[精选]信息安全标准介绍.pptx

《[精选]信息安全标准介绍.pptx》由会员分享，可在线阅读，更多相关《[精选]信息安全标准介绍.pptx（78页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、信息安全相关标准介绍信息安全相关标准介绍信息安全相关标准介绍信息安全相关标准介绍内容提纲内容提纲一、标准和标准化概述一、标准和标准化概述 二、信息安全标准化组织二、信息安全标准化组织 三、三、信息安全标准体系研究信息安全标准体系研究四、四、重要信息安全标准介绍重要信息安全标准介绍 六、存在问题分析六、存在问题分析 五、五、研究热点追踪研究热点追踪一、标准和标准化一、标准和标准化概述概述vv信息安全标准是确保信息安全的产品和系统在设计、研发、生产、建设、信息安全标准是确保信息安全的产品和系统在设计、研发、生产、建设、使用、测评中解决其一致性、可靠性、可控性、先进性和符合性的技术使用、测评中解决其

2、一致性、可靠性、可控性、先进性和符合性的技术标准、技术依据；标准、技术依据；vv统一标准是信息系统互联、互通、互操作的前提；统一标准是信息系统互联、互通、互操作的前提；vv信息安全标准是我国信息安全保障体系的重要组成局部，是政府进行宏信息安全标准是我国信息安全保障体系的重要组成局部，是政府进行宏观管理的重要手段；观管理的重要手段；vv从国家意义上来说，信息安全标准关系到国家的安全及经济利益，标准从国家意义上来说，信息安全标准关系到国家的安全及经济利益，标准往往成为保护国家利益、促进产业开展的一种重要手段。往往成为保护国家利益、促进产业开展的一种重要手段。信息安全标准化的作用信息安全标准化的作用

3、一、标准和标准化概念一、标准和标准化概念 标准化的基本原理标准化的基本原理 我国标准化工作者根据自己的实践，用自己的语言，总结了“简化、“统一、“协调、“选优的八字原理，成为我国标准化界的一种共识。1、简化 具有同种功能的标准化对象，当其多样性的开展规模超出必要的范围时，即应消除其中多余的、可替换的和低功能的环节，保持其构成的精练合理，使总体功能最正确。2、统一 在一定时期，一定条件下，对标准化对象的形式、功能或其它技术特性所确立的一致性，应与被取代的事物功能等效。3、协调 在标准系统中，只有当各个标准子系统之间的功能彼此协调时，才能实现整体系统的功能最正确。4、选优 按照特定的目标，在一定的

4、限定条件下，对标准系统的构成因素及其关系进行选择、设计或调整，使之到达最理想效果。一、标准和标准化概念一、标准和标准化概念 国际标准在区域标准或国家标准中的采用，以相应国际标准为基础发国际标准在区域标准或国家标准中的采用，以相应国际标准为基础发布区域或国家标准性文件，或认可该国际标准具有与国家标准性文件相同布区域或国家标准性文件，或认可该国际标准具有与国家标准性文件相同的地位，同时标明与相应国际标准的差异。根据采用的程度可分为：等同的地位，同时标明与相应国际标准的差异。根据采用的程度可分为：等同采用、非等效采用和修改采用。采用、非等效采用和修改采用。1 1、等同采用：符合下述条件时，区域标准或

5、国家标准与相应国际标准、等同采用：符合下述条件时，区域标准或国家标准与相应国际标准等同：等同：1 1区域标准或国家标准在技术内容，标准结构或措词方面相同区域标准或国家标准在技术内容，标准结构或措词方面相同或者等同翻译或或者等同翻译或2 2区域标准或国家标准尽管有微小编辑修改，但在技区域标准或国家标准尽管有微小编辑修改，但在技术内容方面等同。术内容方面等同。2 2、修改采用、修改采用MODMOD：区域标准或国家标准对相应国际标准按下述条：区域标准或国家标准对相应国际标准按下述条件进行修改。区域标准或国家标准与相应国际标准之间允许存在技术性差件进行修改。区域标准或国家标准与相应国际标准之间允许存在

6、技术性差异，但是要清楚地标识并说明这些差异。区域标准或国家标准反响相应国异，但是要清楚地标识并说明这些差异。区域标准或国家标准反响相应国际标准的结构。只有修改后两个标准的内容和结构还可以进行比较，才允际标准的结构。只有修改后两个标准的内容和结构还可以进行比较，才允许对标准的结构进行修改。许对标准的结构进行修改。3 3、非等效采用：区域标准或国家标准与相应的国际标准在技术内容和、非等效采用：区域标准或国家标准与相应的国际标准在技术内容和文本结构上不同，同时它们之间的差异也没有清楚地标识。非等效还文本结构上不同，同时它们之间的差异也没有清楚地标识。非等效还包括在区域标准或国家标准中只保存有少量或不

