3.2信息安全標(biāo)準(zhǔn)-信息安全

1、1,信息安全標(biāo)準(zhǔn),,信息安全（模塊3－信息安全法律法規(guī)與標(biāo)準(zhǔn)）,2,內(nèi)容提要,1、標(biāo)準(zhǔn)的定義2、標(biāo)準(zhǔn)的分級3、標(biāo)準(zhǔn)的分類4、與計算機信息系統(tǒng)安全等級保護(hù)相關(guān)的標(biāo)準(zhǔn)5、信息安全國際標(biāo)準(zhǔn),3,1 標(biāo)準(zhǔn)的定義,國際標(biāo)準(zhǔn)化組織定義：由有關(guān)各方根據(jù)科學(xué)技術(shù)成就與先進(jìn)經(jīng)驗，共同合作起草，一致或基本上同意的技術(shù)規(guī)范或其他公開文件，其目的在于促進(jìn)最佳的公共利益，并由標(biāo)準(zhǔn)化團(tuán)體批準(zhǔn)我國定義：標(biāo)準(zhǔn)是對重復(fù)性事物和概念所做的統(tǒng)一規(guī)定。它以科學(xué)、技術(shù)

2、和實踐經(jīng)驗的綜合成果為基礎(chǔ)，經(jīng)有關(guān)方面協(xié)調(diào)一致，由主管機構(gòu)批準(zhǔn)，以特定形式發(fā)布，作為共同遵守的準(zhǔn)則和依據(jù),4,2 標(biāo)準(zhǔn)的分級,我國標(biāo)準(zhǔn)分為四級國家標(biāo)準(zhǔn)：由國務(wù)院標(biāo)準(zhǔn)化行政主管部門負(fù)責(zé)組織制定和審批行業(yè)標(biāo)準(zhǔn)：由國務(wù)院有關(guān)行政主管部門負(fù)責(zé)制定和審批，并報國務(wù)院標(biāo)準(zhǔn)化行政主管部門備案地方標(biāo)準(zhǔn)：由省級政府標(biāo)準(zhǔn)化行政主管部門負(fù)責(zé)制定和審批，并報國務(wù)院標(biāo)準(zhǔn)化行政主管部門和國務(wù)院有關(guān)行政主管部門備案企業(yè)標(biāo)準(zhǔn)：由企業(yè)法人代表或法人代表授權(quán)的主管

3、領(lǐng)導(dǎo)批準(zhǔn)、發(fā)布，由企業(yè)法人代表授權(quán)的部門統(tǒng)一管理，企業(yè)產(chǎn)品標(biāo)準(zhǔn)應(yīng)向當(dāng)?shù)貥?biāo)準(zhǔn)化行政主管部門和有關(guān)行政主管部門備案,5,3 標(biāo)準(zhǔn)的分類,按標(biāo)準(zhǔn)發(fā)生作用的范圍和審批標(biāo)準(zhǔn)級別來分國家標(biāo)準(zhǔn)行業(yè)標(biāo)準(zhǔn)地方標(biāo)準(zhǔn)企業(yè)標(biāo)準(zhǔn)按標(biāo)準(zhǔn)的約束性來分按標(biāo)準(zhǔn)在標(biāo)準(zhǔn)系統(tǒng)中的地位和作用來分按標(biāo)準(zhǔn)化對象在生產(chǎn)過程中的作用來分按標(biāo)準(zhǔn)的性質(zhì)來分,6,3 標(biāo)準(zhǔn)的分類,按標(biāo)準(zhǔn)發(fā)生作用的范圍和審批標(biāo)準(zhǔn)級別來分按標(biāo)準(zhǔn)的約束性來分強制性標(biāo)準(zhǔn)：保障人體健康、人身、財產(chǎn)安

