信息安全国际标准详解.ppt

提纲 什么是信息安全？ 什么是标准？ 标准：标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践的综合成果为基础，经有关方面协商一致，由主管部门批准，以特定的方式发布，作为共同遵守的准则和依据。 强制性标准：保障人体健康、人身、财产安全的标准和法律、行政法规规定强制执行的标准；其它标准是推荐性标准。 无规矩不成方圆 无规矩不成方圆! 提纲 标准的来源 政府组织 NIST-National Institute of Standards and Technology NSA-National Security Agency GAO- General Accounting Office BSI- British Standard Institution 标准化组织 ISO/IEC JTC1 SC27 ANSI -American National Standards Institute 专业组织/行业联盟 IEEE IETF W3C ISSA-Information Systems Security Association ITAA-Information Technology Association Of America) 大学 ISO，国际标准化组织 ISO是International Organization for Standardization的简称 国际最大的标准化组织机构 与IEC联合成立的JTC1/SC27 负责通用信息技术安全标准的制定 ISO/TC68 负责银行和金融服务业务应用范围内信息安全标准的制定 已发布的其他行业的重要标准 ISO 9001 ISO 14001 IEC，国际电工委员会 IEC是International Electrotechnical Commission的简称 世界上最早的国际性电工标准化机构 负责有关电工、电子领域的国际标准化工作 在信息安全技术标准化方面，同ISO联合成立JTC1 在电磁兼容EMC等方面成立技术委员会，制定相关国际标准 ISO/IEC JTC1/SC27 – JTC1(Joint Technical Committee 1)是ISO 及IEC的联合技术委员会, SC27 小组专门负责安全技术标准的制定、审核 – 已发布的部分标准 ISO/IEC 18033 加密机制 ISO/IEC 9796,14888.15964 数字签名 ISO/IEC TR 13335 GMITS ISO/IEC 15408 Evaluation criteria for IT Security ISO/IEC 17799 Code of Practice for Information Security Management ISO/IEC 21287 SSE-CMM NIST，国家标准技术协会 NIST是美国National Institute of Standards and Technology的简称 已发布的部分文献 FIPS（Federal Information Processing Standards Publications ） FIPS PUB 140-2 Security Requirements for Cryptographic Modules FIPS PUB 180-1 Secure Hash Standard FIPS PUB 197 Advanced Encryption Standard SP（Special Publications 800 series 是关于计算机安全的文献） SP 800-12 Computer Security Handbook SP 800-30 Risk Management Guide for IT Systems SP 800-44 Guidelines on Securing Public Web Servers 其他组织 ANSI，美国国家标准协会 80年代初开始数据加密标准化工作 制定了三个通用的国家标准 ANSI X.9系列财务服务安全标准 ITU-T，国际电讯联盟 前身是CCITT，单独或于ISO合作开发诸如消息处理系统、目录系统（X.400系列、X.500系列）和安全框架、安全模型等标准 ITU-T X.509 The Directory: Authentication Framework 其他组织 IEEE - 电气电子工程师协会 在信息安全方面主要是提出了LAN/WAN安全方面的标准和公钥密码标准 IETF - Internet工程任务组 主要提出Internet标准草案和成为RFC的协议文稿，内容广泛，也包括安全方面的建议稿，经过网上讨论修改，被大家广泛接受就成了的事实上的标准标准 提