您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 经营企划 > CISP-22-信息安全标准
信息安全标准中国信息安全测评中心2008年10月目录一.标准基础知识简介二.国际、外国、我国信息安全标准化机构三.信息安全相关国际标准和指南四.信息安全相关国内标准和指南五.一些补充材料一、标准基础知识简介国家标准:GB/TXXXX.X-200XGBXXXX-200X行业标准:GA,GJB地方标准:DBXX/TXXX-200XDBXX/XXX-200X企业标准:QXXX-XXX-200X标准化基础知识(1/4)标准化基础知识(2/4)标准化:为在一定的范围内获得最佳秩序,对实际的或潜在的问题制定共同的和重复使用的规则的活动实质:通过制定、发布和实施标准,达到统一。目的:获得最佳秩序和社会效益。意义:促进和带动产业发展;解决安全互联互通。国际级区域级国家级行业级地方级企业级人员服务系统产品过程管理应用技术机制体系、框架术语XYZX轴代表标准化对象Y轴代表标准化的内容Z轴代表标准化的级别。标准化基础知识(3/4)标准化三维空间我国通行“标准化八字原理”:•“统一”原理•“简化”原理•“协调”原理•“最优”化原理标准化基础知识(4/4)标准化管理性质•标准化提供的事公共服务,依法管理•标准化管理的性质是国家公共行政行为。标准化的管理•标准化管理机构国务院授权履行行政管理职能,主管机构是国家标准化管理委员会(StandardizationAdministrationofthePeople’sRepublicofChina,简称:SAC)•标准的制定修全国专业标准化技术委员会是由国家标准化主管机构依法组建的专家型技术组织我国标准化管理和组织机构国家标准化管理委员会,全国信息安全标准化技术委员会(简称信息安全标委会,TC260),全国信息技术标准化技术委员会(简称信标委,英文缩写为CITS),负责全国信息技术领域以及与ISO/IECJTC1相对应的标准化工作。全国金融标准化技术委员会(简称金标委),负责金融系统标准化技术归口管理工作和国际标准化组织中银行与相关金融业务标准化技术委员会(ISO/TC68、TC222)的归口管理工作。我国标准工作归口单位标准化基础采标:•等同采用IDT(identical)•修改采用MOD(modified)•非等效采用NEQ(notequivalent)•修改和非等效采用时的国际互认问题?IT标准化IT标准发展趋势•(1)标准逐步从技术驱动向市场驱动方向发展。•(2)信息技术标准化机构由分散走向联合。•(3)信息技术标准化的内容更加广泛,重点更加突出,从IT技术领域向社会各个领域渗透,涉及教育、文化、医疗、交通、商务等广泛领域,需求大量增加。•(4)从技术角度看,IT标准化的重点将放在网络接口、软件接口、信息格式、安全等方面,并向着以技术中立为前提,保证互操作为目的方向发展。二、国际、外国、我国信息安全标准化机构信息安全标准化组织国际标准——ISO(国际标准化组织)由146个国家标准成员(每个国家一个)组成的世界联盟•建立于1947()•2.952技术成员190技术委员会(TCs)、544子委员会(SCs)、2.188工作组(WGs)•工作成果发布为国际标准(IS)同安全相关的机构•ISO/IECJTC1/SC27:IT安全技术•ISOTC68“金融服务(FinancialServices)”•ISOTC215“健康医疗学(HealthInformatics)”国际信息安全相关组织(1/4)ISO•JTC1其他分技术委员会:SC6—系统间通信与信息交换SC17—识别卡和有关设备SC18—文件处理及有关通信SC21—开放系统互连,数据管理和开放式分布处理SC22—程序语言,其环境及系统软件接口,也开发相应的安全标准。SC30—开放式电子数据交换,主要开发电子数据交换的有关安全标准。国际信息安全相关组织(2/4)IEC•TC56可靠性;•TC74IT设备安全和功效;•TC77电磁兼容;•CISPR无线电干扰特别委员会ITU•前身是CCITT•消息处理系统•目录系统(X.400系列、X.500系列)•安全框架•安全模型等标准国际信息安全相关组织(3/4)IETF(170多个RFC、12个工作组)•PGP开发规范(openpgp);•鉴别防火墙遍历(aft);•通用鉴别技术(cat);•域名服务系统安全(dnssec);•IP安全协议(ipsec);•一次性口令鉴别(otp);•X.509公钥基础设施(pkix);•S/MIME邮件安全(smime);•安全Shell(secsh);•简单公钥基础设施(spki);•传输层安全(tls)•Web处理安全(wts)国际信息安全相关组织(4/4)IEEE•SILS(LAN/WAN)安全•P1363公钥密码标准ECMA(欧洲计算机厂商协会)•TC32——“通信、网络和系统互连”曾定义了开放系统应用层安全结构;•TC36——“IT安全”负责信息技术设备的安全标准。