信息安全标准与法律法规

《信息安全标准与法律法规》由会员分享，可在线阅读，更多相关《信息安全标准与法律法规（32页珍藏版）》请在金锄头文库上搜索。

1、信息安全标准,北京电子科技学院 信息安全工程应用,冯雁,Contents,信息技术标准化组织,1,信息安全标准与规范,2,4,5,Contents,信息技术标准化组织,1,信息安全标准与规范,2,3,4,5,12.1 信息技术标准化组织,国际标准化组织（ISO） 互联网工程任务组 （ IETF ） 国际电信联盟 （ITU） 电气与电子工程师学会（IEEE） 美国国家标准局(NBS)与美国商业部国家技术标准研究所(NIST) 美国国家标准协会(ANSI) 美国国防部(DoD)及国家计算机安全中心(NCSC) 美国国家安全局（NSA）,12.1.1 ISO,始建于1947年，是一个自发的非条约性组

2、织，其成员是参加国的制定标准化机构（美国的成员是美国国家标准研究所（ANSI）。 它负责制定广泛的技术标准，为世界各国的技术共享和技术质量保证起着导向和把关的作用。 ISO的目的是促进国际标准化和相关的活动的开展，以便于商品和服务的国际交换，并已发展知识、科技和经济活动领域内的合作为己任，现已发布了覆盖领域极为广泛的5000多个国际标准。,12.1.1 ISO（续）,ISO信息安全机构 ISO/IEC/JTC1 SC6 开放系统互连（OSI）网络层和传输层 ISO/TC46 信息系统安全 SC14 电子数据交换（EDI）安全 ISO/TC65 要害保险安全 SC17 标示卡和信用卡安全 ISO

3、/TC68 银行系统安全 SC18 文本和办公系统安全 ISO/TC154 EDI安全 SC21 OSI的信息恢复、传输和管理 SC22 操作系统安全 SC27 信息技术安全 ISO对信息系统的安全体系结构制订了OSI基本参考模型ISO7498-2；并于2000年底确定了信息技术安全评估标准ISO/IEC15408。,12.1.2 IAB,由于信息安全问题已经成为Internet使用的关键，近年来IETF发布的RFC中出现了大量的有关安全的草案。 RFC涉及：报文加密和鉴别；给予证书的密钥管理；算法、模块和识别；密钥证书和相关的服务等方面。,12.1.3 NIST,根据1947年美国联邦财产和

4、管理服务法和1987年计算机安全法，美国商业部所属的NIST授权委以责任改进利用和维护计算机与电讯系统。 NIST通过信息技术实验室(ITLInformation Tech.Lab.)提供技术指南，协调政府在这一领域的开发标准，制定联邦政府计算机系统有效保证敏感信息安全的规范。 它与NSA合作密切，在NSA的指导监督下，制定计算机信息系统的技术安全标准。这个机构是当前信息安全技术标准领域中最具影响力的标准化机构。 NIST标准涉及：访问控制和鉴别技术、评价和保障、密码、电子商务、一般计算机安全、网络安全、风险管理等,Contents,信息技术标准化组织,1,信息安全标准与规范,2,3,4,5,

5、12.2 信息安全标准与规范,数据加密算法：DES、RSA、T-DES、RC2、AES、PKCS 可恢复密钥密码体系：EES 数字签名：DSS、RSA、SHA-1、MD5 安全网管协议：SNMPv2、SNMPv3 安全电子邮件：S/MIMI、PGP、PEM 公钥基础设施：PKI、PKIX 授权管理基础设施：PMI 密钥管理模型：IEEE 802.10、ISAKMP、KMI,12.2 信息安全标准与规范（续）,数字证书：X.509.V3 、X.509.V4 安全会话信道：SSL、SHTTP、TLSP IP虚拟专网（VPN）：IPSEC、IPV6、Radius 加密程序接口：CAPI、GSS-AP