7、重要的国际标准条款的情包括在区域标准或国家标准中只保存有少量或不重要的国际标准条款的情况。非等效不属于采用国际标准。况。非等效不属于采用国际标准。国际标准的采用国际标准的采用一、标准和标准化概念一、标准和标准化概念二、信息安全标准化二、信息安全标准化组织介绍组织介绍2.1 国际信息安全标准化组织国际信息安全标准化组织 ISO/IEC JTC1 SC27 早在早在19771977年，世界上就出现了第一个数据加密标准，这是国外乃至年，世界上就出现了第一个数据加密标准，这是国外乃至国际上信息安全标准化工作的开端。随着通信和计算机网络的开展，国际国际上信息安全标准化工作的开端。随着通信和计算机网络的开

8、展，国际上信息安全标准化工作也于上信息安全标准化工作也于8080年代有了较快的开展，在年代有了较快的开展，在9090年代已经引起年代已经引起了世界各国的普遍关注。目前世界上与信息安全标准化有关的主要组织有：了世界各国的普遍关注。目前世界上与信息安全标准化有关的主要组织有：国际标准化组织国际标准化组织ISOISO、国际电工、国际电工 会会IECIEC、国际电信联盟、国际电信联盟ITUITU、互联网工程任务组、互联网工程任务组IETFIETF等。等。工作组介绍工作组介绍工作组介绍工作组介绍 ISO国际标准化组织和IEC国际电工 会是世界上专门的标准化组织。在信息技术领域，ISO和IEC成立了一个联

9、合技术 会JTC1。SC27是JTC1中专门从事信息安全通用方法及技术标准化工作的分技术 会。SC27 IT安全技术分 会成立于1990年4月，2006年5月SC27工作组调整后，SC27下设五个工作组，各工作组信息如表2.1所示，各工作组关系如图2.1所示。2.1 国际信息安全标准化组织国际信息安全标准化组织制定标准情况制定标准情况制定标准情况制定标准情况 截止到截止到20072007年底，该分技术年底，该分技术 会已制定和正在研制的国际标准有会已制定和正在研制的国际标准有120120多项，这些标准主要涉及密码算法、散列函数、数字签名、实体鉴别、多项，这些标准主要涉及密码算法、散列函数、数字

10、签名、实体鉴别、安全安全评估、安全管理等领域，近几年公布的比较有影响力的标准有：评估、安全管理等领域，近几年公布的比较有影响力的标准有：ISO/IEC ISO/IEC 1540815408ITIT安全性评估准则，包含安全性评估准则，包含3 3个局部、个局部、ISO/IEC 15443ISO/IEC 15443ITIT安全安全保障保障框架，包含框架，包含3 3个局部、个局部、ISO/IEC 218279ISO/IEC 218279系统安全工程能力成熟模型系统安全工程能力成熟模型和和ISO/IEC27000ISO/IEC27000系列信息安全管理系统，已完成系列信息安全管理系统，已完成7 7个局部

11、，方案包含个局部，方案包含2020多个多个子标准。子标准。联络关系介绍联络关系介绍联络关系介绍联络关系介绍 随着边缘技术的出现，以及随着边缘技术的出现，以及JTC1JTC1内其他分技术内其他分技术 会职责范围的交叉，会职责范围的交叉，SC27SC27启动了联合工作机制，与许多组织进行了成功的合作。例如：启动了联合工作机制，与许多组织进行了成功的合作。例如：ISO/IECISO/IECJTC1JTC1内有内有SC6SC6，SC17SC17，SC18SC18，SC21SC21，SC22SC22和和SC30SC30；ISOISO内包括内包括TC68TC68和和TC215TC215；外部组织包括外部组

12、织包括CCIMBCCIMB、ETSIETSI、ITU-TITU-T和和ISSEAISSEA。和。和SC27SC27存在联络关系的相关标存在联络关系的相关标准化机构或协会及联络类型如下：准化机构或协会及联络类型如下：2.1 国际信息安全标准化组织国际信息安全标准化组织SC27SC27成员组成情况成员组成情况成员组成情况成员组成情况 SC27 SC27成员包括积极参加成员成员包括积极参加成员P P成员和观察员成员和观察员O O成员两种。成员两种。P P成员成员可参与可参与TCTC、SCSC的技术工作，而的技术工作，而O O成员则只能获取信息。每个成员则只能获取信息。每个TCTC或或SCSC均从均从

