第11章網(wǎng)絡(luò)安全評估和安全法規(guī)第11章網(wǎng)絡(luò)安全評估和安全法規(guī)111.1安全評估的國際通用準(zhǔn)則11.2安全評估的國內(nèi)通用準(zhǔn)則11.3網(wǎng)絡(luò)安全的法律和法規(guī)11.1安全評估的國際通用準(zhǔn)則211.1安全評估的國際通用準(zhǔn)則11.1.1可信計(jì)算機(jī)系統(tǒng)安全評估準(zhǔn)則

TCSEC將計(jì)算機(jī)系統(tǒng)的安全劃分為4個(gè)等級、8個(gè)級別。

D類安全等級

C類安全等級

B類安全等級

A類安全等級

11.1安全評估的國際通用準(zhǔn)則11.1.1可信計(jì)算機(jī)311.1.2信息系統(tǒng)技術(shù)安全評估通用準(zhǔn)則 國際通用準(zhǔn)則（CC）是ISO統(tǒng)一現(xiàn)有多種準(zhǔn)則的結(jié)果，是目前最全面的評估準(zhǔn)則。

CC認(rèn)為安全的實(shí)現(xiàn)應(yīng)構(gòu)建在如下的層次框架之上（自下而上）。（1）安全環(huán)境：使用評估對象時(shí)必須遵照的法律和組織安全政策以及存在的安全威脅。11.1.2信息系統(tǒng)技術(shù)安全評估通用準(zhǔn)則4（2）安全目的：對防范威脅、滿足所需的組織安全政策和假設(shè)聲明。（3）評估對象安全需求：對安全目的的細(xì)化，主要是一組對安全功能和保證的技術(shù)需求。（4）評估對象安全規(guī)范：對評估對象實(shí)際實(shí)現(xiàn)或計(jì)劃實(shí)現(xiàn)的定義。（5）評估對象安全實(shí)現(xiàn)：與規(guī)范一致的評估對象實(shí)際實(shí)現(xiàn)。（2）安全目的：對防范威脅、滿足所需的組織安全政策和假設(shè)聲明511.2安全評估的國內(nèi)通用準(zhǔn)則11.2.1信息系統(tǒng)安全劃分準(zhǔn)則國家標(biāo)準(zhǔn)GB17859-99是我國計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)系列標(biāo)準(zhǔn)的核心，是實(shí)行計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)制度建設(shè)的重要基礎(chǔ)。此標(biāo)準(zhǔn)將信息系統(tǒng)分成5個(gè)級別，分別是用戶自主保護(hù)級、系統(tǒng)審計(jì)保護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級和訪問驗(yàn)證保護(hù)級。

11.2安全評估的國內(nèi)通用準(zhǔn)則11.2.1信息系統(tǒng)安6第一級第二級第三級第四級第五級自主訪問控制√√√√√身份鑒別√√√√√數(shù)據(jù)完整性√√√√√客體重用√√√√審計(jì)√√√√強(qiáng)制訪問控制√√√標(biāo)記√√√隱蔽信道分析√√可信路徑√√可信恢復(fù)√表11.1 信息系統(tǒng)的5個(gè)級別

第一級第二級第三級第四級第7在此標(biāo)準(zhǔn)中，一個(gè)重要的概念是可信計(jì)算基（TCB）。可信計(jì)算基是一個(gè)實(shí)現(xiàn)安全策略的機(jī)制，包括硬件、固件和軟件，它們將根據(jù)安全策略來處理主體（例如：系統(tǒng)管理員、安全管理員和用戶等）對客體（例如：進(jìn)程、文件、記錄和設(shè)備等）的訪問。在此標(biāo)準(zhǔn)中，一個(gè)重要的概念是可信計(jì)算基（TCB81．自主訪問控制2．身份鑒別3．?dāng)?shù)據(jù)完整性4．客體重用5．審計(jì)6．強(qiáng)制訪問控制7．標(biāo)記8．隱蔽信道分析9．可信路徑10．可信恢復(fù)1．自主訪問控制911.2.2信息系統(tǒng)安全有關(guān)的標(biāo)準(zhǔn)隨著CC標(biāo)準(zhǔn)的不斷普及，我國也在2001年發(fā)布了GB/T18336標(biāo)準(zhǔn)，這一標(biāo)準(zhǔn)等同采用ISO/IEC15408-3：《信息技術(shù)

