信息安全標(biāo)準(zhǔn)理論詳解

1、信息安全標(biāo)準(zhǔn)理論詳解課程內(nèi)容（2）2信息安全標(biāo)準(zhǔn)知識(shí)體知識(shí)域信息安全標(biāo)準(zhǔn)化概述知識(shí)子域信息安全標(biāo)準(zhǔn)化概念信息安全相關(guān)標(biāo)準(zhǔn)信息安全標(biāo)準(zhǔn)化組織信息安全評(píng)估標(biāo)準(zhǔn)信息安全國(guó)家標(biāo)準(zhǔn)安全技術(shù)評(píng)估標(biāo)準(zhǔn)發(fā)展歷史信息技術(shù)安全性評(píng)估準(zhǔn)則信息安全國(guó)外標(biāo)準(zhǔn)知識(shí)域：安全標(biāo)準(zhǔn)化概述知識(shí)子域：信息安全標(biāo)準(zhǔn)化概念了解標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化的基本概念和作用3標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化相關(guān)基本概念標(biāo)準(zhǔn)為了在一定范圍內(nèi)獲得最佳秩序，經(jīng)協(xié)商一致制定并由公認(rèn)機(jī)構(gòu)批準(zhǔn)，共同使用的和重復(fù)使用的一種規(guī)范性文件。標(biāo)準(zhǔn)化（GB/T 20000.1-2002）為了在一定范圍內(nèi)獲得最佳秩序，對(duì)現(xiàn)實(shí)問(wèn)題或潛在問(wèn)題制定共同使用和重復(fù)使用的條款的活動(dòng)。國(guó)際標(biāo)準(zhǔn)由國(guó)際標(biāo)準(zhǔn)化組織或

2、國(guó)際標(biāo)準(zhǔn)組織通過(guò)并公開(kāi)發(fā)布的標(biāo)準(zhǔn)國(guó)家標(biāo)準(zhǔn)由國(guó)家標(biāo)準(zhǔn)機(jī)構(gòu)通過(guò)并公開(kāi)發(fā)布的標(biāo)準(zhǔn)國(guó)際標(biāo)準(zhǔn)化組織（ISO）其成員資格向每個(gè)國(guó)家的有關(guān)國(guó)家機(jī)構(gòu)開(kāi)放的標(biāo)準(zhǔn)化組織國(guó)家標(biāo)準(zhǔn)機(jī)構(gòu)在國(guó)家層面上承認(rèn)的，有資格成為相應(yīng)的國(guó)際和區(qū)域標(biāo)準(zhǔn)組織的國(guó)家成員的標(biāo)準(zhǔn)機(jī)構(gòu)（中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)）4標(biāo)準(zhǔn)化的特點(diǎn)、原則；標(biāo)準(zhǔn)的作用特點(diǎn)標(biāo)準(zhǔn)化的對(duì)象：共同的、可重復(fù)的事物標(biāo)準(zhǔn)化的動(dòng)態(tài)性標(biāo)準(zhǔn)化的相對(duì)性標(biāo)準(zhǔn)化的效益原則簡(jiǎn)化統(tǒng)一協(xié)調(diào)優(yōu)化5標(biāo)準(zhǔn)能打破技術(shù)壁壘，標(biāo)準(zhǔn)也能成為新的技術(shù)壁壘作用標(biāo)準(zhǔn)是進(jìn)行貿(mào)易的基本條件標(biāo)準(zhǔn)能夠提高企業(yè)的經(jīng)濟(jì)效益標(biāo)準(zhǔn)能夠提高國(guó)民經(jīng)濟(jì)效益我國(guó)國(guó)家標(biāo)準(zhǔn)的代碼GB 強(qiáng)制性國(guó)家標(biāo)準(zhǔn)GB/T 推薦性國(guó)家標(biāo)準(zhǔn)GB/Z 國(guó)家標(biāo)準(zhǔn)化指

