网络安全相关法规及评价标准

任务概述

网络给我们带来了很多方便，可以利用网络快速地获得我们所需要的各种信息，但我们上网时是不是可以随心所欲、为所欲为呢? 需要遵守哪些道德和法律规范呢? 不同的网络有不同的安全标准，我们怎样评价呢? 通过本任务的学习将找到以上问题的答案。

任务目标

●能够了解网络安全的相关法规

●能够了解网络安全的评价标准

学习内容

一、网络安全的相关法规

由于计算机网络的开放性和便捷性，人们可以轻松地从网上获取信息或向网络发布信息，因此，要求网络活动的参加者具有良好的品德，遵守国家有关网络的法律法规。

1.网络道德

网络道德倡导网络活动参与者之间平等、友好相处，合理有效地利用网络资源。网络道德讲究诚信、公正、真实、平等的理念，引导人们尊重知识产权、保护隐私、保护通信自由和国家利益。

网络道德的定义是:人们在网络活动中公认的行为准则和规范。它引导人们在网络活动中应该如何行为，是一种关于如何行为的价值和信念。网络道德与现实生活中的道德具有相同的伦理意义。每个网络活动的参与者都要自觉遵守和维护网络秩序，逐步形成良好的网络行为习惯，形成对网络行为的是非判断能力。要大力提倡网络道德，形成良好的网络运行机制。

网络道德是抽象的，不易对其进行详细分类、概括形成具有约束力的道德规范，只能列出一些公认的违反网络道德的事例，从反面阐述网络道德的行为规范。常见事例如下:

（1）在网上从事损害国家利益、危害政治稳定、破坏民族团结的活动，复制、传播有关上述内容的消息和文章。

（2）对他人进行人身攻击，散布谣言或偏激的语言，对个人或单位甚至政府造成损害。

（3）利用网络进行赌博或从事封建迷信活动。

（4）制造病毒，故意在网上发布、传播。

（5）通过扫描、窃听、破密、安置木马等手段进入他人计算机进行破坏或窃取秘密。

2.网络安全法规

为了维护网络安全，国家和管理组织制定了一系列的网络安全政策、法规。在网络操作应用中应自觉遵守国家的有关法律和法规，自觉遵守各级网络管理部门制定的有关管理办法和规章制度，自觉遵守网络礼仪和道德规范。

（1）知识产权保护:计算机网络中的活动与社会上其他方式的活动一样，需要尊重别人的知识产权。由于从计算机网络很容易获取信息，就可能忽视或无意地侵犯了他人的知识产权。因此，使用计算机网络信息时，要注意区分哪些是受到知识产权保护的信息。

狭义的知识产权包括著作权、商标权和专利权。如无特殊说明，论文、专著、技术说明、图纸、标志、标识、商标、域名、版面设计等，均受《中华人民共和国著作权法》《中华人民共和国商标法》《中华人民共和国专利法》的保护。上述内容不能在网上被擅自发行、播放、复制、转载、改动、展示，否则就有可能侵犯别人的版权，违反法律。在网上还应避免随意散布他人的个人资料，如姓名、生日、电话、工作单位等内容，从而避免造成对他人隐私权的侵犯。

（2）保密法规:Internet的安全性能对用户在进行网络互联时如何保守国家秘密、商业秘密及技术秘密提出了严峻的挑战。军事、政府、金融、电信部门及核心企业的高机密数据要特别注意保密，避免因泄露而损害国家、企业、团体的利益。

2000年实施的《计算机信息系统国际联网保密管理规定》，明确规定哪些泄密行为触犯了法律。如该《规定》中第2章第6条规定:“涉及国家秘密的计算机信息系统，不得直接或间接地与因特网或其他公共信息网相链接，必须实行物理隔离。”

3.防止网络犯罪的法规

我们必须认识到，网络犯罪不仅仅是不道德行为，而且也是触犯法律的违法行为甚至是犯罪行为。与普通犯罪一样，网络犯罪行为同样会受到法律的追究。我国《刑法》第285条规定:“违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或拘役”，这一罪名为“非法入侵计算机信息系统罪”。

每个人都需要学习与网络安全有关的法律文件和规定，知法、懂法、守法，增强网络安全意识，抵制计算机网络犯罪行为。

二、网络安全的评价标准

网络安全评价标准中比较流行的是1985美国国防部制定的可信任计算机标准评价准则，各国根据自己的国情也都制定了相关的标准。

1.我国的评价标准

1999年10月经过国家质量技术监督局批准发布的《计算机信息系统安全保护等级划分准则》将计算机安全保护划分为以下5个级别。

第1级为用户自主保护级（GB1安全级）:它的安全保护机制使用户具备自主安全保护的能力，保护用户的信息免受非法的读写破坏。

第2级为系统审计保护级（GB2安全级）:除具备第一级所有的安全保护功能外，要求创建和维护访问的审计跟踪记录，使所有的用户对自己的行为的合法性负责。

第3级为安全标记保护级（GB3安全级）:除继承前一个级别的安全功能外，还要求以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制保护。

