第1章 信息安全概述

1、信息安全技術(shù)_第1章 信息安全概述第第1章章 信息安全概述信息安全概述 信息安全基本概念（定義、目標(biāo)、模型、策信息安全基本概念（定義、目標(biāo)、模型、策略）；略）； 信息安全漏洞與威脅；信息安全漏洞與威脅； 信息安全評(píng)價(jià)標(biāo)準(zhǔn)；信息安全評(píng)價(jià)標(biāo)準(zhǔn)； 國(guó)家信息安全保護(hù)制度；國(guó)家信息安全保護(hù)制度； 信息安全等級(jí)保護(hù)法規(guī)和標(biāo)準(zhǔn)；信息安全等級(jí)保護(hù)法規(guī)和標(biāo)準(zhǔn)； 信息安全技術(shù)_第1章 信息安全概述1.1 信息安全基本概念信息安全基本概念 信息安全定義信息安全定義信息安全是為防范計(jì)算機(jī)網(wǎng)絡(luò)硬件、軟件、數(shù)據(jù)偶然或信息安全是為防范計(jì)算機(jī)網(wǎng)絡(luò)硬件、軟件、數(shù)據(jù)偶然或蓄意破環(huán)、篡改、竊聽(tīng)、假冒、泄露、非法訪問(wèn)和保護(hù)蓄意破環(huán)、

2、篡改、竊聽(tīng)、假冒、泄露、非法訪問(wèn)和保護(hù)網(wǎng)絡(luò)系統(tǒng)持續(xù)有效工作的措施總和；網(wǎng)絡(luò)系統(tǒng)持續(xù)有效工作的措施總和； 信息安全保護(hù)范圍信息安全保護(hù)范圍信息安全、網(wǎng)絡(luò)安全、計(jì)算機(jī)系統(tǒng)安全和密碼安全涉及信息安全、網(wǎng)絡(luò)安全、計(jì)算機(jī)系統(tǒng)安全和密碼安全涉及的保護(hù)范圍不同；的保護(hù)范圍不同； 信息安全技術(shù)_第1章 信息安全概述信息安全保護(hù)范圍信息安全保護(hù)范圍密碼安全密碼安全系統(tǒng)安全系統(tǒng)安全網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全信息安全信息安全信息安全技術(shù)_第1章 信息安全概述信息安全側(cè)重點(diǎn)信息安全側(cè)重點(diǎn) 研究研究關(guān)注從理論上采用數(shù)學(xué)方法精確描述安全屬性；關(guān)注從理論上采用數(shù)學(xué)方法精確描述安全屬性； 工程技術(shù)工程技術(shù)成熟的信息安全解決方案和新型信

3、息安全產(chǎn)品；成熟的信息安全解決方案和新型信息安全產(chǎn)品； 評(píng)估與測(cè)評(píng)評(píng)估與測(cè)評(píng)信息安全測(cè)評(píng)標(biāo)準(zhǔn)、安全等級(jí)劃分、產(chǎn)品測(cè)評(píng)方法與工具及網(wǎng)信息安全測(cè)評(píng)標(biāo)準(zhǔn)、安全等級(jí)劃分、產(chǎn)品測(cè)評(píng)方法與工具及網(wǎng)絡(luò)滲透技術(shù)；絡(luò)滲透技術(shù)； 網(wǎng)絡(luò)或信息安全管理網(wǎng)絡(luò)或信息安全管理安全管理策略、身份認(rèn)證、訪問(wèn)控制、入侵檢測(cè)、安全審計(jì)、安全管理策略、身份認(rèn)證、訪問(wèn)控制、入侵檢測(cè)、安全審計(jì)、應(yīng)急響應(yīng)、病毒防治等安全技術(shù)；應(yīng)急響應(yīng)、病毒防治等安全技術(shù)；信息安全技術(shù)_第1章 信息安全概述信息安全側(cè)重點(diǎn)信息安全側(cè)重點(diǎn) 公共安全公共安全熟悉熟悉國(guó)家和行業(yè)部門(mén)頒布的信息安全監(jiān)察法律法規(guī)、信國(guó)家和行業(yè)部門(mén)頒布的信息安全監(jiān)察法律法規(guī)、信息安全取證

4、、信息安全審計(jì)、知識(shí)產(chǎn)權(quán)保護(hù)、社會(huì)文化息安全取證、信息安全審計(jì)、知識(shí)產(chǎn)權(quán)保護(hù)、社會(huì)文化安全等技術(shù)安全等技術(shù) 軍事軍事關(guān)心信息對(duì)抗、信息加密、安全通信協(xié)議、無(wú)線網(wǎng)絡(luò)安關(guān)心信息對(duì)抗、信息加密、安全通信協(xié)議、無(wú)線網(wǎng)絡(luò)安全、入侵攻擊、網(wǎng)絡(luò)病毒傳播等信息安全綜合技術(shù)；全、入侵攻擊、網(wǎng)絡(luò)病毒傳播等信息安全綜合技術(shù)；信息安全技術(shù)_第1章 信息安全概述信息安全目標(biāo)信息安全目標(biāo) 最終目標(biāo)最終目標(biāo)通過(guò)各種技術(shù)與管理手段實(shí)現(xiàn)網(wǎng)絡(luò)信息系統(tǒng)的可靠性、通過(guò)各種技術(shù)與管理手段實(shí)現(xiàn)網(wǎng)絡(luò)信息系統(tǒng)的可靠性、保密性、完整性、有效性、可控性和拒絕否認(rèn)性；保密性、完整性、有效性、可控性和拒絕否認(rèn)性；可靠性指信息系統(tǒng)能夠在規(guī)定的條件與時(shí)