4、全的國家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)和法律及行政法規(guī)規(guī)定強制執(zhí)行的標(biāo)準(zhǔn)。必須執(zhí)行，不符合的產(chǎn)品禁止生產(chǎn)、銷售和進(jìn)口推薦性標(biāo)準(zhǔn)：相對于強制性標(biāo)準(zhǔn)的其他標(biāo)準(zhǔn)。鼓勵企業(yè)自行采用按標(biāo)準(zhǔn)在標(biāo)準(zhǔn)系統(tǒng)中的地位和作用來分按標(biāo)準(zhǔn)化對象在生產(chǎn)過程中的作用來分按標(biāo)準(zhǔn)的性質(zhì)來分,7,3 標(biāo)準(zhǔn)的分類,按標(biāo)準(zhǔn)發(fā)生作用的范圍和審批標(biāo)準(zhǔn)級別來分按標(biāo)準(zhǔn)的約束性來分按標(biāo)準(zhǔn)在標(biāo)準(zhǔn)系統(tǒng)中的地位和作用來分基礎(chǔ)標(biāo)準(zhǔn)：一定范圍內(nèi)作為其他標(biāo)準(zhǔn)的基礎(chǔ)并普遍使用的標(biāo)準(zhǔn)，具有廣泛的指導(dǎo)意義

5、例如，GB17859：1999《計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》一般標(biāo)準(zhǔn)：相對于基礎(chǔ)標(biāo)準(zhǔn)的其他標(biāo)準(zhǔn)按標(biāo)準(zhǔn)化對象在生產(chǎn)過程中的作用來分按標(biāo)準(zhǔn)的性質(zhì)來分,8,3 標(biāo)準(zhǔn)的分類,按標(biāo)準(zhǔn)發(fā)生作用的范圍和審批標(biāo)準(zhǔn)級別來分按標(biāo)準(zhǔn)的約束性來分按標(biāo)準(zhǔn)在標(biāo)準(zhǔn)系統(tǒng)中的地位和作用來分按標(biāo)準(zhǔn)化對象在生產(chǎn)過程中的作用來分產(chǎn)品標(biāo)準(zhǔn)；原材料標(biāo)準(zhǔn)；零部件標(biāo)準(zhǔn)；工藝和工藝裝備標(biāo)準(zhǔn)；設(shè)備維修標(biāo)準(zhǔn)；檢驗和試驗方法標(biāo)準(zhǔn)；檢驗、測量和試驗設(shè)備標(biāo)準(zhǔn)；搬運、貯存、

6、包裝、標(biāo)識標(biāo)準(zhǔn)等按標(biāo)準(zhǔn)的性質(zhì)來分,9,3 標(biāo)準(zhǔn)的分類,按標(biāo)準(zhǔn)發(fā)生作用的范圍和審批標(biāo)準(zhǔn)級別來分按標(biāo)準(zhǔn)的約束性來分按標(biāo)準(zhǔn)在標(biāo)準(zhǔn)系統(tǒng)中的地位和作用來分按標(biāo)準(zhǔn)化對象在生產(chǎn)過程中的作用來分按標(biāo)準(zhǔn)的性質(zhì)來分技術(shù)標(biāo)準(zhǔn)：對標(biāo)準(zhǔn)化領(lǐng)域中需要協(xié)調(diào)統(tǒng)一的技術(shù)事項所制定的標(biāo)準(zhǔn)管理標(biāo)準(zhǔn)：對標(biāo)準(zhǔn)化領(lǐng)域中需要協(xié)調(diào)統(tǒng)一的管理事項所制定的標(biāo)準(zhǔn)工作標(biāo)準(zhǔn)：對工作的責(zé)任、權(quán)利、范圍、質(zhì)量要求、程序、效果、檢查方法、考核辦法所制定的標(biāo)準(zhǔn),10,信息安全標(biāo)準(zhǔn),我國

7、的信息安全從保密技術(shù)、難度、標(biāo)準(zhǔn)的特點出發(fā)，將信息安全保密標(biāo)準(zhǔn)分為三級第一級國家標(biāo)準(zhǔn)第二級國家軍隊標(biāo)準(zhǔn)第三級國家保密標(biāo)準(zhǔn)三級標(biāo)準(zhǔn)中，國家保密標(biāo)準(zhǔn)最高其他標(biāo)準(zhǔn)還包括：公共安全行業(yè)標(biāo)準(zhǔn)（GA）,11,,我國信息安全標(biāo)準(zhǔn)委員會在制定我國信息安全標(biāo)準(zhǔn)方面做了大量的工作目前已出臺的信息安全保護(hù)方面的標(biāo)準(zhǔn)主要包括在國家標(biāo)準(zhǔn)和公共安全行業(yè)標(biāo)準(zhǔn)中，當(dāng)然在國家軍隊標(biāo)準(zhǔn)、國家保密標(biāo)準(zhǔn)中也有所涉及,12,4 與計算機信息系統(tǒng)安全等級保護(hù)相關(guān)的標(biāo)準(zhǔn)

