第10章 计算机系统安全管理
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2014-11-17
计算机系统安全原理与技术
13
10.6根据我国法律,软件著作权人有哪些权利?在 我们的学习和生活中,在我们的周围寻找有哪些 违反软件著作权的行为? 10.7 我国对计算机犯罪是如何界定的? 10.8我国有关计算机安全的法律法规有哪些?请了 解更多内容,思考在我们的学习和生活中如何规 范我们的行为。 10.9 查阅计算机信息系统安全等级保护管理要求 制定的说明文件。
2.ISO/IEC TR 13335系列《信息技术 IT安全管理指南》 该系列标准的主要贡献是给出了 IT 安全管理的概念和模 型,并提供了多种可供选择的风险评估方法。
3.信息安全管理体系(ISMS)
2014-11-17
计算机系统安全原理与技术
7
我国信息安全管理标准
· ISO/IEC 17799:2000《信息技术 信息安全管理实践规 范》; · ISO/IEC TR 13335-1:1996《信息技术 IT安全管理指 南第1部分:IT安全的概念和模型》; · ISO/IEC TR 13335-2:1997《信息技术 IT安全管理指 南第2部分:管理和规划IT安全》
计算机系统安全原理与技术
11
我国有关计算机知识产权的保护
1.《计算机软件保护条例》 2.《互联网著作权行政保护办法》
2014-11-17
计算机系统安全原理与技术
12
思考与练习
10.1 计算机安全管理有何重要意义?安全管理包 含哪些内容?安全管理要遵循哪些原则? 10.2 分析国外安全评估标准的发展,谈谈你对计 算机系统安全评估内容的认识。 10.3 本章中介绍的一些安全标准有何联系与区别? 10.4 简述ISO/IEC 17799标准的应用范围。 10.5 简述基于BS 7799/ISO 17799的信息安全 管理体系的建立。
2014-11-17
计算机系统安全原理与技术
8
构建基于BS 7799/ISO 17799的信息安全管理体系
一个组织建立和实施ISMS大致包括以下三个阶段: 1.需求分析和计划 2.信息安全管理体系文件的编制 3.运行、审核和改进
20பைடு நூலகம்4-11-17
计算机系统安全原理与技术
9
计算机信息系统安全等级保护管理要求 不仅对计算机信息系统安全的五个层面提出与安全管理 有关的要求,对管理层面本身的安全也提出了相应的要求, 其关系如图:
2014-11-17
计算机系统安全原理与技术
6
国外计算机信息安全管理标准
1.ISO/IEC 17799:2000《信息技术 信息安全管理实用规则》 ISO/IEC 17799:2000是目前信息安全管理标准中应用 最为广泛的一个,来源于英国标准局 BS7799系列标准的第 1部分,于2000年成功转化成ISO/IEC标准。
安全管理原则
规范、成熟、自主、均衡、应急
安全管理程序和方法
基本程序和方法,并不断提升
2014-11-17
计算机系统安全原理与技术
3
10.2 信息安全标准及实施
国外主要的计算机系统安全评测准则 1.可信计算机系统评估准则TCSEC(桔皮书) 桔皮书把计算机系统的安全分为A、B、C、D四个 大等级七个安全级别。按照安全程度由弱到强的排列顺 序是:D,C1,C2,B1,B2,B3,A1 。 2.信息技术安全性评估准则ITSEC 俗称“白皮书”。在吸收TCSEC成功经验的基础上, 首次在评估准则中提出了信息安全的保密性、完整性与 可用性的概念,把可信计算机的概念提高到了可信信息 技术的高度。
2014-11-17
计算机系统安全原理与技术
10
10.3 安全管理与立法
我国信息安全相关法律法规介绍