5、間內(nèi)完成規(guī)定可靠性指信息系統(tǒng)能夠在規(guī)定的條件與時(shí)間內(nèi)完成規(guī)定功能的特性；功能的特性；可控性指信息系統(tǒng)對(duì)信息內(nèi)容和傳輸具有控制能力的特可控性指信息系統(tǒng)對(duì)信息內(nèi)容和傳輸具有控制能力的特性；性；拒絕否認(rèn)性指通信雙方不能抵賴或否認(rèn)已完成的操作和拒絕否認(rèn)性指通信雙方不能抵賴或否認(rèn)已完成的操作和承諾；承諾；信息安全技術(shù)_第1章 信息安全概述保密性保密性 保密性保密性指信息系統(tǒng)防止信息非法泄露的特性，信息只限于授指信息系統(tǒng)防止信息非法泄露的特性，信息只限于授權(quán)用戶使用；權(quán)用戶使用；保密性主要通過(guò)信息加密、身份認(rèn)證、訪問(wèn)控制、安保密性主要通過(guò)信息加密、身份認(rèn)證、訪問(wèn)控制、安全通信協(xié)議等技術(shù)實(shí)現(xiàn)；全通信協(xié)議等技

6、術(shù)實(shí)現(xiàn)；信息加密是防止信息非法泄露的基本手段。信息加密是防止信息非法泄露的基本手段。信息安全技術(shù)_第1章 信息安全概述完整性和有效性完整性和有效性 完整性完整性指信息未經(jīng)授權(quán)不能改變的特性；指信息未經(jīng)授權(quán)不能改變的特性；完整性強(qiáng)調(diào)信息在存儲(chǔ)和傳輸過(guò)程中不能被偶然或蓄意完整性強(qiáng)調(diào)信息在存儲(chǔ)和傳輸過(guò)程中不能被偶然或蓄意修改、刪除、偽造、添加、破壞或丟失；修改、刪除、偽造、添加、破壞或丟失；信息在存儲(chǔ)和傳輸過(guò)程中必須保持原樣；信息在存儲(chǔ)和傳輸過(guò)程中必須保持原樣；只有完整的信息才是可信任的信息。只有完整的信息才是可信任的信息。 有效性有效性指信息資源容許授權(quán)用戶按需訪問(wèn)的特性；指信息資源容許授權(quán)用戶按

7、需訪問(wèn)的特性；信息安全技術(shù)_第1章 信息安全概述信息安全模型信息安全模型 安全解決方案安全解決方案涉及法律、法規(guī)、管理、技術(shù)和教育等多個(gè)因素的復(fù)涉及法律、法規(guī)、管理、技術(shù)和教育等多個(gè)因素的復(fù)雜系統(tǒng)工程；雜系統(tǒng)工程；安全只具有相對(duì)意義；安全只具有相對(duì)意義；絕對(duì)的安全只是一個(gè)理念；絕對(duì)的安全只是一個(gè)理念；任何安全模型都不可能將所有可能的安全隱患都考慮任何安全模型都不可能將所有可能的安全隱患都考慮周全；周全；理想的信息安全模型不存在。理想的信息安全模型不存在。信息安全技術(shù)_第1章 信息安全概述PPDR 信息安全模型信息安全模型安全策略安全策略保護(hù)保護(hù)檢測(cè)檢測(cè)響應(yīng)響應(yīng)信息安全技術(shù)_第1章 信息安全概述

8、信息安全策略信息安全策略 信息安全策略是保障機(jī)構(gòu)信息安全的指導(dǎo)文件；信息安全策略是保障機(jī)構(gòu)信息安全的指導(dǎo)文件； 信息安全策略包括信息安全策略包括總體安全策略和安全管理實(shí)施細(xì)則；總體安全策略和安全管理實(shí)施細(xì)則； 總體安全策略總體安全策略包括分析安全需求、分析安全威脅、定義包括分析安全需求、分析安全威脅、定義安全目標(biāo)、確定安全保護(hù)范圍、分配部門(mén)責(zé)任、配備人安全目標(biāo)、確定安全保護(hù)范圍、分配部門(mén)責(zé)任、配備人力物力、確認(rèn)違反策略的行為和相應(yīng)的制裁措施；力物力、確認(rèn)違反策略的行為和相應(yīng)的制裁措施； 安全管理細(xì)則規(guī)定了具體的實(shí)施方法和內(nèi)容；安全管理細(xì)則規(guī)定了具體的實(shí)施方法和內(nèi)容；信息安全技術(shù)_第1章 信息安

