信息安全标准-信息安全
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
技术标准:对标准化领域中需要协调统一的技术事项 所制定的标准
管理标准:对标准化领域中需要协调统一的管理事项 所制定的标准
工作标准:对工作的责任、权利、范围、质量要求、 程序、效果、检查方法、考核办法所制定的标准
9
信息安全标准
我国的信息安全从保密技术、难度、标 准的特点出发,将信息安全保密标准分 为三级
11
4 与计算机信息系统安全等级保护 相关的标准
GB17859-1999《计算机信息系统安全保护等级划分准则》 GA/T387-2002《计算机信息系统安全等级保护网络技术要求》 GA/T388-2002《计算机信息系统安全等级保护操作系统技术
要求》 GA/T389-2002《计算机信息系统安全等级保护数据库管理系
我国定义:标准是对重复性事物和概念所做的 统一规定。它以科学、技术和实践经验的综合 成果为基础,经有关方面协调一致,由主管机 构批准,以特定形式发布,作为共同遵守的准 则和依据
3
2 标准的分级
我国标准分为四级
国家标准:由国务院标准化行政主管部门负责组织 制定和审批
行业标准:由国务院有关行政主管部门负责制定和 审批,并报国务院标准化行政主管部门备案
统技术要求》 GA/T390-2002《计算机信息系统安全等级保护通用技术要求》 GA/T391-2002《计算机信息系统安全等级保护管理要求》 GB9361-88S《计算站场地安全要求》 GA163-1997《计算机信息系统安全专用产品分类原则》
12
GB17859-1999《计算机信息系统 安全保护等级划分准则》
主要说明了为实现GB17859-1999中每一 个保护等级的安全要求应采取的通用的 安全技术,和为确保这些安全技术所实 现的安全功能达到其应具有的安全性而 采取的通用的保证措施
14
GA/T391-2002《计算机信息系统 安全等级保护管理要求》
明确提出了管理层、物理层、网络层、 系统层、应用层和运行层的安全管理要 求,并将管理要求落实到GB17859-1999 的五个等级上
国家标准 行业标准 地方标准 企业标准
按标准的约束性来分 按标准在标准系统中的地位和作用来分 按标准化对象在生产过程中的作用来分 按标准的性质来分
5
3 标准的分类
按标准发生作用的范围和审批标准级别来分 按标准的约束性来分
强制性标准:保障人体健康、人身、财产安全的国 家标准或行业标准和法律及行政法规规定强制执行 的标准。必须执行,不符合的产品禁止生产、销售 和进口
是建立计算机信息系统安全等级保护制 度,实施安全等级管理的重要基础性标 准
将计算机信息系统安全保护能力划分为 五个等级:
用户自主保护级
系统审计保护级
安全标记保护级
结构化保护级
访问验证保护级
13
GA/T390-2002《计算机信息系统 安全等级保护通用技术要求》
是计算机信息系统安全等级保护技术要 求系列标准的基础性标准,用以指导设 计者如何设计和实现具有所需要的安全 等级的计算机信息系统
推荐性标准:相对于强制性标准的其他标准。鼓励 企业自行采用
按标准在标准系统中的地位和作用来分 按标准化对象在生产过程中的作用来分 按标准的性质来分
6
3 标准的分类
按标准发生作用的范围和审批标准级别来分 按标准的约束性来分 按标准在标准系统中的地位和作用来分
基础标准:一定范围内作为其他标准的基础并普遍 使用的标准,具有广泛的指导意义
地方标准:由省级政府标准化行政主管部门负责制 定和审批,并报国务院标准化行政主管部门和国务 院有关行政主管部门备案
企业标准:由企业法人代表或法人代表授权的主管 领导批准、发布,由企业法人代表授权的部门统一 管理,企业产品标准应向当地标准化行政主管部门 和有关行政主管部门备案
4
3 标准的分类
按标准发生作用的范围和审批标准级别来分
更有利于对安全管理的继承、理解、分 工实施,更有利于对安全管理的评估和 检查
15
