1、1,信息安全標準,,信息安全（模塊3－信息安全法律法規(guī)與標準）,2,內(nèi)容提要,1、標準的定義2、標準的分級3、標準的分類4、與計算機信息系統(tǒng)安全等級保護相關的標準5、信息安全國際標準,3,1 標準的定義,國際標準化組織定義：由有關各方根據(jù)科學技術成就與先進經(jīng)驗，共同合作起草，一致或基本上同意的技術規(guī)范或其他公開文件，其目的在于促進最佳的公共利益，并由標準化團體批準我國定義：標準是對重復性事物和概念所做的統(tǒng)一規(guī)定。它以科學、技術

2、和實踐經(jīng)驗的綜合成果為基礎，經(jīng)有關方面協(xié)調(diào)一致，由主管機構批準，以特定形式發(fā)布，作為共同遵守的準則和依據(jù),4,2 標準的分級,我國標準分為四級國家標準：由國務院標準化行政主管部門負責組織制定和審批行業(yè)標準：由國務院有關行政主管部門負責制定和審批，并報國務院標準化行政主管部門備案地方標準：由省級政府標準化行政主管部門負責制定和審批，并報國務院標準化行政主管部門和國務院有關行政主管部門備案企業(yè)標準：由企業(yè)法人代表或法人代表授權的主管

3、領導批準、發(fā)布，由企業(yè)法人代表授權的部門統(tǒng)一管理，企業(yè)產(chǎn)品標準應向當?shù)貥藴驶姓鞴懿块T和有關行政主管部門備案,5,3 標準的分類,按標準發(fā)生作用的范圍和審批標準級別來分國家標準行業(yè)標準地方標準企業(yè)標準按標準的約束性來分按標準在標準系統(tǒng)中的地位和作用來分按標準化對象在生產(chǎn)過程中的作用來分按標準的性質(zhì)來分,6,3 標準的分類,按標準發(fā)生作用的范圍和審批標準級別來分按標準的約束性來分強制性標準：保障人體健康、人身、財產(chǎn)安

4、全的國家標準或行業(yè)標準和法律及行政法規(guī)規(guī)定強制執(zhí)行的標準。必須執(zhí)行，不符合的產(chǎn)品禁止生產(chǎn)、銷售和進口推薦性標準：相對于強制性標準的其他標準。鼓勵企業(yè)自行采用按標準在標準系統(tǒng)中的地位和作用來分按標準化對象在生產(chǎn)過程中的作用來分按標準的性質(zhì)來分,7,3 標準的分類,按標準發(fā)生作用的范圍和審批標準級別來分按標準的約束性來分按標準在標準系統(tǒng)中的地位和作用來分基礎標準：一定范圍內(nèi)作為其他標準的基礎并普遍使用的標準，具有廣泛的指導意義

5、例如，GB17859：1999《計算機信息系統(tǒng)安全保護等級劃分準則》一般標準：相對于基礎標準的其他標準按標準化對象在生產(chǎn)過程中的作用來分按標準的性質(zhì)來分,8,3 標準的分類,按標準發(fā)生作用的范圍和審批標準級別來分按標準的約束性來分按標準在標準系統(tǒng)中的地位和作用來分按標準化對象在生產(chǎn)過程中的作用來分產(chǎn)品標準；原材料標準；零部件標準；工藝和工藝裝備標準；設備維修標準；檢驗和試驗方法標準；檢驗、測量和試驗設備標準；搬運、貯存、

6、包裝、標識標準等按標準的性質(zhì)來分,9,3 標準的分類,按標準發(fā)生作用的范圍和審批標準級別來分按標準的約束性來分按標準在標準系統(tǒng)中的地位和作用來分按標準化對象在生產(chǎn)過程中的作用來分按標準的性質(zhì)來分技術標準：對標準化領域中需要協(xié)調(diào)統(tǒng)一的技術事項所制定的標準管理標準：對標準化領域中需要協(xié)調(diào)統(tǒng)一的管理事項所制定的標準工作標準：對工作的責任、權利、范圍、質(zhì)量要求、程序、效果、檢查方法、考核辦法所制定的標準,10,信息安全標準,我國

