信息安全標準理論詳解

1、信息安全標準理論詳解課程內(nèi)容（2）2信息安全標準知識體知識域信息安全標準化概述知識子域信息安全標準化概念信息安全相關(guān)標準信息安全標準化組織信息安全評估標準信息安全國家標準安全技術(shù)評估標準發(fā)展歷史信息技術(shù)安全性評估準則信息安全國外標準知識域：安全標準化概述知識子域：信息安全標準化概念了解標準和標準化的基本概念和作用3標準和標準化相關(guān)基本概念標準為了在一定范圍內(nèi)獲得最佳秩序，經(jīng)協(xié)商一致制定并由公認機構(gòu)批準，共同使用的和重復(fù)使用的一種規(guī)范性文件。標準化（GB/T 20000.1-2002）為了在一定范圍內(nèi)獲得最佳秩序，對現(xiàn)實問題或潛在問題制定共同使用和重復(fù)使用的條款的活動。國際標準由國際標準化組織或

2、國際標準組織通過并公開發(fā)布的標準國家標準由國家標準機構(gòu)通過并公開發(fā)布的標準國際標準化組織（ISO）其成員資格向每個國家的有關(guān)國家機構(gòu)開放的標準化組織國家標準機構(gòu)在國家層面上承認的，有資格成為相應(yīng)的國際和區(qū)域標準組織的國家成員的標準機構(gòu)（中國國家標準化管理委員會）4標準化的特點、原則；標準的作用特點標準化的對象：共同的、可重復(fù)的事物標準化的動態(tài)性標準化的相對性標準化的效益原則簡化統(tǒng)一協(xié)調(diào)優(yōu)化5標準能打破技術(shù)壁壘，標準也能成為新的技術(shù)壁壘作用標準是進行貿(mào)易的基本條件標準能夠提高企業(yè)的經(jīng)濟效益標準能夠提高國民經(jīng)濟效益我國國家標準的代碼GB 強制性國家標準GB/T 推薦性國家標準GB/Z 國家標準化指

3、導(dǎo)性技術(shù)文件6課程內(nèi)容（2）7信息安全標準知識體知識域信息安全標準化概述知識子域信息安全標準化概念信息安全相關(guān)標準信息安全標準化組織信息安全評估標準信息安全國家標準安全技術(shù)評估標準發(fā)展歷史信息技術(shù)安全性評估準則信息安全國外標準知識域：信息安全標準化概述知識子域：信息安全標準化組織了解國際信息安全標準化組織及其工作了解國外典型國家信息安全標準化組織及其工作熟悉我國信息安全標準化組織及其工作8國際信息安全標準化組織ISO/IEC JTC1 SC27信息技術(shù) 安全技術(shù)信息安全管理體系工作組密碼與安全機制工作組安全評估準則工作組安全控制與服務(wù)工作組身份管理與隱私技術(shù)工作組國際標準提案ISMS審核指南國

4、際標準提案三元實體鑒別國際標準信息安全事件管理合作編輯國際標準提案基于三元實體鑒別的訪問控制方法9美國標準化組織ANSINCITS-T4 制定IT安全技術(shù)標準X9 制定金融業(yè)務(wù)標準X12 制定商業(yè)交易標準 (EDI)NIST負責(zé)聯(lián)邦政府非密敏感信息FIPSDOD負責(zé)涉密信息NSA國防部指令（DODDI）（如TCSEC）IEEESILSP136310我國標準化組織1984年，成立數(shù)據(jù)加密技術(shù)分委員，后來改為信息技術(shù)安全分技術(shù)委員會 2002年4月，為加強信息安全標準的協(xié)調(diào)工作，國家標準委決定成立全國信息安全標準化技術(shù)委員會（信安標委，TC260），由國家標準委直接領(lǐng)導(dǎo)，對口ISO/IEC JTC

