当前位置:首页 » 安全设置 » 网络安全标准
扩展阅读
计算机网络技术微软 2024-11-17 10:28:00
设置路由器网络选择错了 2024-11-17 10:20:55
手机如何自己编写软件 2024-11-17 10:20:53

网络安全标准

发布时间: 2022-01-27 16:37:31

㈠ 简述网络安全的相关评估标准.

1 我国评价标准

1999年10月经过国家质量技术监督局批准发布的《计算机信息系统安全保护等级划分准则》将计算机安全保护划分为以下5个级别。
l 第1级为用户自主保护级(GB1安全级):它的安全保护机制使用户具备自主安全保护的能力,保护用户的信息免受非法的读写破坏。
l 第2级为系统审计保护级(GB2安全级):除具备第一级所有的安全保护功能外,要求创建和维护访问的审计跟踪记录,使所有的用户对自己的行为的合法性负责。
l 第3级为安全标记保护级(GB3安全级):除继承前一个级别的安全功能外,还要求以访问对象标记的安全级别限制访问者的访问权限,实现对访问对象的强制保护。
l 第4级为结构化保护级(GB4安全级):在继承前面安全级别安全功能的基础上,将安全保护机制划分为关键部分和非关键部分,对关键部分直接控制访问者对访问对象的存取,从而加强系统的抗渗透能力。
l 第5级为访问验证保护级(GB5安全级):这一个级别特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动。
我国是国际标准化组织的成员国,信息安全标准化工作在各方面的努力下正在积极开展之中。从20世纪80年代中期开始,自主制定和采用了一批相应的信息安全标准。但是,应该承认,标准的制定需要较为广泛的应用经验和较为深入的研究背景。这两方面的差距,使我国的信息安全标准化工作与国际已有的工作相比,覆盖的范围还不够大,宏观和微观的指导作用也有待进一步提高。
2 国际评价标准

根据美国国防部开发的计算机安全标准——可信任计算机标准评价准则(Trusted Computer Standards Evaluation Criteria,TCSEC),即网络安全橙皮书,一些计算机安全级别被用来评价一个计算机系统的安全性。
自从1985年橙皮书成为美国国防部的标准以来,就一直没有改变过,多年以来一直是评估多用户主机和小型操作系统的主要方法。其他子系统(如数据库和网络)也一直用橙皮书来解释评估。橙皮书把安全的级别从低到高分成4个类别:D类、C类、B类和A类,每类又分几个级别,如表1-1所示。
表 安全 级 别
类 别
级 别
名 称
主 要 特 征
D
D
低级保护
没有安全保护
C
C1
自主安全保护
自主存储控制
C2
受控存储控制
单独的可查性,安全标识
B
B1
标识的安全保护
强制存取控制,安全标识
B2
结构化保护
面向安全的体系结构,较好的抗渗透能力
B3
安全区域
存取监控、高抗渗透能力
A
A
验证设计
形式化的最高级描述和验证
D级是最低的安全级别,拥有这个级别的操作系统就像一个门户大开的房子,任何人都可以自由进出,是完全不可信任的。对于硬件来说,没有任何保护措施,操作系统容易受到损害,没有系统访问限制和数据访问限制,任何人不需任何账户都可以进入系统,不受任何限制可以访问他人的数据文件。属于这个级别的操作系统有DOS和Windows 98等。
C1是C类的一个安全子级。C1又称选择性安全保护(Discretionary Security Protection)系统,它描述了一个典型的用在UNIX系统上安全级别。这种级别的系统对硬件又有某种程度的保护,如用户拥有注册账号和口令,系统通过账号和口令来识别用户是否合法,并决定用户对程序和信息拥有什么样的访问权,但硬件受到损害的可能性仍然存在。
用户拥有的访问权是指对文件和目标的访问权。文件的拥有者和超级用户可以改变文件的访问属性,从而对不同的用户授予不通的访问权限。
C2级除了包含C1级的特征外,应该具有访问控制环境(Controlled Access Environment)权力。该环境具有进一步限制用户执行某些命令或者访问某些文件的权限,而且还加入了身份认证等级。另外,系统对发生的事情加以审计,并写入日志中,如什么时候开机,哪个用户在什么时候从什么地方登录,等等,这样通过查看日志,就可以发现入侵的痕迹,如多次登录失败,也可以大致推测出可能有人想入侵系统。审计除了可以记录下系统管理员执行的活动以外,还加入了身份认证级别,这样就可以知道谁在执行这些命令。审计的缺点在于它需要额外的处理时间和磁盘空间。
使用附加身份验证就可以让一个C2级系统用户在不是超级用户的情况下有权执行系统管理任务。授权分级使系统管理员能够给用户分组,授予他们访问某些程序的权限或访问特定的目录。能够达到C2级别的常见操作系统有如下几种:
(1)UNIX系统;
(2)Novell 3.X或者更高版本;
(3)Windows NT,Windows 2000和Windows 2003。
B级中有三个级别,B1级即标志安全保护(Labeled Security Protection),是支持多级安全(例如:秘密和绝密)的第一个级别,这个级别说明处于强制性访问控制之下的对象,系统不允许文件的拥有者改变其许可权限。
安全级别存在秘密和绝密级别,这种安全级别的计算机系统一般在政府机构中,比如国防部和国家安全局的计算机系统。
B2级,又叫结构保护(Structured Protection)级别,它要求计算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁带和终端)分配单个或者多个安全级别。
B3级,又叫做安全域(Security Domain)级别,使用安装硬件的方式来加强域的安全,例如,内存管理硬件用于保护安全域免遭无授权访问或更改其他安全域的对象。该级别也要求用户通过一条可信任途径连接到系统上。
A级,又称验证设计(Verified Design)级别,是当前橙皮书的最高级别,它包含了一个严格的设计、控制和验证过程。该级别包含较低级别的所有的安全特性。
安全级别设计必须从数学角度上进行验证,而且必须进行秘密通道和可信任分布分析。可信任分布(Trusted Distribution)的含义是:硬件和软件在物理传输过程中已经受到保护,以防止破坏安全系统。橙皮书也存在不足,TCSEC是针对孤立计算机系统,特别是小型机和主机系统。假设有一定的物理保障,该标准适合政府和军队,不适合企业,这个模型是静态的。

