《第13讲 第七章 信息安全标准(上)》由会员分享,可在线阅读,更多相关《第13讲 第七章 信息安全标准(上)(97页珍藏版)》请在金锄头文库上搜索。
1、LOGO第 13讲 信息安全标准(一)北京邮电大学 计算机学院副教授 徐国爱信息安全标准体系LOGO 标准基础知识简介 信息安全标准化组织 国外信息安全相关标准 国内信息安全相关标准本讲提纲LOGO基本概念 标准化:在一定的范围内获得最佳秩序,对实际的或潜在的问题制定共同的和重复使用的规则的活动。 实质:通过制定、发布和实施标准,达到统一。 目的:获得最佳秩序和社会效益。 意义:促进和带动产业发展;解决安全互联互通。LOGO 等同采用国际标准 IDT( identical) 修改采用国际标准 MOD( modified) 非等效采用国际标准 NEQ( not equivalent) 是指我国标
2、准在技术内容与文本结构上均与国际标准完全相同,或者我国标准在技术内容上可以与国际标准相同,但可以包含小的编辑性修改。是采用国际标准的基本方法之一。 是指允许我国标准和国际标准存在技术性差异,并对这些技术性差异进行了清楚的标示和解释。是采用国际标准的基本方法之一。 是指我国标准与相应国际标准在技术内容和文本结构上均不相同,它们之间的差异也未被清楚的标示。其不属于采用国际标准。LOGO标准的分类 从世界范围,按标准的层次分类: 国际标准 :由国际标准化组织( ISO)和国际电工委员会( IEC)制定的标准。 区域标准 :是世界区域性标准化组织制定的标准。 国家标准 :在一个国家内通用的标准。 行业
3、标准 :是在某个行业或专业范围内适用的标准。 企业标准 :有企业制定的标准。LOGO我国按适用范围分类我国按适用范围分类企业标准地方标准行业标准国家标准LOGO国家标准 对需要在全国范围内统一的技术要求,应当制定国家标准。 国家标准由国家标准化管理委员会编制计划、审批、编号、发布。 国家标准代号为: GB和 GB/T,其含义分别为强制性国家标准和推荐性国家标准。 国家标准是四级标准体系中的主体,在全国范围内使用,其他各级标准不得与之相抵触。 1998年增加一种 “国家标准化指导性技术文件 ”,作为国家标准的补充,其代号为 GB/Z。LOGO行业标准 对没有国家标准又需要在全国某个行业范围内统一
4、的技术要求,可以制定行业标准。 当相应的国家标准实施后,该行业标准应自行废止。 行业标准由行业标准归口部门编制计划、审批、编号、发布、管理。 部分行业的行业标准代号如下:汽车 QC化工 HG电子 SJ石油化工 SH有色金属 YS邮电通信 YD机械 JB船舶 CB电力 DL商检 SN包装 BB核工业 EJLOGO地方标准 对没有国家标准和行业标准而又需要在省、自治区、直辖市范围内统一的要求,可以制定地方标准。 地方标准由省、自治区、直辖市标准化行政主管部门统一编制计划、组织制定、审批、编号、发布。 地方标准在本行政区域内使用,不得与国家标准和行业标准相抵触。国家标准、行业标准公布实施后,相应的地
5、方标准自行废止。 地方标准制定范围: 工业产品的安全、卫生要求; 药品、兽药、食品卫生、环境保护、节约能源、种子等法律法规要求; 其他法律法规规定的要求。LOGO企业标准 是对企业范围内需要协调、统一的技术要求、管理要求和工作要求所制定的标准。 企业标准由企业制定,企业标准是企业组织生产、经营活动的依据,由企业法人代表或法人代表授权的主管领导批准、发布。 企业产品标准应在发布后 30日内向政府备案。LOGO 按法律的约束性分类:强制性标准推荐性标准 标准化指导性技术文件LOGO技术标准管理标准工业标准按标准的性质按标准的性质分类分类LOGO 按标准化的对象和作用分类:分类基础标准产品标准方法标
6、准安全标准卫生标准环境保护标准LOGO标准化三维空间国际级区域级国家级行业级地方级企业级人员服务系统产品过程术语体系、框架技术机制应用管理YXZ X轴代表标准化的对象 Y轴代表标准化的内容 Z轴代表标准化的级别LOGO八字原理我国通行 “标 准化八字原理 ”统 一简 化协调最 优LOGO我国标准工作归口单位 国家标准化管理委员会 http:/ 全国信息安全标准化技术委员会(简称信息安全标委会, TC260) http:/ 全国信息技术标准化技术委员会(简称信标委, CITS),负责全国信息技术领域以及与 ISO/IEC JTC1相对应的标准化工作。 http:/ 全国金融标准化技术委员会(简称
7、金标委),负责金融系统标准化技术归口管理工作和国际标准化组织中银行与相关金融业务标准化技术委员会的归口管理工作。http:/www.cfstc.org/LOGOIT标准化 IT标准发展趋势1. 标准逐步从技术驱动向市场驱动方向发展。2. 信息技术标准化机构由分散走向联合。3. 信息技术标准化的内容更加广泛,重点更加突出,从 IT技术领域向社会各个领域渗透,涉及教育、文化、医疗、交通、商务等广泛领域,需求大量增加。4. 从技术角度看, IT标准化的重点将放在网络接口、软件接口、信息格式、安全等方面,并向着以技术中立为前提,保证互操作为目的方向发展。LOGO 标准基础知识简介 信息安全标准化组织
8、国外信息安全相关标准 国内信息安全相关标准本讲提纲LOGO国际信息安全标准化组织 国际标准化组织( ISO) 建于 1947年 2月 23日 2952个技术成员 工作成果发布为国际标准( IS)u由 146个国家标准成员组成的世界联盟 190个技术委员会 (TCs)、 544个子委员会 (SCs)、 2188个工作组 (WGs)u与安全相关机构 ISO/IEC JTC 1/SC 27: IT安全技术 ISO TC 68:金融服务 ISO TC 215:健康医疗学LOGO 国际标准化组织( ISO)uJTC1其他分技术委员会 SC6 系统间通信与信息交换 SC17 识别卡和有关设备 SC18 文
