12-信息安全标准与法律法规.ppt

信息安全标准 北京电子科技学院信息安全工程应用 冯雁 Contents 信息技术标准化组织 1 信息安全标准与规范 2 4 5 Contents 信息技术标准化组织 1 信息安全标准与规范 2 3 4 5 12 1信息技术标准化组织 国际标准化组织 ISO 互联网工程任务组 IETF 国际电信联盟 ITU 电气与电子工程师学会 IEEE 美国国家标准局 NBS 与美国商业部国家技术标准研究所 NIST 美国国家标准协会 ANSI 美国国防部 DoD 及国家计算机安全中心 NCSC 美国国家安全局 NSA 12 1 1ISO 始建于1947年 是一个自发的非条约性组织 其成员是参加国的制定标准化机构 美国的成员是美国国家标准研究所 ANSI 它负责制定广泛的技术标准 为世界各国的技术共享和技术质量保证起着导向和把关的作用 ISO的目的是促进国际标准化和相关的活动的开展 以便于商品和服务的国际交换 并已发展知识 科技和经济活动领域内的合作为己任 现已发布了覆盖领域极为广泛的5000多个国际标准 12 1 1ISO 续 ISO信息安全机构ISO IEC JTC1SC6开放系统互连 OSI 网络层和传输层ISO TC46信息系统安全SC14电子数据交换 EDI 安全ISO TC65要害保险安全SC17标示卡和信用卡安全ISO TC68银行系统安全SC18文本和办公系统安全ISO TC154EDI安全SC21OSI的信息恢复 传输和管理SC22操作系统安全SC27信息技术安全ISO对信息系统的安全体系结构制订了OSI基本参考模型ISO7498 2 并于2000年底确定了信息技术安全评估标准ISO IEC15408 12 1 2IAB 由于信息安全问题已经成为Internet使用的关键 近年来IETF发布的RFC中出现了大量的有关安全的草案 RFC涉及 报文加密和鉴别 给予证书的密钥管理 算法 模块和识别 密钥证书和相关的服务等方面 12 1 3NIST 根据1947年美国联邦财产和管理服务法和1987年计算机安全法 美国商业部所属的NIST授权委以责任改进利用和维护计算机与电讯系统 NIST通过信息技术实验室 ITL InformationTech Lab 提供技术指南 协调政府在这一领域的开发标准 制定联邦政府计算机系统有效保证敏感信息安全的规范 它与NSA合作密切 在NSA的指导监督下 制定计算机信息系统的技术安全标准 这个机构是当前信息安全技术标准领域中最具影响力的标准化机构 NIST标准涉及 访问控制和鉴别技术 评价和保障 密码 电子商务 一般计算机安全 网络安全 风险管理等 Contents 信息技术标准化组织 1 信息安全标准与规范 2 3 4 5 12 2信息安全标准与规范 数据加密算法 DES RSA T DES RC2 AES PKCS可恢复密钥密码体系 EES数字签名 DSS RSA SHA 1 MD5安全网管协议 SNMPv2 SNMPv3安全电子邮件 S MIMI PGP PEM公钥基础设施 PKI PKIX授权管理基础设施 PMI密钥管理模型 IEEE802 10 ISAKMP KMI 12 2信息安全标准与规范 续 数字证书 X 509 V3 X 509 V4安全会话信道 SSL SHTTP TLSPIP虚拟专网 VPN IPSEC IPV6 Radius加密程序接口 CAPI GSS API CDSA访问控制 ACL ROAC安全服务系统 Kerberos DSSA YaKsha安全评测 TCSEC CC BS7799 ISO13335入侵检测 CIDF安全体系结构 OSI7498 2 DGSA XDSF DISSP内容分级与标记 PICS 12 2信息安全标准与规范 标准介绍 信息技术安全评估准则发展过程 可信计算机系统评估准则 TCSEC 信息技术安全评估准则 ITSEC通用准则CC ISO15408 GB T18336 计算机信息系统安全保护等级划分准则 BS7799 ISO17799ISO13335 IT安全管理指南 我国的信息安全标准制定情况 12 2 1信息技术安全评估准则发展过程 信息技术安全评估是对一个系统 产品 构件的安全属性进行技术评价 通过评估判断该系统 产品 构件是否满足一组特定的要求 信息技术安全评估的另一层含义是在一定的安全策略 安全功能需求及目标保证级别下获得相应信心保证的过程 