信息安全标准与法律法规PPT文件格式下载.ppt

信息安全标准与法律法规PPT文件格式下载.ppt

《信息安全标准与法律法规PPT文件格式下载.ppt》由会员分享，可在线阅读，更多相关《信息安全标准与法律法规PPT文件格式下载.ppt（32页珍藏版）》请在冰豆网上搜索。

算法、模块和识别；

密钥证书和相关的服务等方面。

LOGO12.1.3NISTv根据1947年美国联邦财产和管理服务法和1987年计算机安全法，美国商业部所属的NIST授权委以责任改进利用和维护计算机与电讯系统。

vNIST通过信息技术实验室（ITLInformationTech.Lab.）提供技术指南，协调政府在这一领域的开发标准，制定联邦政府计算机系统有效保证敏感信息安全的规范。

v它与NSA合作密切，在NSA的指导监督下，制定计算机信息系统的技术安全标准。

这个机构是当前信息安全技术标准领域中最具影响力的标准化机构。

vNIST标准涉及：

访问控制和鉴别技术、评价和保障、密码、电子商务、一般计算机安全、网络安全、风险管理等LOGOContents信息技术标准化组织信息技术标准化组织1信息安全标准与规范信息安全标准与规范2345LOGO12.2信息安全标准与规范v数据加密算法：

数据加密算法：

DES、RSA、T-DES、RC2、AES、PKCSv可恢复密钥密码体系：

可恢复密钥密码体系：

EESv数字签名：

数字签名：

DSS、RSA、SHA-1、MD5v安全网管协议：

安全网管协议：

SNMPv2、SNMPv3v安全电子邮件：

安全电子邮件：

S/MIMI、PGP、PEMv公钥基础设施：

公钥基础设施：

PKI、PKIXv授权管理基础设施：

授权管理基础设施：

PMIv密钥管理模型：

密钥管理模型：

IEEE802.10、ISAKMP、KMILOGO12.2信息安全标准与规范（续）v数字证书：

数字证书：

X.509.V3、X.509.V4v安全会话信道：

安全会话信道：

SSL、SHTTP、TLSPvIP虚拟专网（虚拟专网（VPN）：

）：

IPSEC、IPV6、Radiusv加密程序接口：

加密程序接口：

CAPI、GSS-API、CDSAv访问控制：

访问控制：

ACL、ROACv安全服务系统：

安全服务系统：

Kerberos、DSSA、YaKshav安全评测：

安全评测：

TCSEC、CC、BS7799、ISO13335v入侵检测：

入侵检测：

CIDFv安全体系结构：

安全体系结构：

OSI7498-2、DGSA、XDSF、DISSPv内容分级与标记内容分级与标记:

PICSLOGO12.2信息安全标准与规范标准介绍：

v信息技术安全评估准则发展过程v可信计算机系统评估准则TCSECv信息技术安全评估准则ITSECv通用准则CC（ISO15408、GB/T18336）v计算机信息系统安全保护等级划分准则vBS7799、ISO17799vISO13335IT安全管理指南v我国的信息安全标准制定情况LOGO12.2.1信息技术安全评估准则发展过程信息技术安全评估准则发展过程v信息技术安全评估是对一个系统、产品、构件的安全属性进行技术评价，通过评估判断该系统、产品、构件是否满足一组特定的要求。

v信息技术安全评估的另一层含义是在一定的安全策略、安全功能需求及目标保证级别下获得相应信心保证的过程。

产品安全评估信息系统安全评估v信息系统安全评估，或简称为系统评估，是在具体的操作环境与任务下对一个系统的安全保护能力进行的评估。

LOGO12.2.1信息技术安全评估准则发展过程信息技术安全评估准则发展过程v20世纪60年代后期，1967年美国国防部（DOD）成立了一个研究组，针对当时计算机使用环境中的安全策略进行研究，其研究结果是“DefenseScienceBoardreport”。

v70年代的后期DOD对当时流行的操作系统KSOS，PSOS，KVM进行了安全方面的研究。

v80年代后，美国国防部发布的“可信计算机系统评估准则（TCSEC）”（即桔皮书）。

v90年代初，英、法、德、荷等四国针对TCSEC准则的局限性，提出了包含保密性、完整性、可用性等概念的“信息技术安全评估准则”（ITSEC），定义了从E0级到E6级的七个安全等级。

LOGO12.2.1信息技术安全评估准则发展过程信息技术安全评估准则发展过程v加拿大1988年开始制订TheCanadianTrustedComputerProductEvaluationCriteria（CTCPEC）v1993年，美国对TCSEC作了补充和修改，制定了“组合的联邦标准”（简称FC）v随着贸易全球一体化的发展，为了能集中世界各国安全评估准则的优点，集合成单一的、能被广泛接受的信息技术评估准则，国际标准化组织付出了很大的努力，从20世纪90年代就开始着手这项工作，但是进展缓慢。

直到1993年6月，CTCPEC、FC、TCSEC和ITSEC的发起组织开始联合起来，将各自独立的准则组合成一个单一的、能被广泛使用的IT安全准则,形成了信息技术通用评估准则，简称CC。