13、P P成员成员中任命一个成员主持秘书处并领导该中任命一个成员主持秘书处并领导该 会或分会或分 会。会。P P成员：成员：3131个个 包括：巴西、西班牙、法国、包括：巴西、西班牙、法国、印度、英国、捷克、印度、英国、捷克 、德国、德国、丹麦、马来西亚、乌克兰、俄罗斯联邦、比利时、丹麦、马来西亚、乌克兰、俄罗斯联邦、比利时、韩国、肯尼亚、荷、韩国、肯尼亚、荷兰、奥地利、波兰、南非、中国、澳大利亚、加拿大、卢森堡、芬兰、瑞兰、奥地利、波兰、南非、中国、澳大利亚、加拿大、卢森堡、芬兰、瑞典、挪威、瑞士、新西兰、新加坡、意大利。典、挪威、瑞士、新西兰、新加坡、意大利。O O成员：成员：1111个个 包

14、括：罗马尼亚、印度尼西亚、爱沙尼亚、阿根廷、塞尔维亚、立陶包括：罗马尼亚、印度尼西亚、爱沙尼亚、阿根廷、塞尔维亚、立陶宛、匈牙利、爱尔兰、以色列、斯洛伐克、土耳其。宛、匈牙利、爱尔兰、以色列、斯洛伐克、土耳其。2.1 国际信息安全标准化组织国际信息安全标准化组织 国际电工国际电工 会会International Electro technical missionInternational Electro technical mission成成立于立于19061906年，是世界上成立最早的非政府性国际电工标准化机构，是联合国年，是世界上成立最早的非政府性国际电工标准化机构，是联合国经社理事会经社

15、理事会ECOSOCECOSOC的甲级咨询组织。的甲级咨询组织。19471947年年ISOISO成立后，成立后，IECIEC曾作为电工曾作为电工部门并入部门并入ISOISO，但在技术上、财务上仍保持其独立性。根据，但在技术上、财务上仍保持其独立性。根据19761976年年ISOISO与与IECIEC的新协议，两组织都是法律上独立的组织，的新协议，两组织都是法律上独立的组织，IECIEC负责有关电工、电子领域的负责有关电工、电子领域的国际标准化工作，其他领域则由国际标准化工作，其他领域则由ISOISO负责。负责。IEC IEC除与除与ISOISO联合成立了联合成立了JTC1JTC1外，还在电信、电

16、子系统、信息技术和电磁外，还在电信、电子系统、信息技术和电磁兼容等方面成立技术兼容等方面成立技术 会负责安全标准研制，如会负责安全标准研制，如TC56TC56可靠性、可靠性、TC74TC74ITIT设备安全和成效、设备安全和成效、TC77TC77电磁兼容、电磁兼容、TC108TC108音频音频/视频、信息技视频、信息技术和通信技术电子设备的安全等，并制定相关国际标准，如信息技术设备安术和通信技术电子设备的安全等，并制定相关国际标准，如信息技术设备安全全IEC 60950IEC 60950等。等。国际电工委员会（国际电工委员会（IEC）2.1 国际信息安全标准化组织国际信息安全标准化组织 国际电

17、信联盟（国际电信联盟（ITU）国际电信联盟电信标准局国际电信联盟电信标准局ITU-TITU-T所属的第所属的第1717研究组研究组SG17SG17，主要负责研究，主要负责研究通信系统安全标准。通信系统安全标准。20012001年底，年底，SG7SG7、SG10SG10和和SG17SG17合并形成了新的合并形成了新的SG17SG17。在。在20012001至至20042004年这一研究期中，年这一研究期中，SG17SG17下设了下设了Question10Question10工程组来专门从事信息工程组来专门从事信息安全标准研究。在此研究期内，安全标准研究。在此研究期内，Q10Q10组主要集中于定义

18、通信系统相关的整个组主要集中于定义通信系统相关的整个安全框架，工程组活动涉及到协调、配合并推动其他通信系统安全相关的规安全框架，工程组活动涉及到协调、配合并推动其他通信系统安全相关的规范制定。范制定。根据根据20042004年年3 3月月SG17SG17组会议安排，在下一个研究期，组会议安排，在下一个研究期，SG17SG17将把将把Q10Q10改组成改组成以下六个课题组：以下六个课题组：Q.G-Q.G-安全工程、安全工程、Q.H-Q.H-安全结构和框架、安全结构和框架、Q.I-Q.I-计算机网络计算机网络安全、安全、Q.J-Q.J-安全管理、安全管理、Q.K-Q.K-基于生物特征的身份认证、基

19、于生物特征的身份认证、Q.L-Q.L-安全通信服安全通信服务。务。ITU-TITU-T单独或与单独或与ISOISO联合开发了消息处理系统联合开发了消息处理系统MHSMHS、目录系统、目录系统X.400X.400系列、系列、X.500X.500系列和安全框架、安全模型等方面的信息安全标准，其中的系列和安全框架、安全模型等方面的信息安全标准，其中的X.509X.509标准是开展电子商务认证的重要基础标准。标准是开展电子商务认证的重要基础标准。截止截止20092009年年3 3月，月，ITU-TITU-T正式发布的信息安全标准达正式发布的信息安全标准达100100多个。多个。2.1 国际信息安全标准

