《国内外信息安全标准化情况》
- 格式:pdf
- 大小:2.18 MB
- 文档页数:26
下载文档原格式
合集下载
国内外信息安全标准
国内外信息安全标准姓名杨直霖信息安全标准是解决有关信息安全的产品和系统在设计、研发、生产、建设、使用、检测认证中的一致性、可靠性、可控性,先进性和符合性的技术规范和技术依据。
因此,世界各国越来越重视信息安全产品认证标准的制修订工作。
国外信息安全标准发展现状:CC标准(Common Criteria for Information Technology Security Evaluation)是信息技术安全性评估标准,用来评估信息系统和信息产品的安全性。
CC标准源于世界多个国家的信息安全准则规范,包括欧洲ITSEC、美国TCSEC(桔皮书)、加拿大CTCPEC 以及美国的联邦准则(Federal Criteria)等,由6个国家(美国国家安全局和国家技术标准研究所、加拿大、英国、法国、德国、荷兰)共同提出制定。
国际上,很多国家根据CC标准实施信息技术产品的安全性评估与认证。
1999年被转化为国际标准ISO/IEC15408-1999《Information technology-Security techniques-Evaluation criteria for IT security》,目前,最新版本ISO/IEC15408-2008采用了。
用于CC评估的配套文档CEM标准(Common Methodology for Information Technology Security Evaluation)提供了通用的评估方法,并且跟随CC标准版本的发展而更新。
CEM标准主要描述了保护轮廓(PP-Protection Profile)、安全目标(ST-Security Target)和不同安全保证级产品的评估要求和评估方法。
CEM标准于2005年成为国际标准ISO/IEC18045《Information technology-Security techniques-Methodology for ITsecurity evaluation》。
国内外信息安全标准与信息安全模型 ppt课件
第5部分
2003
2004
2005
2006
2007
2008
2008
2003
2004
GAISP3.0 ISO15408更新
2006
2007
ISO13335第 信息安全
1&2部分更新 等级管理办法
2005 NIST800-53
N
W
E
S
Page 1
PPT课件
第4页
4
主要的信息安全标准-国际标准
发布的机构
安全标准
术委员会
• 信息安全技术 信息系统安全等级保护基本要求
• 信息安全技术 信息系统安全等级保护定级指南
• 信息安全技术 信息系统安全等级保护实施指南
其他信息安全标准 - 截至2007年底,共完成了国家 标准59项,还有56项国家标准在研制中。
2 公安部、安全部、国家 一系列的信息安全方面的政策法规如:
保密局、国家密码管理 委员会等部门
• 计算机信息网络国际联网安全保护管理办法 • 互联网信息服务管理办法
• 计算机信息系统保密管理暂行规定
• 计算机软件保护条例
• 商用密码管理条例,等。
第8页
第8页
课程主要内容
在下面的课程中,我们会主要介绍以下标准:
1. ISO系列安全标准,包括 • ISO17799/ISO27001/ISO27002 • ISO/IEC 15408 • ISO/IEC 13335 • ISO/TR 13569
– ISO/IEC 13335
– ISO/TR 13569
PPT课件
第 11 页
11
关于ISO/IEC 17799/27001/27002
TC8-WG2-2005-202:国内外信息安全标准情况介绍
4,IEEE
– 802.10 SILS – P1363 Public-Key Cryptography – 802.11i
5,ETSI
TC ESI Electronic Signatures & Infrastructures TC LI Lawful Interception SAGE Security Algorithms
