应的要求, 其关系如图:
2020/5/22
计算机系统安全原理与技术
10
10.3 安全管理与立法
➢我国信息安全相关法律法规介绍
1.《中华人民共和国宪法》
2.《中华人民共和国计算机信息系统安全保护条例》
3.《计算机信息网络国际联网安全保护管理办法》
2020/5/22
计算机系统安全原理与技术
8
➢ 构建基于BS 7799/ISO 17799的信息安全管理体系 一个组织建立和实施ISMS大致包括以下三个阶段:
1.需求分析和计划 2.信息安全管理体系文件的编制 3.运行、审核和改进
2020/5/22
计算机系统安全原理与技术
9
➢ 计算机信息系统安全等级保护管理要求