【正文】 2級(jí)引進(jìn)了訪問(wèn)控制環(huán)境 (用戶權(quán)限級(jí)別 )的增加特性 ， 該環(huán)境具有進(jìn)一步限制用戶執(zhí)行某些命令或訪問(wèn)某些文件的權(quán)限 ， 而且還加入了身份驗(yàn)證級(jí)別 。 另外 ， 系統(tǒng)對(duì)發(fā)生的事情加以審計(jì)(Audit)， 并寫(xiě)入日志當(dāng)中 ， 如什么時(shí)候開(kāi)機(jī) ， 哪個(gè)用戶在什么時(shí)候從哪里登錄等 ， 這樣通過(guò)查看日志 ， 就可以發(fā)現(xiàn)入侵的痕跡 ， 如多次登錄失敗 ， 也可以大致推測(cè)出可能有人想強(qiáng)行闖入系統(tǒng) 。 審計(jì)可以記錄下系統(tǒng)管理員執(zhí)行的活動(dòng) ， 審計(jì)還加有身份驗(yàn)證 ， 這樣就可以知道誰(shuí)在執(zhí)行這些命令 。 審計(jì)的缺點(diǎn)在于它需要額外的處理器時(shí)間和磁盤(pán)資源 。 網(wǎng)絡(luò)信息安全等級(jí)與標(biāo)準(zhǔn) 使用附加身份認(rèn)證就可以讓一個(gè) C2系統(tǒng)用戶在不是根用戶的情況下有權(quán)執(zhí)行系統(tǒng)管理任務(wù) 。 不要把這些身份認(rèn)證和應(yīng)用于程序的用戶ID許可 (SUID)設(shè)置和同組用戶 ID許可 (SGID)設(shè)置相混淆 ， 身份認(rèn)證可以用來(lái)確定用戶是否能夠執(zhí)行特定的命令或訪問(wèn)某些核心表 。 例如 ，當(dāng)用戶無(wú)權(quán)瀏覽進(jìn)程表時(shí) ， 它若執(zhí)行命令就只能看到它們自己的進(jìn)程 。 授權(quán)分級(jí)指系統(tǒng)管理員能夠給用戶分組 ，授予他們?cè)L問(wèn)某些程序的權(quán)限或訪問(wèn)分級(jí)目錄的權(quán)限 。 網(wǎng)絡(luò)信息安全等級(jí)與標(biāo)準(zhǔn) 另一方面 ， 用戶權(quán)限可以以個(gè)人為單位授權(quán)用戶對(duì)某一程序所在目錄進(jìn)行訪問(wèn) 。 如果其他程序和數(shù)據(jù)也在同一目錄下 ， 那么用戶也將自動(dòng)得到訪問(wèn)這些信息的權(quán)限 。 能夠達(dá)到 C2級(jí)的常見(jiàn)的操作系統(tǒng)有UNIX系統(tǒng)、 XENIX、 Novell 版本、 Windows NT和 Windows 2023 。 網(wǎng)絡(luò)信息安全等級(jí)與標(biāo)準(zhǔn) 4) ?B1級(jí) B級(jí)中有三個(gè)級(jí)別 ， B1級(jí)即標(biāo)號(hào)安全保護(hù)(Labeled Security Protection)， 是支持多級(jí)安全 (如秘密和絕密 )的第一個(gè)級(jí)別 ， 這個(gè)級(jí)別說(shuō)明一個(gè)處于強(qiáng)制性訪問(wèn)控制之下的對(duì)象 ， 系統(tǒng)不允許文件的擁有者改變其許可權(quán)限 。 即在這一級(jí)別上 ， 對(duì)象 (如盤(pán)區(qū)和文件服務(wù)器目錄 )必須在訪問(wèn)控制之下 ， 不允許擁有者更改它們的權(quán)限 。 B1級(jí)安全措施的計(jì)算機(jī)系統(tǒng) ， 隨著操作系統(tǒng)而定 。 政府機(jī)構(gòu)和系統(tǒng)安全承包商是 B1級(jí)計(jì)算機(jī)系統(tǒng)的主要擁有者 。 網(wǎng)絡(luò)信息安全等級(jí)與標(biāo)準(zhǔn) 5) B2級(jí) B2級(jí)又叫做結(jié)構(gòu)保護(hù) (Structured Protection)級(jí)別 ，它要求計(jì)算機(jī)系統(tǒng)中所有的對(duì)象都加標(biāo)簽 ， 而且給設(shè)備 (磁盤(pán) ， 磁帶和終端 )分配單個(gè)或多個(gè)安全級(jí)別 。 