20、化组织国际信息安全标准化组织 互联网工程任务组（互联网工程任务组（IETF）IETF IETF主要关注与互联网有关的网络与信息安全问题，其请求注解主要关注与互联网有关的网络与信息安全问题，其请求注解RFCRFC是业界公认的事实标准。是业界公认的事实标准。IETFIETF一直设有专门的安全研究领域，负责研究网络一直设有专门的安全研究领域，负责研究网络授权、认证、审计等与安全保护有关的协议和标准。授权、认证、审计等与安全保护有关的协议和标准。目前，目前，IETFIETF有关信息安全的工作组有：有关信息安全的工作组有：BTNSBTNS有点安全总比没有强、有点安全总比没有强、DKIMDKIM域密钥标识

21、邮件、域密钥标识邮件、EMUEMUEAPEAP方法改进、方法改进、HOKEYHOKEY切换键控、切换键控、ISMSISMS关于关于SNMPSNMP的整套安全模型、的整套安全模型、KEYPROVKEYPROV对称密钥的准备、对称密钥的准备、KITTENKITTEN下下一代一代GSS-APIGSS-API、KRB-WGKRB-WGkerberokerbero工作组、工作组、LTANSLTANS长期归档和公证服长期归档和公证服务、务、MSECMSEC组播安全、组播安全、NEANEA网络端点评价、网络端点评价、OPENPGPOPENPGP关于关于PGPPGP的开的开放式标准、放式标准、PKIXPKIX

22、基于基于X.509X.509的公钥基础设施、的公钥基础设施、SASLSASL简单鉴别和安全分简单鉴别和安全分层、层、SMIMESMIMES/MIME S/MIME 邮件安全、邮件安全、SYSLOGSYSLOG在网络事件记录方面的安全课在网络事件记录方面的安全课题、题、TLSTLS传送层安全等传送层安全等1717个。个。截止到截止到20062006年底，有关安全方面的年底，有关安全方面的RFCRFC有有270270多个。这些工业标准对提高多个。这些工业标准对提高和改善互联网的安全性起到了至关重要的作用，如和改善互联网的安全性起到了至关重要的作用，如PKIPKI、IPSecIPSec、TLSTLS

23、、PGPPGP等等方面的方面的RFCRFC成为了指导互联网安全的重要文件。成为了指导互联网安全的重要文件。当前当前IETFIETF主要关注垃圾邮件处理、无线网络安全、组播安全、安全审主要关注垃圾邮件处理、无线网络安全、组播安全、安全审计、安全认证、计、安全认证、PKIPKI、TLS TLS 等方面的问题。等方面的问题。2.2 信息安全标准化组织信息安全标准化组织 美国国家标准化协会（美国国家标准化协会（ANSI）ANSI ANSI于于2020世纪世纪8080年代初开始数据加密标准化工作，共制定了年代初开始数据加密标准化工作，共制定了3 3项项 国国家标准。家标准。ANSIANSI中技术中技术

24、会会NCITSNCITS即即X3X3负责信息技术，承担着负责信息技术，承担着JTC1JTC1秘书秘书处的工作，其中，分技术处的工作，其中，分技术 会会T4T4专门负责专门负责ITIT安全技术标准化工作，对口安全技术标准化工作，对口JTC1JTC1的的SC27SC27。ANSI ANSI负责金融安全的负责金融安全的X3X3NCITSNCITS、X9X9负责制定金融业务标准、负责制定金融业务标准、X12X12负责制定商业交易标准等组织制定了很多有关数据加密、银行业务安全负责制定商业交易标准等组织制定了很多有关数据加密、银行业务安全和和EDIEDI安全等方面的标准。这些标准中，许多经国际标准化组织反

25、复讨论后安全等方面的标准。这些标准中，许多经国际标准化组织反复讨论后成为国际标准。已制定金融交易卡、密码效劳消息，以及实现商业交易安全成为国际标准。已制定金融交易卡、密码效劳消息，以及实现商业交易安全等方面的安全标准等方面的安全标准1010多个。多个。美国国家标准技术研究所（美国国家标准技术研究所（NIST）NIST NIST主要负责制定联邦计算机系统标准和指导文件，所出版的标准和规主要负责制定联邦计算机系统标准和指导文件，所出版的标准和规范被称作联邦信息处理标准范被称作联邦信息处理标准FIPSFIPS。FIPSFIPS安全标准也是安全标准也是 用信息安全用信息安全标准的重要来源。标准的重要来

