07信息安全标准0329

1信息安全标准2要点一、信息安全及标准化介绍二、基础标准三、环境与平台安全标准四、安全管理标准五、测评认证标准六、实用产品标准3标准化基础标准：为在一定的范围内获得最佳秩序，对活动或其结果规定共同的和重复使用的规则、导则或特性的文件。强制性标准：保障人体健康、人身、财产安全的标准和法律、行政法规规定强制执行的标准；其它标准是推荐性标准。我国标准分四级：国家标准、行业标准、地方标准、企业标准。4国家标准：对需要在全国范围内统一的技术要求(含标准样品的制作）。行业标准：没有国家标准，需要在全国某个行业范围内统一的技术要求。地方标准：没有国家标准、行业标准而又需要在省、自治区、直辖市范围内统一的工业产品的安全、卫生要求。企业标准：对企业范围内需要统一的技术要求、管理要求和工作要求。标准化基础5标准化基础标准化：为在一定的范围内获得最佳秩序，对实际的或潜在的问题制定共同的和重复使用的规则的活动。实质：通过制定、发布和实施标准，达到统一。目的：获得最佳秩序和社会效益。6标准化基础标准化的基本特性：①抽象性②技术性③经济性④连续性，亦称继承性⑤约束性⑥政策性7标准化基础标准化的地位和作用–标准化为科学管理奠定了基础；–促进经济全面发展，提高经济效益；–标准化是科研、生产、使用三者之间的桥梁；––促进对自然资源的合理利用，保持生态平衡，维护人类社会当前和长远的利益；–合理发展产品品种，提高企业应变能力，以更好地满足社会需求；–保证产品质量，维护消费者利益；–在社会生产组成部分之间进行协调，确立共同遵循的准则，建立稳定的秩序；–在消除贸易障碍，促进国际技术交流和贸易发展，提高产品在国际市场上的竞争能力方面具有重大作用；–保障身体健康和生命安全。大量的环保标准、卫生标准和安全标准制定发布后，用法律形式强制执行，对保障人民的身体健康和生命财产安全具有重大作用。8标准化基础标准化对象–标准化研究对象√标准化学的基本概念√支撑标准化学的理论基础√标准化原理的研究√标准化形式的研究√标准化系统的研究√标准体系的研究√标准化科学管理的研究–标准化工作对象√制定和实施标准：技术基础、产品标准、过程、服务√标准的实施监督9标准化基础国际通行“标准化七原理”：–原理1---简化–原理2---协商一致–原理3---实践、运用–原理4---选择、固定–原理5---修订–原理6---技术要求+试验方法+抽样–原理7---强制性适应于：安全、健康、环保等10标准化基础我国通行“标准化八字原理”：–“统一”原理–“简化”原理–“协调”原理–“最优”化原理11我国标准工作归口单位2001年10月11日成立国家标准化委员会信息技术委员会2002年成立信息安全技术委员会Tc260.org.cn12标准化基础采标：–等同采用：指技术内容相同，没有或仅有编辑性修改，编写方法完全相对应；GB/T19001-2000idtISO9001:2000IDT：等同采用（identical）；MOD：修改采用（modified）–等效采用：指主要技术内容相同，技术上只有很小差异，编写方法完全相对应；–非等效采用：指技术内容有重大差异。13标准化基础标准体系：一定范围内标准按其内在联系形成的科学的有机整体标准体系是具有层次的，我国全国标准体系表可分成五个层次。1、全国通用标准4、门类通用标准3、专业通用标准2、行业通用标准5、产品、过程、服务、管理标准第一层第二层第三层第四层第五层全国标准体系第一层第二层第三层专业标准体系第一层第二层第三层第四层行业标准体系14IT标准化IT标准发展趋势(1)标准逐步从技术驱动向市场驱动方向发展。(2)信息技术标准化机构由分散走向联合。(3)信息技术标准化的内容更加广泛，重点更加突出，从IT技术领域向社会各个领域渗透，涉及教育、文化、医疗、交通、商务等广泛领域，需求大量增加。