它提出了較高安全級(jí)別的對(duì)象與另一個(gè)較低安全級(jí)別的對(duì)象通信的第一個(gè)級(jí)別 。 6) B3級(jí) B3級(jí)又稱安全域 (Security Domain)級(jí)別 ， 它使用安裝硬件的方式來(lái)加強(qiáng)域 。 例如 ， 內(nèi)存管理硬件用于保護(hù)安全域免遭無(wú)授權(quán)訪問(wèn)或其他安全域?qū)ο蟮男薷?。該級(jí)別也要求用戶通過(guò)一條可信任途徑連接到系統(tǒng)上 。 網(wǎng)絡(luò)信息安全等級(jí)與標(biāo)準(zhǔn) 7) ?A級(jí) A級(jí)也稱為驗(yàn)證保護(hù)或驗(yàn)證設(shè)計(jì) (Verity Design)級(jí)別 ， 是當(dāng)前的最高級(jí)別 ， 它包括一個(gè)嚴(yán)格的設(shè)計(jì) 、 控制和驗(yàn)證過(guò)程 。 與前面提到的各級(jí)別一樣 ， 這一級(jí)別包含了較低級(jí)別的所有特性 。 設(shè)計(jì)必須是從數(shù)學(xué)角度上經(jīng)過(guò)驗(yàn)證的 ， 而且必須進(jìn)行秘密通道和可信任分布的分析 。 可信任分布 (Trusted Distribution)的含義是硬件和軟件在物理傳輸過(guò)程中已經(jīng)受到保護(hù) ， 以防止破壞安全系統(tǒng) 。 可信計(jì)算機(jī)安全評(píng)價(jià)標(biāo)準(zhǔn)主要考慮的安全問(wèn)題大體上還局限于信息的保密性 ， 隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展 ， 對(duì)于目前的網(wǎng)絡(luò)安全不能完全適用 。 網(wǎng)絡(luò)信息安 全管理體系 （ NISMS） 信息安全管理體系定義 ? 網(wǎng)絡(luò)與信息安全 = 信息安全技術(shù) + 信息安全管理體系 (ISMS) ? 《 信息安全管理體系（ ISMS）標(biāo)準(zhǔn) 》 ? 信息安全政策 ? 信息安全組織 ? 信息資產(chǎn)分類與管理 ? 個(gè)人信息安全，物理和環(huán)境安全 ? 通信和操作安全管理 ? 存取控制 ? 信息系統(tǒng)的開(kāi)發(fā)和維護(hù) ? 持續(xù)運(yùn)營(yíng)管理 ? 實(shí)施方法 ? 在組織實(shí)施網(wǎng)絡(luò)與信息安全系統(tǒng)時(shí)，應(yīng)該將技術(shù)層面和管理層面良好配合。 ? 在信息安全技術(shù)層面，應(yīng)通過(guò)采用包括建設(shè)安全的主機(jī)系統(tǒng)和安全的網(wǎng)絡(luò)系統(tǒng)，并配備適當(dāng)?shù)陌踩a(chǎn)品的方法來(lái)實(shí)現(xiàn) ? 而在管理層面，則可以通過(guò)構(gòu)架 ISMS來(lái)實(shí)現(xiàn)。 信息安全管理體系構(gòu)建 ? 定義信息安全策略 ? 定義 NISMS的范圍 ? 進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估 ? 信息安全風(fēng)險(xiǎn)管理 ? 確定管制目標(biāo)和選擇管制措施 ? 準(zhǔn)備信息安全適用性聲明 網(wǎng)絡(luò)信息安全 評(píng)測(cè)認(rèn)證體系 網(wǎng)絡(luò)信息安全度量標(biāo)準(zhǔn) ? 信息安全性的度量標(biāo)準(zhǔn) CC TCSEC FC CTEPEC ITSEC EALl － － － － EAL2 C1 － － El EAL3 C2 T— 1 T－ 1 E2 EAI4 B1 T－ 2 T－ 2 E3 － － T－ 3 T－ 3 － － － T－ 4 － － EAL5 B2 T－ 5 T－ 4 E4 EAL6 B3 T－ 6 T－ 5 E5 EAL7 A1 T－ 7 T－ 6 E6 － － － T－ 7 － ? 