7、的信息安全從保密技術、難度、標準的特點出發(fā)，將信息安全保密標準分為三級第一級國家標準第二級國家軍隊標準第三級國家保密標準三級標準中，國家保密標準最高其他標準還包括：公共安全行業(yè)標準（GA）,11,,我國信息安全標準委員會在制定我國信息安全標準方面做了大量的工作目前已出臺的信息安全保護方面的標準主要包括在國家標準和公共安全行業(yè)標準中，當然在國家軍隊標準、國家保密標準中也有所涉及,12,4 與計算機信息系統(tǒng)安全等級保護相關的標準

8、,GB17859-1999《計算機信息系統(tǒng)安全保護等級劃分準則》GA/T387-2002《計算機信息系統(tǒng)安全等級保護網(wǎng)絡技術要求》GA/T388-2002《計算機信息系統(tǒng)安全等級保護操作系統(tǒng)技術要求》GA/T389-2002《計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理系統(tǒng)技術要求》GA/T390-2002《計算機信息系統(tǒng)安全等級保護通用技術要求》GA/T391-2002《計算機信息系統(tǒng)安全等級保護管理要求》GB9361-88S《計

9、算站場地安全要求》GA163-1997《計算機信息系統(tǒng)安全專用產(chǎn)品分類原則》,13,GB17859-1999《計算機信息系統(tǒng)安全保護等級劃分準則》,是建立計算機信息系統(tǒng)安全等級保護制度，實施安全等級管理的重要基礎性標準將計算機信息系統(tǒng)安全保護能力劃分為五個等級：用戶自主保護級系統(tǒng)審計保護級安全標記保護級結構化保護級訪問驗證保護級,14,GA/T390-2002《計算機信息系統(tǒng)安全等級保護通用技術要求》,是計算機信息系統(tǒng)安全

10、等級保護技術要求系列標準的基礎性標準，用以指導設計者如何設計和實現(xiàn)具有所需要的安全等級的計算機信息系統(tǒng)主要說明了為實現(xiàn)GB17859-1999中每一個保護等級的安全要求應采取的通用的安全技術，和為確保這些安全技術所實現(xiàn)的安全功能達到其應具有的安全性而采取的通用的保證措施,15,GA/T391-2002《計算機信息系統(tǒng)安全等級保護管理要求》,明確提出了管理層、物理層、網(wǎng)絡層、系統(tǒng)層、應用層和運行層的安全管理要求，并將管理要求落實到GB1

11、7859-1999的五個等級上更有利于對安全管理的繼承、理解、分工實施，更有利于對安全管理的評估和檢查,16,GA/T387-2002《計算機信息系統(tǒng)安全等級保護網(wǎng)絡技術要求》,用以指導設計者如何設計和實現(xiàn)具有所需要的安全等級的網(wǎng)絡系統(tǒng)主要從對網(wǎng)絡的安全保護等級進行劃分的角度來說明其技術要求，即主要說明了為實現(xiàn)GB17859-1999中每一個保護等級的安全要求對網(wǎng)絡系統(tǒng)應采取的安全技術措施，以及各安全技術要求在不同安全級中具體實現(xiàn)上

12、的差異,17,GA/T388-2002《計算機信息系統(tǒng)安全等級保護操作系統(tǒng)技術要求》,用以指導設計者如何設計和實現(xiàn)具有所需要的安全等級的操作系統(tǒng)，主要從對操作系統(tǒng)的安全保護等級進行劃分的角度來說明其技術要求,18,GA/T389-2002《計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理系統(tǒng)技術要求》,用以指導設計者如何設計和實現(xiàn)具有所需要的安全等級的數(shù)據(jù)庫管理系統(tǒng)，主要從對數(shù)據(jù)庫管理系統(tǒng)的安全保護等級進行劃分的角度來說明其技術要求,19,GB17

