信息安全體系結(jié)構(gòu)

1、2005年10月15日關(guān)于信息安全標準體系結(jié)構(gòu)關(guān)于信息安全標準體系結(jié)構(gòu)（一）中辦發(fā)（一）中辦發(fā)200320032727號文件指出：號文件指出：“要加強信息安全標準化工作，抓緊制定急需的信要加強信息安全標準化工作，抓緊制定急需的信息安全管理和技術(shù)標準，形成與國際標準相銜接的息安全管理和技術(shù)標準，形成與國際標準相銜接的中國特色的信息安全標準體系。要重視信息安全標中國特色的信息安全標準體系。要重視信息安全標準的貫徹實施，充分發(fā)揮其基礎(chǔ)性、規(guī)范性作用。準的貫徹實施，充分發(fā)揮其基礎(chǔ)性、規(guī)范性作用?！眹倚畔踩珣?zhàn)略報告國家信息安全戰(zhàn)略報告強調(diào)：強調(diào)：“加強信息安全標準化加強信息安全標準化”一、信息安全標

2、準化是國家信息安全保障工作的重要組成部分一、信息安全標準化是國家信息安全保障工作的重要組成部分標準（標準（StandardStandard）定義）定義國際標準化組織和國際電工委員會聯(lián)合發(fā)布的國際標準化組織和國際電工委員會聯(lián)合發(fā)布的ISO/IECISO/IEC第二號指南對標準作了如下定義：第二號指南對標準作了如下定義：二、標準及標準化的基本概念和定義二、標準及標準化的基本概念和定義標準是標準是“為在一定的范圍內(nèi)獲得最佳秩序，對活動為在一定的范圍內(nèi)獲得最佳秩序，對活動或其結(jié)果規(guī)定共同的和重復(fù)使用的規(guī)則、指導(dǎo)原則或其結(jié)果規(guī)定共同的和重復(fù)使用的規(guī)則、指導(dǎo)原則或特性的文件。該文件經(jīng)協(xié)商一致定并經(jīng)一個公認

3、或特性的文件。該文件經(jīng)協(xié)商一致定并經(jīng)一個公認機構(gòu)的批準機構(gòu)的批準”?！皹藴蕬?yīng)以科學(xué)、技術(shù)和經(jīng)驗的綜標準應(yīng)以科學(xué)、技術(shù)和經(jīng)驗的綜合成果為基礎(chǔ)，并以促進最大社會效益為目的合成果為基礎(chǔ)，并以促進最大社會效益為目的”。二、標準及標準化的基本概念和定義二、標準及標準化的基本概念和定義對對“標準標準”的定義可從三個主要方面去理解：的定義可從三個主要方面去理解：1 1、標準是對某一對象（稱之為標準化對象）進、標準是對某一對象（稱之為標準化對象）進行統(tǒng)一描述的一種特殊文件。行統(tǒng)一描述的一種特殊文件。2 2、標準是實現(xiàn)系統(tǒng)功能的工具之一，制定標準、標準是實現(xiàn)系統(tǒng)功能的工具之一，制定標準的目的是為了滿足人類社會的

4、某種需求，取得最的目的是為了滿足人類社會的某種需求，取得最佳經(jīng)濟效益和社會效益。佳經(jīng)濟效益和社會效益。3 3、標準產(chǎn)生有自身的規(guī)律：、標準產(chǎn)生有自身的規(guī)律：二、標準及標準化的基本概念和定義二、標準及標準化的基本概念和定義（1 1）確定標準對象以需求為根據(jù)。）確定標準對象以需求為根據(jù)。（2 2）制定標準以科學(xué)、技術(shù)和經(jīng)驗的綜合成果為基礎(chǔ)。）制定標準以科學(xué)、技術(shù)和經(jīng)驗的綜合成果為基礎(chǔ)。（3 3）與標準的統(tǒng)一化有關(guān)系的各個方面要協(xié)調(diào)一致。）與標準的統(tǒng)一化有關(guān)系的各個方面要協(xié)調(diào)一致。（4 4）標準要經(jīng)過一個公認的（權(quán)威的）機構(gòu)或受權(quán)的）標準要經(jīng)過一個公認的（權(quán)威的）機構(gòu)或受權(quán)的機構(gòu)批準。機構(gòu)批準。（5