評(píng)估保證級(jí)別 ? （ 1）評(píng)估保證級(jí)別 1(EALl) :功能測(cè)試； ? （ 2）評(píng)估保證級(jí)別 2(EAL2) :結(jié)構(gòu)測(cè)試； ? （ 3）評(píng)估保證級(jí)別 3(EAL3) :功能測(cè)試與校驗(yàn) ? （ 4）評(píng)估保證級(jí)別 4(EAL4):系統(tǒng)地設(shè)計(jì)、測(cè)試和評(píng)審 ? （ 5）評(píng)估保證級(jí)別 5(EAL5):半形式化設(shè)計(jì)和測(cè)試 ? （ 6）評(píng)估保證級(jí)別 6(EAL6):半形式化驗(yàn)證的設(shè)計(jì)和測(cè)試 ? （ 7）評(píng)估保證級(jí)別 7(EAL7):形式化驗(yàn)證的設(shè)計(jì)和測(cè)試 各國(guó)測(cè)評(píng)認(rèn)證體系與發(fā)展現(xiàn)狀 ? 美國(guó) ? 美國(guó)于 1997年由國(guó)家標(biāo)準(zhǔn)技術(shù)研究所和國(guó)家安全局共同組建了國(guó)家信息保證伙伴 (NIAP)，專門(mén)負(fù)責(zé)基于CC信息安全的測(cè)試和評(píng)估，并研究開(kāi)發(fā)相關(guān)的測(cè)評(píng)認(rèn)證方法和技術(shù)。在國(guó)家安全局中對(duì) NIAP的具體管理則由專門(mén)管理保密信息系統(tǒng)安全的辦公室負(fù)責(zé)。 ? 英國(guó) ? 在英國(guó)的 IT安全評(píng)估認(rèn)證體系中，評(píng)估體系管委會(huì)主要負(fù)責(zé)制定國(guó)家信息安全評(píng)估認(rèn)證政策、監(jiān)督認(rèn)證機(jī)構(gòu)和仲裁訴訟及爭(zhēng)議。它由評(píng)估認(rèn)證體系的高級(jí)執(zhí)行官、認(rèn)證機(jī)構(gòu)主任、 CESG、 DTI和國(guó)防部 (MOD)的高級(jí)官員以及其他政府部門(mén)和工業(yè)界的代表所組成，其主席由 CESG的人員擔(dān)任。它直接向內(nèi)閣會(huì)議建議和匯報(bào)認(rèn)證機(jī)構(gòu)的財(cái)政和資源狀況。 我國(guó)網(wǎng)絡(luò)信息安全評(píng)測(cè)認(rèn)證體系 ? 中國(guó)國(guó)家信息安全測(cè)評(píng)認(rèn)證中心 ? 中華人民共和國(guó)國(guó)家信息安全認(rèn)證 :是國(guó)家對(duì)信息安全技術(shù)、產(chǎn)品或系統(tǒng)安全質(zhì)量的最高認(rèn)可。 ? 四種認(rèn)證業(yè)務(wù) ? （ 1）產(chǎn)品型號(hào)認(rèn)證：是認(rèn)證的基礎(chǔ)形式，僅包括質(zhì)量認(rèn)證中的“型式試驗(yàn)”和“監(jiān)督檢驗(yàn)”兩個(gè)要素 ? （ 2）產(chǎn)品認(rèn)證：是認(rèn)證的完整形式，包括了質(zhì)量認(rèn)證中從產(chǎn)品檢驗(yàn)到質(zhì)量保證能力評(píng)審的全部要素 ? （ 3）信息系統(tǒng)安全認(rèn)證：是對(duì)信息系統(tǒng)或網(wǎng)絡(luò)的運(yùn)行安全、信息安全和管理控制安全的綜合認(rèn)證 ? （ 4）信息安全服務(wù)認(rèn)證：是對(duì)向社會(huì)提供信息安全服務(wù)的企業(yè)、組織、機(jī)構(gòu)或團(tuán)體的技術(shù)實(shí)力、服務(wù)能力和資質(zhì)條件的系統(tǒng)認(rèn)證。 ? 