《《精编》税务系统网络与安全信息生产管理技术培训》由会员分享,可在线阅读,更多相关《《精编》税务系统网络与安全信息生产管理技术培训(144页珍藏版)》请在金锄头文库上搜索。
1、税务系统网络与信息安全技术培训班安全标准2004年6月 要点 一 信息安全及标准化介绍二 基础标准三 技术机制安全标准四 应用安全标准五 管理类安全标准六 信息安全标准对比 一 信息安全及标准化介绍 信息安全概述标准化基础知识国际信息安全标准化组织我国信息安全标准化归口单位信息安全标准体系 21世纪 国家经济与社会文化发展的主要战略目标与技术产业动力 国家实现现代化的基本途径内容 领域信息化党政机关国防军事银行证券新闻文化社会基础设施 电力 航空 交通等 区域信息化 北京 上海 深圳等 社区信息化企业信息化家庭信息化 1 信息安全概述 性质 信息技术以网络化的方式应用于社会生活各方面时 对国家
2、 社会 个人安全利益的侵害与保护关键点 安全利益 国家 社会 个人的生存和发展的利益信息技术 侵害 信息 信息系统 网络化 以及信息和信息系统关联的主体 国家 社会 个人 的特定安全利益保护 信息 信息系统 网络化 以及信息和信息系统关联的主体 国家 社会 个人 的特定安全利益核心问题 信息技术 特性和过程结果可侵害或保护国家 社会 个人的安全利益 信息安全 党的十五届五中全会和第九届人大第六次会议决定建立国家信息安全保障体系性质 国家以国家意志和国家行为的方式 在信息技术方面所形成的用于保护其安全利益的资源和能力 这种资源和能力体现为特定形态和过程的技术结构 社会结构和人才结构内容技术资源管
3、理资源人力资源 信息安全保障体系 2 标准化基础 标准 标准是对重复性事物和概念所做的统一规定 它以科学 技术和实践的综合成果为基础 经有关方面协商一致 由主管部门批准 以特定的方式发布 作为共同遵守的准则和依据 强制性标准 保障人体健康 人身 财产安全的标准和法律 行政法规规定强制执行的标准 其它标准是推荐性标准 我国标准分四级 国家标准 行业标准 地方标准 企业标准 国家标准 对需要在全国范围内统一的技术要求 含标准样品的制作 GB TXXXX X 200XGBXXXX 200X行业标准 没有国家标准 需要在全国某个行业范围内统一的技术要求 GA SJ地方标准 没有国家标准 行业标准而又需
4、要在省 自治区 直辖市范围内统一的工业产品的安全 卫生要求 DBXX TXXX 200XDBXX XXX 200X企业标准 对企业范围内需要统一的技术要求 管理要求和工作要求 QXXX XXX 200X 标准分类 标准化定义 标准化 为在一定的范围内获得最佳秩序 对实际的或潜在的问题制定共同的和重复使用的规则的活动实质 通过制定 发布和实施标准 达到统一 目的 获得最佳秩序和社会效益 标准化对象 标准化三维空间 国际级区域级国家级行业级地方级企业级 人员服务系统产品过程 管理 应用 技术机制 体系 框架 术语 X Y Z X轴代表标准化对象 Y轴代表标准化的内容 Z轴代表标准化的级别 标准化原
5、理 我国通行 标准化八字原理 统一 原理 简化 原理 协调 原理 最优 化原理 采标 等同采用idt identical 指技术内容相同 没有或仅有编辑性修改 编写方法完全相对应 修改采用MOD modified 与国际标准之间存在技术性差异 有编辑性修改 可能不采用部分条款非等效采用NEQ notequivalent 指技术内容有重大差异 只表示与国际标准有关 3 国际信息安全标准化组织 ISOIECITUIETF美国欧洲英国加拿大日本韩国 信息安全标准化组织 ISO JTC1SC27 信息技术 安全技术ISO TC68银行和有关的金融服务SC2 安全管理和通用银行运作 SC4 安全及相关金