26、源。2.2 信息安全标准化组织信息安全标准化组织 FIPS FIPS由由NISTNIST在广泛搜集政府各部门及私人部门的意见的基础上写成。正在广泛搜集政府各部门及私人部门的意见的基础上写成。正式发布之前，将式发布之前，将FIPSFIPS分送给每个政府机构，并在联邦注册上刊印出版。分送给每个政府机构，并在联邦注册上刊印出版。经经再次征求意见之后，再次征求意见之后，NISTNIST局长把标准连同局长把标准连同NISTNIST的建议一起呈送的建议一起呈送 商业部，商业部，由商务部长签字划押同意或反对这个标准。由商务部长签字划押同意或反对这个标准。FIPSFIPS安全标准的一个著名实例就安全标准的一个

27、著名实例就是数据加密标准是数据加密标准DESDES。从二十世纪从二十世纪7070年代公布的数据加密标准年代公布的数据加密标准DESDES开始，开始，NISTNIST制定了一系制定了一系列有关信息安全方面的联邦信息处理标准列有关信息安全方面的联邦信息处理标准FIPSFIPS，国家标准技术研究国家标准技术研究院院NISTNIST制定了大量与信息安全有关的非密敏感标准，截止到制定了大量与信息安全有关的非密敏感标准，截止到20062006年底已年底已制定了制定了3030多项信息安全相关的联邦信息处理标准多项信息安全相关的联邦信息处理标准FIPSFIPS和近和近120120项信息安项信息安全相关的专题出

28、版物全相关的专题出版物SP 800SP 800系列和系列和SP 500SP 500系列，这些标准和指南涉及密系列，这些标准和指南涉及密码算法、密码模块评测、信息系统评测、信息系统管理等多个方面，最常用码算法、密码模块评测、信息系统评测、信息系统管理等多个方面，最常用的的FIPSFIPS安全标准有安全标准有DESDES、AESAES等。等。美国国家标准技术研究所（美国国家标准技术研究所（NIST）2.2 信息安全标准化组织信息安全标准化组织 美国电气电工工程师协会（美国电气电工工程师协会（IEEE）IEEE IEEE在网络与信息安全标准化方面的奉献主要包含两个方面：一是电气在网络与信息安全标准化

29、方面的奉献主要包含两个方面：一是电气和电磁安全，如和电磁安全，如IEEE C2IEEE C2国家电气安全规程等；另一方面是信息安全，国家电气安全规程等；另一方面是信息安全，提出了提出了LAN/WANLAN/WAN安全安全IEEE 802.10IEEE 802.10、WLANWLAN安全安全IEEE 802.11iIEEE 802.11i和公钥密和公钥密码码P1363P1363等方面的标准。等方面的标准。从从19901990年年IEEEIEEE成立成立802.11“802.11“无线局域网工作组以来，相继成立的无线局域网工作组以来，相继成立的802.15802.15“无线个人网络工作组、无线个人

30、网络工作组、802.16“802.16“无线宽带网络工作组和无线宽带网络工作组和802.20“802.20“移移动宽带动宽带无线接入工作组等在无线通信安全方面也作了大量的奉献，如正在研制的无线接入工作组等在无线通信安全方面也作了大量的奉献，如正在研制的IEEE 802.11iIEEE 802.11i。目前，目前，IEEEIEEE主要关注主要关注WLANWLAN安全、安全、WiMAXWiMAX安全、汽车电子安全等。安全、汽车电子安全等。除上述主要的国际和地区性标准化组织外，除上述主要的国际和地区性标准化组织外，3GPP3GPP、3GPP23GPP2、OMAOMA开放移开放移动联盟、动联盟、OAS

31、ISOASIS结构化信息标准促进组织、结构化信息标准促进组织、ATISATIS电信工业解决方案电信工业解决方案联盟、联盟、ECMAECMA欧洲计算机制造商协会等专业性标准组织以及英德等国也欧洲计算机制造商协会等专业性标准组织以及英德等国也制定了一些安全标准。制定了一些安全标准。2.3 国外其它信息安全标准化组织国外其它信息安全标准化组织OMA在网络与信息安全标准化方面，主要侧重于数据业务。在OMA设有专门的技术委员会负责安全标准研究，即TC security，目前主要关注无线公钥基础设施（WPKI）、在线证书状态协议（OCSP）、应用层安全、智能卡Web服务、移动在线认证以及在线密钥生成等方面

