计算机系统安全原理与技术第10章计算机系统安全管理.ppt

1、2020/9/6,计算机系统安全原理与技术（第2版）,1,第10章 计算机系统安全管理,2020/9/6,计算机系统安全原理与技术（第2版）,2,本章主要内容,计算机系统安全管理概述 信息安全标准及实施 安全管理与立法,2020/9/6,计算机系统安全原理与技术（第2版）,3,10.1 计算机系统安全管理概述,安全管理的重要性 安全管理的目的和任务 安全管理原则 安全管理程序和方法,2020/9/6,计算机系统安全原理与技术（第2版）,4,10.2 信息安全标准及实施,10.2.1 国外主要的计算机系统安全评测准则 1可信计算机系统评估准则TCSEC(桔皮书) 桔皮书把计算机系统的安全分为A、

2、B、C、D四个大等级七个安全级别。按照安全程度由弱到强的排列顺序是：D，C1，C2，B1，B2，B3，A1 。 2信息技术安全性评估准则ITSEC 俗称“白皮书”。在吸收TCSEC成功经验的基础上，首次在评估准则中提出了信息安全的保密性、完整性与可用性的概念，把可信计算机的概念提高到了可信信息技术的高度。,2020/9/6,计算机系统安全原理与技术（第2版）,5,10.2 信息安全标准及实施,3加拿大可信计算机产品评估准则CTCPEC 该标准将安全需求分为4个层次：机密性、完整性、可靠性和可说明性。 4美国联邦准则FC 5信息技术安全评估通用标准CC 定义了作为评估信息技术产品和系统安全性的基

3、础准则，提出了目前国际上公认的表述信息技术安全性的结构，即把安全要求分为规范产品和系统安全行为的功能要求以及解决如何正确有效的实施这些功能的保证要求。,2020/9/6,计算机系统安全原理与技术（第2版）,6,10.2 信息安全标准及实施,6ISO/IEC 21827:2002(SSE-CMM) SSE-CMM的目的是建立和完善一套成熟的、可度量的安全工程过程。该模型定义了一个安全工程过程应有的特征，这些特征是完善的安全工程的根本保证。,2020/9/6,计算机系统安全原理与技术（第2版）,7,10.2 信息安全标准及实施,10.2.2 我国计算机安全等级评测标准 由公安部主持制定、国家技术标

4、准局发布的中华人民共和国国家标准GBl78951999计算机信息系统安全保护等级划分准则已经正式颁布，并于2001年1月1日起实施。 准则将计算机信息系统安全保护能力划分为5个等级，计算机信息系统安全保护能力随着安全保护等级的增高，逐渐增强。 第1级：用户自主保护级。 第2级：系统审计保护级。 第3级：安全标记保护级。 第4级：结构化保护级。 第5级：访问验证保护级。,2020/9/6,计算机系统安全原理与技术（第2版）,8,10.2 信息安全标准及实施,10.2.3 国外计算机信息安全管理标准 1信息安全管理体系标准族ISO/IEC 27000标准族 2信息安全服务和控制类标准,2020/9

5、/6,计算机系统安全原理与技术（第2版）,9,10.2 信息安全标准及实施,10.2.4 我国信息安全管理标准 我国信息安全标准化研究的初期，本着积极采用国际标准的原则，转化了一批国际信息安全基础技术标准，成为我国信息安全标准化的基础。,2020/9/6,计算机系统安全原理与技术（第2版）,10,10.2 信息安全标准及实施,10.2.5计算机信息系统安全等级保护管理要求 不仅对计算机信息系统安全的五个层面提出与安全管理有关的要求，对管理层面本身的安全也提出了相应的要求，其关系如图：,2020/9/6,计算机系统安全原理与技术（第2版）,11,10.3 安全管理与立法,10.3.1 我国信息安

6、全相关法律法规介绍 1中华人民共和国宪法 2中华人民共和国计算机信息系统安全保护条例 3计算机信息网络国际联网安全保护管理办法 4中华人民共和国刑法 5全国人民代表大会常务委员会关于维护互联网安全的决定 6计算机病毒防治管理办法 7计算机信息系统国际联网保密管理规定 8互联网电子公告服务管理规定 9中华人民共和国电子签名法 10互联网安全保护技术措施规定 11信息安全等级保护管理办法,2020/9/6,计算机系统安全原理与技术（第2版）,12,10.3 安全管理与立法,10.3.2 我国有关计算机软件知识产权的保护 按照国际惯例和我国法律，知识产权主要是通过版权(著作权)进行保护的，我国已在1

7、991年颁布了计算机软件保护条例。因此，公司或个人开发完成的软件应及时申请软件著作权保护，这是一项主要手段。 还可通过申请专利来保护软件知识产权，但是专利对象必须具备新颖性、创造性和实用性，这样使得有的产品申请专利十分困难。 此外，软件可以作为商品投放市场。因而，大批量的软件可以用公司的专用商标，即计算机软件也受到商标法的间接保护，但是少量生产的软件难以采用商标法保护，而且商标法实际上保护的是软件的销售方式，而不是软件本身。,2020/9/6,计算机系统安全原理与技术（第2版）,13,10.3 安全管理与立法,10.3.2 我国有关计算机软件知识产权的保护 还可运用商业秘密法保护软件产品。 由

8、于以上各种法律法规并不是专门为保护软件所设立，单独的某一种法律法规在保护软件方面都有所不足，因此应综合运用多种法规来达到软件保护的目的。,2020/9/6,计算机系统安全原理与技术（第2版）,14,10.3 安全管理与立法,10.3.2 我国有关计算机软件知识产权的保护 下面分别介绍各种保护方法。 1计算机软件保护条例 2中华人民共和国专利法 3商业秘密所有权保护 4中华人民共和国商标法 5互联网著作权行政保护办法 6信息网络传播权保护条例,2020/9/6,计算机系统安全原理与技术（第2版）,15,思考与练习,1计算机安全管理有何重要意义？安全管理包含哪些内容？安全管理要遵循哪些原则？ 2分析国外安全评估标准的发展，谈谈你对计算机系统安全评估内容的认识。 3本章中介绍的一些安全标准有何联系与区别？ 4简述ISO/IEC 27000标准的应用范围。 5查阅计算机信息系统安全等级保护管理要求制定的说明文件。,2020/9/6,计算机系统安全原理与技术（第2版）,16,思考与练习,6根据我国法律，软件著作权人有哪些权利？在我们的学习和生活中，在我们的周围寻找有哪些违反软件著作权的行为？ 7谈谈对计算机软件知识产权保护的法律