6、融工具 SC6 零售金融服务 JTC1其他分技术委员会 SC6 系统间通信与信息交换 主要开发开放系统互连下四层安全模型和安全协议 如ISO9160 ISO IEC11557 SC17 识别卡和有关设备 主要开发与识别卡有关的安全标准ISO7816SC18 文件处理及有关通信 主要开发电子邮件 消息处理系统等 SC21 开放系统互连 数据管理和开放式分布处理 主要开发开放系统互连安全体系结构 各种安全框架 高层安全模型等标准 如 ISO IEC7498 2 ISO IEC9594 1至8 SC22 程序语言 其环境及系统软件接口 也开发相应的安全标准 SC30 开放式电子数据交换 主要开发电子
7、数据交换的有关安全标准 如ISO9735 9 ISO9735 10 信息安全标准化组织 IEC ITU IECTC56可靠性 TC74IT设备安全和功效 TC77电磁兼容 CISPR无线电干扰特别委员会ITU前身是CCITT消息处理系统目录系统 X 400系列 X 500系列 安全框架安全模型等标准 信息安全标准化组织 IETF IETF 170多个RFC 12个工作组 PGP开发规范 openpgp 鉴别防火墙遍历 aft 通用鉴别技术 cat 域名服务系统安全 dnssec IP安全协议 ipsec 一次性口令鉴别 otp X 509公钥基础设施 pkix S MIME邮件安全 smime
8、 安全Shell secsh 简单公钥基础设施 spki 传输层安全 tls Web处理安全 wts 信息安全标准化组织 美国 ANSINCITS T4制定IT安全技术标准X9制定金融业务标准X12制定商业交易标准NIST负责联邦政府非密敏感信息FIPS 197DOD负责涉密信息NSA国防部指令 DODDI 如TCSEC IEEESILS LAN WAN 安全P1363公钥密码标准 信息安全标准化组织 欧洲 ECMA 欧洲计算机厂商协会 TC32 通信 网络和系统互连 曾定义了开放系统应用层安全结构 TC36 IT安全 负责信息技术设备的安全标准 信息安全标准化组织 英 加 日 韩 英国BS7
9、799医疗卫生信息系统安全加拿大计算机安全管理日本JIS国家标准JISC工业协会标准韩国KISA负责防火墙 IDS PKI方面标准 4 我国标准工作归口单位 2001年10月11日成立国家标准化委员会信息技术标准委员会全国信息安全标准化技术委员会 简称信息安全标委会 TC260 于2002年4月15日在北京正式成立 信息安全标委会工作组设置 信息安全标准体系与协调工作组 WG1 内容安全分级及标识工作组 WG2 PKI PMI工作组 WG4 信息安全评估工作组 WG5 应急处理工作组 WG6 信息安全管理 含工程与开发 工作组 WG7 电子证据及处理工作组 WG8 身份标识与鉴别协议工作组 W
10、G9 操作系统与数据库安全工作组 WG10 信息安全标准体系与协调工作组 WG1 研究信息安全标准体系 跟踪国际信息安全标准发展动态 研究 分析国内信息安全标准的应用需求 研究并提出新工作项目及设立新工作组的建议 各工作组项目的协调 PKI PMI工作组 WG4 PKI结构框架PKI技术模块PKI主要功能PKI CA结构PKI 数字证书管理PKI CRL管理PKI CA间交叉认证PKI 数字证书查询PKI的应用技术和应用模块PKI体系安全保护PMI结构框架PMI技术模块PMI主要功能PMI应用技术PMI管理机制 信息安全评估工作组 WG5 工作范围 与其它工作组协调 组织相关标准制定 主要工作
11、内容 安全评估等级划分 研究国内外信息安全测试 评估与认证标准 对国内已有的测试 评估与认证标准进行统一协调 提出我国目前急需的信息安全测试 评估与认证标准目录 信息安全管理 含工程与开发 工作组 WG7 工作范围 对信息安全的行政 技术 人员等管理提出规范要求及指导指南信息安全管理指南 信息安全管理实施规范 人员培训教育及录用要求 信息安全社会化服务管理规范 安全策略要求与指南 5 标准体系 标准体系 一定范围内标准按其内在联系形成的科学的有机整体标准体系是具有层次的 我国全国标准体系表可分成五个层次 信息安全标准体系 基础类标准技术机制类标准应用类标准安全管理标准 5 1基础类标准 1 信
