第11章网络安全评估和安全法规相关附件:98921ppt.pptx
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第11章 网络安全评估和安全法规
11.1 安全评估的国际通用准则 11.2 安全评估的国内通用准则 11.3 网络安全的法律和法规
11.1 安全评估的国际通用准则
11.1.1 可信计算机系统安全评估准则
TCSEC将计算机系统的安全划分为4个 等级、8个级别。
D类安全等级 C类安全等级 B类安全等级 A类安全等级
(3)评估对象安全需求:对安全目的的细化,主 要是一组对安全功能和保证的技术需求。
(4)评估对象安全规范:对评估对象实际实现或 计划实现的定义。
(5)评估对象安全实现:与规范一致的评估对象 实际实现。
11.2 安全评估的国内通用准则
11.2.1 信息系统安全划分准则
国家标准GB17859-99是我国计算机信息系统安 全等级保护系列标准的核心,是实行计算机信息系 统安全等级保护制度建设的重要基础。此标准将信 息系统分成5个级别,分别是用户自主保护级、系 统审计保护级、安全标记保护级、结构化保护级和 访问验证保护级。
(9)2000年11月,国务院新闻办公室和信息产业部联合发布 《互联网站从事登载新闻业务管理暂行规定》。
(10)2000年11月,信息产业部发布《互联网电子公告服务 管理规定》。
11.3.2 网络安全相关的法律 11.3.3 网络安全管理的有关法律 1.网络服务业的法律规范 (1)网络服务机构设立的条件 ① 是依法设立的企业法人或者事业法人。
(1)1989年,公安部发布了《计算机病毒控制规定(草 案)》。
(2)1991年,国务院第83次常委会议通过《计算机软件保护 条例》。
(3)1994年2月18日,国务院发布《中华人民共和国计算机 信息系统安全保护条例》。其主要内容如下:
(4)1996年2月1日,国务院发布《中华人民共和国计算机信 息网络国际联网管理暂行规定》。
(5)1997年5月20日,国务院信息化工作领导小组制定了 《中华人民共和国计算机信
(6)1997年,国务院信息化工作领导小组发布《中国互联网 络域名注册暂行管理办法》、
《中国互联网络域名注册实施细则》。
(7)1997年,原邮电部出台《国际互联网出入信道管理办 法》。
(8)2000年,《互联网信息服务管理办法》正式实施。
自主访问控制 身份鉴别 数据完整性 客体重用 审计 强制访问控制 标记 隐蔽信道分析 可信路径 可信恢复
表11.1
ห้องสมุดไป่ตู้
信息系统的5个级别
第一级 √ √ √
第二级 √ √ √ √ √
第三级 √ √ √ √ √ √ √
第四级 √ √ √ √ √ √ √ √ √
第五级 √ √ √ √ √ √ √ √ √ √
11.1.2 信息系统技术安全评估通用准则
国际通用准则(CC)是ISO统一现有多种准则 的结果,是目前最全面的评估准则。
CC认为安全的实现应构建在如下的层次框架之 上(自下而上)。 (1)安全环境:使用评估对象时必须遵照的法律和 组织安全政策以及存在的安全威胁。
(2)安全目的:对防范威胁、满足所需的组织安 全政策和假设声明。
11.2.2 信息系统安全有关的标准
随着CC标准的不断普及,我国也在2001年发 布了GB/T 18336标准,这一标准等同采用 ISO/IEC 15408-3:《信息技术 安全技术 信息技 术安全性评估准则》
11.3 网络安全的法律和法规
11.3.1 网络安全相关的法规
我国对信息系统的立法工作很重视,关于计算机信息系统安全 方面的法规较多,涉及到信息系统安全保护、国际联网管理、 计算机病毒防治、商用密码管理和安全产品检测与销售等多 方面。主要有以下一些。
在此标准中,一个重要的概念是可信计算基 (TCB)。可信计算基是一个实现安全策略的机制, 包括硬件、固件和软件,它们将根据安全策略来处理 主体(例如:系统管理员、安全管理员和用户等)对 客体(例如:进程、文件、记录和设备等)的访问。