1.《中华人民共和国宪法》 2.《中华人民共和国计算机信息系统安全保护条例》 3.《计算机信息网络国际联网安全保护管理办法》 4.《中华人民共和国刑法》 5.《全国人民代表大会常务委员会关于维护互联网安全的决定》 6.《计算机病毒防治管理办法》 7.《计算机信息系统国际联网保密管理规定》 8.《互联网电子公告服务管理规定》 9.《中华人民共和国电子签名法》 2014-11-17
2014-11-17
计算机系统安全原理与技术
4
3.加拿大可信计算机产品评估准则CTCPEC 该标准将安全需求分为4个层次:机密性、完整性、可 靠性和可说明性。 4.美国联邦准则FC 5.信息技术安全评估通用标准CC 定义了作为评估信息技术产品和系统安全性的基础 准则,提出了目前国际上公认的表述信息技术安全性的 结构,即把安全要求分为规范产品和系统安全行为的功 能要求以及解决如何正确有效的实施这些功能的保证要 求。 6.ISO/IEC 21827:2002(SSE-CMM) SSE-CMM的目的是建立和完善一套成熟的、可度 量的安全工程过程。该模型定义了一个安全工程过程应 有的特征,这些特征是完善的安全工程的根本保证。 2014-11-17 计算机系统安全原理与技术 5
我国计算机安全等级评测标准
由公安部主持制定、国家技术标准局发布的中华人民 共和国国家标准GBl7895—1999《计算机信息系统安全 保护等级划分准则》已经正式颁布,并于2001年1月1日 起实施。 《准则》将计算机信息系统安全保护能力划分为 5 个 等级,计算机信息系统安全保护能力随着安全保护等级 的增高,逐渐增强。 第一级:用户自主保护级。 第二级:系统审计保护级。 第三级:安全标记保护级。 第四级:结构化保护级。 第五级:访问验证保护级。
第10章 计算机系统安全管理
2014-11-17
计算机系统安全原理与技术
1
本章主要内容
计算机系统安全管理概述 信息安全标准及实施 安全管理与立法
2014-11-17
计算机系统安全原理与技术
2
10.1 计算机系统安全管理概述
安全管理的目的和任务
技术产品统一协调管理,提高系统的防御入侵和抗攻 击能力 任务:技术、策略、制度
2014-11-17
计算机系统安全原理与技术
14
计算机系统安全原理与技术
13
10.6根据我国法律,软件著作权人有哪些权利?在 我们的学习和生活中,在我们的周围寻找有哪些 违反软件著作权的行为? 10.7 我国对计算机犯罪是如何界定的? 10.8我国有关计算机安全的法律法规有哪些?请了 解更多内容,思考在我们的学习和生活中如何规 范我们的行为。 10.9 查阅计算机信息系统安全等级保护管理要求 制定的说明文件。
2.ISO/IEC TR 13335系列《信息技术 IT安全管理指南》 该系列标准的主要贡献是给出了 IT 安全管理的概念和模 型,并提供了多种可供选择的风险评估方法。
3.信息安全管理体系(ISMS)
2014-11-17
计算机系统安全原理与技术
7
我国信息安全管理标准
· ISO/IEC 17799:2000《信息技术 信息安全管理实践规 范》; · ISO/IEC TR 13335-1:1996《信息技术 IT安全管理指 南第1部分:IT安全的概念和模型》; · ISO/IEC TR 13335-2:1997《信息技术 IT安全管理指 南第2部分:管理和规划IT安全》
计算机系统安全原理与技术
11
我国有关计算机知识产权的保护
1.《计算机软件保护条例》 2.《互联网著作权行政保护办法》
2014-11-17
计算机系统安全原理与技术
12
思考与练习
10.1 计算机安全管理有何重要意义?安全管理包 含哪些内容?安全管理要遵循哪些原则? 10.2 分析国外安全评估标准的发展,谈谈你对计 算机系统安全评估内容的认识。 10.3 本章中介绍的一些安全标准有何联系与区别? 10.4 简述ISO/IEC 17799标准的应用范围。 10.5 简述基于BS 7799/ISO 17799的信息安全 管理体系的建立。
2014-11-17
计算机系统安全原理与技术
8
构建基于BS 7799/ISO 17799的信息安全管理体系
