信息安全标准组织
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
精选版
7
国际安全标准
• SSE-CMM – 系统安全工程能力成熟模型简写为SSE-CMM,是原英文Systems Security Engineering Capability Maturity Model的缩写。它 是一个模型,正如开放系统互连参考模型(OSI)一样,但它指导 着系统安全工程的完善和改进,使系统安全工程成为一个清晰定义 的、成熟的、可管理的、可控制的、有效的和可度量的科学。 – SSE-CMM描述了一个组织的安全工程过程务必包含的本质特征, 这些特征是完善安全工程的保证,也是安全工程实施的度量标准, 还是一个易于理解的评估安全工程实施的框架。
精选版
8
重来自百度文库里程碑
精选版
9
精选版
10
精选版
11
精选版
12
精选版
13
精选版
14
精选版
15
精选版
16
精选版
17
精选版
18
信息安全标准体系
精选版
19
精选版
20
国内安全标准
• 《中华人民共和国标准化法》将我国的标准分为国家标准、行业标准、 地方标准、企业标准四级。 我国的国家标准由国务院标准化行政主管部门制定; 行业标准由国务院有关行政主管部门制定; 地方标准由省、自治区和直辖市标准化行政主管部门制定; 企业标准由企业自己制定。
精选版
24
重要的标准化组织
• 国际电工委员会IEC
– IEC(International Electro technical Commission)成立于1906年,是 世界上最早的非政府性国际性电工标准化机构,总部设在日内瓦,是联合国 经社理事会(E-COSOC)的甲级咨询组织。IEC负责有关电工、电子领域的 国际标准化工作,其他领域则由ISO负责。IEC的宗旨是促进电工、电子领域 中标准化及有关方面问题的国际合作,增进相互了解。IEC的工作领域包括了 电力、电子、电信和原子能方面的电工技术。目前IEC成员国包括了大多数的 工业发达国家及一部分发展中国家。这些国家拥有世界人口的80%,其生产 和消耗的电能占全世界的95%,制造和使用电气、电子产品占全世界产量的 90%。
• 我们国家的信息安全从保密技术、难度、标准的特点出发,将信息安全 保密标准分三级: 第一级国家标准, 第二级国家军队标准, 第三级国家保密标准。 在这三级标准中,国家保密标准最高。 其他标准还包括:公共安全行业标准(GA)。
精选版
21
精选版
22
精选版
23
重要的标准化组织
• 国际标准化组织ISO
5
国际安全标准
• BS7799
– 英国标准BS7799是目前世界上应用最广泛的典型的信息安全管理标 准,它是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成 的。
– BS7799标准提供一个开发组织安全标准、有效实施安全管理的公共 基础,还提供了组织间交易的可信度。
– 该标准第一部分为组织管理者提供了信息安全管理的实施惯例,例如 信息与软件交换和处理的安全规定、设备的安全配置管理、安全区域 进出的控制等一些很容易理解的问题。这恰巧符合信息安全的“七分 管理,三分技术”的原则。
– 它是在TESEC、ITSEC、CTCPEC、FC等信息安全标准的基础上 综合形成的,通过建立信息技术安全性评估的通用准则库,使得 其评估结果能被更多的人理解、信任,并且让各种独立的安全评 估结果具有可比性,从而达到互相认可的目的。
– 此标准是现阶段最完善的信息技术安全性评估标准,我国也采用 这一标准(GB/T 18336)对产品、系统和系统方案进行测试、 评估和认可。
– 这些管理规定一般的单位都可以制定,但要想达到BS7799的全面性 则需要一番努力。在信息安全管理方面,BS7799的地位是其他标准 无法取代的。总的说来,BS7799涵盖了安全管理所应涉及的方方面 面,全面而不失可操作性,提供了一个可持续提高的信息安全管理环
境。
精选版
6
• CC
– 信息安全安全性评估的标准——信息技术安全性评估通用准则( CC:Common Criteria),通常简称通用准则,也即是国际标 准ISO/IEC15408-99,该标准是评估信息技术产品和系统安全 特性的基础准则。
– ISO的任务是促进全球范围内的标准化及其有关活动,以利于国际间产品与服 务的交流,以及在知识、科学、技术和经济活动中发展国际间的相互合作。 ISO的组织机构包括全体大会、主要官员、成员团体、通信成员、捐助成员、 政策发展委员会、理事会、ISO中央秘书处、特别咨询组、技术管理局、标样 委员会、技术咨询组、技术委员会等。
– 国际标准化组织(International Organization for Standardization)简称 ISO,是一个全球性的非政府组织,是国际标准化领域中一个十分重要的组织 。ISO成立于1946年,当时来自25个国家的代表在伦敦召开会议,决定成立 一个新的国际组织,以促进国际间的合作和工业标准的统一。于是,ISO这一 新组织于1947年2月23日正式成立,总部设在瑞士的日内瓦。ISO于1951年 发布了第一个标准——工业长度测量用标准参考温度。
精选版
2
课前检查
针对在通信过程中信息接收和发送方容易出现的争端,你认为最好的 解决方案是采用( 数字签名 )技术。
这是(手动签名),其主要特点是(
)
与被签的文件在物理上不可分割 签名者不能否认自己的签名 签名不能被伪造 容易被验证
按明文、密文对应关系划分:数字签名可分为确定性数字签名和非确定性
数字签名,其中确定性数字签名采用的是( RSA )体制
精选版
3
新课引入
精选版
4
• 信息安全技术标准是信息安全产业的重要领域, 一直受到国内外的普遍关注,早在1977年,美国 国家标准局就正式颁发了世界第一个数据加密标 准(DES),随着通信和计算机网络的发展,信 息安全的标准化工作也取得了很大的进展。
– BS7799
– CC
– SSE-CMM
精选版
第21讲 信息安全标准组织
1. 信息安全立法现状 2. 信息安全标准组织 3. 信息安全标准体系
精选版
1
课前检查
从技术角度分析下列信息传递现象
1、接收方自己撰写一份报文,并声称它来自发送方,这是( 伪造 )。 2、网络上的张三以李四的名义接收或发送报文,这是( 冒充 ) 。 3、小兵张嘎接到7月15日晚收药的情报后将其改为8月15日晚,然后将 其送给敌方,这是对信息进行了(篡改) 4、小明通过QQ上告诉张晚上10:00出去,虽然张看到了QQ但迟迟做不 了决定,小明晚上等了很久也没等到张,第二天碰到张,小明问起这个 事情,张说没有看到,这是属于( 否认 )信息。