信息安全标准与法律法规.ppt
《信息安全标准与法律法规.ppt》由会员分享,可在线阅读,更多相关《信息安全标准与法律法规.ppt(32页珍藏版)》请在冰豆网上搜索。
LOGO信息安全标准信息安全标准北京电子科技学院信息安全工程应用冯雁冯雁LOGOContents信息技术标准化组织信息技术标准化组织1信息安全标准与规范信息安全标准与规范245LOGOContents信息技术标准化组织信息技术标准化组织1信息安全标准与规范信息安全标准与规范2345LOGO12.1信息技术标准化组织v国际标准化组织(ISO)v互联网工程任务组(IETF)v国际电信联盟(ITU)v电气与电子工程师学会(IEEE)v美国国家标准局(NBS)与美国商业部国家技术标准研究所(NIST)v美国国家标准协会(ANSI)v美国国防部(DoD)及国家计算机安全中心(NCSC)v美国国家安全局(NSA)LOGO12.1.1ISOv始建于1947年,是一个自发的非条约性组织,其成员是参加国的制定标准化机构(美国的成员是美国国家标准研究所(ANSI)。
v它负责制定广泛的技术标准,为世界各国的技术共享和技术质量保证起着导向和把关的作用。
vISO的目的是促进国际标准化和相关的活动的开展,以便于商品和服务的国际交换,并已发展知识、科技和经济活动领域内的合作为己任,现已发布了覆盖领域极为广泛的5000多个国际标准。
LOGO12.1.1ISO(续)vISO信息安全机构ISO/IEC/JTC1SC6开放系统互连(OSI)网络层和传输层ISO/TC46信息系统安全SC14电子数据交换(EDI)安全ISO/TC65要害保险安全SC17标示卡和信用卡安全ISO/TC68银行系统安全SC18文本和办公系统安全ISO/TC154EDI安全SC21OSI的信息恢复、传输和管理SC22操作系统安全SC27信息技术安全ISO对信息系统的安全体系结构制订了OSI基本参考模型ISO7498-2;并于2000年底确定了信息技术安全评估标准ISO/IEC15408。
LOGO12.1.2IABv由于信息安全问题已经成为Internet使用的关键,近年来IETF发布的RFC中出现了大量的有关安全的草案。
vRFC涉及:
报文加密和鉴别;给予证书的密钥管理;算法、模块和识别;密钥证书和相关的服务等方面。
LOGO12.1.3NISTv根据1947年美国联邦财产和管理服务法和1987年计算机安全法,美国商业部所属的NIST授权委以责任改进利用和维护计算机与电讯系统。
vNIST通过信息技术实验室(ITLInformationTech.Lab.)提供技术指南,协调政府在这一领域的开发标准,制定联邦政府计算机系统有效保证敏感信息安全的规范。
v它与NSA合作密切,在NSA的指导监督下,制定计算机信息系统的技术安全标准。
这个机构是当前信息安全技术标准领域中最具影响力的标准化机构。
vNIST标准涉及:
访问控制和鉴别技术、评价和保障、密码、电子商务、一般计算机安全、网络安全、风险管理等LOGOContents信息技术标准化组织信息技术标准化组织1信息安全标准与规范信息安全标准与规范2345LOGO12.2信息安全标准与规范v数据加密算法:
数据加密算法:
DES、RSA、T-DES、RC2、AES、PKCSv可恢复密钥密码体系:
可恢复密钥密码体系:
EESv数字签名:
数字签名:
DSS、RSA、SHA-1、MD5v安全网管协议:
安全网管协议:
SNMPv2、SNMPv3v安全电子邮件:
安全电子邮件:
S/MIMI、PGP、PEMv公钥基础设施:
公钥基础设施:
PKI、PKIXv授权管理基础设施:
授权管理基础设施:
PMIv密钥管理模型:
密钥管理模型:
IEEE802.10、ISAKMP、KMILOGO12.2信息安全标准与规范(续)v数字证书:
数字证书:
X.509.V3、X.509.V4v安全会话信道:
安全会话信道:
SSL、SHTTP、TLSPvIP虚拟专网(虚拟专网(VPN):
):