3,CCSA TC8
– WG2正在开展的项目
2004H176移动通信智能卡安全技术要求 手机终端安全要求 CDMA2000 系统的安全技术要求 2004H177.2基于PKI的移动通信用户与应用服务 之间端到端安全通信 第2部分:密钥管理 2004H177.3基于PKI的移动通信用户与应用服务 之间端到端安全通信 第3部分:认证机制
6,3GPP和3GPP2
3GPP TSG SA WG3 (Security) 3GPP2 TSG-S WG4 (Security)
7,其他
ECMA
– TC32——"通信,网络和系统互连"曾定义了开放系统应用层安全结 构 – TC36——"IT安全"负责信息技术设备的安全标准
ATM论坛
OASIS-OPEN ANSI NCITS-T4 制定IT安全技术标准 NIST 负责联邦政府非密敏感信息
三,工作重点(续)
– 下一代网络安全
NGN安全体系与框架 IPV6的安全性 软交换安全框架以及相应的安全通信模型,协 议,算法等 下一代网络监控技术(如VoIP,Wi-Fi, WiMAX的监管,IPSec监控等)研究
三,工作重点(续)
– 无线通信安全
3G,B3G(超3G)和4G的安全性 WLAN的安全性 超宽带无线通信(UWB)的安全性 移动宽带无线接入(MBWA)的安全性 卫星定位和同步的安全保障 家庭网络安全技术,包括安全模型,协议等
信息安全标准化建设手册
信息安全标准化建设手册第1章信息安全标准化概述 (4)1.1 信息安全标准化的重要性 (4)1.2 国内外信息安全标准化现状 (4)1.3 信息安全标准化的基本框架 (4)第2章信息安全管理体系 (5)2.1 信息安全政策与目标 (5)2.1.1 信息安全政策 (5)2.1.2 信息安全目标 (5)2.2 信息安全组织架构 (5)2.2.1 信息安全组织结构 (6)2.2.2 职责分配 (6)2.3 信息安全风险管理 (6)2.3.1 风险识别 (6)2.3.2 风险评估 (6)2.3.3 风险处置 (7)2.3.4 风险监控 (7)第3章物理与环境保护 (7)3.1 物理安全措施 (7)3.1.1 场地安全 (7)3.1.2 边界安全 (7)3.1.3 入侵检测与报警 (7)3.1.4 人员安全管理 (7)3.2 环境保护措施 (8)3.2.1 环境监控 (8)3.2.2 电力保障 (8)3.2.3 防火措施 (8)3.3 设备与介质管理 (8)3.3.1 设备管理 (8)3.3.2 介质管理 (8)3.3.3 数据备份与恢复 (8)第4章网络安全 (8)4.1 网络架构安全 (8)4.1.1 网络架构安全概述 (9)4.1.2 网络安全层次模型 (9)4.1.3 网络架构安全设计 (9)4.1.4 网络架构安全评估 (9)4.2 防火墙与入侵检测 (9)4.2.1 防火墙技术概述 (9)4.2.2 防火墙配置与管理 (9)4.2.3 入侵检测系统(IDS) (9)4.2.4 入侵防御系统(IPS) (9)4.3.1 VPN技术概述 (9)4.3.2 VPN关键技术解析 (10)4.3.3 VPN应用场景与部署 (10)4.3.4 VPN安全策略与运维 (10)第5章数据安全 (10)5.1 数据加密技术 (10)5.1.1 加密原理 (10)5.1.2 加密算法 (10)5.1.3 加密技术应用 (10)5.2 数据备份与恢复 (10)5.2.1 备份策略 (10)5.2.2 备份技术 (11)5.2.3 恢复实践 (11)5.3 数据库安全 (11)5.3.1 安全机制 (11)5.3.2 防护措施 (11)5.3.3 审计与监控 (11)5.4 数据生命周期管理 (11)5.4.1 数据分类与标识 (11)5.4.2 数据存储与访问控制 (11)5.4.3 数据共享与传输 (11)5.4.4 数据归档与销毁 (12)第6章应用系统安全 (12)6.1 应用系统开发安全 (12)6.1.1 开发过程安全管理 (12)6.1.2 代码安全审查 (12)6.1.3 安全编码规范 (12)6.2 应用系统部署安全 (12)6.2.1 部署环境安全 (12)6.2.2 应用系统安全配置 (12)6.2.3 应用系统安全加固 (12)6.3 应用系统运维安全 (12)6.3.1 运维安全管理 (12)6.3.2 安全监控与报警 (13)6.3.3 安全漏洞管理 (13)6.3.4 应用系统更新与升级 (13)6.3.5 应急响应与灾难恢复 (13)第7章终端设备安全 (13)7.1 终端设备管理策略 (13)7.1.1 管理策略概述 (13)7.1.2 采购与配置策略 (13)7.1.3 使用与维护策略 (13)7.1.4 报废与回收策略 (13)7.2.1 操作系统安全概述 (14)7.2.2 安全更新策略 (14)7.2.3 安全配置策略 (14)7.2.4 漏洞管理策略 (14)7.3 移动设备管理 (14)7.3.1 移动设备管理概述 (14)7.3.2 移动设备管理策略 (14)7.3.3 移动设备操作系统安全 (15)7.3.4 移动应用管理 (15)第8章人员与培训 (15)8.1 人员安全管理 (15)8.1.1 人员选拔 (15)8.1.2 背景调查 (15)8.1.3 人员离职 (15)8.2 岗位职责与权限 (16)8.2.1 岗位设置 (16)8.2.2 权限分配 (16)8.2.3 权限审计 (16)8.3 信息安全意识培训 (16)8.3.1 培训内容 (16)8.3.2 培训方式 (17)8.3.3 培训效果评估 (17)8.4 员工违规行为管理 (17)8.4.1 违规行为分类 (17)8.4.2 预防措施 (17)8.4.3 处理流程 (18)第9章应急响应与处理 (18)9.1 应急响应计划 (18)9.1.1 制定应急响应计划的目的 (18)9.1.2 应急响应计划的主要内容 (18)9.1.3 应急响应计划的实施与评估 (18)9.2 安全事件监测与报警 (18)9.2.1 安全事件监测 (18)9.2.2 报警与通报 (18)9.3 调查与处理 (19)9.3.1 调查 (19)9.3.2 处理 (19)第10章信息安全审计与合规性 (19)10.1 信息安全审计概述 (19)10.1.1 定义与目标 (19)10.1.2 审计原则 (19)10.2 审计程序与实施 (20)10.2.1 审计程序 (20)10.3 合规性检查与评估 (20)10.3.1 合规性检查 (20)10.3.2 合规性评估 (20)10.4 改进措施与持续优化 (21)10.4.1 改进措施 (21)10.4.2 持续优化 (21)第1章信息安全标准化概述1.1 信息安全标准化的重要性信息安全标准化作为维护国家网络安全、促进信息化发展的重要手段,其重要性不言而喻。
信息安全技术的国内外发展现状_概述及解释说明
信息安全技术的国内外发展现状概述及解释说明1. 引言1.1 概述:信息安全技术是在当今数字化时代中保障信息系统和网络安全的关键领域。
随着信息技术的迅猛发展,信息安全问题也日益凸显。
国内外都对信息安全技术的研究和应用给予了高度重视。
本文将从国内外两个维度来概述和解释信息安全技术的发展现状。
1.2 文章结构:本文分为五个部分。
引言部分主要介绍了本篇文章的概述、文章结构以及目的。
接下来将详细阐述国内和国外信息安全技术发展的现状,包括政策与法规推动、关键领域发展概况,以及存在的问题与挑战。
然后,我们会介绍主要国家和地区的情况、先进技术研究与应用实例,并探讨国际合作与交流情况。
在第四部分中,我们将对信息安全技术发展趋势进行分析,包括人工智能与大数据驱动下的创新、增强网络防御能力的新方法和技术,以及用户教育和意识提升的重要性认识。
最后,在结论与展望部分,我们会总结已有的成就并进行问题反思,并提出发展策略建议和未来预期方向。
1.3 目的:本文旨在全面梳理和介绍信息安全技术的国内外发展现状,既包括政策层面的推动和支持,也包括关键领域的发展情况。
同时,本文还将探讨目前所存在的问题和挑战,并从先进技术、网络防御能力以及用户教育等方面分析信息安全技术的未来趋势。
最后,根据实际情况提出相关建议和展望未来发展方向,为信息安全技术的进一步研究和应用提供参考依据。
2. 国内信息安全技术发展现状:2.1 政策与法规推动在国内,信息安全技术发展得到了政府的高度重视和支持,并制定了一系列政策和法规以促进其发展。
