【正文】 計可以記錄下系統(tǒng)管理員執(zhí)行的活動 ， 審計還加有身份驗(yàn)證 ， 這樣就可以知道誰在執(zhí)行這些命令 。 審計的缺點(diǎn)在于它需要額外的處理器時間和磁盤資源 。 網(wǎng)絡(luò)信息安全等級與標(biāo)準(zhǔn) 使用附加身份認(rèn)證就可以讓一個 C2系統(tǒng)用戶在不是根用戶的情況下有權(quán)執(zhí)行系統(tǒng)管理任務(wù) 。 不要把這些身份認(rèn)證和應(yīng)用于程序的用戶ID許可 (SUID)設(shè)置和同組用戶 ID許可 (SGID)設(shè)置相混淆 ， 身份認(rèn)證可以用來確定用戶是否能夠執(zhí)行特定的命令或訪問某些核心表 。 例如 ，當(dāng)用戶無權(quán)瀏覽進(jìn)程表時 ， 它若執(zhí)行命令就只能看到它們自己的進(jìn)程 。 授權(quán)分級指系統(tǒng)管理員能夠給用戶分組 ，授予他們訪問某些程序的權(quán)限或訪問分級目錄的權(quán)限 。 網(wǎng)絡(luò)信息安全等級與標(biāo)準(zhǔn) 另一方面 ， 用戶權(quán)限可以以個人為單位授權(quán)用戶對某一程序所在目錄進(jìn)行訪問 。 如果其他程序和數(shù)據(jù)也在同一目錄下 ， 那么用戶也將自動得到訪問這些信息的權(quán)限 。 能夠達(dá)到 C2級的常見的操作系統(tǒng)有UNIX系統(tǒng)、 XENIX、 Novell 版本、 Windows NT和 Windows 2023 。 網(wǎng)絡(luò)信息安全等級與標(biāo)準(zhǔn) 4) ?B1級 B級中有三個級別 ， B1級即標(biāo)號安全保護(hù)(Labeled Security Protection)， 是支持多級安全 (如秘密和絕密 )的第一個級別 ， 這個級別說明一個處于強(qiáng)制性訪問控制之下的對象 ， 系統(tǒng)不允許文件的擁有者改變其許可權(quán)限 。 即在這一級別上 ， 對象 (如盤區(qū)和文件服務(wù)器目錄 )必須在訪問控制之下 ， 不允許擁有者更改它們的權(quán)限 。 B1級安全措施的計算機(jī)系統(tǒng) ， 隨著操作系統(tǒng)而定 。 政府機(jī)構(gòu)和系統(tǒng)安全承包商是 B1級計算機(jī)系統(tǒng)的主要擁有者 。 網(wǎng)絡(luò)信息安全等級與標(biāo)準(zhǔn) 5) B2級 B2級又叫做結(jié)構(gòu)保護(hù) (Structured Protection)級別 ，它要求計算機(jī)系統(tǒng)中所有的對象都加標(biāo)簽 ， 而且給設(shè)備 (磁盤 ， 磁帶和終端 )分配單個或多個安全級別 。 它提出了較高安全級別的對象與另一個較低安全級別的對象通信的第一個級別 。 6) B3級 B3級又稱安全域 (Security Domain)級別 ， 它使用安裝硬件的方式來加強(qiáng)域 。 例如 ， 內(nèi)存管理硬件用于保護(hù)安全域免遭無授權(quán)訪問或其他安全域?qū)ο蟮男薷?。該級別也要求用戶通過一條可信任途徑連接到系統(tǒng)上 。 網(wǎng)絡(luò)信息安全等級與標(biāo)準(zhǔn) 7) ?A級 A級也稱為驗(yàn)證保護(hù)或驗(yàn)證設(shè)計 (Verity Design)級別 ， 是當(dāng)前的最高級別 ， 它包括一個嚴(yán)格的設(shè)計 、 控制和驗(yàn)證過程 。 與前面提到的各級別一樣 ， 這一級別包含了較低級別的所有特性 。 設(shè)計必須是從數(shù)學(xué)角度上經(jīng)過驗(yàn)證的 ， 而且必須進(jìn)行秘密通道和可信任分布的分析 。 可信任分布 (Trusted Distribution)的含義是硬件和軟件在物理傳輸過程中已經(jīng)受到保護(hù) ， 以防止破壞安全系統(tǒng) 。 可信計算機(jī)安全評價標(biāo)準(zhǔn)主要考慮的安全問題大體上還局限于信息的保密性 ， 隨著計算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展 ， 對于目前的網(wǎng)絡(luò)安全不能完全適用 。 網(wǎng)絡(luò)信息安 全管理體系 （ NISMS） 信息安全管理體系定義 ? 網(wǎng)絡(luò)與信息安全 = 信息安全技術(shù) + 信息安全管理體系 (ISMS) ? 《信息安全管理體系（ ISMS）標(biāo)準(zhǔn)》 ? 信息安全政策 ? 信息安全組織 ? 信息資產(chǎn)分類與管理 ? 