GA/T387-2002《计算机信息系统 安全等级保护网络技术要求》
用以指导设计者如何设计和实现具有所 需要的安全等级的网络系统
主要从对网络的安全保护等级进行划分 的角度来说明其技术要求,即主要说明 了为实现GB17859-1999中每一个保护等 级的安全要求对网络系统应采取的安全 技术措施,以及各安全技术要求在不同 安全级中具体实现上的差异
16
GA/T388-2002《计算机信息系统安 全等级保护操作系Fra Baidu bibliotek技术要求》
第一级国家标准 第二级国家军队标准 第三级国家保密标准
三级标准中,国家保密标准最高 其他标准还包括:公共安全行业标准
(GA)
10
我国信息安全标准委员会在制定我国信 息安全标准方面做了大量的工作
目前已出台的信息安全保护方面的标准 主要包括在国家标准和公共安全行业标 准中,当然在国家军队标准、国家保密 标准中也有所涉及
产品标准;原材料标准;零部件标准;工艺和工艺 装备标准;设备维修标准;检验和试验方法标准; 检验、测量和试验设备标准;搬运、贮存、包装、 标识标准等
按标准的性质来分
8
3 标准的分类
按标准发生作用的范围和审批标准级别来分 按标准的约束性来分 按标准在标准系统中的地位和作用来分 按标准化对象在生产过程中的作用来分 按标准的性质来分
信息安全(模块3-信息安全法律法规与标准)
信息安全标准
1
内容提要
1、标准的定义 2、标准的分级 3、标准的分类 4、与计算机信息系统安全等级保护相关
的标准 5、信息安全国际标准
2
1 标准的定义
国际标准化组织定义:由有关各方根据科学技 术成就与先进经验,共同合作起草,一致或基 本上同意的技术规范或其他公开文件,其目的 在于促进最佳的公共利益,并由标准化团体批 准
例如,GB17859:1999《计算机信息系统安全保护等级 划分准则》
一般标准:相对于基础标准的其他标准
按标准化对象在生产过程中的作用来分 按标准的性质来分
7
3 标准的分类
按标准发生作用的范围和审批标准级别来分 按标准的约束性来分 按标准在标准系统中的地位和作用来分 按标准化对象在生产过程中的作用来分
管理标准:对标准化领域中需要协调统一的管理事项 所制定的标准
工作标准:对工作的责任、权利、范围、质量要求、 程序、效果、检查方法、考核办法所制定的标准
9
信息安全标准
我国的信息安全从保密技术、难度、标 准的特点出发,将信息安全保密标准分 为三级
11
4 与计算机信息系统安全等级保护 相关的标准
GB17859-1999《计算机信息系统安全保护等级划分准则》 GA/T387-2002《计算机信息系统安全等级保护网络技术要求》 GA/T388-2002《计算机信息系统安全等级保护操作系统技术
要求》 GA/T389-2002《计算机信息系统安全等级保护数据库管理系
我国定义:标准是对重复性事物和概念所做的 统一规定。它以科学、技术和实践经验的综合 成果为基础,经有关方面协调一致,由主管机 构批准,以特定形式发布,作为共同遵守的准 则和依据
3
2 标准的分级
我国标准分为四级
国家标准:由国务院标准化行政主管部门负责组织 制定和审批
行业标准:由国务院有关行政主管部门负责制定和 审批,并报国务院标准化行政主管部门备案
统技术要求》 GA/T390-2002《计算机信息系统安全等级保护通用技术要求》 GA/T391-2002《计算机信息系统安全等级保护管理要求》 GB9361-88S《计算站场地安全要求》 GA163-1997《计算机信息系统安全专用产品分类原则》
12
GB17859-1999《计算机信息系统 安全保护等级划分准则》
主要说明了为实现GB17859-1999中每一 个保护等级的安全要求应采取的通用的 安全技术,和为确保这些安全技术所实 现的安全功能达到其应具有的安全性而 采取的通用的保证措施
14
GA/T391-2002《计算机信息系统 安全等级保护管理要求》
明确提出了管理层、物理层、网络层、 系统层、应用层和运行层的安全管理要 求,并将管理要求落实到GB17859-1999 的五个等级上