5、1 SC27；秘書處設(shè)在中國電子技術(shù)標準化研究所；委員會由30多個部門和單位的49名領(lǐng)導(dǎo)和專家組成目前共有工作組成員單位165家，其中企業(yè)120家國標委高新函20041號文決定，自2004年1月起，各有關(guān)部門在申報信息安全國家標準計劃項目時，必須經(jīng)信息安全標委會提出工作意見，協(xié)調(diào)一致后由信息安全標委會組織申報；在國家標準制定過程中，標準工作組或主要起草單位要與信息安全標委會積極合作，并由信息安全標委會完成國家標準送審、報批工作。11TC260各部門的職責(zé)秘書處：是委員會的常設(shè)辦事機構(gòu)，負責(zé)委員會的日常事務(wù)工作信息安全標準體系與協(xié)調(diào)工作組（WG1）：研究信息安全標準體系、需求；跟蹤國際標準發(fā)展動

6、態(tài)；提出新工作項目及設(shè)立新工作組的建議；協(xié)調(diào)各工作組項目涉密信息系統(tǒng)安全保密標準工作組（WG2）：研究提出涉密信息系統(tǒng)安全保密標準體系；制定涉密保密相關(guān)標準密碼技術(shù)標準工作組（WG3）：研究提出商用密碼技術(shù)標準體系；制定商用密碼相關(guān)標準鑒別與授權(quán)工作組（WG4）：研究提出鑒別與授權(quán)標準體系；制定鑒別與授權(quán)相關(guān)標準信息安全評估工作組（WG5）：研究提出測評標準體系；制定測評相關(guān)標準通信安全標準工作組（WG6）：研究提出通信安全標準體系；制定通信安全相關(guān)標準信息安全管理工作組（ WG7）：研究提出信息安全管理標準體系；制定信息安全管理相關(guān)標準12課程內(nèi)容（2）13信息安全標準知識體知識域信息安全標

7、準化概述知識子域信息安全標準化概念信息安全相關(guān)標準信息安全標準化組織信息安全評估標準信息安全國外標準信息安全國家標準安全技術(shù)評估標準發(fā)展歷史信息技術(shù)安全性評估準則知識域：信息安全相關(guān)標準知識子域：信息安全國家標準 了解我國信息安全標準體系框架掌握信息安全等級保護標準體系，熟悉信息安全等級保護相關(guān)標準14信息安全標準體系信息安全標準體系是由信息安全領(lǐng)域內(nèi)具有內(nèi)在聯(lián)系的標準組成的科學(xué)有機整體，是編制信息安全標準制訂/修訂計劃的重要依據(jù)，是促進信息安全領(lǐng)域內(nèi)的標準組成趨向科學(xué)化合理化的手段；是一幅現(xiàn)有、應(yīng)有和預(yù)計制定的信息安全標準的藍圖，并隨著科學(xué)技術(shù)的發(fā)展不斷地完善和更新。15我國信息安全標準體系

8、框架我國信息安全標準體系，是在總結(jié)各工作組對本領(lǐng)域標準體系研究成果的基礎(chǔ)上形成的，是全國安全標準化技術(shù)委員會各工作組共同的工作成果。是在跟蹤分析了國際信息安全標準的發(fā)展動態(tài)和國內(nèi)信息安全標準需求的基礎(chǔ)上，提出的標準體系框架和標準體系表。16我國信息安全技術(shù)標準從總體上劃分為六大類，每類按照標準所涉及的主要內(nèi)容細分若干小類。知識域：信息安全相關(guān)標準知識子域：信息安全國家標準 了解我國信息安全標準體系框架掌握信息安全等級保護標準體系，熟悉信息安全等級保護相關(guān)標準1718十大標準基礎(chǔ)類計算機信息系統(tǒng)安全保護等級劃分準則GB 17859-1999信息系統(tǒng)安全等級保護實施指南GB/T 25058-201