9、全概述信息安全策略總則信息安全策略總則 均衡性原則均衡性原則在安全需求、易用性、效能和安全成本之間保持相對(duì)平衡；在安全需求、易用性、效能和安全成本之間保持相對(duì)平衡； 時(shí)效性原則時(shí)效性原則影響信息安全的因素隨時(shí)間變化，信息安全問(wèn)題具有顯著的時(shí)影響信息安全的因素隨時(shí)間變化，信息安全問(wèn)題具有顯著的時(shí)效性；效性； 最小化原則最小化原則系統(tǒng)提供的服務(wù)越多，安全漏洞和威脅也就越多；系統(tǒng)提供的服務(wù)越多，安全漏洞和威脅也就越多；關(guān)閉安全策略中沒(méi)有規(guī)定的網(wǎng)絡(luò)服務(wù)；關(guān)閉安全策略中沒(méi)有規(guī)定的網(wǎng)絡(luò)服務(wù)；以最小限度原則配置滿足安全策略定義的用戶權(quán)限；以最小限度原則配置滿足安全策略定義的用戶權(quán)限；信息安全技術(shù)_第1章 信

10、息安全概述安全策略內(nèi)容安全策略內(nèi)容 硬件物理安全硬件物理安全 網(wǎng)絡(luò)連接安全網(wǎng)絡(luò)連接安全 操作系統(tǒng)安全操作系統(tǒng)安全 網(wǎng)絡(luò)服務(wù)安全網(wǎng)絡(luò)服務(wù)安全 數(shù)據(jù)安全數(shù)據(jù)安全 安全管理責(zé)任安全管理責(zé)任 網(wǎng)絡(luò)用戶安全責(zé)任網(wǎng)絡(luò)用戶安全責(zé)任信息安全技術(shù)_第1章 信息安全概述1.2 信息安全漏洞與威脅信息安全漏洞與威脅 軟件漏洞軟件漏洞指在設(shè)計(jì)與編制軟件時(shí)沒(méi)有考慮對(duì)非正常輸入進(jìn)行處理指在設(shè)計(jì)與編制軟件時(shí)沒(méi)有考慮對(duì)非正常輸入進(jìn)行處理或錯(cuò)誤代碼而造成的安全隱患或錯(cuò)誤代碼而造成的安全隱患; ;軟件漏洞是任何軟件存在的客觀事實(shí)軟件漏洞是任何軟件存在的客觀事實(shí); ;軟件產(chǎn)品通常在正式發(fā)布之前，一般都要相繼發(fā)布軟件產(chǎn)品通常在正式發(fā)

11、布之前，一般都要相繼發(fā)布版版本、本、版本和版本和版本供反復(fù)測(cè)試使用，目的就是為了盡版本供反復(fù)測(cè)試使用，目的就是為了盡可能減少軟件漏洞可能減少軟件漏洞信息安全技術(shù)_第1章 信息安全概述 軟件漏洞與軟件漏洞與攻擊事件趨勢(shì)攻擊事件趨勢(shì)攻擊事件趨勢(shì)攻擊事件趨勢(shì)軟件漏洞趨勢(shì)軟件漏洞趨勢(shì) 02000400060008000100009597992001 2003 2005 2007 02000040000600008000010000012000014000088929620002003信息安全技術(shù)_第1章 信息安全概述網(wǎng)絡(luò)協(xié)議漏洞網(wǎng)絡(luò)協(xié)議漏洞 指網(wǎng)絡(luò)通信協(xié)議不完善而導(dǎo)致的指網(wǎng)絡(luò)通信協(xié)議不完善而導(dǎo)致的安全

12、隱患；安全隱患； InternetInternet使用的使用的TCP/IPTCP/IP協(xié)議族所有協(xié)議都發(fā)現(xiàn)存在安全協(xié)議族所有協(xié)議都發(fā)現(xiàn)存在安全隱患；隱患； 截止到截止到20122012年年6 6月，專(zhuān)門(mén)從事安全漏洞名稱標(biāo)準(zhǔn)化的公月，專(zhuān)門(mén)從事安全漏洞名稱標(biāo)準(zhǔn)化的公共漏洞披露機(jī)構(gòu)共漏洞披露機(jī)構(gòu)CVE（common vulnerability and exposures）已發(fā)布了已發(fā)布了5362353623個(gè)不同的安全漏洞；個(gè)不同的安全漏洞； 新的安全漏洞仍在不斷披露新的安全漏洞仍在不斷披露 信息安全技術(shù)_第1章 信息安全概述安全管理漏洞安全管理漏洞 安全技術(shù)只是保證信息安全的基礎(chǔ)；安全技術(shù)只是保證

