信息标准技术研究与信息安全法律法规研究.pdf

摘 要
当前，信息安全不再仅仅是技术，它是标准、法律法规、管理和技术的有机
结合。本文主要对信息安全评估标准和管理标准及其应用进行研究和探索。
本文首先介绍了信息安全标准现状及其发展，对国内外常用的信息安全标准
作了简要介绍。
然后，本文介绍了信息安全评估的定义、标准及其发展。TCSEC 是一个典
型的信息技术安全评估标准，本文特别对 TCSEC 中 B2 级评估标准进行了研究，
将 B2 与 CC 中的 EAL5 进行了比较分析。
CC 是目前系统安全认证方面最权威的标准，本文介绍了通用准则（CC），
分析其结构特征，讨论其核心思想，分析 CC 的功能要求和保证要求，讨论了
CC 的主要用途，最后提出了基于 CC 的信息安全综合评估方法。
安全管理是信息安全的一个重要内容，信息安全管理标准也已经成为信息安
全标准体系的重要组成部分。本文介绍了著名的信息安全管理标准 BS7799，分
析了 BS7799 的结构特点，提出了基于 BS7799 建立信息安全管理体系（ISMS）
的模型。
除了 ISMS 应用外，BS7799 标准的另一个重要的应用则是业务持续性管理。
采用有效的 BCP，可以使组织或企业在灾难发生后业务很快得到恢复，并尽量
降低灾难带来的损失。本文介绍了业务持续性计划（BCP）的内容及制定过程，
对其 BCP 技术策略进行了研究，将 BCP 与 DRP 进行了比较分析，并提出了一
个先进的 BCP 循环模型。
信息安全很重要的一点就是对关键信息的访问进行控制，访问控制是针对越
权使用资源的防御措施。我国在访问控制方面的相关标准和法律法规还很不健
全，本文对存取控制系统和存取控制方法进行了研究，介绍了几个常见的访问控
制策略，分析了几种常见的访问控制模型。这将对我国相关标准或法律法规的健
全有一定的参考作用。
最后，本文对我国和我省的信息安全标准现状和信息安全法律法规现状进行
了介绍和研究分析。



关键字: 信息安全，TCSEC，B2，CC，BS7799，BCP

- i -
Abstract
Nowadays, information security is not only a technological problem, but is an
organic integration of standards, laws and regulations, management and technology.
This dissertation mainly researches on and explores to information security evaluation
standards, management standards, and their applications.
Firstly, this dissertation has introduced the current situation and development of
information security standards, and has briefly introduced some common used
standards for information security.
Then, this dissertation has introduced the definition, standards and development
of information security evaluation. TCSEC is a very typical evaluation standard for
information security, this dissertation has studied TCSEC, especially the Class of B2
in TCSEC, and has compared Class o