《信息安全概论》课程教学资源（PPT课件）第9章 信息安全标准与法律法规

第九漳信息安全标准与法律法规

第九章 信息安全标准与法律法规

第九章信息安全标准与法律法规 ■9.1概述 ■9.2国际安全标准 ■9.3国内安全标准 ■9.4重要的标准化组织 ■9.5信息安全法律法规

第九章 信息安全标准与法律法规 ◼ 9.1 概述 ◼ 9.2 国际安全标准 ◼ 9.3 国内安全标准 ◼ 9.4 重要的标准化组织 ◼ 9.5 信息安全法律法规

9.1概述 为在一定范围内获得最佳秩序，对活动或其结果规定共同的和重复使 用的规侧、导则或特性的文件就是标准。标准应以科学技术和经验的 综合成果为基础，以促进最佳社会效益为目的。标准文件必须经协商 一致并由一个公认的机构批准。 信息技术安全方面的标准化，兴起于20世纪70年代中期，80年代有 了较快的发展，90年代引起了世界各国的普遍关注，特别是随着信息 数字化和网络化的发展和应用，信息技术的安全技术标准化变得更为 重要。因此标准化的范围在拓展，标准化的进程在加快，标准化的成 果也在不断的涌现。 应用与工程标准 基础标准 系统与网络标准 管理标准 物理安全标准

9.1 概述 ◼ 为在一定范围内获得最佳秩序，对活动或其结果规定共同的和重复使 用的规则、导则或特性的文件就是标准。标准应以科学技术和经验的 综合成果为基础，以促进最佳社会效益为目的。标准文件必须经协商 一致并由一个公认的机构批准。 ◼ 信息技术安全方面的标准化，兴起于20世纪70年代中期，80年代有 了较快的发展，90年代引起了世界各国的普遍关注，特别是随着信息 数字化和网络化的发展和应用，信息技术的安全技术标准化变得更为 重要。因此标准化的范围在拓展，标准化的进程在加快，标准化的成 果也在不断的涌现。 基 础 标 准 管 理 标 准 应用与工程标准 系统与网络标准 物理安全标准

9.1概述 基础标准是整个信息安全标准体系的基础部分，并向其他的技术标准 提供所需的服务支持。基础标准包括信息安全术语、信息安全体系结 构、信息安全框架、信息安全模型、安全技术等。物理安全标准针对 物理环境和保障、安全产品、介质安全等提出标准进行规范。系统与 网络标准针对软硬件应用平台、网络、安全协议、安全信息交换语法 规侧、人机接口以及业务应用平台提出安全要求。应用与工程标准则 针对安全工程和服务、人员资质、行业应用进行详细规定。管理类标 准分为三大块：管理基础、系统管理和测评认证。 建立科学的信息安全标准体系，将众多的信息安全标准在此体系下协 调一致，才能充分发挥信息安全标准系统的功能，获得良好的系统效 应，取得预期的社会效益和经济效益。信息安全标准体系框架描述了 信息安全标准整体组成，是整个信息安全标准化工作的指南。，在标 准框架中，基础标准和管理标准是支持该框架的支柱，物理安全标准、 系统与网络标准和应用工程标准也都是组成信息安全保证的重要依据

9.1 概述 ◼ 基础标准是整个信息安全标准体系的基础部分，并向其他的技术标准 提供所需的服务支持。基础标准包括信息安全术语、信息安全体系结 构、信息安全框架、信息安全模型、安全技术等。物理安全标准针对 物理环境和保障、安全产品、介质安全等提出标准进行规范。系统与 网络标准针对软硬件应用平台、网络、安全协议、安全信息交换语法 规则、人机接口以及业务应用平台提出安全要求。应用与工程标准则 针对安全工程和服务、人员资质、行业应用进行详细规定。管理类标 准分为三大块：管理基础、系统管理和测评认证。 ◼ 建立科学的信息安全标准体系，将众多的信息安全标准在此体系下协 调一致，才能充分发挥信息安全标准系统的功能，获得良好的系统效 应，取得预期的社会效益和经济效益。信息安全标准体系框架描述了 信息安全标准整体组成，是整个信息安全标准化工作的指南。，在标 准框架中，基础标准和管理标准是支持该框架的支柱，物理安全标准、 系统与网络标准和应用工程标准也都是组成信息安全保证的重要依据