其中,2017年颁布的《网络安全法》是国内信息安全领域的重要里程碑。
该法规定了网络基础设施的保护、网络数据的安全、网络运营者的责任等方面内容,为信息安全提供了有力的法律保障。
2.2 关键领域发展概况在关键领域中,国内信息安全技术取得了长足进步。
首先,在网络攻防技术领域,国内专家团队通过不断研究攻击手段和防御方法,提高了网站和系统的安全性能。
信息安全标准化介绍
管理、 人力 资 源安 全 、 物理 和环 境 安全 、 信 和运 行 通 管 理 、 问控制 、 息 系统 的获 取 与 开 发维 护 、 息 访 信 信
安 全 事件 管 理 、 务 连 续 性 管 理 、 合 性 等 相 关 的 业 符 控 制 目标 和控 制措 施方 面 的最 佳实 践 。 IO/E 7 0 S I C 2 0 3关 注 依 据 IO/E 7 0 S I C 2 0 1成
思 想 。 理 解 I O I C 7 0 , 要 对 IO/E S /E 2 0 5 需 S IC
在 健康 信息 领域 的实 施 , I O/E 7 0 与 S I C 2 0 2是 成 对
实施 的标 准 。I O 2 7 9规定 了一 组详 细 的 管理 健 S 7 9
2 0 1和 I O/E 7 0 70 S I C 2 0 2中的概 念 、 型 、 模 过程 和术
管理体 系 , 出特 定 行 业 领 域 的 IMS应 用 指 南 , 提 S 提 出 了 I MS的合 格评 定 要 求 , 要描 述 了 P C S 简 D A 过程 在信 息安全 管 理 中的应 用 , 定 了 信 息安 全 管 规 理体 系标 准族 中使 用 的所 有术 语 。 I O I C 2 0 1 2 0 包 含 了适 用 于 所 有 类 型 S /E 7 0 :0 5
安 全 技 术
组 织 的信 息安 全管 理 体 系要 求 , 定 了建 立 、 施 、 规 实 运行 、 视 、 审 、 持 和改 进 一 个 文件 化 的信息 安 监 评 保 全 管理体 系 的要求 , 旨在 帮助 组 织在 整 体 业 务风 险
信息 安全 管理 体 系 信 息安全 控制 措施 实践 规则 I O I C DI 7 1 信 息技 术 S /E S 2 0 3 安 全技 术
我国信息安全标准化现状
我国信息安全标准化现状信息安全标准体系是信息安全保障体系中十分重要的技术体系,是整个信息安全标准化工作的指南。
信息安全标准体系主要作用突出地体现在两个方面,一是确保有关产品、设施的技术先进性、可靠性和一致性,确保信息化安全技术工程的整体合理、可用、互联互通互操作。
二是按国际规则实行IT产品市场准入时为相关产品的安全性合格评定提供依据,以强化和保证我国信息化的安全产品、工程、服务的技术自主可控。
本着“科学、合理、系统、适用”的原则,在充分借鉴和吸收国际先进信息安全技术标准化成果的基础上,初步形成了我国信息安全标准体系。
1.信息安全产品评测认证为配合信息安全等级保护制度的建立,促进信息安全产品评测认证工作,信安标委组织研究制定了如下标准:GB/T 20008—2005《信息安全技术操作系统安全评估准则》;GB/T 20009—2005《信息安全技术数据库管理系统安全评估准则》;GB/T 20010—2005《信息安全技术路由器安全评估准则》;GB/T 2001卜2005信息安全技术包过滤防火墙评估准则》;GB/T 20275—2006《信息安全技术入侵检测系统技术要求和测试评价方法》;GB/T 20274.1-2006《信息技术安全技术信息系统安全保障评估框架第一部分:简介和一般模型》GB/Z 20283—2006《信息技术安全技术保护轮廓和安全目标的产生指南》;信息安全标准化专栏GB/T 20272-2006《信息安全技术操作系统安全技术要求》;GB/T 2028 1-2006《信息安全技术防火墙技术要求和测试评价方法》;GB/T 20276-2006 息技术安全技术智能卡嵌入式软件安全技术要求(EAL4增强级)》;GB/T 20270-2006《信息安全技术网络安全基础技术要求》;GB/T 