网络信息安全等级与标准课件

网络信息安全等级与标准1．TCSEC标准2．欧洲ITSEC标准3．加拿大CTCPEC评价标准4．美国联邦准则FC5．联合公共准则CC标准6．BS7799标准7．我国有关网络信息安全的相关标准网络信息安全等级与标准橘皮书(TrustedComputerSystemEvaluationCriteria—TCSEC)是计算机系统安全评估的第一个正式标准，具有划时代的意义。它于1970年由美国国防科学委员会提出，并于1985年12月由美国国防部公布。TCSEC最初只是军用标准，后来延至民用领域。TCSEC将计算机系统的安全划分为四个等级、七个安全级别(从低到高依次为D、C1、C2、B1、B2、B3和A级)。D级和A级暂时不分子级。每级包括它下级的所有特性，从最简单的系统安全特性直到最高级的计算机安全模型技术，不同计算机信息系统可以根据需要和可能选用不同安全保密程度的不同标准。网络信息安全等级与标准1) D级 D级是最低的安全形式，整个计算机是不信任的，只为文件和用户提供安全保护。D级系统最普通的形式是本地操作系统，或者是一个完全没有保护的网络。拥有这个级别的操作系统就像一个门户大开的房子，任何人可以自由进出，是完全不可信的。对于硬件来说，是没有任何保护措施的，操作系统容易受到损害，没有系统访问限制和数据限制，任何人不需要任何账户就可以进入系统，不受任何限制就可以访问他人的数据文件。 属于这个级别的操作系统有DOS、Windows9x、Apple公司的MacintoshSystem7.1。网络信息安全等级与标准这种访问权是指对文件和目标的访问权。文件的拥有者和根用户(Root)可以改动文件中的访问属性，从而对不同的用户给与不同的访问权。例如，让文件拥有者有读、写和执行的权力；给同组用户读和执行的权力；而给其他用户以读的权力。 C1级保护的不足之处在于用户可以直接访问操纵系统的根目录。C1级不能控制进入系统的用户的访问级别，所以用户可以将系统中的数据任意移走，他们可以控制系统配置，获取比系统管理员所允许的更高权限，如改变和控制用户名。网络信息安全等级与标准3) C2级C2级又称访问控制保护，它针对C1级的不足之处增加了几个特性。C2级引进了访问控制环境(用户权限级别)的增加特性，该环境具有进一步限制用户执行某些命令或访问某些文件的权限，而且还加入了身份验证级别。另外，系统对发生的事情加以审计(Audit)，并写入日志当中，如什么时候开机，哪个用户在什么时候从哪里登录等，这样通过查看日志，就可以发现入侵的痕迹，如多次登录失败，也可以大致推测出可能有人想强行闯入系统。审计可以记录下系统管理员执行的活动，审计还加有身份验证，这样就可以知道谁在执行这些命令。审计的缺点在于它需要额外的处理器时间和磁盘资源。网络信息安全等级与标准使用附加身份认证就可以让一个C2系统用户在不是根用户的情况下有权执行系统管理任务。不要把这些身份认证和应用于程序的用户ID许可(SUID)设置和同组用户ID许可(SGID)设置相混淆，身份认证可以用来确定用户是否能够执行特定的命令或访问某些核心表。例如，当用户无权浏览进程表时，它若执行命令就只能看到它们自己的进程。 授权分级指系统管理员能够给用户分组，授予他们访问某些程序的权限或访问分级目录的权限。网络信息安全等级与标准另一方面，用户权限可以以个人为单位授权用户对某一程序所在目录进行访问。如果其他程序和数据也在同一目录下，那么用户也将自动得到访问这些信息的权限。 能够达到C2级的常见的操作系统有UNIX系统、XENIX、Novell3.x或更高版本、WindowsNT和Windows2000。网络信息安全等级与标准5)B2级 B2级又叫做结构保护(StructuredProtection)级别，它要求计算机系统中所有的对象都加标签，而且给设备(磁盘，磁带和终端)分配单个或多个安全级别。它提出了较高安全级别的对象与另一个较低安全级别的对象通信的第一个级别。 6)B3级 B3级又称安全域(SecurityDomain)级别，它使用安装硬件的方式来加强域。例如，内存管理硬件用于保护安全域免遭无授权访问或其他安全域对象的修改。该级别也要求用户通过一条可信任途径连接到系统上。网络信息安

全管理体系

（NISMS）实施方法在组织实施网络与信息安全系统时，应该将技术层面和管理层面良好配合。在信息安全技术层面，应通过采用包括建设安全的主机系统和安全的网络系统，并配备适当的安全产品的方法来实现而在管理层面，则可以通过构架ISMS来实现。信息安全管理体系构建定义信息安全策略定义NISMS的范围进行信息安全风险评估信息安全风险管理确定管制目标和选择管制措施准备信息安全适用性声明网络信息安全

评测认证体系网络信息安全度量标准信息安全性的度量标准CCTCSECFCCTEPECITSECEALl－－－－EAL2C1－－ElEAL3C2T—1T－1E2EAI4B1T－2T－2E3－－T－3T－3－－－T－4－－EAL5B2T－5T－4E4EAL6B3T－6T－5E5EAL7A1T－7T－6E6－－－T－7－评估保证级别（1）评估保证级别1(EALl):功能测试；（2）评估保证级别2(EAL2):结构测试；（3）评估保证级别3(EAL3):功能测试与校验（4）评估保证级别4(EAL4):系统地设计、测试和评审（5）评估保证级别5(EAL5):半形式化设计和测试（6）评估保证级别6(EAL6):半形式化验证的设计和测试（7）评估保证级别7(EAL7):形式化验证的设计和测试我国网络信息安全评测认证体系中国国家信息安全测评认证中心中华人民共和国国家信息安全认证:是国家对信息安全技术、产品或系统安全质量的最高认可。四种认证业务（1）产品型号认证：是认证的基础形式，仅包括质量认证中的“型式试验”和“监督检验”两个要素（2）产品认证：是认证的完整形式，包括了质量认证中从产品检验到质量保证能力评审的全部要素（3）信息系统安全认证：是对信息系统或网络的运行安全、信息安全和管理控制安全的综合认证（4）信息安全服务认证：是对向社会提供信息安全服务的企业、组织、机构或团体的技术实力、服务能力和资质条件的系统认证。中国国家信息安全测评认证中心的认证准则（1）达到中心认证标准的产品或系统只是达到了国家规定的管理安全风险的能力，并不表明该产品完全消除了安全风险（2）中心的认证程序能够确保产品安全的风险降低到了国家标准规定的和公众可以接受的水平（3）中心的认证程序是一个动态的过程，中心将根据信息安全产品的技术发展和最终用户的使用要求，动态增加认证测试的难度（4）中心的认证准则和认证程序最终须经专家委员会和管理委员会审查批准。网络信息

安全与法律网络信息安全立法的现状与思考我国对信息网络的立法工作一直十分重视；在国外，保障网络安全的立法工作已经逐渐普及；目前，世界各国政府正在寻求提高信息安全的法律手段；网络立法应注意的两方面问题：网络立法要强制与激励并行网络立法还要考虑到规范实现的可能性

网络立法本身需要根据现实发展不断作出调整。《计算机信息网络国际联网的安全保护管理办法》《计算机信息系统安全专用产品检测和销售许可证管理办法》《计算机信息系统国际联网保密管理规定》《科学技术保密规定》《商用密码管理条例》《中国公用计算机互联网国际联网管理办法》《中国公众多媒体通信