信息安全标准信息安全.ppt

信息安全标准 内容提要 1、标准的定义 2、标准的分级 3、标准的分类 4、与计算机信息系统安全等级保护相关的标准 5、信息安全国际标准 1 标准的定义 国际标准化组织定义：由有关各方根据科学技术成就与先进经验，共同合作起草，一致或基本上同意的技术规范或其他公开文件，其目的在于促进最佳的公共利益，并由标准化团体批准 我国定义：标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践经验的综合成果为基础，经有关方面协调一致，由主管机构批准，以特定形式发布，作为共同遵守的准则和依据 2 标准的分级 我国标准分为四级 国家标准：由国务院标准化行政主管部门负责组织制定和审批 行业标准：由国务院有关行政主管部门负责制定和审批，并报国务院标准化行政主管部门备案 地方标准：由省级政府标准化行政主管部门负责制定和审批，并报国务院标准化行政主管部门和国务院有关行政主管部门备案 企业标准：由企业法人代表或法人代表授权的主管领导批准、发布，由企业法人代表授权的部门统一管理，企业产品标准应向当地标准化行政主管部门和有关行政主管部门备案 3 标准的分类 按标准发生作用的范围和审批标准级别来分 国家标准 行业标准 地方标准 企业标准 按标准的约束性来分 按标准在标准系统中的地位和作用来分 按标准化对象在生产过程中的作用来分 按标准的性质来分 3 标准的分类 按标准发生作用的范围和审批标准级别来分 按标准的约束性来分 强制性标准：保障人体健康、人身、财产安全的国家标准或行业标准和法律及行政法规规定强制执行的标准。必须执行，不符合的产品禁止生产、销售和进口 推荐性标准：相对于强制性标准的其他标准。鼓励企业自行采用 按标准在标准系统中的地位和作用来分 按标准化对象在生产过程中的作用来分 按标准的性质来分 3 标准的分类 按标准发生作用的范围和审批标准级别来分 按标准的约束性来分 按标准在标准系统中的地位和作用来分 基础标准：一定范围内作为其他标准的基础并普遍使用的标准，具有广泛的指导意义 例如，GB17859：1999《计算机信息系统安全保护等级划分准则》 一般标准：相对于基础标准的其他标准 按标准化对象在生产过程中的作用来分 按标准的性质来分 3 标准的分类 按标准发生作用的范围和审批标准级别来分 按标准的约束性来分 按标准在标准系统中的地位和作用来分 按标准化对象在生产过程中的作用来分 产品标准；原材料标准；零部件标准；工艺和工艺装备标准；设备维修标准；检验和试验方法标准；检验、测量和试验设备标准；搬运、贮存、包装、标识标准等 按标准的性质来分 3 标准的分类 按标准发生作用的范围和审批标准级别来分 按标准的约束性来分 按标准在标准系统中的地位和作用来分 按标准化对象在生产过程中的作用来分 按标准的性质来分 技术标准：对标准化领域中需要协调统一的技术事项所制定的标准 管理标准：对标准化领域中需要协调统一的管理事项所制定的标准 工作标准：对工作的责任、权利、范围、质量要求、程序、效果、检查方法、考核办法所制定的标准 信息安全标准 我国的信息安全从保密技术、难度、标准的特点出发，将信息安全保密标准分为三级 第一级国家标准 第二级国家军队标准 第三级国家保密标准 三级标准中，国家保密标准最高 其他标准还包括：公共安全行业标准（GA） 我国信息安全标准委员会在制定我国信息安全标准方面做了大量的工作 目前已出台的信息安全保护方面的标准主要包括在国家标准和公共安全行业标准中，当然在国家军队标准、国家保密标准中也有所涉及 4 与计算机信息系统安全等级保护相关的标准 GB17859-1999《计算机信息系统安全保护等级划分准则》 GA/T387-2002《计算机信息系统安全等级保护网络技术要求》 GA/T388-2002《计算机信息系统安全等级保护操作系统技术要求》 GA/T389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》 GA/T390-2002《计算机信息系统安全等级保护通用技术要求》 GA/T391-2002《计算机信息系统安全等级保护管理要求》 GB9361-88S《计算站场地安全要求》 GA163-1997《计算机信息系统安全专用产品分类原则》 GB17859-1999《计算机信息系统安全保护等级划分准则》 是建立计算机信息系统安全等级保护制度，实施安全等级管理的重要基础性标准 将计算机信息系统安全保护能力划分为五个等级： 用户自主保护级 系统审计保护级 安全标记保护级 结构化保护级 访问验证保护级 GA/T390-2002《计算机信息系统安全等级保护通用技术要求》 是计算机信息系统安全等级保护技术要求系列标准的基础性标准，用以指导设计者如何设计和实现具有所需要的安全等级的计算机信息系统 主要说明了为实现GB17859-1999中每一个保