13、859-1999《計算機信息系統(tǒng)安全保護等級劃分準則》,五個等級：第一級：用戶自主保護級第二級：系統(tǒng)審計保護級第三級：安全標記保護級第四級：結構化保護級第五級：訪問驗證保護級安全保護能力隨著安全保護等級的提高，逐漸增強,20,五個等級保護能力比較,21,GA/T391-2002《計算機信息系統(tǒng)安全等級保護管理要求》,信息系統(tǒng)安全管理，是對一個組織或機構中信息系統(tǒng)的生命周期全過程實施符合安全等級責任要求的科學管理落實安全組織

14、及安全管理人員，明確角色與職責，制定安全規(guī)劃開發(fā)安全策略實施風險管理制定業(yè)務持續(xù)性計劃和災難恢復計劃選擇與實施安全措施保證配置、變更的正確與安全進行安全審計保證維護支持進行監(jiān)控、檢查，處理安全事件安全意識與安全教育人員安全管理等,22,主要安全要素,23,,信息系統(tǒng)安全管理的基本原則總原則主要領導人負責原則規(guī)范定級原則依法行政原則以人為本原則適度安全原則全面防范、突出重點原則系統(tǒng)、動態(tài)原則控制社會影

15、響原則主要安全管理策略,24,,信息系統(tǒng)安全管理的基本原則總原則主要安全管理策略分權制衡最小特權選用成熟技術普遍參與,25,5 信息安全國際標準,國際上比較有影響的信息安全標準體系主要有：ISO/IEC的國際標準13335、17799、27001系列美國國家標準和技術委員會（NIST）的特別出版物系列英國標準協(xié)會（BSI）的7799系列,26,,國際標準ISO/IEC是國際上最權威的由國際標準化組織（ ISO）和國際

16、電工委員會（IEC）所制定的國際標準ISO和IEC是世界范圍的標準化組織，它由各個國家和地區(qū)的成員組成，各國的相關標準化組織都是其成員，他們通過各技術委員會，參與相關標準的制定,27,,ISO/IEC聯(lián)合技術委員會JTC1子委員會27（ISO/IEC JTC1 SC27）是信息安全領域最權威和國際認可的標準化組織ISO/IEC JTC1 SC27發(fā)布的目前最主要的標準是ISO/IEC 13335ISO/IEC 17799:200

17、5ISO/IEC 27001:2005,28,,BS 7799受到廣泛認可它的第一部分已成為國際標準 ISO/IEC 17799:2005它的第二部分成為國際標準 ISO/IEC 27001:2005,29,BS 7799《信息安全管理標準》,BS 7799是英國標準協(xié)會針對信息安全管理而制定的標準第一部分：是信息安全管理實踐規(guī)范Code of P

18、ractice for Information Security Management主要供負責信息安全系統(tǒng)開發(fā)的人員作為參考使用第二部分：是建立信息安全管理體系的規(guī)范Specification for Information Security Management Systems可用來指導相關人員應用第一部分，最終目的是建立適合企業(yè)需要的信息安全管理體系,30,國際標準ISO/IEC 17799:2005,國際標準ISO/IE

19、C 17799:2005《信息技術－安全技術－信息安全管理實踐規(guī)范》描述了信息安全管理領域的最佳慣例，由11個獨立的部分組成安全方針信息安全組織資產(chǎn)管理人力資源安全物理與環(huán)境安全通信和運作管理訪問控制信息系統(tǒng)的獲取、開發(fā)及維護信息安全事故管理業(yè)務連續(xù)性管理符合性,31,,上述11個方面，除了三個與技術密切相關之外，其他方面更側(cè)重于組織整體的管理和運營操作體現(xiàn)了信息安全“三分技術，七分管理”、“管理與技術并重”的