9.2国际安全标准 信息安全技术标准是信息安全产业的重要领域，一直受到国内外的 普遍关注，早在1977年，美国国家标准局就正式颁发了世界第一个 数据加密标准(DES),随着通信和计算机网络的发展，信息安全 的标准化工作也取得了很大的进展。 ■BS7799 ■CC SSE-CMM

9.2 国际安全标准 ◼ 信息安全技术标准是信息安全产业的重要领域，一直受到国内外的 普遍关注，早在1977年，美国国家标准局就正式颁发了世界第一个 数据加密标准（DES），随着通信和计算机网络的发展，信息安全 的标准化工作也取得了很大的进展。 ◼ BS7799 ◼ CC ◼ SSE-CMM

9.2国际安全标准 BS7799 ■ 英国标准BS7799是目前世界上应用最广泛的典型的信息安全管理标准，它 是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成的。 BS7799标准提供一个开发组织安全标准、有效实施安全管理的公共基础， 还提供了组织间交易的可信度。该标准第一部分为组织管理者提供了信息 安全管理的实施惯例，例如信息与软件交换和处理的安全规定、设备的安 全配置管理、安全区域进出的控制等一些很容易理解的问题。这恰巧符合 信息安全的“七分管理，三分技术”的原则。这些管理规定一般的单位都 可以制定，但要想达到BS7799的全面性则需要一番努力。在信息安全管理 方面，BS7799的地位是其他标准无法取代的。总的说来，BS7799涵盖了 安全管理所应涉及的方方面面，全面而不失可操作性，提供了一个可持续 提高的信息安全管理环境

9.2 国际安全标准 ◼ BS7799 ◼ 英国标准BS7799是目前世界上应用最广泛的典型的信息安全管理标准，它 是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成的。 ◼ BS7799标准提供一个开发组织安全标准、有效实施安全管理的公共基础， 还提供了组织间交易的可信度。该标准第一部分为组织管理者提供了信息 安全管理的实施惯例，例如信息与软件交换和处理的安全规定、设备的安 全配置管理、安全区域进出的控制等一些很容易理解的问题。这恰巧符合 信息安全的“七分管理，三分技术”的原则。这些管理规定一般的单位都 可以制定，但要想达到BS7799的全面性则需要一番努力。在信息安全管理 方面，BS7799的地位是其他标准无法取代的。总的说来，BS7799涵盖了 安全管理所应涉及的方方面面，全面而不失可操作性，提供了一个可持续 提高的信息安全管理环境

9.2国际安全标准 CC 信息安全安全性评估的标准一信息技术安全性评估通用准则(CC： Common Criteria),通常简称通用准则，也即是国际标准 IS0IEC15408-99,该标准是评估信息技术产品和系统安全特性的基础准则。 它是在TESEC、ITSEC、CTCPEC、FC等信息安全标准的基础上综合形成的， 通过建立信息技术安全性评估的通用准则库，使得其评估结果能被更多的人 理解、信任，并且让各种独立的安全评估结果具有可比性，从而达到互相认 可的目的。 ■此标准是现阶段最完善的信息技术安全性评估标准，我国也采用这一标准 (GB/T18336)对产品、系统和系统方案进行测试、评估和认可