IPSEC、IPV6、Radiusv加密程序接口:
加密程序接口:
CAPI、GSS-API、CDSAv访问控制:
访问控制:
ACL、ROACv安全服务系统:
安全服务系统:
Kerberos、DSSA、YaKshav安全评测:
安全评测:
TCSEC、CC、BS7799、ISO13335v入侵检测:
入侵检测:
CIDFv安全体系结构:
安全体系结构:
OSI7498-2、DGSA、XDSF、DISSPv内容分级与标记内容分级与标记:
PICSLOGO12.2信息安全标准与规范标准介绍:
v信息技术安全评估准则发展过程v可信计算机系统评估准则TCSECv信息技术安全评估准则ITSECv通用准则CC(ISO15408、GB/T18336)v计算机信息系统安全保护等级划分准则vBS7799、ISO17799vISO13335IT安全管理指南v我国的信息安全标准制定情况LOGO12.2.1信息技术安全评估准则发展过程信息技术安全评估准则发展过程v信息技术安全评估是对一个系统、产品、构件的安全属性进行技术评价,通过评估判断该系统、产品、构件是否满足一组特定的要求。
v信息技术安全评估的另一层含义是在一定的安全策略、安全功能需求及目标保证级别下获得相应信心保证的过程。
产品安全评估信息系统安全评估v信息系统安全评估,或简称为系统评估,是在具体的操作环境与任务下对一个系统的安全保护能力进行的评估。
LOGO12.2.1信息技术安全评估准则发展过程信息技术安全评估准则发展过程v20世纪60年代后期,1967年美国国防部(DOD)成立了一个研究组,针对当时计算机使用环境中的安全策略进行研究,其研究结果是“DefenseScienceBoardreport”。
v70年代的后期DOD对当时流行的操作系统KSOS,PSOS,KVM进行了安全方面的研究。
v80年代后,美国国防部发布的“可信计算机系统评估准则(TCSEC)”(即桔皮书)。
v90年代初,英、法、德、荷等四国针对TCSEC准则的局限性,提出了包含保密性、完整性、可用性等概念的“信息技术安全评估准则”(ITSEC),定义了从E0级到E6级的七个安全等级。
LOGO12.2.1信息技术安全评估准则发展过程信息技术安全评估准则发展过程v加拿大1988年开始制订TheCanadianTrustedComputerProductEvaluationCriteria(CTCPEC)v1993年,美国对TCSEC作了补充和修改,制定了“组合的联邦标准”(简称FC)v随着贸易全球一体化的发展,为了能集中世界各国安全评估准则的优点,集合成单一的、能被广泛接受的信息技术评估准则,国际标准化组织付出了很大的努力,从20世纪90年代就开始着手这项工作,但是进展缓慢。
直到1993年6月,CTCPEC、FC、TCSEC和ITSEC的发起组织开始联合起来,将各自独立的准则组合成一个单一的、能被广泛使用的IT安全准则,形成了信息技术通用评估准则,简称CC。
LOGO12.2.1信息技术安全评估准则发展过程信息技术安全评估准则发展过程v在1993年6月,发起组织包括六国七方:
加拿大、法国、德国、荷兰、英国、美国NIST及美国NSA,他们的代表建立了CC编辑委员会(CCEB)来开发CC。
v1996年1月完成CC1.0版,在1996年4月被ISO采纳v1997年10月完成CC2.0的测试版v1998年5月发布CC2.0版v1999年12月ISO采纳CC,并作为国际标准ISO15408发布v2001年我国将CC等同采用为国家标准,以编号GB/T18336发布。
