【正文】 分離 ， 堵后門； ? 系統(tǒng)的安全接口函數(shù)可以統(tǒng)一定義 ， 系統(tǒng)平臺(tái)可以統(tǒng)一； ? CA認(rèn)證是內(nèi)部行為 ， 不是第三方的 ， 可以與外界進(jìn)行交叉認(rèn)證； ? 接入、認(rèn)證方式有明確的規(guī)定 IT標(biāo)準(zhǔn) 六、 IT標(biāo)準(zhǔn) ? 標(biāo)準(zhǔn)化的概念 ? 標(biāo)準(zhǔn)是對(duì)一定范圍內(nèi)的重復(fù)事物和概念做統(tǒng)一的規(guī)定。 ? 標(biāo)準(zhǔn)制定的目標(biāo)是建立最佳秩序，取得最佳效益。 國(guó)際標(biāo)準(zhǔn)往往是某些國(guó)家相互妥協(xié)的產(chǎn)物；國(guó)家標(biāo)準(zhǔn)也是 WTO環(huán)境下提高準(zhǔn)入規(guī)則，建立技術(shù)壁壘的一種手段。 ? 標(biāo)準(zhǔn)的對(duì)象函蓋生活的方方面面，是實(shí)踐經(jīng)驗(yàn)的總結(jié)，體現(xiàn)了事物的重復(fù)性。 ? 標(biāo)準(zhǔn)的本質(zhì)是統(tǒng)一。 ? 標(biāo)準(zhǔn)有利于專業(yè)化協(xié)作生產(chǎn)的鞏固和發(fā)展 標(biāo)準(zhǔn)化工作 ? 標(biāo)準(zhǔn)化：為在一定范圍內(nèi)獲得最佳秩序，對(duì)實(shí)際的或潛在的問(wèn)題制定共同的和重復(fù)使用的規(guī)則的活動(dòng)。 ? 為管理提供目標(biāo)和依據(jù)：產(chǎn)品標(biāo)準(zhǔn)和質(zhì)量標(biāo)準(zhǔn) ? 在企業(yè)內(nèi)部建立生產(chǎn)技術(shù)上的統(tǒng)一性 ? 與企業(yè)外部約束條件相協(xié)調(diào) ? 我國(guó)標(biāo)準(zhǔn)化管理結(jié)構(gòu)：國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局 ? 我國(guó)第一個(gè)標(biāo)準(zhǔn)：工程制圖， 1949年 10月 國(guó)際標(biāo)準(zhǔn)化組織 ? ISO： 1947年成立；分為 19個(gè)分技術(shù)委員會(huì)（ SC)和功能標(biāo)準(zhǔn)化專門組（ SGFS)， 4個(gè)管理機(jī)構(gòu)（一致性評(píng)定小組、信息技術(shù)任務(wù)組、注冊(cè)機(jī)構(gòu)組、業(yè)務(wù)分析與計(jì)劃組）。負(fù)責(zé)信息技術(shù)安全技術(shù)的是 SC27。 ? IEC： 1906年成立， ISO成立后并入 ISO，技術(shù)與財(cái)務(wù)保持獨(dú)立性?？倳?huì)員國(guó) 57個(gè)。 ? 其他信息技術(shù)方面的標(biāo)準(zhǔn)化（或準(zhǔn)標(biāo)準(zhǔn)化）組織： ? ITU:國(guó)際電信聯(lián)盟 ? IETE:因特網(wǎng)任務(wù)工程組，注明的 RFC文檔 ? ECMA：歐洲計(jì)算機(jī)廠商協(xié)會(huì) 標(biāo)注化工作的內(nèi)容 ? 采標(biāo) ? 等同采用（ idt） ? 等效采用（ egv） ? 非等效采用（ neg） ? 評(píng)標(biāo)：對(duì)標(biāo)準(zhǔn)草稿內(nèi)容的評(píng)價(jià)，征求社會(huì)廣泛意見(jiàn)。 ? 貫標(biāo)：標(biāo)準(zhǔn)頒布后，要求執(zhí)行并定期檢查。 ? 標(biāo)準(zhǔn)修改：以新的版本替代舊的版本。 標(biāo)準(zhǔn)分類 ? 按標(biāo)準(zhǔn)性質(zhì) ? 