5、 5）標準具有系統(tǒng)性和動態(tài)性。）標準具有系統(tǒng)性和動態(tài)性。二、標準及標準化的基本概念和定義二、標準及標準化的基本概念和定義標準化（標準化（StandardizationStandardization）定義）定義國際標準化組織和國際電工委員會聯(lián)合發(fā)布的國際標準化組織和國際電工委員會聯(lián)合發(fā)布的ISO/IECISO/IEC第二號指南對標準化作如下定義：第二號指南對標準化作如下定義：二、標準及標準化的基本概念和定義二、標準及標準化的基本概念和定義“為在一定的范圍內(nèi)獲得最佳秩序，對實際的或為在一定的范圍內(nèi)獲得最佳秩序，對實際的或潛在的問題制定共同的和重復(fù)使用的規(guī)則的活潛在的問題制定共同的和重復(fù)使用的規(guī)則的

6、活動。動。”“”“上述活動特別包括制定、發(fā)布及實施標上述活動特別包括制定、發(fā)布及實施標準的過程準的過程”?！皹藴驶娘@著好處是改進產(chǎn)品、標準化的顯著好處是改進產(chǎn)品、過程和服務(wù)的適用性，防止貿(mào)易壁壘，并便利技過程和服務(wù)的適用性，防止貿(mào)易壁壘，并便利技術(shù)合作術(shù)合作”。對。對“標準化標準化”的定義從三個方面去理的定義從三個方面去理解：解：二、標準及標準化的基本概念和定義二、標準及標準化的基本概念和定義1 1、標準化是一項完整的活動，是一個過程。它、標準化是一項完整的活動，是一個過程。它包括制定標準、發(fā)布標準，貫徹實施標準，對標包括制定標準、發(fā)布標準，貫徹實施標準，對標準的實施進行監(jiān)督檢查，并根據(jù)貫徹

7、中產(chǎn)生的問準的實施進行監(jiān)督檢查，并根據(jù)貫徹中產(chǎn)生的問題，進一步修訂完善標準。題，進一步修訂完善標準。2 2、標準是貫穿于標準化全過程的信息資源。、標準是貫穿于標準化全過程的信息資源。3 3、標準化的目的是取得社會效益和經(jīng)濟效益。、標準化的目的是取得社會效益和經(jīng)濟效益。二、標準及標準化的基本概念和定義二、標準及標準化的基本概念和定義錢學(xué)森在錢學(xué)森在標準化和標準學(xué)研究標準化和標準學(xué)研究一文中指出：一文中指出：“標準化也是一門系統(tǒng)工程，任務(wù)就是設(shè)計、標準化也是一門系統(tǒng)工程，任務(wù)就是設(shè)計、組織和建立全國的標準體系，使它促進社會生組織和建立全國的標準體系，使它促進社會生產(chǎn)力的持續(xù)高速發(fā)展產(chǎn)力的持續(xù)高速發(fā)

8、展”。三、標準化是一門系統(tǒng)工程三、標準化是一門系統(tǒng)工程（一）標準化系統(tǒng)工程主要包括：（一）標準化系統(tǒng)工程主要包括：1 1、標準系統(tǒng)、標準系統(tǒng)它是由許多現(xiàn)成的和新制定的標準組合成的具有明它是由許多現(xiàn)成的和新制定的標準組合成的具有明確目的性、完整性、壽命期的、成文的概念系統(tǒng)。確目的性、完整性、壽命期的、成文的概念系統(tǒng)。標準化系統(tǒng)工程的全部活動就是圍繞著它而展開的。標準化系統(tǒng)工程的全部活動就是圍繞著它而展開的。2 2、標準化工作系統(tǒng)、標準化工作系統(tǒng)這是一個負責(zé)標準系統(tǒng)制定和貫徹實施的，包括人這是一個負責(zé)標準系統(tǒng)制定和貫徹實施的，包括人員、物質(zhì)條件和工具制度在內(nèi)在社會組織系統(tǒng)。員、物質(zhì)條件和工具制度在

9、內(nèi)在社會組織系統(tǒng)。三、標準化是一門系統(tǒng)工程三、標準化是一門系統(tǒng)工程（二）標準化系統(tǒng)工程中兩個分系統(tǒng)的特征（二）標準化系統(tǒng)工程中兩個分系統(tǒng)的特征1 1、標準系統(tǒng)的特征、標準系統(tǒng)的特征（1 1）目的性與整體性）目的性與整體性（2 2）聯(lián)系和協(xié)調(diào)（相關(guān)性）聯(lián)系和協(xié)調(diào)（相關(guān)性）（3 3）動態(tài)性和時效性）動態(tài)性和時效性（4 4）法規(guī)性和靈活性）法規(guī)性和靈活性（5 5）先進性和合理性）先進性和合理性三、標準化是一門系統(tǒng)工程三、標準化是一門系統(tǒng)工程2 2、標準化工作系統(tǒng)的特征、標準化工作系統(tǒng)的特征（1 1）組織上的復(fù)雜性和分散性）組織上的復(fù)雜性和分散性（2 2）體制上的依存性和相對獨立性）體制上的依存性和相