第4级为结构化保护级（GB4安全级）:在继承前面安全级别安全功能的基础上，将安全保护机制划分为关键部分和非关键部分，对关键部分直接控制访问者对访问对象的存取，从而加强系统的抗渗透能力。

第5级为访问验证保护级（GB5安全级）:这一个级别特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动。

2.国际评价标准

根据美国国防部开发的计算机安全标准——《可信任计算机标准评价准则（TC-SEC）》，即网络安全橙皮书，一些计算机安全级别被用来评价一个计算机系统的安全性。橙皮书把安全的级别从低到高分成4个类别:D类、C类、B类和A类，每类又分几个级别，见表1-1。

表1-1 安全级别

D级是最低的安全级别，拥有这个级别的操作系统就像一个门户大开的房子，任何人都可以自由进出，是完全不可信任的。对于硬件来说，没有任何保护措施，操作系统容易受到损害，没有系统访问限制和数据访问限制，任何人不需任何账户都可以进入系统，不受任何限制可以访问他人的数据文件。属于这个级别的操作系统有DOS和Windows 98等。

C1是C类的一个安全子级。C1又称选择性安全保护系统，它描述了一个典型的用在UNIX系统上的安全级别。用户拥有注册账号和口令，系统通过账号和口令来识别用户是否合法，并决定用户对程序和信息拥有什么样的访问权。用户拥有的访问权是指对文件和目标的访问权，文件的拥有者和超级用户可以改变文件的访问属性，从而对不同的用户授予不同的访问权限。

C2级除了包含Cl级的特征外，应该具有访问控制环境的权力。该环境具有进一步限制用户执行某些命令或者访问某些文件的权限，而且还加入了身份认证等级。另外，系统对发生的事情加以审计，并写入日志中，如什么时候开机，哪个用户在什么时候从什么地方登录，等等，这样通过查看日志，就可以发现入侵的痕迹，如多次登录失败，也可以大致推测出可能有人想入侵系统。审计除了可以记录下系统管理员执行的活动以外，还加入了身份认证级别，这样就可以知道谁在执行这些命令。审计的缺点在于它需要额外的处理时间和磁盘空间。

使用附加身份验证就可以让一个C2级系统用户在不是超级用户的情况下有权执行系统管理任务。授权分级使系统管理员能够给用户分组，授权他们访问某些程序或访问特定的目录。能够达到C2级别的常见操作系统有以下几种:UNIX系统，Novell 3.X或者更高版本，Windows NT、Windows 2000和Windows 2003及以上版本。

B级中有三个级别，B1级即标志安全保护，是支持多级安全（如秘密和绝密）的第一个级别，这个级别说明处于强制性访问控制之下的对象，系统不允许文件的拥有者改变其许可权限。

安全级别存在秘密和绝密级别，这种安全级别的计算机系统一般在政府机构中，比如国防部和国家安全局的计算机系统。

B2级，又叫作结构化保护级别，它要求计算机系统中所有的对象都要加上标签，而且给设备（磁盘、磁带和终端）分配单个或者多个安全级别。

B3级，又叫作安全区域级别，使用安装硬件的方式来加强域的安全。例如，内存管理硬件用于保护安全域免遭无授权访问。该级别也要求用户通过一条可信任途径链接到系统上。

思考练习

一、填空题

1.__________技术是指网络之间通过预定义的安全策略，对内外网通信强制实施访问控制的安全应用措施。

2.网络信息安全具备的五大核心要素:__________、__________、__________、__________、 。

3.计算机网络安全不仅要保护计算机网络设备安全，还要保护__________。

4.__________是信息在存储或传输过程中保持不被修改、伪造、乱序、重放、插入等破坏和丢失的特性。

5.通常对网络安全面临的主要威胁分为两种:一是对网络中信息的威胁;二是对网络中__________的威胁。

二、选择题

1.计算机网络的安全是指（ ）。

A.计算机中设备设置环境的安全 B.网络使用者的安全

C.网络中信息的安全 D.网络中财产的安全

2.信息不泄露给非授权用户、实体或过程，或供其利用的特性，是指网络安全特性中的（ ）。

A.保密性 B.完整性

C.可用性 D.不可否认性

3.数据库安全系统特性中与损坏和丢失相关的数据状态是指（ ）。

A.数据的完整性 B.数据的安全性

C.数据的独立性 D.数据的可用性

4.数据保密性指的是（ ）。

A.保护网络中各系统之间交换的数据，防止因数据被截获而造成泄密

B.提供链接实体身份的鉴别

C.防止非法实体对用户的主动攻击，保证数据接受方收到的信息与发送方发送的信息完全一致

D.确保数据是由合法实体发出的

5.防火墙是指（ ）。

A.一个特定软件 B.一个特定硬件

C.执行访问控制策略的一组系统 D.一批硬件的总称

三、简答题

1.计算机网络安全涉及的内容有哪些?

2.计算机网络面临的安全性威胁主要有哪几个方面?

3.研究网络安全有什么重要意义?

单元要点归纳

本单元以对网络信息安全专业知识的学习为目标，通过四个任务讲解了网络信息安全基本知识、网络安全技术、网络安全法规及网络安全的评价标准。本单元的知识点见表1-2。

表1-2 第一单元知识点