1.自主访问控制 2.身份鉴别 3.数据完整性 4.客体重用 5.审计 6.强制访问控制 7.标记 8.隐蔽信道分析 9.可信路径 10.可信恢复
(3)互联网出入口信道管理
《中华人民共和国计算机网络国际联网管理暂行规定》 规定,计算机信息网络直接进行国际联网,必须使 用邮电部国家公用电信网提供的国际出入口信道。 任何单位和个人不得自行建立或者使用其他信道进 行国际联网。已经建立的互联网络,根据国务院有 关规定调整后,分别由邮电部、电子工业部,国家 教育委员会和中国科学院管理。新建互联网络,必 须报经国务院批准。
2.网络用户的法律规范 3.互联网信息传播安全管理制度 11.3.4 电子公告服务的法律管制
• 9、春去春又回,新桃换旧符。在那桃花盛开的地方,在这醉人芬芳的季节,愿你生活像春天一样阳光,心情像桃花一样美丽,日子像桃子一样甜蜜。20. 9.2020.9.20Sunday, September 20, 2020
(4)计算机网络系统运行管理
根据《中华人民共和国计算机信息网络国际联 网管理暂行规定实施办法》要求,国际出入 口信道提供单位、互联单位和接入单位必须 建立网络管理中心,健全管理制度,做好网 络信息安全管理工作。
(5)安全责任根据《中华人民共和国计算机 信息网络国际联网管理暂行规定》,从事国 际联网业务的单位和个人,应当遵守国家有 关法律、行政法规,严格执行安全保密制度, 不得利用国际联网从事危害国家安全、泄露 国家秘密等违法犯罪活动,不得制作、查阅、 复制和传播妨碍社会治安的信息和淫秽色情 等信息。
② 具有相应的计算机信息网络、装备以及相应 的技术人员和管理人员。
③ 具有健全的安全保密管理制度和技术保护措 施。
④ 符合法律和国务院规定的其他条件。
(2)网络服务业的对口管理
《中华人民共和国计算机信息系统安全保护条例》规 定,对计算机信息系统中发生的案件,有关使用单 位应当在24小时内向当地县级以上人民政府公安机 关报告。对计算机病毒和危害社会公共安全的其他 有害数据的防治研究工作,由公安部归口管理。国 家对计算机信息系统安全专用产品的销售实行许可 证制度。具体办法由公安部会同有关部门制定。
11.1 安全评估的国际通用准则 11.2 安全评估的国内通用准则 11.3 网络安全的法律和法规
11.1 安全评估的国际通用准则
11.1.1 可信计算机系统安全评估准则
TCSEC将计算机系统的安全划分为4个 等级、8个级别。
D类安全等级 C类安全等级 B类安全等级 A类安全等级
(3)评估对象安全需求:对安全目的的细化,主 要是一组对安全功能和保证的技术需求。
(4)评估对象安全规范:对评估对象实际实现或 计划实现的定义。
(5)评估对象安全实现:与规范一致的评估对象 实际实现。
11.2 安全评估的国内通用准则
11.2.1 信息系统安全划分准则
国家标准GB17859-99是我国计算机信息系统安 全等级保护系列标准的核心,是实行计算机信息系 统安全等级保护制度建设的重要基础。此标准将信 息系统分成5个级别,分别是用户自主保护级、系 统审计保护级、安全标记保护级、结构化保护级和 访问验证保护级。
(9)2000年11月,国务院新闻办公室和信息产业部联合发布 《互联网站从事登载新闻业务管理暂行规定》。
(10)2000年11月,信息产业部发布《互联网电子公告服务 管理规定》。
11.3.2 网络安全相关的法律 11.3.3 网络安全管理的有关法律 1.网络服务业的法律规范 (1)网络服务机构设立的条件 ① 是依法设立的企业法人或者事业法人。
(1)1989年,公安部发布了《计算机病毒控制规定(草 案)》。
(2)1991年,国务院第83次常委会议通过《计算机软件保护 条例》。
(3)1994年2月18日,国务院发布《中华人民共和国计算机 信息系统安全保护条例》。其主要内容如下:
(4)1996年2月1日,国务院发布《中华人民共和国计算机信 息网络国际联网管理暂行规定》。
(5)1997年5月20日,国务院信息化工作领导小组制定了 《中华人民共和国计算机信