LOGO12.2.1信息技术安全评估准则发展过程信息技术安全评估准则发展过程v在1993年6月，发起组织包括六国七方：

加拿大、法国、德国、荷兰、英国、美国NIST及美国NSA，他们的代表建立了CC编辑委员会（CCEB）来开发CC。

v1996年1月完成CC1.0版,在1996年4月被ISO采纳v1997年10月完成CC2.0的测试版v1998年5月发布CC2.0版v1999年12月ISO采纳CC，并作为国际标准ISO15408发布v2001年我国将CC等同采用为国家标准，以编号GB/T18336发布。

LOGO12.2.1信息技术安全评估准则发展过程信息技术安全评估准则发展过程1999年GB17859计算机信息系统安全保护等级划分准则1991年欧洲信息技术安全性评估准则（ITSEC）国际通用准则1996年（CC1.0）1998年（CC2.0）1985年美国可信计算机系统评估准则（TCSEC）1993年加拿大可信计算机产品评估准则（CTCPEC）1993年美国联邦准则（FC1.0）1999年国际标准ISO/IEC154081989年英国可信级别标准（MEMO3DTI）德国评估标准（ZSEIC）法国评估标准（B-W-RBOOK）2001年国家标准GB/T18336信息技术安全性评估准则idtiso/iec154081993年美国NIST的MSFRLOGO12.2.1信息技术安全评估准则发展过程信息技术安全评估准则发展过程LOGO12.2信息安全标准与规范标准介绍：

v信息技术安全评估准则发展过程v可信计算机系统评估准则TCSECv信息技术安全评估准则ITSECv通用准则CC（ISO15408、GB/T18336）v计算机信息系统安全保护等级划分准则vBS7799、ISO17799vISO13335IT安全管理指南v我国的信息安全标准制定情况LOGO12.2.2TCSEC（桔皮书）彩虹系列的第一本桔皮书。

1983年美国国防部首次公布了可信计算机系统评估准则（TCSEC）它主要是对操作系统进行评估，是历史上的第一个安全评估标准，1985年公布了第二版。

TCSEC所列举的安全评估准则主要是针对美国政府的安全要求，着重点是基于大型计算机系统的机密文档处理方面的安全要求。

信息技术安全性评估通用准则（CC）被接纳为国际标准后，美国已停止了基于TCSEC的评估工作。

在TCSEC时代，世界上尚没有其他类似的评估标准，它的制定确立了计算机安全的概念，对其后信息安全的发展具有划时代的意义。

但是，由于TCSEC的军方背景以及当时信息安全发展的具体历史阶段所限，TCSEC的安全概念之停留在信息的保密性上，没有超出计算机安全的范畴。

LOGO12.2.2TCSEC（桔皮书）在TCSEC中，美国国防部按处理信息的等级和应采用的响应措施，将计算机安全从高到低分为：

A、B、C、D四类七个级别，共27条评估准则随着安全等级的提高，系统的可信度随之增加，风险逐渐减少。

TCSEC依据的安全策略模型是Bell&

LaPadula模型，该模型所制定的最重要的安全准则严禁上读、下写。

就是低权限的人不能读高权限的信息，高权限的人不能把信息写到低权限的人可看到的地方。

LOGO12.2信息安全标准与规范标准介绍：

v信息技术安全评估准则发展过程v可信计算机系统评估准则TCSECv信息技术安全评估准则ITSECv通用准则CC（ISO15408、GB/T18336）v计算机信息系统安全保护等级划分准则vBS7799、ISO17799vISO13335IT安全管理指南v我国的信息安全标准制定情况LOGO12.2.3ITSECv1991年，英、德、法、荷共同制定，欧洲白皮书。

v首次提出了保密性、完整性、可用性三大信息安全概念。

v提出了保证的概念。

保证分两个方面：

对安全执行功能正确性的信心（从开发和运行的角度）以及对这些功能的有效性的信心。

v首次提出了安全目标（ST）的概念。

v对系统和产品的评估将有利于用户对产品的选择。

v主要讨论的是技术性安全措施。

vITSEC的安全功能要求是10大类。

v由于欧洲的大力推动，ITSEC的应用最为广泛。

v在签了互认可协议的国家中，双方的评估结果是互认的。

v目前仍在更新中，200年2月重新制定了第四版，最大的改动便是增加了对CC最新动态的反应，可见其生命力之强。

v信息技术安全评估准则发展过程v可信计算机系统评估准则TCSECv信息技术安全评估准则ITSECv通用准则CC（ISO15408、GB/T18336）v计算机信息系统安全保护等级划分准则vBS7799、ISO17799vISO13335IT安全管理指南v我国的信息安全标准制定情况LOGO12.2.4.1CC简介vISO/IEC15408-1999“信息技术安全技术信息技术安全性评估准则”（简称CC）v国际标准化组织在现有多种评估准则的基础上，统一形成的。

v在美国和欧洲等国分别自行推出测评准则及标准的基础上，通过相互间的总结和互补发展起来的。

LOGO12.2.4.2