9.2 国际安全标准 ◼ CC ◼ 信息安全安全性评估的标准——信息技术安全性评估通用准则（CC： Common Criteria），通常简称通用准则，也即是国际标准 ISO/IEC15408-99，该标准是评估信息技术产品和系统安全特性的基础准则。 它是在TESEC、ITSEC、CTCPEC、FC等信息安全标准的基础上综合形成的， 通过建立信息技术安全性评估的通用准则库，使得其评估结果能被更多的人 理解、信任，并且让各种独立的安全评估结果具有可比性，从而达到互相认 可的目的。 ◼ 此标准是现阶段最完善的信息技术安全性评估标准，我国也采用这一标准 （GB/T 18336）对产品、系统和系统方案进行测试、评估和认可

9.2国际安全标准 ■SSE-CMM 系统安全工程能力成熟模型简写为SSE-CMM,是原英文Systems Security Engineering Capability Maturity Model的缩写。它是一个模型，正如卉放系统互 连参考模型（OS)一样，但它指导着系统安全工程的完善和改进，使系统安全工程成 为一个清晰定义的、成熟的、可管理的、可控制的、有效的和可度量的科学。 a SSE-CMM描述了一个组织的安全工程过程务必包含的本质特征，这些特征是完善安全 工程的保证，也是安全工程实施的度量标准，还是一个易于理解的评估安全工程实施的 框架。 SSE-CMM模型的开发源于1993年5月美国国家安全局发起的研究工作。1995年1月 在第一次公共安全工程CMM讨论会中，信息安全协会被邀请加入，超过60个组织的代 表再次确认需要这样一种模型。因此，研讨会期间成立了项目工作组，由此进入了模型 开发阶段。通过项目领导、应用工作组全体的通力合作，于1996年10月完成了SSE- CMM模型的第一版，1997年5月完成了评价方法第一版。为检验模型及评价方法的有 效性，1996年6月到1997年6月进行了试验工作。一些试验组织向SSE-CMM及其评 价模型提供了有价值的信息。1997年8月，第二次公共安全工程CMM研讨会举行，以 明确一些与模型应用相关的问题，特别是关于：获取领域、过程改善、及产品及系统的 安全保证。由于研讨会中明确了上述问题，便成立了一个新的工作组以直接落实这些问 题，于1999年4月完成了SSE-CMM模型的第二版

9.2 国际安全标准 ◼ SSE-CMM ◼ 系统安全工程能力成熟模型简写为SSE-CMM，是原英文Systems Security Engineering Capability Maturity Model的缩写。它是一个模型，正如开放系统互 连参考模型（OSI）一样，但它指导着系统安全工程的完善和改进，使系统安全工程成 为一个清晰定义的、成熟的、可管理的、可控制的、有效的和可度量的科学。 ◼ SSE-CMM描述了一个组织的安全工程过程务必包含的本质特征，这些特征是完善安全 工程的保证，也是安全工程实施的度量标准，还是一个易于理解的评估安全工程实施的 框架。 ◼ SSE-CMM模型的开发源于1993年5月美国国家安全局发起的研究工作。1995年1月， 在第一次公共安全工程CMM讨论会中，信息安全协会被邀请加入，超过60个组织的代 表再次确认需要这样一种模型。因此，研讨会期间成立了项目工作组，由此进入了模型 开发阶段。通过项目领导、应用工作组全体的通力合作，于1996年10月完成了SSE￾CMM模型的第一版，1997年5月完成了评价方法第一版。为检验模型及评价方法的有 效性，1996年6月到1997年6月进行了试验工作。一些试验组织向SSE-CMM及其评 价模型提供了有价值的信息。1997年8月，第二次公共安全工程CMM研讨会举行，以 明确一些与模型应用相关的问题，特别是关于：获取领域、过程改善、及产品及系统的 安全保证。由于研讨会中明确了上述问题，便成立了一个新的工作组以直接落实这些问 题，于1999年4月完成了SSE-CMM模型的第二版