32、的研究。在OMA 除TC security外，还设有专门的技术委员会负责数字版权管理方面的研究。ATIS也设有一个技术工作委员会（IDSC），专门负责信息安全和数据安全方面的标准研究，主要在身份鉴别、数据保护、风险管理等方面，并出版了相应的报告。主要制定计算机及其相关应用的标准和技术报告，经常向ISO提交标准提案。JTC1的欧洲秘书处就设在ECMA。它有11个技术委员会，其中TC32“通信、网络和系统互连”曾定义了开放系统应用层安全结构；TC36“IT安全”负责信息技术设备的安全标准，目前主要制定商用和政府用信息技术产品和系统安全性评估标准化框架，以及在开放系统环境下逻辑安全设备的框架。是欧洲

33、地区性标准化组织，已颁布120多个网络与信息安全标准。其下属技术委员会SAFETY（安全），主要研究电气安全方面的标准；技术委员会ESI（电子签名和基础设施）主要研究电子签名和PKI方面的标准；技术委员会LI（合法监听）主要研究合法监听方面的标准；特设组SAGE（安全算法专家组）负责研究密码算法方面的标准，如GSM鉴权算法A3/A5 算法。目前，ETSI主要关注电子签名、合法监听、移动通信安全、NGN安全、安全算法和智能卡安全等。主要制定计算机及其相关应用的标准和技术报告，经常向ISO提交标准提案。JTC1的欧洲秘书处就设在ECMA。它有11个技术委员会，其中TC32“通信、网络和系统互连”曾

34、定义了开放系统应用层安全结构；TC36“IT安全”负责信息技术设备的安全标准，目前主要制定商用和政府用信息技术产品和系统安全性评估标准化框架，以及在开放系统环境下逻辑安全设备的框架。3GPP在其业务和系统技术规范组下专门设置有工作组即WG3负责安全标准研究，3GPP2也在TSG-S业务和系统下设工作组WG4负责安全标准研究。此两标准组织所研究的安全标准主要是与第三代移动通信有关，主要涉及算法、安全架构（如IMS 安全架构等）等。1.1.欧洲计算机生产商协会（ECMA）2.欧洲电信标准协会（ETSI）3.3GPP 4.开放移动联盟（OMA）6.结构化信息标准促进组织（OASIS）5.电信工业解决

35、方案联盟（ATIS）其其它它信信息息安安全全标标准准化化组组织织此外，英国标准学会（BSI）所制定的BS7799系列标准和德国的IT基线保护手册也是国际上比较有影响力的安全标准。2.4 我国信息安全标准化组织我国信息安全标准化组织 全国信息安全标准化技术委员会（全国信息安全标准化技术委员会（TC260）全国信息安全标准化技术全国信息安全标准化技术 会会TC260TC260成立于成立于20022002年年4 4月月1515日。它是日。它是ISO/IEC JTC1 SC27ISO/IEC JTC1 SC27的国内对口组织。信安标委主要负责全国信息安全技术、的国内对口组织。信安标委主要负责全国信息安

36、全技术、安全机制、安全效劳、安全管理和安全评估等领域的标准化工作，负责统一安全机制、安全效劳、安全管理和安全评估等领域的标准化工作，负责统一协调信息安全国家标准年度方案工程的申报，并组织国家标准的送审和报批协调信息安全国家标准年度方案工程的申报，并组织国家标准的送审和报批工作，是我国网络与信息安全国家标准的牵头组织。工作，是我国网络与信息安全国家标准的牵头组织。组织结构组织结构组织结构组织结构 信安标委的标准研究工作采用工作组的方式进行，其组织结构如下图。信安标委的标准研究工作采用工作组的方式进行，其组织结构如下图。2.4 我国信息安全标准化组织我国信息安全标准化组织工作组情况工作组情况工作组

37、情况工作组情况 会以开放式的工作组为主体开展信息安全标准的研究制定工作。会以开放式的工作组为主体开展信息安全标准的研究制定工作。由于工作组是根据信息安全标准体系结构进行设立的，这保证了各工作组由于工作组是根据信息安全标准体系结构进行设立的，这保证了各工作组任务的明确性和相互间的协调性。任务的明确性和相互间的协调性。nWG1：信息安全标准体系与协调工作组任务：研究信息安全标准体系；跟踪国际信息安全标准开展动态；研究、分析国内信息安全标准的应用需求；研究并提出新工作工程及设立新工作组的建议；协调各工作组工程。负责标准体系研究和标准化协调。组长：中国电子技术标准化研究所林宁工作组联络处：中国电子技术

38、标准化研究所WG1开展的研究工程：信息安全标准体系的研究 电子政务标准化指南第六局部：信息安全 信息安全标准术语2.4 我国信息安全标准化组织我国信息安全标准化组织nWG2：涉密信息系统标准工作组 任务：负责涉密信息系统标准研究 组长：组长单位为国家保密局WG1开展的研究工程：涉密信息消除和介质销毁 信息安全保密产品技术要求和测试方法 涉密信息系统技术要求和测评 涉密信息系统管理nWG3：密码标准工作组任务：负责密码相关国家标准研究 组长：组长单位为国家密码管理局 正开展的研究工程：分组算法应用接口标准 证书认证系统密码及相关安全技术标准 PCI密码卡技术标准 ECC算法应用接口标准 杂凑算法