3、導(dǎo)性技術(shù)文件6課程內(nèi)容（2）7信息安全標(biāo)準(zhǔn)知識(shí)體知識(shí)域信息安全標(biāo)準(zhǔn)化概述知識(shí)子域信息安全標(biāo)準(zhǔn)化概念信息安全相關(guān)標(biāo)準(zhǔn)信息安全標(biāo)準(zhǔn)化組織信息安全評(píng)估標(biāo)準(zhǔn)信息安全國(guó)家標(biāo)準(zhǔn)安全技術(shù)評(píng)估標(biāo)準(zhǔn)發(fā)展歷史信息技術(shù)安全性評(píng)估準(zhǔn)則信息安全國(guó)外標(biāo)準(zhǔn)知識(shí)域：信息安全標(biāo)準(zhǔn)化概述知識(shí)子域：信息安全標(biāo)準(zhǔn)化組織了解國(guó)際信息安全標(biāo)準(zhǔn)化組織及其工作了解國(guó)外典型國(guó)家信息安全標(biāo)準(zhǔn)化組織及其工作熟悉我國(guó)信息安全標(biāo)準(zhǔn)化組織及其工作8國(guó)際信息安全標(biāo)準(zhǔn)化組織ISO/IEC JTC1 SC27信息技術(shù) 安全技術(shù)信息安全管理體系工作組密碼與安全機(jī)制工作組安全評(píng)估準(zhǔn)則工作組安全控制與服務(wù)工作組身份管理與隱私技術(shù)工作組國(guó)際標(biāo)準(zhǔn)提案ISMS審核指南國(guó)

4、際標(biāo)準(zhǔn)提案三元實(shí)體鑒別國(guó)際標(biāo)準(zhǔn)信息安全事件管理合作編輯國(guó)際標(biāo)準(zhǔn)提案基于三元實(shí)體鑒別的訪問(wèn)控制方法9美國(guó)標(biāo)準(zhǔn)化組織ANSINCITS-T4 制定IT安全技術(shù)標(biāo)準(zhǔn)X9 制定金融業(yè)務(wù)標(biāo)準(zhǔn)X12 制定商業(yè)交易標(biāo)準(zhǔn) (EDI)NIST負(fù)責(zé)聯(lián)邦政府非密敏感信息FIPSDOD負(fù)責(zé)涉密信息NSA國(guó)防部指令（DODDI）（如TCSEC）IEEESILSP136310我國(guó)標(biāo)準(zhǔn)化組織1984年，成立數(shù)據(jù)加密技術(shù)分委員，后來(lái)改為信息技術(shù)安全分技術(shù)委員會(huì) 2002年4月，為加強(qiáng)信息安全標(biāo)準(zhǔn)的協(xié)調(diào)工作，國(guó)家標(biāo)準(zhǔn)委決定成立全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（信安標(biāo)委，TC260），由國(guó)家標(biāo)準(zhǔn)委直接領(lǐng)導(dǎo)，對(duì)口ISO/IEC JTC

5、1 SC27；秘書(shū)處設(shè)在中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究所；委員會(huì)由30多個(gè)部門(mén)和單位的49名領(lǐng)導(dǎo)和專(zhuān)家組成目前共有工作組成員單位165家，其中企業(yè)120家國(guó)標(biāo)委高新函20041號(hào)文決定，自2004年1月起，各有關(guān)部門(mén)在申報(bào)信息安全國(guó)家標(biāo)準(zhǔn)計(jì)劃項(xiàng)目時(shí)，必須經(jīng)信息安全標(biāo)委會(huì)提出工作意見(jiàn)，協(xié)調(diào)一致后由信息安全標(biāo)委會(huì)組織申報(bào)；在國(guó)家標(biāo)準(zhǔn)制定過(guò)程中，標(biāo)準(zhǔn)工作組或主要起草單位要與信息安全標(biāo)委會(huì)積極合作，并由信息安全標(biāo)委會(huì)完成國(guó)家標(biāo)準(zhǔn)送審、報(bào)批工作。11TC260各部門(mén)的職責(zé)秘書(shū)處：是委員會(huì)的常設(shè)辦事機(jī)構(gòu)，負(fù)責(zé)委員會(huì)的日常事務(wù)工作信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組（WG1）：研究信息安全標(biāo)準(zhǔn)體系、需求；跟蹤國(guó)際標(biāo)準(zhǔn)發(fā)展動(dòng)

