信息安全概论张雪锋第9章信息安全标准与法律法规上课用课件.pptVIP

第九章 信息安全标准与法律法规 第九章 信息安全标准与法律法规 9.1 概述 9.2 国际安全标准 9.3 国内安全标准 9.4 重要的标准化组织 9.5 信息安全法律法规 9.1 概述 为在一定范围内获得最佳秩序，对活动或其结果规定共同的和重复使用的规则、导则或特性的文件就是标准。标准应以科学技术和经验的综合成果为基础，以促进最佳社会效益为目的。标准文件必须经协商一致并由一个公认的机构批准。 信息技术安全方面的标准化，兴起于20世纪70年代中期，80年代有了较快的发展，90年代引起了世界各国的普遍关注，特别是随着信息数字化和网络化的发展和应用，信息技术的安全技术标准化变得更为重要。因此标准化的范围在拓展，标准化的进程在加快，标准化的成果也在不断的涌现。 9.1 概述 基础标准是整个信息安全标准体系的基础部分，并向其他的技术标准提供所需的服务支持。基础标准包括信息安全术语、信息安全体系结构、信息安全框架、信息安全模型、安全技术等。物理安全标准针对物理环境和保障、安全产品、介质安全等提出标准进行规范。系统与网络标准针对软硬件应用平台、网络、安全协议、安全信息交换语法规则、人机接口以及业务应用平台提出安全要求。应用与工程标准则针对安全工程和服务、人员资质、行业应用进行详细规定。管理类标准分为三大块：管理基础、系统管理和测评认证。 建立科学的信息安全标准体系，将众多的信息安全标准在此体系下协调一致，才能充分发挥信息安全标准系统的功能，获得良好的系统效应，取得预期的社会效益和经济效益。信息安全标准体系框架描述了信息安全标准整体组成，是整个信息安全标准化工作的指南。，在标准框架中，基础标准和管理标准是支持该框架的支柱，物理安全标准、系统与网络标准和应用工程标准也都是组成信息安全保证的重要依据。 9.2 国际安全标准 信息安全技术标准是信息安全产业的重要领域，一直受到国内外的普遍关注，早在1977年，美国国家标准局就正式颁发了世界第一个数据加密标准（DES），随着通信和计算机网络的发展，信息安全的标准化工作也取得了很大的进展。 BS7799 CC SSE-CMM 9.2 国际安全标准 BS7799 英国标准BS7799是目前世界上应用最广泛的典型的信息安全管理标准，它是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成的。 BS7799标准提供一个开发组织安全标准、有效实施安全管理的公共基础，还提供了组织间交易的可信度。该标准第一部分为组织管理者提供了信息安全管理的实施惯例，例如信息与软件交换和处理的安全规定、设备的安全配置管理、安全区域进出的控制等一些很容易理解的问题。这恰巧符合信息安全的“七分管理，三分技术”的原则。这些管理规定一般的单位都可以制定，但要想达到BS7799的全面性则需要一番努力。在信息安全管理方面，BS7799的地位是其他标准无法取代的。总的说来，BS7799涵盖了安全管理所应涉及的方方面面，全面而不失可操作性，提供了一个可持续提高的信息安全管理环境。 9.2 国际安全标准 CC 信息安全安全性评估的标准——信息技术安全性评估通用准则（CC：Common Criteria），通常简称通用准则，也即是国际标准ISO/IEC15408-99，该标准是评估信息技术产品和系统安全特性的基础准则。它是在TESEC、ITSEC、CTCPEC、FC等信息安全标准的基础上综合形成的，通过建立信息技术安全性评估的通用准则库，使得其评估结果能被更多的人理解、信任，并且让各种独立的安全评估结果具有可比性，从而达到互相认可的目的。 此标准是现阶段最完善的信息技术安全性评估标准，我国也采用这一标准（GB/T 18336）对产品、系统和系统方案进行测试、评估和认可。 9.2 国际安全标准 SSE-CMM 系统安全工程能力成熟模型简写为SSE-CMM，是原英文Systems Security Engineering Capability Maturity Model的缩写。它是一个模型，正如开放系统互连参考模型（OSI）一样，但它指导着系统安全工程的完善和改进，使系统安全工程成为一个清晰定义的、成熟的、可管理的、可控制的、有效的和可度量的科学。 SSE-CMM描述了一个组织的安全工程过程务必包含的本质特征，这些特征是完善安全工程的保证，也是安全工程实施的度量标准，还是一个易于理解的评估安全工程实施的框架。 SSE-CMM模型的开发源于1993年5月美国国家安全局发起的研究工作。1995年1月，在第一次公共安全工程CMM讨论会中，信息安全协会被邀请加入，超过60个组织的代表再次确认需要这样一种模型。因此，研讨会期间成立了项目工作组，由此进入了模型开发阶段。通过项目领导、应用工作组全体的通力合作，于1996年10月完成了SSE-CMM模