安全技術(shù)

信息技術(shù)安全性評估準(zhǔn)則》

11.2.2信息系統(tǒng)安全有關(guān)的標(biāo)準(zhǔn)1011.3網(wǎng)絡(luò)安全的法律和法規(guī)11.3.1網(wǎng)絡(luò)安全相關(guān)的法規(guī)我國對信息系統(tǒng)的立法工作很重視，關(guān)于計(jì)算機(jī)信息系統(tǒng)安全方面的法規(guī)較多，涉及到信息系統(tǒng)安全保護(hù)、國際聯(lián)網(wǎng)管理、計(jì)算機(jī)病毒防治、商用密碼管理和安全產(chǎn)品檢測與銷售等多方面。主要有以下一些。（1）1989年，公安部發(fā)布了《計(jì)算機(jī)病毒控制規(guī)定（草案）》。（2）1991年，國務(wù)院第83次常委會議通過《計(jì)算機(jī)軟件保護(hù)條例》。（3）1994年2月18日，國務(wù)院發(fā)布《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》。其主要內(nèi)容如下：11.3網(wǎng)絡(luò)安全的法律和法規(guī)11.3.1網(wǎng)絡(luò)安全相關(guān)11（4）1996年2月1日，國務(wù)院發(fā)布《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》。（5）1997年5月20日，國務(wù)院信息化工作領(lǐng)導(dǎo)小組制定了《中華人民共和國計(jì)算機(jī)信（6）1997年，國務(wù)院信息化工作領(lǐng)導(dǎo)小組發(fā)布《中國互聯(lián)網(wǎng)絡(luò)域名注冊暫行管理辦法》、《中國互聯(lián)網(wǎng)絡(luò)域名注冊實(shí)施細(xì)則》。（7）1997年，原郵電部出臺《國際互聯(lián)網(wǎng)出入信道管理辦法》。（8）2000年，《互聯(lián)網(wǎng)信息服務(wù)管理辦法》正式實(shí)施。（9）2000年11月，國務(wù)院新聞辦公室和信息產(chǎn)業(yè)部聯(lián)合發(fā)布《互聯(lián)網(wǎng)站從事登載新聞業(yè)務(wù)管理暫行規(guī)定》。（10）2000年11月，信息產(chǎn)業(yè)部發(fā)布《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》。（4）1996年2月1日，國務(wù)院發(fā)布《中華人民共和國計(jì)算機(jī)信1211.3.2網(wǎng)絡(luò)安全相關(guān)的法律11.3.3網(wǎng)絡(luò)安全管理的有關(guān)法律1．網(wǎng)絡(luò)服務(wù)業(yè)的法律規(guī)范（1）網(wǎng)絡(luò)服務(wù)機(jī)構(gòu)設(shè)立的條件①是依法設(shè)立的企業(yè)法人或者事業(yè)法人。②具有相應(yīng)的計(jì)算機(jī)信息網(wǎng)絡(luò)、裝備以及相應(yīng)的技術(shù)人員和管理人員。③具有健全的安全保密管理制度和技術(shù)保護(hù)措施。④符合法律和國務(wù)院規(guī)定的其他條件。11.3.2網(wǎng)絡(luò)安全相關(guān)的法律13（2）網(wǎng)絡(luò)服務(wù)業(yè)的對口管理《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定，對計(jì)算機(jī)信息系統(tǒng)中發(fā)生的案件，有關(guān)使用單位應(yīng)當(dāng)在24小時(shí)內(nèi)向當(dāng)?shù)乜h級以上人民政府公安機(jī)關(guān)報(bào)告。