6、態(tài)；提出新工作項(xiàng)目及設(shè)立新工作組的建議；協(xié)調(diào)各工作組項(xiàng)目涉密信息系統(tǒng)安全保密標(biāo)準(zhǔn)工作組（WG2）：研究提出涉密信息系統(tǒng)安全保密標(biāo)準(zhǔn)體系；制定涉密保密相關(guān)標(biāo)準(zhǔn)密碼技術(shù)標(biāo)準(zhǔn)工作組（WG3）：研究提出商用密碼技術(shù)標(biāo)準(zhǔn)體系；制定商用密碼相關(guān)標(biāo)準(zhǔn)鑒別與授權(quán)工作組（WG4）：研究提出鑒別與授權(quán)標(biāo)準(zhǔn)體系；制定鑒別與授權(quán)相關(guān)標(biāo)準(zhǔn)信息安全評(píng)估工作組（WG5）：研究提出測(cè)評(píng)標(biāo)準(zhǔn)體系；制定測(cè)評(píng)相關(guān)標(biāo)準(zhǔn)通信安全標(biāo)準(zhǔn)工作組（WG6）：研究提出通信安全標(biāo)準(zhǔn)體系；制定通信安全相關(guān)標(biāo)準(zhǔn)信息安全管理工作組（ WG7）：研究提出信息安全管理標(biāo)準(zhǔn)體系；制定信息安全管理相關(guān)標(biāo)準(zhǔn)12課程內(nèi)容（2）13信息安全標(biāo)準(zhǔn)知識(shí)體知識(shí)域信息安全標(biāo)

7、準(zhǔn)化概述知識(shí)子域信息安全標(biāo)準(zhǔn)化概念信息安全相關(guān)標(biāo)準(zhǔn)信息安全標(biāo)準(zhǔn)化組織信息安全評(píng)估標(biāo)準(zhǔn)信息安全國(guó)外標(biāo)準(zhǔn)信息安全國(guó)家標(biāo)準(zhǔn)安全技術(shù)評(píng)估標(biāo)準(zhǔn)發(fā)展歷史信息技術(shù)安全性評(píng)估準(zhǔn)則知識(shí)域：信息安全相關(guān)標(biāo)準(zhǔn)知識(shí)子域：信息安全國(guó)家標(biāo)準(zhǔn) 了解我國(guó)信息安全標(biāo)準(zhǔn)體系框架掌握信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系，熟悉信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)14信息安全標(biāo)準(zhǔn)體系信息安全標(biāo)準(zhǔn)體系是由信息安全領(lǐng)域內(nèi)具有內(nèi)在聯(lián)系的標(biāo)準(zhǔn)組成的科學(xué)有機(jī)整體，是編制信息安全標(biāo)準(zhǔn)制訂/修訂計(jì)劃的重要依據(jù)，是促進(jìn)信息安全領(lǐng)域內(nèi)的標(biāo)準(zhǔn)組成趨向科學(xué)化合理化的手段；是一幅現(xiàn)有、應(yīng)有和預(yù)計(jì)制定的信息安全標(biāo)準(zhǔn)的藍(lán)圖，并隨著科學(xué)技術(shù)的發(fā)展不斷地完善和更新。15我國(guó)信息安全標(biāo)準(zhǔn)體系

8、框架我國(guó)信息安全標(biāo)準(zhǔn)體系，是在總結(jié)各工作組對(duì)本領(lǐng)域標(biāo)準(zhǔn)體系研究成果的基礎(chǔ)上形成的，是全國(guó)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)各工作組共同的工作成果。是在跟蹤分析了國(guó)際信息安全標(biāo)準(zhǔn)的發(fā)展動(dòng)態(tài)和國(guó)內(nèi)信息安全標(biāo)準(zhǔn)需求的基礎(chǔ)上，提出的標(biāo)準(zhǔn)體系框架和標(biāo)準(zhǔn)體系表。16我國(guó)信息安全技術(shù)標(biāo)準(zhǔn)從總體上劃分為六大類(lèi)，每類(lèi)按照標(biāo)準(zhǔn)所涉及的主要內(nèi)容細(xì)分若干小類(lèi)。知識(shí)域：信息安全相關(guān)標(biāo)準(zhǔn)知識(shí)子域：信息安全國(guó)家標(biāo)準(zhǔn) 了解我國(guó)信息安全標(biāo)準(zhǔn)體系框架掌握信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系，熟悉信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)1718十大標(biāo)準(zhǔn)基礎(chǔ)類(lèi)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB 17859-1999信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南GB/T 25058-201