20278—2006《信息安全技术网络脆弱性扫描产品技术要求》;GB/T 20269-2006《信息安全技术信息系统安全管理要求》;GB/T 20271-2006《信息安全技术信息系统安全通用技术要求》;GB/T 20273-2006《信息安全技术数据库管理系统安全技术要求》;GB/T 20280—2006《信息安全技术网络脆弱性扫描产品测试评价方法》;GB/T 20277—2006《信息安全技术网络和端设备隔离部件测评方法》;GB/T 20279—2006《信息安全技术网络和端设备隔离部件技术要求》;GB/T 20282-2006《信息安全技术信息系统安全工程管理要求》。
国内外信息安全研究现状及发展趋势
国内外信息安全研究现状及发展趋势国内外信息安全研究现状及发展趋势(一)冯登国随着信息技术的发展与应用,信息安全的内涵在不断的延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为"攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)"等多方面的基础理论和实施技术。
信息安全是一个综合、交叉学科领域,它要综合利用数学、物理、通信和计算机诸多学科的长期知识积累和最新发展成果,进行自主创新研究,加强顶层设计,提出系统的、完整的,协同的解决方案。
与其他学科相比,信息安全的研究更强调自主性和创新性,自主性可以避免陷门",体现国家主权;而创新性可以抵抗各种攻击,适应技术发展的需求。
就理论研究而言,一些关键的基础理论需要保密,因为从基础理论研究到实际应用的距离很短。
现代信息系统中的信息安全其核心问题是密码理论及其应用,其基础是可信信息系统的构作与评估。
总的来说,目前在信息安全领域人们所关注的焦点主要有以下几方面:1)密码理论与技术;2)安全协议理论与技术;3)安全体系结构理论与技术;4)信息对抗理论与技术;5)网络安全与安全产品。
下面就简要介绍一下国内外在以上几方面的研究现状及发展趋势。
1.国内外密码理论与技术研究现状及发展趋势密码理论与技术主要包括两部分,即基于数学的密码理论与技术(包括公钥密码、分组密码、序列密码、认证码、数字签名、Hash函数、身份识别、密钥管理、PKI技术等)和非数学的密码理论与技术(包括信息隐形,量子密码,基于生物特征的识别理论与技术)。
自从1976年公钥密码的思想提出以来,国际上已经提出了许多种公钥密码体制,但比较流行的主要有两类:一类是基于大整数因子分解问题的,其中最典型的代表是RSA;另一类是基于离散对数问题的,比如ElGamal公钥密码和影响比较大的椭圆曲线公钥密码。
由于分解大整数的能力日益增强,所以对RSA的安全带来了一定的威胁。
ISMS信息安全管理及相关标准简介
信息安全管理及相关标准简介一、社会发展对信息资源的依赖程度人类正进入信息化社会,社会发展对信息资源的依赖程度越来越大,从人们日常生活、组织运作到国家管理,信息资源都是不可或缺的重要资源,没有各种信息的支持,现代社会将不能生存和发展。
在信息社会中,一方面信息已成为人类重要资产,在政治、经济、军事、教育、科技、生活等方面发挥着重要作用,另一方面计算机技术的迅猛发展而带来的信息安全问题正变得日益突出。
由于信息具有易传播、易扩散、易毁损的特点,信息资产的比传统的实物资产更加脆弱,更容易受到损害,使组织在业务运作过程中面临大量的风险。
其风险主要来源于组织管理、信息系统、信息基础设施等方面的固有薄弱环节,以及大量存在于组织内、外的各种威胁,因此对信息系统需要加以严格管理和妥善保护。
信息可以理解为消息、情报、数据或知识,它可以以多种形式存在,可以是组织中信息设施中存储与处理的数据、程序,可以是打印出来的或写出来的论文、电子邮件、设计图纸、业务方案,也可以显示在胶片上或表达在会话中消息。
所有的组织都有他们各自处理信息的形式,例如,银行、保险和信用卡公司都需要处理消费者信息,卫生保健部门需要管理病人信息,政府管理部门存储机密的和分类信息。
无论组织对这些信息采用什么样的共享、处理和存储方式,都需要对敏感信息加以安全、妥善的保护,不仅要保证信息处理和传输过程是可靠的、有效的,而且要求重要的敏感信息是机密的、完整的和真实的。