产品安全评估信息系统安全评估信息系统安全评估 或简称为系统评估 是在具体的操作环境与任务下对一个系统的安全保护能力进行的评估 12 2 1信息技术安全评估准则发展过程 20世纪60年代后期 1967年美国国防部 DOD 成立了一个研究组 针对当时计算机使用环境中的安全策略进行研究 其研究结果是 DefenseScienceBoardreport 70年代的后期DOD对当时流行的操作系统KSOS PSOS KVM进行了安全方面的研究 80年代后 美国国防部发布的 可信计算机系统评估准则 TCSEC 即桔皮书 90年代初 英 法 德 荷等四国针对TCSEC准则的局限性 提出了包含保密性 完整性 可用性等概念的 信息技术安全评估准则 ITSEC 定义了从E0级到E6级的七个安全等级 12 2 1信息技术安全评估准则发展过程 加拿大1988年开始制订 TheCanadianTrustedComputerProductEvaluationCriteria CTCPEC 1993年 美国对TCSEC作了补充和修改 制定了 组合的联邦标准 简称FC 随着贸易全球一体化的发展 为了能集中世界各国安全评估准则的优点 集合成单一的 能被广泛接受的信息技术评估准则 国际标准化组织付出了很大的努力 从20世纪90年代就开始着手这项工作 但是进展缓慢 直到1993年6月 CTCPEC FC TCSEC和ITSEC的发起组织开始联合起来 将各自独立的准则组合成一个单一的 能被广泛使用的IT安全准则 形成了 信息技术通用评估准则 简称CC 12 2 1信息技术安全评估准则发展过程 在1993年6月 发起组织包括六国七方 加拿大 法国 德国 荷兰 英国 美国NIST及美国NSA 他们的代表建立了CC编辑委员会 CCEB 来开发CC 1996年1月完成CC1 0版 在1996年4月被ISO采纳1997年10月完成CC2 0的测试版1998年5月发布CC2 0版1999年12月ISO采纳CC 并作为国际标准ISO15408发布2001年我国将CC等同采用为国家标准 以编号GB T18336发布 12 2 1信息技术安全评估准则发展过程 1999年GB17859计算机信息系统安全保护等级划分准则 1991年欧洲信息技术安全性评估准则 ITSEC 国际通用准则1996年 CC1 0 1998年 CC2 0 1985年美国可信计算机系统评估准则 TCSEC 1993年加拿大可信计算机产品评估准则 CTCPEC 1993年美国联邦准则 FC1 0 1999年国际标准ISO IEC15408 1989年英国可信级别标准 MEMO3DTI 德国评估标准 ZSEIC 法国评估标准 B W RBOOK 2001年国家标准GB T18336信息技术安全性评估准则idtiso iec15408 1993年美国NIST的MSFR 12 2 1信息技术安全评估准则发展过程 12 2信息安全标准与规范 标准介绍 信息技术安全评估准则发展过程 可信计算机系统评估准则 TCSEC 信息技术安全评估准则 ITSEC通用准则CC ISO15408 GB T18336 计算机信息系统安全保护等级划分准则 BS7799 ISO17799ISO13335 IT安全管理指南 我国的信息安全标准制定情况 12 2 2TCSEC 桔皮书 彩虹系列的第一本 桔皮书 1983年美国国防部首次公布了 可信计算机系统评估准则 TCSEC 它主要是对操作系统进行评估 是历史上的第一个安全评估标准 1985年公布了第二版 TCSEC所列举的安全评估准则主要是针对美国政府的安全要求 着重点是基于大型计算机系统的机密文档处理方面的安全要求 信息技术安全性评估通用准则 CC 被接纳为国际标准后 美国已停止了基于TCSEC的评估工作 在TCSEC时代 世界上尚没有其他类似的评估标准 它的制定确立了计算机安全的概念 对其后信息安全的发展具有划时代的意义 但是 由于TCSEC的军方背景以及当时信息安全发展的具体历史阶段所限 TCSEC的安全概念之停留在信息的保密性上 没有超出计算机安全的范畴 12 2 2TCSEC 桔皮书 在TCSEC中 美国国防部按处理信息的等级和应采用的响应措施 将计算机安全从高到低分为 A B C D四类七个级别 共27条评估准则随着安全等级的提高 系统的可信度随之增加 风险逐渐减少 TCSEC依据的安全策略模型是Bell LaPadula模型 