安全标准

税务系统网络与信息安全技术培训班安全标准2004年6月要点一、信息安全及标准化介绍二、基础标准三、技术机制安全标准四、应用安全标准五、管理类安全标准六、信息安全标准对比一、信息安全及标准化介绍信息安全概述标准化基础知识国际信息安全标准化组织我国信息安全标准化归口单位信息安全标准体系21世纪，国家经济与社会文化发展的主要战略目标与技术产业动力，国家实现现代化的基本途径内容：领域信息化•党政机关•国防军事•银行•证券•新闻•文化•社会基础设施（电力、航空、交通等）区域信息化（北京、上海、深圳等）社区信息化企业信息化家庭信息化1.信息安全概述性质：信息技术以网络化的方式应用于社会生活各方面时，对国家、社会、个人安全利益的侵害与保护关键点：安全利益：国家、社会、个人的生存和发展的利益信息技术：侵害——信息、信息系统（网络化）以及信息和信息系统关联的主体（国家、社会、个人）的特定安全利益保护——信息、信息系统（网络化）以及信息和信息系统关联的主体（国家、社会、个人）的特定安全利益核心问题：信息技术：特性和过程结果可侵害或保护国家、社会、个人的安全利益信息安全党的十五届五中全会和第九届人大第六次会议决定建立国家信息安全保障体系性质：国家以国家意志和国家行为的方式，在信息技术方面所形成的用于保护其安全利益的资源和能力，这种资源和能力体现为特定形态和过程的技术结构、社会结构和人才结构内容技术资源管理资源人力资源信息安全保障体系2.标准化基础标准：标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践的综合成果为基础，经有关方面协商一致，由主管部门批准，以特定的方式发布，作为共同遵守的准则和依据。强制性标准：保障人体健康、人身、财产安全的标准和法律、行政法规规定强制执行的标准；其它标准是推荐性标准。我国标准分四级：国家标准、行业标准、地方标准、企业标准。国家标准：对需要在全国范围内统一的技术要求(含标准样品的制作）。GB/TXXXX.X-200XGBXXXX-200X行业标准：没有国家标准，需要在全国某个行业范围内统一的技术要求。GA,SJ地方标准：没有国家标准、行业标准而又需要在省、自治区、直辖市范围内统一的工业产品的安全、卫生要求。DBXX/TXXX-200XDBXX/XXX-200X企业标准：对企业范围内需要统一的技术要求、管理要求和工作要求。QXXX-XXX-200X标准分类标准化定义标准化：为在一定的范围内获得最佳秩序，对实际的或潜在的问题制定共同的和重复使用的规则的活动实质：通过制定、发布和实施标准，达到统一。目的：获得最佳秩序和社会效益。标准化对象标准化三维空间国际级区域级国家级行业级地方级企业级人员服务系统产品过程管理应用技术机制体系、框架术语XYZX轴代表标准化对象，Y轴代表标准化的内容，Z轴代表标准化的级别。标准化原理我国通行“标准化八字原理”：“统一”原理“简化”原理“协调”原理“最优”化原理采标等同采用idt（identical）：指技术内容相同，没有或仅有编辑性修改，编写方法完全相对应；修改采用MOD（modified）：与国际标准之间存在技术性差异，有编辑性修改，可能不采用部分条款非等效采用NEQ（notequivalent）：指技术内容有重大差异，只表示与国际标准有关。3.国际信息安全标准化组织ISOIECITUIETF美国欧洲英国加拿大日本韩国信息安全标准化组织－ISOJTC1SC27，信息技术-安全技术ISO/TC68银行和有关的金融服务SC2，安全管理和通用银行运作；SC4，安全及相关金融工具；SC6，零售金融服务。JTC1其他分技术委员会：SC6—系统间通信与信息交换，主要开发开放系统互连下四层安全模型和安全协议，如ISO9160、ISO/IEC11557。