第二章 政策法规与标准
陈天洲
tzchen@zju.edu.cn
Addoil.net
Embedded.zju.edu.cn
政策法规与标准
? 组织机构
? 立法立足点
? 计算机犯罪法
? 各国立法
? 我国立法
? 计算机安全评价标准
– 可信计算机系统评估准则
– OSI安全体系结构
组织机构
? 比较活跃的组织有,
– IFIP(国际信息处理联合会 )
– WISE(国际强化安全研究所)
? 中国电子学会于 1978年提出申请,1979年
国务院批准向 IFIP递交入会申请,1980年 1
月 1日 IFIP正式接纳中国电子学会代表中国
为其成员学会
政策法规与标准
? 组织机构
? 立法立足点
? 计算机犯罪法
? 各国立法
? 我国立法
? 计算机安全评价标准
– 可信计算机系统评估准则
– OSI安全体系结构
立法立足点
? 计算机安全是指计算机资产安全,具体含
义有四层,
– 系统设备和相关设施运行正常,系统服务适时。
– 软件 (包括网络软件,应用软件和相关的软件 )
正常。
– 系统拥有的或产生的数据信息完整,有效,使
用合法,不会被泄漏。
– 系统资源和信息资源使用合法
立法立足点
? 计算机安全需要以下五个机制,
– 威慑,提醒人们不要做有害于计算机的事,否则
将受到法律的制裁。
– 预防并阻止不法分子对计算机资源产生危害。
– 检查,能查出系统安全隐患,查明已发生的各种
事情的原因。
– 恢复。系统发生意外事件或是事故从而导致系
统中断或数据受损后,能在短期内恢复。
– 纠正,能及时堵塞安全漏洞,改进安全措施。
立法立足点
? 计算机安全战略应当是,
运用政策、法律、管理和技术手段,保护
计算机资产免受自然和人为有害因素的威胁和
危害,把计算机安全事件发生率和可能造成的
政治、经济损失降低到最小限度。
政策法规与标准
? 组织机构
? 立法立足点
? 计算机犯罪法
? 各国立法
? 我国立法
? 计算机安全评价标准
– 可信计算机系统评估准则
– OSI安全体系结构
计算机犯罪法
? 计算机犯罪法是以防止计算机犯罪行为、惩罚犯
罪、保护计算机资产为目的。
它规定
– 利用计算机收取非法利益;
– 非法取得计算机信息系统服务;
– 用非法手段侵入计算机信息系统和网络进行盗窃、破
坏、篡改数据流文件,或扰乱系统功能;
– 利用计算机或计算机知识窃取金融证券、现金、程序、
信息、情报等行为的
为计算机犯罪。
计算机犯罪法
? 典型的计算机犯罪条文,
– 任何人未经许可企图利用或已经利用计算机系统或网
络进行诈骗或窃取钱财。
– 任何人未经许可企图或以已经使用任何计算机系统或
网络,窃取信息或输入假信息,侵犯他人利益。
– 任何人超出其工作范围企图或未经许可访问任何计算
机系统、网络、程序、文件,存取数据。
– 任何人故意删除、篡改、损害、破坏程序、数据、文
件,破坏、更改计算机系统和网络,中断或拒绝计算
机服务,非法获得计算机服务。
计算机犯罪法
? 以瑞典为代表的欧洲(数据法与数据保护法类型法律),
– 建立和处理文件不得侵害私人 (包括法人 )的权利。
– 任何个人、社会团体及政府部门,凡需建立有关私人情况的文件
或处理这方面的文件,都必须事先得到数据监察局的许可,根据
政府或议会命令而建立文件,也要事先征求监察局的意见。
– 监察人员在执行任务时,有权进入数据处理中心,接触任何文件
和资料,有权命令停止计算机系统运行。
– 监察局在发给许可证时,要对建立文件的日期,文件组成、数据
处理、使用何种设备等方面作一些指示,必要时还要发布命令,
有关方面必须遵守。
– 监察局除了进行监督,检查、指导工作外,还起监诉官的作用,
并处理受害者的申诉事务。
政策法规与标准
? 组织机构
? 立法立足点
? 计算机犯罪法
? 各国立法
? 我国立法
? 计算机安全评价标准