㈡ 国家支持什么参与网络安全国家标准

法律分析:国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。倡导企业、高校和科研单位、网络相关行业组织等参与网络安全国家标准、行业标准制定,研究开发网络安全技术,为社会提供网络安全认证、检测和风险评估等安全服务,开发网络数据安全保护和利用技术,以及培养网络安全人才等。鼓励网络安全领域的技术发展和进步,以更好地促进网络安全、健康运行。
【法律依据】:《中华人民共和国网络安全法》第十五条明确规定:国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。

㈢ 国家支持什么参与网络安全国家标准行业标准的制定

国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。

《中华人民共和国网络安全法》第十五条明确规定:

国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。

国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。

第十五条、第十六条、第十七条、第十八条和第二十条分别倡导企业、高校和科研单位、网络相关行业组织等参与网络安全国家标准、行业标准制定,研究开发网络安全技术,为社会提供网络安全认证、检测和风险评估等安全服务,开发网络数据安全保护和利用技术,以及培养网络安全人才等。

这些法条集中表达了一个主旨:鼓励网络安全领域的技术发展和进步,以更好地促进网络安全、健康运行。

(3)网络安全标准扩展阅读:

“没有网络安全就没有国家安全。”当网络进入千家万户,当网络和信息业务蓬勃发展,当我国的互联网用户数量和电子商务总量位居世界第一时,网络安全显然已经成为一件非常重要的事情。

2016年4月,习近平总书记在网络安全和信息化研讨会上指出,“网络空间是亿万人民共同的精神家园。”网络空间是清晰的、生态的,是符合人民利益的。”

精神的指导下,始终高度重视网络安全建设在我国,十八大会以来,先后制定分销网络安全国家标准289项,继续实施“净净”“剑网”“基础”“护理苗”系列等特殊项目的成果显着,连续第六年组织实施的“网络安全宣传周”深入人心,这些务实有力的举措,不断净化网络空间,维护网民的合法权益。

㈣ 国家建立和完善网络安全标准体系什么和国务院其他有关部门根据各自的职责

国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。

2017年6月1日,《网络安全法》将正式施行,标志着网络空间治理、网络信息传播秩序规范、网络犯罪惩治等方面即将翻开崭新的一页,国家网络安全将拥有更为完善的法律基础和保障。网络安全标准化是网络安全保障体系建设的重要组成部分,在维护网络空间安全、推动网络空间治理体系变革方面发挥着基础性、规范性、引领性作用。《网络安全法》对于网络安全标准化工作也提出了更明确的要求。

(4)网络安全标准扩展阅读:

进一步加强网络安全标准体系建设。《网络安全法》第十五条规定,国家建立和完善网络安全标准体系。根据国家标准委授予的职责范围,全国信息安全标准化技术委员会(TC260)承担着组织制定标准和持续完善国家信息安全标准体系的职责,多年来推动国家网络安全保障体系建设所需标准的制修订工作,初步形成了国家网络安全标准体系。

中央网信办、国家质检总局、国家标准委联合印发的《关于加强国家网络安全标准化工作的若干意见》指出,建立统一权威的国家标准工作机制,全国信息安全标准化技术委员会在国家标准委的领导下,在中央网信办的统筹协调和有关网络安全主管部门的支持下,对网络安全国家标准进行统一技术归口,统一组织申报、送审和报批。