9、0 應(yīng)用類(lèi)定級(jí)：信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南GB/T 22240-2008 建設(shè)：信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T 22239-2008 信息系統(tǒng)通用安全技術(shù)要求GB/T 20271-2006 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求GB/T 25070-2010 測(cè)評(píng)：信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求 GB/T 28448-2012 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南 GB/T 28449-2012管理：信息系統(tǒng)安全管理要求GB/T 20269-2006 信息系統(tǒng)安全工程管理要求GB/T 20282-2006 19其它相關(guān)標(biāo)準(zhǔn)20技術(shù)類(lèi)GB/T 21052-2007 信息安全技術(shù) 信息系統(tǒng)物理安全技術(shù)

10、要求GB/T 20270-2006 信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T 20272-2006 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求GB/T 20273-2006 信息安全技術(shù) 數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求其他信息產(chǎn)品、信息安全產(chǎn)品相關(guān)標(biāo)準(zhǔn).其他類(lèi)GB/T 20984-2007 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范GB/Z 24364-2009信息安全技術(shù) 信息安全風(fēng)險(xiǎn)管理指南GB/T 24363-2009信息安全技術(shù) 信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范GB/Z 20285-2007 信息安全技術(shù) 信息安全事件管理指南GB/Z 20986-2007 信息安全技術(shù) 信息安全事件分類(lèi)分級(jí)指南GB/T 209

11、88-2007 信息安全技術(shù) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范 7、系統(tǒng)服務(wù)安全等級(jí)定級(jí)指南GB/T 22240-2008保護(hù)對(duì)象受到破壞時(shí)受侵害的客體對(duì)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)等級(jí)保護(hù)定級(jí)方法保護(hù)對(duì)象對(duì)客體的侵害程度客體：社會(huì)關(guān)系受侵害的客體信息系統(tǒng)安全系統(tǒng)服務(wù)安全業(yè)務(wù)信息安全3、綜合評(píng)定對(duì)客體的侵害程度2、確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體6、綜合評(píng)定對(duì)客體的侵害程度5、確定系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體4、業(yè)務(wù)信息安全等級(jí)8、定級(jí)對(duì)象的安全保護(hù)等級(jí)8MAX（4，7）

12、1、確定定級(jí)對(duì)象（系統(tǒng)邊界）一般流程等級(jí)確定21控制點(diǎn)控制項(xiàng)安全要求類(lèi)層面一級(jí)二級(jí)三級(jí)四級(jí)一級(jí)二級(jí)三級(jí)四級(jí)技術(shù)要求物理安全71010109193233網(wǎng)絡(luò)安全36779183332主機(jī)安全46796193236應(yīng)用安全479117193136數(shù)據(jù)安全及備份恢復(fù)233324811管理要求安全管理制度2333371114安全管理機(jī)構(gòu)4555492020人員安全管理45557111618系統(tǒng)建設(shè)管理99111120284548系統(tǒng)運(yùn)維管理912131318416270合計(jì)/4866737785175290318級(jí)差/1874/9011528基本要求GB/T 22239-200822實(shí)施指南GB/T

13、25058-2010等級(jí)變更局部調(diào)整信息系統(tǒng)定級(jí)總體安全規(guī)劃安全設(shè)計(jì)與實(shí)施安全運(yùn)行維護(hù)信息系統(tǒng)終止國(guó)家管理部門(mén)（4家）信息系統(tǒng)主管部門(mén)信息系統(tǒng)運(yùn)營(yíng)、使用單位信息安全服務(wù)機(jī)構(gòu)信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)信息安全產(chǎn)品供應(yīng)商23測(cè)評(píng)要求 - GB/T 28448-2012測(cè)評(píng)強(qiáng)度信息系統(tǒng)安全等級(jí)第一級(jí)第二級(jí)第三級(jí)第四級(jí)訪談廣度種類(lèi)和數(shù)量上抽樣，種類(lèi)和數(shù)量都較少種類(lèi)和數(shù)量上抽樣，種類(lèi)和數(shù)量都較多數(shù)量上抽樣，基本覆蓋數(shù)量上抽樣，基本覆蓋深度簡(jiǎn)要充分較全面全面檢查廣度種類(lèi)和數(shù)量上抽樣，種類(lèi)和數(shù)量都較少種類(lèi)和數(shù)量上抽樣，種類(lèi)和數(shù)量都較多數(shù)量上抽樣，基本覆蓋數(shù)量上抽樣，基本覆蓋深度簡(jiǎn)要充分較全面全面測(cè)試廣度種類(lèi)和數(shù)量