– 可信计算机系统评估准则
– OSI安全体系结构
各国立法
? 1973年瑞典通过数据法,成立国家计算机安全脆
弱委员会以及脆弱性局、数据安全局。
? 1978年美国佛罗里达州对计算机犯罪立法,之后
美国联邦政府相继通过, 计算机诈骗与滥用法,,
,电子通讯隐私法,,, 联邦计算机安全法,,
信息自由法,反腐败行动法,伪造访问设备和计
算机欺骗与滥用法,计算机安全法等法律。
? 英国也有数据保护法与计算机滥用法案等法律。
政策法规与标准
? 组织机构
? 立法立足点
? 计算机犯罪法
? 各国立法
? 我国立法
? 计算机安全评价标准
– 可信计算机系统评估准则
– OSI安全体系结构
我国立法
? 1981年起我国开始开展计算机安全监察
? 1988年中华人民共和国计算机信息系统安全保护条例通过
? 1994年 2月 18日发布的, 中华人民共和国计算机信息系统安全保护条
例,
? 1996年 2月 1日发布了, 中华人民共和国计算机信息网络国际联网管理
暂行规定,
? 1997年 3月 18日公布的新刑法增加了有关计算机犯罪方面的规定,它
们分别是第 217条第 1项、第 285条至第 287条。
? 行政法规,
–, 计算机软件保护条例,
–, 计算机病毒控制条例, (试行)
–, 计算机信息系统安全保护条例,
–, 计算机信息网络国际联网管理暂行规定, 等
政策法规与标准
? 组织机构
? 立法立足点
? 计算机犯罪法
? 各国立法
? 我国立法
? 计算机安全评价标准
– 可信计算机系统评估准则
– OSI安全体系结构
计算机安全评价标准
? 安全评价的目的是制订适合出 — 定范围的
系统一致的评估方法,避免同一系统、同
一应用的多重评价
? 它主要适用范围是硬件和操作系统,也可
用于应用系统评价
计算机安全评价标准
? 制定安全标准的策略应从以下几方由来考
虑,
– 与计算机系统的实际环境相结合
– 与国际环境相适应
– 具有一定程度的模糊性
– 具有一定范围的适应性
可信计算机系统评估准则
?, 可信计算机系统评估准则, ( TCSEC-Trusted
Computer System Evaluation Criteria,俗称橘皮
书)是美国国防部于 1985年发表的一份技术文件
? 制定, 准则, 的目的,
– 向制造商提供一个标准,即指导制造商如何在他们新
开发的、并将广泛使用的商用产品中采用安全部件来
满足敏感应用的可信要求。
– 向用户提供一种验证标准,用户可用此标准来评估计
算机系统处理秘密信息和其它敏感信息的可信程序。
为制定规范时的安全需求提供一个基准。
可信计算机系统评估准则
?, 可信计算机系统评估准则, 分成 D,C,B和 A四类,
– D级:最小保护
– C级,自主保护
– C1级:自主型安全保护
– C2级:可控访问保护
– B级,强制安全保护
– B1级:标记安全保护
– B2级:结构化保护
– B3级:安全域
– A级:验证设计
– A1:经过验证的设计
– A2,A1级以外的系统
? 英国的 5(安全控制可实施) +6标准(安全目标不可实施)
? 原西德信息安全部门 1989公布的信息技术系统可信性评价标准
OSI安全体系结构
? 安全技术评价标准:国际标准化组织
ISO7498-2中描述开放互连 OSI安全体系结
构的 5种安全服务项目
– 鉴别
– 访问控制
– 数据保密
– 数据完整
– 抗否认
OSI安全体系结构
? 8种安全机制,
– 加密机制
– 数字签名机制
– 访问控制机制
– 数据完整性机制
– 鉴别交换机制
– 通信业务填充机制
– 路由控制机制
– 公证机制
OSI安全体系结构
? 具体安全协议上国际标准,
– 安全电子交易协议 SET
– ANSI的 DES
– RSA加密算法标准
– 数据传输时新的加密标准 (AES)
