本书的 封面第十章 信息安全的管理内容提要 信息安全的标准与规范 信息安全管理标准 信息安全策略和管理原则 信息安全审计 信息安全与政策法规 小结 思考题本书的 封面第十章 信息安全的管理l 信息系统的安全管理目标是管好信息资源安全，信息安全 管理是信息系统安全的重要组成部分，管理是保障信息安 全的重要环节，是不可或缺的。实际上，大多数安全事件 和安全隐患的发生，与其说是技术上的原因，不如说是由 于管理不善而造成的。因此说，信息系统的安全是“三分靠 技术，七分靠管理”，可见管理的重要性。 l 信息安全管理贯穿于信息系统规划、设计、建设、运行、 维护等各个阶段。安全管理的内容十分广泛。本书的 封面10.1信息安全的标准与规范10.1.1 信息安全标准的产生和发展 10.1.2 信息安全标准的分类 10.1.3 标准化组织简介本书的 封面10.1.1 信息安全标准的产生和发展网络已经渗透到各行各业和人们的生活，网络正逐步 改变着人们的生产和生活方式。随之而来的计算机和网络犯罪也不断出现，网络信息 安全问题日益突显出来，信息网络的安全一旦遭受破坏， 其影响或损失将十分巨大。信息安全越来越受到重视，世界各大厂商都在推出自 己的安全产品。下面几个方面推动了安全标准的发展。本书的 封面1安全产品间互操作性的需要加密与解密，签名与认证，网络之间安全的互相连接 ，都需要来自不同厂商的产品能够顺利地进行互操作，统 一起来实现一个完整的安全功能。这就导致了一些以“算 法”，“协议”形式出现的安全标准。典型的有美国数据加密 标准DES(Data Encryption Standard)。本书的 封面2. 对安全等级认定的需要近年来对于安全水平的评价受到了很大的重视，产品 的安全性能到底怎么样，网络的安全处于什么样的状态， 这些都需要一个统一的评估准则，对安全产品的安全功能 和性能进行认定，形成一些“安全等级”，每个安全等级在 安全功能和性能上有特定的严格定义，对应着一系列可操 作的测评认证手段。例如美国国防部DoD(Department of Defence)在1985年公布了可信赖计算机系统评估准则 TCSEC(Trusted Computer System Evaluation Criteria)。本书的 封面3. 对服务商能力衡量的需要现在信息安全已经逐渐成长为一个产业，发展越来越 快，以产品提供商和工程承包商为测评对象的标准大行其 道，同以产品或系统为测评认证对象的测评认证标准形成 了互补的格局。网络的普及，使以网络为平台的网络信息 服务企业和使用网络作为基础平台传递工作信息的企业， 比如金融，证券，保险和各种电子商务企业纷纷重视安全 问题。因此，针对使用网络和信息系统开展服务的企业的 信息安全管理标准应运而生。本书的 封面10.1.2 信息安全标准的分类1. 互操作标准现在各种密码、安全技术和协议广泛地应用于 Internet，而TCP/IP协议是Internet的基础协议，在四层模 型中的每一层都提供了安全协议，整个网络的安全性比原 来大大加强。链路层的安全协议有PPTP，L2F等；网络 层有IPSec；传输层有SSL/TLS/SOCK5；应用层有SET ，S-HTTP，S/MIME，PGP等。 本书的 封面1. 互操作标准下面只简单介绍其中的一些安全协议。(1) IP安全协议标准IPSec1994年IETF专门成立IP安全协议工作组，并由其制 定IPSec。1995年IETF公布了相关的一系列IPSec的建议 标准，1996年IETF公布了下一代IP的标准IPv6，IPSec 成为其必要的组成部分。1999年底，IETF完成了IPSec 的扩展，将下列协议加入了IPSec，ISAKMP（Internet Security Association and Key Management Protocol） 协议，密钥分配协议IKE、Oakley。本书的 封面1. 互操作标准(2) 传输层加密标准SSL/TLS1994年Netscape企业开发了安全套接层SSL (Secure socket layer)协议,1996年发布了3.0版本。1997 年传输层安全协议TLS1.0（Transport Layer Security， 也被称为SSL3.1）发布，1999年IETF发布RFC2246（ TLS v1.0）。SSL主要是使用公开密钥体制和X.509数字证书技术 保护信息传输的机密性和完整性，它不能保证信息的不 可抵赖性，主要适用于点对点之间的信息传输，现已成 为网络用来鉴别网站和网页浏览者身份，以及在浏览器 使用者及网页服务器之间进行加密通讯的全球化标准。本书的 封面1. 互操作标准(3) 安全电子交易标准SET安全电子交易协议SET（Secure Electronic Transaction）是由Visa和MasterCard两大信用卡组织联 合开发的电子商务安全协议。它是在Internet上进行在线 交易的电子付款系统规范，目前已成为事实上的工业标 准。它提供了消费者、商家和银行之间的认证，确保交 易的保密性、可靠性和不可否认性，保证在开放网络环 境下使用信用卡进行在线购物的安全。本书的 封面2. 技术与工程标准(1) 信息产品通用测评准则（CC/ISO 15408）ISO/IECl5408 1999信息技术安全性评估准则( 简称CC)是国际标准化组织统一现有多种评估准则的努力结 果，是在美国和欧洲等国分别自行推出并实践测评准则的 基础上，通过相互间的总结和互补发展起来的。CC的目的是允许用户指定他们的安全需求，允许开发 者指定他们产品的安全属性，并且允许评估者决定是否产 品确实符合他们的要求。CC（Common Criteria）标准是第一个信息技术安全 评价国际标准，它的发布对信息安全具有重要意义，是信 息技术安全评价标准以及信息安全技术发展的一个重要里 程碑。本书的 封面2. 