第13章計算機信息系統(tǒng)安全保護制度

第13章 計算機信息系統(tǒng)安全保護制度

113.1安全等級保護制度13.2信息流管理制度13.3計算機信息系統(tǒng)安全技術和專用產品管理制度13.4計算機案件報告制度13.5軟件安全技術第13章計算機信息系統(tǒng)安全保護制度

2

13.1

安全等級保護制度

13.1.1信息的安全等級

13.1.2計算機信息系統(tǒng)的安全等級

13.1.3計算機安全等級

13.1.4物理環(huán)境安全等級

返回3

13.1.1信息的安全等級

信息安全是指保護信息和信息系統(tǒng)，以避免未授權的訪問、使用、泄漏、破壞、修改或者銷毀，以確保信息的完整性、保密性和可用性。 －－《聯(lián)邦信息安全管理法案》(FISMA)，2002年3月13.1安全等級保護制度返回4信息安全等級的具體劃分在不同的地方有不同的標準。主要從信息完整性、保密性和可用性三個方面綜合考慮為了保障計算機信息系統(tǒng)的安全，規(guī)范其應用，促進其發(fā)展，我國早在1994年就頒布了《中華人民共和國計算機信息系統(tǒng)安全保護條例》。其中該條例第九條規(guī)定：“計算機信息系統(tǒng)實行安全等級保護”，這是我國計算機信息系統(tǒng)安全保護的一項基本制度。13.1安全等級保護制度5由公安部、國家保密局、國際密碼管理委員會辦公室和國務院信息化工作辦公室共同制定的《關于信息安全等級保護工作的實施意見》中將信息和信息系統(tǒng)的安全保護等級分為五級：第一級為自主保護級，適用于一般的信息和信息系統(tǒng)；第二級為指導保護級，適用于一定程度上涉及國家安全、社會秩序、經濟建設和公共利益的一般信息和信息系統(tǒng)；第三級為監(jiān)督保護級，適用于涉及國家安全、社會秩序、經濟建設和公共利益的信息和信息系統(tǒng)；第四級為強制保護級，適用于涉及國家安全、社會秩序、經濟建設和公共利益的重要信息和信息系統(tǒng)；第五級為?？乇Ｗo級，適用于涉及國家安全、社會秩序、經濟建設和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng)。13.1安全等級保護制度61信息保密安全等級1988年9月5日公布的《中華人民共和國保守國家秘密法》(簡稱《保密法》)，是我國目前還在使用的國家信息保密法規(guī)，其安全等級劃分適用于計算機信息保密安全。國家事務的重大決策中的秘密事項；國防建設和武裝力量活動中的秘密事項；外交和外事活動中的秘密事項；國民經濟和社會發(fā)展中的秘密事項；科學技術中的秘密事項；維護國家安全活動和追查刑事犯罪中的秘密事項；其他經國家保密工作部門確定應當保守的秘密事項?！侗Ｃ芊ā返牡诎藯l對國家秘密的解釋13.1安全等級保護制度7

《保密法》第九條清晰指出，“國家秘密的密級分為‘絕密、‘機密’、‘秘密’三級?！彼膭澐质菄颐孛軐τ趪业陌踩屠娴闹匾潭?。

密級重要性泄露后果絕密最重要特別嚴重損害機密重要嚴重損害秘密一般損害表信息保密安全等級13.1安全等級保護制度82人員安全等級《保密法》第二十七條規(guī)定：“國家秘密應當根據(jù)需要，限于一定范圍的人員接觸。絕密級的國家秘密，經過批準的人員才能接觸。”《保密法》第二十八條規(guī)定：“任用經管國家秘密事項的專職人員，應當按照國家保密工作部門和人事主管部門的規(guī)定予以審查批準?！边@些都是以法定形式出現(xiàn)的，行之有效的人員管理準則。在實際的計算機信息操作中，人員安全等級的劃分主要表現(xiàn)在該人員對信息的訪問能力和操作情況。借助訪問的鑒別、控制機制等安全技術，可以控制不同的操作人員對系統(tǒng)的數(shù)據(jù)、功能之類等信息的讀、增、刪、改、復制等的操作能力。對同一信息，人員擁有的操作能力越高，則其安全等級也越高。13.1安全等級保護制度913.1.2計算機信息系統(tǒng)的安全等級

