[高等教育]信息安全标准与法律法规8.ppt

第8章 我国信息安全标准 任课教师：王隆娟 为什么要学习信息安全标准 对广大产品提供商：提高厂商形象、扩大市场份额 。 对用户：选择更好的安全产品 、科学地评估系统的安全性 、建立实施信息安全管理体系 。 对普通技术人员：可以站在信息安全产业的前沿，有助于把握信息安全产业整体的发展方向 。 本章内容 8.1 概述 8.2 计算机信息系统安全保护等级划分简介 8.3 《计算机信息系统安全保护等级划分准则》 8.4 《计算机信息系统安全等级保护通用技术要求》 8.5 《计算机信息系统安全等级保护管理要求》 8.6 其他安全标准 8.1 概述 国际标准化组织对标准的定义 由有关各方根据科学技术成就与先进经验，共同合作起草，一致或基本上同意的技术规范或其他公开文件，其目的在于促进最佳的公共利益，并由标准化团体批准。 我国国家标准对标准定义 标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践经验的综合成果为基础，经有关方面协调一致，由主管机构批准，以特定形式发布，作为共同遵守的准则和依据。 标准的分级 标准的分类 按标准发生作用的范围和审批标准级别来分：国家标准、行业标准、地方标准、企业标准。 按标准的约束性来分：强制性标准和推荐性标准。 按标准在标准系统中的地位和作用来分：一般标准和基础标准。 标准的分类 按标准化对象在生产过程中的作用来分：产品标准、原材料标准、零部件标准、工艺和工艺装备标准等。 按标准的性质来分：技术标准、管理标准和工作标准。 与计算机信息系统安全等级保护相关的一些标准 GB、GA的含义 8.2 计算机信息系统安全保护等级划分简介 GB17859-1999(划分准则) 该标准将计算机信息系统安全保护能力划分为用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级五个等级。 GB17859-1999颁布和实施的意义 是建立计算机信息系统安全等级保护制度、实施安全等级管理的重要基础性标准。 为计算机信息系统安全等级保护管理法规的制定和执法部门的监督检查，提供了依据。 为计算机信息系统安全产品的研制提供了技术支持。 为安全系统的建设和管理提供了技术指导。 GA/T390-2002(通用技术要求) 是计算机信息系统安全等级保护技术要求系列标准的基础性标准，用于指导设计者如何设计和实现具有所需要的安全等级的计算机信息系统。 GA/T390-2002主要内容 安全功能技术要求，包括物理安全、运行安全、信息安全。 安全保证技术，包括TCB自身安全保护、TCB设计和实现、TCB安全管理。 五个安全等级划分要求技术方面的细则。 GA/T391-2002(管理要求) 是根据《中华人民共和国计算机信息系统安全保护条例》的规定编制的。 是GB17859-1999系列配套标准中重要标准之一，与通用技术要求、操作系统要求、网络要求、数据库要求、工程要求、评估要求等标准共同组成计算机信息系统的安全等级保护体系。 GA/T391-2002主要内容 简单描述了信息系统安全管理的内涵、主要的安全要素、信息系统安全管理的基本原则、安全管理的过程、安全管理组织、人员安全、安全管理制度等。 五个安全等级划分要求管理方面的细则。 GA/T387-2002(网络技术要求) 用以指导设计者如何设计和实现具有所需要的安全等级的网络系统。 GA/T387-2002主要内容 简单描述了关于安全等级划分、主体、客体、TCB、密码技术、建立网络安全的一般要求，以及网络安全组成与相互关系。 详细描述了网络安全技术。 详细描述了网络安全技术要求。 五个安全等级划分要求技术方面的细则。 GA/T388-2002(操作系统技术要求) 用以指导设计者如何设计和实现具有所需要的安全等级的操作系统，主要从对操作系统的安全保护等级进行划分的角度来说明其技术要求。 GA/T389-2002(数据库管理系统技术要求) 用以指导设计者如何设计和实现具有所需要的安全等级的数据库管理系统。 GA/T389-2002主要内容 数据库管理系统安全技术要求，包括身份鉴别、标记与访问控制、数据完整性、数据库安全审计、客体重用、数据库可信恢复、隐蔽信息道分析、可信路径、推理控制。 五个安全等级划分要求技术方面的细则。 8.3 《计算机信息系统安全保护等级划分准则》 相关术语定义 计算机信息系统：第四章 计算机信息系统可信计算基(简称TCB): 计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。 相关术语定义 客体：信息的载体。 主体：引起信息在客