(4)从技术角度看，IT标准化的重点将放在网络接口、软件接口、信息格式、安全等方面，并向着以技术中立为前提，保证互操作为目的方向发展。15信息安全标准化组织（续）•IECTC56可靠性；TC74IT设备安全和功效；TC77电磁兼容；CISPR无线电干扰特别委员会•ITU前身是CCITT消息处理系统目录系统(X.400系列、X.500系列)安全框架安全模型等标准16信息安全标准化组织（续）•IETF（170多个RFC、12个工作组）1.PGP开发规范(openpgp)；2.鉴别防火墙遍历(aft)；3.通用鉴别技术(cat)；4.域名服务系统安全(dnssec)；5.IP安全协议(ipsec)；6.一次性口令鉴别(otp)；7.X.509公钥基础设施(pkix)；8.S/MIME邮件安全(smime)；9.安全Shell(secsh)；10.简单公钥基础设施(spki)；11.传输层安全(tls)12.Web处理安全(wts)17我国信息安全标准体系•基础标准•环境与平台安全标准•安全管理标准•测评认证标准•实用产品标准18标准化工作标准研究与开发–标准研究–标准开发标准确认–认证受理阶段–证书制作阶段–管委会确认指导测评工作19标准研究研究标准化原理和标准文本，形成标准体系：（1）跟踪国际先进标准；（2）对现有信息安全技术标准以及信息安全技术发展趋势的研究；（3）依据国际标准化组织所颁布的或将要颁布的信息安全标准，参照美国、英国、加拿大等发达国家的信息安全标准化体系，并结合我国的具体国情，研究国家信息安全标准体系；（4）依据ISO/IEC15408（即CC）和信息系统安全工程能力成熟模型（SSE-CMM）等研究信息安全测评认证标准体系；（5）研究ISO/IEC15408“IT安全性评估准则”和ISO/IECPDTR15446“PP和ST产生指南”。20二、基础标准–信息技术安全词汇–信息技术安全体系结构–信息技术安全框架–信息技术安全模型21安全术语国家标准GB/T5271.8-2001《词汇08部分安全》(idtISO2382.8-1996)GJB2256-1994《军用计算机安全术语》22安全体系结构国家标准GB/T9387.2-1995《信息处理系统开放系统互连基本参考模型第2部分：安全体系结构》（idtISO7498-2）RFC2401因特网安全体系结构23安全框架标准安全框架鉴别框架访问控制框架抗抵赖框架机密性框架完整性框架安全审计和告警框架ISO/IEC10181-1~7安全框架标准是安全服务、安全机制及其相应安全协议的基础，是信息系统安全的理论基础24信息安全管理框架(ISO7498-4)信息安全保证框架(ISO/IECWD15443)25安全服务是由安全机制来实现的。一个安全服务可以由一个或几个安全机制来实现；同样，一个安全机制也可用于实现不同的安全服务中。安全服务与安全机制的关系26OSI参考模型与TCP/IP的对应关系OSI参考模型TCP/IP协议集模型应用层表示层应用层会话层传输层传输层网络层互联网层数据链路层物理层网络接口层27加密技术算法注册(ISO/IEC9979:1999)64位块加密算法操作方式(GB/T15277IdtISO8372)随机比特生成(ISO/IECWD18031:2000)素数生成(ISO/IECWD18032:2000)28密钥管理第一部分框架(GB17901-1:1999idtISO/IEC11770.1:1996)第二部分使用对称技术的机制(ISO/IEC11770.2:1998)第三部分使用非对称技术的机制(ISO/IEC11770.3:1998)29鉴别的标准(1)GB15843，2-95实体鉴别机制第一部分——一般模型；(2)GB15843，2-95实体鉴别机制第二部分——对称加密算法的鉴别(3)GB15843，2-95实体鉴别机制第三部分——公开加密算法的鉴别机制(4)GB15843，2-95实体鉴别机制第四部分——加密校验函