13、信息安全的基礎(chǔ)； 信息安全管理才是發(fā)揮信息安全技術(shù)的根本保證；信息安全管理才是發(fā)揮信息安全技術(shù)的根本保證； 信息安全問(wèn)題不是一個(gè)純技術(shù)問(wèn)題；信息安全問(wèn)題不是一個(gè)純技術(shù)問(wèn)題； 從安全管理角度看，從安全管理角度看，信息安全首先是管理問(wèn)題；信息安全首先是管理問(wèn)題； 如常見(jiàn)的系統(tǒng)缺省配置、脆弱性口令和信任關(guān)系轉(zhuǎn)移等；如常見(jiàn)的系統(tǒng)缺省配置、脆弱性口令和信任關(guān)系轉(zhuǎn)移等； 信息安全是相對(duì)的，是建立在信任基礎(chǔ)之上的，絕對(duì)的信息安全是相對(duì)的，是建立在信任基礎(chǔ)之上的，絕對(duì)的信息安全不存在。信息安全不存在。信息安全技術(shù)_第1章 信息安全概述信息安全威脅來(lái)源信息安全威脅來(lái)源 指事件對(duì)信息資源的可靠性、保密性、完整性、

14、有效性、指事件對(duì)信息資源的可靠性、保密性、完整性、有效性、可控性和拒絕否認(rèn)性可能產(chǎn)生的危害；可控性和拒絕否認(rèn)性可能產(chǎn)生的危害； 自然因素：硬件故障、軟件故障、電源故障、電磁干擾、自然因素：硬件故障、軟件故障、電源故障、電磁干擾、電磁輻射和自然災(zāi)害電磁輻射和自然災(zāi)害 人為因素人為因素意外損壞：刪除文件、格式化硬盤(pán)、帶電拔插、系統(tǒng)斷意外損壞：刪除文件、格式化硬盤(pán)、帶電拔插、系統(tǒng)斷電等各種操作失誤；電等各種操作失誤；蓄意攻擊：網(wǎng)絡(luò)攻擊、計(jì)算機(jī)病毒、特洛伊木馬、網(wǎng)絡(luò)蓄意攻擊：網(wǎng)絡(luò)攻擊、計(jì)算機(jī)病毒、特洛伊木馬、網(wǎng)絡(luò)竊聽(tīng)、郵件截獲、濫用特權(quán)等竊聽(tīng)、郵件截獲、濫用特權(quán)等 信息安全技術(shù)_第1章 信息安全概述信

15、息安全威脅來(lái)源信息安全威脅來(lái)源信息安全信息安全威脅威脅自然因素自然因素人為因素人為因素硬件故障；軟件故障；電源故障；電磁干擾硬件故障；軟件故障；電源故障；電磁干擾電磁輻射電磁輻射意外損壞意外損壞蓄意攻擊蓄意攻擊刪除文件；格式化硬盤(pán)刪除文件；格式化硬盤(pán)自然災(zāi)害自然災(zāi)害網(wǎng)絡(luò)攻擊；計(jì)算機(jī)病毒；濫用特權(quán)網(wǎng)絡(luò)攻擊；計(jì)算機(jī)病毒；濫用特權(quán)特洛伊木馬；網(wǎng)絡(luò)竊聽(tīng)；郵件截獲特洛伊木馬；網(wǎng)絡(luò)竊聽(tīng)；郵件截獲帶電拔插；系統(tǒng)斷電帶電拔插；系統(tǒng)斷電破壞保密性破壞保密性破壞完整性和有效性破壞完整性和有效性破壞保密性、完整性和有效性破壞保密性、完整性和有效性安全威脅分類(lèi)及破壞目標(biāo)安全威脅分類(lèi)及破壞目標(biāo)信息安全技術(shù)_第1章 信息

16、安全概述信息安全威脅來(lái)源信息安全威脅來(lái)源 主動(dòng)攻擊主動(dòng)攻擊主要來(lái)自網(wǎng)絡(luò)主要來(lái)自網(wǎng)絡(luò)黑客（黑客（hackerhacker）、敵對(duì)勢(shì)力、網(wǎng)、敵對(duì)勢(shì)力、網(wǎng)絡(luò)金融犯罪分子和商業(yè)競(jìng)爭(zhēng)對(duì)手；絡(luò)金融犯罪分子和商業(yè)競(jìng)爭(zhēng)對(duì)手； 黑客指獨(dú)立思考、智力超群、精力充沛、熱衷于探索軟黑客指獨(dú)立思考、智力超群、精力充沛、熱衷于探索軟件奧秘和顯示個(gè)人才干的計(jì)算機(jī)迷；件奧秘和顯示個(gè)人才干的計(jì)算機(jī)迷； 白帽黑客協(xié)助廠商解決安全問(wèn)題；白帽黑客協(xié)助廠商解決安全問(wèn)題； 灰帽黑客發(fā)現(xiàn)安全漏洞后，在群體內(nèi)發(fā)布的同時(shí)也通知灰帽黑客發(fā)現(xiàn)安全漏洞后，在群體內(nèi)發(fā)布的同時(shí)也通知廠商；廠商； 黑帽黑客無(wú)視國(guó)家法律和法規(guī)，針對(duì)安全漏洞研究漏洞黑帽黑客