8、,GB17859-1999《計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》GA/T387-2002《計算機信息系統(tǒng)安全等級保護(hù)網(wǎng)絡(luò)技術(shù)要求》GA/T388-2002《計算機信息系統(tǒng)安全等級保護(hù)操作系統(tǒng)技術(shù)要求》GA/T389-2002《計算機信息系統(tǒng)安全等級保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求》GA/T390-2002《計算機信息系統(tǒng)安全等級保護(hù)通用技術(shù)要求》GA/T391-2002《計算機信息系統(tǒng)安全等級保護(hù)管理要求》GB9361-88S《計

9、算站場地安全要求》GA163-1997《計算機信息系統(tǒng)安全專用產(chǎn)品分類原則》,13,GB17859-1999《計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》,是建立計算機信息系統(tǒng)安全等級保護(hù)制度，實施安全等級管理的重要基礎(chǔ)性標(biāo)準(zhǔn)將計算機信息系統(tǒng)安全保護(hù)能力劃分為五個等級：用戶自主保護(hù)級系統(tǒng)審計保護(hù)級安全標(biāo)記保護(hù)級結(jié)構(gòu)化保護(hù)級訪問驗證保護(hù)級,14,GA/T390-2002《計算機信息系統(tǒng)安全等級保護(hù)通用技術(shù)要求》,是計算機信息系統(tǒng)安全

10、等級保護(hù)技術(shù)要求系列標(biāo)準(zhǔn)的基礎(chǔ)性標(biāo)準(zhǔn)，用以指導(dǎo)設(shè)計者如何設(shè)計和實現(xiàn)具有所需要的安全等級的計算機信息系統(tǒng)主要說明了為實現(xiàn)GB17859-1999中每一個保護(hù)等級的安全要求應(yīng)采取的通用的安全技術(shù)，和為確保這些安全技術(shù)所實現(xiàn)的安全功能達(dá)到其應(yīng)具有的安全性而采取的通用的保證措施,15,GA/T391-2002《計算機信息系統(tǒng)安全等級保護(hù)管理要求》,明確提出了管理層、物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層和運行層的安全管理要求，并將管理要求落實到GB1

11、7859-1999的五個等級上更有利于對安全管理的繼承、理解、分工實施，更有利于對安全管理的評估和檢查,16,GA/T387-2002《計算機信息系統(tǒng)安全等級保護(hù)網(wǎng)絡(luò)技術(shù)要求》,用以指導(dǎo)設(shè)計者如何設(shè)計和實現(xiàn)具有所需要的安全等級的網(wǎng)絡(luò)系統(tǒng)主要從對網(wǎng)絡(luò)的安全保護(hù)等級進(jìn)行劃分的角度來說明其技術(shù)要求，即主要說明了為實現(xiàn)GB17859-1999中每一個保護(hù)等級的安全要求對網(wǎng)絡(luò)系統(tǒng)應(yīng)采取的安全技術(shù)措施，以及各安全技術(shù)要求在不同安全級中具體實現(xiàn)上

12、的差異,17,GA/T388-2002《計算機信息系統(tǒng)安全等級保護(hù)操作系統(tǒng)技術(shù)要求》,用以指導(dǎo)設(shè)計者如何設(shè)計和實現(xiàn)具有所需要的安全等級的操作系統(tǒng)，主要從對操作系統(tǒng)的安全保護(hù)等級進(jìn)行劃分的角度來說明其技術(shù)要求,18,GA/T389-2002《計算機信息系統(tǒng)安全等級保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求》,用以指導(dǎo)設(shè)計者如何設(shè)計和實現(xiàn)具有所需要的安全等級的數(shù)據(jù)庫管理系統(tǒng)，主要從對數(shù)據(jù)庫管理系統(tǒng)的安全保護(hù)等級進(jìn)行劃分的角度來說明其技術(shù)要求,19,GB17

13、859-1999《計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》,五個等級：第一級：用戶自主保護(hù)級第二級：系統(tǒng)審計保護(hù)級第三級：安全標(biāo)記保護(hù)級第四級：結(jié)構(gòu)化保護(hù)級第五級：訪問驗證保護(hù)級安全保護(hù)能力隨著安全保護(hù)等級的提高，逐漸增強,20,五個等級保護(hù)能力比較,21,GA/T391-2002《計算機信息系統(tǒng)安全等級保護(hù)管理要求》,信息系統(tǒng)安全管理，是對一個組織或機構(gòu)中信息系統(tǒng)的生命周期全過程實施符合安全等級責(zé)任要求的科學(xué)管理落實安全組織