對計(jì)算機(jī)病毒和危害社會公共安全的其他有害數(shù)據(jù)的防治研究工作，由公安部歸口管理。國家對計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品的銷售實(shí)行許可證制度。具體辦法由公安部會同有關(guān)部門制定。（2）網(wǎng)絡(luò)服務(wù)業(yè)的對口管理14（3）互聯(lián)網(wǎng)出入口信道管理《中華人民共和國計(jì)算機(jī)網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》規(guī)定，計(jì)算機(jī)信息網(wǎng)絡(luò)直接進(jìn)行國際聯(lián)網(wǎng)，必須使用郵電部國家公用電信網(wǎng)提供的國際出入口信道。任何單位和個(gè)人不得自行建立或者使用其他信道進(jìn)行國際聯(lián)網(wǎng)。已經(jīng)建立的互聯(lián)網(wǎng)絡(luò)，根據(jù)國務(wù)院有關(guān)規(guī)定調(diào)整后，分別由郵電部、電子工業(yè)部，國家教育委員會和中國科學(xué)院管理。新建互聯(lián)網(wǎng)絡(luò)，必須報(bào)經(jīng)國務(wù)院批準(zhǔn)。（3）互聯(lián)網(wǎng)出入口信道管理15（4）計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行管理根據(jù)《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法》要求，國際出入口信道提供單位、互聯(lián)單位和接入單位必須建立網(wǎng)絡(luò)管理中心，健全管理制度，做好網(wǎng)絡(luò)信息安全管理工作。（4）計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行管理16（5）安全責(zé)任根據(jù)《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》，從事國際聯(lián)網(wǎng)業(yè)務(wù)的單位和個(gè)人，應(yīng)當(dāng)遵守國家有關(guān)法律、行政法規(guī)，嚴(yán)格執(zhí)行安全保密制度，不得利用國際聯(lián)網(wǎng)從事危害國家安全、泄露國家秘密等違法犯罪活動，不得制作、查閱、復(fù)制和傳播妨礙社會治安的信息和淫穢色情等信息。（5）安全責(zé)任根據(jù)《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理172．網(wǎng)絡(luò)用戶的法律規(guī)范3．互聯(lián)網(wǎng)信息傳播安全管理制度11.3.4電子公告服務(wù)的法律管制2．網(wǎng)絡(luò)用戶的法律規(guī)范18第11章網(wǎng)絡(luò)安全評估和安全法規(guī)第11章網(wǎng)絡(luò)安全評估和安全法規(guī)1911.1安全評估的國際通用準(zhǔn)則11.2安全評估的國內(nèi)通用準(zhǔn)則11.3網(wǎng)絡(luò)安全的法律和法規(guī)11.1安全評估的國際通用準(zhǔn)則2011.1安全評估的國際通用準(zhǔn)則11.1.1可信計(jì)算機(jī)系統(tǒng)安全評估準(zhǔn)則