6、I、CDSA 访问控制：ACL 、ROAC 安全服务系统：Kerberos、DSSA、YaKsha 安全评测：TCSEC、CC、 BS 7799、ISO 13335 入侵检测：CIDF 安全体系结构：OSI 7498-2、DGSA、XDSF、DISSP 内容分级与标记: PICS,12.2 信息安全标准与规范,标准介绍： 信息技术安全评估准则发展过程 可信计算机系统评估准则TCSEC 信息技术安全评估准则ITSEC 通用准则CC（ISO 15408、GB/T 18336) 计算机信息系统安全保护等级划分准则 BS7799、ISO17799 ISO13335 IT安全管理指南 我国的信息安全标准

7、制定情况,12.2.1信息技术安全评估准则发展过程,信息技术安全评估是对一个系统、产品、构件的安全属性进行技术评价，通过评估判断该系统、产品、构件是否满足一组特定的要求。 信息技术安全评估的另一层含义是在一定的安全策略、安全功能需求及目标保证级别下获得相应信心保证的过程。 产品安全评估 信息系统安全评估 信息系统安全评估，或简称为系统评估，是在具体的操作环境与任务下对一个系统的安全保护能力进行的评估。,12.2.1信息技术安全评估准则发展过程,20世纪60年代后期，1967年美国国防部（DOD）成立了一个研究组，针对当时计算机使用环境中的安全策略进行研究，其研究结果是“Defense Scie

8、nce Board report”。 70年代的后期DOD对当时流行的操作系统KSOS，PSOS，KVM进行了安全方面的研究。 80年代后，美国国防部发布的“可信计算机系统评估准则（TCSEC）”（即桔皮书）。 90年代初，英、法、德、荷等四国针对TCSEC准则的局限性，提出了包含保密性、完整性、可用性等概念的“信息技术安全评估准则”（ITSEC），定义了从E0级到E6级的七个安全等级。,12.2.1信息技术安全评估准则发展过程,加拿大1988年开始制订The Canadian Trusted Computer Product Evaluation Criteria （CTCPEC） 1993

9、年，美国对TCSEC作了补充和修改，制定了“组合的联邦标准”（简称FC） 随着贸易全球一体化的发展，为了能集中世界各国安全评估准则的优点，集合成单一的、能被广泛接受的信息技术评估准则，国际标准化组织付出了很大的努力，从20世纪90年代就开始着手这项工作，但是进展缓慢。直到1993年6月，CTCPEC、FC、TCSEC和ITSEC的发起组织开始联合起来，将各自独立的准则组合成一个单一的、能被广泛使用的IT安全准则,形成了信息技术通用评估准则，简称CC。,12.2.1信息技术安全评估准则发展过程,在1993年6月，发起组织包括六国七方：加拿大、法国、德国、荷兰、英国、美国NIST及美国NSA，他们

10、的代表建立了CC编辑委员会（CCEB）来开发CC。 1996年1月完成CC1.0版 ,在1996年4月被ISO采纳 1997年10月完成CC2.0的测试版 1998年5月发布CC2.0版 1999年12月ISO采纳CC，并作为国际标准ISO 15408发布 2001年我国将CC等同采用为国家标准，以编号GB/T 18336发布。,12.2.1信息技术安全评估准则发展过程,1999年 GB 17859 计算机信息系统安全保护等级划分准则,1991年欧洲信息技术安全性评估准则（ITSEC）,国际通用准则 1996年（CC1.0） 1998年（CC2.0）,1985年美国可信计算机系统评估准则（TC

11、SEC）,1993年 加拿大可信计算机产品评估准则（CTCPEC）,1993年美国联邦准则（FC 1.0）,1999年 国际标准 ISO/IEC 15408,1989年 英国 可信级别标准 （MEMO 3 DTI）,德国评估标准（ZSEIC）,法国评估标准 （B-W-R BOOK）,2001年 国家标准 GB/T 18336 信息技术安全性评估准则 idt iso/iec15408,1993年美国NIST的MSFR,12.2.1信息技术安全评估准则发展过程,12.2 信息安全标准与规范,标准介绍： 信息技术安全评估准则发展过程 可信计算机系统评估准则TCSEC 信息技术安全评估准则ITSEC