9、0 應(yīng)用類定級：信息系統(tǒng)安全保護等級定級指南GB/T 22240-2008 建設(shè)：信息系統(tǒng)安全等級保護基本要求GB/T 22239-2008 信息系統(tǒng)通用安全技術(shù)要求GB/T 20271-2006 信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求GB/T 25070-2010 測評：信息系統(tǒng)安全等級保護測評要求 GB/T 28448-2012 信息系統(tǒng)安全等級保護測評過程指南 GB/T 28449-2012管理：信息系統(tǒng)安全管理要求GB/T 20269-2006 信息系統(tǒng)安全工程管理要求GB/T 20282-2006 19其它相關(guān)標準20技術(shù)類GB/T 21052-2007 信息安全技術(shù) 信息系統(tǒng)物理安全技術(shù)

10、要求GB/T 20270-2006 信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T 20272-2006 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求GB/T 20273-2006 信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求其他信息產(chǎn)品、信息安全產(chǎn)品相關(guān)標準.其他類GB/T 20984-2007 信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范GB/Z 24364-2009信息安全技術(shù) 信息安全風(fēng)險管理指南GB/T 24363-2009信息安全技術(shù) 信息安全應(yīng)急響應(yīng)計劃規(guī)范GB/Z 20285-2007 信息安全技術(shù) 信息安全事件管理指南GB/Z 20986-2007 信息安全技術(shù) 信息安全事件分類分級指南GB/T 209

11、88-2007 信息安全技術(shù) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范 7、系統(tǒng)服務(wù)安全等級定級指南GB/T 22240-2008保護對象受到破壞時受侵害的客體對客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級等級保護定級方法保護對象對客體的侵害程度客體：社會關(guān)系受侵害的客體信息系統(tǒng)安全系統(tǒng)服務(wù)安全業(yè)務(wù)信息安全3、綜合評定對客體的侵害程度2、確定業(yè)務(wù)信息安全受到破壞時所侵害的客體6、綜合評定對客體的侵害程度5、確定系統(tǒng)服務(wù)安全受到破壞時所侵害的客體4、業(yè)務(wù)信息安全等級8、定級對象的安全保護等級8MAX（4，7）

12、1、確定定級對象（系統(tǒng)邊界）一般流程等級確定21控制點控制項安全要求類層面一級二級三級四級一級二級三級四級技術(shù)要求物理安全71010109193233網(wǎng)絡(luò)安全36779183332主機安全46796193236應(yīng)用安全479117193136數(shù)據(jù)安全及備份恢復(fù)233324811管理要求安全管理制度2333371114安全管理機構(gòu)4555492020人員安全管理45557111618系統(tǒng)建設(shè)管理99111120284548系統(tǒng)運維管理912131318416270合計/4866737785175290318級差/1874/9011528基本要求GB/T 22239-200822實施指南GB/T

13、25058-2010等級變更局部調(diào)整信息系統(tǒng)定級總體安全規(guī)劃安全設(shè)計與實施安全運行維護信息系統(tǒng)終止國家管理部門（4家）信息系統(tǒng)主管部門信息系統(tǒng)運營、使用單位信息安全服務(wù)機構(gòu)信息安全等級測評機構(gòu)信息安全產(chǎn)品供應(yīng)商23測評要求 - GB/T 28448-2012測評強度信息系統(tǒng)安全等級第一級第二級第三級第四級訪談廣度種類和數(shù)量上抽樣，種類和數(shù)量都較少種類和數(shù)量上抽樣，種類和數(shù)量都較多數(shù)量上抽樣，基本覆蓋數(shù)量上抽樣，基本覆蓋深度簡要充分較全面全面檢查廣度種類和數(shù)量上抽樣，種類和數(shù)量都較少種類和數(shù)量上抽樣，種類和數(shù)量都較多數(shù)量上抽樣，基本覆蓋數(shù)量上抽樣，基本覆蓋深度簡要充分較全面全面測試廣度種類和數(shù)量

