cc标准浅析.pdf

标准浅析标准浅析张耀疆,******@.的核心内容和组织结构z安全评估z通用评估方法(CEM)为代表的信息化网络化进程,日益深刻地渗透到政府、企业、团体、军队、家庭、个人等社会和经济生活的各个角落,并日益深刻地改变着人们传统的工作模式、商业模式、管理模式和生活模式。全面应用和信息化全面发展相伴随的一个更重大的问题是信息安全问题。对信息安全问题,特别是我国的信息安全问题,目前最急需的就是建立国家信息安全标准体系,全面推动国家信息安全技术标准化建设,为国家信息化进程中的信息安全问题提供技术依据。无规矩不成方圆无规矩不成方圆2信息安全标准概述重要的标准化组织(1)‹国际标准化组织(ISO)•ISO/IDCJTC1/SC27负责通用信息技术安全标准的制定•ISO/TC68负责银行和金融服务业务应用范围内信息安全标准的制定‹国际电工委员会(IEC)•世界上最早的国际性电工标准化机构,负责有关电工、电子领域的国际标准化工作。在信息安全技术标准化方面,除了同ISO联合成立的JTC1下属几个分委员会外,还在电磁兼容等方面成立技术委员会,并制定相关国际标准‹国际电信联盟(ITU)•ITT,单独或与ISO合作开发诸如消息处理系统、目录系统(、)和安全框架、安全模型等标准‹工程任务组(IETF)•标准草案和称为“请提意见”RFC“的协议文稿,内容广泛,也包括安全方面的建议稿,经过网上讨论修改,被大家接受的就成了事实上的标准信息安全标准概述重要的标准化组织(2)‹欧洲计算机厂商协会(ECMA)•制定计算机及其相关应用的标准和技术报告,经常向ISO提交标准提案。目前制定了商用和政府用信息技术产品和系统安全性评估标准化框架,还制定了在开放系统环境下逻辑安全设备的框架‹美国国家标准协会(ANSI)•于80年代初开始数据加密标准化工作,只制定了三个通用的国家标准‹美国联邦信息处理安全标准(FIPS)•FIPS由美国国家标准技术研究所(NIST)颁发。FIPS由NIST在广泛搜集政府各部门及私人部门的意见的基础上写成,由商业部长签字划押同意或反对这个标准。数据加密标准(DES)就是一例‹美国电气电工工程师协会(IEEE)•IEEE在信息安全方面主要是提出LAN/WAN安全方面的标准(SILS)和公钥密码标准(P1363)‹美国国防部的信息安全指令和标准(DODDI)•美国国防部发布了一些有关信息安全和自动信息系统安全的指令、指示和标准,并加强信息安全的管理,-STD《国防可信和计算机系统评估准则》,受到广泛的关注3信息安全标准概述我国的信息安全标准体系‹基础类标准•信息技术安全术语,信息技术安全体系结构,信息技术安全框架(GB9387-2,等同采用ISO7498-2),信息技术安全模型‹技术机制类标准•加密,签名,完整性,鉴别,访问控制,抗抵赖,路由选择控制,通信业务填充,公证,可信功能度,事件检测和报警,安全审计跟踪,安全标记,安全恢复‹应用类标准•物理环境和保障、信息处理、传输和存储、计算机病毒防治等应用基础•商用密码、防火墙、应用代理、安全路由器等应用产品•电子商务、电子政务、涉秘系统、金融处理等应用系统•金融服务等特殊行业的安全标准‹安全管理类标准•管理基础,系统管理,测评认证(GB17859等)信息安全标准概述一些重要的信息安全标准‹ISO7498-2(GB/T9387-2,1995)•1989年ISO组织制定的《信息处理系统开放系统互连基本参考模型第2部分安全体系结构》,(ISO15408,GB/T18336,2001)•1993年6月,美国、标准,其目的是建立一个各国都能接受的通用的信息安全产品和系统的安全性评价标准‹SSE-CMM(ISO/IECDIS21827)•美国国家安全局(NSA)于1993年提出的专门用于系统安全工程的能力成熟度模型构想‹IATF•NSA制定的InformationAssuranceTechnicalFramework,为保护美国政府和工业界的信息与信息技术设施提供技术指南‹BS7799(Part1:ISO17799)•BSI制定的关于信息安全管理的标准,分两个部分,定义了如何实施ISMS‹ISO/IECTR13335•即IT安全管理指南(GMITS),分5个部分。是信息安全管理方面的指导性标准4信息安全标准概述信息安全技术测评标准‹可信计算机系统评估标准•puterSystemEvaluationCriteria,TCSEC,即“桔皮书”•-STD(1985)‹可信网络解释•workInterpretation,TNI,即“红皮书”(1987)‹信息技术安全评估标准•InformationT