《計算機安全策略部署浙大講稿》第二章政策法規(guī)與標準

第二章政策法規(guī)與標準

第一頁，共二十四頁。政策法規(guī)與標準組織機構(gòu)立法立足點計算機犯罪法各國立法我國立法計算機安全評價標準可信計算機系統(tǒng)評估準則OSI安全體系結(jié)構(gòu)第二頁，共二十四頁。組織機構(gòu)比較活躍的組織有：IFIP(國際信息處理聯(lián)合會)WISE（國際強化安全研究所）中國電子學會于1978年提出申請，1979年國務院批準向IFIP遞交入會申請，1980年1月1日IFIP正式接納中國電子學會代表中國為其成員學會第三頁，共二十四頁。政策法規(guī)與標準組織機構(gòu)立法立足點計算機犯罪法各國立法我國立法計算機安全評價標準可信計算機系統(tǒng)評估準則OSI安全體系結(jié)構(gòu)第四頁，共二十四頁。立法立足點計算機安全是指計算機資產(chǎn)安全，具體含義有四層：系統(tǒng)設(shè)備和相關(guān)設(shè)施運行正常，系統(tǒng)服務適時。軟件(包括網(wǎng)絡(luò)軟件，應用軟件和相關(guān)的軟件)正常。系統(tǒng)擁有的或產(chǎn)生的數(shù)據(jù)信息完整，有效，使用合法，不會被泄漏。系統(tǒng)資源和信息資源使用合法第五頁，共二十四頁。立法立足點計算機安全需要以下五個機制：威懾:提醒人們不要做有害于計算機的事，否則將受到法律的制裁。預防并阻止不法分子對計算機資源產(chǎn)生危害。檢查:能查出系統(tǒng)安全隱患，查明已發(fā)生的各種事情的原因。恢復。系統(tǒng)發(fā)生意外事件或是事故從而導致系統(tǒng)中斷或數(shù)據(jù)受損后，能在短期內(nèi)恢復。糾正，能及時堵塞安全漏洞，改進安全措施。第六頁，共二十四頁。立法立足點計算機安全戰(zhàn)略應當是： 運用政策、法律、管理和技術(shù)手段，保護計算機資產(chǎn)免受自然和人為有害因素的威脅和危害，把計算機安全事件發(fā)生率和可能造成的政治、經(jīng)濟損失降低到最小限度。第七頁，共二十四頁。政策法規(guī)與標準組織機構(gòu)立法立足點計算機犯罪法各國立法我國立法計算機安全評價標準可信計算機系統(tǒng)評估準則OSI安全體系結(jié)構(gòu)第八頁，共二十四頁。計算機犯罪法計算機犯罪法是以防止計算機犯罪行為、懲罰犯罪、保護計算機資產(chǎn)為目的。它規(guī)定利用計算機收取非法利益；非法取得計算機信息系統(tǒng)服務；用非法手段侵入計算機信息系統(tǒng)和網(wǎng)絡(luò)進行盜竊、破壞、篡改數(shù)據(jù)流文件，或擾亂系統(tǒng)功能；利用計算機或計算機知識竊取金融證券、現(xiàn)金、程序、信息、情報等行為的為計算機犯罪。第九頁，共二十四頁。計算機犯罪法典型的計算機犯罪條文：任何人未經(jīng)許可企圖利用或已經(jīng)利用計算機系統(tǒng)或網(wǎng)絡(luò)進行詐騙或竊取錢財。任何人未經(jīng)許可企圖或以已經(jīng)使用任何計算機系統(tǒng)或網(wǎng)絡(luò)，竊取信息或輸入假信息，侵犯他人利益。任何人超出其工作范圍企圖或未經(jīng)許可訪問任何計算機系統(tǒng)、網(wǎng)絡(luò)、程序、文件，存取數(shù)據(jù)。任何人故意刪除、篡改、損害、破壞程序、數(shù)據(jù)、文件，破壞、更改計算機系統(tǒng)和網(wǎng)絡(luò)，中斷或拒絕計算機服務，非法獲得計算機服務。第十頁，共二十四頁。計算機犯罪法以瑞典為代表的歐洲（數(shù)據(jù)法與數(shù)據(jù)保護法類型法律）：建立和處理文件不得侵害私人(包括法人)的權(quán)利。任何個人、社會團體及政府部門，凡需建立有關(guān)私人情況的文件或處理這方面的文件，都必須事先得到數(shù)據(jù)監(jiān)察局的許可，根據(jù)政府或議會命令而建立文件，也要事先征求監(jiān)察局的意見。監(jiān)察人員在執(zhí)行任務時，有權(quán)進入數(shù)據(jù)處理中心，接觸任何文件和資料，有權(quán)命令停止計算機系統(tǒng)運行。監(jiān)察局在發(fā)給許可證時，要對建立文件的日期，文件組成、數(shù)據(jù)處理、使用何種設(shè)備等方面作一些指示，必要時還要發(fā)布命令，有關(guān)方面必須遵守。監(jiān)察局除了進行監(jiān)督，檢查、指導工作外，還起監(jiān)訴官的作用，并處理受害者的申訴事務。第十一頁，共二十四頁。政策法規(guī)與標準組織機構(gòu)立法立足點計算機犯罪法各國立法我國立法計算機安全評價標準可信計算機系統(tǒng)評估準則OSI安全體系結(jié)構(gòu)第十二頁，共二十四頁。