资源目录
压缩包内文档预览:(预览前20页/共49页)
编号:21836172
类型:共享资源
大小:18.93MB
格式:ZIP
上传时间:2019-09-06
上传人:QQ24****1780
认证信息
个人认证
王**(实名认证)
浙江
IP属地:浙江
25
积分
- 关 键 词:
-
大学
电子商务
安全技术
劳帼龄
课件
ppt
- 资源描述:
-
大学电子商务的安全技术-劳帼龄-课件PPT,大学,电子商务,安全技术,劳帼龄,课件,ppt
- 内容简介:
-
第8章 计算机信息系统 安全保护制度,2,8.1 安全等级保护制度 8.2 信息流管理制度 8.3 计算机信息系统安全技术和专 用产品管理制度 8.4 计算机案件报告制度,3,8.1 安全等级保护制度,8.1.1 信息的安全等级 8.1.2 计算机信息系统的安全等级 8.1.3 计算机安全等级 8.1.4 物理环境安全等级,4,8.1.1信息的安全等级 信息安全是指保护信息和信息系统,以避免未授权的访问、使用、泄漏、破坏、修改或者销毁,以确保信息的完整性、保密性和可用性。 联邦信息安全管理法案(FISMA), 2002年3月,8.1 安全等级保护制度,5,信息安全等级的具体划分在不同的地方有不同的标准。主要从信息完整性、保密性和可用性三个方面综合考虑 为了保障计算机信息系统的安全,规范其应用,促进其发展,我国早在1994年就颁布了中华人民共和国计算机信息系统安全保护条例。其中该条例第九条规定:“计算机信息系统实行安全等级保护”,这是我国计算机信息系统安全保护的一项基本制度。,8.1 安全等级保护制度,6,由公安部、国家保密局、国际密码管理委员会办公室和国务院信息化工作办公室共同制定的关于信息安全等级保护工作的实施意见中将信息和信息系统的安全保护等级分为五级: 第一级为自主保护级,适用于一般的信息和信息系统; 第二级为指导保护级,适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统; 第三级为监督保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统; 第四级为强制保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统; 第五级为专控保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统。,8.1 安全等级保护制度,7,1 信息保密安全等级 1988年9月5日公布的中华人民共和国保守国家秘密法( 简称保密法),是我国目前还在使用的国家信息保密法规,其安全等级划分适用于计算机信息保密安全。 国家事务的重大决策中的秘密事项; 国防建设和武装力量活动中的秘密事项; 外交和外事活动中的秘密事项; 国民经济和社会发展中的秘密事项; 科学技术中的秘密事项; 维护国家安全活动和追查刑事犯罪中的秘密事项; 其他经国家保密工作部门确定应当保守的秘密事项。 保密法的第八条对国家秘密的解释,8.1 安全等级保护制度,8,保密法第九条清晰指出,“国家秘密的密级分为绝密、机密、秘密三级。”它的划分是国家秘密对于国家的安全和利益的重要程度。,表 信息保密安全等级,8.1 安全等级保护制度,9,2 人员安全等级 保密法第二十七条规定:“国家秘密应当根据需要,限于一定范围的人员接触。绝密级的国家秘密,经过批准的人员才能接触。” 保密法第二十八条规定:“任用经管国家秘密事项的专职人员,应当按照国家保密工作部门和人事主管部门的规定予以审查批准。”这些都是以法定形式出现的,行之有效的人员管理准则。 在实际的计算机信息操作中,人员安全等级的划分主要表现在该人员对信息的访问能力和操作情况。借助访问的鉴别、控制机制等安全技术,可以控制不同的操作人员对系统的数据、功能之类等信息的读、增、删、改、复制等的操作能力。对同一信息,人员拥有的操作能力越高,则其安全等级也越高。,8.1 安全等级保护制度,10,8.1.2计算机信息系统的安全等级 计算机信息系统的安全的等级划分与计算机信息的安全等级划分有所不同,除了看该信息系统对国家、集体或个人的安全和利益的重要程度外,计算机实体本身的财产价值,岗位的重要程度等因素,也是一个划分的重要依据。,8.1 安全等级保护制度,11,金融电子化系统的安全等级 系统安全一级 系统安全二级 系统安全三级 系统安全四级 系统安全五级,8.1 安全等级保护制度,12,系统安全一级 存储、处理和传输绝密信息的金融电子化系统。该系统中信息一旦泄露或破坏,会给国家安全和利益带来特别严重的损害,对金融业造成巨大的经济损失。因此,系统应能确保连续可用,不因局部的毁坏、故障、事故、差错造成系统效率的降低。 系统安全二级 存储、处理和传输机密信息的金融电子化系统。该系统中信息一旦泄露或破坏,会给国家安全和利益带来严重的损害,对金融业造成很大的经济损失。