信息安全标准与法律法规.pptVIP

信息安全标准 北京电子科技学院 信息安全工程应用 Contents Contents 12.1 信息技术标准化组织 国际标准化组织（ISO） 互联网工程任务组 （ IETF ） 国际电信联盟 （ITU） 电气与电子工程师学会（IEEE） 美国国家标准局(NBS)与美国商业部国家技术标准研究所(NIST) 美国国家标准协会(ANSI) 美国国防部(DoD)及国家计算机安全中心(NCSC) 美国国家安全局（NSA） 12.1.1 ISO 始建于1947年，是一个自发的非条约性组织，其成员是参加国的制定标准化机构（美国的成员是美国国家标准研究所（ANSI））。 它负责制定广泛的技术标准，为世界各国的技术共享和技术质量保证起着导向和把关的作用。 ISO的目的是促进国际标准化和相关的活动的开展，以便于商品和服务的国际交换，并已发展知识、科技和经济活动领域内的合作为己任，现已发布了覆盖领域极为广泛的5000多个国际标准。 12.1.1 ISO（续） ISO信息安全机构 ISO/IEC/JTC1 SC6 开放系统互连（OSI）网络层和传输层 ISO/TC46 信息系统安全 SC14 电子数据交换（EDI）安全 ISO/TC65 要害保险安全 SC17 标示卡和信用卡安全 ISO/TC68 银行系统安全 SC18 文本和办公系统安全 ISO/TC154 EDI安全 SC21 OSI的信息恢复、传输和管理 SC22 操作系统安全 SC27 信息技术安全 ISO对信息系统的安全体系结构制订了OSI基本参考模型ISO7498-2；并于2000年底确定了信息技术安全评估标准ISO/IEC15408。 12.1.2 IAB 由于信息安全问题已经成为Internet使用的关键，近年来IETF发布的RFC中出现了大量的有关安全的草案。 RFC涉及：报文加密和鉴别；给予证书的密钥管理；算法、模块和识别；密钥证书和相关的服务等方面。 12.1.3 NIST 根据1947年美国联邦财产和管理服务法和1987年计算机安全法，美国商业部所属的NIST授权委以责任改进利用和维护计算机与电讯系统。 NIST通过信息技术实验室(ITL—Information Tech.Lab.)提供技术指南，协调政府在这一领域的开发标准，制定联邦政府计算机系统有效保证敏感信息安全的规范。 它与NSA合作密切，在NSA的指导监督下，制定计算机信息系统的技术安全标准。这个机构是当前信息安全技术标准领域中最具影响力的标准化机构。 NIST标准涉及：访问控制和鉴别技术、评价和保障、密码、电子商务、一般计算机安全、网络安全、风险管理等 Contents 12.2 信息安全标准与规范 数据加密算法：DES、RSA、T-DES、RC2、AES、PKCS 可恢复密钥密码体系：EES 数字签名：DSS、RSA、SHA-1、MD5 安全网管协议：SNMPv2、SNMPv3 安全电子邮件：S/MIMI、PGP、PEM 公钥基础设施：PKI、PKIX 授权管理基础设施：PMI 密钥管理模型：IEEE 802.10、ISAKMP、KMI 12.2 信息安全标准与规范（续） 数字证书：X.509.V3 、X.509.V4 安全会话信道：SSL、SHTTP、TLSP IP虚拟专网（VPN）：IPSEC、IPV6、Radius 加密程序接口：CAPI、GSS-API、CDSA 访问控制：ACL 、ROAC 安全服务系统：Kerberos、DSSA、YaKsha 安全评测：TCSEC、CC、 BS 7799、ISO 13335 入侵检测：CIDF 安全体系结构：OSI 7498-2、DGSA、XDSF、DISSP 内容分级与标记: PICS 12.2 信息安全标准与规范 标准介绍： 信息技术安全评估准则发展过程 《可信计算机系统评估准则》TCSEC 《信息技术安全评估准则》ITSEC 通用准则CC（ISO 15408、GB/T 18336) 《计算机信息系统安全保护等级划分准则》 BS7799、ISO17799 ISO13335《 IT安全管理指南》 我国的信息安全标准制定情况 12.2.1信息技术安全评估准则发展过程 信息技术安全评估是对一个系统、产品、构件的安全属性进行技术评价，通过评估判断该系统、产品、构件是否满足一组特定的要求。 信息技术安全评估的另一层含义是在一定的安全策略、安全功能需求及目标保证级别下获得相应信心保证的过程。 产品安全评估 信息系统安全评估 信息系统安全评估，或简称为系统评估，是在具体的操作环境与任务下对一个系统的安全保护能力进行的评估。 12.2.1信息技术安全评估准则发展过程