信息安全标准介绍(2).ppt

信息安全相关标准介绍
整理课件
内容提纲
一、标准和标准化概述
二、信息安全标准化组织
三、信息安全标准体系研究
四、重要信息安全标准介绍
六、存在问题分析
五、研究热点追踪

一、标准和标准化概述
信息安全标准是确保信息安全的产品和系统在设计、研发、生产、建设、使用、测评中解决其一致性、可靠性、可控性、先进性和符合性的技术规范、技术依据；
统一标准是信息系统互联、互通、互操作的前提；
信息安全标准是我国信息安全保障体系的重要组成部分，是政府进行宏观管理的重要手段；
从国家意义上来说，信息安全标准关系到国家的安全及经济利益，标准往往成为保护国家利益、促进产业发展的一种重要手段。
信息安全标准化的作用
一、标准和标准化概念

标准化的基本原理
我国标准化工作者根据自己的实践，用自己的语言，总结了“简化”、“统一”、“协调”、“选优”的八字原理，成为我国标准化界的一种共识。
1、简化
具有同种功能的标准化对象，当其多样性的发展规模超出必要的范围时，即应消除其中多余的、可替换的和低功能的环节，保持其构成的精练合理，使总体功能最佳。
2、统一
在一定时期，一定条件下，对标准化对象的形式、功能或其它技术特性所确立的一致性，应与被取代的事物功能等效。
3、协调
在标准系统中，只有当各个标准（子系统）之间的功能彼此协调时，才能实现整体系统的功能最佳。
4、选优
按照特定的目标，在一定的限定条件下，对标准系统的构成因素及其关系进行选择、设计或调整，使之达到最理想效果。
一、标准和标准化概念

国际标准在区域标准或国家标准中的采用，以相应国际标准为基础发布区域或国家标准性文件，或认可该国际标准具有与国家标准性文件相同的地位，同时标明与相应国际标准的差异。根据采用的程度可分为：等同采用、非等效采用和修改采用。
1、等同采用：符合下述条件时，区域标准或国家标准与相应国际标准等同：（1）区域标准或国家标准在技术内容，标准结构或措词方面相同（或者等同翻译）或（2）区域标准或国家标准尽管有微小编辑修改，但在技术内容方面等同。
2、修改采用（MOD）：区域标准或国家标准对相应国际标准按下述条件进行修改。区域标准或国家标准与相应国际标准之间允许存在技术性差异，但是要清楚地标识并说明这些差异。区域标准或国家标准反应相应国际标准的结构。只有修改后两个标准的内容和结构还可以进行比较，才允许对标准的结构进行修改。
3、非等效采用：区域标准或国家标准与相应的国际标准在技术内容和文本结构上不同，同时它们之间的差异也没有清楚地标识。”非等效”还包括在区域标准或国家标准中只保留有少量或不重要的国际标准条款的情况。”非等效”不属于采用国际标准。
国际标准的采用
一、标准和标准化概念

二、信息安全标准化组织介绍
国际信息安全标准化组织
ISO/IEC JTC1 SC27
早在1977年，世界上就出现了第一个数据加密标准，这是国外乃至国际上信息安全标准化工作的开端。随着通信和计算机网络的发展，国际上信息安全标准化工作也于80年代有了较快的发展，在90年代已经引起了世界各国的普遍关注。目前世界上与信息安全标准化有关的主要组织有：国际标准化组织（ISO）、国际电工委员会（IEC）、国际电信联盟（ITU）、互联网工程任务组（IETF）等。
工作组介绍
ISO（国际标准化组织）和IEC（国际电工委员会）是世界上专门的标准化组织。在信息技术领域，ISO和IEC成立了一个联合技术委员会JTC1。SC27是JTC1中专门从事信息安全通用方法及技术标准化工作的分技术委员会。
SC27 IT安全技术分委员会成立于1990年4月，2006年5月SC27工作组调整后，SC27下设五个工作组，，。

国际信息安全标准化组织
制定标准情况
截止到2007年底，该分技术委员会已制定和正在研制的国际标准有120
多项，这些标准主要涉及密码算法、散列函数、数字签名、实体鉴别、安全
评估、安全管理等领域，近几年颁布的比较有影响力的标准有：ISO/IEC
15408（IT安全性评估准则，包含3个部分）、ISO/IEC 15443（IT安全保障
框架，包含3个部分）、ISO/IEC 218279（系统安全工程能力成熟模型）和
ISO/IEC2