资源预览内容
第1页 / 共33页
第2页 / 共33页
第3页 / 共33页
第4页 / 共33页
第5页 / 共33页
第6页 / 共33页
第7页 / 共33页
第8页 / 共33页
第9页 / 共33页
第10页 / 共33页
亲,该文档总共33页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
信息安全标准信息安全(模块3信息安全法律法规与标准)1内容提要n1、标准的定义n2、标准的分级n3、标准的分类n4、与计算机信息系统安全等级保护相关 的标准n5、信息安全国际标准21 标准的定义n国际标准化组织定义:由有关各方根据科学技 术成就与先进经验,共同合作起草,一致或基 本上同意的技术规范或其他公开文件,其目的 在于促进最佳的公共利益,并由标准化团体批 准n我国定义:标准是对重复性事物和概念所做的 统一规定。它以科学、技术和实践经验的综合 成果为基础,经有关方面协调一致,由主管机 构批准,以特定形式发布,作为共同遵守的准 则和依据32 标准的分级n我国标准分为四级n国家标准:由国务院标准化行政主管部门负责组织 制定和审批n行业标准:由国务院有关行政主管部门负责制定和 审批,并报国务院标准化行政主管部门备案n地方标准:由省级政府标准化行政主管部门负责制 定和审批,并报国务院标准化行政主管部门和国务 院有关行政主管部门备案n企业标准:由企业法人代表或法人代表授权的主管 领导批准、发布,由企业法人代表授权的部门统一 管理,企业产品标准应向当地标准化行政主管部门 和有关行政主管部门备案43 标准的分类n按标准发生作用的范围和审批标准级别来分n国家标准n行业标准n地方标准n企业标准n按标准的约束性来分n按标准在标准系统中的地位和作用来分n按标准化对象在生产过程中的作用来分n按标准的性质来分53 标准的分类n按标准发生作用的范围和审批标准级别来分n按标准的约束性来分n强制性标准:保障人体健康、人身、财产安全的国 家标准或行业标准和法律及行政法规规定强制执行 的标准。必须执行,不符合的产品禁止生产、销售 和进口n推荐性标准:相对于强制性标准的其他标准。鼓励 企业自行采用n按标准在标准系统中的地位和作用来分n按标准化对象在生产过程中的作用来分n按标准的性质来分 63 标准的分类n按标准发生作用的范围和审批标准级别来分n按标准的约束性来分n按标准在标准系统中的地位和作用来分n基础标准:一定范围内作为其他标准的基础并普遍 使用的标准,具有广泛的指导意义n例如,GB17859:1999计算机信息系统安全保护等级 划分准则n一般标准:相对于基础标准的其他标准n按标准化对象在生产过程中的作用来分n按标准的性质来分 73 标准的分类n按标准发生作用的范围和审批标准级别来分n按标准的约束性来分n按标准在标准系统中的地位和作用来分n按标准化对象在生产过程中的作用来分n产品标准;原材料标准;零部件标准;工艺和工艺 装备标准;设备维修标准;检验和试验方法标准; 检验、测量和试验设备标准;搬运、贮存、包装、 标识标准等n按标准的性质来分83 标准的分类n按标准发生作用的范围和审批标准级别来分n按标准的约束性来分n按标准在标准系统中的地位和作用来分n按标准化对象在生产过程中的作用来分n按标准的性质来分n技术标准:对标准化领域中需要协调统一的技术事项 所制定的标准n管理标准:对标准化领域中需要协调统一的管理事项 所制定的标准n工作标准:对工作的责任、权利、范围、质量要求、 程序、效果、检查方法、考核办法所制定的标准9信息安全标准n我国的信息安全从保密技术、难度、标 准的特点出发,将信息安全保密标准分 为三级n第一级国家标准n第二级国家军队标准n第三级国家保密标准n三级标准中,国家保密标准最高n其他标准还包括:公共安全行业标准( GA)10n我国信息安全标准委员会在制定我国信 息安全标准方面做了大量的工作n目前已出台的信息安全保护方面的标准 主要包括在国家标准和公共安全行业标 准中,当然在国家军队标准、国家保密 标准中也有所涉及114 与计算机信息系统安全等级保护 相关的标准nGB17859-1999计算机信息系统安全保护等级划分准则nGA/T387-2002计算机信息系统安全等级保护网络技术要求 nGA/T388-2002计算机信息系统安全等级保护操作系统技术 要求nGA/T389-2002计算机信息系统安全等级保护数据库管理系 统技术要求nGA/T390-2002计算机信息系统安全等级保护通用技术要求 nGA/T391-2002计算机信息系统安全等级保护管理要求nGB9361-88S计算站场地安全要求nGA163-1997计算机信息系统安全专用产品分类原则12GB17859-1999计算机信息系统 安全保护等级划分准则n是建立计算机信息系统安全等级保护制 度,实施安全等级管理的重要基础性标 准n将计算机信息系统安全保护能力划分为 五个等级:n用户自主保护级n系统审计保护级n安全标记保护级n结构化保护级n访问验证保护级13GA/T390-2002计算机信息系统 安全等级保护通用技术要求n是计算机信息系统安全等级保护技术要 求系列标准的基础性标准,用以指导设 计者如何设计和实现具有所需要的安全 等级的计算机信息系统n主要说明了为实现GB17859-1999中每一 个保护等级的安全要求应采取的通用的 安全技术,和为确保这些安全技术所实 现的安全功能达到其应具有的安全性而 采取的通用的保证措施14GA/T391-2002计算机信息系统 