数机制(5)ISO/IEC9594-82V，3目录：鉴别框架1993ISO/IEC10181-21996(E)鉴别框架30数据完整性机制数据完整性机制标准见GB15852-199531三、环境与平台安全标准物理环境系统运行安全网络平台安全应用平台安全32（一）物理环境涉及到的标准：计算站场地安全要求（GB9361-88）计算站场地技术要求（GB2887-2000）计算机信息系统防雷保安器（GA173-98）计算机机房用活动地板技术条件（GB6650-86）军用通信设备及系统安全要求（GJZB663）33计算站场地是计算机系统的安置地点，计算机供电、空调以及该系统的维修人员和工作人员的工作场所。(1）计算机机房安全等级划分–A类，有完善的计算机机房安全措施–B类，有较完善的计算机机房安全措施–C类，有基本的计算机机房安全措施等级最高34(2）计算站场地选址原则（B类）避开易发生火灾的区域避开存放易燃、易爆及有腐蚀性物品的地方避开低洼、潮湿、落雷区和地震多发地区避开强振动源和强噪声源避开强电磁场避免设在建筑物高层或地下室及用水设备的下层避开重盐害地区如无法避开，应采取相应措施35(3）计算中心或计算机站的区位布局要求计算机机房最小使用面积不得小于20m²数据交换在尽可能少的房间内完成数据交换在尽可能小的范围内完成避免无关人员进入主机房单独设立对外接待室36（4）环境条件对计算机信息系统安全的影响温度对计算机信息系统安全的影响–温度过高使元器件不能正常工作导致设备故障–高温导致电介质绝缘强度降低–导致机械传动部分金属变形，影响正常工作–导致磁介质损坏机房适宜的温度是15-30℃，见GB28874.4.1。37湿度对计算机信息系统安全的影响–高湿度造成导电小路–高湿度影响磁头高速运转，并使磁带打滑–低湿度造成的高静电电压，影响设备正常工作–静电噪声干扰电子线路–静电引起存储器中的信息丢失或错误机房适宜的湿度是40%-70%，见GB28874.4.138灰尘对计算机信息系统安全的影响–灰尘造成磁盘或光盘驱动器读写错误–灰尘妨碍电子元件散热–导电性灰尘降低绝缘性，甚至短路–绝缘性灰尘造成接触不良具体要求见GB28874.4.239地线对计算机信息系统安全的影响–避雷地，防止雷击–交、直流电源地，保护人身和设备安全–安全防护地，防触电–屏蔽地，防电磁干扰和信息泄露–信号地，保证信息系统运行安全具体要求见GB28874.6.2有害气体对计算机信息系统安全的影响（4.12）40计算机中心防火1）起火原因–电器起火–空调加热器起火–人为事故或纵火–其他建筑物起火蔓延所致–记录介质及其他易燃物质起火（5）环境安全保护412）防护措施–建筑材料及机房构件要耐火（见标准GB9361）–将各房间分为脆弱区、危险区和一般区–脆弱区与危险区隔离–设置安全出口，并有明显疏散指示标志–设置应急开关，及时切断电源–设置自动消防系统和人工灭火设备–使用CO2和卤代烷1211，1301灭火剂42计算机中心防水和防潮1）防水–机房最好不要建在顶层或地下室–机房的屋顶和活动地板下不得穿过水管–A、B类机房应安装防水检测和报警装置–专人负责检查阀门开关43计算机中心防水和防潮2）防潮–机房最好不要建在顶层或地下室–加固机房外墙–机房外设置排水沟–设置防潮层–机房地面使用水磨石地面44•信息系统的电源保护–基本供电要求有稳定的电压、频率、足够的容量（见GB2887表4）–使用UPS不间断专用供电设备–各设备不要同时接通电源–电源接地满足要求–机房内不使用任何无线电接收和发射装置，减少电器噪声45•配电系统–计算机系统独立配电时，应使用干式变压器–分电盘应设置在计算机机房内–从分电盘到计算机系统的设备的电缆应为耐燃铜芯屏蔽电缆–设备走线不得与空调、电源的无电磁屏蔽走线平行交叉时，尽量以接近垂直的角度交叉。–计算机系统应选用铜芯电缆，严禁铜铝混用–计算机电源系统的所有接点均应镀铅锡