產(chǎn)品標(biāo)準(zhǔn)、檢測(cè)標(biāo)準(zhǔn)、應(yīng)用標(biāo)準(zhǔn)、服務(wù)標(biāo)準(zhǔn)、工作標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn) ? 按執(zhí)行情況 ? 強(qiáng)制性標(biāo)準(zhǔn) ? 推薦性標(biāo)準(zhǔn) 按照 WTO原則，一般不制定國(guó)家的強(qiáng)制性標(biāo)準(zhǔn)。 安全評(píng)估標(biāo)準(zhǔn) ? 可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（ TCSEC)：美國(guó)， 1985 ? 信息技術(shù)評(píng)估準(zhǔn)則（ ITSEC)：歐洲， 1990 ? 可信計(jì)算機(jī)產(chǎn)品評(píng)估準(zhǔn)則（ CTCPEC)：加拿大， 1990 ? 美國(guó)聯(lián)邦準(zhǔn)則 FC： 1991 ? 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則 (CC)： 1999， ISO 15408 ? 安全管理標(biāo)準(zhǔn) ? Code of practice for information security management，BS7799， 2022年頒布為 ISO 17799 ? 信息技術(shù) 信息安全管理指南 ISO/IEC TR 133351996(E) ? TCSEC：根據(jù)安全功能，分為 D C C B B B A1 ? 這種分級(jí)針對(duì)產(chǎn)品 。 ? ITSEC:吸取 TCSEC的內(nèi)容，增加了安全保證要求。安全功能分為 F1～F10，安全保證 E0～ E6。 ? 主要針對(duì)產(chǎn)品，也可以針對(duì)系統(tǒng) 。 ? CC： TCSEC和 ITSEC的結(jié)合。安全功能 9類 63族，安全保證 7類 29族，分為 EAL0~EAL6 7級(jí)。 ? 我國(guó)標(biāo)準(zhǔn)為： GB/T 18336 (IDT ISO 15408) ? BS7799: 信息安全標(biāo)準(zhǔn) ? 基礎(chǔ)類標(biāo)準(zhǔn) ? 術(shù)語(yǔ)、安全體系結(jié)構(gòu)、信息安全框架、安全技術(shù) ? 物理安全標(biāo)準(zhǔn) ? 物理環(huán)境與保障、安全產(chǎn)品、介質(zhì)安全 ? 系統(tǒng)與網(wǎng)絡(luò)標(biāo)準(zhǔn) ? 硬件平臺(tái)、軟件平臺(tái)、網(wǎng)絡(luò)安全、安全協(xié)議、人機(jī)接口、業(yè)務(wù)應(yīng)用平臺(tái) ? 應(yīng)用與工程標(biāo)準(zhǔn) ? 安全工程與服務(wù)、人員資質(zhì)、行業(yè)應(yīng)用 ? 管理標(biāo)準(zhǔn) ? 管理基礎(chǔ)、系統(tǒng)管理、測(cè)評(píng)認(rèn)證 計(jì)算機(jī)安全保護(hù)等級(jí)劃分準(zhǔn)則 ? 用戶自主保護(hù)級(jí) ? 系統(tǒng)審計(jì)保護(hù)級(jí) ? 安全標(biāo)準(zhǔn)保護(hù)級(jí) ? 結(jié)構(gòu)化保護(hù)級(jí) ? 訪問(wèn)驗(yàn)證保護(hù)級(jí) ? 分別對(duì)應(yīng) TESEC中的 C C B B B3級(jí)。 ? 配套標(biāo)準(zhǔn)： ? 評(píng)估準(zhǔn)則： GA/T 38 GA/T 38 GA/T 38 GA/T 390、 GA/T 391 ? 