因此,系统应能连续可用,局部的毁坏、故障、事故、差错虽然可能影响了系统的效率,但仍能正确运行,8.1 安全等级保护制度,13,系统安全三级 存储、处理和传输秘密信息的金融电子化系统。该系统中信息一旦泄露或破坏,会使国家安全和利益遭受损害,金融业造成一定的经济损失。因此,系统应能确保连续可用,不因局部的毁坏、故障、事故、差错造成系统效率的降低。 系统安全四级 存储、处理和传输不属于国际密级,但属金融业内部掌握、具有敏感性的金融电子化系统。该系统中的信息一旦泄露或破坏,会使银行、证券交易商、保险公司及其客户陷入困境,甚至造成损失,使其社会声誉受到损害,因此,系统应有对局部毁坏、故障、事故、差错在短时间内得到排除、纠正和恢复的能力。 系统安全五级 存储、处理和传输不属于以上保护级别的电子化系统。该系统的毁坏、故障、事故,可能会造成某些金融业务的停顿,影响某些金融业务的效率,但经济损失不大。,8.1 安全等级保护制度,14,8.1.3计算机安全等级 D类:属非安全保护类,只一个级别。凡不满足其他各级安全要求的,皆属此级别。 C类:为自主保护类,分为两级(C1, C2)。 B类:为强制保护类,分三级(B1,B2,B3)。 A类:为验证保护级,拟分两级(A1,超A1)。,8.1 安全等级保护制度,15,C类 C1级:具有一定的自主型存取控制(DAC)安全机制,系统能定期检验可信计算基(TCB)的正确性,维护系统的完整性。 C2级:具有以用户为单位的DAC机制,能进行审计。,8.1 安全等级保护制度,16,B类 B1级:引入强制存取控制(MAC)机制,并对主体和客体进行安全级标识,实施标识管理。 B2级:具有形式化安全模型,系统设计结构化,MAC机制更趋完善,具备了最小特权管理,以及可信通道机制、隐通道分析和处理等。 B3级:具有严格的系统结构化设计和TCB最小复杂性设计,应具备全面的存取控制的访问监控机制,以及审计实时报告机制等。,8.1 安全等级保护制度,17,A类 A1级:具有系统形式化顶层设计说明(FTDS),并形式化验证FTDS与形式化模型的一致性,隐通道问题则用形式化技术解决等。 超A1级:比A1级具有更高的安全可信度要求,这已超出了当前的技术发展水平,有待进一步描述。,8.1 安全等级保护制度,18,计算机安全等级的主要技术措施 如右表,8.1 安全等级保护制度,19,续上表,8.1 安全等级保护制度,20,8.1.4 物理环境安全等级 计算机所运行的物理环境主要是指计算机信息系统周边的环境,即计算机信息系统场地。 我国国家标准计算站场地安全要求(GB9361-88)和计算站场地技术条件(GB2887-89)对计算机场地安全要求,作了明确的等级规定。,8.1 安全等级保护制度,21,在计算站场地安全要求中,把计算机房分为3种基本安全类别: A类:对计算机房的安全有严格的要求,有完善的计算机房安全措施。 B类:对计算机房的安全有较严格的要求,有完善的计算机房安全措施。 C类:对计算机房的安全有基本的要求,有基本的计算机房安全措施。,8.1 安全等级保护制度,22,1 计算机房温湿度要求,8.1 安全等级保护制度,23,2 计算机房供电要求,8.1 安全等级保护制度,24,3 计算机系统接地要求,8.1 安全等级保护制度,25,8.2信息流管理制度,8.2.1信息流管理控制的相关概念 8.2.2计算机信息媒体进出境申报制度 8.2.3计算机信息网络国际联网安全保护管理办法,26,8.2.1信息流管理控制的相关概念 信息的流动途径 信息的流动方式有两种: 信息存储在一些媒介上,如存在盘里,手机上,再通过现代的通信方式或携带,邮寄,托运等,导致信息的流动; 信息也可以直接通过网络传输,导致信息的流动。我们在电子商务中所讲的信息流通常情况讲的就是后者。 计算机互联,网络互联的主要途径是有线和无线两种。有线方式是当前我国网络互联的主要方式,或通过邮电部的分组交换网,或租用邮电部的国际专线来实现。,8.2信息流管理制度,27,与国际联网的单位类型 根据中国互联网络域名注册暂行管理办法,我国互联网络的二级域名包括318个“行政区域名”和6个“类别域名”。我国境内的计算机信息系统,通过物理通信信道,直接或间接与境外(含港、澳、台地区)计算机信息系统连接的,均属于国际联网的计算机信息系统。 拥有这些系统购单位,大体上有:金融、经贸、海运、海关等国有单位、独资、合资企业、外国驻华使(领)馆以及新闻代表机构,还有与国际信息服务网相连接的用户单位等。,8.2信息流管理制度,28,网络安全纳入规范化、法制化管理的轨道 针对当前我国计算机信息网络国家联网安全保护工作的需要,为了加强计算机信息网络国际联网的安全保护管理,维护国家安全、社会稳定和信息安全,保障公共秩序,促进计算机信息系统的应用发展,当务之急是必须早日形成规范有序的信息出入国境的“口岸”。 