9、件处理及有关通信 SC21 开放系统互连,数据处理和开放式分布处理 SC22 程序语言,其环境及系统软件接口,也开发相应的安全标准 SC30 开放式电子数据交换,主要开发电子数据交换的有关安全标准LOGO 国际电工委员会( IEC)u正式成立于 1906年 10月,是世界上成立最早的专门国际标准化机构。u成立的相关技术委员会: TC56:可靠性 TC74: IT设备安全与功效 TC77:电磁兼容 TC108:音频 /视频 CISPR:无线电干扰特别委员会LOGO 国际电信联盟( ITU)u成立于 1865年 5月 17日,其前身是国际电报和电话咨询委员会( CCITT)。u主要负责研究通信系统
10、安全标准。uITU SG17组主要研究方向: 通信安全项目 安全架构与框架 计算安全 安全管理 用于安全的生物测定 安全通信服务LOGO Internet工程任务组( IETF)u始创于 1986年,包括 170多个 RFC, 12个工作组u主要任务:负责互联网相关技术规范的研发和制定。uIETF安全工作小组: PGP开发规范( openpgp) 鉴别防火墙遍历( aft) 通用鉴别技术( cat) 域名服务系统安全( dnssec) IP安全协议( ipsec) 一次性口令鉴别( otp) X.509公钥基础设施( pkix) S/MIME安全电子邮件( smime) 安全 Shell( s
11、ecsh) 传输层安全( tls)LOGO 电气和电子工程师学会( IEEE)u1963年 1月 1日由美国无线电工程师协会 (IRE, 创立于 1912年 )和美国电气工程师协会 (AIEE,创建于1884年 )合并而成。uIEEE 802委员会,成立于 1980年 2月,任务是制定局域网的国际标准( 802.117)。 高层接口 逻辑链路控制 CSMA/CD网 令牌总线网 令牌环网 城域网 LOGO 欧洲计算机制造商协会( ECMA)u负责适用于计算机技术的各种的标准的制定和颁布。 TC32 “通信、网络和系统互连 ”曾定义了开放系统应用层安全结构。 TC36 “IT安全 ”负责信息技术设
12、备的安全标准。LOGO外国信息安全标准化组织 美国 美国国家标准协会( ANSI) 国家标准与技术研究院( NIST) 美国国防部( DOD) NCITS-T4 制定 IT安全技术标准 X9 制定金融业务标准 X12 制定商业交易标准 负责联邦政府非密敏感信息 其工作以 NIST出版物( FIPSPUB)和 NIST特别出版物( SPECPUB)等形式发布 制定了数据加密标准 DES、密钥托管加密标准 EES 负责涉密信息 NSA(National Security Agency,美国国家安全局 ) 国防部指令( DODI)(如 TCSEC)LOGO 英国 BS 7799 医疗卫生信息系统安全
13、 加拿大 计算机安全管理 日本 JIS 国家标准 JISC 工业协会标准 韩国 KISA负责 防火墙、 IDS、 PKI方面标准LOGOISO/IEC JTC1 SC27 ISO/IEC JTC1 SC27IT 安全技术 其工作领域是 IT安全的通用方法和技术,包括: ISO/IEC JTC1 SC27已成为信息安全领域最具权威和得到国际最广泛认可的标准化组织。 为 IT安全服务识别通用要求(包括要求方法); 开发安全技术和机制(包括注册流程以及安全组件的关系); 开发安全指南(例如:解释文件、风险分析); 开发管理支持文件和标准(例如:术语和安全评估准则)。LOGO SC27的 5个工作组方
14、向:WG3安全评估WG1信息安全管理体系WG4安全控制与服务WG2密码与安全机制WG5身份管理与隐私技术评估指南技术产品 系统 过程 环境LOGOISO/IEC JTC1 SC27标准动态表LOGO国内信息安全标准化组织 全国信息安全标准化技术委员会 简称信安标委( TC260) 2002年 4月 15日成立 负责组织开展国内信息安全有关的标准化工作 工作范围包括: 共 76个标准( 13项修订标准) 50项标准正在研制中 安全技术 安全机制 安全服务 安全管理 安全评估LOGO TC260工作组 WG1:信息安全标准体系与协调工作组 WG2:涉密信息系统安全保密标准工作组 WG3:密码技术标
15、准工作组 WG4:鉴别与授权工作组 WG5:信息安全评估工作组 WG7:信息安全管理工作组LOGO信安标委工作组 工作任务WG1 研究信息安全标准体系跟踪国际标准发展动态研究信息安全标准需求研究并提出新工作项目及设立新工作组的建议协调过工作组项目WG2 研究提出涉密信息系统安全保密标准体系制定和修改涉密信息系统安全保密标准WG3 研究提出密码技术标准体系研究制定密码算法、密码模块和密钥管理等相关标准WG4 研究制定鉴别与授权标准体系调研国内相关标准需求研究制定鉴别与授权标准WG5 调研测评标准现状与发展趋势研究我国统一测评标准体系的思路和框架,提出测评标准体系研究制定急需的测评标准WG7 研究信息安全管理动态,调研国内管理标准需求研究提出信息安全管理标准体系制定信息安全管理相关标准LOGO 信安标委制定国家信息安全标准流程:立项申请提出
