网络安全评估和安全法规

网络安全评估和安全法规

安全评估的国际通用准则 安全评估的国内通用准则

安全评估的国际通用准则可信计算机系统安全评估准则 TCSEC将计算机系统的安全划分为 个等 将计算机系统的安全划分为4个等 将计算机系统的安全划分为 个级别。 级、8个级别。 个级别 D类安全等级 类安全等级 C类安全等级 类安全等级 B类安全等级 类安全等级 A类安全等级 类安全等级

信息系统技术安全评估通用准则

国际通用准则(CC)是ISO统一现有多 国际通用准则( ) 统一现有多 种准则的结果，是目前最全面的评估准则。 种准则的结果，是目前最全面的评估准则。

CC认为安全的实现应构建在如下的层次框架之上 认为安全的实现应构建在如下的层次框架之上 自下而上)。 (自下而上)。 (1)安全环境：使用评估对象时必须遵照的法律 )安全环境： 和组织安全政策以及存在的安全威胁。 和组织安全政策以及存在的安全威胁。 (2)安全目的：对防范威胁、满足所需的组织安 )安全目的：对防范威胁、 全政策和假设声明。 全政策和假设声明。 (3)评估对象安全需求：对安全目的的细化，主 )评估对象安全需求：对安全目的的细化， 要是一组对安全功能和保证的技术需求。 要是一组对安全功能和保证的技术需求。 (4)评估对象安全规范：对评估对象实际实现或 )评估对象安全规范： 计划实现的定义。 计划实现的定义。 (5)评估对象安全实现：与规范一致的评估对象 )评估对象安全实现： 实际实现。 实际实现。

安全评估的国内通用准则信息系统安全划分准则 国家标准GB17859-99是我国计算机信息系统安 是我国计算机信息系统安 国家标准 全等级保护系列标准的核心， 全等级保护系列标准的核心，是实行计算机信息系 统安全等级保护制度建设的重要基础。 统安全等级保护制度建设的重要基础。此标准将信 息系统分成5个级别 分别是用户自主保护级、 个级别， 息系统分成 个级别，分别是用户自主保护级、系 统审计保护级、安全标记保护级、 统审计保护级、安全标记保护级、结构化保护级和 访问验证保护级。 访问验证保护级。

信息系统的5个级别第 一 √ √ √ 级 第 二 级 √ √ √ √ √ 第 三 级 √ √ √ √ √ √ √ 第 四 √ √ √ √ √ √ √ √ √ 级 第 五 √ √ √ √ √ √ √ √ √ √ 级

自主访问控 制 身份鉴别

数据完整性

客体重用

审计

强制访问控 制 标记

隐蔽信道分 析 可信路径

可信恢复

在此标准中， 一个重要的概念是可信计算 在此标准中 ， TCB) 基 ( TCB ) 。 可信计算基是一个实现安全策略 的机制，包括硬件

、固件和软件， 的机制， 包括硬件 、固件和软件，它们将根据 安全策略来处理主体(例如：系统管理员、 安全策略来处理主体(例如 ：系统管理员、安 全管理员和用户等)对客体(例如：进程、文 全管理员和用户等) 对客体( 例如： 进程、 记录和设备等)的访问。 件、记录和设备等)的访问。

信息系统安全有关的标准 随着CC标准的不断普及，我国也在2001年 随着CC标准的不断普及，我国也在2001年 CC标准的不断普及 2001 发布了GB/T 18336标准 标准， 发布了GB/T 18336标准，这一标准等同采用 15408ISO/IEC 15408-3:《信息技术 安全技术 信息技术安全性评估准则》 信息技术安全性评估准则》

安全法律法规道德是自律的规范，法律是他律的规范 道德是自律的规范， 法律层次：1997年 中华人民共和国刑法》 法律层次：1997年《中华人民共和国刑法》首次 界定了计算机犯罪 行政法规和规章层次(保护计算机知识产权): 行政法规和规章层次(保护计算机知识产权): 1991《计算机软件保护条例》 1991《计算机软件保护条例》 1997《计算机信息网络国际联网安全保护管理办 1997《 法》 1998《 1998《金融机构计算机信息系统安全保护工作暂 行规定》 行规定》

在当前，计算机犯罪主要有下列行为： 在当前，计算机犯罪主要有下列行为： (1)故意制作 故意制作、 (1)故意制作、传播计算机病毒等破坏性程序 ，影响计算机系统正常运行 (2)对计算机信息系统功能进行删除 修改、 对计算机信息系统功能进行删除、 (2)对计算机信息系统功能进行删除、修改、 增加、干扰，造成计算机信息系统不能正常运行 增加、干扰， 。 (3)对计算机信息系统中存储 对计算机信息系统中存储、 (3)对计算机信息系统中存储、处理或者传输 的数据和应用程序进行删除、修改、 的数据和应用程序进行删除、修改、增加的操作 导致严重后果。 ,导致严重后果。 (4)非法侵入国家事务、国防建设、尖端科技 (4)非法侵入国家事务、国防建设、 非法侵入国家事务 领域的计算机信息系统： 领域的计算机信息系统： (5)通过互联网窃取 泄露国家秘密、 通过互联网窃取、 (5)通过互联网窃取、泄露国家秘密、情报或 者军事秘密。 者军事秘密。 (6)利用互联网造谣 诽谤、煽动或者发表、 利用互联网造谣、 (6)利用互联网造谣、诽谤、煽动或者发表、 传播其他有害信息，危害国家安全和社会稳定。 传播其他有害信息，危害国家安全和社会稳定。 (7)利用互联网进行诈骗 盗窃、敲诈勒索、 利用互联网进行诈骗、 (7)利用互联网进行诈骗、盗窃、敲诈勒索、 贪污、挪用公款。 贪污、挪用公款 …… 此处隐藏：2338字，全部文档内容请下载后查看。喜欢就下载吧 ……