1、第二章 政策法規(guī)與標(biāo)準(zhǔn),本資料由-提供 在線代理,政策法規(guī)與標(biāo)準(zhǔn),組織機(jī)構(gòu) 立法立足點(diǎn) 計(jì)算機(jī)犯罪法 各國立法 我國立法 計(jì)算機(jī)安全評價(jià)標(biāo)準(zhǔn) 可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則 OSI安全體系結(jié)構(gòu),組織機(jī)構(gòu),比較活躍的組織有： IFIP(國際信息處理聯(lián)合會(huì)) WISE（國際強(qiáng)化安全研究所） 中國電子學(xué)會(huì)于1978年提出申請，1979年國務(wù)院批準(zhǔn)向IFIP遞交入會(huì)申請，1980年1月1日IFIP正式接納中國電子學(xué)會(huì)代表中國為其成員學(xué)會(huì),政策法規(guī)與標(biāo)準(zhǔn),組織機(jī)構(gòu) 立法立足點(diǎn) 計(jì)算機(jī)犯罪法 各國立法 我國立法 計(jì)算機(jī)安全評價(jià)標(biāo)準(zhǔn) 可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則 OSI安全體系結(jié)構(gòu),立法立足點(diǎn),計(jì)算機(jī)安全是指計(jì)算機(jī)資產(chǎn)安

2、全，具體含義有四層： 系統(tǒng)設(shè)備和相關(guān)設(shè)施運(yùn)行正常，系統(tǒng)服務(wù)適時(shí)。 軟件(包括網(wǎng)絡(luò)軟件，應(yīng)用軟件和相關(guān)的軟件)正常。 系統(tǒng)擁有的或產(chǎn)生的數(shù)據(jù)信息完整，有效，使用合法，不會(huì)被泄漏。 系統(tǒng)資源和信息資源使用合法,立法立足點(diǎn),計(jì)算機(jī)安全需要以下五個(gè)機(jī)制： 威懾:提醒人們不要做有害于計(jì)算機(jī)的事，否則將受到法律的制裁。 預(yù)防并阻止不法分子對計(jì)算機(jī)資源產(chǎn)生危害。 檢查:能查出系統(tǒng)安全隱患，查明已發(fā)生的各種事情的原因。 恢復(fù)。系統(tǒng)發(fā)生意外事件或是事故從而導(dǎo)致系統(tǒng)中斷或數(shù)據(jù)受損后，能在短期內(nèi)恢復(fù)。 糾正，能及時(shí)堵塞安全漏洞，改進(jìn)安全措施。,立法立足點(diǎn),計(jì)算機(jī)安全戰(zhàn)略應(yīng)當(dāng)是： 運(yùn)用政策、法律、管理和技術(shù)手段，保護(hù)

3、計(jì)算機(jī)資產(chǎn)免受自然和人為有害因素的威脅和危害，把計(jì)算機(jī)安全事件發(fā)生率和可能造成的政治、經(jīng)濟(jì)損失降低到最小限度。,政策法規(guī)與標(biāo)準(zhǔn),組織機(jī)構(gòu) 立法立足點(diǎn) 計(jì)算機(jī)犯罪法 各國立法 我國立法 計(jì)算機(jī)安全評價(jià)標(biāo)準(zhǔn) 可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則 OSI安全體系結(jié)構(gòu),計(jì)算機(jī)犯罪法,計(jì)算機(jī)犯罪法是以防止計(jì)算機(jī)犯罪行為、懲罰犯罪、保護(hù)計(jì)算機(jī)資產(chǎn)為目的。 它規(guī)定 利用計(jì)算機(jī)收取非法利益； 非法取得計(jì)算機(jī)信息系統(tǒng)服務(wù)； 用非法手段侵入計(jì)算機(jī)信息系統(tǒng)和網(wǎng)絡(luò)進(jìn)行盜竊、破壞、篡改數(shù)據(jù)流文件，或擾亂系統(tǒng)功能； 利用計(jì)算機(jī)或計(jì)算機(jī)知識竊取金融證券、現(xiàn)金、程序、信息、情報(bào)等行為的 為計(jì)算機(jī)犯罪。,計(jì)算機(jī)犯罪法,典型的計(jì)算機(jī)犯罪條文：

4、 任何人未經(jīng)許可企圖利用或已經(jīng)利用計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)進(jìn)行詐騙或竊取錢財(cái)。 任何人未經(jīng)許可企圖或以已經(jīng)使用任何計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)，竊取信息或輸入假信息，侵犯他人利益。 任何人超出其工作范圍企圖或未經(jīng)許可訪問任何計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)、程序、文件，存取數(shù)據(jù)。 任何人故意刪除、篡改、損害、破壞程序、數(shù)據(jù)、文件，破壞、更改計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)，中斷或拒絕計(jì)算機(jī)服務(wù)，非法獲得計(jì)算機(jī)服務(wù)。,計(jì)算機(jī)犯罪法,以瑞典為代表的歐洲（數(shù)據(jù)法與數(shù)據(jù)保護(hù)法類型法律）： 建立和處理文件不得侵害私人(包括法人)的權(quán)利。 任何個(gè)人、社會(huì)團(tuán)體及政府部門，凡需建立有關(guān)私人情況的文件或處理這方面的文件，都必須事先得到數(shù)據(jù)監(jiān)察局的許可，根據(jù)政府或