14、、范圍上抽樣，種類和數(shù)量都較少，范圍小種類和數(shù)量、范圍上抽樣，種類和數(shù)量都較多,范圍大數(shù)量、范圍上抽樣，基本覆蓋數(shù)量、范圍上抽樣，基本覆蓋深度功能測試/性能測試功能測試/性能測試功能測試/性能測試，滲透測試功能測試/性能測試，滲透測試24測評過程指南 - GB/T 28449-2012方案編制測評準備分析與報告編制現(xiàn)場測評項目啟動、信息收集和分析、工具和表單準備測評對象確定、測評指標確定、測試工具接入點確定、測評內(nèi)容確定、測評實施手冊開發(fā)、測評方案編制現(xiàn)場測評準備（一般包括：訪談、文檔審查、配置檢查、工具測試和實地察看）、現(xiàn)場測評和結(jié)果記錄、結(jié)果確認和資料歸還單項測評結(jié)果判定、單元測評結(jié)果判定

15、、整體測評、風(fēng)險分析、等級測評結(jié)論形成、測評報告編制25文檔R&R課程內(nèi)容（2）26信息安全標準知識體知識域信息安全標準化概述知識子域信息安全標準化概念信息安全相關(guān)標準信息安全標準化組織信息安全評估標準信息安全國外標準信息安全國家標準安全技術(shù)評估標準發(fā)展歷史信息技術(shù)安全性評估準則知識域：信息安全相關(guān)標準知識子域：信息安全國外標準 了解國際信息安全標準體系了解國外典型國家信息安全標準體系了解與自身工作密切相關(guān)的信息安全國際標準27國際信息安全標準體系框架28國際信息安全標準體系信息安全管理體系標準密碼技術(shù)與安全機制標準安全評價準則標準安全控制與服務(wù)標準身份管理與隱私保護技術(shù)標準詞匯標準要求標準指

16、南標準相關(guān)標準為實現(xiàn)保密性、完整性和可用性而開發(fā)的各種安全機制標準安全評價標準安全功能和保證規(guī)范針對潛在/顯現(xiàn)信息安全問題的標準針對已知信息安全問題的標準針對信息安全違反和損害的標準身份管理相關(guān)標準生物識別相關(guān)標準隱私保護相關(guān)標準ISO 27000ISO 27001ISO 27006ISO 27002ISO 27003ISO 18033ISO 19772.ISO 15408ISO 18045 .ISO 19790ISO 24759 .ISO 27032ISO 27033ISO 27037ISO 24760ISO 29144ISO 29100國外典型國家信息安全標準體系框架29美國國家標準和技術(shù)

17、協(xié)會(NIST)從風(fēng)險管理的各個階段、環(huán)節(jié)的需要為出發(fā)點，開發(fā)了一系列的信息安全標準規(guī)范文件SP-800系列：Security Control Monitoring安全控制措施監(jiān)視Security Categorization安全分類Security Control Selection安全控制措施選擇Security Control Refinement安全控制措施改進Security Control Documentation安全控制措施文檔編制Security Control Implementation安全控制措施實施Security Control Assessment安全控制措施評估

18、Security Authorization安全授權(quán) 起始點風(fēng)險管理SP 800-37/SP 800-53AFIPS 199/SP 800-60FIPS 200/SP 800-53SP 800-53/SP 800-30SP 800-18SP 800-70SP 800-53ASP 800-37ISO 27000標準族、SP 800系列標準30ISO 27000標準族、SP 800系列標準介紹參見CISP0301信息安全管理體系。ISO 27001標準的詳細內(nèi)容參見CISP0301信息安全管理體系。ISO 27002標準的詳細內(nèi)容參見CISP0303信息安全管基本措施、 CISP0304信息安全管

19、重要管理過程。課程內(nèi)容（2）31信息安全標準知識體知識域信息安全標準化概述知識子域信息安全標準化概念信息安全相關(guān)標準信息安全標準化組織信息安全評估標準信息安全國家標準安全技術(shù)評估標準發(fā)展歷史信息技術(shù)安全性評估準則信息安全國外標準知識域：信息安全評估標準安全技術(shù)評估標準發(fā)展歷史 了解安全技術(shù)評估標準發(fā)展過程理解GB/T18336信息技術(shù)安全性評估準則（CC）的特點信息技術(shù)安全性評估準則 了解CC的結(jié)構(gòu)理解CC的術(shù)語（TOE、PP、ST、EAL）和基本思想了解使用CC進行信息技術(shù)產(chǎn)品安全性評估的基本過程了解通用評估方法（CEM）32安全標準的發(fā)展33ITSEC 1991CC 1.01996ISO1