中國(guó)國(guó)家信息安全測(cè)評(píng)認(rèn)證中心的認(rèn)證準(zhǔn)則 ? （ 1）達(dá)到中心認(rèn)證標(biāo)準(zhǔn)的產(chǎn)品或系統(tǒng)只是達(dá)到了國(guó)家規(guī)定的管理安全風(fēng)險(xiǎn)的能力，并不表明該產(chǎn)品完全消除了安全風(fēng)險(xiǎn) ? （ 2）中心的認(rèn)證程序能夠確保產(chǎn)品安全的風(fēng)險(xiǎn)降低到了國(guó)家標(biāo)準(zhǔn)規(guī)定的和公眾可以接受的水平 ? （ 3）中心的認(rèn)證程序是一個(gè)動(dòng)態(tài)的過(guò)程，中心將根據(jù)信息安全產(chǎn)品的技術(shù)發(fā)展和最終用戶的使用要求，動(dòng)態(tài)增加認(rèn)證測(cè)試的難度 ? （ 4）中心的認(rèn)證準(zhǔn)則和認(rèn)證程序最終須經(jīng)專家委員會(huì)和管理委員會(huì)審查批準(zhǔn)。 ? 中國(guó)已接受了 OSI安全體系結(jié)構(gòu)即 IS074982標(biāo)準(zhǔn)，在中國(guó)命名為 GB/T93872標(biāo)準(zhǔn)，并完善了國(guó)家信息安全測(cè)評(píng)認(rèn)證體系，即 CC評(píng)估認(rèn)證體系。 網(wǎng)絡(luò)信息 安全與法律 網(wǎng)絡(luò)信息安全立法的現(xiàn)狀與思考 ? 我國(guó)對(duì)信息網(wǎng)絡(luò)的立法工作一直十分重視； ? 在國(guó)外，保障網(wǎng)絡(luò)安全的立法工作已經(jīng)逐漸普及； ? 目前，世界各國(guó)政府正在尋求提高信息安全的法律手段； ? 網(wǎng)絡(luò)立法應(yīng)注意的兩方面問(wèn)題： ? 網(wǎng)絡(luò)立法要強(qiáng)制與激勵(lì)并行 ? 網(wǎng)絡(luò)立法還要考慮到規(guī)范實(shí)現(xiàn)的可能性 ? 網(wǎng)絡(luò)立法本身需要根據(jù)現(xiàn)實(shí)發(fā)展不斷作出調(diào)整。 我國(guó)網(wǎng)絡(luò)信息安全的相關(guān)政策法規(guī) ? 《 中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定 》 ? 《 中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法 》 ? 《 中國(guó)互聯(lián)網(wǎng)絡(luò)域名注冊(cè)暫行管理辦法 》 ? 《 中國(guó)互聯(lián)網(wǎng)絡(luò)域名注冊(cè)實(shí)施細(xì)則 》 ? 《 中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 》 ? 《 關(guān)于加強(qiáng)計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)備案管理的通告 》 ? 《 中華人民共和國(guó)電信條例 》 中華人民共和國(guó)國(guó)務(wù)院令 (第 291號(hào) ) ? 《 互聯(lián)網(wǎng)信息服務(wù)管理辦法 》 中華人民共和國(guó)國(guó)務(wù)院令 (第 292號(hào) ) ? 《 從事放開(kāi)經(jīng)營(yíng)電信業(yè)務(wù)審批管理暫行辦法 》 ? 《 電子出版物管理規(guī)定 》 ? 《 關(guān)于對(duì)與國(guó)際聯(lián)網(wǎng)的計(jì)算機(jī)信息系統(tǒng)進(jìn)行備案工作的通知 》 ? 《 計(jì)算機(jī)軟件保護(hù)條例 》 ? 《 計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)出入口信道管理辦法 》 演講完畢，謝謝觀看！