應(yīng)用指南：技術(shù)指南、建設(shè)指南和管理指南 計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品分類原則 ? 實(shí)體安全： ? A10 環(huán)境安全 ? A20 設(shè)備安全 ? A30 媒體安全 ? 運(yùn)行安全 ? B10 風(fēng)險(xiǎn)分析 ? B20 審計(jì)跟蹤 ? B30 備份與恢復(fù) ? B40 應(yīng)急 ? 信息安全 ? C C C C C50、 C60、 C70 風(fēng)險(xiǎn)評(píng)估與等級(jí)保護(hù) IT法規(guī)與信息安全 （法規(guī)部分） IT相關(guān)法律法規(guī)問(wèn)題 ? 一、 IT技術(shù)發(fā)展帶來(lái)的法律新問(wèn)題 ? 二、 IT領(lǐng)域相關(guān)的法律法規(guī) 一、 IT技術(shù)帶來(lái)的法律新問(wèn)題 ? 目標(biāo)政策 各國(guó)信息化發(fā)展的總體目標(biāo)及規(guī)劃 美國(guó)“信息高速公路”計(jì)劃 歐盟“信息高速公路”計(jì)劃 德國(guó)“擁抱互聯(lián)網(wǎng)”計(jì)劃 ? 管理政策 放松產(chǎn)業(yè)管制，鼓勵(lì)市場(chǎng)競(jìng)爭(zhēng) 動(dòng)員全民參與，建設(shè)公共服務(wù)平臺(tái) 調(diào)整機(jī)制體制，全面服務(wù)社會(huì) ? 激勵(lì)政策 產(chǎn)業(yè)導(dǎo)向 金融扶助 稅收優(yōu)惠 補(bǔ)助金支持 ? 各國(guó)信息法律概述 美國(guó) 《 1996年電訊法 》 、 《 電子信息自由法案 》 、 《 統(tǒng)一電子交易法 》、 《 數(shù)字千年版權(quán)法法案 》 歐盟 《 電子商務(wù)指令 2022》 、 《 電子簽名統(tǒng)一框架 》 國(guó)際組織 《 電子商業(yè)示范法 》 、 《 電子簽名示范法 》 我國(guó) 《 電信條例 》 、 《 商用密碼管理?xiàng)l例 》 、 《 中國(guó)互聯(lián)網(wǎng)絡(luò)域名管理辦法 》 、 《 計(jì)算機(jī)軟件保護(hù)條例 》 ? 信息立法的原則 促進(jìn)發(fā)展原則 技術(shù)中立原則 全球一體化原則 ? 技術(shù)規(guī)范與法律規(guī)范的協(xié)調(diào) 以“技術(shù)中立”原則為指導(dǎo)，采取不同模式 指定式 開(kāi)放式 準(zhǔn)則式 二、 IT領(lǐng)域相關(guān)的法律法規(guī) ? 《 互聯(lián)網(wǎng)信息服務(wù)管理辦法 》 互聯(lián)網(wǎng)信息服務(wù)行為 —定義、分類 經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)行為、許可程序、批準(zhǔn)時(shí)限 非經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)行為、備案程序 禁止行為 變更手續(xù) ? 《 互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定 》 電子公告服務(wù)的含義 開(kāi)展電子公告服務(wù)的專項(xiàng)批準(zhǔn)或備案程序 開(kāi)展電子公告服務(wù)的條件 禁止行為 電子公告服務(wù)提供者的記錄備份義務(wù)和保密義務(wù) ? 《 互聯(lián)網(wǎng)站從事登載新聞業(yè)務(wù)管理暫行規(guī)定 》 互聯(lián)網(wǎng)站從事登載新聞業(yè)務(wù)的管理單位 新聞網(wǎng)站從事登載新聞業(yè)務(wù)的審批條件和程序 綜合性非新聞網(wǎng)站從事登載新聞業(yè)務(wù)的審批條件和程序 鏈接境外網(wǎng)站的審批程序 禁止行為 罰則 ? 