網(wǎng)絡(luò)安全評估和安全法規(guī)課件

1、網(wǎng)絡(luò)安全評估和安全法規(guī)1 第第11 11章章 網(wǎng)絡(luò)安全評估和安全法規(guī)網(wǎng)絡(luò)安全評估和安全法規(guī) 網(wǎng)絡(luò)安全評估和安全法規(guī)2 11.1 11.1 安全評估的國際通用準(zhǔn)則安全評估的國際通用準(zhǔn)則 11.2 11.2 安全評估的國內(nèi)通用準(zhǔn)則安全評估的國內(nèi)通用準(zhǔn)則 11.3 11.3 網(wǎng)絡(luò)安全的法律和法規(guī)網(wǎng)絡(luò)安全的法律和法規(guī) 網(wǎng)絡(luò)安全評估和安全法規(guī)3 11.1 11.1 安全評估的國際通用準(zhǔn)則安全評估的國際通用準(zhǔn)則 1111.11.1 1 可信計算機(jī)系統(tǒng)安全評估準(zhǔn)則可信計算機(jī)系統(tǒng)安全評估準(zhǔn)則 TCSEC將計算機(jī)系統(tǒng)的安全劃分為將計算機(jī)系統(tǒng)的安全劃分為4個個 等級、等級、8個級別。個級別。 D類安全等級類安全等

2、級 C類安全等級類安全等級 B類安全等級類安全等級 A類安全等級類安全等級 網(wǎng)絡(luò)安全評估和安全法規(guī)4 1111.11.2 2 信息系統(tǒng)技術(shù)安全評估通用準(zhǔn)則信息系統(tǒng)技術(shù)安全評估通用準(zhǔn)則 國際通用準(zhǔn)則（國際通用準(zhǔn)則（CC）是）是ISO統(tǒng)一現(xiàn)有多種準(zhǔn)則統(tǒng)一現(xiàn)有多種準(zhǔn)則 的結(jié)果，是目前最全面的評估準(zhǔn)則。的結(jié)果，是目前最全面的評估準(zhǔn)則。 CCCC認(rèn)為安全的實現(xiàn)應(yīng)構(gòu)建在如下的層次框架之認(rèn)為安全的實現(xiàn)應(yīng)構(gòu)建在如下的層次框架之 上（自下而上）。上（自下而上）。 （1 1）安全環(huán)境：使用評估對象時必須遵照的法律和）安全環(huán)境：使用評估對象時必須遵照的法律和 組織安全政策以及存在的安全威脅。組織安全政策以及存在的安

3、全威脅。 網(wǎng)絡(luò)安全評估和安全法規(guī)5 （2）安全目的：對防范威脅、滿足所需的組織安）安全目的：對防范威脅、滿足所需的組織安 全政策和假設(shè)聲明。全政策和假設(shè)聲明。 （3）評估對象安全需求：對安全目的的細(xì)化，主）評估對象安全需求：對安全目的的細(xì)化，主 要是一組對安全功能和保證的技術(shù)需求。要是一組對安全功能和保證的技術(shù)需求。 （4）評估對象安全規(guī)范：對評估對象實際實現(xiàn)或）評估對象安全規(guī)范：對評估對象實際實現(xiàn)或 計劃實現(xiàn)的定義。計劃實現(xiàn)的定義。 （5）評估對象安全實現(xiàn)：與規(guī)范一致的評估對象）評估對象安全實現(xiàn)：與規(guī)范一致的評估對象 實際實現(xiàn)。實際實現(xiàn)。 網(wǎng)絡(luò)安全評估和安全法規(guī)6 11.2 11.2 安全評

4、估的國內(nèi)通用準(zhǔn)則安全評估的國內(nèi)通用準(zhǔn)則 1111.22.1 1 信息系統(tǒng)安全劃分準(zhǔn)則信息系統(tǒng)安全劃分準(zhǔn)則 國家標(biāo)準(zhǔn)國家標(biāo)準(zhǔn)GB17859-99是我國計算機(jī)信息系統(tǒng)安是我國計算機(jī)信息系統(tǒng)安 全等級保護(hù)系列標(biāo)準(zhǔn)的核心，是實行計算機(jī)信息系全等級保護(hù)系列標(biāo)準(zhǔn)的核心，是實行計算機(jī)信息系 統(tǒng)安全等級保護(hù)制度建設(shè)的重要基礎(chǔ)。此標(biāo)準(zhǔn)將信統(tǒng)安全等級保護(hù)制度建設(shè)的重要基礎(chǔ)。此標(biāo)準(zhǔn)將信 息系統(tǒng)分成息系統(tǒng)分成5個級別，分別是用戶自主保護(hù)級、系個級別，分別是用戶自主保護(hù)級、系 統(tǒng)審計保護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級和統(tǒng)審計保護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級和 訪問驗證保護(hù)級。訪問驗證保護(hù)級。 網(wǎng)絡(luò)安全評估和安全法