14、、范圍上抽樣，種類(lèi)和數(shù)量都較少，范圍小種類(lèi)和數(shù)量、范圍上抽樣，種類(lèi)和數(shù)量都較多,范圍大數(shù)量、范圍上抽樣，基本覆蓋數(shù)量、范圍上抽樣，基本覆蓋深度功能測(cè)試/性能測(cè)試功能測(cè)試/性能測(cè)試功能測(cè)試/性能測(cè)試，滲透測(cè)試功能測(cè)試/性能測(cè)試，滲透測(cè)試24測(cè)評(píng)過(guò)程指南 - GB/T 28449-2012方案編制測(cè)評(píng)準(zhǔn)備分析與報(bào)告編制現(xiàn)場(chǎng)測(cè)評(píng)項(xiàng)目啟動(dòng)、信息收集和分析、工具和表單準(zhǔn)備測(cè)評(píng)對(duì)象確定、測(cè)評(píng)指標(biāo)確定、測(cè)試工具接入點(diǎn)確定、測(cè)評(píng)內(nèi)容確定、測(cè)評(píng)實(shí)施手冊(cè)開(kāi)發(fā)、測(cè)評(píng)方案編制現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備（一般包括：訪談、文檔審查、配置檢查、工具測(cè)試和實(shí)地察看）、現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄、結(jié)果確認(rèn)和資料歸還單項(xiàng)測(cè)評(píng)結(jié)果判定、單元測(cè)評(píng)結(jié)果判定

15、、整體測(cè)評(píng)、風(fēng)險(xiǎn)分析、等級(jí)測(cè)評(píng)結(jié)論形成、測(cè)評(píng)報(bào)告編制25文檔R&R課程內(nèi)容（2）26信息安全標(biāo)準(zhǔn)知識(shí)體知識(shí)域信息安全標(biāo)準(zhǔn)化概述知識(shí)子域信息安全標(biāo)準(zhǔn)化概念信息安全相關(guān)標(biāo)準(zhǔn)信息安全標(biāo)準(zhǔn)化組織信息安全評(píng)估標(biāo)準(zhǔn)信息安全國(guó)外標(biāo)準(zhǔn)信息安全國(guó)家標(biāo)準(zhǔn)安全技術(shù)評(píng)估標(biāo)準(zhǔn)發(fā)展歷史信息技術(shù)安全性評(píng)估準(zhǔn)則知識(shí)域：信息安全相關(guān)標(biāo)準(zhǔn)知識(shí)子域：信息安全國(guó)外標(biāo)準(zhǔn) 了解國(guó)際信息安全標(biāo)準(zhǔn)體系了解國(guó)外典型國(guó)家信息安全標(biāo)準(zhǔn)體系了解與自身工作密切相關(guān)的信息安全國(guó)際標(biāo)準(zhǔn)27國(guó)際信息安全標(biāo)準(zhǔn)體系框架28國(guó)際信息安全標(biāo)準(zhǔn)體系信息安全管理體系標(biāo)準(zhǔn)密碼技術(shù)與安全機(jī)制標(biāo)準(zhǔn)安全評(píng)價(jià)準(zhǔn)則標(biāo)準(zhǔn)安全控制與服務(wù)標(biāo)準(zhǔn)身份管理與隱私保護(hù)技術(shù)標(biāo)準(zhǔn)詞匯標(biāo)準(zhǔn)要求標(biāo)準(zhǔn)指

16、南標(biāo)準(zhǔn)相關(guān)標(biāo)準(zhǔn)為實(shí)現(xiàn)保密性、完整性和可用性而開(kāi)發(fā)的各種安全機(jī)制標(biāo)準(zhǔn)安全評(píng)價(jià)標(biāo)準(zhǔn)安全功能和保證規(guī)范針對(duì)潛在/顯現(xiàn)信息安全問(wèn)題的標(biāo)準(zhǔn)針對(duì)已知信息安全問(wèn)題的標(biāo)準(zhǔn)針對(duì)信息安全違反和損害的標(biāo)準(zhǔn)身份管理相關(guān)標(biāo)準(zhǔn)生物識(shí)別相關(guān)標(biāo)準(zhǔn)隱私保護(hù)相關(guān)標(biāo)準(zhǔn)ISO 27000ISO 27001ISO 27006ISO 27002ISO 27003ISO 18033ISO 19772.ISO 15408ISO 18045 .ISO 19790ISO 24759 .ISO 27032ISO 27033ISO 27037ISO 24760ISO 29144ISO 29100國(guó)外典型國(guó)家信息安全標(biāo)準(zhǔn)體系框架29美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)

