【正文】 分離 ， 堵后門； ? 系統(tǒng)的安全接口函數(shù)可以統(tǒng)一定義 ， 系統(tǒng)平臺可以統(tǒng)一； ? CA認(rèn)證是內(nèi)部行為 ， 不是第三方的 ， 可以與外界進(jìn)行交叉認(rèn)證； ? 接入、認(rèn)證方式有明確的規(guī)定 IT標(biāo)準(zhǔn) 六、 IT標(biāo)準(zhǔn) ? 標(biāo)準(zhǔn)化的概念 ? 標(biāo)準(zhǔn)是對一定范圍內(nèi)的重復(fù)事物和概念做統(tǒng)一的規(guī)定。 ? 標(biāo)準(zhǔn)制定的目標(biāo)是建立最佳秩序，取得最佳效益。 國際標(biāo)準(zhǔn)往往是某些國家相互妥協(xié)的產(chǎn)物；國家標(biāo)準(zhǔn)也是 WTO環(huán)境下提高準(zhǔn)入規(guī)則，建立技術(shù)壁壘的一種手段。 ? 標(biāo)準(zhǔn)的對象函蓋生活的方方面面，是實踐經(jīng)驗的總結(jié)，體現(xiàn)了事物的重復(fù)性。 ? 標(biāo)準(zhǔn)的本質(zhì)是統(tǒng)一。 ? 標(biāo)準(zhǔn)有利于專業(yè)化協(xié)作生產(chǎn)的鞏固和發(fā)展 標(biāo)準(zhǔn)化工作 ? 標(biāo)準(zhǔn)化：為在一定范圍內(nèi)獲得最佳秩序，對實際的或潛在的問題制定共同的和重復(fù)使用的規(guī)則的活動。 ? 為管理提供目標(biāo)和依據(jù)：產(chǎn)品標(biāo)準(zhǔn)和質(zhì)量標(biāo)準(zhǔn) ? 在企業(yè)內(nèi)部建立生產(chǎn)技術(shù)上的統(tǒng)一性 ? 與企業(yè)外部約束條件相協(xié)調(diào) ? 我國標(biāo)準(zhǔn)化管理結(jié)構(gòu)：國家質(zhì)量監(jiān)督檢驗檢疫總局 ? 我國第一個標(biāo)準(zhǔn)：工程制圖， 1949年 10月 國際標(biāo)準(zhǔn)化組織 ? ISO： 1947年成立；分為 19個分技術(shù)委員會（ SC)和功能標(biāo)準(zhǔn)化專門組（ SGFS)， 4個管理機構(gòu)（一致性評定小組、信息技術(shù)任務(wù)組、注冊機構(gòu)組、業(yè)務(wù)分析與計劃組）。負(fù)責(zé)信息技術(shù)安全技術(shù)的是 SC27。 ? IEC： 1906年成立， ISO成立后并入 ISO，技術(shù)與財務(wù)保持獨立性?？倳T國 57個。 ? 其他信息技術(shù)方面的標(biāo)準(zhǔn)化（或準(zhǔn)標(biāo)準(zhǔn)化）組織： ? ITU:國際電信聯(lián)盟 ? IETE:因特網(wǎng)任務(wù)工程組，注明的 RFC文檔 ? ECMA：歐洲計算機廠商協(xié)會 標(biāo)注化工作的內(nèi)容 ? 采標(biāo) ? 等同采用（ idt） ? 等效采用（ egv） ? 非等效采用（ neg） ? 評標(biāo)：對標(biāo)準(zhǔn)草稿內(nèi)容的評價，征求社會廣泛意見。 ? 貫標(biāo)：標(biāo)準(zhǔn)頒布后，要求執(zhí)行并定期檢查。 ? 標(biāo)準(zhǔn)修改：以新的版本替代舊的版本。 標(biāo)準(zhǔn)分類 ? 按標(biāo)準(zhǔn)性質(zhì) ? 產(chǎn)品標(biāo)準(zhǔn)、檢測標(biāo)準(zhǔn)、應(yīng)用標(biāo)準(zhǔn)、服務(wù)標(biāo)準(zhǔn)、工作標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn) ? 按執(zhí)行情況 ? 強制性標(biāo)準(zhǔn) ? 推薦性標(biāo)準(zhǔn) 按照 WTO原則，一般不制定國家的強制性標(biāo)準(zhǔn)。 安全評估標(biāo)準(zhǔn) ? 可信計算機系統(tǒng)評估準(zhǔn)則（ TCSEC)：美國， 1985 ? 信息技術(shù)評估準(zhǔn)則（ ITSEC)：歐洲， 1990 ? 可信計算機產(chǎn)品評估準(zhǔn)則（ CTCPEC)：加拿大， 1990 ? 美國聯(lián)邦準(zhǔn)則 FC： 1991 ? 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準(zhǔn)則 (CC)： 1999， ISO 15408 ? 