信息安全标准与法律法规

SC21 OSI的信息恢复、传输和管理
SC22 操作系统安全
SC27 信息技术安全
➢ ISO对信息系统的安全体系结构制订了OSI基本参考模型 ISO7498-2；并于2000年底确定了信息技术安全评估标准 ISO/IEC15408。
精品课件
12.1.2 IAB
LOGO
❖ 由 于 信 息 安 全 问 题 已 经 成 为 Internet 使 用 的 关键 ， 近年来IETF发布的RFC中出现了大量的有关安全的 草案。
研究所(NIST)
❖ 美国国家标准协会(ANSI) ❖ 美国国防部(DoD)及国家计算机安全中心(NCSC) ❖ 美国国家安全局（NSA）
精品课件
12.1.1 ISO
LOGO
❖始建于1947年，是一个自发的非条约性组织，其 成员是参加国的制定标准化机构（美国的成员是 美国国家标准研究所（ANSI））。
精品课件
12.2 信息安全标准与规范
LOGO
标准介绍：
❖ 信息技术安全评估准则发展过程 ❖ 《可信计算机系统评估准则》TCSEC ❖ 《信息技术安全评估准则》ITSEC ❖通用准则CC（ISO 15408、GB/T18336) ❖ 《计算机信息系统安全保护等级划分准则》 ❖ BS7799、ISO17799 ❖ISO13335《 IT安全管理指南》 ❖ 我国的信息安全标准制定情况
15408发布 ❖ 2001年我国将CC等同采用为国家标准，以编号
GB/T 18336发布。
精品课件
12.2.1信息技术安全评估准则发展过 LOGO
程
1999年 GB 17859 计算机信息 系统安全保护等级划分准则
1985年美国可信计 算机系统评估准则
（TCSEC）
1993年美 国NIST的
MSFR
1993年 加拿大可 信计算机产品评估 准则（CTCPEC）
1993年美国联邦 准则（FC 1.0）
1989年 英国 可信级别标准 （MEMO 3 DTI）
德国评估标准（ZSEIC）
1991年欧洲信息技 术安全性评估准则
（ITSEC）
法国评估标准 （B-W-R BOOK）
精品课件
国际通用准则 1996年（CC1.0） 1998年（CC2.0）
在TCSEC时代，世界上尚没有其他类似的评估标准，它 的制定确立了计算机安全的概念，对其后信息安全的发展 具有划时代的意义。但是，由于TCSEC的军方背景以及当时 信息安全发展的具体历史阶段所限，TCSEC的安全概念之停 留在信息的保密性上，没有超出计算机安全的范畴。
精品课件
12.2.2 TCSEC（桔皮书）
❖ 随着贸易全球一体化的发展，为了能集中世界各
国安全评估准则的优点，集合成单一的、能被广
泛接受的信息技术评估准则，国际标准化组织付
出了很大的努力，从20世纪90年代就开始着手这
项工作，但是进展缓慢。直到1993年6月，CTCPEC、
FC、TCSEC和ITSEC的发起组织开始联合起来，将
各自独立的准则组合成一个单一的、能被广泛使
精品课件
12.2.1信息技术安全评估准则发展过 LOGO
程
❖加拿大1988年开始制订《The Canadian Trusted Computer Product Evaluation Criteria 》
（CTCPEC）
❖ 1993年，美国对TCSEC作了补充和修改，制定了 “组合的联邦标准”（简称FC）
精ቤተ መጻሕፍቲ ባይዱ课件
LOGO
12.2 信息安全标准与规范
LOGO
❖ 数据加密算法：DES、RSA、T-DES、RC2、AES、PKCS ❖ 可恢复密钥密码体系：EES ❖ 数字签名：DSS、RSA、SHA-1、MD5 ❖ 安全网管协议：SNMPv2、SNMPv3 ❖ 安全电子邮件：S/MIMI、PGP、PEM ❖ 公钥基础设施：PKI、PKIX ❖ 授权管理基础设施：PMI ❖ 密钥管理模型：IEEE 802.10、ISAKMP、KMI
❖ 70年代的后期DOD对当时流行的操作系统KSOS， PSOS，KVM进行了安全方面的研究。
❖ 80年代后，美国国防部发布的“可信计算机系统 评估准则（TCSEC）”（即桔皮书）。