10、對獨立性（3 3）任務(wù)上的立法司法性）任務(wù)上的立法司法性（4 4）業(yè)務(wù)上的技術(shù)）業(yè)務(wù)上的技術(shù)管理性管理性（5 5）活躍性）活躍性三、標準化是一門系統(tǒng)工程三、標準化是一門系統(tǒng)工程（三）信息安全標準化（三）信息安全標準化信息安全標準化是諸多標準化領(lǐng)域中一個新生的信息安全標準化是諸多標準化領(lǐng)域中一個新生的標準化領(lǐng)域，它具備一般標準化領(lǐng)域的特征，同標準化領(lǐng)域，它具備一般標準化領(lǐng)域的特征，同時又有自身的特征，因為信息安全兼具社會科學(xué)、時又有自身的特征，因為信息安全兼具社會科學(xué)、自然科學(xué)以及其他許多相關(guān)學(xué)科的特征。這方面自然科學(xué)以及其他許多相關(guān)學(xué)科的特征。這方面在學(xué)術(shù)界還缺乏深入研究。在學(xué)術(shù)界還缺乏深入研

11、究。三、標準化是一門系統(tǒng)工程三、標準化是一門系統(tǒng)工程四、信息安全標準體系結(jié)構(gòu)四、信息安全標準體系結(jié)構(gòu)（一）一種通用標準系統(tǒng)的體系結(jié)構(gòu)（一）一種通用標準系統(tǒng)的體系結(jié)構(gòu)區(qū)域標準國際標準專業(yè)（部）標 準地方標準企業(yè)標準性質(zhì)維技術(shù)標準管理標準經(jīng)濟標準基礎(chǔ)標準方法標準工作標準產(chǎn)品標準對象維級別維四、信息安全標準體系結(jié)構(gòu)四、信息安全標準體系結(jié)構(gòu)（二）信息安全標準體系結(jié)構(gòu)（二）信息安全標準體系結(jié)構(gòu)至今，在世界范圍內(nèi)尚未形成統(tǒng)一的、公認的標準至今，在世界范圍內(nèi)尚未形成統(tǒng)一的、公認的標準體系結(jié)構(gòu)。但是許多國家、不同部門都在研究自身體系結(jié)構(gòu)。但是許多國家、不同部門都在研究自身的信息安全標準體系結(jié)構(gòu)。的信息安全標準

12、體系結(jié)構(gòu)。 （1 1）美國的體系結(jié)構(gòu)）美國的體系結(jié)構(gòu) 軍用標準軍用標準政府用（保密政府用（保密CLS）標準）標準密碼標準密碼標準商用（非密商用（非密UNCLS）標準）標準四、信息安全標準體系結(jié)構(gòu)四、信息安全標準體系結(jié)構(gòu) （2 2）ISOISO標準體系結(jié)構(gòu)標準體系結(jié)構(gòu) WG1 WG1 需求安全服務(wù)與指南標準（需求安全服務(wù)與指南標準（2222項）項） WG2 WG2 安全技術(shù)和機制標準安全技術(shù)和機制標準 （4545項）項） WG3 WG3 系統(tǒng)和產(chǎn)品安全評估與認證標準（系統(tǒng)和產(chǎn)品安全評估與認證標準（1515項）項）ISO-JTC/SC27四、信息安全標準體系結(jié)構(gòu)四、信息安全標準體系結(jié)構(gòu)（3 3）G

13、A163-1997GA163-1997關(guān)于計算機信息系統(tǒng)關(guān)于計算機信息系統(tǒng)安全專用產(chǎn)品分類原則安全專用產(chǎn)品分類原則實體安全（實體安全（A A） 環(huán)境安全（環(huán)境安全（A10A10） 設(shè)備安全（設(shè)備安全（A20A20） 媒體安全（媒體安全（A30A30） 四、信息安全標準體系結(jié)構(gòu)四、信息安全標準體系結(jié)構(gòu)運行安全（運行安全（B B） 風(fēng)險分析（風(fēng)險分析（B10B10） 審計跟蹤（審計跟蹤（B20B20） 備份與恢復(fù)（備份與恢復(fù)（B30B30） 應(yīng)急（應(yīng)急（B40B40） 應(yīng)急計劃輔助軟件（應(yīng)急計劃輔助軟件（B41B41） 應(yīng)急設(shè)施（應(yīng)急設(shè)施（B42B42）四、信息安全標準體系結(jié)構(gòu)四、信息安全標準體系