一个组织建立和实施ISMS大致包括以下三个阶段: 1.需求分析和计划 2.信息安全管理体系文件的编制 3.运行、审核和改进
20பைடு நூலகம்4-11-17
计算机系统安全原理与技术
9
计算机信息系统安全等级保护管理要求 不仅对计算机信息系统安全的五个层面提出与安全管理 有关的要求,对管理层面本身的安全也提出了相应的要求, 其关系如图:
2014-11-17
计算机系统安全原理与技术
6
国外计算机信息安全管理标准
1.ISO/IEC 17799:2000《信息技术 信息安全管理实用规则》 ISO/IEC 17799:2000是目前信息安全管理标准中应用 最为广泛的一个,来源于英国标准局 BS7799系列标准的第 1部分,于2000年成功转化成ISO/IEC标准。
安全管理原则
规范、成熟、自主、均衡、应急
安全管理程序和方法
基本程序和方法,并不断提升
2014-11-17
计算机系统安全原理与技术
3
10.2 信息安全标准及实施
国外主要的计算机系统安全评测准则 1.可信计算机系统评估准则TCSEC(桔皮书) 桔皮书把计算机系统的安全分为A、B、C、D四个 大等级七个安全级别。按照安全程度由弱到强的排列顺 序是:D,C1,C2,B1,B2,B3,A1 。 2.信息技术安全性评估准则ITSEC 俗称“白皮书”。在吸收TCSEC成功经验的基础上, 首次在评估准则中提出了信息安全的保密性、完整性与 可用性的概念,把可信计算机的概念提高到了可信信息 技术的高度。
2014-11-17
计算机系统安全原理与技术
10
10.3 安全管理与立法
我国信息安全相关法律法规介绍
1.《中华人民共和国宪法》 2.《中华人民共和国计算机信息系统安全保护条例》 3.《计算机信息网络国际联网安全保护管理办法》 4.《中华人民共和国刑法》 5.《全国人民代表大会常务委员会关于维护互联网安全的决定》 6.《计算机病毒防治管理办法》 7.《计算机信息系统国际联网保密管理规定》 8.《互联网电子公告服务管理规定》 9.《中华人民共和国电子签名法》 2014-11-17
2014-11-17
计算机系统安全原理与技术
4
3.加拿大可信计算机产品评估准则CTCPEC 该标准将安全需求分为4个层次:机密性、完整性、可 靠性和可说明性。 4.美国联邦准则FC 5.信息技术安全评估通用标准CC 定义了作为评估信息技术产品和系统安全性的基础 准则,提出了目前国际上公认的表述信息技术安全性的 结构,即把安全要求分为规范产品和系统安全行为的功 能要求以及解决如何正确有效的实施这些功能的保证要 求。 6.ISO/IEC 21827:2002(SSE-CMM) SSE-CMM的目的是建立和完善一套成熟的、可度 量的安全工程过程。该模型定义了一个安全工程过程应 有的特征,这些特征是完善的安全工程的根本保证。 2014-11-17 计算机系统安全原理与技术 5
我国计算机安全等级评测标准
由公安部主持制定、国家技术标准局发布的中华人民 共和国国家标准GBl7895—1999《计算机信息系统安全 保护等级划分准则》已经正式颁布,并于2001年1月1日 起实施。 《准则》将计算机信息系统安全保护能力划分为 5 个 等级,计算机信息系统安全保护能力随着安全保护等级 的增高,逐渐增强。 第一级:用户自主保护级。 第二级:系统审计保护级。 第三级:安全标记保护级。 第四级:结构化保护级。 第五级:访问验证保护级。
第10章 计算机系统安全管理
2014-11-17
计算机系统安全原理与技术
1
本章主要内容
计算机系统安全管理概述 信息安全标准及实施 安全管理与立法
2014-11-17
计算机系统安全原理与技术
2
10.1 计算机系统安全管理概述
安全管理的目的和任务
技术产品统一协调管理,提高系统的防御入侵和抗攻 击能力 任务:技术、策略、制度
2014-11-17
计算机系统安全原理与技术
14