5、規(guī)7 第第 一一 級級第第 二二 級級第第 三三 級級第第 四四 級級第第 五五 級級 自主訪問控制自主訪問控制 身份鑒別身份鑒別 數(shù)據(jù)完整性數(shù)據(jù)完整性 客體重用客體重用 審計審計 強(qiáng)制訪問控制強(qiáng)制訪問控制 標(biāo)記標(biāo)記 隱蔽信道分析隱蔽信道分析 可信路徑可信路徑 可信恢復(fù)可信恢復(fù) 表表11.1 信息系統(tǒng)的信息系統(tǒng)的5個級別個級別 網(wǎng)絡(luò)安全評估和安全法規(guī)8 在此標(biāo)準(zhǔn)中，一個重要的概念是可信計算基在此標(biāo)準(zhǔn)中，一個重要的概念是可信計算基 （TCBTCB）?？尚庞嬎慊且粋€實現(xiàn)安全策略的機(jī)制，）。可信計算基是一個實現(xiàn)安全策略的機(jī)制， 包括硬件、固件和軟件，它們將根據(jù)安全策略來處理包括硬件、固件和軟件，它

6、們將根據(jù)安全策略來處理 主體（例如：系統(tǒng)管理員、安全管理員和用戶等）對主體（例如：系統(tǒng)管理員、安全管理員和用戶等）對 客體（例如：進(jìn)程、文件、記錄和設(shè)備等）的訪問?？腕w（例如：進(jìn)程、文件、記錄和設(shè)備等）的訪問。 網(wǎng)絡(luò)安全評估和安全法規(guī)9 1自主訪問控制自主訪問控制 2身份鑒別身份鑒別 3數(shù)據(jù)完整性數(shù)據(jù)完整性 4客體重用客體重用 5審計審計 6強(qiáng)制訪問控制強(qiáng)制訪問控制 7標(biāo)記標(biāo)記 8隱蔽信道分析隱蔽信道分析 9可信路徑可信路徑 10可信恢復(fù)可信恢復(fù) 網(wǎng)絡(luò)安全評估和安全法規(guī)10 1111.22.2 2 信息系統(tǒng)安全有關(guān)的標(biāo)準(zhǔn)信息系統(tǒng)安全有關(guān)的標(biāo)準(zhǔn) 隨著隨著CCCC標(biāo)準(zhǔn)的不斷普及，我國也在標(biāo)準(zhǔn)的不斷

7、普及，我國也在20012001年發(fā)布年發(fā)布 了了GB/T 18336GB/T 18336標(biāo)準(zhǔn)，這一標(biāo)準(zhǔn)等同采用標(biāo)準(zhǔn)，這一標(biāo)準(zhǔn)等同采用ISO/IEC ISO/IEC 15408-315408-3：信息技術(shù)信息技術(shù) 安全技術(shù)安全技術(shù) 信息技術(shù)安全性信息技術(shù)安全性 評估準(zhǔn)則評估準(zhǔn)則 網(wǎng)絡(luò)安全評估和安全法規(guī)11 11.3 網(wǎng)絡(luò)安全的法律和法規(guī)網(wǎng)絡(luò)安全的法律和法規(guī) 11.3.1 網(wǎng)絡(luò)安全相關(guān)的法規(guī)網(wǎng)絡(luò)安全相關(guān)的法規(guī) 我國對信息系統(tǒng)的立法工作很重視，關(guān)于計算機(jī)信息系統(tǒng)安全我國對信息系統(tǒng)的立法工作很重視，關(guān)于計算機(jī)信息系統(tǒng)安全 方面的法規(guī)較多，涉及到信息系統(tǒng)安全保護(hù)、國際聯(lián)網(wǎng)管理、方面的法規(guī)較多，涉及到信息

