《計算機系統(tǒng)安全原理與技術(shù)第10章計算機系統(tǒng)安全管理.ppt》由會員分享，可在線閱讀，更多相關(guān)《計算機系統(tǒng)安全原理與技術(shù)第10章計算機系統(tǒng)安全管理.ppt（16頁珍藏版）》請在裝配圖網(wǎng)上搜索。

2019/12/18,計算機系統(tǒng)安全原理與技術(shù)（第2版）,1,第10章計算機系統(tǒng)安全管理,2019/12/18,計算機系統(tǒng)安全原理與技術(shù)（第2版）,2,本章主要內(nèi)容,計算機系統(tǒng)安全管理概述信息安全標準及實施安全管理與立法,2019/12/18,計算機系統(tǒng)安全原理與技術(shù)（第2版）,3,10.1計算機系統(tǒng)安全管理概述,安全管理的重要性安全管理的目的和任務(wù)安全管理原則安全管理程序和方法,2019/12/18,計算機系統(tǒng)安全原理與技術(shù)（第2版）,4,10.2信息安全標準及實施,10.2.1國外主要的計算機系統(tǒng)安全評測準則1．可信計算機系統(tǒng)評估準則TCSEC(桔皮書)桔皮書把計算機系統(tǒng)的安全分為A、B、C、D四個大等級七個安全級別。按照安全程度由弱到強的排列順序是：D，C1，C2，B1，B2，B3，A1。2．信息技術(shù)安全性評估準則ITSEC俗稱“白皮書”。在吸收TCSEC成功經(jīng)驗的基礎(chǔ)上，首次在評估準則中提出了信息安全的保密性、完整性與可用性的概念，把可信計算機的概念提高到了可信信息技術(shù)的高度。,2019/12/18,計算機系統(tǒng)安全原理與技術(shù)（第2版）,5,10.2信息安全標準及實施,3．加拿大可信計算機產(chǎn)品評估準則CTCPEC該標準將安全需求分為4個層次：機密性、完整性、可靠性和可說明性。4．美國聯(lián)邦準則FC5．信息技術(shù)安全評估通用標準CC定義了作為評估信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基礎(chǔ)準則，提出了目前國際上公認的表述信息技術(shù)安全性的結(jié)構(gòu)，即把安全要求分為規(guī)范產(chǎn)品和系統(tǒng)安全行為的功能要求以及解決如何正確有效的實施這些功能的保證要求。,2019/12/18,計算機系統(tǒng)安全原理與技術(shù)（第2版）,6,10.2信息安全標準及實施,6．ISO/IEC21827:2002(SSE-CMM)SSE-CMM的目的是建立和完善一套成熟的、可度量的安全工程過程。該模型定義了一個安全工程過程應(yīng)有的特征，這些特征是完善的安全工程的根本保證。,2019/12/18,計算機系統(tǒng)安全原理與技術(shù)（第2版）,7,10.2信息安全標準及實施,10.2.2我國計算機安全等級評測標準由公安部主持制定、國家技術(shù)標準局發(fā)布的中華人民共和國國家標準GBl7895—1999《計算機信息系統(tǒng)安全保護等級劃分準則》已經(jīng)正式頒布，并于2001年1月1日起實施?！稖蕜t》將計算機信息系統(tǒng)安全保護能力劃分為5個等級，計算機信息系統(tǒng)安全保護能力隨著安全保護等級的增高，逐漸增強。第1級：用戶自主保護級。第2級：系統(tǒng)審計保護級。第3級：安全標記保護級。第4級：結(jié)構(gòu)化保護級。第5級：訪問驗證保護級。,2019/12/18,計算機系統(tǒng)安全原理與技術(shù)（第2版）,8,10.2信息安全標準及實施,10.2.3國外計算機信息安全管理標準1．信息安全管理體系標準族——ISO/IEC27000標準族2．信息安全服務(wù)和控制類標準,2019/12/18,計算機系統(tǒng)安全原理與技術(shù)（第2版）,9,10.2信息安全標準及實施,10.2.4我國信息安全管理標準我國信息安全標準化研究的初期，本著積極采用國際標準的原則，轉(zhuǎn)化了一批國際信息安全基礎(chǔ)技術(shù)標準，成為我國信息安全標準化的基礎(chǔ)。,2019/12/18,計算機系統(tǒng)安全原理與技術(shù)（第2版）,10,10.2信息安全標準及實施,10.2.5計算機信息系統(tǒng)安全等級保護管理要求不僅對計算機信息系統(tǒng)安全的五個層面提出與安全管理有關(guān)的要求，對管理層面本身的安全也提出了相應(yīng)的要求，其關(guān)系如圖：,2019/12/18,計算機系統(tǒng)安全原理與技術(shù)（第2版）,11,10.3安全管理與立法,10.3.1我國信息安全相關(guān)法律法規(guī)介紹1．