《计算机安全策略部署浙大讲稿》第二章 政策法规与标准课件

第二章政策法规与标准

第二章政策法规与标准1政策法规与标准组织机构立法立足点计算机犯罪法各国立法我国立法计算机安全评价标准可信计算机系统评估准则OSI安全体系结构政策法规与标准组织机构2组织机构比较活跃的组织有：IFIP(国际信息处理联合会)WISE（国际强化安全研究所）中国电子学会于1978年提出申请，1979年国务院批准向IFIP递交入会申请，1980年1月1日IFIP正式接纳中国电子学会代表中国为其成员学会组织机构比较活跃的组织有：3政策法规与标准组织机构立法立足点计算机犯罪法各国立法我国立法计算机安全评价标准可信计算机系统评估准则OSI安全体系结构政策法规与标准组织机构4立法立足点计算机安全是指计算机资产安全，具体含义有四层：系统设备和相关设施运行正常，系统服务适时。软件(包括网络软件，应用软件和相关的软件)正常。系统拥有的或产生的数据信息完整，有效，使用合法，不会被泄漏。系统资源和信息资源使用合法立法立足点计算机安全是指计算机资产安全，具体含义有四层：5立法立足点计算机安全需要以下五个机制：威慑:提醒人们不要做有害于计算机的事，否则将受到法律的制裁。预防并阻止不法分子对计算机资源产生危害。检查:能查出系统安全隐患，查明已发生的各种事情的原因。恢复。系统发生意外事件或是事故从而导致系统中断或数据受损后，能在短期内恢复。纠正，能及时堵塞安全漏洞，改进安全措施。立法立足点计算机安全需要以下五个机制：6立法立足点计算机安全战略应当是： 运用政策、法律、管理和技术手段，保护计算机资产免受自然和人为有害因素的威胁和危害，把计算机安全事件发生率和可能造成的政治、经济损失降低到最小限度。立法立足点计算机安全战略应当是：7政策法规与标准组织机构立法立足点计算机犯罪法各国立法我国立法计算机安全评价标准可信计算机系统评估准则OSI安全体系结构政策法规与标准组织机构8计算机犯罪法计算机犯罪法是以防止计算机犯罪行为、惩罚犯罪、保护计算机资产为目的。它规定利用计算机收取非法利益；非法取得计算机信息系统服务；用非法手段侵入计算机信息系统和网络进行盗窃、破坏、篡改数据流文件，或扰乱系统功能；利用计算机或计算机知识窃取金融证券、现金、程序、信息、情报等行为的为计算机犯罪。计算机犯罪法计算机犯罪法是以防止计算机犯罪行为、惩罚犯罪、保9计算机犯罪法典型的计算机犯罪条文：任何人未经许可企图利用或已经利用计算机系统或网络进行诈骗或窃取钱财。任何人未经许可企图或以已经使用任何计算机系统或网络，窃取信息或输入假信息，侵犯他人利益。任何人超出其工作范围企图或未经许可访问任何计算机系统、网络、程序、文件，存取数据。任何人故意删除、篡改、损害、破坏程序、数据、文件，破坏、更改计算机系统和网络，中断或拒绝计算机服务，非法获得计算机服务。计算机犯罪法典型的计算机犯罪条文：10计算机犯罪法以瑞典为代表的欧洲（数据法与数据保护法类型法律）：建立和处理文件不得侵害私人(包括法人)的权利。任何个人、社会团体及政府部门，凡需建立有关私人情况的文件或处理这方面的文件，都必须事先得到数据监察局的许可，根据政府或议会命令而建立文件，也要事先征求监察局的意见。监察人员在执行任务时，有权进入数据处理中心，接触任何文件和资料，有权命令停止计算机系统运行。监察局在发给许可证时，要对建立文件的日期，文件组成、数据处理、使用何种设备等方面作一些指示，必要时还要发布命令，有关方面必须遵守。监察局除了进行监督，检查、指导工作外，还起监诉官的作用，并处理受害者的申诉事务。计算机犯罪法以瑞典为代表的欧洲（数据法与数据保护法类型法律）11政策法规与标准组织机构立法立足点计算机犯罪法各国立法我国立法计算机安全评价标准可信计算机系统评估准则OSI安全体系结构政策法规与标准组织机构12各国立法1973年瑞典通过数据法，成立国家计算机安全脆弱委员会以及脆弱性局、数据安全局。1978年美国佛罗里达州对计算机犯罪立法，之后美国联邦政府相继通过“计算机诈骗与滥用法”，“电子通讯隐私法”，“联邦计算机安全法”，信息自由法，反腐败行动法，伪造访问设备和计算机欺骗与滥用法，计算机安全法等法律。英国也有数据保护法与计算机滥用法案等法律。