安全等级保护管理要求n明确提出了管理层、物理层、网络层、 系统层、应用层和运行层的安全管理要 求,并将管理要求落实到GB17859-1999 的五个等级上n更有利于对安全管理的继承、理解、分 工实施,更有利于对安全管理的评估和 检查15GA/T387-2002计算机信息系统 安全等级保护网络技术要求n用以指导设计者如何设计和实现具有所 需要的安全等级的网络系统n主要从对网络的安全保护等级进行划分 的角度来说明其技术要求,即主要说明 了为实现GB17859-1999中每一个保护等 级的安全要求对网络系统应采取的安全 技术措施,以及各安全技术要求在不同 安全级中具体实现上的差异16GA/T388-2002计算机信息系统安 全等级保护操作系统技术要求n用以指导设计者如何设计和实现具有所 需要的安全等级的操作系统,主要从对 操作系统的安全保护等级进行划分的角 度来说明其技术要求17GA/T389-2002计算机信息系统安全 等级保护数据库管理系统技术要求n用以指导设计者如何设计和实现具有所 需要的安全等级的数据库管理系统,主 要从对数据库管理系统的安全保护等级 进行划分的角度来说明其技术要求18GB17859-1999计算机信息系统 安全保护等级划分准则n五个等级:n第一级:用户自主保护级n第二级:系统审计保护级n第三级:安全标记保护级n第四级:结构化保护级n第五级:访问验证保护级n安全保护能力随着安全保护等级的提高 ,逐渐增强19五个等级保护能力比较编号保护能力项目第一级第二级第三级第四级第五级 1自主访问 控制2强制访问 控制 3标记 4身份鉴别 5客体重用6审计 7数据完整性8隐蔽信道分析 9可信路径 10可信恢复20GA/T391-2002计算机信息系统 安全等级保护管理要求n信息系统安全管理,是对一个组织或机构中信息系统的 生命周期全过程实施符合安全等级责任要求的科学管理n落实安全组织及安全管理人员,明确角色与职责,制定安全规划n开发安全策略n实施风险管理n制定业务持续性计划和灾难恢复计划n选择与实施安全措施n保证配置、变更的正确与安全n进行安全审计n保证维护支持n进行监控、检查,处理安全事件n安全意识与安全教育n人员安全管理等 21主要安全要素22n信息系统安全管理的基本原则n总原则n主要领导人负责原则n规范定级原则n依法行政原则n以人为本原则n适度安全原则n全面防范、突出重点原则n系统、动态原则n控制社会影响原则n主要安全管理策略23n信息系统安全管理的基本原则n总原则n主要安全管理策略n分权制衡n最小特权n选用成熟技术n普遍参与245 信息安全国际标准n国际上比较有影响的信息安全标准体系 主要有:nISO/IEC的国际标准13335、17799、 27001系列n美国国家标准和技术委员会(NIST)的特 别出版物系列n英国标准协会(BSI)的7799系列25n国际标准ISO/IEC是国际上最权威的由 国际标准化组织( ISO)和国际电工委 员会(IEC)所制定的国际标准nISO和IEC是世界范围的标准化组织,它 由各个国家和地区的成员组成,各国的 相关标准化组织都是其成员,他们通过 各技术委员会,参与相关标准的制定26nISO/IEC联合技术委员会JTC1子委员会 27(ISO/IEC JTC1 SC27)是信息安 全领域最权威和国际认可的标准化组织nISO/IEC JTC1 SC27发布的目前最主要 的标准是nISO/IEC 13335nISO/IEC 17799:2005nISO/IEC 27001:200527nBS 7799受到广泛认可n它的第一部分已成为国际标准 ISO/IEC 17799:2005n它的第二部分成为国际标准 ISO/IEC 27001:200528BS 7799信息安全管理标准nBS 7799是英国标准协会针对信息安全管理而 制定的标准n第一部分:是信息安全管理实践规范nCode of Practice for Information Security Managementn主要供负责信息安全系统开发的人员作为参考使用n第二部分:是建立信息安全管理体系的规范nSpecification for Information Security Management Systemsn可用来指导相关人员应用第一部分,最终目的是建 立适合企业需要的信息安全管理体系29国际标准ISO/IEC 17799:2005n国际标准ISO/IEC 17799:2005信息技术安全技术 信息安全管理实践规范n描述了信息安全管理领域的最佳惯例,由11个独立的部分 组成n安全方针n信息安全组织n资产管理n人力资源安全n物理与环境安全n通信和运作管理n访问控制n信息系统的获取、开发及维护n信息安全事故管理n业务连续性管理n符合性30n上述11个方面,除了三个与技术密切相 关之外,其他方面更侧重于组织整体的 管理和运营操作n体现了信息安全“三分技术,七分管理” 、“管理与技术并重”的理念31国际标准ISO/IEC 27001:2005n国际标准ISO/IEC 27001:2005信息 技术安全技术信息安全管理体系要 求n是一个系统化、程序化和文档化的管理 体系,其中,技术措施只是作为依据安 全需求有选择有侧重地实现安全目标的 手段而已n信息安全管理认证的国际标准32本模块要求n了解信息安全国家标准和国际标准33
收藏 下载该资源
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号