《计算机安全策略部署浙大讲稿》第二章 政策法规与标准

第二章政策法规与标准本资料由-校园大学生创业网-提供在线代理提供部分资料政策法规与标准•组织机构•立法立足点•计算机犯罪法•各国立法•我国立法•计算机安全评价标准–可信计算机系统评估准则–OSI安全体系结构组织机构•比较活跃的组织有：–IFIP(国际信息处理联合会)–WISE（国际强化安全研究所）•中国电子学会于1978年提出申请，1979年国务院批准向IFIP递交入会申请，1980年1月1日IFIP正式接纳中国电子学会代表中国为其成员学会政策法规与标准•组织机构•立法立足点•计算机犯罪法•各国立法•我国立法•计算机安全评价标准–可信计算机系统评估准则–OSI安全体系结构立法立足点•计算机安全是指计算机资产安全，具体含义有四层：–系统设备和相关设施运行正常，系统服务适时。–软件(包括网络软件，应用软件和相关的软件)正常。–系统拥有的或产生的数据信息完整，有效，使用合法，不会被泄漏。–系统资源和信息资源使用合法立法立足点•计算机安全需要以下五个机制：–威慑:提醒人们不要做有害于计算机的事，否则将受到法律的制裁。–预防并阻止不法分子对计算机资源产生危害。–检查:能查出系统安全隐患，查明已发生的各种事情的原因。–恢复。系统发生意外事件或是事故从而导致系统中断或数据受损后，能在短期内恢复。–纠正，能及时堵塞安全漏洞，改进安全措施。立法立足点•计算机安全战略应当是：运用政策、法律、管理和技术手段，保护计算机资产免受自然和人为有害因素的威胁和危害，把计算机安全事件发生率和可能造成的政治、经济损失降低到最小限度。政策法规与标准•组织机构•立法立足点•计算机犯罪法•各国立法•我国立法•计算机安全评价标准–可信计算机系统评估准则–OSI安全体系结构计算机犯罪法•计算机犯罪法是以防止计算机犯罪行为、惩罚犯罪、保护计算机资产为目的。它规定–利用计算机收取非法利益；–非法取得计算机信息系统服务；–用非法手段侵入计算机信息系统和网络进行盗窃、破坏、篡改数据流文件，或扰乱系统功能；–利用计算机或计算机知识窃取金融证券、现金、程序、信息、情报等行为的为计算机犯罪。计算机犯罪法•典型的计算机犯罪条文：–任何人未经许可企图利用或已经利用计算机系统或网络进行诈骗或窃取钱财。–任何人未经许可企图或以已经使用任何计算机系统或网络，窃取信息或输入假信息，侵犯他人利益。–任何人超出其工作范围企图或未经许可访问任何计算机系统、网络、程序、文件，存取数据。–任何人故意删除、篡改、损害、破坏程序、数据、文件，破坏、更改计算机系统和网络，中断或拒绝计算机服务，非法获得计算机服务。计算机犯罪法•以瑞典为代表的欧洲（数据法与数据保护法类型法律）：–建立和处理文件不得侵害私人(包括法人)的权利。–任何个人、社会团体及政府部门，凡需建立有关私人情况的文件或处理这方面的文件，都必须事先得到数据监察局的许可，根据政府或议会命令而建立文件，也要事先征求监察局的意见。–监察人员在执行任务时，有权进入数据处理中心，接触任何文件和资料，有权命令停止计算机系统运行。–监察局在发给许可证时，要对建立文件的日期，文件组成、数据处理、使用何种设备等方面作一些指示，必要时还要发布命令，有关方面必须遵守。–监察局除了进行监督，检查、指导工作外，还起监诉官的作用，并处理受害者的申诉事务。政策法规与标准•组织机构•立法立足点•计算机犯罪法•各国立法•我国立法•计算机安全评价标准–可信计算机系统评估准则–OSI安全体系结构各国立法•1973年瑞典通过数据法，成立国家计算机安全脆弱委员会以及脆弱性局、数据安全局。•1978年美国佛罗里达州对计算机犯罪立法，之后美国联邦政府相继通过“计算机诈骗与滥用法”，“电子通讯隐私法”，“联邦计算机安全法”，信息自由法，反腐败行动法，伪造访问设备和计算机欺骗与滥用法，计算机安全法等法律。•英国也有数据保护法与计算机滥用法案等法律。政策法规与标准•组织机构•立法立足点•计算机犯罪法•各国立法•我国立法•计算机安全评价标准–可信计算机系统评估准则–OSI安全体系结构我国立法•1981年起我国开始开展计算机安全监察•1988年中华人民共和国计算机信息系统安全保护条例通过•1994年2月18日发布的《中华人民共和国计算机信息系统安全保护条例》•1996年2月1日发布了《中华人民共和国计算机信息网络国际联网管理暂行规定》•1997年3月18日公布的新刑法增加了有关计算机犯罪方面的规定，它们分别是第217条第1项、第285条至第287条。•行政法规：–《计算机软件保护条例》–《计算机病毒控制条例》（试行）–《计算机信息系统安全保护条例》–《计算机信息网络国际联网管理暂行规定》等政策法规与标准•组织机构•立法立足点•计算机犯罪法•各国立法•我国立法•计算机安全评价标准–可信计算机系统评估准则–OSI安全体系结构计算机安全评价标准•安全评价的目的是制订适合出—定范围的系统一致的评估方法，避免同一系统、同一应用的多重评价•它主要适用范围是硬件和操作系统，也可用于应用系统评价计算机安全评价标准•制定安全标准的策略应从以下几方由来考虑：–与计算机系统的实际环境相结合–与国际环境相适应–具有一定程度的模糊性–具有一定范围的适应性可信计算机系统评估准则•《可信计算机系统评估准则》（TCSEC-TrustedComputerSystemEvaluationCriteria，俗称橘皮书）是美国国防部于1985年发表的一份技术文件•制定《准则》的目的:–向制造商提供一个标准，即指导制造商如何在他们新开发的、并将广泛使用的商用产品中采用安全部件来满足敏感应用的可信要求。–向用户提供一种验证标准，用户可用此标准来评估计算机系统处理秘密信息和其它敏感信息的可信程序。为制定规范时的安全需求提供一个基准。可信计算机系统评估准则•《可信计算机系统评估准则》分成D，C，B和A四类：–D级：最小保护–C级:自主保护–C1级：自主型安全保护–C2级：可控访问保护–B级:强制安全保护–B1级：标记安全保护–B2级：结构化保护–B3级：安全域–A级：验证设计–A1：经过验证的设计–A2：A1级以外的系统•英国的5（安全控制可实施）+6标准（安全目标不可实施）•原西德信息安全部门1989公布的信息技术系统可信性评价标准OSI安全体系结构•安全技术评价标准：国际标准化组织ISO7498-2中描述开放互连OSI安全体系结构的5种安全服务项目–鉴别–访问控制–数据保密–数据完整–抗否认OSI安全体系结构•8种安全机制：–加密机制–数字签名机制–访问控制机制–数据完整性机制–鉴别交换机制–通信业务填充机制–路由控制机制–公证机制OSI安全体系结构•具体安全协议上国际标准：–安全电子交易协议SET–ANSI的DES–RSA加密算法标准–数据传输时新的加密标准(AES)本资料由-校园大学生创业网-提供在线代理提供部分资料