計算機信息系統(tǒng)的安全的等級劃分與計算機信息的安全等級劃分有所不同，除了看該信息系統(tǒng)對國家、集體或個人的安全和利益的重要程度外，計算機實體本身的財產價值，崗位的重要程度等因素，也是一個劃分的重要依據(jù)。

13.1安全等級保護制度返回10金融電子化系統(tǒng)的安全等級系統(tǒng)安全一級系統(tǒng)安全二級系統(tǒng)安全三級系統(tǒng)安全四級系統(tǒng)安全五級13.1安全等級保護制度11系統(tǒng)安全一級存儲、處理和傳輸絕密信息的金融電子化系統(tǒng)。該系統(tǒng)中信息一旦泄露或破壞，會給國家安全和利益帶來特別嚴重的損害，對金融業(yè)造成巨大的經濟損失。因此，系統(tǒng)應能確保連續(xù)可用，不因局部的毀壞、故障、事故、差錯造成系統(tǒng)效率的降低。系統(tǒng)安全二級存儲、處理和傳輸機密信息的金融電子化系統(tǒng)。該系統(tǒng)中信息一旦泄露或破壞，會給國家安全和利益帶來嚴重的損害，對金融業(yè)造成很大的經濟損失。因此，系統(tǒng)應能連續(xù)可用，局部的毀壞、故障、事故、差錯雖然可能影響了系統(tǒng)的效率，但仍能正確運行13.1安全等級保護制度12系統(tǒng)安全三級存儲、處理和傳輸秘密信息的金融電子化系統(tǒng)。該系統(tǒng)中信息一旦泄露或破壞，會使國家安全和利益遭受損害，金融業(yè)造成一定的經濟損失。因此，系統(tǒng)應能確保連續(xù)可用，不因局部的毀壞、故障、事故、差錯造成系統(tǒng)效率的降低。系統(tǒng)安全四級存儲、處理和傳輸不屬于國際密級，但屬金融業(yè)內部掌握、具有敏感性的金融電子化系統(tǒng)。該系統(tǒng)中的信息一旦泄露或破壞，會使銀行、證券交易商、保險公司及其客戶陷入困境，甚至造成損失，使其社會聲譽受到損害，因此，系統(tǒng)應有對局部毀壞、故障、事故、差錯在短時間內得到排除、糾正和恢復的能力。系統(tǒng)安全五級存儲、處理和傳輸不屬于以上保護級別的電子化系統(tǒng)。該系統(tǒng)的毀壞、故障、事故，可能會造成某些金融業(yè)務的停頓，影響某些金融業(yè)務的效率，但經濟損失不大。13.1安全等級保護制度1313.1.3計算機安全等級

D類：屬非安全保護類，只一個級別。凡不滿足其他各級安全要求的，皆屬此級別。C類：為自主保護類，分為兩級（C1,C2)。B類：為強制保護類，分三級(B1,B2,B3)。A類：為驗證保護級，擬分兩級(A1,超A1)。13.1安全等級保護制度返回14C類

C1級：具有一定的自主型存取控制（DAC）安全機制，系統(tǒng)能定期檢驗可信計算基（TCB）的正確性，維護系統(tǒng)的完整性。C2級：具有以用戶為單位的DAC機制，能進行審計。13.1安全等級保護制度15B類

