我国信息技术设备安全标准的演进
信息安全发展历程五个阶段顺序
一是定级。
信息系统运营使用单位按照等级保护管理办法和定级指南,自主确定信息系统的安全保护等级。
有上级主管部门的,应当经上级主管部门审批。
跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。
虽然说的是自主定级,但是也得根据系统实际情况去定级,有行业指导文件的根据指导文件来,没有文件的根据定级指南来,总之一句话合理定级,该是几级就是几级,不要定的高也不要定的低。
二是备案。
第二级以上信息系统定级单位到所在地所在地设区的市级以上公安机关办理备案手续。
省级单位到省公安厅网安总队备案,各地市单位一般直接到市级网安支队备案,也有部分地市区县单位的定级备案资料是先交到区县公安网监大队的,具体根据各地市要求来。
备案的时候带上定级资料去网安部门,一般两份纸质文档,一份电子档,纸质的首页加盖单位公章。
三是系统安全建设。
信息系统安全保护等级确定后,运营使用单位按照管理规范和技术标准,选择管理办法要求的信息安全产品,建设符合等级要求的信息安全设施,建立安全组织,制定并落实安全管理制度。
四是等级测评。
信息系统建设完成后,运营使用单位选择符合管理办法要求的检测机构,对信息系统安全等级状况开展等级测评。
测评完成之后根据发现的安全问题及时进行整改,特别是高危风险。
测评的结论分为:不符合、基本符合、符合。
当然符合基本是不可能的,那是理想状态。
五是监督检查。
公安机关依据信息安全等级保护管理规范及《网络安全法》相关条款,监督检查运营使用单位开展等级保护工作,定期对信息系统进行安全检查。
运营使用单位应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关材料。
其中定级、备案工作原则上是由用户单位自己填写定级备案表交给公安网监部门去进行备案工作,但考虑到实际情况,绝大多数情况下都是用户单位在测评机构的协助下完成这些工作。
系统安全建设和等级测评的工作不一定要严格按照这个顺序开展,可以先测评再整改,也可以先建设再测评。
信息系统安全的发展历程
信息系统安全
与对抗技术
信息系统安全的发展历程
通信保密阶段
信息安全阶段
信息安全保障
❖信息系统安全性更多的是信息的保密性,对安全理论和技术的研究也仅限于密码学,这一阶段的信息安全可以简单称为通信安全,它侧重于保证数据在从一地传送到另外一地时的安全性。
❖上世纪40年代~70年代
•重点是通过密码解决通信保密问题,保证数据的机密性•主要安全威胁是搭线窃听、密码学分析
•主要保护措施是加密
•重要标志:1949年Shannon发表的《保密系统的通信理论》
❖主要保证动态信息在传输过程中不被窃取;
❖即使窃取了也不能读出正确的信息;
❖还要保证数据在传输过程中不被篡改,让读取信息的人能够看到正确无误的信息。
❖
上世纪70~80年代•
主要安全威胁扩展到非法访问、恶意代码、脆弱口令等•
主要保护措施是安全操作系统设计技术(TCB )•主要标志:1985年美国国防部公布的可信计算机系统评估准则(TCSEC )
•
重点是确保计算机系统中硬件、软件及正在处理、存储、传输信息的机密性、完整性、可控性
❖上世纪90年代以来
•强调信息的机密性、完整性、可控性、可用性
•主要安全威胁发展到网络入侵、病毒破坏等
•主要保护措施包括防火墙、防病毒软件、漏洞扫描、入侵检测、PKI、VPN、安全管理等
•主要标志:提出了新的安全评估准则CC(ISO 15408、GB/T 18336)
❖机密性、完整性、可用性、可控制、真实性
❖信息安全的焦点已经不仅仅是传统的机密性、完整性和可用性三个原则了,由此衍生出了诸如可控性、抗抵赖性、真实性等其他的原则和目标 。
GB4943-2011《信息技术设备的安全》
前言
GB4943的本部分的全部技术内容为强制性。
GB4943《信息技术设备的安全》目前拟分为4个部分:
———第1部分:通用要求;
———第21部分:远程馈电;
———第22部分:室外安装设备;
———第23部分:大型数据存储设备 。
本部分为GB4943的第1部分。