14、結(jié)構(gòu)信息安全（信息安全（C C）操作系統(tǒng)安全（）操作系統(tǒng)安全（C10C10） 安全操作系統(tǒng)（安全操作系統(tǒng)（C11C11） 操作系統(tǒng)安全部件（操作系統(tǒng)安全部件（C12C12） 數(shù)據(jù)庫安全（數(shù)據(jù)庫安全（C20C20） 安全數(shù)據(jù)庫系統(tǒng)（安全數(shù)據(jù)庫系統(tǒng)（C21C21） 數(shù)據(jù)庫系統(tǒng)安全部件（數(shù)據(jù)庫系統(tǒng)安全部件（C22C22） 網(wǎng)絡(luò)安全（網(wǎng)絡(luò)安全（C30C30） 網(wǎng)絡(luò)安全管理（網(wǎng)絡(luò)安全管理（C31C31） 安全網(wǎng)絡(luò)系統(tǒng)（安全網(wǎng)絡(luò)系統(tǒng)（C32C32） 網(wǎng)絡(luò)系統(tǒng)安全部件（網(wǎng)絡(luò)系統(tǒng)安全部件（C33C33）四、信息安全標準體系結(jié)構(gòu)四、信息安全標準體系結(jié)構(gòu)（4 4）一種信息安全產(chǎn)品與標準體系結(jié)構(gòu)草案）一種信息安全產(chǎn)

15、品與標準體系結(jié)構(gòu)草案1 1、網(wǎng)絡(luò)通信安全類、網(wǎng)絡(luò)通信安全類 7 7、內(nèi)容安全類、內(nèi)容安全類2 2、身份鑒別類、身份鑒別類 8 8、基礎(chǔ)平臺與中間、基礎(chǔ)平臺與中間3 3、應(yīng)用安全類、應(yīng)用安全類 9 9、惡意代碼防治類、惡意代碼防治類4 4、監(jiān)控與審計類、監(jiān)控與審計類 1010、密碼基礎(chǔ)類、密碼基礎(chǔ)類5 5、安全隔離類、安全隔離類 1111、密碼設(shè)備類、密碼設(shè)備類6 6、數(shù)據(jù)安全類、數(shù)據(jù)安全類 1212、密碼模塊類、密碼模塊類四、信息安全標準體系結(jié)構(gòu)四、信息安全標準體系結(jié)構(gòu)（5 5）一種基于通用標準體系結(jié)構(gòu)的信息安全標準體系結(jié)構(gòu)）一種基于通用標準體系結(jié)構(gòu)的信息安全標準體系結(jié)構(gòu)國際級國際級區(qū)域級區(qū)域

16、級企業(yè)級企業(yè)級國家級國家級行業(yè)級行業(yè)級地方級地方級產(chǎn)品產(chǎn)品系統(tǒng)系統(tǒng)人員人員服務(wù)服務(wù)事件事件對象對象基礎(chǔ)基礎(chǔ)技術(shù)技術(shù)工作工作管理管理內(nèi)容內(nèi)容四、信息安全標準體系結(jié)構(gòu)四、信息安全標準體系結(jié)構(gòu)（6 6）WG5WG5標準體系結(jié)構(gòu)草案標準體系結(jié)構(gòu)草案（一）通用標準（一）通用標準GB-17859GB-17859GB/T-18336GB/T-18336 CEM CEM 四、信息安全標準體系結(jié)構(gòu)四、信息安全標準體系結(jié)構(gòu)（二）產(chǎn)品標準（二）產(chǎn)品標準1 1、安全產(chǎn)品、安全產(chǎn)品（1 1）環(huán)境安全（）環(huán)境安全（TEMPESTTEMPEST、介質(zhì)保護等）、介質(zhì)保護等）（2 2）計算機安全（操作系統(tǒng)、數(shù)據(jù)庫等）計算機安全（操作系統(tǒng)、數(shù)據(jù)庫等）（3 3）網(wǎng)絡(luò)安全（防火墻、病毒防護、漏洞掃描、）網(wǎng)絡(luò)安全（防火墻、病毒防護、漏洞掃描、 入侵檢測）入侵檢測）（4