信息安全标准PPT课件

1 信息安全标准 2 要点 一 信息安全及标准化介绍二 基础标准三 环境与平台安全标准四 安全管理标准五 测评认证标准六 实用产品标准 3 标准化基础 标准 为在一定的范围内获得最佳秩序 对活动或其结果规定共同的和重复使用的规则 导则或特性的文件 强制性标准 保障人体健康 人身 财产安全的标准和法律 行政法规规定强制执行的标准 其它标准是推荐性标准 我国标准分四级 国家标准 行业标准 地方标准 企业标准 4 国家标准 对需要在全国范围内统一的技术要求 含标准样品的制作 行业标准 没有国家标准 需要在全国某个行业范围内统一的技术要求 地方标准 没有国家标准 行业标准而又需要在省 自治区 直辖市范围内统一的工业产品的安全 卫生要求 企业标准 对企业范围内需要统一的技术要求 管理要求和工作要求 标准化基础 5 标准化基础 标准化 为在一定的范围内获得最佳秩序 对实际的或潜在的问题制定共同的和重复使用的规则的活动 实质 通过制定 发布和实施标准 达到统一 目的 获得最佳秩序和社会效益 6 标准化基础 标准化的基本特性 抽象性 技术性 经济性 连续性 亦称继承性 约束性 政策性 7 标准化基础 标准化的地位和作用标准化为科学管理奠定了基础 促进经济全面发展 提高经济效益 标准化是科研 生产 使用三者之间的桥梁 标准化为组织现代化生产创造了前提条件 促进对自然资源的合理利用 保持生态平衡 维护人类社会当前和长远的利益 合理发展产品品种 提高企业应变能力 以更好地满足社会需求 保证产品质量 维护消费者利益 在社会生产组成部分之间进行协调 确立共同遵循的准则 建立稳定的秩序 在消除贸易障碍 促进国际技术交流和贸易发展 提高产品在国际市场上的竞争能力方面具有重大作用 保障身体健康和生命安全 大量的环保标准 卫生标准和安全标准制定发布后 用法律形式强制执行 对保障人民的身体健康和生命财产安全具有重大作用 8 标准化基础 标准化对象标准化研究对象标准化学的基本概念支撑标准化学的理论基础标准化原理的研究标准化形式的研究标准化系统的研究标准体系的研究标准化科学管理的研究标准化工作对象制定和实施标准 技术基础 产品标准 过程 服务标准的实施监督 9 标准化基础 国际通行 标准化七原理 原理1 简化原理2 协商一致原理3 实践 运用原理4 选择 固定原理5 修订原理6 技术要求 试验方法 抽样原理7 强制性适应于 安全 健康 环保等 10 标准化基础 我国通行 标准化八字原理 统一 原理 简化 原理 协调 原理 最优 化原理 11 我国标准工作归口单位 2001年10月11日成立国家标准化委员会信息技术委员会2002年成立信息安全技术委员会T 12 标准化基础 采标 等同采用 指技术内容相同 没有或仅有编辑性修改 编写方法完全相对应 GB T19001 2000idtISO9001 2000IDT 等同采用 identical MOD 修改采用 modified 等效采用 指主要技术内容相同 技术上只有很小差异 编写方法完全相对应 非等效采用 指技术内容有重大差异 13 标准化基础 标准体系 一定范围内标准按其内在联系形成的科学的有机整体标准体系是具有层次的 我国全国标准体系表可分成五个层次 14 IT标准化 IT标准发展趋势 1 标准逐步从技术驱动向市场驱动方向发展 2 信息技术标准化机构由分散走向联合 3 信息技术标准化的内容更加广泛 重点更加突出 从IT技术领域向社会各个领域渗透 涉及教育 文化 医疗 交通 商务等广泛领域 需求大量增加 4 从技术角度看 IT标准化的重点将放在网络接口 软件接口 信息格式 安全等方面 并向着以技术中立为前提 保证互操作为目的方向发展 15 信息安全标准化组织 续 IECTC56可靠性 TC74IT设备安全和功效 TC77电磁兼容 