14、及安全管理人員，明確角色與職責(zé)，制定安全規(guī)劃開發(fā)安全策略實施風(fēng)險管理制定業(yè)務(wù)持續(xù)性計劃和災(zāi)難恢復(fù)計劃選擇與實施安全措施保證配置、變更的正確與安全進(jìn)行安全審計保證維護(hù)支持進(jìn)行監(jiān)控、檢查，處理安全事件安全意識與安全教育人員安全管理等,22,主要安全要素,23,,信息系統(tǒng)安全管理的基本原則總原則主要領(lǐng)導(dǎo)人負(fù)責(zé)原則規(guī)范定級原則依法行政原則以人為本原則適度安全原則全面防范、突出重點原則系統(tǒng)、動態(tài)原則控制社會影

15、響原則主要安全管理策略,24,,信息系統(tǒng)安全管理的基本原則總原則主要安全管理策略分權(quán)制衡最小特權(quán)選用成熟技術(shù)普遍參與,25,5 信息安全國際標(biāo)準(zhǔn),國際上比較有影響的信息安全標(biāo)準(zhǔn)體系主要有：ISO/IEC的國際標(biāo)準(zhǔn)13335、17799、27001系列美國國家標(biāo)準(zhǔn)和技術(shù)委員會（NIST）的特別出版物系列英國標(biāo)準(zhǔn)協(xié)會（BSI）的7799系列,26,,國際標(biāo)準(zhǔn)ISO/IEC是國際上最權(quán)威的由國際標(biāo)準(zhǔn)化組織（ ISO）和國際

16、電工委員會（IEC）所制定的國際標(biāo)準(zhǔn)ISO和IEC是世界范圍的標(biāo)準(zhǔn)化組織，它由各個國家和地區(qū)的成員組成，各國的相關(guān)標(biāo)準(zhǔn)化組織都是其成員，他們通過各技術(shù)委員會，參與相關(guān)標(biāo)準(zhǔn)的制定,27,,ISO/IEC聯(lián)合技術(shù)委員會JTC1子委員會27（ISO/IEC JTC1 SC27）是信息安全領(lǐng)域最權(quán)威和國際認(rèn)可的標(biāo)準(zhǔn)化組織ISO/IEC JTC1 SC27發(fā)布的目前最主要的標(biāo)準(zhǔn)是ISO/IEC 13335ISO/IEC 17799:200

17、5ISO/IEC 27001:2005,28,,BS 7799受到廣泛認(rèn)可它的第一部分已成為國際標(biāo)準(zhǔn) ISO/IEC 17799:2005它的第二部分成為國際標(biāo)準(zhǔn) ISO/IEC 27001:2005,29,BS 7799《信息安全管理標(biāo)準(zhǔn)》,BS 7799是英國標(biāo)準(zhǔn)協(xié)會針對信息安全管理而制定的標(biāo)準(zhǔn)第一部分：是信息安全管理實踐規(guī)范Code of P

18、ractice for Information Security Management主要供負(fù)責(zé)信息安全系統(tǒng)開發(fā)的人員作為參考使用第二部分：是建立信息安全管理體系的規(guī)范Specification for Information Security Management Systems可用來指導(dǎo)相關(guān)人員應(yīng)用第一部分，最終目的是建立適合企業(yè)需要的信息安全管理體系,30,國際標(biāo)準(zhǔn)ISO/IEC 17799:2005,國際標(biāo)準(zhǔn)ISO/IE

19、C 17799:2005《信息技術(shù)－安全技術(shù)－信息安全管理實踐規(guī)范》描述了信息安全管理領(lǐng)域的最佳慣例，由11個獨立的部分組成安全方針信息安全組織資產(chǎn)管理人力資源安全物理與環(huán)境安全通信和運作管理訪問控制信息系統(tǒng)的獲取、開發(fā)及維護(hù)信息安全事故管理業(yè)務(wù)連續(xù)性管理符合性,31,,上述11個方面，除了三個與技術(shù)密切相關(guān)之外，其他方面更側(cè)重于組織整體的管理和運營操作體現(xiàn)了信息安全“三分技術(shù)，七分管理”、“管理與技術(shù)并重”的