为达到这样的目标,组织必须采取一系列适当的信息安全控制措施才可以使信息避免一系列威胁,保障业务的连续性,最大限度地减少业务的损失,最大限度地获取投资回报。
在ISO27002中,对信息的定义更确切、具体:“信息是一种资产,像其他重要的业务资产一样,对组织具有价值,因此需要妥善保护”。
通过风险评估与控制,不但能确保企业持续营运,还能减少企业在面对类似‘911事件’之时出现的危机。
二、信息安全的内容网络技术的发展加速了信息的传输和处理,缩短了人们之间的时空距离,方便了交流;同时对信息安全提出了新的挑战。
【精品】国内外信息安全标准
国内外信息安全标准班级11062301 学号1106840341姓名杨直霖信息安全标准是解决有关信息安全的产品和系统在设计、研发、生产、建设、使用、检测认证中的一致性、可靠性、可控性,先进性和符合性的技术规范和技术依据。
因此,世界各国越来越重视信息安全产品认证标准的制修订工作。
国外信息安全标准发展现状:CC标准(Common Criteria for Information Technology Security Evaluation)是信息技术安全性评估标准,用来评估信息系统和信息产品的安全性。
CC标准源于世界多个国家的信息安全准则规范,包括欧洲ITSEC、美国TCSEC(桔皮书)、加拿大CTCPEC以及美国的联邦准则(Federal Criteria)等,由6个国家(美国国家安全局和国家技术标准研究所、加拿大、英国、法国、德国、荷兰)共同提出制定。
国际上,很多国家根据CC标准实施信息技术产品的安全性评估与认证。
1999年CCV2.1被转化为国际标准ISO/IEC15408-1999《Information technology-Security techniques-Evaluation criteria for IT security》,目前,最新版本ISO/IEC15408-2008采用了CCV3.1。
用于CC评估的配套文档CEM标准(Common Methodology for Information Technology Security Evaluation)提供了通用的评估方法,并且跟随CC标准版本的发展而更新。
CEM标准主要描述了保护轮廓(PP-Protection Profile)、安全目标(ST-Security Target)和不同安全保证级产品的评估要求和评估方法。
CEM标准于2005年成为国际标准ISO/IEC18045《Information technology-Security techniques-Methodology for ITsecurity evaluation》。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
4.3信息安全技术产品标准 -信息保障技术框架关注的领域
27. BMB20-2007《涉及国家秘密的信息系统分级保护 管理规范》(部分代替BMZ1-2000) 28.BMB21-2007《涉及国家秘密的载体销毁与信息消 除安全保密要求》 29.BMB22-2007《涉及国家秘密的信息系统分级保护 测评指南》(代替BMZ3-2001) 30. BMB23-2008《涉及国家秘密的信息系统分级保护 方案设计指南》(代替BMZ2-2001)
5
2011-11-8
4.2 保密标准
我国的保密标准均由国家保密局(WG2) 负责制定。至今已经完成30项相关标准。 他们是:
1. BMB1-1994《电话机电磁泄漏发射限值和测试方法 》 2. BMB2-1998《使用现场的信息设备电磁泄漏发射检 查测试方法和安全判据》 3. BMB3-1999《处理涉密信息的电磁屏蔽室的技术要 求和测试方法》 4. BMB4-2000《电磁干扰器技术要求和测试方法》
3.我国和国际标准化组织的工作组布局 TC260工作组布局
TC260
ISO/IEC JTC1 SC27 信息安全标准化工作内容
WG1:信息安全管理体系 WG2:密码学与安全机制 WG3:安全评价准则 WG4:安全控制与服务 WG5:身份管理与隐私保护技术