8、系統(tǒng)安全保護(hù)、國際聯(lián)網(wǎng)管理、 計算機(jī)病毒防治、商用密碼管理和安全產(chǎn)品檢測與銷售等多計算機(jī)病毒防治、商用密碼管理和安全產(chǎn)品檢測與銷售等多 方面。主要有以下一些。方面。主要有以下一些。 （1）1989年，公安部發(fā)布了年，公安部發(fā)布了計算機(jī)病毒控制規(guī)定（草計算機(jī)病毒控制規(guī)定（草 案）案）。 （2）1991年，國務(wù)院第年，國務(wù)院第83次常委會議通過次常委會議通過計算機(jī)軟件保護(hù)計算機(jī)軟件保護(hù) 條例條例。 （3）1994年年2月月18日，國務(wù)院發(fā)布日，國務(wù)院發(fā)布中華人民共和國計算機(jī)中華人民共和國計算機(jī) 信息系統(tǒng)安全保護(hù)條例信息系統(tǒng)安全保護(hù)條例。其主要內(nèi)容如下：。其主要內(nèi)容如下： 網(wǎng)絡(luò)安全評估和安全法規(guī)12

9、 （4）1996年年2月月1日，國務(wù)院發(fā)布日，國務(wù)院發(fā)布中華人民共和國計算機(jī)信中華人民共和國計算機(jī)信 息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定。 （5）1997年年5月月20日，國務(wù)院信息化工作領(lǐng)導(dǎo)小組制定了日，國務(wù)院信息化工作領(lǐng)導(dǎo)小組制定了 中華人民共和國計算機(jī)信中華人民共和國計算機(jī)信 （6）1997年，國務(wù)院信息化工作領(lǐng)導(dǎo)小組發(fā)布年，國務(wù)院信息化工作領(lǐng)導(dǎo)小組發(fā)布中國互聯(lián)網(wǎng)中國互聯(lián)網(wǎng) 絡(luò)域名注冊暫行管理辦法絡(luò)域名注冊暫行管理辦法、 中國互聯(lián)網(wǎng)絡(luò)域名注冊實施細(xì)則中國互聯(lián)網(wǎng)絡(luò)域名注冊實施細(xì)則。 （7）1997年，原郵電部出臺年，原郵電部出臺國際互聯(lián)網(wǎng)出入信道管理辦國際互聯(lián)網(wǎng)出入信道管

10、理辦 法法。 （8）2000年，年，互聯(lián)網(wǎng)信息服務(wù)管理辦法互聯(lián)網(wǎng)信息服務(wù)管理辦法正式實施。正式實施。 （9）2000年年11月，國務(wù)院新聞辦公室和信息產(chǎn)業(yè)部聯(lián)合發(fā)布月，國務(wù)院新聞辦公室和信息產(chǎn)業(yè)部聯(lián)合發(fā)布 互聯(lián)網(wǎng)站從事登載新聞業(yè)務(wù)管理暫行規(guī)定互聯(lián)網(wǎng)站從事登載新聞業(yè)務(wù)管理暫行規(guī)定。 （10）2000年年11月，信息產(chǎn)業(yè)部發(fā)布月，信息產(chǎn)業(yè)部發(fā)布互聯(lián)網(wǎng)電子公告服務(wù)互聯(lián)網(wǎng)電子公告服務(wù) 管理規(guī)定管理規(guī)定。 網(wǎng)絡(luò)安全評估和安全法規(guī)13 11.3.2 網(wǎng)絡(luò)安全相關(guān)的法律網(wǎng)絡(luò)安全相關(guān)的法律 11.3.3 網(wǎng)絡(luò)安全管理的有關(guān)法律網(wǎng)絡(luò)安全管理的有關(guān)法律 1網(wǎng)絡(luò)服務(wù)業(yè)的法律規(guī)范網(wǎng)絡(luò)服務(wù)業(yè)的法律規(guī)范 （1）網(wǎng)絡(luò)服務(wù)機(jī)

11、構(gòu)設(shè)立的條件）網(wǎng)絡(luò)服務(wù)機(jī)構(gòu)設(shè)立的條件 是依法設(shè)立的企業(yè)法人或者事業(yè)法人。是依法設(shè)立的企業(yè)法人或者事業(yè)法人。 具有相應(yīng)的計算機(jī)信息網(wǎng)絡(luò)、裝備以及相應(yīng)具有相應(yīng)的計算機(jī)信息網(wǎng)絡(luò)、裝備以及相應(yīng) 的技術(shù)人員和管理人員。的技術(shù)人員和管理人員。 具有健全的安全保密管理制度和技術(shù)保護(hù)措具有健全的安全保密管理制度和技術(shù)保護(hù)措 施。施。 符合法律和國務(wù)院規(guī)定的其他條件。符合法律和國務(wù)院規(guī)定的其他條件。 網(wǎng)絡(luò)安全評估和安全法規(guī)14 （2）網(wǎng)絡(luò)服務(wù)業(yè)的對口管理）網(wǎng)絡(luò)服務(wù)業(yè)的對口管理 中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例規(guī)規(guī) 定，對計算機(jī)信息系統(tǒng)中發(fā)生的案件，有關(guān)使用單定，對