CISPR无线电干扰特别委员会ITU前身是CCITT消息处理系统目录系统 X 400系列 X 500系列 安全框架安全模型等标准 16 信息安全标准化组织 续 IETF 170多个RFC 12个工作组 PGP开发规范 openpgp 鉴别防火墙遍历 aft 通用鉴别技术 cat 域名服务系统安全 dnssec IP安全协议 ipsec 一次性口令鉴别 otp X 509公钥基础设施 pkix S MIME邮件安全 smime 安全Shell secsh 简单公钥基础设施 spki 传输层安全 tls Web处理安全 wts 17 我国信息安全标准体系 基础标准环境与平台安全标准安全管理标准测评认证标准实用产品标准 18 标准化工作 标准研究与开发标准研究标准开发标准确认认证受理阶段证书制作阶段管委会确认指导测评工作 19 标准研究 研究标准化原理和标准文本 形成标准体系 1 跟踪国际先进标准 2 对现有信息安全技术标准以及信息安全技术发展趋势的研究 3 依据国际标准化组织所颁布的或将要颁布的信息安全标准 参照美国 英国 加拿大等发达国家的信息安全标准化体系 并结合我国的具体国情 研究国家信息安全标准体系 4 依据ISO IEC15408 即CC 和信息系统安全工程能力成熟模型 SSE CMM 等研究信息安全测评认证标准体系 5 研究ISO IEC15408 IT安全性评估准则 和ISO IECPDTR15446 PP和ST产生指南 20 二 基础标准 信息技术安全词汇信息技术安全体系结构信息技术安全框架信息技术安全模型 21 安全术语 国家标准GB T5271 8 2001 词汇08部分安全 idtISO2382 8 1996 GJB2256 1994 军用计算机安全术语 22 安全体系结构 国家标准GB T9387 2 1995 信息处理系统开放系统互连基本参考模型第2部分 安全体系结构 idtISO7498 2 RFC2401因特网安全体系结构 23 安全框架标准 安全框架鉴别框架访问控制框架抗抵赖框架机密性框架完整性框架安全审计和告警框架 ISO IEC10181 1 7安全框架标准是安全服务 安全机制及其相应安全协议的基础 是信息系统安全的理论基础 24 信息安全管理框架 ISO7498 4 信息安全保证框架 ISO IECWD15443 25 安全服务是由安全机制来实现的 一个安全服务可以由一个或几个安全机制来实现 同样 一个安全机制也可用于实现不同的安全服务中 安全服务与安全机制的关系 26 OSI参考模型与TCP IP的对应关系 27 加密技术 算法注册 ISO IEC9979 1999 64位块加密算法操作方式 GB T15277IdtISO8372 随机比特生成 ISO IECWD18031 2000 素数生成 ISO IECWD18032 2000 28 密钥管理 第一部分框架 GB17901 1 1999idtISO IEC11770 1 1996 第二部分使用对称技术的机制 ISO IEC11770 2 1998 第三部分使用非对称技术的机制 ISO IEC11770 3 1998 29 鉴别的标准 1 GB15843 2 95实体鉴别机制第一部分 一般模型 2 GB15843 2 95实体鉴别机制第二部分 对称加密算法的鉴别 3 GB15843 2 95实体鉴别机制第三部分 公开加密算法的鉴别机制 4 GB15843 2 95实体鉴别机制第四部分 加密校验函数机制 5 ISO IEC9594 82V 3目录 鉴别框架1993ISO IEC10181 21996 E 鉴别框架 30 数据完整性机制 数据完整性机制标准见GB15852 1995 31 三 环境与平台安全标准 物理环境系统运行安全网络平台安全应用平台安全 32 