安全管理標(biāo)準(zhǔn) ? Code of practice for information security management，BS7799， 2022年頒布為 ISO 17799 ? 信息技術(shù) 信息安全管理指南 ISO/IEC TR 133351996(E) ? TCSEC：根據(jù)安全功能，分為 D C C B B B A1 ? 這種分級針對產(chǎn)品 。 ? ITSEC:吸取 TCSEC的內(nèi)容，增加了安全保證要求。安全功能分為 F1～F10，安全保證 E0～ E6。 ? 主要針對產(chǎn)品，也可以針對系統(tǒng) 。 ? CC： TCSEC和 ITSEC的結(jié)合。安全功能 9類 63族，安全保證 7類 29族，分為 EAL0~EAL6 7級。 ? 我國標(biāo)準(zhǔn)為： GB/T 18336 (IDT ISO 15408) ? BS7799: 信息安全標(biāo)準(zhǔn) ? 基礎(chǔ)類標(biāo)準(zhǔn) ? 術(shù)語、安全體系結(jié)構(gòu)、信息安全框架、安全技術(shù) ? 物理安全標(biāo)準(zhǔn) ? 物理環(huán)境與保障、安全產(chǎn)品、介質(zhì)安全 ? 系統(tǒng)與網(wǎng)絡(luò)標(biāo)準(zhǔn) ? 硬件平臺、軟件平臺、網(wǎng)絡(luò)安全、安全協(xié)議、人機接口、業(yè)務(wù)應(yīng)用平臺 ? 應(yīng)用與工程標(biāo)準(zhǔn) ? 安全工程與服務(wù)、人員資質(zhì)、行業(yè)應(yīng)用 ? 管理標(biāo)準(zhǔn) ? 管理基礎(chǔ)、系統(tǒng)管理、測評認(rèn)證 計算機安全保護(hù)等級劃分準(zhǔn)則 ? 用戶自主保護(hù)級 ? 系統(tǒng)審計保護(hù)級 ? 安全標(biāo)準(zhǔn)保護(hù)級 ? 結(jié)構(gòu)化保護(hù)級 ? 訪問驗證保護(hù)級 ? 分別對應(yīng) TESEC中的 C C B B B3級。 ? 配套標(biāo)準(zhǔn)： ? 評估準(zhǔn)則： GA/T 38 GA/T 38 GA/T 38 GA/T 390、 GA/T 391 ? 應(yīng)用指南：技術(shù)指南、建設(shè)指南和管理指南 計算機信息系統(tǒng)安全專用產(chǎn)品分類原則 ? 實體安全： ? A10 環(huán)境安全 ? A20 設(shè)備安全 ? A30 媒體安全 ? 運行安全 ? B10 風(fēng)險分析 ? B20 審計跟蹤 ? B30 備份與恢復(fù) ? B40 應(yīng)急 ? 信息安全 ? C C C C C50、 C60、 C70 風(fēng)險評估與等級保護(hù) IT法規(guī)與信息安全 （法規(guī)部分） IT相關(guān)法律法規(guī)問題 ? 一、 IT技術(shù)發(fā)展帶來的法律新問題 ? 二、 IT領(lǐng)域相關(guān)的法律法規(guī) 一、 IT技術(shù)帶來的法律新問題 ? 目標(biāo)政策 各國信息化發(fā)展的總體目標(biāo)及規(guī)劃 美國“信息高速公路”計劃 歐盟“信息高速公路”計劃 德國“擁抱互聯(lián)網(wǎng)”計劃 ? 管理政策 放松產(chǎn)業(yè)管制，鼓勵市場競爭 動員全民參與，建設(shè)公共服務(wù)平臺 調(diào)整機制體制，全面服務(wù)社會 ? 激勵政策 產(chǎn)業(yè)導(dǎo)向 金融扶助 稅收優(yōu)惠 補助金支持 ? 各國信息法律概述 美國 《 1996年電訊法 》 、 《 電子信息自由法案 》 、 《 統(tǒng)一電子交易法 》、 《 數(shù)字千年版權(quán)法法案 》 歐盟 《 電子商務(wù)指令 2022》 、 《 電子簽名統(tǒng)一框架 》 國際組織 《 電子商業(yè)示范法 》 、 《 電子簽名示范法 》 我國 《 電信條例 》 、 《 商用密碼管理條例 》 、 《 中國互聯(lián)網(wǎng)絡(luò)域名管理辦法 》 、 《 計算機軟件保護(hù)條例 》 ? 信息立法的原則 促進(jìn)發(fā)展原則 技術(shù)中立原則 全球一體化原則 ? 技術(shù)規(guī)范與法律規(guī)范的協(xié)調(diào) 以“技術(shù)中立”原則為指導(dǎo)，采取不同模式 指定式 開放式 準(zhǔn)則式 二、 IT領(lǐng)域相關(guān)的法律法規(guī) ? 