B1級：引入強制存取控制（MAC）機制，并對主體和客體進行安全級標識，實施標識管理。B2級：具有形式化安全模型，系統(tǒng)設計結構化，MAC機制更趨完善，具備了最小特權管理，以及可信通道機制、隱通道分析和處理等。B3級：具有嚴格的系統(tǒng)結構化設計和TCB最小復雜性設計，應具備全面的存取控制的訪問監(jiān)控機制，以及審計實時報告機制等。13.1安全等級保護制度16A類A1級：具有系統(tǒng)形式化頂層設計說明（FTDS），并形式化驗證FTDS與形式化模型的一致性，隱通道問題則用形式化技術解決等。超A1級：比A1級具有更高的安全可信度要求，這已超出了當前的技術發(fā)展水平，有待進一步描述。13.1安全等級保護制度17計算機安全等級的主要技術措施如右表序號安全技術措施適用的最低級別1鑒別使用口令登錄的各用戶C22維護用戶資格不受侵害B13能產生保持保護客體存取的審核蹤跡C24受權讀取審核蹤跡C25具有事件審核記錄C26用戶標識符選擇C27安全狀況審核B18隱蔽該信道事件審核B29實時威脅監(jiān)控B310用戶存取控制C211存取標準鎖定C212存取授權限制C213存取控制表的存取方式和控制B314資源存儲區(qū)保護隔離C215地址空間進程隔離B113.1安全等級保護制度18續(xù)上表16硬件積木化B217存儲區(qū)清除再使用C218正確標識安全等級B119打印標志B120級別信道路由指定B121多信道報文標簽B122敏感標志B123外部資源標志B124動態(tài)終端標記B225安全、泄漏和完整性B126對外部用戶控制B227操作、管理人員分離B228管理活動審核B329可注冊途徑B230安全級別變化可信途徑B231安全恢復B3序號安全技術措施適用的最低級別13.1安全等級保護制度1913.1.4物理環(huán)境安全等級計算機所運行的物理環(huán)境主要是指計算機信息系統(tǒng)周邊的環(huán)境，即計算機信息系統(tǒng)場地。我國國家標準《計算站場地安全要求》（GB9361-88）和《計算站場地技術條件》（GB2887-89）對計算機場地安全要求，作了明確的等級規(guī)定。13.1安全等級保護制度返回20在《計算站場地安全要求》中，把計算機房分為3種基本安全類別：A類：對計算機房的安全有嚴格的要求，有完善的計算機房安全措施。B類：對計算機房的安全有較嚴格的要求，有完善的計算機房安全措施。C類：對計算機房的安全有基本的要求，有基本的計算機房安全措施。13.1安全等級保護制度211計算機房溫濕度要求項目A級指標B級指標C級指標溫度夏季22±2℃15~30℃10~35℃相對溫度45%~65%40%~70%30%~80%溫度變化率<5℃/h<10℃/h<15℃/h不凝露不凝露不凝露13.1安全等級保護制度222計算機房供電要求

項目A類指標B類指標C類指標電壓表動率（%）-5~+5-10~+7-15~+10頻率變化（Hz）-0.2~+0.2-0.5~+0.5-1~+1波形失真率（%）≤±5≤±7≤±1013.1安全等級保護制度233計算機系統(tǒng)接地要求接地名稱作用接地電流接地電阻避雷地防雷擊（防建筑內可免）極大<10交流電源中線人身及設備運行安全大<18直流電源地人身及設備運行安全大安全防護地人身安全大<18屏蔽地防信息泄漏、防干擾中或小<3或1信號地信息運行安全小<3或113.1安全等級保護制度2413.2信息流管理制度