LOGO12.2.1信息技术安全评估准则发展过程信息技术安全评估准则发展过程1999年GB17859计算机信息系统安全保护等级划分准则1991年欧洲信息技术安全性评估准则(ITSEC)国际通用准则1996年(CC1.0)1998年(CC2.0)1985年美国可信计算机系统评估准则(TCSEC)1993年加拿大可信计算机产品评估准则(CTCPEC)1993年美国联邦准则(FC1.0)1999年国际标准ISO/IEC154081989年英国可信级别标准(MEMO3DTI)德国评估标准(ZSEIC)法国评估标准(B-W-RBOOK)2001年国家标准GB/T18336信息技术安全性评估准则idtiso/iec154081993年美国NIST的MSFRLOGO12.2.1信息技术安全评估准则发展过程信息技术安全评估准则发展过程LOGO12.2信息安全标准与规范标准介绍:
v信息技术安全评估准则发展过程v可信计算机系统评估准则TCSECv信息技术安全评估准则ITSECv通用准则CC(ISO15408、GB/T18336)v计算机信息系统安全保护等级划分准则vBS7799、ISO17799vISO13335IT安全管理指南v我国的信息安全标准制定情况LOGO12.2.2TCSEC(桔皮书)彩虹系列的第一本桔皮书。
1983年美国国防部首次公布了可信计算机系统评估准则(TCSEC)它主要是对操作系统进行评估,是历史上的第一个安全评估标准,1985年公布了第二版。
TCSEC所列举的安全评估准则主要是针对美国政府的安全要求,着重点是基于大型计算机系统的机密文档处理方面的安全要求。
信息技术安全性评估通用准则(CC)被接纳为国际标准后,美国已停止了基于TCSEC的评估工作。
在TCSEC时代,世界上尚没有其他类似的评估标准,它的制定确立了计算机安全的概念,对其后信息安全的发展具有划时代的意义。
但是,由于TCSEC的军方背景以及当时信息安全发展的具体历史阶段所限,TCSEC的安全概念之停留在信息的保密性上,没有超出计算机安全的范畴。
LOGO12.2.2TCSEC(桔皮书)在TCSEC中,美国国防部按处理信息的等级和应采用的响应措施,将计算机安全从高到低分为:
A、B、C、D四类七个级别,共27条评估准则随着安全等级的提高,系统的可信度随之增加,风险逐渐减少。
TCSEC依据的安全策略模型是Bell&LaPadula模型,该模型所制定的最重要的安全准则严禁上读、下写。
就是低权限的人不能读高权限的信息,高权限的人不能把信息写到低权限的人可看到的地方。
LOGO12.2信息安全标准与规范标准介绍:
v信息技术安全评估准则发展过程v可信计算机系统评估准则TCSECv信息技术安全评估准则ITSECv通用准则CC(ISO15408、GB/T18336)v计算机信息系统安全保护等级划分准则vBS7799、ISO17799vISO13335IT安全管理指南v我国的信息安全标准制定情况LOGO12.2.3ITSECv1991年,英、德、法、荷共同制定,欧洲白皮书。
v首次提出了保密性、完整性、可用性三大信息安全概念。
v提出了保证的概念。
保证分两个方面:
对安全执行功能正确性的信心(从开发和运行的角度)以及对这些功能的有效性的信心。
v首次提出了安全目标(ST)的概念。
v对系统和产品的评估将有利于用户对产品的选择。
v主要讨论的是技术性安全措施。
vITSEC的安全功能要求是10大类。
v由于欧洲的大力推动,ITSEC的应用最为广泛。
v在签了互认可协议的国家中,双方的评估结果是互认的。
v目前仍在更新中,200年2月重新制定了第四版,最大的改动便是增加了对CC最新动态的反应,可见其生命力之强。
LOGO12.2信息安全标准与规范标准介绍:
v信息技术安全评估准则发展过程v可信计算机系统评估准则TCSECv信息技术安全评估准则ITSECv通用准则CC(ISO15408、GB/T18336)v计算机信息系统安全保护等级划分准则vBS7799、ISO17799vISO13335IT安全管理指南v我国的信息安全标准制定情况LOGO12.2.4.1CC简介vISO/IEC15408-1999“信息技术安全技术信息技术安全性评估准则”(简称CC)v国际标准化组织在现有多种评估准则的基础上,统一形成的。
v在美国和欧洲等国分别自行推出测评准则及标准的基础上,通过相互间的总结和互补发展起来的。
LOGO12.2.4.2
升级会员 