一 物理环境 涉及到的标准 计算站场地安全要求 GB9361 88 计算站场地技术要求 GB2887 2000 计算机信息系统防雷保安器 GA173 98 计算机机房用活动地板技术条件 GB6650 86 军用通信设备及系统安全要求 GJZB663 33 计算站场地是计算机系统的安置地点 计算机供电 空调以及该系统的维修人员和工作人员的工作场所 1 计算机机房安全等级划分A类 有完善的计算机机房安全措施B类 有较完善的计算机机房安全措施C类 有基本的计算机机房安全措施 等级最高 34 2 计算站场地选址原则 B类 避开易发生火灾的区域避开存放易燃 易爆及有腐蚀性物品的地方避开低洼 潮湿 落雷区和地震多发地区避开强振动源和强噪声源避开强电磁场避免设在建筑物高层或地下室及用水设备的下层避开重盐害地区如无法避开 应采取相应措施 35 3 计算中心或计算机站的区位布局要求 计算机机房最小使用面积不得小于20m 数据交换在尽可能少的房间内完成数据交换在尽可能小的范围内完成避免无关人员进入主机房单独设立对外接待室 36 4 环境条件对计算机信息系统安全的影响 温度对计算机信息系统安全的影响温度过高使元器件不能正常工作导致设备故障高温导致电介质绝缘强度降低导致机械传动部分金属变形 影响正常工作导致磁介质损坏机房适宜的温度是15 30 见GB28874 4 1 37 湿度对计算机信息系统安全的影响高湿度造成导电小路高湿度影响磁头高速运转 并使磁带打滑低湿度造成的高静电电压 影响设备正常工作静电噪声干扰电子线路静电引起存储器中的信息丢失或错误机房适宜的湿度是40 70 见GB28874 4 1 38 灰尘对计算机信息系统安全的影响灰尘造成磁盘或光盘驱动器读写错误灰尘妨碍电子元件散热导电性灰尘降低绝缘性 甚至短路绝缘性灰尘造成接触不良具体要求见GB28874 4 2 39 地线对计算机信息系统安全的影响避雷地 防止雷击交 直流电源地 保护人身和设备安全安全防护地 防触电屏蔽地 防电磁干扰和信息泄露信号地 保证信息系统运行安全具体要求见GB28874 6 2有害气体对计算机信息系统安全的影响 4 12 40 计算机中心防火1 起火原因电器起火空调加热器起火人为事故或纵火其他建筑物起火蔓延所致记录介质及其他易燃物质起火 5 环境安全保护 41 2 防护措施建筑材料及机房构件要耐火 见标准GB9361 将各房间分为脆弱区 危险区和一般区脆弱区与危险区隔离设置安全出口 并有明显疏散指示标志设置应急开关 及时切断电源设置自动消防系统和人工灭火设备使用CO2和卤代烷1211 1301灭火剂 42 计算机中心防水和防潮1 防水机房最好不要建在顶层或地下室机房的屋顶和活动地板下不得穿过水管A B类机房应安装防水检测和报警装置专人负责检查阀门开关 43 计算机中心防水和防潮2 防潮机房最好不要建在顶层或地下室加固机房外墙机房外设置排水沟设置防潮层机房地面使用水磨石地面 44 信息系统的电源保护 基本供电要求有稳定的电压 频率 足够的容量 见GB2887表4 使用UPS不间断专用供电设备各设备不要同时接通电源电源接地满足要求机房内不使用任何无线电接收和发射装置 减少电器噪声 45 配电系统 计算机系统独立配电时 应使用干式变压器分电盘应设置在计算机机房内从分电盘到计算机系统的设备的电缆应为耐燃铜芯屏蔽电缆设备走线不得与空调 电源的无电磁屏蔽走线平行交叉时 尽量以接近垂直的角度交叉 计算机系统应选用铜芯电缆 严禁铜铝混用计算机电源系统的所有接点均应镀铅锡处理 冷压连接 强弱电一定要分开 46 空调系统 A B类机房应采用专用空调空调系统的主要设备应有备份机房应尽量才采用风冷式空调设备空调设备中安装的电加热器和电加湿器应有防火互衬采用水冷空调设备时 应设置漏水报警装置计算机机房应尽量不使用地毯 47 