各国立法13政策法规与标准组织机构立法立足点计算机犯罪法各国立法我国立法计算机安全评价标准可信计算机系统评估准则OSI安全体系结构政策法规与标准组织机构14我国立法1981年起我国开始开展计算机安全监察1988年中华人民共和国计算机信息系统安全保护条例通过1994年2月18日发布的《中华人民共和国计算机信息系统安全保护条例》1996年2月1日发布了《中华人民共和国计算机信息网络国际联网管理暂行规定》1997年3月18日公布的新刑法增加了有关计算机犯罪方面的规定，它们分别是第217条第1项、第285条至第287条。行政法规：《计算机软件保护条例》《计算机病毒控制条例》（试行）《计算机信息系统安全保护条例》《计算机信息网络国际联网管理暂行规定》等我国立法1981年起我国开始开展计算机安全监察15政策法规与标准组织机构立法立足点计算机犯罪法各国立法我国立法计算机安全评价标准可信计算机系统评估准则OSI安全体系结构政策法规与标准组织机构16计算机安全评价标准安全评价的目的是制订适合出—定范围的系统一致的评估方法，避免同一系统、同一应用的多重评价它主要适用范围是硬件和操作系统，也可用于应用系统评价计算机安全评价标准安全评价的目的是制订适合出—定范围的系统一17计算机安全评价标准制定安全标准的策略应从以下几方由来考虑：与计算机系统的实际环境相结合与国际环境相适应具有一定程度的模糊性具有一定范围的适应性计算机安全评价标准制定安全标准的策略应从以下几方由来考虑：18可信计算机系统评估准则《可信计算机系统评估准则》（TCSEC-TrustedComputerSystemEvaluationCriteria，俗称橘皮书）是美国国防部于1985年发表的一份技术文件制定《准则》的目的:向制造商提供一个标准，即指导制造商如何在他们新开发的、并将广泛使用的商用产品中采用安全部件来满足敏感应用的可信要求。向用户提供一种验证标准，用户可用此标准来评估计算机系统处理秘密信息和其它敏感信息的可信程序。为制定规范时的安全需求提供一个基准。可信计算机系统评估准则《可信计算机系统评估准则》（TCSEC19可信计算机系统评估准则《可信计算机系统评估准则》分成D，C，B和A四类：D级：最小保护C级:自主保护C1级：自主型安全保护C2级：可控访问保护B级:强制安全保护B1级：标记安全保护B2级：结构化保护B3级：安全域A级：验证设计A1：经过验证的设计A2：A1级以外的系统英国的5（安全控制可实施）+6标准（安全目标不可实施）原西德信息安全部门1989公布的信息技术系统可信性评价标准可信计算机系统评估准则《可信计算机系统评估准则》分成D，C，20OSI安全体系结构安全技术评价标准：国际标准化组织ISO7498-2中描述开放互连OSI安全体系结构的5种安全服务项目鉴别访问控制数据保密数据完整抗否认OSI安全体系结构安全技术评价标准：国际标准化组织ISO7421OSI安全体系结构8种安全机制：加密机制数字签名机制访问控制机制数据完整性机制鉴别交换机制通信业务填充机制路由控制机制公证机制OSI安全体系结构8种安全机制：22OSI安全体系结构具体安全协议上国际标准：安全电子交易协议SETANSI的DESRSA加密算法标准数据传输时新的加密标准(AES)OSI安全体系结构具体安全协议上国际标准：23第二章政策法规与标准

第二章政策法规与标准24政策法规与标准组织机构立法立足点计算机犯罪法各国立法我国立法计算机安全评价标准可信计算机系统评估准则OSI安全体系结构政策法规与标准组织机构25组织机构比较活跃的组织有：IFIP(国际信息处理联合会)WISE（国际强化安全研究所）中国电子学会于1978年提出申请，1979年国务院批准向IFIP递交入会申请，1980年1月1日IFIP正式接纳中国电子学会代表中国为其成员学会组织机构比较活跃的组织有：26政策法规与标准组织机构立法立足点计算机犯罪法各国立法我国立法计算机安全评价标准可信计算机系统评估准则OSI安全体系结构政策法规与标准组织机构27立法立足点计算机安全是指计算机资产安全，具体含义有四层：系统设备和相关设施运行正常，系统服务适时。软件(包括网络软件，应用软件和相关的软件)正常。系统拥有的或产生的数据信息完整，有效，使用合法，不会被泄漏。系统资源和信息资源使用合法立法立足点计算机安全是指计算机资产安全，具体含义有四层：28立法立足点计算机安全需要以下五个机制：威慑:提醒人们不要做有害于计算机的事，否则将受到法律的制裁。预防并阻止不法分子对计算机资源产生危害。检查:能查出系统安全隐患，查明已发生的各种事情的原因。恢复。系统发生意外事件或是事故从而导致系统中断或数据受损后，能在短期内恢复。纠正，能及时堵塞安全漏洞，改进安全措施。