17、協(xié)會(huì)(NIST)從風(fēng)險(xiǎn)管理的各個(gè)階段、環(huán)節(jié)的需要為出發(fā)點(diǎn)，開(kāi)發(fā)了一系列的信息安全標(biāo)準(zhǔn)規(guī)范文件SP-800系列：Security Control Monitoring安全控制措施監(jiān)視Security Categorization安全分類(lèi)Security Control Selection安全控制措施選擇Security Control Refinement安全控制措施改進(jìn)Security Control Documentation安全控制措施文檔編制Security Control Implementation安全控制措施實(shí)施Security Control Assessment安全控制措施評(píng)估

18、Security Authorization安全授權(quán) 起始點(diǎn)風(fēng)險(xiǎn)管理SP 800-37/SP 800-53AFIPS 199/SP 800-60FIPS 200/SP 800-53SP 800-53/SP 800-30SP 800-18SP 800-70SP 800-53ASP 800-37ISO 27000標(biāo)準(zhǔn)族、SP 800系列標(biāo)準(zhǔn)30ISO 27000標(biāo)準(zhǔn)族、SP 800系列標(biāo)準(zhǔn)介紹參見(jiàn)CISP0301信息安全管理體系。ISO 27001標(biāo)準(zhǔn)的詳細(xì)內(nèi)容參見(jiàn)CISP0301信息安全管理體系。ISO 27002標(biāo)準(zhǔn)的詳細(xì)內(nèi)容參見(jiàn)CISP0303信息安全管基本措施、 CISP0304信息安全管

19、重要管理過(guò)程。課程內(nèi)容（2）31信息安全標(biāo)準(zhǔn)知識(shí)體知識(shí)域信息安全標(biāo)準(zhǔn)化概述知識(shí)子域信息安全標(biāo)準(zhǔn)化概念信息安全相關(guān)標(biāo)準(zhǔn)信息安全標(biāo)準(zhǔn)化組織信息安全評(píng)估標(biāo)準(zhǔn)信息安全國(guó)家標(biāo)準(zhǔn)安全技術(shù)評(píng)估標(biāo)準(zhǔn)發(fā)展歷史信息技術(shù)安全性評(píng)估準(zhǔn)則信息安全國(guó)外標(biāo)準(zhǔn)知識(shí)域：信息安全評(píng)估標(biāo)準(zhǔn)安全技術(shù)評(píng)估標(biāo)準(zhǔn)發(fā)展歷史 了解安全技術(shù)評(píng)估標(biāo)準(zhǔn)發(fā)展過(guò)程理解GB/T18336信息技術(shù)安全性評(píng)估準(zhǔn)則（CC）的特點(diǎn)信息技術(shù)安全性評(píng)估準(zhǔn)則 了解CC的結(jié)構(gòu)理解CC的術(shù)語(yǔ)（TOE、PP、ST、EAL）和基本思想了解使用CC進(jìn)行信息技術(shù)產(chǎn)品安全性評(píng)估的基本過(guò)程了解通用評(píng)估方法（CEM）32安全標(biāo)準(zhǔn)的發(fā)展33ITSEC 1991CC 1.01996ISO1

20、5408 1999CC 2.01998GB/T 18336 2001CD1997GIB 2646 1996GB 17859 1999ISO15408 2005TCSEC 1985FC 1992CTCPEC 1993GB/T 18336 2008FCD1998安全被定義為保密性、完整性、可用性功能和質(zhì)量/保證分開(kāi)對(duì)產(chǎn)品和系統(tǒng)的評(píng)估都適用，提出評(píng)估對(duì)象（TOE）的概念產(chǎn)品：能夠被集成在不同系統(tǒng)中的軟件或硬件包；系統(tǒng)：具有一定用途、處于給定操作環(huán)境的特殊安全裝置美國(guó)的安全評(píng)測(cè)標(biāo)準(zhǔn)(TCSEC)、歐洲的安全評(píng)測(cè)標(biāo)準(zhǔn)(ITSEC)美國(guó)的安全評(píng)測(cè)標(biāo)準(zhǔn)(TCSEC)1970年由美國(guó)國(guó)防科學(xué)委員會(huì)提出。198

