网络安全评估和安全法规
18页1、第11章 网络安全评估和安全法规,11.1 安全评估的国际通用准则 11.2 安全评估的国内通用准则 11.3 网络安全的法律和法规,11.1 安全评估的国际通用准则,11.1.1 可信计算机系统安全评估准则 TCSEC将计算机系统的安全划分为4个等级、8个级别。 D类安全等级 C类安全等级 B类安全等级 A类安全等级,11.1.2 信息系统技术安全评估通用准则 国际通用准则(CC)是ISO统一现有多种准则的结果,是目前最全面的评估准则。 CC认为安全的实现应构建在如下的层次框架之上(自下而上)。 (1)安全环境:使用评估对象时必须遵照的法律和组织安全政策以及存在的安全威胁。,(2)安全目的:对防范威胁、满足所需的组织安全政策和假设声明。 (3)评估对象安全需求:对安全目的的细化,主要是一组对安全功能和保证的技术需求。 (4)评估对象安全规范:对评估对象实际实现或计划实现的定义。 (5)评估对象安全实现:与规范一致的评估对象实际实现。,11.2 安全评估的国内通用准则,11.2.1 信息系统安全划分准则 国家标准GB17859-99是我国计算机信息系统安全等级保护系列标准的核心,是实行
2、计算机信息系统安全等级保护制度建设的重要基础。此标准将信息系统分成5个级别,分别是用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。,表11.1 信息系统的5个级别,在此标准中,一个重要的概念是可信计算基(TCB)。可信计算基是一个实现安全策略的机制,包括硬件、固件和软件,它们将根据安全策略来处理主体(例如:系统管理员、安全管理员和用户等)对客体(例如:进程、文件、记录和设备等)的访问。,1自主访问控制 2身份鉴别 3数据完整性 4客体重用 5审计 6强制访问控制 7标记 8隐蔽信道分析 9可信路径 10可信恢复,11.2.2 信息系统安全有关的标准 随着CC标准的不断普及,我国也在2001年发布了GB/T 18336标准,这一标准等同采用ISO/IEC 15408-3:信息技术 安全技术 信息技术安全性评估准则,11.3 网络安全的法律和法规,11.3.1 网络安全相关的法规 我国对信息系统的立法工作很重视,关于计算机信息系统安全方面的法规较多,涉及到信息系统安全保护、国际联网管理、计算机病毒防治、商用密码管理和安全产品检测与销售等多方面。主要有以下一些。
《网络安全评估和安全法规》由会员tia****nde分享,可在线阅读,更多相关《网络安全评估和安全法规》请在金锄头文库上搜索。
2024-05-03 27页
2024-05-03 28页
2024-05-03 28页
2024-05-03 34页
2024-05-03 33页
2024-05-03 29页
2024-05-03 31页
2024-05-03 27页
2024-05-03 27页
2024-05-03 33页