政策法规与标准.ppt

第二章 政策法规与标准陈天洲陈天洲AA政策法规与标准组织机构组织机构立法立足点立法立足点计算机犯罪法计算机犯罪法各国立法各国立法我国立法我国立法计算机安全评价标准计算机安全评价标准 可信计算机系统评估准则可信计算机系统评估准则 OSIOSI安全体系结构安全体系结构 组织机构比较活跃的组织有：IFIP(IFIP(国际信息处理联合会国际信息处理联合会)WISEWISE（国际强化安全研究所）（国际强化安全研究所）中国电子学会于1978年提出申请，1979年国务院批准向IFIP递交入会申请，1980年1月1日IFIP正式接纳中国电子学会代表中国为其成员学会 政策法规与标准组织机构组织机构立法立足点立法立足点计算机犯罪法计算机犯罪法各国立法各国立法我国立法我国立法计算机安全评价标准计算机安全评价标准 可信计算机系统评估准则可信计算机系统评估准则 OSIOSI安全体系结构安全体系结构 立法立足点立法立足点计算机安全是指计算机资产安全，具体含义有四层：系统设备和相关设施运行正常，系统服务适时。系统设备和相关设施运行正常，系统服务适时。软件软件(包括网络软件，应用软件和相关的软件包括网络软件，应用软件和相关的软件)正常。正常。系统拥有的或产生的数据信息完整，有效，使系统拥有的或产生的数据信息完整，有效，使用合法，不会被泄漏。用合法，不会被泄漏。系统资源和信息资源使用合法系统资源和信息资源使用合法 立法立足点立法立足点计算机安全需要以下五个机制：威慑威慑:提醒人们不要做有害于计算机的事，否则提醒人们不要做有害于计算机的事，否则将受到法律的制裁。将受到法律的制裁。预防并阻止不法分子对计算机资源产生危害。预防并阻止不法分子对计算机资源产生危害。检查检查:能查出系统安全隐患，查明已发生的各种能查出系统安全隐患，查明已发生的各种事情的原因。事情的原因。恢复。系统发生意外事件或是事故从而导致系恢复。系统发生意外事件或是事故从而导致系统中断或数据受损后，能在短期内恢复。统中断或数据受损后，能在短期内恢复。纠正，能及时堵塞安全漏洞，改进安全措施。纠正，能及时堵塞安全漏洞，改进安全措施。立法立足点立法立足点计算机安全战略应当是：运用政策、法律、管理和技术手段，保护运用政策、法律、管理和技术手段，保护计算机资产免受自然和人为有害因素的威胁和计算机资产免受自然和人为有害因素的威胁和危害，把计算机安全事件发生率和可能造成的危害，把计算机安全事件发生率和可能造成的政治、经济损失降低到最小限度。政治、经济损失降低到最小限度。政策法规与标准组织机构组织机构立法立足点立法立足点计算机犯罪法计算机犯罪法各国立法各国立法我国立法我国立法计算机安全评价标准计算机安全评价标准 可信计算机系统评估准则可信计算机系统评估准则 OSIOSI安全体系结构安全体系结构 计算机犯罪法计算机犯罪法计算机犯罪法是以防止计算机犯罪行为、惩罚犯计算机犯罪法是以防止计算机犯罪行为、惩罚犯罪、保护计算机资产为目的。罪、保护计算机资产为目的。它规定它规定 利用计算机收取非法利益；利用计算机收取非法利益；非法取得计算机信息系统服务；非法取得计算机信息系统服务；用非法手段侵入计算机信息系统和网络进行盗窃、破用非法手段侵入计算机信息系统和网络进行盗窃、破坏、篡改数据流文件，或扰乱系统功能；坏、篡改数据流文件，或扰乱系统功能；利用计算机或计算机知识窃取金融证券、现金、程序、利用计算机或计算机知识窃取金融证券、现金、程序、信息、情报等行为的信息、情报等行为的为计算机犯罪。为计算机犯罪。计算机犯罪法计算机犯罪法典型的计算机犯罪条文：典型的计算机犯罪条文：任何人未经许可企图利用或已经利用计算机系统或网任何人未经许可企图利用或已经利用计算机系统或网络进行诈骗或窃取钱财。络进行诈骗或窃取钱财。任何人未经许可企图或以已经使用任何计算机系统或任何人未经许可企图或以已经使用任何计算机系统或网络，窃取信息或输入假信息，侵犯他人利益。网络，窃取信息或输入假信息，侵犯他人利益。