电子商务安全技术第12章安全标准法规与安全方案设计.ppt

第十二章 安全标准法规与安全方案设计 12.1 信息安全标准法规 12.1 信息安全标准法规 12.2 安全方案设计 部门规章及规范性文件 . 中华人民共和国公安部令第32号 计算机信息系统安全专用产品检测和销售许可证管理 办法 . 中华人民共和国公安部令第33号 计算机信息网络国际联网安全保护管理办法 . 中华人民共和国公安部令第51号 计算机病毒防治管理办法 . 中华人民共和国公共安全行业标准计算机信息系统安 全专用产品分类原则 国家法律 中华人民共和国主席令第6号 中华人民共和国保守国家秘密法 行政法规 . 中华人民共和国国务院令147号 中华人民共和国计算机信息系统安全保护条例 . 中华人民共和国国务院令第195号 中华人民共和国计算机信息网络国际联网管理暂行规定 . 中华人民共和国计算机信息网络 国际联网管理暂行规定实施办法 . 中华人民共和国国务院令第273号 商用密码管理条例 . 中华人民共和国国务院令第291号 中华人民共和国电信条例 安全标准 . 计算机病毒防治产品评级准则(2000-5-17)发布 . 计算机信息系统安全保护等级划分准则(1999-9-13)发布 . 信息处理系统开放系统互连基本参考模型第2部分安全体系结构 . 计算机信息系统安全专用产品分类原则 . 信息技术设备的无线电干扰极限值和测量方法 . 计算机机房用活动地板技术条件 . DOS操作系统环境中计算机病毒防治产品测试方法 . 基于DOS的信息安全产品评级准则 . 电子计算机机房设计规范 安全标准 . 电子计算机机房施工及验收规范 . 计算站场地安全要求 . 计算站场地技术条件 . 信息处理64bit分组密码算法的工作方式 . 信息技术安全技术带消息恢复的数字签名方案 . 测量控制和试验室用电气设备的安全要求第1部分 通用要求节选 . 军用通信设备及系统安全要求 . 军队通用计算机系统使用安全要求 . 指挥自动化计算机网络安全要求 . 军用计算机安全评估准则 . 军用计算机安全术语 . GB/T 15843-1999 信息技术安全技术实体鉴别 . 1-4 . GB/T 15851-1995 信息技术安全技术带消息恢复的安全技术要求 . GB/T 15852-1995 信息技术安全技术用块密码算法做密码校验函数的数 据完整性机制 . GB/T 15852-1995 信息技术安全技术密钥管理 . GB/T 15852-1995 信息技术安全技术带附录的数字签名 . GB/T 15852-1995 信息技术安全技术抗抵赖 安全标准 . GB/T 17900-1999 网络代理服务器安全技术要求 . GB/T 18018-1999 路由器安全技术要求 . GB/T 18019-1999 信息技术包过滤防火墙安全技术 要求 . GB/T 18020-1999 信息技术应用级防火墙安全技术 要求 安全标准 .GB17859-1999 计算机信息系统安全保护等级划分准则 第一级：用户自主保护级 第二级：系统审计保护级 第三级：安全标记保护级 第四级：结构化保护级 第五级：访问验证保护级 安全标准 安全评估标准 国家主要安全标准考核指标有： 身份认证、自主访问控制、数据完整性、 审计、隐蔽信道分析、客体重用、强制访问 控制、安全标记、可信路径、可信恢复等 特点： 这些指标涵盖了不同级别的安全要求 国标主要安全指标 网络主要安全指标 安全技术架构 12.2 安全方案设计 安全方案设计要素 明确的需求分析 合理的设计原则 可信的安全等级 良好的指导方法 全面的理论模型 正确的技术选择 可靠的支撑产品 实用的功能性能 可行的评价措施 完善的管理手段 长远的维护升级 安全需求分析 .需要保护的对象 .安全层次分析 .隐患分析 安全设计总目标 . 保障网络安全、可靠、高效、可控、持续地运行 . 保障信息机密、完整、不可否认地传输和使用 安全层次分析 安全需求分析-安全监测 监测方法： 异常检测系统(Anomaly) 统计方法预测模式生成法神经网络法 滥用检测系统(Misuse) 专家系统模型匹配状态转换分析 混合检测系统(Hybrid) 监测要求： 实时、全面、准确 安全需求分析-安全监测 需要保护的对象 .硬件：路由器、工作站、服务器、数据设备等 .软件：操作系统、应用软件、源代码、实用程序 .数据：电子邮件、办公自动化、信息发布、业务系统 安全需求分析-安全防护 安全需求分析-安全评估 .风险分析 .评估标准 .验收指标 设计原则 . 先进与实用相统一 .