12、計算機(jī)信息系統(tǒng)中發(fā)生的案件，有關(guān)使用單 位應(yīng)當(dāng)在位應(yīng)當(dāng)在24小時內(nèi)向當(dāng)?shù)乜h級以上人民政府公安機(jī)小時內(nèi)向當(dāng)?shù)乜h級以上人民政府公安機(jī) 關(guān)報告。對計算機(jī)病毒和危害社會公共安全的其他關(guān)報告。對計算機(jī)病毒和危害社會公共安全的其他 有害數(shù)據(jù)的防治研究工作，由公安部歸口管理。國有害數(shù)據(jù)的防治研究工作，由公安部歸口管理。國 家對計算機(jī)信息系統(tǒng)安全專用產(chǎn)品的銷售實行許可家對計算機(jī)信息系統(tǒng)安全專用產(chǎn)品的銷售實行許可 證制度。具體辦法由公安部會同有關(guān)部門制定。證制度。具體辦法由公安部會同有關(guān)部門制定。 網(wǎng)絡(luò)安全評估和安全法規(guī)15 （3）互聯(lián)網(wǎng)出入口信道管理）互聯(lián)網(wǎng)出入口信道管理 中華人民共和國計算機(jī)網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理

13、暫行規(guī)定中華人民共和國計算機(jī)網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定 規(guī)定，計算機(jī)信息網(wǎng)絡(luò)直接進(jìn)行國際聯(lián)網(wǎng)，必須使規(guī)定，計算機(jī)信息網(wǎng)絡(luò)直接進(jìn)行國際聯(lián)網(wǎng)，必須使 用郵電部國家公用電信網(wǎng)提供的國際出入口信道。用郵電部國家公用電信網(wǎng)提供的國際出入口信道。 任何單位和個人不得自行建立或者使用其他信道進(jìn)任何單位和個人不得自行建立或者使用其他信道進(jìn) 行國際聯(lián)網(wǎng)。已經(jīng)建立的互聯(lián)網(wǎng)絡(luò)，根據(jù)國務(wù)院有行國際聯(lián)網(wǎng)。已經(jīng)建立的互聯(lián)網(wǎng)絡(luò)，根據(jù)國務(wù)院有 關(guān)規(guī)定調(diào)整后，分別由郵電部、電子工業(yè)部，國家關(guān)規(guī)定調(diào)整后，分別由郵電部、電子工業(yè)部，國家 教育委員會和中國科學(xué)院管理。新建互聯(lián)網(wǎng)絡(luò)，必教育委員會和中國科學(xué)院管理。新建互聯(lián)網(wǎng)絡(luò)，必 須報經(jīng)

14、國務(wù)院批準(zhǔn)。須報經(jīng)國務(wù)院批準(zhǔn)。 網(wǎng)絡(luò)安全評估和安全法規(guī)16 （4）計算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行管理）計算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行管理 根據(jù)根據(jù)中華人民共和國計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)中華人民共和國計算機(jī)信息網(wǎng)絡(luò)國際聯(lián) 網(wǎng)管理暫行規(guī)定實施辦法網(wǎng)管理暫行規(guī)定實施辦法要求，國際出入要求，國際出入 口信道提供單位、互聯(lián)單位和接入單位必須口信道提供單位、互聯(lián)單位和接入單位必須 建立網(wǎng)絡(luò)管理中心，健全管理制度，做好網(wǎng)建立網(wǎng)絡(luò)管理中心，健全管理制度，做好網(wǎng) 絡(luò)信息安全管理工作。絡(luò)信息安全管理工作。 網(wǎng)絡(luò)安全評估和安全法規(guī)17 （5）安全責(zé)任根據(jù)）安全責(zé)任根據(jù)中華人民共和國計算機(jī)中華人民共和國計算機(jī) 信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定，從事國，從事國 際聯(lián)網(wǎng)業(yè)務(wù)的單位和個人，應(yīng)當(dāng)遵守國家有際聯(lián)網(wǎng)業(yè)務(wù)的單位和個人，應(yīng)當(dāng)遵守國家有 關(guān)法律、行政法規(guī)，嚴(yán)格執(zhí)行安全保密制度，關(guān)法律、行政法規(guī)，嚴(yán)格執(zhí)行安全