【正文】 范體系。 ? 我國信息網(wǎng)絡(luò)安全立法層次和法律 ? 第一層： 由全國人大常委會通過的法律，除保密法、警察法、刑法外，涉及信息網(wǎng)絡(luò)安全的法律是 《 全國人大常委會關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定 》 ； ? 第二層： 國務(wù)院為執(zhí)行憲法和法律而制定的行政法規(guī)。主要有： 《 計算機(jī)信息系統(tǒng)安全保護(hù)條例 》 、 《 計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法 》 、 《 互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所管理條例 》 、《 計算機(jī)軟件保護(hù)條例 》 、 《 中國互聯(lián)網(wǎng)域名注冊實施細(xì)則 》 等； ?第三層： 國務(wù)院各部委根據(jù)法律和行政法規(guī)在本部門權(quán)限范圍內(nèi)制定的規(guī)章及規(guī)范性文件。主要有 《 計算機(jī)病毒防治管理辦法 》 、 《 互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定 》 等； ?第四層： 各省市自治區(qū)制定的地方性法規(guī)。 ? 這些法律法規(guī)包括了各種安全管理 (如網(wǎng)絡(luò)服務(wù)業(yè)的管理 、 互聯(lián)網(wǎng)出口信道管理 、用戶接入和使用互聯(lián)網(wǎng)的管理 、 互聯(lián)網(wǎng)信息服務(wù)安全管理等 )、 網(wǎng)上發(fā)布信息的限制 (如政治領(lǐng)域 、 信息傳播領(lǐng)域的有害信息和病毒信息的限制 )、 互聯(lián)網(wǎng)上隱私權(quán)的保護(hù) 、 著作權(quán)的保護(hù) 、 網(wǎng)上安全交易保護(hù)和計算機(jī)犯罪防范與處理等方面 。 安全管理 ? 在信息系統(tǒng)安全保證中，加強(qiáng)安全管理、制定有關(guān)規(guī)章制度，對于確保信息系統(tǒng)安全、可靠地運行，都是十分有效的。 ? 信息系統(tǒng)的安全管理策略包括安全管理機(jī)構(gòu)、行政人事管理制度、信息系統(tǒng)的安全管理；制定設(shè)備的使用規(guī)程和中心機(jī)房管理制度、制定各應(yīng)用系統(tǒng)的維護(hù)制度和應(yīng)急措施、建立網(wǎng)絡(luò)通信管理制度、完善數(shù)據(jù)備份及應(yīng)用軟件等技術(shù)資料的管理制度等。 ? 一個較大規(guī)模的網(wǎng)絡(luò)系統(tǒng) ， 要有相應(yīng)的由各方面的管理人員組成的安全管理機(jī)構(gòu) ， 分別負(fù)責(zé)安全 、 審計 、 系統(tǒng)分析 、 軟硬件系統(tǒng)維護(hù)及通信管理 。安全管理機(jī)構(gòu)的設(shè)置與系統(tǒng)規(guī)模相關(guān) ，相關(guān)人員的職責(zé)是固定的 。 ? 對信息系統(tǒng)職員的管理也是保證系統(tǒng)安全的一個重要方面 。 在對系統(tǒng)管理人員的行政人事管理方面 ， 要做好：人員的審查和錄用 ， 崗位和職責(zé)范圍的確定 ， 人員的評價和考核 ， 人員的提升 、 調(diào)動和任免人事檔案的管理 ，人員的思想教育與業(yè)務(wù)培訓(xùn)等工作 。 ? 信息系統(tǒng)的安全管理要根據(jù)安全管理原則和系統(tǒng)信息保密性等要求 ， 制定相應(yīng)的管理規(guī)章制度 ， 如確定系統(tǒng)的安全等級 ， 根據(jù)安全等級確定安全管理范圍 ，制定相應(yīng)信息系統(tǒng)場所的出入管理制度 ，制定嚴(yán)格的操作規(guī)程 ， 制定完備的系統(tǒng)維護(hù)制度 ， 制定必要應(yīng)急措施等 。 