因此,需要加强网络安全标准战略性、方向性、基础性的研究,既要突出重点,也要拓展覆盖面;既要统筹推进国家标准和行业标准制修订工作,也要适时引进国外有关标准,进而逐步建立起与《网络安全法》相配套的国家网络安全标准体系,以适应新形势对网络安全标准化工作的更高要求。

㈤ 网络安全的评价标准是什么

你可以到中国标准咨询网,购买,http://www.chinastandard.com.cn去查询,在首页,上方的右边,输入标准号,再选GB国标,搜索即可,买的绝对是最新有效的。

这是我粗略给你搜了一下:
信息技术 网络安全漏洞扫描产品技术要求 标准号:GA/T 404-2002 发布时间:2002-12-11
民用航空空中交通管理信息系统技术规范 第2部分:系统与网络安全 标准号:MH/T 4018.2-2004 发布时间:2004-12-20
航天办公信息系统计算机网络安全保密规则 标准号:QJ 2560-1993 发布时间:1993-03-30
IP网络安全技术要求----安全框架 标准号:YD/T 1163-2001 发布时间:2001-10-19
承载电信级业务的IP专用网络安全框架 标准号:YD/T 1486-2006 发布时间:2006-06-08
公众IP网络安全要求 安全框架 标准号:YD/T 1613-2007 发布时间:2007-04-16
公众IP网络安全要求 基于数字证书的访问控制 标准号:YD/T 1614-2007 发布时间:2007-04-16
公众IP网络安全要求 基于远端接入用户验证服务协议(RADIUS)的访问控制 标准号:YD/T 1615-2007 发布时间:2007-04-16
H.323网络安全技术要求 标准号:YD/T 1701-2007 发布时间:2008-01-01

㈥ 网络安全的标准是什么

这个要看你指的是什么方面,如果从基础方面来讲,信息保密、网络加固、系统安全等都会涉及到相关的网络安全标准。 如果从更高的方面而言,网络安全的标准可以扩展到整个互联网的安全或者说骨干网络、路由等设备的安全等。 而上述的每个标准都是不一样的,建议去各个专业网络寻找资料:藏锋者网络安全: http://www.cangfengzhe.com

㈦ 国家网络安全标准方面有何规定

根据《网络安全法》第15条规定,国家建立和完善网络 安全标准体系。国家标准 化管理委员会应会同其他机构建立网络安全标准体系, 制定并修改完善有关网络安全管理以及网络产品、服务 和运行安全的国家标准、行业标准。网络安全设备制造企业、网络安全技术和政策研究 机构、高等学校、网络相关行业组织具有技术和人才优 势,应积极参与网络安全国家标准、行业标准的制定, 对此,国家持鼓励态度,并应出台相关政策予以支持。

㈧ 请问网络安全方面的标准有哪些

前几天我朋友的电脑中了病毒,病毒感染了很多EXE文件,修复难度很大,无奈只好格式化掉,损失惨重。我的电脑很少中毒,至少在我知道的情况下我的电脑没用中过毒。消灭病毒的难度是很大的,但做好预防工作却是非常容易的。下面是我的一些做法,个人认为做好下面的措施,电脑中毒机会的就会是微乎其微,这些措施只针对Windows操作系统。
1、必须安装防火墙和杀毒软件

不管你是怎样的高手,这两种软件还是需要安装的。虽然在面对新病毒时,杀毒软件会变得手足无措,倒不如自己上网找杀毒办法。但有一个杀毒软件就是多了一道屏障,不管这道屏障有多高或多矮,始终是利大于弊的。杀毒软件我用的是金山毒霸,我觉得不错,建议安装金山毒霸!

防火墙也是必须要安装的,同时最好还安装一些监测网络进程的程序,时刻监视有无恶意程序在进行非法操作。

另外,一些流氓软件专杀也是非常有用的,比如360安全卫士,金山清理专家等。

2、为Administrator用户降权

在Windows操作系统里,Administrator是最高级的用户,在正常的登陆模式是无法看到的,因此很容易忽略由Administrator用户带来的安全问题。

Administrator用户的初始密码是空的,如果没用安装防火墙,黑客很容易通过Administrator帐户进入你的电脑。这时做什么都已经为时已晚了。

事实上,这并不是降权,是创建一个伪造的,无实际权利的Administrator用户。

具体操作如下,先以一个非Administrator的管理员帐户登陆windows,然后打开:控制面板-管理工具-计算机管理-本地用户和组-用户,删除Administrator用户,再创建一个新的Administrator用户,右击设置密码,密码有多复杂就多复杂,让其隶属于最低级别的用户组,并在属性里勾选帐户已停用。如图1所示。