39、应用接口标准2.4 我国信息安全标准化组织我国信息安全标准化组织nWG4：PKI/PMI工作组 任务：国内外PKI/PMI标准体系的分析；研究PKI/PMI标准体系；国内急用的标准调研；完成一批PKI/PMI基础性标准的制定工作。鉴别与授权工作组。主要负责PKI/PMI 等方面的标准研究，已完成GB/T 20518信息技术 安全技术 公钥基础设施数字证书格式等10多个标准的研究。组长：中国科学院研究生院冯登国 副组长：国家信息安全工程技术研究中心袁文恭、国家信息中心吴亚非 工作组联络处：国家信息中心开展的研究工程：公开密钥和属性证书框架X.509 时间戳标准基于X509的证书管理协议 数字证书

40、状态查询协议PKI组件最小互操作标准 PKI安全支撑平台等证书认证机构运营管理标准 证书载体应用程序接口基于X509的国内数字证书格式标准PKI系统安全保护等级技术要求2.4 我国信息安全标准化组织我国信息安全标准化组织nWG5：信息安全评估工作组 任务：调研国内外测评标准现状与开展趋势；研究提出我国统一测评标准体系的思路和框架；研究提出信息系统和网络的安全测评标准思路和框架；研究提出急需的测评标准工程和制定方案。信息安全评估工作组。负责安全评估方面的标准研究，已完成网上银行系统、网上证券系统等应用系统评估标准以及安全路由器、防火墙、入侵检测系统等产品评估标准，正在开展安全等级保护相关的评估标

41、准研究。组长：解放 信息安全测评认证中心崔书昆副组长：部公共信息网络安全监察局景乾元、国家信息安全评测认证中心李守鹏 工作组联络处：解放 信息安全测评认证中心2.4 我国信息安全标准化组织我国信息安全标准化组织nWG7：信息安全管理工作组 任务：信息安全管理标准体系的研究；国内急用的标准调研；完成一批信息安全管理相关基础性标准的制定工作。已完成ISO/IEC 13335.1-2、ISO/IEC17799等国际标准的采标工作，正在开展ISO/IEC27000系列标准的采标工作，并正在研究风险管理、安全事件管理、灾难备份等。组长：中国电子技术标准化研究所王立建 工作组联络处：中国电子技术标准化研究

42、所 WG7开展的研究工程：信息技术 安全技术 IT安全管理指南 信息技术 信息安全管理实用规则 信息技术 安全技术 系统安全工程能力成熟度模型SSE-CMM2.4 我国信息安全标准化组织我国信息安全标准化组织标准制定情况标准制定情况标准制定情况标准制定情况 截止到截止到20072007年底，信安标委成立后共开展了年底，信安标委成立后共开展了115115项国家标准的制定工项国家标准的制定工作，有一半以上是自主研制的，目前有作，有一半以上是自主研制的，目前有5959项已完成制定，还有项已完成制定，还有5656项在研究项在研究制定中。制定中。在跟踪研究国际标准的同时，我国积极为国际标准作奉献。在跟踪

43、研究国际标准的同时，我国积极为国际标准作奉献。20072007年我年我国提出的信息安全管理体系审核指南和三元实体鉴别两项提案被国提出的信息安全管理体系审核指南和三元实体鉴别两项提案被SC27SC27接受，成为国际标准新工作工程。接受，成为国际标准新工作工程。信安标委未来工作重点信安标委未来工作重点信安标委未来工作重点信安标委未来工作重点 信息安全标准化工作在以后几年中，在重点做好信息安全保障体系建信息安全标准化工作在以后几年中，在重点做好信息安全保障体系建设急需重要标准的同时，要重点抓好信息安全国家标准的宣贯和试点示范设急需重要标准的同时，要重点抓好信息安全国家标准的宣贯和试点示范工作，推进标

44、准的实施应用。工作，推进标准的实施应用。2.4 我国信息安全标准化组织我国信息安全标准化组织 公安信息系统安全标准化技术委员会公安信息系统安全标准化技术委员会 部信息系统安全标准化技术部信息系统安全标准化技术 会主要负责：规划和制定计算机会主要负责：规划和制定计算机信息系统安全保护等级、应用系统安全等级评估检测、计算机信息系统安信息系统安全保护等级、应用系统安全等级评估检测、计算机信息系统安全产品、计算机信息系统安全管理等方面标准。全产品、计算机信息系统安全管理等方面标准。部已发布了部已发布了1414个正式标准，主要涉及计算机病毒检测、等级保护个正式标准，主要涉及计算机病毒检测、等级保护等方面