本部分按照GB/T1.1—2009给出的规则起草。
e) 适用范围
IEC60950-1:2005适用于预定在海拔2000m 以下和在非热带气候条件下使用的设备,在1.1.2规定对于要在热带气候条件下或在海拔2000m 以上高原使用的设备需要有附加要求。
由于我国地理条件和气候条件的特殊性,以及少数民族人口的分布特点,在对IEC60950-1:2005的部分条款修改后,本部分适用于在海拔5000m 以下(包括5000m)使用的设备和在热带气候条件下使用的设备。对于预定仅在海拔2000m 以下使用的设备,和预定不在热带气候条件下使用的设备,可以采用相应降低的要求,但要进行警告说明。
本部分增加了规范性附录DD,给出了新增加的安全警告标识的说明。
n) 其他修改
根据相关CTL决议和IEC60950-1标准的修订单,本部分对IEC标准中的个别要求或错误进行了更正或编辑性修改。涉及条款1.7,2.1.1.7,2.9.2,表2H,图2H,图F.8,图F.9,图M.3,附录U。
的电压范围。
额定频率或额定频率范围应为50Hz或包含50Hz。
c) 安全说明
对安全说明文字作了明确规定,在1.7增加一段:如无其他规定,所要求的标记和说明中的文字应当使用规范中文。
在1.7.2.1中增加了关于海拔高度和热带气候使用条件的安全警告要求和警告标识。
信息技术设备安全
• 信息技术设备安全概述 • 信息技术设备安全技术 • 信息技术设备安全管理 • 信息技术设备安全法规与标准 • 信息技术设备安全发展趋势与展望
01
信息技术设备安全概述
定义与特点
定义
信息技术设备安全是指保护信息技术 设备和系统免受未经授权的访问、破 坏、篡改、窃取等威胁,确保其正常 运行和数据安全的过程。
国际信息技术设备安全法规与标准
国际电工委员会(IEC)
制定了一系列关于信息技术设备安全的国际标准,如IEC 60950-1和IEC 60950-2-11等,涵盖了设备的安全要求、测试方法和标记等方面。
欧洲共同体(EC)
制定了关于信息技术设备安全的欧洲标准,如EN 60950-1和EN 60950-2-11等, 要求在欧洲市场上销售的信息技术设备必须符合相关标准和规定。
物联网通信安全
物联网设备之间的通信涉及到各种网络协议和通信技术, 因此需要加强物联网通信的安全保护和管理,以确保数据 传输的安全性和可靠性。
物联网应用安全
物联网应用涉及到各个领域,因此需要加强物联网应用的 安全测试和风险评估,以确保应用的安全性和可靠性。
人工智能安全
人工智能算法安全
人工智能算法的复杂性和隐蔽性使得其安全性难以保障。需要加强算法的漏洞分析和攻 击实验,以及制定更加严格的算法评估和审计标准。
其他国家信息技术设备安全法规与标准
美国
美国联邦通信委员会(FCC)负责制 定信息技术设备的电磁兼容性和安全 要求,美国国家标准学会(ANSI)也 制定了一些关于信息技术设备安全的 国家标准。
日本
日本工业标准调查会(JIS)制定了关 于信息技术设备的日本国家标准,如 JIS C 6013《信息技术设备的安全通 用要求》等。
信息技术设备安全
ppt课件
19
机械危险
锐利的边缘对人体的伤害和元器件的损害 运动部件(如风扇的叶片) 产品摆放的不稳定, 易翻倒 外壳材料强度不够 CRT显像管、高压灯
ppt课件
20
辐射、化学危险
X射线的辐射: CRT(显像管)照射量率应小于 0.5mR/H(36pA/kg)
本标准宗旨:对信息技术产品的设计、生产和使用 中的安全起指导性作用。
严格按照本标准设计的产品也不一定绝对安全,还 需具体考虑具体情况(标准的缺陷)
GB4943-2011的全部技术内容为强制性
ppt课件
13
GB4943-2011安全原则
不涉及产品的性能及功能特性。 安全设计总则:
----安全设计的顺序原则; ----考虑的因素:正常、故障、地理环境、工作环境、运输环境; ----考虑对象:维修人员、使用人员(操作人员)
0.5mA就有产生反应。 峰值电压高于42.4V(直流60V)的稳态电压就是危
险电压
ppt课件
16
能量危险
大电流电源或大电容电路的相邻电极间短路时可能导致伤害或着火