陈天洲
tzchen@zju.edu.cn
Addoil.net
Embedded.zju.edu.cn
政策法规与标准
? 组织机构
? 立法立足点
? 计算机犯罪法
? 各国立法
? 我国立法
? 计算机安全评价标准
– 可信计算机系统评估准则
– OSI安全体系结构
组织机构
? 比较活跃的组织有,
– IFIP(国际信息处理联合会 )
– WISE(国际强化安全研究所)
? 中国电子学会于 1978年提出申请,1979年
国务院批准向 IFIP递交入会申请,1980年 1
月 1日 IFIP正式接纳中国电子学会代表中国
为其成员学会
政策法规与标准
? 组织机构
? 立法立足点
? 计算机犯罪法
? 各国立法
? 我国立法
? 计算机安全评价标准
– 可信计算机系统评估准则
– OSI安全体系结构
立法立足点
? 计算机安全是指计算机资产安全,具体含
义有四层,
– 系统设备和相关设施运行正常,系统服务适时。
– 软件 (包括网络软件,应用软件和相关的软件 )
正常。
– 系统拥有的或产生的数据信息完整,有效,使
用合法,不会被泄漏。
– 系统资源和信息资源使用合法
立法立足点
? 计算机安全需要以下五个机制,
– 威慑,提醒人们不要做有害于计算机的事,否则
将受到法律的制裁。
– 预防并阻止不法分子对计算机资源产生危害。
– 检查,能查出系统安全隐患,查明已发生的各种
事情的原因。
– 恢复。系统发生意外事件或是事故从而导致系
统中断或数据受损后,能在短期内恢复。
– 纠正,能及时堵塞安全漏洞,改进安全措施。
立法立足点
? 计算机安全战略应当是,
运用政策、法律、管理和技术手段,保护
计算机资产免受自然和人为有害因素的威胁和
危害,把计算机安全事件发生率和可能造成的
政治、经济损失降低到最小限度。
政策法规与标准
? 组织机构
? 立法立足点
? 计算机犯罪法
? 各国立法
? 我国立法
? 计算机安全评价标准
– 可信计算机系统评估准则
– OSI安全体系结构
计算机犯罪法
? 计算机犯罪法是以防止计算机犯罪行为、惩罚犯
罪、保护计算机资产为目的。
它规定
– 利用计算机收取非法利益;
– 非法取得计算机信息系统服务;
– 用非法手段侵入计算机信息系统和网络进行盗窃、破
坏、篡改数据流文件,或扰乱系统功能;
– 利用计算机或计算机知识窃取金融证券、现金、程序、
信息、情报等行为的
为计算机犯罪。
计算机犯罪法
? 典型的计算机犯罪条文,
– 任何人未经许可企图利用或已经利用计算机系统或网
络进行诈骗或窃取钱财。
– 任何人未经许可企图或以已经使用任何计算机系统或
网络,窃取信息或输入假信息,侵犯他人利益。
– 任何人超出其工作范围企图或未经许可访问任何计算
机系统、网络、程序、文件,存取数据。
– 任何人故意删除、篡改、损害、破坏程序、数据、文
件,破坏、更改计算机系统和网络,中断或拒绝计算
机服务,非法获得计算机服务。
计算机犯罪法
? 以瑞典为代表的欧洲(数据法与数据保护法类型法律),
– 建立和处理文件不得侵害私人 (包括法人 )的权利。
– 任何个人、社会团体及政府部门,凡需建立有关私人情况的文件
或处理这方面的文件,都必须事先得到数据监察局的许可,根据
政府或议会命令而建立文件,也要事先征求监察局的意见。
– 监察人员在执行任务时,有权进入数据处理中心,接触任何文件
和资料,有权命令停止计算机系统运行。
– 监察局在发给许可证时,要对建立文件的日期,文件组成、数据
处理、使用何种设备等方面作一些指示,必要时还要发布命令,
有关方面必须遵守。
– 监察局除了进行监督,检查、指导工作外,还起监诉官的作用,
并处理受害者的申诉事务。
政策法规与标准
? 组织机构
? 立法立足点
? 计算机犯罪法
? 各国立法
? 我国立法
? 计算机安全评价标准