W G 1 标 准 体 系 与 协 调
预警(W) 保护(P) 检测(D) 响应(R) 恢复(R) 反击(C)
2
2011-11-8
七个安全属性
保密性 完整性 可用性 可认证性 不可否认性 可控性 可追究性
我国信息安全保障工作的基本制度性安排
信息安全等级保护 涉密信息系统的信息安全保障管理 密码技术的研究、开发、应用、管理 信息安全保障工作中的产品、服务认证认可 信息安全中内容安全监管
5. BMB5-2000《涉密信息设备使用现场的电磁泄漏发射 防护要求》 6. BMB6-2001《密码设备电磁泄漏发射限值》 7. BMB7-2001《密码设备电磁泄漏发射测试方法(总则 )》 8. BMB7.1-2001《电话密码机电磁泄漏发射测试方法》 9. BMB8-2004《国家保密局电磁泄漏发射防护产品检测 实验室认可要求》 10. BMB10-2004《涉及国家秘密的计算机网络安全隔 离设备的技术要求和测试方法》
6
2011-11-8
16. BMB16-2004《涉及国家秘密的信息系统安全隔离 与信息交换产品技术要求》 17. BMB17-2006《涉及国家秘密的信息系统分级保护 技术要求》(部分代替BMZ1-2000) 18. BMB18-2006《涉及国家秘密的信息系统工程 监理规范》 19. BMB19-2006《电磁泄漏发射屏蔽机柜技术要 求和测试方法》 20. GGBB1-1999《信息设备电磁泄漏发射限值》 21. GGBB2-1999《信息设备电磁泄漏发射测试方 法》
交换机和路 防火墙 由器 无线 VPN 外部设备 远程访问 多域解决方案 移动代码 门卫
检测和响应 多国信息 共享 IDS
4.4 信息安全评估标准
安全评估标准的发展经历了漫长的时间 最具影响的是上世纪80年代,美国国防部推出的 可信计算机安全评价准则(TCSEC)。 该标准(俗称橘皮书)基于贝尔.拉巴杜拉模型的 “禁止上读下写”原则,用访问控制机制(自主型 访问控制,强制型访问控制),针对计算机的保密 性需求,把计算机的可信级别分成四类七个等级。 橘皮书随后又补充了针对网络、数据库等安全需求 ,发展成彩虹系列。 我国至今唯一的信息安全强制标准GB 17859就 是参考橘皮书制定的。 GB 17859根据我们的产 业能力,将信息安全产品分成五个等级。
11. BMB11-2004《涉及国家秘密的计算机信息系统防 火墙安全技术要求》 12. BMB12-2004《涉及国家秘密的计算机信息系统漏 洞扫描产品技术要求》 13. BMB13-2004《涉及国家秘密的计算机信息系统入 侵检测产品技术要求》 14. BMB14-2004《涉及国家秘密的信息系统安全保密 测评实验室要求》 15. BMB15-2004《涉及国家秘密的信息系统安全审计 产品技术要求》
GB/T 20520-2006 GB/T 20519-2006
《信息安全技术 公钥基础设施 PKI系统安全等级保护评估准 则》 《信息安全技术 公钥基础设施 PKI系统安全等级保护技术要 求》 《信息安全技术 公钥基础设施 电子签名卡应用接口基本要 求》 《信息安全技术 公钥基础设施 简易在线证书状态协议》 《信息安全技术 公钥基础设施 X.509数字证书应用接口规范》 《信息安全技术 公钥基础设施 XML数字签名语法与处理规 范》 《信息安全技术 公钥基础设施 签名生成应用程序的安全要 求》 《信息系统安全技术 证书认证系统密码及其相关安全技术 规范》 《信息安全技术 公钥基础设施安全支撑平台技术框架》 《信息安全技术 公钥基础设施 电子签名格式规范》
4
2011-11-8
密码算法和模块标准
目前我国有关密码应用的标准
GB/T 17964-2008 GB/T 15843.1-2008 GB/T 15843.2-2008 GB/T 15843.3-2008 GB/T 15843.4-2008 GB/T 15843.5-2005 GB/T 15852.1-2008 《信息安全技术 分组密码算法的工作模式》 《信息技术 安全技术 实体鉴别 第1部分: 概述》 《信息技术 制》 《信息技术 制》 《信息技术 制》 《信息技术 制》 《信息技术 制》 安全技术 实体鉴别 第2部分: 采用对称加密算法的机 安全技术 实体鉴别 第3部分: 采用数字签名技术的机 安全技术 实体鉴别 第4部分: 采用密码校验函数的机 安全技术 实体鉴别 第5部分:使用零知识技术的机 安全技术 消息鉴别码 第1部分:采用分组密码的机