国家标准 行业标准 地方标准 企业标准
按标准的约束性来分 按标准在标准系统中的地位和作用来分 按标准化对象在生产过程中的作用来分 按标准的性质来分
5
3 标准的分类
按标准发生作用的范围和审批标准级别来分 按标准的约束性来分
强制性标准:保障人体健康、人身、财产安全的国 家标准或行业标准和法律及行政法规规定强制执行 的标准。必须执行,不符合的产品禁止生产、销售 和进口
是建立计算机信息系统安全等级保护制 度,实施安全等级管理的重要基础性标 准
将计算机信息系统安全保护能力划分为 五个等级:
用户自主保护级
系统审计保护级
安全标记保护级
结构化保护级
访问验证保护级
13
GA/T390-2002《计算机信息系统 安全等级保护通用技术要求》
是计算机信息系统安全等级保护技术要 求系列标准的基础性标准,用以指导设 计者如何设计和实现具有所需要的安全 等级的计算机信息系统
推荐性标准:相对于强制性标准的其他标准。鼓励 企业自行采用
按标准在标准系统中的地位和作用来分 按标准化对象在生产过程中的作用来分 按标准的性质来分
6
3 标准的分类
按标准发生作用的范围和审批标准级别来分 按标准的约束性来分 按标准在标准系统中的地位和作用来分
基础标准:一定范围内作为其他标准的基础并普遍 使用的标准,具有广泛的指导意义
地方标准:由省级政府标准化行政主管部门负责制 定和审批,并报国务院标准化行政主管部门和国务 院有关行政主管部门备案
企业标准:由企业法人代表或法人代表授权的主管 领导批准、发布,由企业法人代表授权的部门统一 管理,企业产品标准应向当地标准化行政主管部门 和有关行政主管部门备案
4
3 标准的分类
按标准发生作用的范围和审批标准级别来分
更有利于对安全管理的继承、理解、分 工实施,更有利于对安全管理的评估和 检查
15
GA/T387-2002《计算机信息系统 安全等级保护网络技术要求》
用以指导设计者如何设计和实现具有所 需要的安全等级的网络系统
主要从对网络的安全保护等级进行划分 的角度来说明其技术要求,即主要说明 了为实现GB17859-1999中每一个保护等 级的安全要求对网络系统应采取的安全 技术措施,以及各安全技术要求在不同 安全级中具体实现上的差异
16
GA/T388-2002《计算机信息系统安 全等级保护操作系Fra Baidu bibliotek技术要求》
第一级国家标准 第二级国家军队标准 第三级国家保密标准
三级标准中,国家保密标准最高 其他标准还包括:公共安全行业标准
(GA)
10
我国信息安全标准委员会在制定我国信 息安全标准方面做了大量的工作
目前已出台的信息安全保护方面的标准 主要包括在国家标准和公共安全行业标 准中,当然在国家军队标准、国家保密 标准中也有所涉及
产品标准;原材料标准;零部件标准;工艺和工艺 装备标准;设备维修标准;检验和试验方法标准; 检验、测量和试验设备标准;搬运、贮存、包装、 标识标准等
按标准的性质来分
8
3 标准的分类
按标准发生作用的范围和审批标准级别来分 按标准的约束性来分 按标准在标准系统中的地位和作用来分 按标准化对象在生产过程中的作用来分 按标准的性质来分
信息安全(模块3-信息安全法律法规与标准)
信息安全标准
1
内容提要
1、标准的定义 2、标准的分级 3、标准的分类 4、与计算机信息系统安全等级保护相关
的标准 5、信息安全国际标准
2
1 标准的定义
国际标准化组织定义:由有关各方根据科学技 术成就与先进经验,共同合作起草,一致或基 本上同意的技术规范或其他公开文件,其目的 在于促进最佳的公共利益,并由标准化团体批 准
例如,GB17859:1999《计算机信息系统安全保护等级 划分准则》
一般标准:相对于基础标准的其他标准
按标准化对象在生产过程中的作用来分 按标准的性质来分
7
3 标准的分类
按标准发生作用的范围和审批标准级别来分 按标准的约束性来分 按标准在标准系统中的地位和作用来分 按标准化对象在生产过程中的作用来分