個人信息安全，物理和環(huán)境安全 ? 通信和操作安全管理 ? 存取控制 ? 信息系統(tǒng)的開發(fā)和維護(hù) ? 持續(xù)運(yùn)營管理 ? 實(shí)施方法 ? 在組織實(shí)施網(wǎng)絡(luò)與信息安全系統(tǒng)時，應(yīng)該將技術(shù)層面和管理層面良好配合。 ? 在信息安全技術(shù)層面，應(yīng)通過采用包括建設(shè)安全的主機(jī)系統(tǒng)和安全的網(wǎng)絡(luò)系統(tǒng)，并配備適當(dāng)?shù)陌踩a(chǎn)品的方法來實(shí)現(xiàn) ? 而在管理層面，則可以通過構(gòu)架 ISMS來實(shí)現(xiàn)。 信息安全管理體系構(gòu)建 ? 定義信息安全策略 ? 定義 NISMS的范圍 ? 進(jìn)行信息安全風(fēng)險評估 ? 信息安全風(fēng)險管理 ? 確定管制目標(biāo)和選擇管制措施 ? 準(zhǔn)備信息安全適用性聲明 網(wǎng)絡(luò)信息安全 評測認(rèn)證體系 網(wǎng)絡(luò)信息安全度量標(biāo)準(zhǔn) ? 信息安全性的度量標(biāo)準(zhǔn) CC TCSEC FC CTEPEC ITSEC EALl － － － － EAL2 C1 － － El EAL3 C2 T— 1 T－ 1 E2 EAI4 B1 T－ 2 T－ 2 E3 － － T－ 3 T－ 3 － － － T－ 4 － － EAL5 B2 T－ 5 T－ 4 E4 EAL6 B3 T－ 6 T－ 5 E5 EAL7 A1 T－ 7 T－ 6 E6 － － － T－ 7 － ? 評估保證級別 ? （ 1）評估保證級別 1(EALl) :功能測試； ? （ 2）評估保證級別 2(EAL2) :結(jié)構(gòu)測試； ? （ 3）評估保證級別 3(EAL3) :功能測試與校驗(yàn) ? （ 4）評估保證級別 4(EAL4):系統(tǒng)地設(shè)計、測試和評審 ? （ 5）評估保證級別 5(EAL5):半形式化設(shè)計和測試 ? （ 6）評估保證級別 6(EAL6):半形式化驗(yàn)證的設(shè)計和測試 ? （ 7）評估保證級別 7(EAL7):形式化驗(yàn)證的設(shè)計和測試 各國測評認(rèn)證體系與發(fā)展現(xiàn)狀 ? 美國 ? 美國于 1997年由國家標(biāo)準(zhǔn)技術(shù)研究所和國家安全局共同組建了國家信息保證伙伴 (NIAP)，專門負(fù)責(zé)基于CC信息安全的測試和評估，并研究開發(fā)相關(guān)的測評認(rèn)證方法和技術(shù)。在國家安全局中對 NIAP的具體管理則由專門管理保密信息系統(tǒng)安全的辦公室負(fù)責(zé)。 ? 英國 ? 在英國的 IT安全評估認(rèn)證體系中，評估體系管委會主要負(fù)責(zé)制定國家信息安全評估認(rèn)證政策、監(jiān)督認(rèn)證機(jī)構(gòu)和仲裁訴訟及爭議。它由評估認(rèn)證體系的高級執(zhí)行官、認(rèn)證機(jī)構(gòu)主任、 CESG、 DTI和國防部 (MOD)的高級官員以及其他政府部門和工業(yè)界的代表所組成，其主席由 CESG的人員擔(dān)任。它直接向內(nèi)閣會議建議和匯報認(rèn)證機(jī)構(gòu)的財政和資源狀況。 我國網(wǎng)絡(luò)信息安全評測認(rèn)證體系 ? 中國國家信息安全測評認(rèn)證中心 ? 中華人民共和國國家信息安全認(rèn)證 :是國家對信息安全技術(shù)、產(chǎn)品或系統(tǒng)安全質(zhì)量的最高認(rèn)可。 ? 四種認(rèn)證業(yè)務(wù) ? （ 1）產(chǎn)品型號認(rèn)證：是認(rèn)證的基礎(chǔ)形式，僅包括質(zhì)量認(rèn)證中的“型式試驗(yàn)”和“監(jiān)督檢驗(yàn)”兩個要素 ? （ 2）產(chǎn)品認(rèn)證：是認(rèn)證的完整形式，包括了質(zhì)量認(rèn)證中從產(chǎn)品檢驗(yàn)到質(zhì)量保證能力評審的全部要素 ? （ 3）信息系統(tǒng)安全認(rèn)證：是對信息系統(tǒng)或網(wǎng)絡(luò)的運(yùn)行安全、信息安全和管理控制安全的綜合認(rèn)證 ? （ 4）信息安全服務(wù)認(rèn)證：是對向社會提供信息安全服務(wù)的企業(yè)、組織、機(jī)構(gòu)或團(tuán)體的技術(shù)實(shí)力、服務(wù)能力和資質(zhì)條件的系統(tǒng)認(rèn)證。 ? 