网络安全评估和安全法规

网络安全评估和安全法规

本ppt课件仅供学习使用本ppt课件仅供学习使用本ppt课件仅供学习使用学习完毕请自行删除网络安全评估和安全法规全文共19页，当前为第1页。11.1平安评估的国际通用准那么11.2平安评估的国内通用准那么11.3网络平安的法律和法规网络安全评估和安全法规全文共19页，当前为第2页。11.1平安评估的国际通用准那么11.1.1可信计算机系统平安评估准那么

TCSEC将计算机系统的平安划分为4个等级、8个级别。

D类平安等级

C类平安等级

B类平安等级

A类平安等级网络安全评估和安全法规全文共19页，当前为第3页。11.1.2信息系统技术平安评估通用准那么 国际通用准那么〔CC〕是ISO统一现有多种准那么的结果，是目前最全面的评估准那么。

CC认为平安的实现应构建在如下的层次框架之上〔自下而上〕。〔1〕平安环境：使用评估对象时必须遵照的法律和组织平安政策以及存在的平安威胁。网络安全评估和安全法规全文共19页，当前为第4页。〔2〕平安目的：对防范威胁、满足所需的组织平安政策和假设声明。〔3〕评估对象平安需求：对平安目的的细化，主要是一组对平安功能和保证的技术需求。〔4〕评估对象平安标准：对评估对象实际实现或方案实现的定义。〔5〕评估对象平安实现：与标准一致的评估对象实际实现。网络安全评估和安全法规全文共19页，当前为第5页。11.2平安评估的国内通用准那么11.2.1信息系统平安划分准那么国家标准GB17859-99是我国计算机信息系统平安等级保护系列标准的核心，是实行计算机信息系统平安等级保护制度建立的重要根底。此标准将信息系统分成5个级别，分别是用户自主保护级、系统审计保护级、平安标记保护级、构造化保护级和访问验证保护级。网络安全评估和安全法规全文共19页，当前为第6页。第一级第二级第三级第四级第五级自主访问控制√√√√√身份鉴别√√√√√数据完整性√√√√√客体重用√√√√审计√√√√强制访问控制√√√标记√√√隐蔽信道分析√√可信路径√√可信恢复√表11.1 信息系统的5个级别

网络安全评估和安全法规全文共19页，当前为第7页。

在此标准中，一个重要的概念是可信计算基〔TCB〕。可信计算基是一个实现平安策略的机制，包括硬件、固件和软件，它们将根据平安策略来处理主体〔例如：系统管理员、平安管理员和用户等〕对客体〔例如：进程、文件、记录和设备等〕的访问。网络安全评估和安全法规全文共19页，当前为第8页。1．自主访问控制2．身份鉴别3．数据完整性4．客体重用5．审计6．强制访问控制7．标记8．隐蔽信道分析9．可信路径10．可信恢复网络安全评估和安全法规全文共19页，当前为第9页。11.2.2信息系统平安有关的标准随着CC标准的不断普及，我国也在2001年发布了GB/T18336标准，这一标准等同采用ISO/IEC15408-3：?信息技术平安技术信息技术平安性评估准那么?网络安全评估和安全法规全文共19页，当前为第10页。11.3网络平安的法律和法规11.3.1网络平安相关的法规我国对信息系统的立法工作很重视，关于计算机信息系统平安方面的法规较多，涉及到信息系统平安保护、国际联网管理、计算机病毒防治、商用密码管理和平安产品检测与销售等多方面。主要有以下一些。〔1〕1989年，公安部发布了?计算机病毒控制规定〔草案〕?。〔2〕1991年，国务院第83次常委会议通过?计算机软件保护条例?。〔3〕1994年2月18日，国务院发布?中华人民共和国计算机信息系统平安保护条例?。其主要内容如下：网络安全评估和安全法规全文共19页，当前为第11页。〔4〕1996年2月1日，国务院发布?中华人民共和国计算机信息网络国际联网管理暂行规定?。〔5〕1997年5月20日，国务院信息化工作领导小组制定了?中华人民共和国计算机信〔6〕1997年，国务院信息化工作领导小组发布?中国互联网络域名注册暂行管理方法?、?中国互联网络域名注册实施细那么?。〔7〕1997年，原邮电部出台?国际互联网出入信道管理方法?。〔8〕2000年，?互联网信息效劳管理方法?正式实施。〔9〕2000年11月，国务院公室和信息产业部联合发布?互联网站从事登载新闻业务管理暂行规定?。〔10〕2000年11月，信息产业部发布?互联网电子公告效劳管理规定?。网络安全评估和安全法规全文共19页，当前为第12页。11.3.2网络平安相关的法律11.3.3网络平安管理的有关法律1．网络效劳业的法律标准〔1〕网络效劳机构设立的条件①是依法设立的企业法人或者事业法人。②具有相应的计算机信息网络、装备以及相应的技术人员和管理人员。③具有健全的平安保密管理制度和技术保护措施。④符合法律和国务院规定的其他条件。网络安全评估和安全法规全文共19页，当前为第13页。〔2〕网络效劳业的对口管理?中华人民共和国计算机信息系统平安保护条例?规定，对计算机信息系统中发生的案件，有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告。对计算机病毒和危害社会公共平安的其他有害数据的防治研究工作，由公安部归口管理。国家对计算机信息系统平安专用产品的销售实行许可证制度。具体方法由公安部会同有关部门制定。网络安全评估和安全法规全文共19页，当前为第14页。〔3〕互联网出入口信道管理?中华人民共和国计算机网络国际联网管理暂行规定?规定，计算机信息网络直接进展国际联网，必须使用邮电部国家公用电信网提供的国际出入口信道。任何单位和个人不得自行建立或者使用其他信道进展国际联网。已经建立的互联网络，根据国务院有关规定调整后，分别由邮电部、电子工业部，国家教育委员会和中国科学院管理。新建互联网络，必须报经国务院批准。网络安全评估和安全法规全文共19页，当前为第15页。〔4〕计算机网络系统运行管理根据?中华人民共和国计算机信息网络国际联网管理暂行规定实施方法?要求，国际出入口信道提供单位、互联单位和接入单位必须建立网络管理中心，健全管理制度，做好网络信息平安管理工作。网络安全评估和安全法规全文共19页，当前为第16页。〔5〕平安责任根据?中华人民共和国计算机信息网络国际联网管理暂行规定?，从事国际联网业务的单位和个人，应当遵守国家有关法律、行政法规，严格执行平安保密制度，不得利用国际联网从事危害国家平安、泄露国家秘密等违法犯罪活动，不得制作、查阅、复制和传播阻碍社会治安的信息和淫秽色情等信息。网络安全评估和安全法规全文共19页，当前为第17页。2．网络用户的法律标准3．互联