(6)1997年,国务院信息化工作领导小组发布《中国互联网 络域名注册暂行管理办法》、
《中国互联网络域名注册实施细则》。
(7)1997年,原邮电部出台《国际互联网出入信道管理办 法》。
(8)2000年,《互联网信息服务管理办法》正式实施。
自主访问控制 身份鉴别 数据完整性 客体重用 审计 强制访问控制 标记 隐蔽信道分析 可信路径 可信恢复
表11.1
ห้องสมุดไป่ตู้
信息系统的5个级别
第一级 √ √ √
第二级 √ √ √ √ √
第三级 √ √ √ √ √ √ √
第四级 √ √ √ √ √ √ √ √ √
第五级 √ √ √ √ √ √ √ √ √ √
11.1.2 信息系统技术安全评估通用准则
国际通用准则(CC)是ISO统一现有多种准则 的结果,是目前最全面的评估准则。
CC认为安全的实现应构建在如下的层次框架之 上(自下而上)。 (1)安全环境:使用评估对象时必须遵照的法律和 组织安全政策以及存在的安全威胁。
(2)安全目的:对防范威胁、满足所需的组织安 全政策和假设声明。
11.2.2 信息系统安全有关的标准
随着CC标准的不断普及,我国也在2001年发 布了GB/T 18336标准,这一标准等同采用 ISO/IEC 15408-3:《信息技术 安全技术 信息技 术安全性评估准则》
11.3 网络安全的法律和法规
11.3.1 网络安全相关的法规
我国对信息系统的立法工作很重视,关于计算机信息系统安全 方面的法规较多,涉及到信息系统安全保护、国际联网管理、 计算机病毒防治、商用密码管理和安全产品检测与销售等多 方面。主要有以下一些。
在此标准中,一个重要的概念是可信计算基 (TCB)。可信计算基是一个实现安全策略的机制, 包括硬件、固件和软件,它们将根据安全策略来处理 主体(例如:系统管理员、安全管理员和用户等)对 客体(例如:进程、文件、记录和设备等)的访问。
1.自主访问控制 2.身份鉴别 3.数据完整性 4.客体重用 5.审计 6.强制访问控制 7.标记 8.隐蔽信道分析 9.可信路径 10.可信恢复
(3)互联网出入口信道管理
《中华人民共和国计算机网络国际联网管理暂行规定》 规定,计算机信息网络直接进行国际联网,必须使 用邮电部国家公用电信网提供的国际出入口信道。 任何单位和个人不得自行建立或者使用其他信道进 行国际联网。已经建立的互联网络,根据国务院有 关规定调整后,分别由邮电部、电子工业部,国家 教育委员会和中国科学院管理。新建互联网络,必 须报经国务院批准。
2.网络用户的法律规范 3.互联网信息传播安全管理制度 11.3.4 电子公告服务的法律管制
• 9、春去春又回,新桃换旧符。在那桃花盛开的地方,在这醉人芬芳的季节,愿你生活像春天一样阳光,心情像桃花一样美丽,日子像桃子一样甜蜜。20. 9.2020.9.20Sunday, September 20, 2020
(4)计算机网络系统运行管理
根据《中华人民共和国计算机信息网络国际联 网管理暂行规定实施办法》要求,国际出入 口信道提供单位、互联单位和接入单位必须 建立网络管理中心,健全管理制度,做好网 络信息安全管理工作。
(5)安全责任根据《中华人民共和国计算机 信息网络国际联网管理暂行规定》,从事国 际联网业务的单位和个人,应当遵守国家有 关法律、行政法规,严格执行安全保密制度, 不得利用国际联网从事危害国家安全、泄露 国家秘密等违法犯罪活动,不得制作、查阅、 复制和传播妨碍社会治安的信息和淫秽色情 等信息。
② 具有相应的计算机信息网络、装备以及相应 的技术人员和管理人员。
③ 具有健全的安全保密管理制度和技术保护措 施。
④ 符合法律和国务院规定的其他条件。
(2)网络服务业的对口管理
《中华人民共和国计算机信息系统安全保护条例》规 定,对计算机信息系统中发生的案件,有关使用单 位应当在24小时内向当地县级以上人民政府公安机 关报告。对计算机病毒和危害社会公共安全的其他 有害数据的防治研究工作,由公安部归口管理。国 家对计算机信息系统安全专用产品的销售实行许可 证制度。具体办法由公安部会同有关部门制定。