45、，正在开展等级保护方面的有近等方面，正在开展等级保护方面的有近4040个。个。信息安全标准体系图如信息安全标准体系图如图所示。图所示。2.4 我国信息安全标准化组织我国信息安全标准化组织 此外，此外，、国家保密局、国家密码管理、国家保密局、国家密码管理 会等相继制定、公布会等相继制定、公布了一批信息安全的行业标准，为推动信息安全技术在各行业的应用和普及了一批信息安全的行业标准，为推动信息安全技术在各行业的应用和普及发挥了积极的作用。发挥了积极的作用。中国通信标准化协会网络与信息安全技术工作委员会中国通信标准化协会网络与信息安全技术工作委员会 中国通信标准化协会网络与信息安全技术工作中国通信标准

46、化协会网络与信息安全技术工作 会编号为会编号为TC8TC8，负责组织开展通信行业网络与信息安全标准化工作。负责组织开展通信行业网络与信息安全标准化工作。TC8 TC8现设有现设有4 4个工作组有线网络安全个工作组有线网络安全WG1WG1、无线网络安全、无线网络安全WG2WG2、安、安全管理全管理WG3WG3、安全基础、安全基础WG4WG4，另外还设有安全防护标准和绿色上网标，另外还设有安全防护标准和绿色上网标准准2 2个特设工程组。个特设工程组。三、信息安全标准三、信息安全标准体系体系 3.信息安全标准体系信息安全标准体系 课题目标课题目标 至今，在世界范围内尚未形成统一的、公认的标准体系结构

47、。但是许至今，在世界范围内尚未形成统一的、公认的标准体系结构。但是许多国家、不同部门都在研究自身的信息安全标准体系结构。多国家、不同部门都在研究自身的信息安全标准体系结构。v1 的体系结构的体系结构3.信息安全标准体系信息安全标准体系 WG1 需求安全服务与指南标准（22项）WG2 安全技术和机制标准 （45项）WG3 系统和产品安全评估与认证标准（15项）ISO-JTC/SC27ISO-JTC/SC272ISO标准体系结构标准体系结构 截止到截止到2007年底年底3.信息安全标准体系信息安全标准体系实体安全A 环境安全A10 设备安全A20 媒体安全A30 运行安全B 风险分析B10 审计跟

48、踪B20 备份与恢复B30 应急B40 应急方案辅助软件B41 应急设施B42信息安全C 操作系统安全C10 安全操作系统C11 操作系统 件C12 数据库安全C20 安全数据库系统C21 数据库系统 件C22 网络安全C30 网络安全管理C31 安全网络系统C32 网络系统 件C333 3GA163-1997GA163-1997关于计算机信息系统安全专用产品分类原则关于计算机信息系统安全专用产品分类原则3.信息安全标准体系信息安全标准体系4 4一种信息安全产品与标准体系结构草案一种信息安全产品与标准体系结构草案1、网络通信安全类 7、内容安全类2、身份鉴别类 8、基础平台与中间3、应用安全类

49、 9、恶意代码防治类4、监控与审计类 10、密码基础类5、安全隔离类 11、密码设备类6、数据安全类 12、密码模块类3.信息安全标准体系信息安全标准体系5一种基于通用标准体系结构的信息安全标准体系结构一种基于通用标准体系结构的信息安全标准体系结构国际级国际级区域级区域级企业级企业级国家级国家级行业级行业级地方级地方级产品产品系统系统人员人员服务服务事件事件对象对象基础基础技术技术工作工作管理管理内容内容3.2 我国信息安全标准体系我国信息安全标准体系 信息安全技术标准体系框架信息安全技术标准体系框架 信息安全技术标准从总体上可划分为六大类：基础标准、技术与机制标信息安全技术标准从总体上可划分

50、为六大类：基础标准、技术与机制标准、管理标准、测评标准、密码技术标准和保密技术标准，在每一大类的基准、管理标准、测评标准、密码技术标准和保密技术标准，在每一大类的基础上，可按照标准所涉及的主要内容进行细分。信息安全技术标准体系总体础上，可按照标准所涉及的主要内容进行细分。信息安全技术标准体系总体框架如图所示。框架如图所示。图3.1 信息安全技术标准体系总体框架 3.2 我国信息安全标准体系我国信息安全标准体系 标准体系介绍标准体系介绍基础标准基础标准基础标准基础标准 ：图3.2 基础标准体系框架3.2 我国信息安全标准体系我国信息安全标准体系3.2 我国信息安全标准体系我国信息安全标准体系3.