17、無(wú)視國(guó)家法律和法規(guī)，針對(duì)安全漏洞研究漏洞利用攻擊機(jī)制，并遵守漏洞利用共享規(guī)范利用攻擊機(jī)制，并遵守漏洞利用共享規(guī)范 信息安全技術(shù)_第1章 信息安全概述1.3 信息安全評(píng)價(jià)標(biāo)準(zhǔn)信息安全評(píng)價(jià)標(biāo)準(zhǔn) 中國(guó)國(guó)家質(zhì)量技術(shù)監(jiān)督局頒布的中國(guó)國(guó)家質(zhì)量技術(shù)監(jiān)督局頒布的計(jì)算機(jī)信息系統(tǒng)安全計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則保護(hù)等級(jí)劃分準(zhǔn)則 美國(guó)國(guó)防部頒布的美國(guó)國(guó)防部頒布的可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)標(biāo)準(zhǔn)可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)標(biāo)準(zhǔn)； 歐洲德國(guó)、法國(guó)、英國(guó)、荷蘭四國(guó)聯(lián)合頒布的歐洲德國(guó)、法國(guó)、英國(guó)、荷蘭四國(guó)聯(lián)合頒布的信息技信息技術(shù)安全評(píng)價(jià)標(biāo)準(zhǔn)術(shù)安全評(píng)價(jià)標(biāo)準(zhǔn)； 加拿大頒布的加拿大頒布的可信計(jì)算機(jī)產(chǎn)品評(píng)價(jià)標(biāo)準(zhǔn)可信計(jì)算機(jī)產(chǎn)品評(píng)價(jià)標(biāo)準(zhǔn)； 美國(guó)、加

18、拿大、德國(guó)、法國(guó)、英國(guó)、荷蘭六國(guó)聯(lián)合頒布美國(guó)、加拿大、德國(guó)、法國(guó)、英國(guó)、荷蘭六國(guó)聯(lián)合頒布的的信息技術(shù)安全評(píng)價(jià)通用標(biāo)準(zhǔn)信息技術(shù)安全評(píng)價(jià)通用標(biāo)準(zhǔn)；信息安全技術(shù)_第1章 信息安全概述美國(guó)可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)標(biāo)準(zhǔn)美國(guó)可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)標(biāo)準(zhǔn) TCSECTCSEC根據(jù)計(jì)算機(jī)系統(tǒng)采用的安全策略、提供的安全功根據(jù)計(jì)算機(jī)系統(tǒng)采用的安全策略、提供的安全功能和安全功能保障的可信度將安全級(jí)別劃分為能和安全功能保障的可信度將安全級(jí)別劃分為D D、C C、B B、A A四大類(lèi)七個(gè)等級(jí)；四大類(lèi)七個(gè)等級(jí)； 其中其中D D類(lèi)安全級(jí)別最低，類(lèi)安全級(jí)別最低，A A類(lèi)安全級(jí)別最高；類(lèi)安全級(jí)別最高； 無(wú)安全保護(hù)無(wú)安全保護(hù)D D類(lèi)類(lèi) 自主

19、安全保護(hù)自主安全保護(hù)C C類(lèi)類(lèi) 強(qiáng)制安全保護(hù)強(qiáng)制安全保護(hù)B B類(lèi)類(lèi) 驗(yàn)證安全保護(hù)驗(yàn)證安全保護(hù)A A信息安全技術(shù)_第1章 信息安全概述美國(guó)可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)標(biāo)準(zhǔn)美國(guó)可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)標(biāo)準(zhǔn)TCSEC標(biāo)準(zhǔn)各安全等級(jí)關(guān)系安全功能安全功能無(wú)保護(hù)無(wú)保護(hù)D級(jí)級(jí)自主保護(hù)自主保護(hù)C1級(jí)級(jí)安全功能保障安全功能保障控制保護(hù)控制保護(hù)C2級(jí)級(jí)標(biāo)記保護(hù)標(biāo)記保護(hù)B1級(jí)級(jí)結(jié)構(gòu)保護(hù)結(jié)構(gòu)保護(hù)B2級(jí)級(jí)區(qū)域保護(hù)區(qū)域保護(hù)B3級(jí)級(jí)驗(yàn)證保護(hù)驗(yàn)證保護(hù)A級(jí)級(jí)信息安全技術(shù)_第1章 信息安全概述國(guó)際通用信息安全評(píng)價(jià)標(biāo)準(zhǔn)國(guó)際通用信息安全評(píng)價(jià)標(biāo)準(zhǔn) 評(píng)價(jià)的信息系統(tǒng)或技術(shù)產(chǎn)品及其相關(guān)文檔在評(píng)價(jià)的信息系統(tǒng)或技術(shù)產(chǎn)品及其相關(guān)文檔在CC中稱中稱為評(píng)價(jià)目標(biāo)為評(píng)價(jià)