TCSEC將計(jì)算機(jī)系統(tǒng)的安全劃分為4個(gè)等級、8個(gè)級別。

D類安全等級

C類安全等級

B類安全等級

A類安全等級

11.1安全評估的國際通用準(zhǔn)則11.1.1可信計(jì)算機(jī)2111.1.2信息系統(tǒng)技術(shù)安全評估通用準(zhǔn)則 國際通用準(zhǔn)則（CC）是ISO統(tǒng)一現(xiàn)有多種準(zhǔn)則的結(jié)果，是目前最全面的評估準(zhǔn)則。

CC認(rèn)為安全的實(shí)現(xiàn)應(yīng)構(gòu)建在如下的層次框架之上（自下而上）。（1）安全環(huán)境：使用評估對象時(shí)必須遵照的法律和組織安全政策以及存在的安全威脅。11.1.2信息系統(tǒng)技術(shù)安全評估通用準(zhǔn)則22（2）安全目的：對防范威脅、滿足所需的組織安全政策和假設(shè)聲明。（3）評估對象安全需求：對安全目的的細(xì)化，主要是一組對安全功能和保證的技術(shù)需求。（4）評估對象安全規(guī)范：對評估對象實(shí)際實(shí)現(xiàn)或計(jì)劃實(shí)現(xiàn)的定義。（5）評估對象安全實(shí)現(xiàn)：與規(guī)范一致的評估對象實(shí)際實(shí)現(xiàn)。（2）安全目的：對防范威脅、滿足所需的組織安全政策和假設(shè)聲明2311.2安全評估的國內(nèi)通用準(zhǔn)則11.2.1信息系統(tǒng)安全劃分準(zhǔn)則國家標(biāo)準(zhǔn)GB17859-99是我國計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)系列標(biāo)準(zhǔn)的核心，是實(shí)行計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)制度建設(shè)的重要基礎(chǔ)。此標(biāo)準(zhǔn)將信息系統(tǒng)分成5個(gè)級別，分別是用戶自主保護(hù)級、系統(tǒng)審計(jì)保護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級和訪問驗(yàn)證保護(hù)級。

11.2安全評估的國內(nèi)通用準(zhǔn)則11.2.1信息系統(tǒng)安24第一級第二級第三級第四級第五級自主訪問控制√√√√√身份鑒別√√√√√數(shù)據(jù)完整性√√√√√客體重用√√√√審計(jì)√√√√強(qiáng)制訪問控制√√√標(biāo)記√√√隱蔽信道分析√√可信路徑√√可信恢復(fù)√表11.1 信息系統(tǒng)的5個(gè)級別

第一級第二級第三級第四級第25在此標(biāo)準(zhǔn)中，一個(gè)重要的概念是可信計(jì)算基（TCB）?？尚庞?jì)算基是一個(gè)實(shí)現(xiàn)安全策略的機(jī)制，包括硬件、固件和軟件，它們將根據(jù)安全策略來處理主體（例如：系統(tǒng)管理員、安全管理員和用戶等）對客體（例如：進(jìn)程、文件、記錄和設(shè)備等）的訪問。在此標(biāo)準(zhǔn)中，一個(gè)重要的概念是可信計(jì)算基（TCB261．自主訪問控制2．身份鑒別3．?dāng)?shù)據(jù)完整性4．客體重用5．審計(jì)6．強(qiáng)制訪問控制7．標(biāo)記8．隱蔽信道分析9．可信路徑10．可信恢復(fù)1．自主訪問控制2711.2.2信息系統(tǒng)安全有關(guān)的標(biāo)準(zhǔn)隨著CC標(biāo)準(zhǔn)的不斷普及，我國也在2001年發(fā)布了GB/T18336標(biāo)準(zhǔn)，這一標(biāo)準(zhǔn)等同采用ISO/IEC15408-3：《信息技術(shù)

安全技術(shù)