13.2.1信息流管理控制的相關概念13.2.2計算機信息媒體進出境申報制度13.2.3計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法返回2513.2.1信息流管理控制的相關概念信息的流動途徑信息的流動方式有兩種：信息存儲在一些媒介上，如存在Ｕ盤里，手機上，再通過現(xiàn)代的通信方式或攜帶，郵寄，托運等，導致信息的流動； 信息也可以直接通過網(wǎng)絡傳輸，導致信息的流動。我們在電子商務中所講的信息流通常情況講的就是后者。計算機互聯(lián)，網(wǎng)絡互聯(lián)的主要途徑是有線和無線兩種。有線方式是當前我國網(wǎng)絡互聯(lián)的主要方式，或通過郵電部的分組交換網(wǎng)，或租用郵電部的國際專線來實現(xiàn)。13.2信息流管理制度返回26與國際聯(lián)網(wǎng)的單位類型根據(jù)《中國互聯(lián)網(wǎng)絡域名注冊暫行管理辦法》，我國互聯(lián)網(wǎng)絡的二級域名包括318個“行政區(qū)域名”和6個“類別域名”。我國境內的計算機信息系統(tǒng)，通過物理通信信道，直接或間接與境外(含港、澳、臺地區(qū))計算機信息系統(tǒng)連接的，均屬于國際聯(lián)網(wǎng)的計算機信息系統(tǒng)。擁有這些系統(tǒng)購單位，大體上有：金融、經貿、海運、海關等國有單位、獨資、合資企業(yè)、外國駐華使(領)館以及新聞代表機構，還有與國際信息服務網(wǎng)相連接的用戶單位等。13.2信息流管理制度27網(wǎng)絡安全納入規(guī)范化、法制化管理的軌道針對當前我國計算機信息網(wǎng)絡國家聯(lián)網(wǎng)安全保護工作的需要，為了加強計算機信息網(wǎng)絡國際聯(lián)網(wǎng)的安全保護管理，維護國家安全、社會穩(wěn)定和信息安全，保障公共秩序，促進計算機信息系統(tǒng)的應用發(fā)展，當務之急是必須早日形成規(guī)范有序的信息出入國境的“口岸”。相關管理規(guī)范制度主要有：《中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定》、《公安部關于對與國際聯(lián)網(wǎng)的計算機信息系統(tǒng)進行備案工作的通知》、《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》、《計算機信息媒體進出境申報制度》,還有國務院信息化工作領導小組發(fā)布的《中國互聯(lián)網(wǎng)絡域名注冊暫行管理辦法》和《中國互聯(lián)網(wǎng)絡域名注冊實施細則》等。13.2信息流管理制度2813.2.2計算機信息媒體進出境申報制度1計算機信息媒體的相關概念計算機信息媒體主要是指具有存儲功能的集成電路存儲器、磁盤、磁帶、光盤等，它們可以存儲各種形式的信息，如文字、圖形、聲音、圖像、視頻、動畫等等。出境的信息媒體，有可能造成有損專利、版權、機密及其他重要信息的有害外流；入境的信息媒體，有可能造成有害信息在國內的傳播。計算機信息媒體有其自身的許多特點，所攜帶的信息量可能相當大；體積小，便于攜帶；復制方便；其中的信息往往能以壓縮或加密等方式出現(xiàn)，不易直接讀出其中內容；內容所涉及的專業(yè)較廣，其中的內容和性質等往往需要專業(yè)人員協(xié)助才能進行鑒別；分析鑒別往往需要相應的檢測設備、檢測環(huán)境條件、及不定期的分析方法，耗費時間等。13.2信息流管理制度返回292計算機信息媒體出入境的一般處理(1)申報。一般由信息媒體擁有者向海關和公安機關主管部門如實申報。有交接關系的，可委托境內收方協(xié)助申報或代理申報。(2)檢測。由公安機關主管部門主持安排實施，檢測完畢，做出準予報送與否決定。(3)報送。海關查驗屬實放行。未經公安機關檢測或媒體發(fā)生替換的，不予放行。(4)其他。臨時報關的，一般應扣留待查。如有擔保條件的，則可留下原件待查，放行副本。13.2信息流管理制度3013.2.3計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法