20、目標(biāo)TOE（target of evaluation）；）； CC標(biāo)準(zhǔn)采用類(lèi)（標(biāo)準(zhǔn)采用類(lèi)（class）、族（）、族（family）、組件）、組件（component）層次結(jié)構(gòu)化方式定義）層次結(jié)構(gòu)化方式定義TOE的安全功能；的安全功能； CC標(biāo)準(zhǔn)定義安全保證（標(biāo)準(zhǔn)定義安全保證（security assurance）同樣采）同樣采用了類(lèi)、族和組件層次結(jié)構(gòu)用了類(lèi)、族和組件層次結(jié)構(gòu)信息安全技術(shù)_第1章 信息安全概述CC標(biāo)準(zhǔn)定義的安全功能類(lèi)序號(hào)序號(hào) 類(lèi)名類(lèi)名 類(lèi)功能類(lèi)功能1FAU 安全審計(jì)（安全審計(jì)（security audit） 2FCO 通信（通信（communication） 3FCS 密碼支持（

21、密碼支持（cryptographic support） 4FDP 用戶數(shù)據(jù)保護(hù)（用戶數(shù)據(jù)保護(hù)（user data protection） 5FIA 身份認(rèn)證（身份認(rèn)證（identification and authentication） 6FMT 安全管理（安全管理（security management） 7FPR 隱私（隱私（privacy） 8FPT TOE安全功能保護(hù)（安全功能保護(hù)（protection of TOE security function9FRU 資源利用（資源利用（resource utilization） 10FTA TOE訪問(wèn)（訪問(wèn)（TOE access）11FTP

22、 可信通路（可信通路（trusted path） 信息安全技術(shù)_第1章 信息安全概述CC標(biāo)準(zhǔn)定義的安全保證類(lèi)標(biāo)準(zhǔn)定義的安全保證類(lèi)序號(hào)序號(hào) 類(lèi)名類(lèi)名 類(lèi)功能類(lèi)功能1ACM 配置管理（配置管理（configuration management） 2ADO提交與操作（提交與操作（delivery and operation） 3ADV開(kāi)發(fā)（開(kāi)發(fā)（development） 4AGD指導(dǎo)文擋（指導(dǎo)文擋（guidance documents） 5ALC生命周期支持（生命周期支持（life cycle support） 6ATE測(cè)試（測(cè)試（tests） 7AVA脆弱性評(píng)估（脆弱性評(píng)估（vulnerabili

23、ty assessment） 8AMA保證維護(hù)（保證維護(hù)（maintenance of assurance） 9APE資源利用（資源利用（protection profile evaluation） 10ASE安全對(duì)象評(píng)價(jià)（安全對(duì)象評(píng)價(jià)（security target evaluation） 信息安全技術(shù)_第1章 信息安全概述國(guó)家信息安全評(píng)價(jià)標(biāo)準(zhǔn)國(guó)家信息安全評(píng)價(jià)標(biāo)準(zhǔn)CC標(biāo)準(zhǔn)標(biāo)準(zhǔn) 國(guó)家國(guó)家GB17859-1999 國(guó)家國(guó)家GB/T 18336-2001 美國(guó)美國(guó)TCSEC DEAL1 EAL1 EAL2用戶自主保護(hù)用戶自主保護(hù) EAL2C1EAL3系統(tǒng)審計(jì)保護(hù)系統(tǒng)審計(jì)保護(hù) EAL3C2EAL4安

24、全標(biāo)記保護(hù)安全標(biāo)記保護(hù) EAL4B1EAL5結(jié)構(gòu)化保護(hù)結(jié)構(gòu)化保護(hù) EAL5B2EAL6訪問(wèn)驗(yàn)證保護(hù)訪問(wèn)驗(yàn)證保護(hù) EAL6B3EAL7EAL7ACCCC及國(guó)家標(biāo)準(zhǔn)與及國(guó)家標(biāo)準(zhǔn)與TCSECTCSEC標(biāo)準(zhǔn)的對(duì)應(yīng)關(guān)系標(biāo)準(zhǔn)的對(duì)應(yīng)關(guān)系 信息安全技術(shù)_第1章 信息安全概述1.4 國(guó)家信息安全保護(hù)制度國(guó)家信息安全保護(hù)制度 信息安全技術(shù)標(biāo)準(zhǔn)的實(shí)施必須通過(guò)信息安全法規(guī)來(lái)保障信息安全技術(shù)標(biāo)準(zhǔn)的實(shí)施必須通過(guò)信息安全法規(guī)來(lái)保障; ; 19941994年年2 2月月1818日，中華人民共和國(guó)國(guó)務(wù)院發(fā)布了第日，中華人民共和國(guó)國(guó)務(wù)院發(fā)布了第147147號(hào)號(hào)令令中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例中華人民共和國(guó)計(jì)算機(jī)信息系