21、5年公布。主要軍用，延用至民用。安全級(jí)從高到低分A、B、C、D四級(jí)，級(jí)下再分小類(lèi)(A1、B3、B2、B1、C2、C1、D)分級(jí)分類(lèi)主要依據(jù)四個(gè)準(zhǔn)則：安全策略、可控性、保證能力、文檔局限性34集中考慮數(shù)據(jù)保密性，而忽略了數(shù)據(jù)完整性、系統(tǒng)可用性等；將安全功能和安全保證混在一起安全功能規(guī)定得過(guò)為嚴(yán)格，不便于實(shí)際開(kāi)發(fā)和測(cè)評(píng)歐洲的安全評(píng)測(cè)標(biāo)準(zhǔn)(ITSEC)以超越TCSEC為目的，將安全概念分為功能與功能評(píng)估兩部分。功能分F1-F10共10級(jí)。15級(jí)對(duì)應(yīng)于TCSEC的D到A。610級(jí)加上了以下概念：F6：數(shù)據(jù)和程序的完整性 F7：系統(tǒng)可用性 F8：數(shù)據(jù)通信完整性 F9：數(shù)據(jù)通信保密性F10：包括機(jī)密性和完

22、整性的網(wǎng)絡(luò)安全評(píng)估準(zhǔn)則分為6級(jí)：E1E6與TCSEC的不同加拿大的評(píng)測(cè)標(biāo)準(zhǔn)(CTCPEC)、美國(guó)聯(lián)邦準(zhǔn)則(FC) 加拿大的評(píng)測(cè)標(biāo)準(zhǔn)(CTCPEC)1989年公布，專(zhuān)為政府需求而設(shè)計(jì)與ITSEC類(lèi)似，將安全分為功能性需求和保證性需要兩部分功能性要求分為四個(gè)大類(lèi)：a機(jī)密性 b完整性 c可用性 d可控性在每種安全需求下又分小類(lèi)05級(jí)，表示安全性上的差別35美國(guó)聯(lián)邦準(zhǔn)則(FC)對(duì)TCSEC的升級(jí)1992年12月公布引入了“保護(hù)輪廓（PP）”這一重要概念每個(gè)輪廓都包括功能部分、開(kāi)發(fā)保證部分和評(píng)測(cè)部分分級(jí)方式與TCSEC不同，吸取了ITSEC、CTCPEC中的優(yōu)點(diǎn)供美國(guó)政府用，民用和商用通用準(zhǔn)則（CC ）

23、國(guó)際標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種準(zhǔn)則的努力結(jié)果；1999年正式成為國(guó)際標(biāo)準(zhǔn)ISO/IEC 15408；充分突出“保護(hù)輪廓”，將評(píng)估過(guò)程分“功能”和“保證”兩部分；CC 基于風(fēng)險(xiǎn)管理理論，對(duì)安全模型、安全概念和安全功能進(jìn)行了全面系統(tǒng)描繪，強(qiáng)化了評(píng)估保證；是目前最全面的評(píng)價(jià)準(zhǔn)則。國(guó)際上認(rèn)同的表達(dá)IT安全的體系結(jié)構(gòu)，一組規(guī)則集一種評(píng)估方法，其評(píng)估結(jié)果國(guó)際互認(rèn)通用的表達(dá)方式，便于理解靈活的架構(gòu)，可以定義自己的要求擴(kuò)展CC要求通用評(píng)估方法(CEM)是CC標(biāo)準(zhǔn)出版后，為了在評(píng)估中應(yīng)用CC而提供的一種通用方法。是與CC配套的文檔。36知識(shí)域：信息安全評(píng)估標(biāo)準(zhǔn)安全技術(shù)評(píng)估標(biāo)準(zhǔn)發(fā)展歷史 了解安全技術(shù)評(píng)估標(biāo)準(zhǔn)發(fā)展過(guò)程理解GB/T18336信息技術(shù)安全性評(píng)估準(zhǔn)則（CC）的優(yōu)點(diǎn)信息技術(shù)安全性評(píng)估準(zhǔn)則 了解CC的結(jié)構(gòu)理解CC的術(shù)語(yǔ)（TOE、PP、ST、EAL）和基本思想了解使用CC進(jìn)行信息技術(shù)產(chǎn)品安全性評(píng)估的基本過(guò)程了解通用評(píng)估方法（CEM）3