外国信息安全标准化组织(1/2)美国•ANSINCITS-T4制定IT安全技术标准X9制定金融业务标准X12制定商业交易标准•NIST负责联邦政府非密敏感信息FIPS-197NISTSpecialPublication800系列•DOD负责涉密信息NSA国防部指令(DODI)(如TCSEC)•英国•BS7799•医疗卫生信息系统安全•加拿大–计算机安全管理•日本–JIS国家标准–JISC工业协会标准•韩国–KISA负责–防火墙、IDS、PKI方面标准外国信息安全标准化组织(2/2)我国全国信息安全标准化技术委员会TC2602002年4月15日成立•共54个标准(2007年1月31日更新)•其中2002年前21个标准目前分为6个工作组:•WG1:标准体系与协调•WG2:涉密•WG3:密码•WG4:标识与鉴别•WG5:信息安全评估•WG7:信息安全管理三、信息安全相关国际标准和指南词汇安全体系结构安全框架安全模型GB/T5271.8-2000信息技术词汇第8部分:安全GB/T9387.2-1995开放系统互连基本参考模型第2部分:安全体系结构ISO/IEC10181-1~7开放系统的安全框架GB/T17965高层安全模型GB/T18231低层安全模型ISO/IEC15443-1IT安全保障框架IATF信息保障技术框架ISO/IEC11586-1~6通用高层安全网络层安全GJB2256-1994军用计算机安全术语RFC2401因特网安全体系结构ISO/IEC7498-4管理框架传输层安全信息安全基础标准信息技术安全评估标准的历史和发展1985年美国国防部可信计算机评估准则(TCSEC)1999年GB17859计算机信息系统安全保护等级划分准则2001年GB/T18336信息技术安全性评估准则1991年欧洲信息技术安全性评估准则(ITSEC)1989年英国可信级别标准(MEMO3DTI)德国评估标准(ZSEIC)法国评估标准(B-W-RBOOK)1993年美国NIST的MSFR1993年加拿大可信计算机产品评估准则(CTCEC)1993年美国联邦准则(FC1.0)国际通用评估准则•1996年,CC1.0•1998年,CC2.0•1999年,CC2.11999年国际标准ISO/IEC15408可信计算机系统评估准则(TCSEC)•信息安全技术的里程碑•1985年作为美国国防部标准(DoD)发布(DoD5200.28-STD)•桔皮书简介•主要为军用标准。延用至民用。•主要针对主机型分时操作系统,主要关注保密性•安全级别主要按功能分类•安全级别从高到低分为A、B、C、D四级,级下再分小级,包含D、C1、C2、B1、B2、B3、A1这7个级别。•后发展为彩虹系列彩虹系列•桔皮书:可信计算机系统评估准则•黄皮书:桔皮书的应用指南•红皮书:可信网络解释•紫皮书:可信数据库解释•。。。可信计算机系统评估准则(TCSEC)D:最小保护MinimalProtectionC1:自主安全保护DiscretionarySecurityProtectionC2:访问控制保护ControlledAccessProtectionB1:安全标签保护LabeledSecurityProtectionB2:结构化保护StructuredProtectionB3:安全域保护SecurityDomainA1:验证设计保护VerifiedDesign低保证系统高保证系统可信计算机系统评估准则(TCSEC)安全级别可信计算机系统评估准则(TCSEC)缺陷集中考虑数据保密性,而忽略了数据完整性、系统可用性等;将安全功能和安全保证混在一起安全功能规定得过为严格,不便于实际开发和测评信息技术安全性评估准则(ITSEC)欧洲多国安全评价方法的综合产物,军用,政府用和商用。以超越TCSEC为目的,将安全概念分为功能与功能评估两部分。功能准则在测定上分10级。1-5级对应于TCSEC的C1到B3。6-10级加上了以下概念:•F-IN:数据和程序的完整性F-AV:系统可用性•F-DI:数据通信完整性F-DC:数据通信保密性•F-DX包括保密性和完整性的网络安全评估准则分为6级:•E1:测试E2:配置控制和可控的分配•E3:能访问详细设计和源码•E4:详细的脆弱性分析E5:设计与源码明显对应•E6:设计与源码在形式上一致。信息技术安全性评估准则(ITSEC)与TCSEC的不同安全被定义为保密性、完整性、可用性功能和质量/保证分开对产品和系统的评估都适用,提出评估对象(TOE)的概念•产品:能够被集成在不同系统中的软件或硬件包;•系统:具有一定用途、处于给定操作环境的特殊安全装置可信计算机产品评估准则(CTCEC)加拿大,1989年公布,专为政府需求而设计与ITSEC类似,将安全分为功能性需求和保证性需要两部分。功能性要求分为四个大类:•a保密性b完整性c可用性d可控性在每种安全需求下又分成很多小类,表示安全性上的差别,分级条数为0-5级。美国联邦准则(FC)对TCSEC的升级1992年12月公布引入了“保护轮廓(PP)”这一重要概念每个轮廓都包括功能部分、开发保证部分和评测部分。分级方式与TCSEC不同,吸取了ITSEC、CTCPEC中的优点。供美国政府用、民用和商用。GB17859-1999计算机信息系统安全等级划分准则第一级用户自主保护级→自主保护第二级系统审计保护级→指导保护第三级安全标记保护级→监督保护第四级结构化保护级→强制保护第五级访问验证保护级→专控保护通用准则(CC)GB/T18336国际标准化组织统一现有多种准则的努力结果;1993年开始,1996年出V1.0,1998年出V2.0,1999年6月正式成为国际标准,1999年12月ISO出版发行ISO/IEC15408;主要思想和框架取自ITSEC和FC;充分突出“保护轮廓”,将评估过程分“功能”和“保证”两部分;是目前最全面的评价准则通用准则(CC)国际上认同的表达IT安全的体系结构一组规则集一种评估方法,其评估结果国际互认•通用测试方法(CEM)已有安全准则的总结和兼容通用的表达方式,便于理解灵活的架构•可以定义自己的要求扩展CC要求准则今后发展的框架评测级别对应GB/T18336CCGB17859TCSECCTCPECITSECDT-0E0EAL1-T-1-EAL2第一级C1T-2E1EAL3第二级C2T-3E2EAL4第三级B1T-4E3EAL5第四级B2T-5E4EAL6第五级B3T-6E5EAL7A1T-7E6保证功能EAL1EAL2EAL3EAL4EAL5EAL6EAL7E0E1E2E3E4E
本文标题:CISP-22-信息安全标准
链接地址:https://www.777doc.com/doc-4368374 .html