中國國家信息安全測評認(rèn)證中心的認(rèn)證準(zhǔn)則 ? （ 1）達(dá)到中心認(rèn)證標(biāo)準(zhǔn)的產(chǎn)品或系統(tǒng)只是達(dá)到了國家規(guī)定的管理安全風(fēng)險的能力，并不表明該產(chǎn)品完全消除了安全風(fēng)險 ? （ 2）中心的認(rèn)證程序能夠確保產(chǎn)品安全的風(fēng)險降低到了國家標(biāo)準(zhǔn)規(guī)定的和公眾可以接受的水平 ? （ 3）中心的認(rèn)證程序是一個動態(tài)的過程，中心將根據(jù)信息安全產(chǎn)品的技術(shù)發(fā)展和最終用戶的使用要求，動態(tài)增加認(rèn)證測試的難度 ? （ 4）中心的認(rèn)證準(zhǔn)則和認(rèn)證程序最終須經(jīng)專家委員會和管理委員會審查批準(zhǔn)。 ? 中國已接受了 OSI安全體系結(jié)構(gòu)即 IS074982標(biāo)準(zhǔn)，在中國命名為 GB/T93872標(biāo)準(zhǔn)，并完善了國家信息安全測評認(rèn)證體系，即 CC評估認(rèn)證體系。 網(wǎng)絡(luò)信息 安全與法律 網(wǎng)絡(luò)信息安全立法的現(xiàn)狀與思考 ? 我國對信息網(wǎng)絡(luò)的立法工作一直十分重視； ? 在國外，保障網(wǎng)絡(luò)安全的立法工作已經(jīng)逐漸普及； ? 目前，世界各國政府正在尋求提高信息安全的法律手段； ? 網(wǎng)絡(luò)立法應(yīng)注意的兩方面問題： ? 網(wǎng)絡(luò)立法要強(qiáng)制與激勵并行 ? 網(wǎng)絡(luò)立法還要考慮到規(guī)范實(shí)現(xiàn)的可能性 ? 網(wǎng)絡(luò)立法本身需要根據(jù)現(xiàn)實(shí)發(fā)展不斷作出調(diào)整。 我國網(wǎng)絡(luò)信息安全的相關(guān)政策法規(guī) ? 《中華人民共和國計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》 ? 《中華人民共和國計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法》 ? 《中國互聯(lián)網(wǎng)絡(luò)域名注冊暫行管理辦法》 ? 《中國互聯(lián)網(wǎng)絡(luò)域名注冊實(shí)施細(xì)則》 ? 《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》 ? 《關(guān)于加強(qiáng)計算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)備案管理的通告》 ? 《中華人民共和國電信條例》中華人民共和國國務(wù)院令 (第 291號 ) ? 《互聯(lián)網(wǎng)信息服務(wù)管理辦法》中華人民共和國國務(wù)院令 (第 292號 ) ? 《從事放開經(jīng)營電信業(yè)務(wù)審批管理暫行辦法》 ? 《電子出版物管理規(guī)定》 ? 《關(guān)于對與國際聯(lián)網(wǎng)的計算機(jī)信息系統(tǒng)進(jìn)行備案工作的通知》 ? 《計算機(jī)軟件保護(hù)條例》 ? 《計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)出入口信道管理辦法》 ? 《計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)的安全保護(hù)管理辦法》 ? 《計算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》 ? 《計算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》 ? 《科學(xué)技術(shù)保密規(guī)定》 ? 《商用密碼管理?xiàng)l例》 ? 《中國公用計算機(jī)互聯(lián)網(wǎng)國際聯(lián)網(wǎng)管理辦法》 ? 《中國公眾多媒體通信管理辦法》 ? 《中華人民共和國保守國家秘密法》 ? 《中華人民共和國標(biāo)準(zhǔn)法》 ? 《中華人民共和國反不正當(dāng)競爭法》 ? 《中華人民共和國公安部 (批復(fù) )公復(fù)字 1996》 8號 ? 《中華人民共和國國家安全法》 ? 《中華人民共和國海關(guān)法》 ? 《中華人民共和國商標(biāo)法》 ? 《中華人民共和國人民警察法》 ? 《中華人民共和國刑法》 ? 《中華人民共和國治安管理處罰條例》 ? 《中華人民共和國專利法》 演講完畢，謝謝觀看！