该模型所制定的最重要的安全准则 严禁上读 下写 就是低权限的人不能读高权限的信息 高权限的人不能把信息写到低权限的人可看到的地方 12 2信息安全标准与规范 标准介绍 信息技术安全评估准则发展过程 可信计算机系统评估准则 TCSEC 信息技术安全评估准则 ITSEC通用准则CC ISO15408 GB T18336 计算机信息系统安全保护等级划分准则 BS7799 ISO17799ISO13335 IT安全管理指南 我国的信息安全标准制定情况 12 2 3ITSEC 1991年 英 德 法 荷共同制定 欧洲白皮书 首次提出了保密性 完整性 可用性三大信息安全概念 提出了保证的概念 保证分两个方面 对安全执行功能正确性的信心 从开发和运行的角度 以及对这些功能的有效性的信心 首次提出了安全目标 ST 的概念 对系统和产品的评估将有利于用户对产品的选择 主要讨论的是技术性安全措施 ITSEC的安全功能要求是10大类 由于欧洲的大力推动 ITSEC的应用最为广泛 在签了互认可协议的国家中 双方的评估结果是互认的 目前仍在更新中 200年2月重新制定了第四版 最大的改动便是增加了对CC最新动态的反应 可见其生命力之强 12 2信息安全标准与规范 标准介绍 信息技术安全评估准则发展过程 可信计算机系统评估准则 TCSEC 信息技术安全评估准则 ITSEC通用准则CC ISO15408 GB T18336 计算机信息系统安全保护等级划分准则 BS7799 ISO17799ISO13335 IT安全管理指南 我国的信息安全标准制定情况 12 2 4 1CC简介 ISO IEC15408 1999 信息技术安全技术信息技术安全性评估准则 简称CC 国际标准化组织在现有多种评估准则的基础上 统一形成的 在美国和欧洲等国分别自行推出测评准则及标准的基础上 通过相互间的总结和互补发展起来的 12 2 4 2CC适用范围 CC定义了评估信息技术产品和系统安全型所需的基础准则 是度量信息技术安全性的基准针对在安全评估过程中信息技术产品和系统的安全功能及相应的保证措施而提出的一组通用要求 使各种相对独立的安全评估结果具有可比性 该标准适用于对信息技术产品或系统的安全性进行评估 不论是硬件 固件还是软件 还可用于指导产品和系统开发 该标准的主要目标读者是用户 开发者 评估者 12 2 4 3CCvsTCSEC CC源于TCSEC 但已经完全改进了TCSEC TCSEC主要是针对操作系统的评估 提出的是安全功能要求 目前仍然可以用于对操作系统的评估 随着信息技术的发展 CC全面地考虑了与信息技术安全性有关的所有因素 以 安全功能要求 和 安全保证要求 的形式提出了这些因素 这些要求也可以用来构建TCSEC的各级要求 12 2信息安全标准与规范 标准介绍 信息技术安全评估准则发展过程 可信计算机系统评估准则 TCSEC 信息技术安全评估准则 ITSEC通用准则CC ISO15408 GB T18336 计算机信息系统安全保护等级划分准则 BS7799 ISO17799ISO13335 IT安全管理指南 我国的信息安全标准制定情况 我国的GB17859 99 计算机信息系统安全保护等级划分准则 源自TCSEC 公安部组织制订了GB17859 1999 计算机信息系统安全保护等级划分准则 国家标准 于1999年9月13日由国家质量技术监督局审查通过并正式批准发布 并于2001年1月1日执行 该准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检查提供了依据 为安全产品的研制提供了技术支持 为安全系统的建设和管理提供了技术指导 是我国计算机信息系统安全保护等级工作的基础 12 2 5计算机信息系统安全保护等级划分准则 12 2信息安全标准与规范 标准介绍 信息技术安全评估准则发展过程 可信计算机系统评估准则 TCSEC 信息技术安全评估准则 ITSEC通用准则CC ISO15408 GB T18336 计算机信息系统安全保护等级划分准则 BS7799 ISO17799ISO13335 IT安全管理指南 我国的信息安全标准制定情况 12 2信息安全标准与规范 标准介绍 信息技术安全评估准则发展过程 可信计算机系统评估准则 TCSEC 信息技术安全评估准则 ITSEC通用准则CC ISO15408 GB T18336 计算机信息系统安全保护等级划分准则 BS7799 I