❖ 90年代初，英、法、德、荷等四国针对TCSEC准则 的局限性，提出了包含保密性、完整性、可用性 等概念的“信息技术安全评估准则”（ITSEC）， 定义了从E0级到E6级的七个安全等级。
LOGO
在TCSEC中，美国国防部按处理信息的等级和应采用 的响应措施，将计算机安全从高到低分为：A、B、C、D四 类七个级别，共27条评估准则
随着安全等级的提高，系统的可信度随之增加，风险 逐渐减少。
TCSEC依据的安全策略模型是Bell &La Padula模型， 该模型所制定的最重要的安全准则—严禁上读、下写。就 是低权限的人不能读高权限的信息，高权限的人不能把信 息写到低权限的人可看到的地方。
精品课件
12.2 信息安全标准与规范
LOGO
标准介绍：
❖ 信息技术安全评估准则发展过程 ❖ 《可信计算机系统评估准则》TCSEC ❖ 《信息技术安全评估准则》ITSEC ❖通用准则CC（ISO 15408、GB/T18336) ❖ 《计算机信息系统安全保护等级划分准则》 ❖ BS7799、ISO17799 ❖ISO13335《 IT安全管理指南》 ❖ 我国的信息安全标准制定情况
精品课件
精品课件
12.2 信息安全标准与规范
LOGO
标准介绍：
❖ 信息技术安全评估准则发展过程 ❖ 《可信计算机系统评估准则》TCSEC ❖ 《信息技术安全评估准则》ITSEC ❖通用准则CC（ISO 15408、GB/T 18336) ❖ 《计算机信息系统安全保护等级划分准则》 ❖ BS7799、ISO17799 ❖ISO13335《 IT安全管理指南》 ❖ 我国的信息安全标准制定情况
❖ 它与NSA合作密切，在NSA的指导监督下，制定计算机信息 系统的技术安全标准。这个机构是当前信息安全技术标准 领域中最具影响力的标准化机构。
❖ NIST标准涉及：访问控制和鉴别技术、评价和保障、密码、 电子商务、一般计算机安全、网络安全、风险管理等
精品课件
Contents
1 信息技术标准化组织 2 信息安全标准与规范 3 4 5
精品课件
12.2.1信息技术安全评估准则发展过 LOGO
程
❖ 信息技术安全评估是对一个系统、产品、构件的 安全属性进行技术评价，通过评估判断该系统、 产品、构件是否满足一组特定的要求。
❖ 信息技术安全评估的另一层含义是在一定的安全 策略、安全功能需求及目标保证级别下获得相应 信心保证的过程。
• 产品安全评估 • 信息系统安全评估
精品课件
12.2.3 ITSEC
LOGO
❖ 1991年，英、德、法、荷共同制定，欧洲白皮书。 ❖ 首次提出了保密性、完整性、可用性三大信息安全概念。 ❖ 提出了保证的概念。保证分两个方面：对安全执行功能正
确性的信心（从开发和运行的角度）以及对这些功能的有 效性的信心。 ❖ 首次提出了安全目标（ST)的概念。 ❖ 对系统和产品的评估将有利于用户对产品的选择。 ❖ 主要讨论的是技术性安全措施。 ❖ ITSEC的安全功能要求是10大类。 ❖ 由于欧洲的大力推动，ITSEC的应用最为广泛。 ❖ 在签了互认可协议的国家中，双方的评估结果是互认的。 ❖ 目前仍在更新中，200年2月重新制定了第四版，最大的改 动便是增加了对CC最新动态的反应，可见其生命力之强。
LOGO
❖ ISO信息安全机构
➢ ISO/IEC/JTC1
SC6 开放系统互连（OSI）网络层和传输层 ISO/TC46 信息系统安全
SC14 电子数据交换（EDI）安全
ISO/TC65 要害保险安全
SC17 标示卡和信用卡安全
ISO/TC68 银行系统安全
SC18 文本和办公系统安全
ISO/TC154 EDI安全
❖ RFC涉及：报文加密和鉴别；给予证书的密钥管理； 算法、模块和识别；密钥证书和相关的服务等方 面。
精品课件
12.1.3 NIST
LOGO
❖ 根据1947年美国联邦财产和管理服务法和1987年计算机安 全法，美国商业部所属的NIST授权委以责任改进利用和维 护计算机与电讯系统。