20、5408 1999CC 2.01998GB/T 18336 2001CD1997GIB 2646 1996GB 17859 1999ISO15408 2005TCSEC 1985FC 1992CTCPEC 1993GB/T 18336 2008FCD1998安全被定義為保密性、完整性、可用性功能和質(zhì)量/保證分開對產(chǎn)品和系統(tǒng)的評估都適用，提出評估對象（TOE）的概念產(chǎn)品：能夠被集成在不同系統(tǒng)中的軟件或硬件包；系統(tǒng)：具有一定用途、處于給定操作環(huán)境的特殊安全裝置美國的安全評測標準(TCSEC)、歐洲的安全評測標準(ITSEC)美國的安全評測標準(TCSEC)1970年由美國國防科學(xué)委員會提出。198

21、5年公布。主要軍用，延用至民用。安全級從高到低分A、B、C、D四級，級下再分小類(A1、B3、B2、B1、C2、C1、D)分級分類主要依據(jù)四個準則：安全策略、可控性、保證能力、文檔局限性34集中考慮數(shù)據(jù)保密性，而忽略了數(shù)據(jù)完整性、系統(tǒng)可用性等；將安全功能和安全保證混在一起安全功能規(guī)定得過為嚴格，不便于實際開發(fā)和測評歐洲的安全評測標準(ITSEC)以超越TCSEC為目的，將安全概念分為功能與功能評估兩部分。功能分F1-F10共10級。15級對應(yīng)于TCSEC的D到A。610級加上了以下概念：F6：數(shù)據(jù)和程序的完整性 F7：系統(tǒng)可用性 F8：數(shù)據(jù)通信完整性 F9：數(shù)據(jù)通信保密性F10：包括機密性和完

22、整性的網(wǎng)絡(luò)安全評估準則分為6級：E1E6與TCSEC的不同加拿大的評測標準(CTCPEC)、美國聯(lián)邦準則(FC) 加拿大的評測標準(CTCPEC)1989年公布，專為政府需求而設(shè)計與ITSEC類似，將安全分為功能性需求和保證性需要兩部分功能性要求分為四個大類：a機密性 b完整性 c可用性 d可控性在每種安全需求下又分小類05級，表示安全性上的差別35美國聯(lián)邦準則(FC)對TCSEC的升級1992年12月公布引入了“保護輪廓（PP）”這一重要概念每個輪廓都包括功能部分、開發(fā)保證部分和評測部分分級方式與TCSEC不同，吸取了ITSEC、CTCPEC中的優(yōu)點供美國政府用，民用和商用通用準則（CC ）

23、國際標準化組織統(tǒng)一現(xiàn)有多種準則的努力結(jié)果；1999年正式成為國際標準ISO/IEC 15408；充分突出“保護輪廓”，將評估過程分“功能”和“保證”兩部分；CC 基于風(fēng)險管理理論，對安全模型、安全概念和安全功能進行了全面系統(tǒng)描繪，強化了評估保證；是目前最全面的評價準則。國際上認同的表達IT安全的體系結(jié)構(gòu)，一組規(guī)則集一種評估方法，其評估結(jié)果國際互認通用的表達方式，便于理解靈活的架構(gòu)，可以定義自己的要求擴展CC要求通用評估方法(CEM)是CC標準出版后，為了在評估中應(yīng)用CC而提供的一種通用方法。是與CC配套的文檔。36知識域：信息安全評估標準安全技術(shù)評估標準發(fā)展歷史 了解安全技術(shù)評估標準發(fā)展過程理解GB/T18336信息技術(shù)安全性評估準則（CC）的優(yōu)點信息技術(shù)安全性評估準則 了解CC的結(jié)構(gòu)理解CC的術(shù)語（TOE、PP、ST、EAL）和基本思想了解使用CC進行信息技術(shù)產(chǎn)品安全性評估的基本過程了解通用評估方法（CEM）3