【正文】 范體系。 ? 我國(guó)信息網(wǎng)絡(luò)安全立法層次和法律 ? 第一層： 由全國(guó)人大常委會(huì)通過的法律，除保密法、警察法、刑法外，涉及信息網(wǎng)絡(luò)安全的法律是 《 全國(guó)人大常委會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定 》 ； ? 第二層： 國(guó)務(wù)院為執(zhí)行憲法和法律而制定的行政法規(guī)。主要有： 《 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 》 、 《 計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法 》 、 《 互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所管理?xiàng)l例 》 、《 計(jì)算機(jī)軟件保護(hù)條例 》 、 《 中國(guó)互聯(lián)網(wǎng)域名注冊(cè)實(shí)施細(xì)則 》 等； ?第三層： 國(guó)務(wù)院各部委根據(jù)法律和行政法規(guī)在本部門權(quán)限范圍內(nèi)制定的規(guī)章及規(guī)范性文件。主要有 《 計(jì)算機(jī)病毒防治管理辦法 》 、 《 互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定 》 等； ?第四層： 各省市自治區(qū)制定的地方性法規(guī)。 ? 這些法律法規(guī)包括了各種安全管理 (如網(wǎng)絡(luò)服務(wù)業(yè)的管理 、 互聯(lián)網(wǎng)出口信道管理 、用戶接入和使用互聯(lián)網(wǎng)的管理 、 互聯(lián)網(wǎng)信息服務(wù)安全管理等 )、 網(wǎng)上發(fā)布信息的限制 (如政治領(lǐng)域 、 信息傳播領(lǐng)域的有害信息和病毒信息的限制 )、 互聯(lián)網(wǎng)上隱私權(quán)的保護(hù) 、 著作權(quán)的保護(hù) 、 網(wǎng)上安全交易保護(hù)和計(jì)算機(jī)犯罪防范與處理等方面 。 安全管理 ? 在信息系統(tǒng)安全保證中，加強(qiáng)安全管理、制定有關(guān)規(guī)章制度，對(duì)于確保信息系統(tǒng)安全、可靠地運(yùn)行，都是十分有效的。 ? 信息系統(tǒng)的安全管理策略包括安全管理機(jī)構(gòu)、行政人事管理制度、信息系統(tǒng)的安全管理；制定設(shè)備的使用規(guī)程和中心機(jī)房管理制度、制定各應(yīng)用系統(tǒng)的維護(hù)制度和應(yīng)急措施、建立網(wǎng)絡(luò)通信管理制度、完善數(shù)據(jù)備份及應(yīng)用軟件等技術(shù)資料的管理制度等。 ? 一個(gè)較大規(guī)模的網(wǎng)絡(luò)系統(tǒng) ， 要有相應(yīng)的由各方面的管理人員組成的安全管理機(jī)構(gòu) ， 分別負(fù)責(zé)安全 、 審計(jì) 、 系統(tǒng)分析 、 軟硬件系統(tǒng)維護(hù)及通信管理 。安全管理機(jī)構(gòu)的設(shè)置與系統(tǒng)規(guī)模相關(guān) ，相關(guān)人員的職責(zé)是固定的 。 ? 對(duì)信息系統(tǒng)職員的管理也是保證系統(tǒng)安全的一個(gè)重要方面 。 在對(duì)系統(tǒng)管理人員的行政人事管理方面 ， 要做好：人員的審查和錄用 ， 崗位和職責(zé)范圍的確定 ， 人員的評(píng)價(jià)和考核 ， 人員的提升 、 調(diào)動(dòng)和任免人事檔案的管理 ，人員的思想教育與業(yè)務(wù)培訓(xùn)等工作 。 ? 信息系統(tǒng)的安全管理要根據(jù)安全管理原則和系統(tǒng)信息保密性等要求 ， 制定相應(yīng)的管理規(guī)章制度 ， 如確定系統(tǒng)的安全等級(jí) ， 根據(jù)安全等級(jí)確定安全管理范圍 ，制定相應(yīng)信息系統(tǒng)場(chǎng)所的出入管理制度 ，制定嚴(yán)格的操作規(guī)程 ， 制定完備的系統(tǒng)維護(hù)制度 ， 制定必要應(yīng)急措施等 。 實(shí)體安全技術(shù) ? 