电子商务安全技术-第12章-安全标准法规与安全方案设计

第十二章安全标准法规与安全方案设计12.1信息安全标准法规12.2安全方案设计12.1信息安全标准法规部门规章及规范性文件.中华人民共和国公安部令第32号计算机信息系统安全专用产品检测和销售许可证管理办法.中华人民共和国公安部令第33号计算机信息网络国际联网安全保护管理办法.中华人民共和国公安部令第51号计算机病毒防治管理办法.中华人民共和国公共安全行业标准计算机信息系统安全专用产品分类原则国家法律中华人民共和国主席令第6号中华人民共和国保守国家秘密法行政法规.中华人民共和国国务院令147号中华人民共和国计算机信息系统安全保护条例.中华人民共和国国务院令第195号中华人民共和国计算机信息网络国际联网管理暂行规定.中华人民共和国计算机信息网络国际联网管理暂行规定实施办法.中华人民共和国国务院令第273号商用密码管理条例.中华人民共和国国务院令第291号中华人民共和国电信条例安全标准.计算机病毒防治产品评级准则(2000-5-17)发布.计算机信息系统安全保护等级划分准则(1999-9-13)发布.信息处理系统开放系统互连基本参考模型第2部分安全体系结构.计算机信息系统安全专用产品分类原则.信息技术设备的无线电干扰极限值和测量方法.计算机机房用活动地板技术条件.DOS操作系统环境中计算机病毒防治产品测试方法.基于DOS的信息安全产品评级准则.电子计算机机房设计规范安全标准.电子计算机机房施工及验收规范.计算站场地安全要求.计算站场地技术条件.信息处理64bit分组密码算法的工作方式.信息技术安全技术带消息恢复的数字签名方案.测量控制和试验室用电气设备的安全要求第1部分通用要求节选.军用通信设备及系统安全要求.军队通用计算机系统使用安全要求.指挥自动化计算机网络安全要求.军用计算机安全评估准则.军用计算机安全术语.GB/T15843-1999信息技术安全技术实体鉴别.1-4.GB/T15851-1995信息技术安全技术带消息恢复的安全技术要求.GB/T15852-1995信息技术安全技术用块密码算法做密码校验函数的数据完整性机制.GB/T15852-1995信息技术安全技术密钥管理.GB/T15852-1995信息技术安全技术带附录的数字签名.GB/T15852-1995信息技术安全技术抗抵赖安全标准.GB/T17900-1999网络代理服务器安全技术要求.GB/T18018-1999路由器安全技术要求.GB/T18019-1999信息技术包过滤防火墙安全技术要求.GB/T18020-1999信息技术应用级防火墙安全技术要求安全标准.GB17859-1999计算机信息系统安全保护等级划分准则第一级：用户自主保护级第二级：系统审计保护级第三级：安全标记保护级第四级：结构化保护级第五级：访问验证保护级安全标准安全评估标准国家主要安全标准考核指标有：身份认证、自主访问控制、数据完整性、审计、隐蔽信道分析、客体重用、强制访问控制、安全标记、可信路径、可信恢复等特点：这些指标涵盖了不同级别的安全要求国标主要安全指标网络主要安全指标安全技术架构12.2安全方案设计安全方案设计要素明确的需求分析合理的设计原则可信的安全等级良好的指导方法全面的理论模型正确的技术选择可靠的支撑产品实用的功能性能可行的评价措施完善的管理手段长远的维护升级安全需求分析.需要保护的对象.安全层次分析.隐患分析安全设计总目标.保障网络安全、可靠、高效、可控、持续地运行.保障信息机密、完整、不可否认地传输和使用安全层次分析安全需求分析-安全监测监测方法：异常检测系统(Anomaly)统计方法预测模式生成法神经网络法滥用检测系统(Misuse)专家系统模型匹配状态转换分析混合检测系统(Hybrid)监测要求：实时、全面、准确安全需求分析-安全监测需要保护的对象.硬件：路由器、工作站、服务器、数据设备等.软件：操作系统、应用软件、源代码、实用程序.数据：电子邮件、办公自动化、信息发布、业务系统安全需求分析-安全防护安全需求分析-安全评估.风险分析.评估标准.验收指标设计原则.先进与实用相统一.投入与产出相匹配国际惯例占总投入的10%-15%.成熟与升级相衔接时效性网络安全设计方法.逻辑层设计（应用透明性）.最小实体保护.产品与技术分离网络安全等级设计.应达到等级：B1级.理由：C2级自主访问，安全性低B1级提供安全标记+强制访问控制B2级要求确认隐蔽通道，难于实现安全技术选择—根据网络层次链路层：链路加密技术网络层：包过滤、IPSEC协议、VPN传输层：SSL协议、基于公钥的认证和对称密钥加密技术应用层：SHTTP、PGP、S/MIME、开发专用协议安全技术选择—根据网络拓扑网络隔离：防火墙、访问代理、安全网关入侵监测：日志审计、入侵检测、漏洞扫描、追踪安全管理.加强内部人员的安全知识培训及职业道德教育.制定安全政策和法规.从技术上实现系统管理分权制约.从技术上保证口令的安全性.从程序上规范安全管理安全升级.跟踪和研究网络攻击手段.及时更新和使用安全产品的升级版本.及时采纳新出现的必须的安全产品.应在年度运行预算中留出安全保障和维护经费.保持与安全技术支持单位的良好合作关系设计实例典型局域网安全设计代理服务器安全客户代理接口安全广域传输安全拨号接入安全