實體安全技術(shù) ? 網(wǎng)絡(luò)實體安全（物理安全）保護(hù)就是指采取一定措施對網(wǎng)絡(luò)的硬件系統(tǒng)、數(shù)據(jù)和軟件系統(tǒng)等實體進(jìn)行保護(hù)和對自然與人為災(zāi)害進(jìn)行防御。 ? 對網(wǎng)絡(luò)硬件的安全保護(hù)包括對網(wǎng)絡(luò)機(jī)房和環(huán)境的安全保護(hù)、網(wǎng)絡(luò)設(shè)備設(shè)施（如通信電纜等）的安全保護(hù)、信息存儲介質(zhì)的安全保護(hù)和電磁輻射的安全保護(hù)等。 ? 對網(wǎng)絡(luò)數(shù)據(jù)和軟件的安全保護(hù)包括對網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)應(yīng)用軟件和網(wǎng)絡(luò)數(shù)據(jù)庫數(shù)據(jù)的安全保護(hù)。 ? 對自然與人為災(zāi)害的防御包括對網(wǎng)絡(luò)系統(tǒng)環(huán)境采取防火、防水、防雷電、防電磁干擾、防振動以及防風(fēng)暴、防地震等措施。 訪問控制技術(shù) ? 訪問控制就是規(guī)定哪些用戶可訪問網(wǎng)絡(luò)系統(tǒng)，對要求入網(wǎng)的用戶進(jìn)行身份驗證和確認(rèn)，這些用戶能訪問系統(tǒng)的哪些資源，他們對于這些資源能使用到什么程度等問題。訪問控制的基本任務(wù)就是保證網(wǎng)絡(luò)系統(tǒng)中所有的訪問操作都是經(jīng)過認(rèn)可的、合法的，防止非法用戶進(jìn)入網(wǎng)絡(luò)和合法用戶對網(wǎng)絡(luò)系統(tǒng)資源的非授權(quán)訪問。 ? 訪問控制措施通常采用設(shè)置口令和入網(wǎng)限制，采取 CA認(rèn)證、數(shù)字證書、數(shù)字簽名等技術(shù)對用戶身份進(jìn)行驗證和確認(rèn)，規(guī)定不同軟件及數(shù)據(jù)資源的屬性和訪問權(quán)限，進(jìn)行網(wǎng)絡(luò)監(jiān)視、設(shè)置網(wǎng)絡(luò)審計和跟蹤、使用防火墻系統(tǒng)、入侵檢測和防護(hù)系統(tǒng)等方法實現(xiàn)。 數(shù)據(jù)保密技術(shù) ? 數(shù)據(jù)加密保護(hù)就是采取一定的技術(shù)和措施，對網(wǎng)絡(luò)系統(tǒng)中存儲的數(shù)據(jù)和在線路上傳輸?shù)臄?shù)據(jù)進(jìn)行變換（加密），使得變換后的數(shù)據(jù)不能被無關(guān)的用戶識別，保證數(shù)據(jù)的保密性。 ? 數(shù)據(jù)加密保護(hù)通常是采用密碼技術(shù)進(jìn)行信息（數(shù)據(jù)和程序）進(jìn)行加密、數(shù)字簽名、用戶驗證和非否認(rèn)鑒別等措施實現(xiàn)。 ? 數(shù)據(jù)加密技術(shù)的詳細(xì)內(nèi)容見第 5章。 網(wǎng)絡(luò)安全級別 可信計算機(jī)標(biāo)準(zhǔn)評價準(zhǔn)則 1983年美國國防部發(fā)表的 《 可信計算機(jī)標(biāo)準(zhǔn)評價準(zhǔn)則 》 （簡稱為 TCSEC）把計算機(jī)安全等級分為 4類 7級。依據(jù)安全性從低到高的級別，依次為 D、 C C B B B A級，每級包括它下級的所有特性，見表 。 