1997年國務院批準公安部公布了《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》，使我國國際信息網(wǎng)絡互聯(lián)的信息流安全管理正式納入了法制化和規(guī)范化的軌道，其內容包括：制定《辦法》的基本指導思想《辦法》禁止的活動和內容安全責任公安機關計算機管理監(jiān)察機構的職責13.2信息流管理制度返回31

13.3計算機信息系統(tǒng)安全技術

和專用產品管理制度13.3.1計算機信息系統(tǒng)安全專用產品的有關概念13.3.2計算機安全專用產品管理的一般原則13.3.3計算機安全專用產品的管理制度返回3213.3.1計算機信息系統(tǒng)安全專用產品的有關概念

1

計算機安全專用產品的分類計算機安全專用產品是指用于保護計算機信息系統(tǒng)安全的專用硬件和軟件產品。計算機安全專用產品分為三大類：實體安全專用產品、運行安全專用產品和信息安全專用產品，每一個大類下又細分了小類，詳見下頁表。13.3計算機信息系統(tǒng)安全技術

和專用產品管理制度返回33

A類A類實體安全A10類環(huán)境安全A11類受災保護A12類受災恢復計劃輔助軟件A13類區(qū)域保護A20類設備安全A21類設備防盜A22類設備防毀A23類防止電磁信息泄漏A24類防止線路截獲A25類抗電磁干擾A26類電源保護A30類媒體安全A31類媒體安全A32類媒體數(shù)據(jù)安全13.3計算機信息系統(tǒng)安全技術

和專用產品管理制度34B類B類運行安全B10類風險分析B20類審計跟蹤B30類備份與恢復B40類應急B41類應急計劃輔助軟件B42類應急措施13.3計算機信息系統(tǒng)安全技術

和專用產品管理制度35 C類C類信息安全C10類操作系統(tǒng)安全C11類安全操作系統(tǒng)C12類操作系統(tǒng)安全部件C20類數(shù)據(jù)庫安全C21類安全數(shù)據(jù)庫系統(tǒng)C22類數(shù)據(jù)庫系統(tǒng)安全部件C30類網(wǎng)絡安全C31類網(wǎng)絡安全管理C32類安全網(wǎng)絡系統(tǒng)C33類網(wǎng)絡系統(tǒng)安全部件C40類計算機病毒防護C41類單機系統(tǒng)病毒防護C42類網(wǎng)絡系統(tǒng)病毒防護C50類訪問控制C51類出入控制C52類存儲控制C60類密碼C61類加密設備C62類密鑰管理C70類鑒別C71類身份鑒別C72類完整性鑒別C73類不可否認鑒別13.3計算機信息系統(tǒng)安全技術

和專用產品管理制度3613.3.2計算機安全專用產品管理的一般原則堅持獨立自主的原則堅持規(guī)范化、法制化管理原則13.3計算機信息系統(tǒng)安全技術

和專用產品管理制度返回3713.3.3計算機安全專用產品的管理制度計算機安全專用產品的管理應該涵蓋從開發(fā)到銷售、使用等整個周期的過程，由于我國目前立法還不完善，安全專用產品的管理制度還不能完全覆蓋整個周期。以《計算機信息系統(tǒng)安全專用產品檢測和銷售許可證管理辦法》為例，其內容包括：《許可證辦法》的適用范圍檢測機構檢測辦法銷售許可銷售許可中的違法行為13.3計算機信息系統(tǒng)安全技術

和專用產品管理制度返回3813.4計算機案件報告制度

13.4.1計算機安全事件的相關概念13.4.2計算機安全事件報告內容返回3913.4.1計算機安全事件的相關概念1計算機安全事件的定義

計算機安全事件是指對計算機信息系統(tǒng)的可用性、完整性、保密性、真實性、可核查性和可靠性等造成危害的事件，或者是在計算機信息系統(tǒng)發(fā)生的對社會造成負面影響的其他事件。它的主體是計算機安全事件的制造者或造成計算機安全事件的最終原因。它的客體是受計算機安全事件影響或發(fā)生計算機安全事件的計算機信息系統(tǒng)。具體地說，計算機安全事件的客體可分為信息系統(tǒng)、信息內容和網(wǎng)絡基礎設施三大類。