SC17—识别卡和有关设备，主要开发与识别卡有关的安全标准ISO7816SC18—文件处理及有关通信，主要开发电子邮件、消息处理系统等。SC21—开放系统互连，数据管理和开放式分布处理，主要开发开放系统互连安全体系结构，各种安全框架，高层安全模型等标准，如:ISO/IEC7498-2、ISO/IEC9594-1至8。SC22—程序语言，其环境及系统软件接口，也开发相应的安全标准。SC30—开放式电子数据交换，主要开发电子数据交换的有关安全标准。如ISO9735-9、ISO9735-10。信息安全标准化组织－IEC/ITU•IECTC56可靠性；TC74IT设备安全和功效；TC77电磁兼容；CISPR无线电干扰特别委员会•ITU前身是CCITT消息处理系统目录系统(X.400系列、X.500系列)安全框架安全模型等标准信息安全标准化组织－IETF•IETF（170多个RFC、12个工作组）1.PGP开发规范(openpgp)；2.鉴别防火墙遍历(aft)；3.通用鉴别技术(cat)；4.域名服务系统安全(dnssec)；5.IP安全协议(ipsec)；6.一次性口令鉴别(otp)；7.X.509公钥基础设施(pkix)；8.S/MIME邮件安全(smime)；9.安全Shell(secsh)；10.简单公钥基础设施(spki)；11.传输层安全(tls)12.Web处理安全(wts)信息安全标准化组织－美国ANSINCITS-T4制定IT安全技术标准X9制定金融业务标准X12制定商业交易标准NIST负责联邦政府非密敏感信息FIPS-197DOD负责涉密信息NSA国防部指令（DODDI）（如TCSEC）IEEESILS（LAN/WAN）安全P1363公钥密码标准信息安全标准化组织－欧洲ECMA(欧洲计算机厂商协会)TC32——“通信、网络和系统互连”曾定义了开放系统应用层安全结构；TC36——“IT安全”负责信息技术设备的安全标准。信息安全标准化组织－英、加、日、韩•英国BS7799医疗卫生信息系统安全•加拿大–计算机安全管理•日本–JIS国家标准–JISC工业协会标准•韩国–KISA负责–防火墙、IDS、PKI方面标准4.我国标准工作归口单位2001年10月11日成立国家标准化委员会信息技术标准委员会全国信息安全标准化技术委员会（简称信息安全标委会，TC260）于2002年4月15日在北京正式成立。信息安全标委会工作组设置信息安全标准体系与协调工作组（WG1）内容安全分级及标识工作组（WG2）PKI/PMI工作组（WG4）信息安全评估工作组（WG5）应急处理工作组（WG6）信息安全管理（含工程与开发）工作组（WG7）电子证据及处理工作组（WG8）身份标识与鉴别协议工作组（WG9）操作系统与数据库安全工作组（WG10）信息安全标准体系与协调工作组(WG1)研究信息安全标准体系；跟踪国际信息安全标准发展动态；研究、分析国内信息安全标准的应用需求；研究并提出新工作项目及设立新工作组的建议；各工作组项目的协调；PKI/PMI工作组(WG4)PKI结构框架PKI技术模块PKI主要功能PKI/CA结构PKI/数字证书管理PKI/CRL管理PKI/CA间交叉认证PKI/数字证书查询PKI的应用技术和应用模块PKI体系安全保护PMI结构框架PMI技术模块PMI主要功能PMI应用技术PMI管理机制信息安全评估工作组(WG5)工作范围：与其它工作组协调，组织相关标准制定。主要工作内容：安全评估等级划分；研究国内外信息安全测试、评估与认证标准；对国内已有的测试、评估与认证标准进行统一协调；提出我国目前急需的信息安全测试、评估与认证标准目录。信息安全管理（含工程与开发）工作组(WG7)工作范围：对信息安全的行政、技术、人员等管理提出规范要求及指导指南信息安全管理指南；信息安全管理实施规范；人员培训教育及录用要求；信息安全社会化服务管理规范；安全策略要求与指南；5.