在一些电路中,接触安全电压的电路也可能存在危险
ppt课件
17
着火危险
产生原因: 过载, 元件失效, 绝缘击穿, 连接松动都可能产生导
供相当于双重绝缘的防触电保护等级
如下简单示意图
ppt课件
23
绝缘
电源线
ppt课件
可触及部分 附加绝缘
基本绝缘 带电导体
24
一些重要或容易混淆的定义
I类设备(基本绝缘+接地保护)
II类设备(基本绝缘+附加的安全 措施,或加强的安全措施)
信息技术安全标准化研究
信息技术安全标准化研究随着信息技术的不断发展,信息安全问题也越来越显著。
为确保信息系统的安全性,信息技术安全标准化研究逐渐成为一个重要领域。
一、信息技术安全标准化的定义和意义信息技术安全标准化,指的是通过制定安全标准和规范,保障信息技术系统的安全性和完整性。
信息技术安全标准化的意义在于,可以提供一套科学、统一的安全标准与规范,确保各类信息系统的安全性水平达到一定的标准,并为相关信息技术产品的开发、生产、使用、维护及管理提供依据。
二、当前信息技术安全标准化所面临的主要问题1. 标准不统一:由于各个国家和地区对信息技术安全标准的需求、实践、立法及行政管理存在差异,导致相关标准的制定、修订与执行存在分歧。
2. 技术跨度较大:随着信息技术的发展和日趋普及,安全标准和规范也融入了许多新的技术和概念,如物联网、云计算等,导致相关安全标准的复杂性和挑战性增加。
3. 难以贯穿整个信息技术系统:由于信息技术系统需要涉及各个领域和细分领域,涉及面较广,标准化的实施难度大,同时也在一定程度上影响了标准的整体性与协同性。
三、未来信息技术安全标准化的趋势和展望1. 开发全球性密集标准:在未来的信息技术安全标准化中,重点将放在全球化标准上,不断完善和加强各种制度与机构的协调与合作,确保标准体系的完整性和实效性。
2. 加强标准与技术的融合:在标准化的同时,信息技术安全领域应加强与技术创新的联网,引导技术的发展方向与标准制定方向的一致性,将标准制定融入技术创新过程,达到技术与标准的双向推进和发展。
3. 推进信息技术安全人才培养:未来信息技术安全标准化领域需要更多的专业人才参与研究和实施,同时也需要加强人才培养,培养更多的信息技术安全标准化人才,进一步推动信息技术标准进一步理论与实践的深度和广度。
总之,在信息技术快速发展的今天,信息技术安全标准化成为了一个迫切需要解决的问题,未来需要行业和学术界积极推进,不断加强标准化研究与实施,促进信息技术的可持续发展和社会的和谐进步。
计算机信息系统安全 标准
计算机信息系统安全标准计算机信息系统安全是指保护计算机及其相关设备、软件和数据免受未经授权的访问、更改、破坏或泄露的威胁的一系列措施。
在进行计算机信息系统安全的工作中,需要参考相关的标准来指导和规范。
一、国内外计算机信息系统安全标准的发展和现状1. 国际标准:- ISO/IEC 27001信息技术安全技术系列标准:ISO/IEC 27001是国际标准化组织和国际电工委员会在信息安全管理系统(ISMS)方面的合作成果,为组织提供了确定、实施、监督和持续改进信息安全管理系统的要求。
- NIST SP 800系列:美国国家标准与技术研究院(NIST)发布的一系列计算机安全标准,包括一般计算机安全标准(NIST SP 800-53)、云计算安全标准(NIST SP 800-144)等。
2. 国内标准:- 信息安全技术网络安全等级保护基本要求(GB/T 22240-2019):该标准规定了网络安全等级保护的基本要求,包括安全需求划分、系统安全设计、安全评估与测试、安全管理和安全保障等。
- 信息安全技术信息系统安全评估标准(GB/T 22239-2019):该标准规定了信息系统安全评估的基本要求,包括评估方法、评估管理、评估需求、评估过程和评估结果等。
二、计算机信息系统安全标准内容及参考1. 系统规划与设计:- 安全需求分析:明确系统安全目标和需求,识别系统面临的威胁、漏洞和风险。
- 安全架构设计:基于安全需求和风险评估结果,设计安全架构,包括身份认证、访问控制、数据保护等措施。
- 安全策略和政策:制定安全策略和政策,明确组织层面的安全要求和管理措施,包括密码策略、权限管理等。