9.3国内安全标准 《中华人民共和国标准化法》将我国的标准分为国家标准、行业标 准、地方标准、企业标准四级。我国的国家标准由国务院标准化行 政主管部门制定；行业标准由国务院有关行政主管部门制定；地方 标准由省、自治区和直辖市标准化行政主管部门制定；企业标准由 企业自己制定。 我们国家的信息安全从保密技术、难度、标准的特点出发，将信息 安全保密标准分三级，第一级国家标准，第二级国家军队标准，第 三级国家保密标准。在这三级标准中，国家保密标准最高。其他标 准还包括：公共安全行业标准(GA)。 我国信息安全标准在相关标准化组织的有效领导下，取得了长足的 发展，颁布了多项标准，国家标准、军队标准、行业标准对信息安 全领域均有涉及，大致从以下物理安全、密码及安全算法、安全技 术及安全机制、开放系统互连、边界保护、信息安全评估等几方面 规定了信息安全的不同技术要求

9.3 国内安全标准 ◼ 《中华人民共和国标准化法》将我国的标准分为国家标准、行业标 准、地方标准、企业标准四级。我国的国家标准由国务院标准化行 政主管部门制定；行业标准由国务院有关行政主管部门制定；地方 标准由省、自治区和直辖市标准化行政主管部门制定；企业标准由 企业自己制定。 ◼ 我们国家的信息安全从保密技术、难度、标准的特点出发，将信息 安全保密标准分三级，第一级国家标准，第二级国家军队标准，第 三级国家保密标准。在这三级标准中，国家保密标准最高。其他标 准还包括：公共安全行业标准（GA）。 ◼ 我国信息安全标准在相关标准化组织的有效领导下，取得了长足的 发展，颁布了多项标准，国家标准、军队标准、行业标准对信息安 全领域均有涉及，大致从以下物理安全、密码及安全算法、安全技 术及安全机制、开放系统互连、边界保护、信息安全评估等几方面 规定了信息安全的不同技术要求

9.3国内安全标准 物理安全相关国家标准： ■ GB9254-1988信息技术设备的无线电干扰极限值和测量方法。 GB9361-1988计算机场地安全要求。 ■ GB4943-1995信息技术设备（包括电气事务设备)的安全。 ■密码及安全算法相关国家标准： ■GBT15277-1994信息处理64bit分组密码算法的工作方法。 ■GB/T15278-1994信息处理数据加密物理层可互操作性要求. GB/T15851-1995信息技术安全技术带消息恢复的数字签名方案。 GB/T15852-1995信息技术安全技术用块密码算法作密码校验函数的数 据完整性机制。 ■GBT185238.1-2000信息技术安全技术散列函数第1部分：概述. GB/T185238.2-200X信息技术安全技术散列函数第2部分：使用n-bit 分组密码算法的散列函数。 GBT185238.3-200X信息技术安全技术散列函数第3部分：专用散列函 数

9.3 国内安全标准 ◼ 物理安全相关国家标准： ◼ GB9254-1988信息技术设备的无线电干扰极限值和测量方法。 ◼ GB9361-1988计算机场地安全要求。 ◼ GB4943-1995信息技术设备（包括电气事务设备）的安全。 ◼ 密码及安全算法相关国家标准： ◼ GB/T15277-1994 信息处理 64bit分组密码算法的工作方法。 ◼ GB/T15278-1994 信息处理 数据加密 物理层可互操作性要求。 ◼ GB/T15851-1995 信息技术 安全技术 带消息恢复的数字签名方案。 ◼ GB/T15852-1995 信息技术 安全技术 用块密码算法作密码校验函数的数 据完整性机制。 ◼ GB/T185238.1-2000 信息技术 安全技术 散列函数 第1部分：概述。 ◼ GB/T185238.2-200X 信息技术 安全技术 散列函数 第2部分：使用n-bit 分组密码算法的散列函数。 ◼ GB/T185238.3-200X 信息技术 安全技术 散列函数 第3部分：专用散列函 数