13.4計算機案件報告制度返回40

2計算機安全事件的分級

根據(jù)計算機安全事件所造成后果的嚴重程度，計算機安全事件可劃分為5個等級。其中1級危害程度最高，5級危害程度最低，如右圖。3級和3級以上的計算機安全事件稱為重大信息安全事件。分級分級內容1級本級計算機安全事件對計算機信息系統(tǒng)所承載的業(yè)務、事發(fā)單位利益以及社會公共利益有災難性的影響或破壞，對社會穩(wěn)定和國家安全產生災難性的危害；2級本級計算機安全事件對計算機信息系統(tǒng)所承載的業(yè)務、事發(fā)單位利益以及社會公共利益有極其嚴重的影響或破壞，對社會穩(wěn)定、國家安全造成嚴重危害；3級本級計算機安全事件對計算機信息系統(tǒng)所承載的業(yè)務、事發(fā)單位利益以及社會公共利益有較為嚴重的影響或破壞，對社會穩(wěn)定、國家安全產生一定危害；4級本級計算機安全事件對計算機信息系統(tǒng)所承載的業(yè)務以及事發(fā)單位利益有一定的影響或破壞；5級本級計算機安全事件對計算機信息系統(tǒng)所承載的業(yè)務以及事發(fā)單位利益基本不影響或損害極小。13.4計算機案件報告制度413計算機安全事件分級規(guī)范信息密級級別信息密級1級明確標注有“絕密”的信息失竊或泄密2級明確標注有“機密”的信息失竊或泄密3級明確標注有“秘密”的信息失竊或泄密4級本單位的工作秘密信息失竊或泄密5級本單位敏感信息或個人隱私信息的失竊或泄密13.4計算機案件報告制度42公眾影響公眾影響分級規(guī)范

發(fā)生時間影響范圍和程度敏感時期平常時期對國家安全造成影響的計算機安全事件1~2級2~3級對社會穩(wěn)定造成影響的計算機安全事件1~2級2~3級對事發(fā)單位的正常工作秩序、單位的形象和聲譽等造成影響的計算機安全事件3~4級4級只對事發(fā)單位部分人員的正常工作秩序造成影響的計算機安全事件4~5級5級13.4計算機案件報告制度43業(yè)務影響業(yè)務影響分級規(guī)范中斷時間信息系統(tǒng)安全等級4小時以內4小時（含）以上，8小時以內8小時（含）以上52~3級1~2級1~2級42~3級1~2級1~2級33~4級2~3級1~2級24~5級3~4級3級15級4~5級3~4級13.4計算機案件報告制度44資產損失資產損失分級規(guī)范級別合計資產損失（人民幣）1級1000萬元（含）以上2級300萬元（含）~1000萬元之間3級50萬（含）~300萬元之間4級5萬元（含）~50萬元之間5級5萬元以下13.4計算機案件報告制度45計算機安全事件的分類《中華人民共和國計算機信系統(tǒng)安全保護條例》第十四條規(guī)定：“對計算機信息系統(tǒng)中發(fā)生的案件，有關使用單位應當在218小時內向當?shù)乜h級以上人民政府公安機關報告?！敝貜娬{了對于計算機安全事件，必須及時報告。也就是說，我國的計算機安全事件采用計算機案件報告制度。計算機安全事件可分為環(huán)境災害、常規(guī)事故、內容異常、網(wǎng)絡或系統(tǒng)異常和其他事件等5個第一層分類，在此基礎上，再細分成若干個第二層和第三層分類。