相关管理规范制度主要有:中华人民共和国计算机信息网络国际联网管理暂行规定、公安部关于对与国际联网的计算机信息系统进行备案工作的通知、计算机信息网络国际联网安全保护管理办法、计算机信息媒体进出境申报制度,还有国务院信息化工作领导小组发布的中国互联网络域名注册暂行管理办法和中国互联网络域名注册实施细则等。,8.2信息流管理制度,29,8.2.2计算机信息媒体进出境申报制度 1 计算机信息媒体的相关概念 计算机信息媒体主要是指具有存储功能的集成电路存储器、磁盘、磁带、光盘等,它们可以存储各种形式的信息,如文字、图形、声音、图像、视频、动画等等。 出境的信息媒体,有可能造成有损专利、版权、机密及其他重要信息的有害外流;入境的信息媒体,有可能造成有害信息在国内的传播。 计算机信息媒体有其自身的许多特点,所携带的信息量可能相当大;体积小,便于携带;复制方便;其中的信息往往能以压缩或加密等方式出现,不易直接读出其中内容;内容所涉及的专业较广,其中的内容和性质等往往需要专业人员协助才能进行鉴别;分析鉴别往往需要相应的检测设备、检测环境条件、及不定期的分析方法,耗费时间等。,8.2信息流管理制度,30,2 计算机信息媒体出入境的一般处理 (1)申报。一般由信息媒体拥有者向海关和公安机关主管部门如实申报。有交接关系的,可委托境内收方协助申报或代理申报。 (2)检测。由公安机关主管部门主持安排实施,检测完毕,做出准予报送与否决定。 (3)报送。海关查验属实放行。未经公安机关检测或媒体发生替换的,不予放行。 (4)其他。临时报关的,一般应扣留待查。如有担保条件的,则可留下原件待查,放行副本。,8.2信息流管理制度,31,8.2.3计算机信息网络国际联网安全保护管理办法 1997年国务院批准公安部公布了计算机信息网络国际联网安全保护管理办法,使我国国际信息网络互联的信息流安全管理正式纳入了法制化和规范化的轨道,其内容包括: 制定办法的基本指导思想 办法禁止的活动和内容 安全责任 公安机关计算机管理监察机构的职责,8.2信息流管理制度,32,8.3计算机信息系统安全技术 和专用产品管理制度,8.3.1计算机信息系统安全专用产品的有关概念 8.3.2计算机安全专用产品管理的一般原则 8.3.3计算机安全专用产品的管理制度,33,8.3.1计算机信息系统安全专用产品的有关概念 1 计算机安全专用产品的分类 计算机安全专用产品是指用于保护计算机信息系统安全的专用硬件和软件产品。 计算机安全专用产品分为三大类:实体安全专用产品、运行安全专用产品和信息安全专用产品,每一个大类下又细分了小类,详见下页表。,8.3计算机信息系统安全技术 和专用产品管理制度,34,A类,8.3计算机信息系统安全技术 和专用产品管理制度,35,B类,8.3计算机信息系统安全技术 和专用产品管理制度,36,C类,8.3计算机信息系统安全技术 和专用产品管理制度,37,8.3.2计算机安全专用产品管理的一般原则 坚持独立自主的原则 坚持规范化、法制化管理原则,8.3计算机信息系统安全技术 和专用产品管理制度,38,8.3.3计算机安全专用产品的管理制度 计算机安全专用产品的管理应该涵盖从开发到销售、使用等整个周期的过程,由于我国目前立法还不完善,安全专用产品的管理制度还不能完全覆盖整个周期。 以计算机信息系统安全专用产品检测和销售许可证管理办法为例,其内容包括: 许可证办法的适用范围 检测机构 检测办法 销售许可 销售许可中的违法行为,8.3计算机信息系统安全技术 和专用产品管理制度,39,8.4计算机案件报告制度,8.4.1 计算机安全事件的相关概念 8.4.2 计算机安全事件报告内容,40,8.4.1 计算机安全事件的相关概念 1 计算机安全事件的定义 计算机安全事件是指对计算机信息系统的可用性、完整性、保密性、真实性、可核查性和可靠性等造成危害的事件,或者是在计算机信息系统发生的对社会造成负面影响的其他事件。 它的主体是计算机安全事件的制造者或造成计算机安全事件的最终原因。 它的客体是受计算机安全事件影响或发生计算机安全事件的计算机信息系统。具体地说,计算机安全事件的客体可分为信息系统、信息内容和网络基础设施三大类。,8.4计算机案件报告制度,41,2 计算机安全事件的分级 根据计算机安全事件所造成后果的严重程度,计算机安全事件可划分为5个等级。其中1级危害程度最高,5级危害程度最低,如右图。 3级和3
- 温馨提示:
1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
2: 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
3.本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
人人文库网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
川公网安备: 51019002004831号