第二章政策法规与标准 陈天洲 tchen@zju.edu.cn Addoil. net Embedded zju. edu. cn
第二章 政策法规与标准 陈天洲 tzchen@zju.edu.cn Addoil.net Embedded.zju.edu.cn
政箫法规与标准 组织机构 立法立是点 计算机犯罪法 国立法 我国立法 ●计算机安全评价标准 二可信计算机系统评估准 OSI安全体系结构
政策法规与标准 • 组织机构 • 立法立足点 • 计算机犯罪法 • 各国立法 • 我国立法 • 计算机安全评价标准 – 可信计算机系统评估准则 – OSI安全体系结构
组织机构 比较活跃的组织有: IP(国际信息处理联合会) WSE(国际强化安全研究所) 中国电子学会于1978年提出申请,1979年 国务院批准向IIP递交入会申请,1980年1 月1日IHIP正式接纳中国电子学会代表中国 为其成员学会
组织机构 • 比较活跃的组织有: – IFIP(国际信息处理联合会) – WISE(国际强化安全研究所) • 中国电子学会于1978年提出申请,1979年 国务院批准向IFIP递交入会申请,1980年1 月1日IFIP正式接纳中国电子学会代表中国 为其成员学会
政箫法规与标准 组织机松 立法立足点 计算机犯罪法 国立法 我国立法 ●计算机安全评价标准 二可信计算机系统评估准 OSI安全体系结构
政策法规与标准 • 组织机构 • 立法立足点 • 计算机犯罪法 • 各国立法 • 我国立法 • 计算机安全评价标准 – 可信计算机系统评估准则 – OSI安全体系结构
立法立足点 计算机安全是指计算机资产安全,具体含 义有四层: 系统设备和相关设施运行正常,系统服务适时 软件(包括网络软件,应用软件和相关的软件) 正常 系统拥有的或产生的数据信息完整,有效,使 用合法,不会被泄漏。 系统资源和信息资源使用合法
立法立足点 • 计算机安全是指计算机资产安全,具体含 义有四层: – 系统设备和相关设施运行正常,系统服务适时。 – 软件(包括网络软件,应用软件和相关的软件) 正常。 – 系统拥有的或产生的数据信息完整,有效,使 用合法,不会被泄漏。 – 系统资源和信息资源使用合法
立法立足点 计算机安全需要以下五个机制: 威慑:提醒人们不要做有害于计算机的事,否则 将受到法律的制裁 预防并阻止不法分子对计算机资源产生危害。 检查能查出系统安全隐患,查明已发生的各种 事情的原因。 恢复。系统发生意外事件或是事故从而导致系 统中断或数据受损后,能在短期内恢复 纠正,能及时堵塞安全漏洞,改进安全措施
立法立足点 • 计算机安全需要以下五个机制: – 威慑:提醒人们不要做有害于计算机的事,否则 将受到法律的制裁。 – 预防并阻止不法分子对计算机资源产生危害。 – 检查:能查出系统安全隐患,查明已发生的各种 事情的原因。 – 恢复。系统发生意外事件或是事故从而导致系 统中断或数据受损后,能在短期内恢复。 – 纠正,能及时堵塞安全漏洞,改进安全措施
立法立足点 计算机安全战略应当是: 运用政策、法律、管理和技术手段,保护 计算机资产免受自然和人为有害因素的威胁和 危害,把计算机安全事件发生率和可能造成的 政治、经济损失降低到最小限度
立法立足点 • 计算机安全战略应当是: 运用政策、法律、管理和技术手段,保护 计算机资产免受自然和人为有害因素的威胁和 危害,把计算机安全事件发生率和可能造成的 政治、经济损失降低到最小限度
政箫法规与标准 组织机松 立法立是点 计算机犯罪法 国立法 我国立法 ●计算机安全评价标准 二可信计算机系统评估准则 OSI安全体系结构
政策法规与标准 • 组织机构 • 立法立足点 • 计算机犯罪法 • 各国立法 • 我国立法 • 计算机安全评价标准 – 可信计算机系统评估准则 – OSI安全体系结构
计算机犯罪法 计算机犯罪法是以防止计算机犯罪行为、惩罚犯 罪、保护计算机资产为目的。 它规定 利用计算机收取非法利益; 非法取得计算机信息系统服务 用非法手段侵入计算机信息系统和网络进行盗窃、破 坏、篡改数据流文件,或扰乱系统功能; 利用计算机或计算机知识窃取金融证券、现金、程序 息、情报等行为的 为计算机犯罪
计算机犯罪法 • 计算机犯罪法是以防止计算机犯罪行为、惩罚犯 罪、保护计算机资产为目的。 它规定 – 利用计算机收取非法利益; – 非法取得计算机信息系统服务; – 用非法手段侵入计算机信息系统和网络进行盗窃、破 坏、篡改数据流文件,或扰乱系统功能; – 利用计算机或计算机知识窃取金融证券、现金、程序、 信息、情报等行为的 为计算机犯罪
计算机犯罪法 典型的计算机犯罪条文: 任何人未经许可企图利用或已经利用计算机系统或网 绉进行诈骗或窃取钱财。 任何人未经许可企图或以已经使用任何计算机系统或 网络,窃取信息或输入假信息,侵犯他人利益。 任何人超出其工作范围企图或未经许可访问任何计算 机系统、网络、程序、文件,存取数据 任何人故意删除、篡改、损害、破坏程序、数据、文 件,破坏、更改计算机系统和网络,中断或拒绝计算 机服务,非法获得计算机服务
计算机犯罪法 • 典型的计算机犯罪条文: – 任何人未经许可企图利用或已经利用计算机系统或网 络进行诈骗或窃取钱财。 – 任何人未经许可企图或以已经使用任何计算机系统或 网络,窃取信息或输入假信息,侵犯他人利益。 – 任何人超出其工作范围企图或未经许可访问任何计算 机系统、网络、程序、文件,存取数据。 – 任何人故意删除、篡改、损害、破坏程序、数据、文 件,破坏、更改计算机系统和网络,中断或拒绝计算 机服务,非法获得计算机服务