25、統(tǒng)安全保護(hù)條例; ; 信息系統(tǒng)建設(shè)和應(yīng)用制度信息系統(tǒng)建設(shè)和應(yīng)用制度應(yīng)當(dāng)遵守法律、行政法規(guī)和國(guó)家其他有關(guān)規(guī)定應(yīng)當(dāng)遵守法律、行政法規(guī)和國(guó)家其他有關(guān)規(guī)定; ;無(wú)論是擴(kuò)建、改建或新建信息系統(tǒng)，還是設(shè)計(jì)、施工和無(wú)論是擴(kuò)建、改建或新建信息系統(tǒng)，還是設(shè)計(jì)、施工和驗(yàn)收，都應(yīng)當(dāng)符合國(guó)家、行業(yè)部門(mén)或地方政府制定的相驗(yàn)收，都應(yīng)當(dāng)符合國(guó)家、行業(yè)部門(mén)或地方政府制定的相關(guān)法律、法規(guī)和技術(shù)標(biāo)準(zhǔn)關(guān)法律、法規(guī)和技術(shù)標(biāo)準(zhǔn)信息安全技術(shù)_第1章 信息安全概述信息安全等級(jí)保護(hù)制度信息安全等級(jí)保護(hù)制度 計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù); ; 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南; ; 信息

26、系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息系統(tǒng)安全等級(jí)保護(hù)基本要求; ; 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求; ; 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南; ; 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求信息安全技術(shù)_第1章 信息安全概述國(guó)際聯(lián)網(wǎng)備案與媒體進(jìn)出境制度國(guó)際聯(lián)網(wǎng)備案與媒體進(jìn)出境制度 進(jìn)行國(guó)際聯(lián)網(wǎng)的計(jì)算機(jī)信息系統(tǒng)，由計(jì)算機(jī)信息系統(tǒng)的使進(jìn)行國(guó)際聯(lián)網(wǎng)的計(jì)算機(jī)信息系統(tǒng)，由計(jì)算機(jī)信息系統(tǒng)的使用單位報(bào)省級(jí)以上人民政府公安機(jī)關(guān)備案用單位報(bào)省級(jí)以上人民政府公安機(jī)關(guān)備案; ; 運(yùn)輸、攜帶

27、、郵寄計(jì)算機(jī)信息媒體進(jìn)出境的，應(yīng)當(dāng)如實(shí)向運(yùn)輸、攜帶、郵寄計(jì)算機(jī)信息媒體進(jìn)出境的，應(yīng)當(dāng)如實(shí)向海關(guān)申報(bào)海關(guān)申報(bào); ; 中國(guó)互聯(lián)網(wǎng)絡(luò)協(xié)會(huì)和各地公安機(jī)關(guān)相繼建立了不良信息公中國(guó)互聯(lián)網(wǎng)絡(luò)協(xié)會(huì)和各地公安機(jī)關(guān)相繼建立了不良信息公眾舉報(bào)網(wǎng)站，例如，公安部網(wǎng)絡(luò)違法案件舉報(bào)網(wǎng)站眾舉報(bào)網(wǎng)站，例如，公安部網(wǎng)絡(luò)違法案件舉報(bào)網(wǎng)站（http:/），中國(guó)互聯(lián)網(wǎng)絡(luò)協(xié)會(huì)主辦的），中國(guó)互聯(lián)網(wǎng)絡(luò)協(xié)會(huì)主辦的違法和不良信息舉報(bào)中心（違法和不良信息舉報(bào)中心（http:/）。信息安全技術(shù)_第1章 信息安全概述安全管理與計(jì)算機(jī)犯罪報(bào)告制度安全管理與計(jì)算機(jī)犯罪報(bào)告制度 計(jì)算機(jī)信息系統(tǒng)的使用單位應(yīng)當(dāng)建立健全安全管理制計(jì)算機(jī)信息系統(tǒng)的使用單位應(yīng)當(dāng)建

28、立健全安全管理制度，負(fù)責(zé)本單位計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)工作度，負(fù)責(zé)本單位計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)工作; ; 中華人民共和國(guó)刑法中華人民共和國(guó)刑法 非法侵入計(jì)算機(jī)信息系統(tǒng)罪非法侵入計(jì)算機(jī)信息系統(tǒng)罪; ; 破壞計(jì)算機(jī)信息系統(tǒng)罪破壞計(jì)算機(jī)信息系統(tǒng)罪; ; 打擊計(jì)算機(jī)犯罪的關(guān)鍵是獲取真實(shí)、可靠、完整和符打擊計(jì)算機(jī)犯罪的關(guān)鍵是獲取真實(shí)、可靠、完整和符合法律規(guī)定的電子證據(jù)合法律規(guī)定的電子證據(jù); ; 計(jì)算機(jī)取證目前已成為網(wǎng)絡(luò)安全領(lǐng)域中的研究熱點(diǎn)。計(jì)算機(jī)取證目前已成為網(wǎng)絡(luò)安全領(lǐng)域中的研究熱點(diǎn)。信息安全技術(shù)_第1章 信息安全概述計(jì)算機(jī)病毒與有害數(shù)據(jù)防治制度計(jì)算機(jī)病毒與有害數(shù)據(jù)防治制度 計(jì)算機(jī)病毒是指編制或者在計(jì)

29、算機(jī)程序中插入的破壞計(jì)計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼；制的一組計(jì)算機(jī)指令或者程序代碼； 20112011年全國(guó)信息網(wǎng)絡(luò)安全狀況與計(jì)算機(jī)及移動(dòng)終端病年全國(guó)信息網(wǎng)絡(luò)安全狀況與計(jì)算機(jī)及移動(dòng)終端病毒疫情調(diào)查分析報(bào)告毒疫情調(diào)查分析報(bào)告； 計(jì)算機(jī)病毒感染率為計(jì)算機(jī)病毒感染率為48.87%48.87%； 計(jì)算機(jī)病毒主要通過(guò)電子郵件、網(wǎng)絡(luò)下載或?yàn)g覽、局域計(jì)算機(jī)病毒主要通過(guò)電子郵件、網(wǎng)絡(luò)下載或?yàn)g覽、局域網(wǎng)及移動(dòng)存儲(chǔ)介質(zhì)等途徑傳播；網(wǎng)及移動(dòng)存儲(chǔ)介質(zhì)等途徑傳播； 有有67.