❖ NIST通过信息技术实验室(ITL—Information b.) 提供技术指南，协调政府在这一领域的开发标准，制定联 邦政府计算机系统有效保证敏感信息安全的规范。
精品课件
12.2 信息安全标准与规范（续） LOGO
❖ 数字证书：X.509.V3 、X.509.V4 ❖ 安全会话信道：SSL、SHTTP、TLSP ❖ IP虚拟专网（VPN）：IPSEC、IPV6、Radius ❖ 加密程序接口：CAPI、GSS-API、CDSA ❖ 访问控制：ACL 、ROAC ❖ 安全服务系统：Kerberos、DSSA、YaKsha ❖ 安全评测：TCSEC、CC、 BS 7799、ISO 13335 ❖ 入侵检测：CIDF ❖ 安全体系结构：OSI 7498-2、DGSA、XDSF、DISSP ❖ 内容分级与标记: PICS
❖它负责制定广泛的技术标准，为世界各国的技术 共享和技术质量保证起着导向和把关的作用。
❖ ISO的目的是促进国际标准化和相关的活动的开展， 以便于商品和服务的国际交换，并已发展知识、 科技和经济活动领域内的合作为己任，现已发布 了覆盖领域极为广泛的5000多个国际标准。
精品课件
12.1.1 ISO（续）
北京电子科技学院 信息安全工程应用
信息安全标准
冯雁
LOGO
精品课件
Contents
1 信息技术标准化组织 2 信息安全标准与规范
4 5
精品课件
LOGO
Contents
1 信息技术标准化组织 2 信息安全标准与规范 3 4 5
精品课件
LOGO
12.1 信息技术标准化组织
LOGO
❖ 国际标准化组织（ISO） ❖互联网工程任务组 （ IETF ） ❖国际电信联盟 （ITU） ❖ 电气与电子工程师学会（IEEE） ❖ 美国国家标准局(NBS)与美国商业部国家技术标准
1999年 国际标准 ISO/IEC 15408
2001年 国家标准 GB/T 18336 信息技术安全
性评估准则 idt iso/iec15408
12.2.1信息技术安全评估准则发展过 LOGO
程
精品课件
12.2 信息安全标准与规范
LOGO
标准介绍：
❖ 信息技术安全评估准则发展过程 ❖ 《可信计算机系统评估准则》TCSEC ❖ 《信息技术安全评估准则》ITSEC ❖通用准则CC（ISO 15408、GB/T18336) ❖ 《计算机信息系统安全保护等级划分准则》 ❖ BS7799、ISO17799 ❖ISO13335《 IT安全管理指南》 ❖ 我国的信息安全标准制定情况
精品课件
12.2.2 TCSEC（桔皮书）
LOGO
彩虹系列的第一本—桔皮书。
1983年美国国防部首次公布了《可信计算机系统评估 准则》（TCSEC）它主要是对操作系统进行评估，是历史上 的第一个安全评估标准，1985年公布了第二版。TCSEC所列 举的安全评估准则主要是针对美国政府的安全要求，着重 点是基于大型计算机系统的机密文档处理方面的安全要求。 《信息技术安全性评估通用准则》（CC）被接纳为国际标 准后，美国已停止了基于TCSEC的评估工作。
❖ 信息系统安全评估，或简称为系统评估，是在具 体的操作环境与任务下对一个系统的安全保护能 力进行的评估。
精品课件
12.2.1信息技术安全评估准则发展过 LOGO
程
❖ 20世纪60年代后期，1967年美国国防部（DOD）成 立了一个研究组，针对当时计算机使用环境中的 安全策略进行研究，其研究结果是“Defense Science Board report”。
用的IT安全准则,形成了《信息技术通用评估准
则》，简称CC。
精品课件
12.2.1信息技术安全评估准则发展过 LOGO
程
❖ 在1993年6月，发起组织包括六国七方：加拿大、 法国、德国、荷兰、英国、美国NIST及美国NSA， 他们的代表建立了CC编辑委员会（CCEB）来开发 CC。
❖1996年1月完成CC1.0版 ,在1996年4月被ISO采纳 ❖ 1997年10月完成CC2.0的测试版 ❖ 1998年5月发布CC2.0版 ❖ 1999年12月ISO采纳CC，并作为国际标准ISO