12、息技术安全词汇2 信息技术安全体系结构3 信息技术安全框架4 信息技术安全模型 5 2技术机制类标准 加密机制签名机制完整性机制鉴别机制访问控制机制抗抵赖机制路由选择控制机制通信业务填充机制公证机制可信功能度事件检测和报警安全审计跟踪安全标记安全恢复 5 3应用类标准 应用基础应用产品应用系统特殊行业 5 4管理类安全标准 管理基础系统管理测评认证 小结 重点记忆 标准化基础国家标准的写法 公安部标准的写法 等同采标的写法 修改采标的含义 标准化八字原理国外信息安全标准化组织我国信息安全标准化归口我国信息安全标准化归口单位 信息安全标准体系 二 信息安全基础标准 基础标准目录 1 信息技术安全
13、词汇 数据处理词汇08部分 控制 完整性和安全性 GB T5271 8 1993 idtISO2382 8 1996 计算机安全术语规范 GJB2256 94 2 信息技术安全体系结构 OSI安全体系结构 9387 2 1995idtISO7498 2 TCP IP安全体系结构 RFC1825 通用数据安全体系 CDSA 3 信息技术安全框架 开放系统安全框架 ISO10181 1 鉴别框架 ISO10181 2 访问控制框架 ISO10181 3 抗抵赖框架 ISO10181 4 完整性框架 ISO10181 5 保密性框架 ISO10181 6 安全审计框架 ISO10181 7 管理框架
14、 ISO7498 4 信息技术安全保证框架 ISO IECWD15443 1999 信息保障技术框架 IATF 4 信息技术安全模型 高层安全模型 ISO10745 3层 通用高层安全 ISO IEC11586 低层安全模型 ISO IEC13594 四层 传输层安全模型 网络层安全模型 1 基于OSI七层协议的安全体系结构 五种安全服务 鉴别 提供对通信中的对等实体和数据来源的鉴别 访问控制 提供保护以对抗开放系统互连可访问资源的非授权使用 可应用于对资源的各种不同类型的访问 例如 使用通信资源 读 写或删除信息资源 处理资源的操作 或应用于对某种资源的所有访问数据机密性 对数据提供保护使之
15、不被非授权地泄露数据完整性 对付主动威胁 在一次连接上 连接开始时使用对某实体鉴别服务 并在连接的存活期使用数据完整服务就能联合起来为在此连接上传送的所有数据单元的来源提供确证 为这些数据单元的完整性提供确证 抗抵赖 可取有数据原发证明的抗抵赖 有交付证明的抗抵赖两种形式 或两者之一 与网络各层相关的OSI安全服务 OSI安全服务和安全机制之间的关系 OSI参考模型与TCP IP的对应关系 2 信息保障 INFO Assurance 技术框架 IATF 由美国国防部主持编写 2000年9月推出V3 0版本 2003年推出V3 1 预计2005年推出V4 0 IATF定义了对一个系统进行信息保障
16、的过程以及系统中硬件和软件部件的安全需求 遵循这些原则 就可以对信息基础设施进行多层防护 深度防御战略 内容包括 IA的概念攻击与对策深度防御的内涵 2 1信息安全保障的概念 信息安全保障 反应InformationAssurance保护 Protect 检测 Detect 反应 React 恢复 Restore 保护Protect 检测Detect 恢复Restore 反应React IA 信息保障的几个主要方面 信息保障的原则 信息保障关注的领域 2 2技术上的攻击与对策 IATF的作者充分认为 信息保障要同时依赖于技术和非技术对策 知己知彼敌人的主要目的可以分为三大类 非授权访问非授权篡改对授权访问的拒绝 潜在的敌人 定义了五类攻击 攻击类型图例 2 3纵深防御战略的内涵 保卫网络和基础设施 保卫边界 保卫计算环境 为基础设施提供支持 2 3 1保卫网络和基础设施 在网络上 有三种不同的通信流 用户通信流 是用户通过网络传输的信息控制通信流 是在网络组件之间传输的 对建立用户连接非常重要的信息 如SS7 管理通信流 是用来配置网络组件或表明网络组件状态的信息 与其相关的协议包括