級別 名 稱 特 征 A 驗證設(shè)計安全級 形式化的最高級描述和驗證，形式化的隱蔽通道分 析，非形式化的代碼一致性證明 B3 安全域級 安全內(nèi)核，高抗?jié)B透能力 B2 結(jié)構(gòu)化安全保護(hù)級 面向安全的體系結(jié)構(gòu)，遵循最小授權(quán)原則，有較好的抗?jié)B透能力，對所有的主體和客體提供訪問控制保護(hù)，對系統(tǒng)進(jìn)行隱蔽通道分析 B1 標(biāo)記安全保護(hù)級 在 C2安全級上增加安全策略模型，數(shù)據(jù)標(biāo)記（安全和屬性），托管訪問控制 C2 訪問控制環(huán)境保護(hù)級 訪問控制，以用戶為單位進(jìn)行廣泛的審計 C1 選擇性安全保護(hù)級 有選擇的訪問控制，用戶與數(shù)據(jù)分離，數(shù)據(jù)以用戶 組為單位進(jìn)行保護(hù) D 最低安全保護(hù)級 保護(hù)措施很少，沒有安全功能 普通評價準(zhǔn)則 普通評價準(zhǔn)則 (CC： Common Criteria)是美國、加拿大、英國、法國和德國聯(lián)合調(diào)查和研究的結(jié)果，它包含了選擇安全措施的要求。 CC也將計算機(jī)安全分為 7個保證級：EAL1保證級到 EAL7保證級。 ? EAL1保證級是最低的安全保證級別，它定義了最小程度的保證。它以產(chǎn)品安全性能的分析為基礎(chǔ)，并使用功能和接口設(shè)計來定義安全行為。 ? EAL2保證級執(zhí)行對功能和接口規(guī)范的分析，以及對產(chǎn)品子系統(tǒng)的高級設(shè)計檢查。 ? EAL3保證級是一種中立的、獨立的安全級別，其安全要由外部源來驗證。該級別允許在設(shè)計階段給予最大的保證，而在測試過程中幾乎不加修改，開發(fā)人員必須提供測試數(shù)據(jù)（包括易受攻擊的分析），并有選擇地加以驗證。 ? EAL4保證級是改進(jìn)已有生產(chǎn)線可行的最高保證級別。它向用戶提供了較高的安全級別，因為它是以良好的商業(yè)軟件開發(fā)經(jīng)驗為基礎(chǔ)的。它除了具有 EAL3保證級的內(nèi)容外，還對產(chǎn)品的易受攻擊性進(jìn)行獨立搜索。 ? EAL5保證級適用于那些要求較高保證級別的開發(fā)人員和用戶。在該級別上，開發(fā)人員也必須提出設(shè)計規(guī)范，并說明如何在產(chǎn)品中實現(xiàn)這些規(guī)范。 ? EAL6保證級包含一個半正式的驗證設(shè)計和測試組件。它除包含 EAL5保證級的所有內(nèi)容外，還要求提出實現(xiàn)的結(jié)構(gòu)化表示。同時產(chǎn)品要經(jīng)受嚴(yán)格的設(shè)計檢查，且必須保持具有高度的抗攻擊性能。 ? EAL7保證級用于最高級別的安全應(yīng)用程序，它包含完整的、獨立的和正式的設(shè)計、測試和驗證。 計算機(jī)信息安全保護(hù)等級劃分準(zhǔn)則 我國 《 計算機(jī)信息安全保護(hù)等級劃分準(zhǔn)則 》將計算機(jī)安全保護(hù)等級劃分為五個級別，第一級到第五級。 ? 第一級： 用戶自主保護(hù)級。該級使用戶具備自主安全保護(hù)能力，保護(hù)用戶數(shù)據(jù)被非法讀寫和破壞； ? 第二級： 系統(tǒng)審計保護(hù)級。具備第一級能力，并創(chuàng)建和維護(hù)訪問審計跟蹤記錄； ? 第三級： 安全標(biāo)記保護(hù)級。具備第二級的能力，并為訪問者和訪問對象指定安全標(biāo)記，以訪問對象標(biāo)記的安全級別限制訪問者的訪問權(quán)限； ? 第四級： 結(jié)構(gòu)化保護(hù)級。具備第三級的所有功能，并將安全保護(hù)機(jī)制劃分為不同的結(jié)構(gòu)，它具有很強(qiáng)的抗?jié)B透能力； ? 第五級： 安全域保護(hù)級。具備第四級的功能，并增加訪問驗證功能，它具有極強(qiáng)的抗?jié)B透能力。