5、議會(huì)命令而建立文件，也要事先征求監(jiān)察局的意見。 監(jiān)察人員在執(zhí)行任務(wù)時(shí)，有權(quán)進(jìn)入數(shù)據(jù)處理中心，接觸任何文件和資料，有權(quán)命令停止計(jì)算機(jī)系統(tǒng)運(yùn)行。 監(jiān)察局在發(fā)給許可證時(shí)，要對建立文件的日期，文件組成、數(shù)據(jù)處理、使用何種設(shè)備等方面作一些指示，必要時(shí)還要發(fā)布命令，有關(guān)方面必須遵守。 監(jiān)察局除了進(jìn)行監(jiān)督，檢查、指導(dǎo)工作外，還起監(jiān)訴官的作用，并處理受害者的申訴事務(wù)。,政策法規(guī)與標(biāo)準(zhǔn),組織機(jī)構(gòu) 立法立足點(diǎn) 計(jì)算機(jī)犯罪法 各國立法 我國立法 計(jì)算機(jī)安全評價(jià)標(biāo)準(zhǔn) 可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則 OSI安全體系結(jié)構(gòu),各國立法,1973年瑞典通過數(shù)據(jù)法，成立國家計(jì)算機(jī)安全脆弱委員會(huì)以及脆弱性局、數(shù)據(jù)安全局。 1978年美國佛

6、羅里達(dá)州對計(jì)算機(jī)犯罪立法，之后美國聯(lián)邦政府相繼通過“計(jì)算機(jī)詐騙與濫用法”，“電子通訊隱私法”，“聯(lián)邦計(jì)算機(jī)安全法”，信息自由法，反腐敗行動(dòng)法，偽造訪問設(shè)備和計(jì)算機(jī)欺騙與濫用法，計(jì)算機(jī)安全法等法律。 英國也有數(shù)據(jù)保護(hù)法與計(jì)算機(jī)濫用法案等法律。,政策法規(guī)與標(biāo)準(zhǔn),組織機(jī)構(gòu) 立法立足點(diǎn) 計(jì)算機(jī)犯罪法 各國立法 我國立法 計(jì)算機(jī)安全評價(jià)標(biāo)準(zhǔn) 可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則 OSI安全體系結(jié)構(gòu),我國立法,1981年起我國開始開展計(jì)算機(jī)安全監(jiān)察 1988年中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例通過 1994年2月18日發(fā)布的中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 1996年2月1日發(fā)布了中華人民共和國計(jì)算機(jī)信息

7、網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定 1997年3月18日公布的新刑法增加了有關(guān)計(jì)算機(jī)犯罪方面的規(guī)定，它們分別是第217條第1項(xiàng)、第285條至第287條。 行政法規(guī)： 計(jì)算機(jī)軟件保護(hù)條例 計(jì)算機(jī)病毒控制條例（試行） 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定等,政策法規(guī)與標(biāo)準(zhǔn),組織機(jī)構(gòu) 立法立足點(diǎn) 計(jì)算機(jī)犯罪法 各國立法 我國立法 計(jì)算機(jī)安全評價(jià)標(biāo)準(zhǔn) 可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則 OSI安全體系結(jié)構(gòu),計(jì)算機(jī)安全評價(jià)標(biāo)準(zhǔn),安全評價(jià)的目的是制訂適合出定范圍的系統(tǒng)一致的評估方法，避免同一系統(tǒng)、同一應(yīng)用的多重評價(jià) 它主要適用范圍是硬件和操作系統(tǒng)，也可用于應(yīng)用系統(tǒng)評價(jià),計(jì)算機(jī)安全評價(jià)標(biāo)準(zhǔn),制定安全標(biāo)準(zhǔn)

8、的策略應(yīng)從以下幾方由來考慮： 與計(jì)算機(jī)系統(tǒng)的實(shí)際環(huán)境相結(jié)合 與國際環(huán)境相適應(yīng) 具有一定程度的模糊性 具有一定范圍的適應(yīng)性,可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則,可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則（TCSEC-Trusted Computer System Evaluation Criteria，俗稱橘皮書）是美國國防部于1985年發(fā)表的一份技術(shù)文件 制定準(zhǔn)則的目的: 向制造商提供一個(gè)標(biāo)準(zhǔn)，即指導(dǎo)制造商如何在他們新開發(fā)的、并將廣泛使用的商用產(chǎn)品中采用安全部件來滿足敏感應(yīng)用的可信要求。 向用戶提供一種驗(yàn)證標(biāo)準(zhǔn)，用戶可用此標(biāo)準(zhǔn)來評估計(jì)算機(jī)系統(tǒng)處理秘密信息和其它敏感信息的可信程序。為制定規(guī)范時(shí)的安全需求提供一個(gè)基準(zhǔn)。,可信計(jì)算

9、機(jī)系統(tǒng)評估準(zhǔn)則,可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則分成D，C，B和A四類： D級：最小保護(hù) C級:自主保護(hù) C1級：自主型安全保護(hù) C2級：可控訪問保護(hù) B級:強(qiáng)制安全保護(hù) B1級：標(biāo)記安全保護(hù) B2級：結(jié)構(gòu)化保護(hù) B3級：安全域 A級：驗(yàn)證設(shè)計(jì) A1：經(jīng)過驗(yàn)證的設(shè)計(jì) A2：A1級以外的系統(tǒng) 英國的5（安全控制可實(shí)施）+6標(biāo)準(zhǔn)（安全目標(biāo)不可實(shí)施） 原西德信息安全部門1989公布的信息技術(shù)系統(tǒng)可信性評價(jià)標(biāo)準(zhǔn),OSI安全體系結(jié)構(gòu),安全技術(shù)評價(jià)標(biāo)準(zhǔn)：國際標(biāo)準(zhǔn)化組織ISO7498-2中描述開放互連OSI安全體系結(jié)構(gòu)的5種安全服務(wù)項(xiàng)目 鑒別 訪問控制 數(shù)據(jù)保密 數(shù)據(jù)完整 抗否認(rèn),OSI安全體系結(jié)構(gòu),8種安全機(jī)制： 加密機(jī)制 數(shù)