12、通用准则CC（ISO 15408、GB/T18336) 计算机信息系统安全保护等级划分准则 BS7799、ISO17799 ISO13335 IT安全管理指南 我国的信息安全标准制定情况,12.2.2 TCSEC（桔皮书）,彩虹系列的第一本桔皮书。 1983年美国国防部首次公布了可信计算机系统评估准则（TCSEC）它主要是对操作系统进行评估，是历史上的第一个安全评估标准，1985年公布了第二版。TCSEC所列举的安全评估准则主要是针对美国政府的安全要求，着重点是基于大型计算机系统的机密文档处理方面的安全要求。信息技术安全性评估通用准则（CC）被接纳为国际标准后，美国已停止了基于TCSEC的评估

13、工作。 在TCSEC时代，世界上尚没有其他类似的评估标准，它的制定确立了计算机安全的概念，对其后信息安全的发展具有划时代的意义。但是，由于TCSEC的军方背景以及当时信息安全发展的具体历史阶段所限，TCSEC的安全概念之停留在信息的保密性上，没有超出计算机安全的范畴。,12.2.2 TCSEC（桔皮书）,在TCSEC中，美国国防部按处理信息的等级和应采用的响应措施，将计算机安全从高到低分为：A、B、C、D四类七个级别，共27条评估准则 随着安全等级的提高，系统的可信度随之增加，风险逐渐减少。 TCSEC依据的安全策略模型是Bell &La Padula模型，该模型所制定的最重要的安全准则严禁上

14、读、下写。就是低权限的人不能读高权限的信息，高权限的人不能把信息写到低权限的人可看到的地方。,12.2 信息安全标准与规范,标准介绍： 信息技术安全评估准则发展过程 可信计算机系统评估准则TCSEC 信息技术安全评估准则ITSEC 通用准则CC（ISO 15408、GB/T18336) 计算机信息系统安全保护等级划分准则 BS7799、ISO17799 ISO13335 IT安全管理指南 我国的信息安全标准制定情况,12.2.3 ITSEC,1991年，英、德、法、荷共同制定，欧洲白皮书。 首次提出了保密性、完整性、可用性三大信息安全概念。 提出了保证的概念。保证分两个方面：对安全执行功能正确

15、性的信心（从开发和运行的角度）以及对这些功能的有效性的信心。 首次提出了安全目标（ST)的概念。 对系统和产品的评估将有利于用户对产品的选择。 主要讨论的是技术性安全措施。 ITSEC的安全功能要求是10大类。 由于欧洲的大力推动，ITSEC的应用最为广泛。 在签了互认可协议的国家中，双方的评估结果是互认的。 目前仍在更新中，200年2月重新制定了第四版，最大的改动便是增加了对CC最新动态的反应，可见其生命力之强。,12.2 信息安全标准与规范,标准介绍： 信息技术安全评估准则发展过程 可信计算机系统评估准则TCSEC 信息技术安全评估准则ITSEC 通用准则CC（ISO 15408、GB/T

16、18336) 计算机信息系统安全保护等级划分准则 BS7799、ISO17799 ISO13335 IT安全管理指南 我国的信息安全标准制定情况,12.2.4.1 CC简介,ISO/IEC 15408-1999“信息技术 安全技术 信息技术安全性评估准则”（简称CC） 国际标准化组织在现有多种评估准则的基础上，统一形成的。 在美国和欧洲等国分别自行推出测评准则及标准的基础上，通过相互间的总结和互补发展起来的。,12.2.4.2 CC适用范围,CC定义了评估信息技术产品和系统安全型所需的基础准则，是度量信息技术安全性的基准 针对在安全评估过程中信息技术产品和系统的安全功能及相应的保证措施而提出的一组通用要求，使各种相对独立的安全评估结果具有可比性。 该标准适用于对信息技术产品或系统的安全性进行评估，不论是硬件、固件还是软件，还可用于指导产品和系统开发。 该标准的主要目标读者是用户、开发者、评估者。,12.2.4.3 C