任何人超出其工作范围企图或未经许可访问任何计算任何人超出其工作范围企图或未经许可访问任何计算机系统、网络、程序、文件，存取数据。机系统、网络、程序、文件，存取数据。任何人故意删除、篡改、损害、破坏程序、数据、文任何人故意删除、篡改、损害、破坏程序、数据、文件，破坏、更改计算机系统和网络，中断或拒绝计算件，破坏、更改计算机系统和网络，中断或拒绝计算机服务，非法获得计算机服务。机服务，非法获得计算机服务。计算机犯罪法计算机犯罪法以瑞典为代表的欧洲（数据法与数据保护法类型法律）：以瑞典为代表的欧洲（数据法与数据保护法类型法律）：建立和处理文件不得侵害私人建立和处理文件不得侵害私人(包括法人包括法人)的权利。的权利。任何个人、社会团体及政府部门，凡需建立有关私人情况的文件任何个人、社会团体及政府部门，凡需建立有关私人情况的文件或处理这方面的文件，都必须事先得到数据监察局的许可，根据或处理这方面的文件，都必须事先得到数据监察局的许可，根据政府或议会命令而建立文件，也要事先征求监察局的意见。政府或议会命令而建立文件，也要事先征求监察局的意见。监察人员在执行任务时，有权进入数据处理中心，接触任何文件监察人员在执行任务时，有权进入数据处理中心，接触任何文件和资料，有权命令停止计算机系统运行。和资料，有权命令停止计算机系统运行。监察局在发给许可证时，要对建立文件的日期，文件组成、数据监察局在发给许可证时，要对建立文件的日期，文件组成、数据处理、使用何种设备等方面作一些指示，必要时还要发布命令，处理、使用何种设备等方面作一些指示，必要时还要发布命令，有关方面必须遵守。有关方面必须遵守。监察局除了进行监督，检查、指导工作外，还起监诉官的作用，监察局除了进行监督，检查、指导工作外，还起监诉官的作用，并处理受害者的申诉事务。并处理受害者的申诉事务。政策法规与标准组织机构组织机构立法立足点立法立足点计算机犯罪法计算机犯罪法各国立法各国立法我国立法我国立法计算机安全评价标准计算机安全评价标准 可信计算机系统评估准则可信计算机系统评估准则 OSIOSI安全体系结构安全体系结构 各国立法各国立法19731973年瑞典通过数据法，成立国家计算机安全脆年瑞典通过数据法，成立国家计算机安全脆弱委员会以及脆弱性局、数据安全局。弱委员会以及脆弱性局、数据安全局。19781978年美国佛罗里达州对计算机犯罪立法，之后年美国佛罗里达州对计算机犯罪立法，之后美国联邦政府相继通过美国联邦政府相继通过“计算机诈骗与滥用法计算机诈骗与滥用法”，“电子通讯隐私法电子通讯隐私法”，“联邦计算机安全法联邦计算机安全法”，信息自由法，反腐败行动法，伪造访问设备和，信息自由法，反腐败行动法，伪造访问设备和计算机欺骗与滥用法，计算机安全法等法律。计算机欺骗与滥用法，计算机安全法等法律。英国也有数据保护法与计算机滥用法案等法律。英国也有数据保护法与计算机滥用法案等法律。政策法规与标准组织机构组织机构立法立足点立法立足点计算机犯罪法计算机犯罪法各国立法各国立法我国立法我国立法计算机安全评价标准计算机安全评价标准 可信计算机系统评估准则可信计算机系统评估准则 OSIOSI安全体系结构安全体系结构 我国立法 19811981年起我国开始开展计算机安全监察年起我国开始开展计算机安全监察 19881988年中华人民共和国计算机信息系统安全保护条例通过年中华人民共和国计算机信息系统安全保护条例通过 19941994年年2 2月月1818日发布的中华人民共和国计算机信息系统安全保护条日发布的中华人民共和国计算机信息系统安全保护条例例 19961996年年2 2月月1 1日发布了中华人民共和国计算机信息网络国际联网管理日发布了中华人民共和国计算机信息网络国际联网管理暂行规定暂行规定 19971997年年3 3月月1818日公布的新刑法增加了有关计算机犯罪方面的规定，它日公布的新刑法增加了有关计算机犯罪方面的规定，它们分别是第们分别是第217217条第条第1 1项、第项、第285285条至第条至第287287条。