《 中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 》 計(jì)算機(jī)信息系統(tǒng)的含義 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的目的 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度 計(jì)算機(jī)信息系統(tǒng)安全監(jiān)督職責(zé) ? 《 商用密碼管理?xiàng)l例 》 商用密碼的含義 商用密碼的科研、生產(chǎn)管理規(guī)定 商用密碼的銷售管理規(guī)定 商用密碼的使用管理辦法 商用密碼的安全、保密管理辦法 罰則 ? 《 計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法 》 禁止利用國(guó)際聯(lián)網(wǎng)從事的行為 安全管理的職責(zé) 備案手續(xù) ? 《 中華人民共和國(guó)電信條例 》 電信的含義 《 電信條例 》 的原則 公平競(jìng)爭(zhēng)、防止壟斷、促進(jìn)發(fā)展 電信業(yè)務(wù)許可 基礎(chǔ)電信業(yè)務(wù)定義及審批程序 增殖電信業(yè)務(wù)定義及審批程序 ? 《 中華人民共和國(guó)電信條例 》 電信網(wǎng)間互聯(lián)規(guī)定 網(wǎng)間互聯(lián)調(diào)解制度 電信資費(fèi)管理規(guī)定 市場(chǎng)調(diào)節(jié)價(jià)、政府指導(dǎo)價(jià)、政府定價(jià) 電信資源管理規(guī)定 統(tǒng)一規(guī)劃、集中管理、合理分配、有償使用 ? 《 中華人民共和國(guó)電信條例 》 電信服務(wù)質(zhì)量監(jiān)管規(guī)定 電信服務(wù)異議申訴程序 電信設(shè)施建設(shè)管理規(guī)定 電信設(shè)備進(jìn)網(wǎng)規(guī)定 進(jìn)網(wǎng)許可證頒發(fā)程序 ? 《 中華人民共和國(guó)電信條例 》 電信安全規(guī)定 三類禁止規(guī)定 罰則 ? 《 計(jì)算機(jī)軟件保護(hù)條例 》 計(jì)算機(jī)軟件定義 軟件著作權(quán)的基本內(nèi)容 各種權(quán)利的含義 軟件著作權(quán)登記 ? 《 計(jì)算機(jī)軟件保護(hù)條例 》 軟件著作權(quán)的歸屬 合作開(kāi)發(fā)的軟件 委托開(kāi)發(fā)的軟件 國(guó)家任務(wù)開(kāi)發(fā)的軟件 職務(wù)開(kāi)發(fā)的軟件 軟件著作權(quán)的保護(hù)期限 ? 《 計(jì)算機(jī)軟件保護(hù)條例 》 軟件著作權(quán)合法復(fù)制品所有人的權(quán)利 軟件裝入計(jì)算機(jī) 防止復(fù)制品損壞而制作備份復(fù)制品 適應(yīng)系統(tǒng)環(huán)境所的必要的修改 軟件著作權(quán)的合理使用 為學(xué)習(xí)和研究目的，通過(guò)安裝、顯示、傳輸或存儲(chǔ)等方式使用軟件的，可以不經(jīng)軟件著作權(quán)人許可，不支付報(bào)酬。 ? 《 計(jì)算機(jī)軟件保護(hù)條例 》 軟件著作權(quán)的許可使用和轉(zhuǎn)讓 訂立許可使用和轉(zhuǎn)讓合同，可以申請(qǐng)軟件著作權(quán)登記 軟件著作權(quán)侵權(quán)的法律責(zé)任 ? 《 中國(guó)互聯(lián)網(wǎng)域名管理辦法 》 域名、中文域名、頂級(jí)域名 域名管理的行政主體 —CNNIC 域名注冊(cè)服務(wù)機(jī)構(gòu) 域名注冊(cè)的原則 域名爭(zhēng)議的解決