22. BMZ1-2000《涉及国家秘密的计算机信息系统保密 技术要求》(已被BMB17-2006和BMB20-2007 代替) 23. BMZ2-2001《涉及国家秘密的计算机信息系统安全 保密方案设计指南》(已被BMB23-2008代替) 24. BMZ3-2001《涉及国家秘密的计算机信息系统安全 保密测评指南》(已被BMB22-2007代替) 25. BMB9.1-2007《保密会议移动通信干扰器技术要求 和测试方法》 26. BMB9.2-2007《保密会议移动通信干扰器安装使用 指南》
GB/T 21054-2007 GB/T 21053-2007 GB/T 25057–2010 GB/T 25059–2010 GB/T 25060–2010 GB/T 25061–2010 GB/T 25065-2010 GB/T 25056–2010 GB/T 25055–2010 GB/T 25064–2010
7
2011-11-8
信息安全技术产品标准
-根据技术保障框架形成保护要求(IATF)
保卫网络和 基础设施 保卫边界和 外部连接 保卫局域计 算环境 操作系统 生物识别技 术 单级WEB 令牌 移动代码 消息安全 数据库 支撑性基础设施 PKI/KMI 证书管理 密钥恢复 第四级PKI 目录 系统轮廓
赵战生 2011年9月22日西宁 2011年11月3日 重庆
1.信息安全标准化工作的重要性
曲维枝同志指出: 没有信息安全的信息化是危险的信息 化;没有完善的信息安全标准,信息化建 设中的产品、系统、工程就不能实现安全 的互联、互通、互操作,就不能形成我国 自主的信息安全产业,就不能构造出一个 自主可控的信息安全保障体系,就难以保 证国家信息安全和国家利益。
4.1 密码应用标准
密码算法的标准化工作,美国进行的最为 有序、深化。在其国家安全局(NSA)的 支持、帮助、监控下,民用密码标准由其 商务部(DOC)下属的国家技术标准研究 所(NIST)负责制定。 从上世纪颁布的国家数据加密标准(DES ),到为本世纪需要遴选出来的先进的加 密标准(AES);从RSA到ECC,以及密 码模块的安全要求,他们有了全局部署。
2011-11-8
国内外信息安全标准化 情况概要
中国科学院研究生院 信息安全国家重点实验室 全国信息安全技术标准化委员会 WG7
概要
1.信息安全标准化工作的重要性 2.需要什么标准 3.我国和国际标准化组织的工作组布局 4.国内外信息安全标准的主要成果
4.1 4.2 4.3 4.4 4.5 4.6 密码应用标准 保密标准 信息安全技术产品标准 信息安全评估标准 信息系统安全标准 信息安全管理标准
GB/T 17903.1-2008 GB/T 17903.2-2008
《信息技术 安全技术 抗抵赖 第1部分: 概述》 《信息技术 安全技术 抗抵赖 第2部分: 采用对称技术的机制》 《信息技术 安全技术 抗抵赖 第3部分: 采用非对称技术的机制》
L
OIS
GB/T 17903.3-2008
GB/T 19717-2005 GB/T 19771-2005 GB/T 19713-2005 GB/T 19714-2005 GB/T 20518-2006 GB/T 17902.2-2005 GB/T 17902.3-2005
2.需要什么标准
从保密,保护到保障
保护 INFΒιβλιοθήκη SEC预警(W) 保护(P) 检测(D) 反应(R) 恢复 (R) 反击(C)
保障 IA
保密 COMSEC
保密性 80年代
保密性 完整性 可用性
保密性 完整性 可用性 真实性 不可否认性 现在
90年代
1
2011-11-8
到底信息安全保障应该包括那些方面?!
一个宗旨:保障信息化带来的利益最大化(应 用服务安全) 两个对象:
信息 信息系统
四个层面
局域计算环境 边界和外部连接 基础设施 信息内容