各國立法1973年瑞典通過數(shù)據(jù)法，成立國家計算機安全脆弱委員會以及脆弱性局、數(shù)據(jù)安全局。1978年美國佛羅里達州對計算機犯罪立法，之后美國聯(lián)邦政府相繼通過“計算機詐騙與濫用法”，“電子通訊隱私法”，“聯(lián)邦計算機安全法”，信息自由法，反腐敗行動法，偽造訪問設(shè)備和計算機欺騙與濫用法，計算機安全法等法律。英國也有數(shù)據(jù)保護法與計算機濫用法案等法律。第十三頁，共二十四頁。政策法規(guī)與標準組織機構(gòu)立法立足點計算機犯罪法各國立法我國立法計算機安全評價標準可信計算機系統(tǒng)評估準則OSI安全體系結(jié)構(gòu)第十四頁，共二十四頁。我國立法1981年起我國開始開展計算機安全監(jiān)察1988年中華人民共和國計算機信息系統(tǒng)安全保護條例通過1994年2月18日發(fā)布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》1996年2月1日發(fā)布了《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》1997年3月18日公布的新刑法增加了有關(guān)計算機犯罪方面的規(guī)定，它們分別是第217條第1項、第285條至第287條。行政法規(guī)：《計算機軟件保護條例》《計算機病毒控制條例》（試行）《計算機信息系統(tǒng)安全保護條例》《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》等第十五頁，共二十四頁。政策法規(guī)與標準組織機構(gòu)立法立足點計算機犯罪法各國立法我國立法計算機安全評價標準可信計算機系統(tǒng)評估準則OSI安全體系結(jié)構(gòu)第十六頁，共二十四頁。計算機安全評價標準安全評價的目的是制訂適合出—定范圍的系統(tǒng)一致的評估方法，避免同一系統(tǒng)、同一應用的多重評價它主要適用范圍是硬件和操作系統(tǒng)，也可用于應用系統(tǒng)評價第十七頁，共二十四頁。計算機安全評價標準制定安全標準的策略應從以下幾方由來考慮：與計算機系統(tǒng)的實際環(huán)境相結(jié)合與國際環(huán)境相適應具有一定程度的模糊性具有一定范圍的適應性第十八頁，共二十四頁。可信計算機系統(tǒng)評估準則《可信計算機系統(tǒng)評估準則》（TCSEC-TrustedComputerSystemEvaluationCriteria，俗稱橘皮書）是美國國防部于1985年發(fā)表的一份技術(shù)文件制定《準則》的目的:向制造商提供一個標準，即指導制造商如何在他們新開發(fā)的、并將廣泛使用的商用產(chǎn)品中采用安全部件來滿足敏感應用的可信要求。向用戶提供一種驗證標準，用戶可用此標準來評估計算機系統(tǒng)處理秘密信息和其它敏感信息的可信程序。為制定規(guī)范時的安全需求提供一個基準。第十九頁，共二十四頁?？尚庞嬎銠C系統(tǒng)評估準則《可信計算機系統(tǒng)評估準則》分成D，C，B和A四類：D級：最小保護C級:自主保護C1級：自主型安全保護C2級：可控訪問保護B級:強制安全保護B1級：標記安全保護B2級：結(jié)構(gòu)化保護B3級：安全域A級：驗證設(shè)計A1：經(jīng)過驗證的設(shè)計A2：A1級以外的系統(tǒng)英國的5（安全控制可實施）+6標準（安全目標不可實施）原西德信息安全部門1989公布的信息技術(shù)系統(tǒng)可信性評價標準第二十頁，共二十四頁。OSI安全體系結(jié)構(gòu)安全技術(shù)評價標準：國際標準化組織ISO7498-2中描述開放互連OSI安全體系結(jié)構(gòu)的5種安全服務項目鑒別訪問控制數(shù)據(jù)保密數(shù)據(jù)完整抗否認第二十一頁，共二十四頁。OSI安全體系結(jié)構(gòu)8種安全機制：加密機制數(shù)字簽名機制訪問控制機制數(shù)據(jù)完整性機制鑒別交換機制通信業(yè)務填充機制路由控制機制公證機制第二十二頁，共二十四頁。OSI安全體系結(jié)構(gòu)具體安全協(xié)議上國際標準：安全電子交易協(xié)議SETANSI的DESRSA加密算法標準數(shù)據(jù)傳輸時新的加密標準(AES)第二十三頁，共二十四頁。內(nèi)容總結(jié)第二章政策法規(guī)與標準。中國電子學會于1978年提出申請，1979年國務院批準向IFIP遞交入會申請，1980年1月1日IFIP正式接納中國電子學會代表中國為其成員學會。系統(tǒng)設(shè)備和相關(guān)設(shè)施運行正常，系統(tǒng)服務適時。威懾:提醒人們不要做有害于計算機的事，否則將受到法律的制裁。檢查