2. 操作系统和应用软件安全:- 系统和软件配置安全:对操作系统和应用软件进行安全配置,禁用不必要的服务和功能,限制用户权限。
- 漏洞管理和补丁管理:及时获取、评估和应用系统和软件的安全补丁,修复已知漏洞。
- 安全审计和监控:建立日志审计机制,监控系统和软件的安全事件和异常行为,及时响应和处理。
iec 60950-1标准
iec 60950-1标准IEC 60950-1 是一项国际性的电气电子产品安全标准,其全称为"IEC 60950-1: Information technology equipment - Safety - Part 1: General requirements",中文译为"信息技术设备-安全-第1部分:通用要求"。
本文将对这一标准进行解读,包括标准的背景、范围、主要内容、适用领域、测试方法等方面的详细介绍。
一、标准背景IEC 60950-1 标准起源于对信息技术设备(ITE)的安全性要求的关注。
信息技术设备包括计算机、服务器、网络设备等,在其使用中需要满足一系列的电气、机械、热、辐射等方面的安全性要求,以确保用户和环境的安全。
二、标准范围IEC 60950-1 标准主要涵盖了信息技术设备的安全性要求,其中包括但不限于以下方面:电气安全:对设备内部电气元件、电路和电源的安全性要求。
机械安全:设备的机械结构、外壳和连接部分的设计和制造要求,以防止危险的机械伤害。
热安全:设备在正常使用和异常条件下的热特性,以确保不会引起火灾或热伤害。
辐射安全:设备的辐射特性,以防止对人体和其他设备的不良影响。
危险物质控制:对使用危险物质的限制和控制,以符合环保和人体健康的要求。
三、主要内容IEC 60950-1 标准主要包含以下内容:一般要求:对设备的整体设计、生产和测试的一般要求。
电气要求:包括电气元件的要求、绝缘和绝缘距离的要求等。
机械要求:设备的外壳、连接部分、机械强度和稳定性等的要求。
热要求:设备在正常和异常条件下的热性能要求。
辐射要求:设备产生的辐射和对辐射的抗干扰能力要求。
四、适用领域IEC 60950-1 标准适用于广泛的信息技术设备,包括但不限于:个人计算机和工作站服务器和数据中心设备网络设备,如路由器和交换机存储设备,如硬盘和光盘驱动器打印机和复印机视听设备,如电视、音响系统通信设备,如电话和传真机五、测试方法IEC 60950-1 标准中包含了一系列的测试方法,以确保设备在正常和异常条件下的安全性能。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
异” ,其中 , B1 ” B . 为 编号变化表 ”B . ” 、 B2为 基本 内容 变化表 ” ) 的方式给 出了与上 一版标 准 G 4 4 — 0 1信 B 9320( ( 息技术设备 的安全》 的详细差异 内容 。
我 国信息技术设备安全标 准共经历 了 G 4 4 — 5 B 93 8 、
国的国家偏差 的方法对 G ห้องสมุดไป่ตู้ 4 — o 1信息技术设备 的 B 932o {
的安全警告要求和警告标识 ; 附录中给出 了新增加 的 在 安 全警告 标识 说 明与安 全相 关 的说 明示例 的汉 文 、 藏
文、 蒙古文 、 壮文和维文 5 文字的对照表 。 种 该标准也首
次 以资料性 附录 f 录 B ” 附 B 本版 与 G 44 — 0 1的差 B 9320
电气 间隙的要求值 ; ) ( 湿热处理条件 ; ) 限值 ; ) 7 ( 温度 8 ( 过 9 流保 护装置 ; O阴极射线 管 的机 械强度要 求 ; 引用 () 1 (1 1)
标 准和参 考文献 ;1) (2附录 B B内容 的差异 ;1) ( 增加 规 3 范性 附录 ; 4 f) 1 其他修改 。 主要差异为 四个方 面 :一是基 于地理条 件的偏差 。
dovd oifr ain a d c mmu iain tc n lg q i — i/i e , om t n o n o n c to e h oo y e u p
