【正文】 – （ 4）國家信息安全評價標準 云南大學軟件學院 本章知識點小結 (續(xù) ) ? – 《 中華人民共和國計算機信息系統(tǒng)安全保護條例 》 是實施國家信息安全保護制度的法律文件，從計算機信息系統(tǒng)建設和應用、信息安全等級保護、國際聯(lián)網(wǎng)備案、媒體進出境申報、建立健全安全管理、計算機犯罪案件報告、計算機病毒與有害數(shù)據(jù)防治、安全專用產(chǎn)品銷售許可證 9個方面規(guī)定了信息安全保護制度。 云南大學軟件學院 安全管理與計算機犯罪報告制度 (續(xù) ) ? 打擊計算機犯罪的關鍵是獲取真實、可靠、完整和符合法律規(guī)定的電子證據(jù)，由于計算機犯罪具有無時間與地點限制、高技術手段、犯罪主體與對象復雜、跨地區(qū)和跨國界作案、匿名登錄或冒名頂替等特點，使電子證據(jù)本身和取證過程不同于傳統(tǒng)物證和取證方法，給網(wǎng)絡安全和司法調查提出了新的挑戰(zhàn)。 ? 信息保密等級是劃分信息系統(tǒng)安全等級的關鍵要素，《 中華人民共和國保守國家秘密法 》 明確指出：國家秘密是關系國家的安全和利益，依照法定程序確定，在一定時間內只限一定范圍的人員知悉的事項。 ? CC標準采用類（ class）、族（ family）、組件（ ponent） 層次結構化方式定義 TOE的安全功能。但國內多數(shù)傳播媒介將黑客作為貶義詞使用，泛指利用網(wǎng)絡安全漏洞蓄意破壞信息資源保密性、完整性和有效性的惡意攻擊者。系統(tǒng)缺省配置主要考慮的是用戶友好性，但方便使用的同時也就意味著更多的安全隱患。 軟件漏洞產(chǎn)生的主要原因是軟件設計人員不可能將所有輸入都考慮周全，因此，軟件漏洞是任何軟件存在的客觀事實。 云南大學軟件學院 網(wǎng)絡安全策略 ? 網(wǎng)絡安全策略是保障機構網(wǎng)絡安全的指導文件，一般而言，網(wǎng)絡安全策略包括 總體安全策略 和 具體安全管理實施細則 。信息系統(tǒng)只有持續(xù)有效，授權用戶才能隨時、隨地根據(jù)自己的需要訪問信息系統(tǒng)提供的服務。 ? 可控性（ controllability）是指信息系統(tǒng)對信息內容和傳輸具有控制能力的特性。 ? 工程人員 從實際應用角度對成熟的網(wǎng)絡安全解決方案和新型網(wǎng)絡安全產(chǎn)品更感興趣。同時在全球范圍內，針對重要信息資源和網(wǎng)絡基礎設施的入侵行為和企圖入侵行為的數(shù)量仍在持續(xù)不斷增加，網(wǎng)絡攻擊與入侵行為對國家安全、經(jīng)濟和社會生活造成了極大的威脅。 ? 國家安全保密部門 來說，必須了解網(wǎng)絡信息泄露、竊聽和過濾的各種技術手段，避免涉及國家政治、軍事、經(jīng)濟等重要機密信息的無意或有意泄露；抑制和過濾威脅國家安全的反動與邪教等意識形態(tài)信息傳播。 云南大學軟件學院 1. 保密性 ? 保密性（ confidentiality） 是指信息系統(tǒng)防止信息非法泄露的特性，信息只限于授權用戶使用，保密性主要通過信息加密、身份認證、訪問控制、安全通信協(xié)議等技術實現(xiàn)， 信息加密 是防止信息非法泄露的最基本手段。事實上，安全只具有相對意義，絕對的安全只是一個理念，任何安全模型都不可能將所有可能的安全隱患都考慮周全。 云南大學軟件學院 1. 安全策略總則 ? （ 1）均衡性原則 – 網(wǎng)絡安全策略需要在安全需求、易用性、效能和安全成本之間保持相對平衡，科學制定均衡的網(wǎng)絡安全策略是提高投資回報和充分發(fā)揮網(wǎng)絡效能的關鍵。截止到目前， Inter上廣泛使用的 TCP/IP協(xié)議族幾乎所有協(xié)議都發(fā)現(xiàn)存在安全隱患。 云南大學軟件學院 網(wǎng)絡威脅來源 ? 網(wǎng)絡安全威脅是指事件對信息資源的可靠性、保密性、完整性、有效性、可控性和拒絕否認性可能產(chǎn)生的危害，網(wǎng)絡安全威脅根據(jù)威脅產(chǎn)生的因素可以分為 自然 和 人為 兩大類。 – 1. 無安全保護 D類 – 2. 自主安全保護 C類 – 3. 強制安全保護 B類 – 4. 驗證安全保護 A類 云南大學軟件學院 美國可信計算機系統(tǒng)評價標準 (續(xù) ) 安全功能 無保護 D級 自主保護 C1級 圖 TCSEC標準各安全等級關系 安全功能保障 控制保護 C2級 標記保護 B1級 結構保護 B2級 區(qū)域保護 B3級 驗證保護 A級 云南大學軟件學院 美國可信計算機系統(tǒng)評價標準 (續(xù) ) 云南大學軟件學院 美國可信計算機系統(tǒng)評價標準 (續(xù) ) 云南大學軟件學院 其他國家信息安全評價標準 ? 1. 德國計算機安全評價標準 – 德國信息安全部頒布的 《 計算機安全評價標準 》 綠皮書在TCSEC的基礎上增加了系統(tǒng)有效性和數(shù)據(jù)完整性要求，共定義了 10個安全功能類別和 8個實現(xiàn)安全功能的質量保障等級，安全功能類別用 F1~F10表示，安全質量保障等級用 Q0~Q7表示。為了保護計算機信息系統(tǒng)的安全，促進計算機的應用和發(fā)展，保障社會主義現(xiàn)代化建設的順利進行， 1994年 2月 18日，中華人民共和國國務院發(fā)布了第 147號令 《 中華人民共和國計算機信息系統(tǒng)安全保護條例 》 （以下簡稱 《 安全保護條例 》 ），為計算機信息系統(tǒng)提供了安全保護制度。 云南大學軟件學院 國際聯(lián)網(wǎng)備案與媒體進出境制度 ? 國際聯(lián)網(wǎng)備案與媒體進出境制度是保障國家安全與利益的重要手段之一， 《 安全保護條例 》 第十一條規(guī)定：進行國際聯(lián)網(wǎng)的計算機信息系統(tǒng)，由計算機信息系統(tǒng)的使用單位報省級以上人民政府公安機關備案。 ? 中華人民共和國公安部第 51號令 《 計算機病毒防治管理辦法 》 對計算機病毒概念、計算機病毒主管部門、傳播計算機病毒行為、計算機病毒疫情和違規(guī)責任等事項進行了詳細說明。 云南大學軟件學院 作業(yè) ? 1. 什么是 PPDR網(wǎng)絡安全模型？ ? 2. TCSEC標準是什么？為什么要制定這樣的標準？ Linux,windows 2022 xp 屬于什么級別？