13.4計算機案件報告制度4613.4.2計算機安全事件報告內容

單位名稱

報告人

聯(lián)系電話

通訊地址

傳真

電子郵件

負責部門

負責人

計算機安全事件的客體名稱

類別□網(wǎng)絡基礎設施□信息系統(tǒng)□信息內容用途描述：

計算機安全事件的簡要描述（如以前出現(xiàn)過類似情況也應加以說明）

初步判定的事件類別事件一層類別□環(huán)境災害□常規(guī)事故□內容異?！蹙W(wǎng)絡或系統(tǒng)異?！跗渌录录宇悇e

事件三層類別

計算機安全事件初步定級結果信息密級要素定級結果□1級□2級□3級□4級□5級公眾影響要素定級結果□1級□2級□3級□4級□5級業(yè)務影響要素定級結果□1級□2級□3級□4級□5級資產損失要素定級結果□1級□2級□3級□4級□5級綜合定級結果□1級□2級□3級□4級□5級當前采取的應對措施

本次計算機安全事件的初步影響狀況事件后果□業(yè)務中斷□系統(tǒng)破壞□數(shù)據(jù)丟失□其他

影響范圍□單臺主機□

臺主機□整個信息系統(tǒng)□整個局域網(wǎng)□

13.4計算機案件報告制度返回4713.5軟件安全技術13.5.1軟件安全基本要求1計算機軟件安全涉及的范圍2軟件的本質及特征3軟件安全技術措施13.5.2常用軟件保護方式返回4813.5.1軟件安全基本要求1計算機軟件安全涉及的范圍1）軟件本身的安全保密指軟件完整，即保證操作系統(tǒng)軟件、數(shù)據(jù)庫管理軟件、網(wǎng)絡軟件、應用軟件及相關資料的完整。2）數(shù)據(jù)的安全保密即系統(tǒng)擁有和產生的數(shù)據(jù)信息完整、有效，使用合法，不被破壞或泄露。3）系統(tǒng)運行的安全保密例如系統(tǒng)資源和信息使用的安全保密。返回13.5軟件安全技術491）軟件是用戶使用計算機的工具。2）軟件是將特定裝置轉換成邏輯裝置的手段。3）軟件是計算機系統(tǒng)的一種資源。4）軟件是信息傳輸和交流的工具。5）軟件是知識產品，是現(xiàn)代社會的一種商品形式；6）軟件可以儲存、進入多種媒體；7）軟件可以移植，包括在相同和不相同機器上的移植；2軟件的本質及特征13.5軟件安全技術509）軟件可以非法入侵計算機系統(tǒng)。10）軟件具有潛伏性，可以潛伏在載體或計算機系統(tǒng)中，從而構成在合法操作或文件名義下的非授權。11）軟件具有再生性，在信息傳輸過程中或共享系統(tǒng)資源的環(huán)境下存在非線性增長模式。12）軟件具有可激發(fā)性，在一定條件刺激下可成為邏輯炸彈。13）軟件具有破壞性。14）軟件具有攻擊性。8）軟件可以非法入侵載體。13.5軟件安全技術51從軟件安全技術的角度出發(fā)，軟件具有兩重性：軟件具有巨大的使用價值軟件具有潛在的破壞性能量13.5軟件安全技術52

非技術性措施例如制定有關法律、法規(guī)。技術性措施1）軟件加密2）軟件保護3）軟件反跟蹤4）軟件測試3軟件安全技術措施13.5軟件安全技術5313.5.2常用軟件保護方式盜版軟件的類型

1）企業(yè)盜版：企業(yè)未經授權在其內部計算機系統(tǒng)中使用軟件。

2）硬盤預裝盜版

3）軟件仿冒盜版

4）光盤盜版

5）互聯(lián)網(wǎng)盜版：盜版者在Internet的站點上發(fā)布廣告，出售假冒軟件或匯編軟件或允許下載軟件產品。返回13.5軟件安全技術5413.5.