立法立足点计算机安全需要以下五个机制：29立法立足点计算机安全战略应当是： 运用政策、法律、管理和技术手段，保护计算机资产免受自然和人为有害因素的威胁和危害，把计算机安全事件发生率和可能造成的政治、经济损失降低到最小限度。立法立足点计算机安全战略应当是：30政策法规与标准组织机构立法立足点计算机犯罪法各国立法我国立法计算机安全评价标准可信计算机系统评估准则OSI安全体系结构政策法规与标准组织机构31计算机犯罪法计算机犯罪法是以防止计算机犯罪行为、惩罚犯罪、保护计算机资产为目的。它规定利用计算机收取非法利益；非法取得计算机信息系统服务；用非法手段侵入计算机信息系统和网络进行盗窃、破坏、篡改数据流文件，或扰乱系统功能；利用计算机或计算机知识窃取金融证券、现金、程序、信息、情报等行为的为计算机犯罪。计算机犯罪法计算机犯罪法是以防止计算机犯罪行为、惩罚犯罪、保32计算机犯罪法典型的计算机犯罪条文：任何人未经许可企图利用或已经利用计算机系统或网络进行诈骗或窃取钱财。任何人未经许可企图或以已经使用任何计算机系统或网络，窃取信息或输入假信息，侵犯他人利益。任何人超出其工作范围企图或未经许可访问任何计算机系统、网络、程序、文件，存取数据。任何人故意删除、篡改、损害、破坏程序、数据、文件，破坏、更改计算机系统和网络，中断或拒绝计算机服务，非法获得计算机服务。计算机犯罪法典型的计算机犯罪条文：33计算机犯罪法以瑞典为代表的欧洲（数据法与数据保护法类型法律）：建立和处理文件不得侵害私人(包括法人)的权利。任何个人、社会团体及政府部门，凡需建立有关私人情况的文件或处理这方面的文件，都必须事先得到数据监察局的许可，根据政府或议会命令而建立文件，也要事先征求监察局的意见。监察人员在执行任务时，有权进入数据处理中心，接触任何文件和资料，有权命令停止计算机系统运行。监察局在发给许可证时，要对建立文件的日期，文件组成、数据处理、使用何种设备等方面作一些指示，必要时还要发布命令，有关方面必须遵守。监察局除了进行监督，检查、指导工作外，还起监诉官的作用，并处理受害者的申诉事务。计算机犯罪法以瑞典为代表的欧洲（数据法与数据保护法类型法律）34政策法规与标准组织机构立法立足点计算机犯罪法各国立法我国立法计算机安全评价标准可信计算机系统评估准则OSI安全体系结构政策法规与标准组织机构35各国立法1973年瑞典通过数据法，成立国家计算机安全脆弱委员会以及脆弱性局、数据安全局。1978年美国佛罗里达州对计算机犯罪立法，之后美国联邦政府相继通过“计算机诈骗与滥用法”，“电子通讯隐私法”，“联邦计算机安全法”，信息自由法，反腐败行动法，伪造访问设备和计算机欺骗与滥用法，计算机安全法等法律。英国也有数据保护法与计算机滥用法案等法律。各国立法36政策法规与标准组织机构立法立足点计算机犯罪法各国立法我国立法计算机安全评价标准可信计算机系统评估准则OSI安全体系结构政策法规与标准组织机构37我国立法1981年起我国开始开展计算机安全监察1988年中华人民共和国计算机信息系统安全保护条例通过1994年2月18日发布的《中华人民共和国计算机信息系统安全保护条例》1996年2月1日发布了《中华人民共和国计算机信息网络国际联网管理暂行规定》1997年3月18日公布的新刑法增加了有关计算机犯罪方面的规定，它们分别是第217条第1项、第285条至第287条。行政法规：《计算机软件保护条例》《计算机病毒控制条例》（试行）《计算机信息系统安全保护条例》《计算机信息网络国际联网管理暂行规定》等我国立法1981年起我国开始开展计算机安全监察38政策法规与标准组织机构立法立足点计算机犯罪法各国立法我国立法计算机安全评价标准可信计算机系统评估准则OSI安全体系结构政策法规与标准组织机构39计算机安全评价标准安全评价的目的是制订适合出—定范围的系统一致的评估方法，避免同一系统、同一应用的多重评价它主要适用范围是硬件和操作系统，也可用于应用系统评价计算机安全评价标准安全评价的目的是制订适合出—定范围的系统一40计算机安全评价标准制定安全标准的策略应从以下几方由来考虑：与计算机系统的实际环境相结合与国际环境相适应具有一定程度的模糊性具有一定范围的适应性计算机安全评价标准制定安全标准的策略应从以下几方由来考虑：41可信计算机系统评估准则《可信计算机系统评估准则》（TCSEC-TrustedComputerSystemEvaluationCriteria，俗称橘皮书）是美国国防部于1985年发表的一份技术文件制定《准则》的目的:向制造商提供一个标准，即指导制造商如何在他们新开发的、并将广泛使用的商用产