《 互聯(lián)網(wǎng)信息服務(wù)管理辦法 》 互聯(lián)網(wǎng)信息服務(wù)行為 —定義、分類 經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)行為、許可程序、批準(zhǔn)時限 非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)行為、備案程序 禁止行為 變更手續(xù) ? 《 互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定 》 電子公告服務(wù)的含義 開展電子公告服務(wù)的專項批準(zhǔn)或備案程序 開展電子公告服務(wù)的條件 禁止行為 電子公告服務(wù)提供者的記錄備份義務(wù)和保密義務(wù) ? 《 互聯(lián)網(wǎng)站從事登載新聞業(yè)務(wù)管理暫行規(guī)定 》 互聯(lián)網(wǎng)站從事登載新聞業(yè)務(wù)的管理單位 新聞網(wǎng)站從事登載新聞業(yè)務(wù)的審批條件和程序 綜合性非新聞網(wǎng)站從事登載新聞業(yè)務(wù)的審批條件和程序 鏈接境外網(wǎng)站的審批程序 禁止行為 罰則 ? 《 中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例 》 計算機信息系統(tǒng)的含義 計算機信息系統(tǒng)安全保護(hù)的目的 計算機信息系統(tǒng)安全保護(hù)制度 計算機信息系統(tǒng)安全監(jiān)督職責(zé) ? 《 商用密碼管理條例 》 商用密碼的含義 商用密碼的科研、生產(chǎn)管理規(guī)定 商用密碼的銷售管理規(guī)定 商用密碼的使用管理辦法 商用密碼的安全、保密管理辦法 罰則 ? 《 計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法 》 禁止利用國際聯(lián)網(wǎng)從事的行為 安全管理的職責(zé) 備案手續(xù) ? 《 中華人民共和國電信條例 》 電信的含義 《 電信條例 》 的原則 公平競爭、防止壟斷、促進(jìn)發(fā)展 電信業(yè)務(wù)許可 基礎(chǔ)電信業(yè)務(wù)定義及審批程序 增殖電信業(yè)務(wù)定義及審批程序 ? 《 中華人民共和國電信條例 》 電信網(wǎng)間互聯(lián)規(guī)定 網(wǎng)間互聯(lián)調(diào)解制度 電信資費管理規(guī)定 市場調(diào)節(jié)價、政府指導(dǎo)價、政府定價 電信資源管理規(guī)定 統(tǒng)一規(guī)劃、集中管理、合理分配、有償使用 ? 《 中華人民共和國電信條例 》 電信服務(wù)質(zhì)量監(jiān)管規(guī)定 電信服務(wù)異議申訴程序 電信設(shè)施建設(shè)管理規(guī)定 電信設(shè)備進(jìn)網(wǎng)規(guī)定 進(jìn)網(wǎng)許可證頒發(fā)程序 ? 《 中華人民共和國電信條例 》 電信安全規(guī)定 三類禁止規(guī)定 罰則 ? 《 計算機軟件保護(hù)條例 》 計算機軟件定義 軟件著作權(quán)的基本內(nèi)容 各種權(quán)利的含義 軟件著作權(quán)登記 ? 《 計算機軟件保護(hù)條例 》 軟件著作權(quán)的歸屬 合作開發(fā)的軟件 委托開發(fā)的軟件 國家任務(wù)開發(fā)的軟件 職務(wù)開發(fā)的軟件 軟件著作權(quán)的保護(hù)期限 ? 《 計算機軟件保護(hù)條例 》 軟件著作權(quán)合法復(fù)制品所有人的權(quán)利 軟件裝入計算機 防止復(fù)制品損壞而制作備份復(fù)制品 適應(yīng)系統(tǒng)環(huán)境所的必要的修改 軟件著作權(quán)的合理使用 為學(xué)習(xí)和研究目的，通過安裝、顯示、傳輸或存儲等方式使用軟件的，可以不經(jīng)軟件著作權(quán)人許可，不支付報酬。 ? 《 計算機軟件保護(hù)條例 》 軟件著作權(quán)的許可使用和轉(zhuǎn)讓 訂立許可使用和轉(zhuǎn)讓合同，可以申請軟件著作權(quán)登記 軟件著作權(quán)侵權(quán)的法律責(zé)任 ? 《 中國互聯(lián)網(wǎng)域名管理辦法 》 域名、中文域名、頂級域名 域名管理的行政主體 —CNNIC 域名注冊服務(wù)機構(gòu) 域名注冊的原則 域名爭議的解決