条。行政法规：行政法规：计算机软件保护条例计算机软件保护条例 计算机病毒控制条例（试行）计算机病毒控制条例（试行）计算机信息系统安全保护条例计算机信息系统安全保护条例 计算机信息网络国际联网管理暂行规定等计算机信息网络国际联网管理暂行规定等 政策法规与标准组织机构组织机构立法立足点立法立足点计算机犯罪法计算机犯罪法各国立法各国立法我国立法我国立法计算机安全评价标准计算机安全评价标准 可信计算机系统评估准则可信计算机系统评估准则 OSIOSI安全体系结构安全体系结构 计算机安全评价标准计算机安全评价标准安全评价的目的是制订适合出定范围的系统一致的评估方法，避免同一系统、同一应用的多重评价 它主要适用范围是硬件和操作系统，也可用于应用系统评价 计算机安全评价标准计算机安全评价标准制定安全标准的策略应从以下几方由来考虑：与计算机系统的实际环境相结合与计算机系统的实际环境相结合与国际环境相适应与国际环境相适应 具有一定程度的模糊性具有一定程度的模糊性具有一定范围的适应性具有一定范围的适应性 可信计算机系统评估准则可信计算机系统评估准则可信计算机系统评估准则（可信计算机系统评估准则（TCSEC-Trusted TCSEC-Trusted Computer System Evaluation CriteriaComputer System Evaluation Criteria，俗称橘皮，俗称橘皮书）是美国国防部于书）是美国国防部于19851985年发表的一份技术文件年发表的一份技术文件 制定准则的目的制定准则的目的:向制造商提供一个标准，即指导制造商如何在他们新向制造商提供一个标准，即指导制造商如何在他们新开发的、并将广泛使用的商用产品中采用安全部件来开发的、并将广泛使用的商用产品中采用安全部件来满足敏感应用的可信要求。满足敏感应用的可信要求。向用户提供一种验证标准，用户可用此标准来评估计向用户提供一种验证标准，用户可用此标准来评估计算机系统处理秘密信息和其它敏感信息的可信程序。算机系统处理秘密信息和其它敏感信息的可信程序。为制定规范时的安全需求提供一个基准。为制定规范时的安全需求提供一个基准。可信计算机系统评估准则可信计算机系统评估准则 可信计算机系统评估准则分成可信计算机系统评估准则分成D D，C C，B B和和A A四类：四类：D D级：最小保护级：最小保护 C C级级:自主保护自主保护 C1C1级：自主型安全保护级：自主型安全保护 C2C2级：可控访问保护级：可控访问保护 B B级级:强制安全保护强制安全保护 B1B1级：标记安全保护级：标记安全保护 B2B2级：结构化保护级：结构化保护 B3B3级：安全域级：安全域 A A级：验证设计级：验证设计 A1A1：经过验证的设计：经过验证的设计 A2A2：A1A1级以外的系统级以外的系统 英国的英国的5 5（安全控制可实施）（安全控制可实施）+6+6标准（安全目标不可实施）标准（安全目标不可实施）原西德信息安全部门原西德信息安全部门19891989公布的信息技术系统可信性评价标准公布的信息技术系统可信性评价标准 OSI安全体系结构安全体系结构安全技术评价标准：国际标准化组织ISO7498-2中描述开放互连OSI安全体系结构的5种安全服务项目鉴别鉴别 访问控制访问控制 数据保密数据保密 数据完整数据完整 抗否认抗否认OSI安全体系结构安全体系结构8 8种安全机制：种安全机制：加密机制加密机制 数字签名机制数字签名机制 访问控制机制访问控制机制 数据完整性机制数据完整性机制 鉴别交换机制鉴别交换机制 通信业务填充机制通信业务填充机制 路由控制机制路由控制机制 公证机制公证机制 OSI安全体系结构安全体系结构具体安全协议上国际标准：安全电子交易协议安全电子交易协议SETSETANSIANSI的的DESDESRSARSA加密算法标准加密算法标准 数据传输时新的加密标准数据传输时新的加密标准(AES)(AES)