这样,即使别人破解了你的Administrator帐户,进入后也发现只是一个没用实权的帐户。

3、禁止所有磁盘自动运行

如今U盘病毒盛行,稍不小心就会导致“格盘”。U盘病毒一般的运行机制是通过双击盘符自动运行,因此,禁用所有磁盘的自动运行是一种相当有效的预防手段。

具体的操作过程是:运行输入gpedit.msc-->用户配置-->管理模板-->系统,双击右侧列表里的关闭自动播放,选择“所有驱动器”,然后选择“已启动”。确定退出。

4、不双击U盘

如果你没用禁止所有磁盘自动运行,又或者你在别人的计算机上使用U盘,最好不要双击U盘。这很容易触发U盘病毒,最好的方法是先用杀毒软件扫描。

U盘里的病毒一般清除方法是,通过资源管理器进去看看U盘里有无autorun.inf文件,通常是隐藏的。删除autorun.inf文件以及它所指向的程序,然后重新拔插U盘。

5、经常检查开机启动项

经常在运行里输入msconfig查看启动项,发现有异常的马上在网上找资料,看看是不是病毒。当然,你不一定要用msconfig,超级兔子等软件也是非常不错的。如图2所示。

6、经常备份重要数据

一些重要的数据,必须经常备份,例如重要的图片、个人信息等等。我大概一个月会刻录一次重要的资料,以防万一。

7、使用GHOST

经常使用Ghost备份操作系统盘,遇到严重问题时直接恢复整个系统盘,这是懒人的做法,懒得找病毒的隐藏地,但同时也是高效快捷的方法。问题是你必须经常使用Ghost进行备份,不然你恢复系统盘也会有所损失,至少损失了最近安装的程序(的注册信息)。

8、隐私文件要加密

使用一些加密程序加密那些你认为不能暴露于公众的文件,网上有很多这样的免费软件。不要以为隐藏了文件就行,隐藏只是一种自欺欺人的方式,加密了,即使你有类似“陈冠希”的照片也不会太危险。

9、使用Google

之所以推荐使用Google不是因为我对Google的偏爱,而是Google搜索里提供的网站安全信息提示。当搜索结果的某网页里含有病毒或木马时,Google会给出提示。

10、使用Firefox

Firefox不是万能的,但总比IE好,相比起IE,使用Firefox能有效地降低中毒几率。

11、使用复杂的密码

这是老生常谈的话题了,但还有很多人使用简单的数字密码,例如生日、身份证号等等,这是极容易被猜测的。“放心,我的生日只有我的朋友知道”,谁说你的朋友一定不会窥看你的隐私?

12、不要告诉任何人你的密码

在聊天工具里告诉别人你的密码你将面临4种风险:

A、你的电脑可能被挂马,密码被窃取了。

B、聊天工具提供商也有可能窃取你的密码。

C、聊天对方有可能利用你对他的信任去做不诚实的行为。

D、聊天对方的电脑中毒了,你的密码被窃取。

13、不要随便接收文件

尤其是在QQ里,别人发来文件,不要二话不说就接收,这是很危险的。一定要问清楚别人发的是什么东西,是不是他主动发的。接收后也不要马上运行,先用杀毒软件扫描一遍。

㈨ 网络安全分为几个级别

网络安全分为四个级别,详情如下:

1、系统安全

运行系统安全即保证信息处理和传输系统的安全。它侧重于保证系统正常运行。

2、网络的安全

网络上系统信息的安全。包括用户口令鉴别,用户存取权限控制,数据存取权限、方式控制,安全审计。安全问题跟踩。计算机病毒防治,数据加密等。

3、信息传播安全

网络上信息传播安全,即信息传播后果的安全,包括信息过滤等。它侧重于防止和控制由非法、有害的信息进行传播所产生的后果,避免公用网络上大云自由传翰的信息失控。

4、信息内容安全

网络上信息内容的安全。它侧重于保护信息的保密性、真实性和完整性。

(9)网络安全标准扩展阅读

网络安全的影响因素:

自然灾害、意外事故;计算机犯罪; 人为行为,比如使用不当,安全意识差等;黑客” 行为:由于黑客的入侵或侵扰,比如非法访问、拒绝服务计算机病毒、非法连接等;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等。

网络协议中的缺陷,例如TCP/IP协议的安全问题等等。网络安全威胁主要包括两类:渗入威胁和植入威胁。渗入威胁主要有:假冒、旁路控制、授权侵犯。

㈩ 中华人民共和国网络安全法规定

《中华人民共和国网络安全法》是为保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展而制定的法律。 《中华人民共和国网络安全法》由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过,自2017年6月1日起施行。
第十二条 国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。 第二十三条 网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。 第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。第五十一条 国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。 第五十二条 负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。 第五十三条 国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。 第五十五条 发生网络安全事件,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,要求网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。第五十六条 省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施,进行整改,消除隐患。