CISP0502信息安全标准介绍

信息安全标准介绍培训机构名称讲师名字课程内容2知识域：安全标准化概述知识子域：信息安全标准化概况了解标准和标准化的基本概念和作用了解信息安全标准体系知识子域：信息安全标准化组织了解国际信息安全标准化组织了解我国信息安全标准化组织3标准和标准化的基本概念标准为了在一定范围内获得最佳秩序，经协商一致制定并由公认机构批准，共同使用的和重复使用的一种规范性文件。标准化（GB/T20000.1-2002）为了在一定范围内获得最佳秩序，对现实问题或潜在问题制定共同使用和重复使用的条款的活动。4标准和标准化组织国际标准由国际标准化组织或国际标准组织通过并公开发布的标准国家标准由国家标准机构通过并公开发布的标准国际标准化组织（ISO）其成员资格向每个国家的有关国家机构开放的标准化组织国家标准机构在国家层面上承认的，有资格成为相应的国际和区域标准组织的国家成员的标准机构（中国国家标准化管理委员会）5标准化的特点标准化的对象：共同的、可重复的事物标准化的动态性标准化的相对性标准化的效益6标准化的原则简化统一协调优化7标准的作用标准是进行贸易的基本条件标准能够提高企业的经济效益标准能够提高国民经济效益8标准能打破技术壁垒，标准也能成为新的技术壁垒我国标准化领域的主要法规文件1）中华人民共和国标准化法2）中华人民共和国标准化法实施条例3）中华人民共和国标准化法条文解释4）国家标准管理办法5）行业标准管理办法6）地方标准管理办法7）企业标准化管理办法8）农业标准化管理办法9）能源标准化管理办法10）信息分类编码标准化管理办法11）采用国际标准管理办法12）全国专业标准化技术委员会章程…………9标准的编制过程阶段代码阶段名称阶段主要任务00预阶段标准制定的前期研究，提出标准立项建议10立项阶段标准立项20起草阶段起草标准征求意见稿和编制说明30征求意见阶段征求意见完成送审稿和意见汇总处理表40审查阶段会审或函审完成报批稿和审查会纪要50批准阶段主管部门审查并批准发标准60出版阶段提供纸质或电子版标准90复审阶段对实施达五年的标准进行复审95废止阶段对无存在价值的标准予以废止10我国国家标准的代码GB强制性国家标准GB/T推荐性国家标准GB/Z国家标准化指导性技术文件11我国信息安全标准体系框架物理安全标准系统与网络标准应用与工程标准基础标准管理标准12一种信息安全标准体系结构信息安全标准技术框架标准结构说明标准术语汇编信息安全工程标准安全测评标准安全能力评估系统安全结构安全系统结构系统安全管理基础性安全技术标准密码算法散列函数实体鉴别消息鉴别消息加密抗抵赖信息安全技术标准网络信任域计算机病毒虚拟专用网安全芯片入侵检测安全预警安全体制信息隐藏物理安全安全基础设施标准PKI技术标准PMI技术标准KMI技术标准应用系统安全技术标准应用系统安全标准安全中间件标准应用中间件标准13另一种信息安全标准体系结构信息安全标准体系基础类标准技术标准应用标准服务标准管理标准安全框架安全模型安全机制设备网络安全工程应急响应服务资质管理基础系统管理安全测评术语体系结构无线网络有线网络专用安全产品涉及网间互联的设备无线电通信设备电信通信终端设备14国际信息安全标准化组织ISOJTC1JTC1SC27信息技术安全技术信息安全管理体系工作组密码与安全机制工作组安全评估准则工作组安全控制与服务工作组身份管理与隐私技术工作组国际标准提案《ISMS审核指南》国际标准提案《三元实体鉴别》国际标准《信息安全事件管理》合作编辑国际标准提案《基于三元实体鉴别的访问控制方法》15国际信息安全标准化组织JTC1其他分技术委员会：SC6—系统间通信与信息交换，主要开发开放系统互连下四层安全模型和安全协议，如ISO9160、ISO/IEC11557SC17—识别卡和有关设备，主要开发与识别卡有关的安全标准。SC18—文件处理及有关通信，主要开发电子邮件、消息处理系统等安全标准SC21—开放系统互连，数据管理和开放式分布处理，主要开发开放系统互连安全体系结构，各种安全框架，高层安全模型等标准，如:ISO/IEC7498-2、ISO/IEC9594-1至8SC22—程序语言，其环境及系统软件接口，也开发相应的安全标准SC30—开放式电子数据交换，主要开发电子数据交换的有关安全标准。如ISO9735-9、ISO9735-1016国际信息安全标准化组织ISO/TC68银行及相关金融业务目前已颁布了多个安全相关标准IECTC56可靠性；TC74IT设备安全和功效；TC77电磁兼容；CISPR无线电干扰特别委员会ITU-T(PKI方面)前身是CCITT消息处理系统目录系统(X.400系列、X.500系列)安全框架安全模型等标准17国际信息安全标准化组织IETF（170多个RFC、17个工作组）IntrusionDetectionExchangeFormatExtendedIncidentHandlingIPSecurityProtocolIPSecurityPolicyIPSecurityRemoteAccessKerberizedInternetNegotiationofKeysKerberosWGMulticastSecurityAnOpenSpecificationforPrettyGoodPrivacy18Public-KeyInfrastructure(X.509)SecurelyAvailableCredentialsSecureShellS/MIMEMailSecuritySecureNetworkTimeProtocolSecurityIssuesinNetworkEventLoggingTransportLayerSecurityXMLDigitalSignatures国际信息安全标准化组织ECMATC32