– 可信计算机系统评估准则
– OSI安全体系结构
各国立法
? 1973年瑞典通过数据法,成立国家计算机安全脆
弱委员会以及脆弱性局、数据安全局。
? 1978年美国佛罗里达州对计算机犯罪立法,之后
美国联邦政府相继通过, 计算机诈骗与滥用法,,
,电子通讯隐私法,,, 联邦计算机安全法,,
信息自由法,反腐败行动法,伪造访问设备和计
算机欺骗与滥用法,计算机安全法等法律。
? 英国也有数据保护法与计算机滥用法案等法律。
政策法规与标准
? 组织机构
? 立法立足点
? 计算机犯罪法
? 各国立法
? 我国立法
? 计算机安全评价标准
– 可信计算机系统评估准则
– OSI安全体系结构
我国立法
? 1981年起我国开始开展计算机安全监察
? 1988年中华人民共和国计算机信息系统安全保护条例通过
? 1994年 2月 18日发布的, 中华人民共和国计算机信息系统安全保护条
例,
? 1996年 2月 1日发布了, 中华人民共和国计算机信息网络国际联网管理
暂行规定,
? 1997年 3月 18日公布的新刑法增加了有关计算机犯罪方面的规定,它
们分别是第 217条第 1项、第 285条至第 287条。
? 行政法规,
–, 计算机软件保护条例,
–, 计算机病毒控制条例, (试行)
–, 计算机信息系统安全保护条例,
–, 计算机信息网络国际联网管理暂行规定, 等
政策法规与标准
? 组织机构
? 立法立足点
? 计算机犯罪法
? 各国立法
? 我国立法
? 计算机安全评价标准
– 可信计算机系统评估准则
– OSI安全体系结构
计算机安全评价标准
? 安全评价的目的是制订适合出 — 定范围的
系统一致的评估方法,避免同一系统、同
一应用的多重评价
? 它主要适用范围是硬件和操作系统,也可
用于应用系统评价
计算机安全评价标准
? 制定安全标准的策略应从以下几方由来考
虑,
– 与计算机系统的实际环境相结合
– 与国际环境相适应
– 具有一定程度的模糊性
– 具有一定范围的适应性
可信计算机系统评估准则
?, 可信计算机系统评估准则, ( TCSEC-Trusted
Computer System Evaluation Criteria,俗称橘皮
书)是美国国防部于 1985年发表的一份技术文件
? 制定, 准则, 的目的,
– 向制造商提供一个标准,即指导制造商如何在他们新
开发的、并将广泛使用的商用产品中采用安全部件来
满足敏感应用的可信要求。
– 向用户提供一种验证标准,用户可用此标准来评估计
算机系统处理秘密信息和其它敏感信息的可信程序。
为制定规范时的安全需求提供一个基准。
可信计算机系统评估准则
?, 可信计算机系统评估准则, 分成 D,C,B和 A四类,
– D级:最小保护
– C级,自主保护
– C1级:自主型安全保护
– C2级:可控访问保护
– B级,强制安全保护
– B1级:标记安全保护
– B2级:结构化保护
– B3级:安全域
– A级:验证设计
– A1:经过验证的设计
– A2,A1级以外的系统
? 英国的 5(安全控制可实施) +6标准(安全目标不可实施)
? 原西德信息安全部门 1989公布的信息技术系统可信性评价标准
OSI安全体系结构
? 安全技术评价标准:国际标准化组织
ISO7498-2中描述开放互连 OSI安全体系结
构的 5种安全服务项目
– 鉴别
– 访问控制
– 数据保密
– 数据完整
– 抗否认
OSI安全体系结构
? 8种安全机制,
– 加密机制
– 数字签名机制
– 访问控制机制
– 数据完整性机制
– 鉴别交换机制
– 通信业务填充机制
– 路由控制机制
– 公证机制
OSI安全体系结构
? 具体安全协议上国际标准,
– 安全电子交易协议 SET
– ANSI的 DES
– RSA加密算法标准
– 数据传输时新的加密标准 (AES)