信息技術(shù)安全性評估準(zhǔn)則》

11.2.2信息系統(tǒng)安全有關(guān)的標(biāo)準(zhǔn)2811.3網(wǎng)絡(luò)安全的法律和法規(guī)11.3.1網(wǎng)絡(luò)安全相關(guān)的法規(guī)我國對信息系統(tǒng)的立法工作很重視，關(guān)于計(jì)算機(jī)信息系統(tǒng)安全方面的法規(guī)較多，涉及到信息系統(tǒng)安全保護(hù)、國際聯(lián)網(wǎng)管理、計(jì)算機(jī)病毒防治、商用密碼管理和安全產(chǎn)品檢測與銷售等多方面。主要有以下一些。（1）1989年，公安部發(fā)布了《計(jì)算機(jī)病毒控制規(guī)定（草案）》。（2）1991年，國務(wù)院第83次常委會議通過《計(jì)算機(jī)軟件保護(hù)條例》。（3）1994年2月18日，國務(wù)院發(fā)布《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》。其主要內(nèi)容如下：11.3網(wǎng)絡(luò)安全的法律和法規(guī)11.3.1網(wǎng)絡(luò)安全相關(guān)29（4）1996年2月1日，國務(wù)院發(fā)布《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》。（5）1997年5月20日，國務(wù)院信息化工作領(lǐng)導(dǎo)小組制定了《中華人民共和國計(jì)算機(jī)信（6）1997年，國務(wù)院信息化工作領(lǐng)導(dǎo)小組發(fā)布《中國互聯(lián)網(wǎng)絡(luò)域名注冊暫行管理辦法》、《中國互聯(lián)網(wǎng)絡(luò)域名注冊實(shí)施細(xì)則》。（7）1997年，原郵電部出臺《國際互聯(lián)網(wǎng)出入信道管理辦法》。（8）2000年，《互聯(lián)網(wǎng)信息服務(wù)管理辦法》正式實(shí)施。（9）2000年11月，國務(wù)院新聞辦公室和信息產(chǎn)業(yè)部聯(lián)合發(fā)布《互聯(lián)網(wǎng)站從事登載新聞業(yè)務(wù)管理暫行規(guī)定》。（10）2000年11月，信息產(chǎn)業(yè)部發(fā)布《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》。（4）1996年2月1日，國務(wù)院發(fā)布《中華人民共和國計(jì)算機(jī)信3011.3.2網(wǎng)絡(luò)安全相關(guān)的法律11.3.3網(wǎng)絡(luò)安全管理的有關(guān)法律1．網(wǎng)絡(luò)服務(wù)業(yè)的法律規(guī)范（1）網(wǎng)絡(luò)服務(wù)機(jī)構(gòu)設(shè)立的條件①是依法設(shè)立的企業(yè)法人或者事業(yè)法人。②具有相應(yīng)的計(jì)算機(jī)信息網(wǎng)絡(luò)、裝備以及相應(yīng)的技術(shù)人員和管理人員。③具有健全的安全保密管理制度和技術(shù)保護(hù)措施。④符合法律和國務(wù)院規(guī)定的其他條件。11.3.2網(wǎng)絡(luò)安全相關(guān)的法律31（2）網(wǎng)絡(luò)服務(wù)業(yè)的對口管理《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定，對計(jì)算機(jī)信息系統(tǒng)中發(fā)生的案件，有關(guān)使用單位應(yīng)當(dāng)在24小時(shí)內(nèi)向當(dāng)?shù)乜h級以上人民政府公安機(jī)關(guān)報(bào)告。對計(jì)算機(jī)病毒和危害社會公共安全的其他有害數(shù)據(jù)的防治研究工作，由公安部歸口管理。國家對計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品的銷售實(shí)行許可證制度。具體辦法由公安部會同有關(guān)部門制定。（2）網(wǎng)絡(luò)服務(wù)業(yè)的對口管理32（3）互聯(lián)網(wǎng)出入口信道管理《中華人民共和國計(jì)算機(jī)網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》規(guī)定，計(jì)算機(jī)信息網(wǎng)絡(luò)直接進(jìn)行國際聯(lián)網(wǎng)，必須使用郵電部國家公用電信網(wǎng)提供的國際出入口信道。任何單位和個(gè)人不得自行建立或者使用其他信道進(jìn)行國際聯(lián)網(wǎng)。已經(jīng)建立的互聯(lián)網(wǎng)絡(luò)，根據(jù)國務(wù)院有關(guān)規(guī)定調(diào)整后，分別由郵電部、電子工業(yè)部，國家教育委員會和中國科學(xué)院管理。新建互聯(lián)網(wǎng)絡(luò)，必須報(bào)經(jīng)國務(wù)院批準(zhǔn)。（3）互聯(lián)網(wǎng)出入口信道管理33（4）計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行管理根據(jù)《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法》要求，國際出入口信道提供單位、互聯(lián)