網(wǎng)絡(luò)實(shí)體安全（物理安全）保護(hù)就是指采取一定措施對(duì)網(wǎng)絡(luò)的硬件系統(tǒng)、數(shù)據(jù)和軟件系統(tǒng)等實(shí)體進(jìn)行保護(hù)和對(duì)自然與人為災(zāi)害進(jìn)行防御。 ? 對(duì)網(wǎng)絡(luò)硬件的安全保護(hù)包括對(duì)網(wǎng)絡(luò)機(jī)房和環(huán)境的安全保護(hù)、網(wǎng)絡(luò)設(shè)備設(shè)施（如通信電纜等）的安全保護(hù)、信息存儲(chǔ)介質(zhì)的安全保護(hù)和電磁輻射的安全保護(hù)等。 ? 對(duì)網(wǎng)絡(luò)數(shù)據(jù)和軟件的安全保護(hù)包括對(duì)網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)應(yīng)用軟件和網(wǎng)絡(luò)數(shù)據(jù)庫(kù)數(shù)據(jù)的安全保護(hù)。 ? 對(duì)自然與人為災(zāi)害的防御包括對(duì)網(wǎng)絡(luò)系統(tǒng)環(huán)境采取防火、防水、防雷電、防電磁干擾、防振動(dòng)以及防風(fēng)暴、防地震等措施。 訪問控制技術(shù) ? 訪問控制就是規(guī)定哪些用戶可訪問網(wǎng)絡(luò)系統(tǒng)，對(duì)要求入網(wǎng)的用戶進(jìn)行身份驗(yàn)證和確認(rèn)，這些用戶能訪問系統(tǒng)的哪些資源，他們對(duì)于這些資源能使用到什么程度等問題。訪問控制的基本任務(wù)就是保證網(wǎng)絡(luò)系統(tǒng)中所有的訪問操作都是經(jīng)過認(rèn)可的、合法的，防止非法用戶進(jìn)入網(wǎng)絡(luò)和合法用戶對(duì)網(wǎng)絡(luò)系統(tǒng)資源的非授權(quán)訪問。 ? 訪問控制措施通常采用設(shè)置口令和入網(wǎng)限制，采取 CA認(rèn)證、數(shù)字證書、數(shù)字簽名等技術(shù)對(duì)用戶身份進(jìn)行驗(yàn)證和確認(rèn)，規(guī)定不同軟件及數(shù)據(jù)資源的屬性和訪問權(quán)限，進(jìn)行網(wǎng)絡(luò)監(jiān)視、設(shè)置網(wǎng)絡(luò)審計(jì)和跟蹤、使用防火墻系統(tǒng)、入侵檢測(cè)和防護(hù)系統(tǒng)等方法實(shí)現(xiàn)。 數(shù)據(jù)保密技術(shù) ? 數(shù)據(jù)加密保護(hù)就是采取一定的技術(shù)和措施，對(duì)網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)的數(shù)據(jù)和在線路上傳輸?shù)臄?shù)據(jù)進(jìn)行變換（加密），使得變換后的數(shù)據(jù)不能被無關(guān)的用戶識(shí)別，保證數(shù)據(jù)的保密性。 ? 數(shù)據(jù)加密保護(hù)通常是采用密碼技術(shù)進(jìn)行信息（數(shù)據(jù)和程序）進(jìn)行加密、數(shù)字簽名、用戶驗(yàn)證和非否認(rèn)鑒別等措施實(shí)現(xiàn)。 ? 數(shù)據(jù)加密技術(shù)的詳細(xì)內(nèi)容見第 5章。 網(wǎng)絡(luò)安全級(jí)別 可信計(jì)算機(jī)標(biāo)準(zhǔn)評(píng)價(jià)準(zhǔn)則 1983年美國(guó)國(guó)防部發(fā)表的 《 可信計(jì)算機(jī)標(biāo)準(zhǔn)評(píng)價(jià)準(zhǔn)則 》 （簡(jiǎn)稱為 TCSEC）把計(jì)算機(jī)安全等級(jí)分為 4類 7級(jí)。依據(jù)安全性從低到高的級(jí)別，依次為 D、 C C B B B A級(jí)，每級(jí)包括它下級(jí)的所有特性，見表 。 