——“通信、网络和系统互连”曾定义了开放系统应用层安全结构TC36——“IT安全”负责信息技术设备的安全标准ESTI(GSM)ATM论坛3GPP密码3GPP2密码19美国标准化组织ANSINCITS-T4制定IT安全技术标准X9制定金融业务标准X12制定商业交易标准(EDI)NIST负责联邦政府非密敏感信息FIPSDOD负责涉密信息NSA国防部指令（DODDI）（如TCSEC）IEEESILSP136320我国标准化组织1984年，成立数据加密技术分委员，后来改为信息技术安全分技术委员会2002年4月，为加强信息安全标准的协调工作，国家标准委决定成立信安标委，由国家标准委直接领导，对口ISO/IECJTC1SC27；秘书处设在中国电子技术标准化研究所；委员会由30多个部门和单位的49名领导和专家组成目前共有工作组成员单位165家，其中企业120家21我国标准化组织国标委高新函[2004]1号文决定，自2004年1月起，各有关部门在申报信息安全国家标准计划项目时，必须经信息安全标委会提出工作意见，协调一致后由信息安全标委会组织申报；在国家标准制定过程中，标准工作组或主要起草单位要与信息安全标委会积极合作，并由信息安全标委会完成国家标准送审、报批工作。22TC260的组织结构图23秘书处负责委员会的日常事务工作秘书处是委员会的常设办事机构，负责委员会的日常事务工作秘书处设在中国电子技术标准化研究所24信息安全标准体系与协调工作组（WG1）研究信息安全标准体系跟踪国际标准发展动态研究信息安全标准需求研究并提出新工作项目及设立新工作组的建议协调各工作组项目25涉密信息系统安全保密标准工作组（WG2）研究提出涉密信息系统安全保密标准体系制定和修订涉密信息系统安全保密标准26密码技术标准工作组（WG3）研究提出商用密码技术标准体系研究制定商用密码算法、商用密码模块和商用密钥管理等相关标准27鉴别与授权工作组（WG4）研究制定鉴别与授权标准体系调研国内相关标准需求研究制定鉴别与授权标准28信息安全评估工作组（WG5）调研测评标准现状与发展趋势研究我国统一测评标准体系的思路和框架，提出测评标准体系研究制订急需的测评标准29通信安全标准工作组（WG6）调研通信安全标准现状与发展趋势研究提出通信安全标准体系研究制订急需的通信安全标准标准30信息安全管理工作组（WG7）研究信息安全管理动态，调研国内管理标准需求研究提出信息安全管理标准体系制定信息安全管理相关标准31知识域：信息安全评估标准安全技术评估标准发展历史了解安全技术评估标准发展过程理解可信计算机评估准则（TCSEC）的局限性理解GB/T18336《信息技术安全性评估准则》（CC）的优点信息安全技术评估准则了解CC的结构理解CC的术语（TOE、PP、ST、EAL）和基本思想了解使用CC进行信息技术产品安全性评估的基本过程了解通用评估方法（CEM）信息系统安全保证评估框架了解GB/T20274《信息系统安全保障评估框架》的目的和意义了解《信息系统安全保障评估框架》的结构和主要内容32安全技术评估标准的起因安全准则安全准则&&产品评估产品评估促进因素促进因素国际IT市场趋势各国的基本安全要求早期准则的演变和改进信息系统安全问题需要国际标准需要国际标准33安全标准的发展34ITSEC1991CC1.01996TCSEC1985CTCPEC1993FC1992ISO154081999CC2.01998GB/T183362001CD1997FCD1998GIB26461996GB178591999GB/T183362008ISO154081999美国的安全评测标准(TCSEC)1970年由美国国防科学委员会提出。1985年公布。主要为军用标准。延用至民用。安全级别从高到低分为A、B、C、D四级，级下再分小类，即A1、B3、B2、B1、C2、C1、D分级分类主要依据四个准则：安全政策可控性保证能力文档35欧洲的安全评测标准(ITSEC)欧洲多国安全评价方法的综合产物，军用，政府用和商用。以超越TCSEC为目的，将安全概念分为功能与功能评估两部分。功能准则在测定上分F1-F10共10级。1－5级对应于TCSEC的D到A。6－10级加上了以下概念：F6：数据和程序的完整性F7：系统可用性F8：数据通信完整性F9：数据通信保密性F10：包括机密性和完整性的网络安全评估准则分为6级：E1：测试E2：配置控制和可控的分配E3：能访问详细设计和源码E4：详细的脆弱性分析E5：设计与源码明显对应E6：设计与源码在形式上一致。36加拿大的评测标准(CTCPEC)1989年公布，专为政府需求而设计与ITSEC类似，将安全分为功能性需求和保证性需要两部分。功能性要求分为四个大类：a机密性b完整性c可用性d可控性在每种安全需求下又分成很多小类，表示安全性上的差别，分级条数为0－5级。37CTCPEC的功能性要求及分级可控性范围可用性范围审计WA-0到WA-5抗攻击性AC-0到AC-3识别与鉴别WI-0到WI-5容错AF-0到AF-2可信路径WT-0到WT-3可靠AR-0到AR-3可恢复AY-0到AY-3机密性范围完整性范围隐蔽信息CC-0到CC-3域完整性IB-0到IB-2无条件机密性CD-0到CD-4无条件完整性ID-0到ID-4强制性机密性CM-0到CM-4强制完整性IM-0到IM-4目标重用CR-0到CR-4物理完整性IP-0到IP-4反馈IR-0到IR-2权限分隔IS-0到IS-3自测IT-0到IT-338美国联邦准则(FC)对TCSEC的升级1992年12月公布引入了“保护轮廓（PP）”这一重要概念每个轮廓都包括功能部分、开发保证部分和评测部分。分级方式与TCSEC不同，吸取了ITSEC、CTCPEC中的优点。供美国政府用，民用和商用。39通用准则（CC）