《中華人民共和國憲法》2．《中華人民共和國計算機信息系統(tǒng)安全保護條例》3．《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》4．《中華人民共和國刑法》5．《全國人民代表大會常務(wù)委員會關(guān)于維護互聯(lián)網(wǎng)安全的決定》6．《計算機病毒防治管理辦法》7．《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》8．《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》9．《中華人民共和國電子簽名法》10．《互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定》11．《信息安全等級保護管理辦法》,2019/12/18,計算機系統(tǒng)安全原理與技術(shù)（第2版）,12,10.3安全管理與立法,10.3.2我國有關(guān)計算機軟件知識產(chǎn)權(quán)的保護按照國際慣例和我國法律，知識產(chǎn)權(quán)主要是通過版權(quán)(著作權(quán))進行保護的，我國已在1991年頒布了《計算機軟件保護條例》。因此，公司或個人開發(fā)完成的軟件應(yīng)及時申請軟件著作權(quán)保護，這是一項主要手段。還可通過申請專利來保護軟件知識產(chǎn)權(quán)，但是專利對象必須具備新穎性、創(chuàng)造性和實用性，這樣使得有的產(chǎn)品申請專利十分困難。此外，軟件可以作為商品投放市場。因而，大批量的軟件可以用公司的專用商標，即計算機軟件也受到商標法的間接保護，但是少量生產(chǎn)的軟件難以采用商標法保護，而且商標法實際上保護的是軟件的銷售方式，而不是軟件本身。,2019/12/18,計算機系統(tǒng)安全原理與技術(shù)（第2版）,13,10.3安全管理與立法,10.3.2我國有關(guān)計算機軟件知識產(chǎn)權(quán)的保護還可運用商業(yè)秘密法保護軟件產(chǎn)品。由于以上各種法律法規(guī)并不是專門為保護軟件所設(shè)立，單獨的某一種法律法規(guī)在保護軟件方面都有所不足，因此應(yīng)綜合運用多種法規(guī)來達到軟件保護的目的。,2019/12/18,計算機系統(tǒng)安全原理與技術(shù)（第2版）,14,10.3安全管理與立法,10.3.2我國有關(guān)計算機軟件知識產(chǎn)權(quán)的保護下面分別介紹各種保護方法。1．《計算機軟件保護條例》2．《中華人民共和國專利法》3．商業(yè)秘密所有權(quán)保護4．《中華人民共和國商標法》5．《互聯(lián)網(wǎng)著作權(quán)行政保護辦法》6．《信息網(wǎng)絡(luò)傳播權(quán)保護條例》,2019/12/18,計算機系統(tǒng)安全原理與技術(shù)（第2版）,15,思考與練習(xí),1．計算機安全管理有何重要意義？安全管理包含哪些內(nèi)容？安全管理要遵循哪些原則？2．分析國外安全評估標準的發(fā)展，談?wù)勀銓τ嬎銠C系統(tǒng)安全評估內(nèi)容的認識。3．本章中介紹的一些安全標準有何聯(lián)系與區(qū)別？4．簡述ISO/IEC27000標準的應(yīng)用范圍。5．查閱計算機信息系統(tǒng)安全等級保護管理要求制定的說明文件。,2019/12/18,計算機系統(tǒng)安全原理與技術(shù)（第2版）,16,思考與練習(xí),6．根據(jù)我國法律，軟件著作權(quán)人有哪些權(quán)利？在我們的學(xué)習(xí)和生活中，在我們的周圍尋找有哪些違反軟件著作權(quán)的行為？7．談?wù)剬τ嬎銠C軟件知識產(chǎn)權(quán)保護的法律手段有哪些。8．我國對計算機犯罪是如何界定的？9．我國有關(guān)計算機安全的法律法規(guī)有哪些？請訪問網(wǎng)站：中國法律信息網(wǎng)(http://law.law-)，中華人民共和國中央政府網(wǎng)站的法律法規(guī)欄目(,