級(jí)別 名 稱 特 征 A 驗(yàn)證設(shè)計(jì)安全級(jí) 形式化的最高級(jí)描述和驗(yàn)證，形式化的隱蔽通道分 析，非形式化的代碼一致性證明 B3 安全域級(jí) 安全內(nèi)核，高抗?jié)B透能力 B2 結(jié)構(gòu)化安全保護(hù)級(jí) 面向安全的體系結(jié)構(gòu)，遵循最小授權(quán)原則，有較好的抗?jié)B透能力，對(duì)所有的主體和客體提供訪問控制保護(hù)，對(duì)系統(tǒng)進(jìn)行隱蔽通道分析 B1 標(biāo)記安全保護(hù)級(jí) 在 C2安全級(jí)上增加安全策略模型，數(shù)據(jù)標(biāo)記（安全和屬性），托管訪問控制 C2 訪問控制環(huán)境保護(hù)級(jí) 訪問控制，以用戶為單位進(jìn)行廣泛的審計(jì) C1 選擇性安全保護(hù)級(jí) 有選擇的訪問控制，用戶與數(shù)據(jù)分離，數(shù)據(jù)以用戶 組為單位進(jìn)行保護(hù) D 最低安全保護(hù)級(jí) 保護(hù)措施很少，沒有安全功能 普通評(píng)價(jià)準(zhǔn)則 普通評(píng)價(jià)準(zhǔn)則 (CC： Common Criteria)是美國(guó)、加拿大、英國(guó)、法國(guó)和德國(guó)聯(lián)合調(diào)查和研究的結(jié)果，它包含了選擇安全措施的要求。 CC也將計(jì)算機(jī)安全分為 7個(gè)保證級(jí)：EAL1保證級(jí)到 EAL7保證級(jí)。 ? EAL1保證級(jí)是最低的安全保證級(jí)別，它定義了最小程度的保證。它以產(chǎn)品安全性能的分析為基礎(chǔ)，并使用功能和接口設(shè)計(jì)來定義安全行為。 ? EAL2保證級(jí)執(zhí)行對(duì)功能和接口規(guī)范的分析，以及對(duì)產(chǎn)品子系統(tǒng)的高級(jí)設(shè)計(jì)檢查。 ? EAL3保證級(jí)是一種中立的、獨(dú)立的安全級(jí)別，其安全要由外部源來驗(yàn)證。該級(jí)別允許在設(shè)計(jì)階段給予最大的保證，而在測(cè)試過程中幾乎不加修改，開發(fā)人員必須提供測(cè)試數(shù)據(jù)（包括易受攻擊的分析），并有選擇地加以驗(yàn)證。 ? EAL4保證級(jí)是改進(jìn)已有生產(chǎn)線可行的最高保證級(jí)別。它向用戶提供了較高的安全級(jí)別，因?yàn)樗且粤己玫纳虡I(yè)軟件開發(fā)經(jīng)驗(yàn)為基礎(chǔ)的。它除了具有 EAL3保證級(jí)的內(nèi)容外，還對(duì)產(chǎn)品的易受攻擊性進(jìn)行獨(dú)立搜索。 ? EAL5保證級(jí)適用于那些要求較高保證級(jí)別的開發(fā)人員和用戶。在該級(jí)別上，開發(fā)人員也必須提出設(shè)計(jì)規(guī)范，并說明如何在產(chǎn)品中實(shí)現(xiàn)這些規(guī)范。 ? EAL6保證級(jí)包含一個(gè)半正式的驗(yàn)證設(shè)計(jì)和測(cè)試組件。它除包含 EAL5保證級(jí)的所有內(nèi)容外，還要求提出實(shí)現(xiàn)的結(jié)構(gòu)化表示。同時(shí)產(chǎn)品要經(jīng)受嚴(yán)格的設(shè)計(jì)檢查，且必須保持具有高度的抗攻擊性能。 ? EAL7保證級(jí)用于最高級(jí)別的安全應(yīng)用程序，它包含完整的、獨(dú)立的和正式的設(shè)計(jì)、測(cè)試和驗(yàn)證。 計(jì)算機(jī)信息安全保護(hù)等級(jí)劃分準(zhǔn)則 我國(guó) 《 計(jì)算機(jī)信息安全保護(hù)等級(jí)劃分準(zhǔn)則 》將計(jì)算機(jī)安全保護(hù)等級(jí)劃分為五個(gè)級(jí)別，第一級(jí)到第五級(jí)。 ? 第一級(jí)： 用戶自主保護(hù)級(jí)。該級(jí)使用戶具備自主安全保護(hù)能力，保護(hù)用戶數(shù)據(jù)被非法讀寫和破壞； ? 第二級(jí)： 系統(tǒng)審計(jì)保護(hù)級(jí)。具備第一級(jí)能力，并創(chuàng)建和維護(hù)訪問審計(jì)跟蹤記錄； ? 第三級(jí)： 安全標(biāo)記保護(hù)級(jí)。具備第二級(jí)的能力，并為訪問者和訪問對(duì)象指定安全標(biāo)記，以訪問對(duì)象標(biāo)記的安全級(jí)別限制訪問者的訪問權(quán)限； ? 第四級(jí)： 結(jié)構(gòu)化保護(hù)級(jí)。具備第三級(jí)的所有功能，并將安全保護(hù)機(jī)制劃分為不同的結(jié)構(gòu)，它具有很強(qiáng)的抗?jié)B透能力； ? 第五級(jí)： 安全域保護(hù)級(jí)。具備第四級(jí)的功能，并增加訪問驗(yàn)證功能，它具有極強(qiáng)的抗?jié)B透能力。