标准体系标准体系：一定范围内标准按其内在联系形成的科学的有机整体标准体系是具有层次的，我国全国标准体系表可分成五个层次。1、全国通用标准4、门类通用标准3、专业通用标准2、行业通用标准5、产品、过程、服务、管理标准第一层第二层第三层第四层第五层全国标准体系第一层第二层第三层专业标准体系第一层第二层第三层第四层行业标准体系信息安全标准体系•基础类标准•技术机制类标准•应用类标准•安全管理标准5.1基础类标准1、信息技术安全词汇2、信息技术安全体系结构3、信息技术安全框架4、信息技术安全模型5.2技术机制类标准加密机制签名机制完整性机制鉴别机制访问控制机制抗抵赖机制路由选择控制机制通信业务填充机制公证机制可信功能度事件检测和报警安全审计跟踪安全标记安全恢复5.3应用类标准应用基础应用产品应用系统特殊行业5.4管理类安全标准管理基础系统管理测评认证小结（重点记忆）标准化基础国家标准的写法；公安部标准的写法；等同采标的写法；修改采标的含义；标准化八字原理国外信息安全标准化组织我国信息安全标准化归口我国信息安全标准化归口单位；信息安全标准体系二、信息安全基础标准词汇安全体系结构安全框架安全模型GB/T5271.8-2000信息技术词汇第8部分：安全GB/T9387.2-1995开放系统互连基本参考模型第2部分：安全体系结构ISO/IEC10181-1~7开放系统的安全框架GB/T17965高层安全模型GB/T18231低层安全模型ISO/IEC15443-1IT安全保障框架IATF信息保障技术框架ISO/IEC11586-1~6通用高层安全网络层安全GJB2256-1994军用计算机安全术语RFC2401因特网安全体系结构ISO/IEC7498-4管理框架传输层安全基础标准目录1、信息技术安全词汇数据处理词汇08部分：控制、完整性和安全性（GB/T5271.8-1993：idtISO2382.8-1996）计算机安全术语规范（GJB2256-94）2、信息技术安全体系结构OSI安全体系结构（9387.2-1995idtISO7498-2）TCP/IP安全体系结构(RFC1825)通用数据安全体系（CDSA）3、信息技术安全框架开放系统安全框架（ISO10181-1）鉴别框架（ISO10181-2）访问控制框架（ISO10181-3）抗抵赖框架（ISO10181-4）完整性框架（ISO10181-5）保密性框架（ISO10181-6）安全审计框架（ISO10181-7）管理框架（ISO7498-4）信息技术安全保证框架(ISO/IECWD15443:1999)信息保障技术框架（IATF）4、信息技术安全模型高层安全模型（ISO10745）（3层）通用高层安全(ISO/IEC11586)低层安全模型(ISO/IEC13594)（四层）传输层安全模型网络层安全模型1.基于OSI七层协议的安全体系结构OSI参考模型7应用层6表示层5会话层4传输层3网络层2链路层1物理层安全机制公证路由选择控制通信业务填充鉴别交换数据完整性访问控制数字签名加密安全服务鉴别服务访问控制数据完整性数据机密性抗抵赖五种安全服务鉴别：提供对通信中的对等实体和数据来源的鉴别。访问控制：提供保护以对抗开放系统互连可访问资源的非授权使用。可应用于对资源的各种不同类型的访问（例如，使用通信资源，读、写或删除信息资源，处理资源的操作），或应用于对某种资源的所有访问数据机密性：对数据提供保护使之不被非授权地泄露数据完整性：对付主动威胁。在一次连接上，连接开始时使用对某实体鉴别服务，并在连接的存活期使用数据完整性服务就能联合起来为在此连接上传送的所有数据单元的来源提供确证，为这些数据单元的完整性提供确证。抗抵赖：可取有数据原发证明的抗抵赖、有交付证明的抗抵