30、43%67.43%的移動(dòng)終端感染過(guò)病毒。的移動(dòng)終端感染過(guò)病毒。 信息安全技術(shù)_第1章 信息安全概述安全專(zhuān)用產(chǎn)品銷(xiāo)售許可證制度安全專(zhuān)用產(chǎn)品銷(xiāo)售許可證制度 國(guó)家對(duì)計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品的銷(xiāo)售實(shí)行許可證國(guó)家對(duì)計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品的銷(xiāo)售實(shí)行許可證制度；制度； 計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品檢測(cè)和銷(xiāo)售許可證管理計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品檢測(cè)和銷(xiāo)售許可證管理辦法辦法 安全專(zhuān)用產(chǎn)品的生產(chǎn)者在其產(chǎn)品進(jìn)入市場(chǎng)銷(xiāo)售之前，必安全專(zhuān)用產(chǎn)品的生產(chǎn)者在其產(chǎn)品進(jìn)入市場(chǎng)銷(xiāo)售之前，必須申領(lǐng)須申領(lǐng)計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品銷(xiāo)售許可證計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品銷(xiāo)售許可證 我國(guó)的測(cè)評(píng)認(rèn)證體系由國(guó)家信息安全測(cè)評(píng)認(rèn)證管理委員我國(guó)的

31、測(cè)評(píng)認(rèn)證體系由國(guó)家信息安全測(cè)評(píng)認(rèn)證管理委員會(huì)、國(guó)家信息安全測(cè)評(píng)認(rèn)證中心會(huì)、國(guó)家信息安全測(cè)評(píng)認(rèn)證中心（http:/）和授權(quán)分支機(jī)構(gòu)組成；）和授權(quán)分支機(jī)構(gòu)組成；信息安全技術(shù)_第1章 信息安全概述1.5 信息安全等級(jí)保護(hù)法規(guī)和標(biāo)準(zhǔn)信息安全等級(jí)保護(hù)法規(guī)和標(biāo)準(zhǔn) 信息安全等級(jí)保護(hù)工作是我國(guó)為保障國(guó)家安全、社會(huì)秩序、公共利信息安全等級(jí)保護(hù)工作是我國(guó)為保障國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織合法權(quán)益強(qiáng)制實(shí)施的一項(xiàng)基本制度；益以及公民、法人和其他組織合法權(quán)益強(qiáng)制實(shí)施的一項(xiàng)基本制度； 信息系統(tǒng)安全等級(jí)保護(hù)法規(guī)信息系統(tǒng)安全等級(jí)保護(hù)法規(guī) 關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施

32、意見(jiàn)； 信息安全等級(jí)保護(hù)管理辦法信息安全等級(jí)保護(hù)管理辦法； 關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知； 信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則； 公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢查工作規(guī)范公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢查工作規(guī)范； 關(guān)于開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn)關(guān)于開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn) 信息安全技術(shù)_第1章 信息安全概述信息安全等級(jí)保護(hù)的實(shí)施信息安全等級(jí)保護(hù)的實(shí)施 信息安全等級(jí)保護(hù)意義；信息安全等級(jí)保護(hù)意義； 信息安全等級(jí)保護(hù)原則；信息安全等級(jí)保護(hù)原則；對(duì)信息安全分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行

33、建設(shè)、管理和監(jiān)督；對(duì)信息安全分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督； 信息安全等級(jí)保護(hù)內(nèi)容信息安全等級(jí)保護(hù)內(nèi)容第一級(jí)至第五級(jí)分別稱為自主保護(hù)、指導(dǎo)保護(hù)、監(jiān)督保第一級(jí)至第五級(jí)分別稱為自主保護(hù)、指導(dǎo)保護(hù)、監(jiān)督保護(hù)、強(qiáng)制保護(hù)和專(zhuān)控保護(hù)等級(jí)護(hù)、強(qiáng)制保護(hù)和專(zhuān)控保護(hù)等級(jí) 信息安全等級(jí)保護(hù)職責(zé)分工信息安全等級(jí)保護(hù)職責(zé)分工 信息安全技術(shù)_第1章 信息安全概述信息安全等級(jí)保護(hù)劃分信息安全等級(jí)保護(hù)劃分 第一級(jí)：信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法第一級(jí)：信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益；權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益； 第二級(jí)：第二級(jí)：，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全；或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全； 第三級(jí)：第三級(jí)： ，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者