网络安全评估和安全法规
安全评估的国际通用准则 安全评估的国内通用准则
安全评估的国际通用准则可信计算机系统安全评估准则 TCSEC将计算机系统的安全划分为 个等 将计算机系统的安全划分为4个等 将计算机系统的安全划分为 个级别。 级、8个级别。 个级别 D类安全等级 类安全等级 C类安全等级 类安全等级 B类安全等级 类安全等级 A类安全等级 类安全等级
信息系统技术安全评估通用准则
国际通用准则(CC)是ISO统一现有多 国际通用准则( ) 统一现有多 种准则的结果,是目前最全面的评估准则。 种准则的结果,是目前最全面的评估准则。
CC认为安全的实现应构建在如下的层次框架之上 认为安全的实现应构建在如下的层次框架之上 自下而上)。 (自下而上)。 (1)安全环境:使用评估对象时必须遵照的法律 )安全环境: 和组织安全政策以及存在的安全威胁。 和组织安全政策以及存在的安全威胁。 (2)安全目的:对防范威胁、满足所需的组织安 )安全目的:对防范威胁、 全政策和假设声明。 全政策和假设声明。 (3)评估对象安全需求:对安全目的的细化,主 )评估对象安全需求:对安全目的的细化, 要是一组对安全功能和保证的技术需求。 要是一组对安全功能和保证的技术需求。 (4)评估对象安全规范:对评估对象实际实现或 )评估对象安全规范: 计划实现的定义。 计划实现的定义。 (5)评估对象安全实现:与规范一致的评估对象 )评估对象安全实现: 实际实现。 实际实现。
安全评估的国内通用准则信息系统安全划分准则 国家标准GB17859-99是我国计算机信息系统安 是我国计算机信息系统安 国家标准 全等级保护系列标准的核心, 全等级保护系列标准的核心,是实行计算机信息系 统安全等级保护制度建设的重要基础。 统安全等级保护制度建设的重要基础。此标准将信 息系统分成5个级别 分别是用户自主保护级、 个级别, 息系统分成 个级别,分别是用户自主保护级、系 统审计保护级、安全标记保护级、 统审计保护级、安全标记保护级、结构化保护级和 访问验证保护级。 访问验证保护级。
信息系统的5个级别第 一 √ √ √ 级 第 二 级 √ √ √ √ √ 第 三 级 √ √ √ √ √ √ √ 第 四 √ √ √ √ √ √ √ √ √ 级 第 五 √ √ √ √ √ √ √ √ √ √ 级
自主访问控 制 身份鉴别
数据完整性
客体重用
审计
强制访问控 制 标记
隐蔽信道分 析 可信路径
可信恢复
在此标准中, 一个重要的概念是可信计算 在此标准中 , TCB) 基 ( TCB ) 。 可信计算基是一个实现安全策略 的机制,包括硬件
、固件和软件, 的机制, 包括硬件 、固件和软件,它们将根据 安全策略来处理主体(例如:系统管理员、 安全策略来处理主体(例如 :系统管理员、安 全管理员和用户等)对客体(例如:进程、文 全管理员和用户等) 对客体( 例如: 进程、 记录和设备等)的访问。 件、记录和设备等)的访问。
信息系统安全有关的标准 随着CC标准的不断普及,我国也在2001年 随着CC标准的不断普及,我国也在2001年 CC标准的不断普及 2001 发布了GB/T 18336标准 标准, 发布了GB/T 18336标准,这一标准等同采用 15408ISO/IEC 15408-3:《信息技术 安全技术 信息技术安全性评估准则》 信息技术安全性评估准则》
安全法律法规道德是自律的规范,法律是他律的规范 道德是自律的规范, 法律层次:1997年 中华人民共和国刑法》 法律层次:1997年《中华人民共和国刑法》首次 界定了计算机犯罪 行政法规和规章层次(保护计算机知识产权): 行政法规和规章层次(保护计算机知识产权): 1991《计算机软件保护条例》 1991《计算机软件保护条例》 1997《计算机信息网络国际联网安全保护管理办 1997《 法》 1998《 1998《金融机构计算机信息系统安全保护工作暂 行规定》 行规定》
在当前,计算机犯罪主要有下列行为: 在当前,计算机犯罪主要有下列行为: (1)故意制作 故意制作、 (1)故意制作、传播计算机病毒等破坏性程序 ,影响计算机系统正常运行 (2)对计算机信息系统功能进行删除 修改、 对计算机信息系统功能进行删除、 (2)对计算机信息系统功能进行删除、修改、 增加、干扰,造成计算机信息系统不能正常运行 增加、干扰, 。 (3)对计算机信息系统中存储 对计算机信息系统中存储、 (3)对计算机信息系统中存储、处理或者传输 的数据和应用程序进行删除、修改、 的数据和应用程序进行删除、修改、增加的操作 导致严重后果。 ,导致严重后果。 (4)非法侵入国家事务、国防建设、尖端科技 (4)非法侵入国家事务、国防建设、 非法侵入国家事务 领域的计算机信息系统: 领域的计算机信息系统: (5)通过互联网窃取 泄露国家秘密、 通过互联网窃取、 (5)通过互联网窃取、泄露国家秘密、情报或 者军事秘密。 者军事秘密。 (6)利用互联网造谣 诽谤、煽动或者发表、 利用互联网造谣、 (6)利用互联网造谣、诽谤、煽动或者发表、 传播其他有害信息,危害国家安全和社会稳定。 传播其他有害信息,危害国家安全和社会稳定。 (7)利用互联网进行诈骗 盗窃、敲诈勒索、 利用互联网进行诈骗、 (7)利用互联网进行诈骗、盗窃、敲诈勒索、 贪污、挪用公款。 贪污、挪用公款
。 (8)在互联网上建立淫秽网站 网页, 在互联网上建立淫秽网站、 (8)在互联网上建立淫秽网站、网页,提供淫 秽站点链接服务,或者传播淫秽书刊、影片、 秽站点链接服务,或者传播淫秽书刊、影片、音 像、图片。 图片。 (9)非法截获 篡改、 非法截获、 (9)非法截获、篡改、删除他人电子邮件或者 其他数据资料,侵犯公民通信自由和通信秘密。 其他数据资料,侵犯公民通信自由和通信秘密。
为了维护信息安全,网上活动的参考者即创造、 为了维护信息安全,网上活动的参考者即创造、 使用信息的人都要加强网络道德和素养, 使用信息的人都要加强网络道德和素养,自觉遵 守网络道德规范。 守网络道德规范。具体来说要切实做到下面几点 : 未经允许, 1.未经允许,不得进入他人计算机信息网络或 者使用计算机信息网络资源。 者使用计算机信息网络资源。 未经允许, 2.未经允许,不得对计算机信息网络功能进行 删除、修改或者增加。 删除、修改或者增加。 未经允许,不得对计算机信息网络中存储、 3.未经允许,不得对计算机信息网络中存储、 处理或者传输的数据和应用程序进行删除、 处理或者传输的数据和应用程序进行删除、修改 或者增加。 或者增加。 不得故意制作、 4.不得故意制作、传播计算机病毒等破坏性程 序的。 序的。 不做危害计算机信息网络安全的其他行为。 5.不做危害计算机信息网络安全的其他行为。