技术与工程标准（2） 安全系统工程能力成熟度模型 （SSE-CMM）系统安全工程能力成熟模型（SSE-CMM）的开发源于 1993年5月美国国家安全局发起的研究工作。这项工作是 在用CMM模型研究现有的各种工作时，发现安全工程需要 一个特殊的模型与之配套。SSE-CMM确定了一个评价安全工程实施的综合框架， 提供了度量与改善安全工程学科应用情况的方法。SSE- CMM项目的目标是将安全工程发展为一整套有定义的、成 熟的及可度量的学科。本书的 封面10.1.3 标准化组织简介ISO：国际标准化组织 International Organization for Standardization 国际标准化组织始建于1946年，是世界上最大的非政府性标准 化专门机构， 它在国际标准化中占主导地位。ISO的主要活 动是制定国际标准，协调世界范围内的标准化工作，组织各 成员国和技术委员会进行交流，以及与其他国际性组织进行 合作，共同研究有关标准问题。 随着国际贸易的发展， 对国际标准的要求日益提高，ISO的作用也日趋扩大，世界 上许多国家对ISO也越加重视。 ISO的目的和宗旨是：在世界范围内促进标准化工作的发展， 以利于国际物资交流和互助，并扩大在知识、科学、技术和 经济方面的合作。本书的 封面10.1.3 标准化组织简介IEC：国际电工委员会 International Electrotechnical Commission IEC是世界上成立最早的非政府性国际电工标准化机构，是 联合国经社理事会(ECOSOC)的甲级咨询组织。目前IEC 成员国包括了大多数的工业发达国家及一部分发展中国家 。这些国家拥有世界人口的80%，其生产和消耗的电能占 全世界的95%，制造和使用电气、电子产品占全世界产量 的90%。 IEC的宗旨：促进电工标准的国际统一，电气、电子工程领 域中标准化及有关方面的国际合作，增进国际间的相互了 解。本书的 封面10.1.3 标准化组织简介IEEE：美国电气电子工程师学会 Institute of Electrical and Electronics Engineers IEEE于1963年美国电气工程师学会(AIEE)和美国无线电 工程师学会(IRE)合并而成，是美国规模最大的专业学会。它 由大约十万名从事电气工程、电子和有关领域的专业人员组 成，分设10个地区和206个地方分会，设有31个技术委员会 。 IEEE的标准制定内容有：电气与电子设备、试验方法、 原器件、符号、定义以及测试方法等。本书的 封面10.1.3 标准化组织简介ITU：国际电信联盟 International Telecommunication Union 国际电信联盟于1865年5月在巴黎成立，1947年成为联 合国的专门机构。ITU是世界各国政府的电信主管部门之间 协调电信事务的一个国际组织，它研究制定有关电信业务的 规章制度，通过决议提出推荐标准，收集有关情报。 ITU的 目的和任务是：维持和发展国际合作，以改进和合理利用电 信，促进技术设施的发展及其有效运用，以提高电信业务的 效率，扩大技术设施的用途，并尽可能使之得到广泛应用， 协调各国的活动。 本书的 封面10.1.3 标准化组织简介NBS：美国国家标准局 National Bureau of Standards 美国国家标准局（现是国家技术标准研究院NIST-National Institute of Standards Technology）属于美国商业部的一 个机构，发布销售美国联邦政府的设备的信息处理标准 ，是ISO和IUT-T的代表。 NBS有4个研究机构： (1) 计量基准研究所； (2) 国家工程研究所； (3) 材料研究所； (4) 计算科学技术中心。 NBS上述4个主要机构的工作大都与标准有关，是美国标准 化活动的强大技术后方。它的工作一般以NIST出版物（ FIPS PUBs） 和 NIST特别出版物（SPEC PUB）等形式 发布。本书的 封面10.1.3 标准化组织简介ANSI：美国国家标准学会 American National Standards Institute 美国国家标准学会是非赢利性质的民间标准化团体，但 它实际上已成为美国国家标准化中心，美国各界标准化活 动都围绕它行。通过它，使政府有关系统和民间系统相互 配合，起到了政府和民间标准化系统之间的桥梁作用。 本书的 封面10.1.3 标准化组织简介BSI：英国标准学会 British Standards Institution 英国标准学会（BSI）是世界上最早的全国性标准化机构 ，它受政府控制但得到了政府的大力支持。 BSI不断发展 自己的工作队伍，完善自己的工作机构和体制， 把标准 化和质量管理以及对外贸易紧密结合起来开展工作。 BSI的宗旨是： (1) 为增产节约努力协调生产者和用户之间的关系，促进 生产， 达到标准化（包括简化）。 (2) 制定和修订英国标准，并促进其贯彻执行。 (3) 以学会名义，对各种标志进行登记，并颁发许可证。 (4) 必要时采取各种行动，保护学会利益。本书的 封面10.1.3 标准化组织简介DIN：德国标准化学会 Deutsches Institut fur Normung DIN是德国的标准化主管机关，作为全国性标准化机构参加 国际和区域的非政府性标准化机构。 DIN是一个经注册的私立协会，大约有6000个工业公司和组 织为其会员。目前设有123个标准委员会和3655个工作委 员会。 DIN于1951年参加国际标准化组织。由DIN和德国电气工程 师协会(VDE)联合组成的德国电工委员会(DKE)代表德国 参加国际电工委员会。DIN还是欧洲标准化委员会、欧洲 电工标准化委员会(CENELEC)和国际标准实践联合会 (IFAN)的积极参加国。本书的 封面10.1.3 标准化组织简介AFNOR：法国标准化协会