二 系统平台安全 操作系统数据库安全参照标准 TCSEC可信计算机评估准则GB17859计算机信息系统安全保护等级划分准则GJB2646军用计算机安全评估准则TDI可信数据库解释 48 三 网络平台安全 防火墙链路层加密 VPN 基于IPSec的网络加密 GB18019 1999 GB18020 1999 49 四 应用平台安全 WWW服务E mail服务FTPTELNETMHS X 400 X 500SNMP电子商务 50 四 安全管理标准 安全策略组织管理人员管理技术管理场地设施管理 51 五 测评认证标准 早期评估准则GB T18336 2001SSE CMMISO9000族 52 早期评估准则 美国TCSEC1970年由美国国防科学委员会提出 1985年公布 主要为军用标准 延用至民用 安全级别从高到低分为A B C D四级 级下再分小级 分级主要依据四个准则 a安全政策b可控性c保证能力d文档 53 欧洲多国安全评价方法的综合产物 军用 政府用和商用 以超越TCSEC为目的 将安全概念分为功能与功能评估两部分 功能准则在测定上分F1 F10共10级 1 5级对应于TCSEC的D到A 6 10级加上了以下概念 F6 数据和程序的完整性F7 系统可用性F8 数据通信完整性F9 数据通信保密性F10包括机密性和完整性的网络安全评估准则分为6级 E1 测试E2 配置控制和可控的分配E3 能访问详细设计和源码E4 详细的脆弱性分析E5 设计与源码明显对应E6 设计与源码在形式上一致 欧洲ITSEC 早期评估准则 续 54 加拿大CTCPEC 1989年公布 专为政府需求而设计与ITSEC类似 将安全分为功能性需求和保证性需要两部分 功能性要求分为四个大类 a机密性b完整性c可用性d可控性在每种安全需求下又分成很多小类 表示安全性上的差别 分级条数为0 5级 早期评估准则 续 55 美国联邦准则 FC 对TCSEC的升级1992年12月公布引入了 保护轮廓 PP 这一重要概念 每个轮廓都包括功能部分 开发保证部分和评测部分 分级方式与TCSEC不同 吸取了ITSEC CTCPEC中的优点 供美国政府用 民用和商用 早期评估准则 续 56 GB T18336 2001信息技术安全技术信息技术安全性评估准则 idtISO IEC15408 1999 也就是CC 57 通用准则 CC 国际标准化组织统一现有多种准则的努力结果 1993年开始 1996年出V1 0 1998年出V2 0 1999年6月正式成为国际标准 1999年12月ISO出版发行ISO IEC15408 主要思想和框架取自ITSEC和FC 充分突出 保护轮廓 将评估过程分 功能 和 保证 两部分 是目前最全面的评价准则 58 通用准则 CC 续 国际上认同的表达IT安全的体系结构一组规则集一种评估方法 其评估结果国际互认通用测试方法 CEM 已有安全准则的总结和兼容通用的表达方式 便于理解灵活的架构可以定义自己的要求扩展CC要求准则今后发展的框架 59 GB T18336 1 简介和一般模型保护轮廓规范安全目标规范 GB T18336 2 安全功能要求 GB T18336 3 安全保证要求 标准组成 60 目标读者 系统管理员和系统安全管理员内部和外部审计员安全规划和设计者认可者评估发起者评估机构 61 本标准定义作为评估信息技术产品和系统安全特性的基础准则不包括属于行政性管理安全措施的评估准则 不包括物理安全方面 诸如电磁辐射控制 的评估准则 不包括密码算法固有质量评价准则 应用范围 62 关键概念 评估对象 TOE TargetofEvaluation 保护轮廓 PP ProtectionProfile 安全目标 ST SecurityTarget 功能 Function 保证 Assurance