银行跟相关金融服务信息安全标准体系资料.ppt

信息安全标准介绍 中国信息安全产品测评认证中心 张利 博士 主要内容 信息安全基础标准 信息安全评估标准发展史 通用评估准则（CC） PP和ST产生指南 IATF SCC 标准化基础 标准：标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践的综合成果为基础，经有关方面协商一致，由主管部门批准，以特定的方式发布，作为共同遵守的准则和依据。 强制性标准：保障人体健康、人身、财产安全的标准和法律、行政法规规定强制执行的标准；其它标准是推荐性标准。 我国标准分四级：国家标准、行业标准、地方标准、企业标准。 标准化基础 国家标准：对需要在全国范围内统一的技术要求(含标准样品的制作）。GB/T XXXX.X-200X GB XXXX-200X 行业标准：没有国家标准，需要在全国某个行业范围内统一的技术要求。GA ,SJ 地方标准：没有国家标准 、行业标准而又需要在省、自治区、直辖市范围内统一的工业产品的安全、卫生要求。 DBXX/T XXX-200X DBXX/XXX-200X 企业标准：对企业范围内需要统一的技术要求、管理要求和工作要求。QXXX-XXX-200X 标准化基础 标准化：为在一定的范围内获得最佳秩序，对实际的或潜在的问题制定共同的和重复使用的规则的活动 实质：通过制定、发布和实施标准，达到统一。 目的：获得最佳秩序和社会效益。 标准化基础 标准化三维空间 标准化基础 我国通行“标准化八字原理”： “统一”原理 “简化”原理 “协调”原理 “最优”化原理 我国标准工作归口单位 2001年10月11日成立国家标准化委员会 信息技术标准委员会 数据加密技术标准委员会 2002年4月15日成立信息安全技术标准委员会 标准化基础 采标： 等同采用idt（identical）：指技术内容相同，没有或仅有编辑性修改，编写方法完全相对应； 修改采用MOD（modified）：与国际标准之间存在技术性差异，有编辑性修改，可能不采用部分条款 非等效采用NEQ（not equivalent）：指技术内容有重大差异，只表示与国际标准有关。 IT标准化 IT标准发展趋势 (1)标准逐步从技术驱动向市场驱动方向发展。 (2)信息技术标准化机构由分散走向联合。 (3)信息技术标准化的内容更加广泛，重点更加突出，从IT技术领域向社会各个领域渗透，涉及教育、文化、医疗、交通、商务等广泛领域，需求大量增加。 (4)从技术角度看，IT标准化的重点将放在网络接口、软件接口、信息格式、安全等方面，并向着以技术中立为前提，保证互操作为目的方向发展。 信息安全标准化组织 ISO JTC1 SC27，信息技术-安全技术 ISO/TC 68 银行和有关的金融服务 SC2，安全管理和通用银行运作； SC4，安全及相关金融工具； SC6，零售金融服务。 JTC1其他分技术委员会： SC6—系统间通信与信息交换，主要开发开放系统互连下四层安全模型和安全协议，如ISO 9160、ISO/IEC 11557。 SC17—识别卡和有关设备，主要开发与识别卡有关的安全标准ISO 7816 SC18—文件处理及有关通信，主要开发电子邮件、消息处理系统等。 SC21—开放系统互连，数据管理和开放式分布处理，主要开发开放系统互连安全体系结构，各种安全框架，高层安全模型等标准，如:ISO/IEC 7498-2、ISO/IEC 9594-1至8。 SC22—程序语言，其环境及系统软件接口，也开发相应的安全标准。 SC30—开放式电子数据交换，主要开发电子数据交换的有关安全标准。如ISO 9735-9 、 ISO 9735-10。 信息安全标准化组织（续） 美国 ANSI NCITS-T4 制定IT安全技术标准 X9 制定金融业务标准 X12 制定商业交易标准 NIST 负责联邦政府非密敏感信息 FIPS-197 DOD 负责涉密信息 NSA 国防部指令（DODI）（如TCSEC） 信息安全标准化组织（续） IEEE SILS（LAN/WAN）安全 P1363公钥密码标准 ECMA(欧洲计算机厂商协会) TC32——“通信、网络和系统互连”曾定义了开放系统应用层安全结构； TC36——“IT安全”负责信息技术设备的安全标准。 信息安全标准化组织（续） 英国 BS 7799 医疗卫生信息系统安全 加拿大 计算机安全管理 日本 JIS 国家标准 JISC 工业协会标准 韩国 KISA负责 防火墙、IDS、PKI方面标准 信息安全标准化组织（续） 我国 共38个标准 4个产品标准 其他工业标准 SSL SET CDSA PGP PCT …… 2.信息安全基础标准 基于OSI七层协议的安全体系结构 五种安全服务 鉴别：提供对通信中的对等实体和数据来源的鉴别。