【文章內容簡介】 息媒體主要是指具有存儲功能的集成電路存儲器、磁盤、磁帶、光盤等，它們可以存儲各種形式的信息，如文字、圖形、聲音、圖像、視頻、動畫等等。 ? 出境的信息媒體，有可能造成有損專利、版權、機密及其他重要信息的有害外流；入境的信息媒體，有可能造成有害信息在國內的傳播。 ? 計算機信息媒體有其自身的許多特點，所攜帶的信息量可能相當大；體積小，便于攜帶；復制方便；其中的信息往往能以壓縮或加密等方式出現(xiàn)，不易直接讀出其中內容；內容所涉及的專業(yè)較廣，其中的內容和性質等往往需要專業(yè)人員協(xié)助才能進行鑒別；分析鑒別往往需要相應的檢測設備、檢測環(huán)境條件、及不定期的分析方法，耗費時間等 。 返回 29 ? 2 計算機信息媒體出入境的一般處理 ? (1)申報。 一般由信息媒體擁有者向海關和公安機關主管部門如實申報。有交接關系的，可委托境內收方協(xié)助申報或代理申報。 ? (2)檢測。 由公安機關主管部門主持安排實施，檢測完畢，做出準予報送與否決定。 ? (3)報送。 海關查驗屬實放行。未經(jīng)公安機關檢測或媒體發(fā)生替換的，不予放行。 ? (4)其他 。 臨時報關的，一般應扣留待查。如有擔保條件的，則可留下原件待查，放行副本。 30 ? 管理辦法 ? 1997年國務院批準公安部公布了 《 計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法 》 ，使我國國際信息網(wǎng)絡互聯(lián)的信息流安全管理正式納入了法制化和規(guī)范化的軌道，其內容包括： ? 制定 《 辦法 》 的基本指導思想 ? 《 辦法 》 禁止的活動和內容 ? 安全責任 ? 公安機關計算機管理監(jiān)察機構的職責 返回 31 和專用產(chǎn)品管理制度 ? ? ? 返回 32 ? 念 ? 1 計算機安全專用產(chǎn)品的分類 ? 計算機安全專用產(chǎn)品 是指用于保護計算機信息系統(tǒng)安全的專用硬件和軟件產(chǎn)品。 ? 計算機安全專用產(chǎn)品分為三大類： 實體安全專用產(chǎn)品、運行安全專用產(chǎn)品和信息安全專用產(chǎn)品， 每一個大類下又細分了小類，詳見下頁表。 和專用產(chǎn)品管理制度 返回 33 A類 A類 實體安全 A10類 環(huán)境安全 A11類 受災保護 A12類 受災恢復計劃輔助軟件 A13類 區(qū)域保護 A20類 設備安全 A21類 設備防盜 A22類 設備防毀 A23類 防止電磁信息泄漏 A24類 防止線路截獲 A25類 抗電磁干擾 A26類 電源保護 A30類 媒體安全 A31類 媒體安全 A32類 媒體數(shù)據(jù)安全 和專用產(chǎn)品管理制度 34 B類 B類 運行安全 B10類 風險分析 B20類 審計跟蹤 B30類 備份與恢復 B40類 應急 B41類 應急計劃輔助軟件 B42類 應急措施 和專用產(chǎn)品管理制度 35 C類 C類 信息安全 C10類 操作系統(tǒng)安全 C11類 安全操作系統(tǒng) C12類 操作系統(tǒng)安全部件 C20類 數(shù)據(jù)庫安全 C21類 安全數(shù)據(jù)庫系統(tǒng) C22類 數(shù)據(jù)庫系統(tǒng)安全部件 C30類 網(wǎng)絡安全 C31類 網(wǎng)絡安全管理 C32類 安全網(wǎng)絡系統(tǒng) C33類 網(wǎng)絡系統(tǒng)安全部件 C40類 計算機病毒防護 C41類 單機系統(tǒng)病毒防護 C42類 網(wǎng)絡系統(tǒng)病毒防護 C50類 訪問控制 C51類 出入控制 C52類 存儲控制 C60類 密碼 C61類 加密設備 C62類 密鑰管理 C70類 鑒別 C71類 身份鑒別 C72類 完整性鑒別 C73類 不可否認鑒別 和專用產(chǎn)品管理制度 36 ? ? 堅持獨立自主的原則 ? 堅持規(guī)范化、法制化管理原則 和專用產(chǎn)品管理制度 返回 37 ? ? 計算機安全專用產(chǎn)品的管理應該涵蓋從開發(fā)到銷售、使用等整個周期的過程，由于我國目前立法還不完善，安全專用產(chǎn)品的管理制度還不能完全覆蓋整個周期。 ? 以 《 計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法 》 為例，其內容包括： ? 《 許可證辦法 》 的適用范圍 ? 檢測機構 ? 檢測辦法 ? 銷售許可 ? 銷售許可中的違法行為 和專用產(chǎn)品管理制度 返回 38 ? 計算機安全事件的相關概念 ? 計算機安全事件報告內容 返回 39 ? 計算機安全事件的相關概念 ? 1 計算機安全事件的定義 ? 計算機安全事件 是指對計算機信息系統(tǒng)的可用性、完整性、保密性、真實性、可核查性和可靠性等造成危害的事件，或者是在計算機信息系統(tǒng)發(fā)生的對社會造成負面影響的其他事件。 ? 它的 主體 是計算機安全事件的制造者或造成計算機安全事件的最終原因。 ? 它的 客體 是受計算機安全事件影響或發(fā)生計算機安全事件的計算機信息系統(tǒng)。具體地說，計算機安全事件的客體可分為信息系統(tǒng)、信息內容和網(wǎng)絡基礎設施三大類。 返回 40 ? 2 計算機安全事件的分級 根據(jù)計算機安全事件所造成后果的嚴重程度，計算機安全事件可劃分為 5個等級。其中 1級危害程度最高， 5級危害程度最低，如右圖。 3級和 3級以上的計算機安全事件稱為重大信息安全事件。 分級 分級內容 1級 本級計算機安全事件對計算機信息系統(tǒng)所 承載的業(yè)務、事發(fā)單位利益以及社會公共利益有災難性的影響或破壞，對社會穩(wěn)定和國家安全產(chǎn)生災難性的危害； 2級 本級計算機安全事件對計算機信息系統(tǒng)所承載的業(yè)務、事發(fā)單位利益以及社會公共利益有極其嚴重的影響或破壞，對社會穩(wěn)定、國家安全造成嚴重危害； 3級 本級計算機安全事件對計算機信息系統(tǒng)所 承載的業(yè)務、事發(fā)單位利益以及社會公共利益有較為嚴重的影響或破壞，對社會穩(wěn)定、國家安全產(chǎn)生一定危害； 4級 本級計算機安全事件對計算機信息系統(tǒng)所承載的業(yè)務以及事發(fā)單位利益有一定的影響或破壞； 5級 本級計算機安全事件對計算機信息系統(tǒng)所承載的業(yè)務以及事發(fā)單位利益基本不影響或損害極小。 41