m n- at : ftR q i m ns etP rl a y e u e et 。 S e r )
I C 2 6 — 与 IC 0 5 — 有显著 的差别 , E 6 38 1 E 6 9 0 1 新标 准 原则基于疼痛 和伤 害模 型 , 根据能量 的危 险性 , 能 并 将 量源对人体 的影 响和易燃材料 的影响分 为 3 等级 , 个 影 响人体 的级别有 : 没有 疼痛 、 有感觉 的 , 疼痛 、 但 有 但不
GB 9 3 9 、GB 9 3 1 9 、G 4 4 — 0 1和 GB 9 3 44—0 44—95 B 9320 44—
2 1 五次演进 ,标准 的名称也从 《 0 1 数据 处理设备 的安
全》 《 、信息技术设 备( 电气事务设备) 包括 的安全》 《 、信息 技术设 备的安全》演进到现在的 《 信息技术设备的安全 第1 部分 通用要 求》 。关 于信息技术设备安全标准 的下
电子质量 ( 1第0 期) 22 6 0
我国信息技术设备安全标准的演进
脉 冲试验程序 ” 。
2 0 年 由中华人 民共 和 国信息 产业部提 出并组织 01 中国电子技术标 准化研究所 等效采用 国际标准 IC 5 : E 90 19 { 息技 术设 备 的安全 》第 三版 ) G 4 4 — 9 5 99信 ( 对 B 9 3 19 《 信息技术 设备( 电气事 务设备) 包括 的安全 》 行修订 。 进 20 年 1 月 1 01 1 2日国家质量监督检 验检疫 总局批准发 布 G 4 4 — 0 1《 B 9 3 20 信息 技术 设 备 的安 全 》 ,该 标 准 于 2 0 年 5 1日起强制实施 。G 4 4 — 0 1信息技术 02 月 B 9320{ 设备 的安 全》 G 44 — 9 5 信息技术 设备( 电气 与 B 9 3 19 { 包括 事务设备) 的安全》 的主要变 化为 : 到通信 网络 的安 连接 全要求 已经归并到标准的主题 中, 标准 的内容也重新 编 排, 相关的主题合并在一起 , 这样使用更为方便 ; 同时还 针对各认证组织在使用 中提出的问题进行 了技术更新 。 20 由中华 人 民共和 国工业 和信息 化部提 出并 0 9年 组织工业和信息化部电子第 四研究 院、 工业 和信息化部 电子第五研究所 、 上海市质量监督检验技术研究 院等单 位在 采用了 国际标 准 IC 0 5 — :0 5 信 息技术设 备 E 6 9 0 12 0 ( ( 的安 全 第 1 部分 通用要 求》第 二版) ( 的基础 上 , 加入 我
安全》 进行修订 。2 1 年 1 月 3 0 1 2 0日国家质量监督检验 检疫 总局和 中国 国家标 准化管理委 员会联 合批准发 布 G 4 4 — 0 信息技术设 备 的安全 第 1 B 932 1 1《 部分 通用 要 求 》该标准于 2 1 , 0 2年 1 月 1日起强制实施 。 2 该标准与
一
步发 展 目前 已尘埃落定—— 国际 电工委员 会组织 T C
18 0 技术委员会成立 了特别 H S T工作组( aad ae BD H zr sd B
Sadr ee p et em,基 于危 险 的标准 开发 工作 t ad vl m n a n D o T 组1基于危 险的安 全工程学为基础 , , 用不 同于现行标准 制定理念的方式考虑和规定与安 全相关 的要求 ,已制定 出了可 以取代现行信息技术设备安 全标准 I C6 9 0 1 E 0 5 — 的新标准—— IC6 3 8 1 0 0 0 《 / E 2 6 — : 1— 1音 视频 、 2 信息 与通
国际标准只适用 于海拔 20 0 以下 , 0 米 而我 国由于地理
伤害人 体的 , 害人体 的 ; 有伤 影响易燃材料 的级别 有 : 不
可能引燃材 料 , 能引燃材料 、 能限制火 势 的燃 烧和 可 但 蔓延 , 能够引燃材料 、 火势迅速地燃烧 和蔓延 。 在新标准 中引入能量 危险 的三模块模 型 , 即能量源 、 能量传 递和 人体 , 在模 型中引起疼 痛和伤害的能量源 的能量 通过能 量转移到达人体可能引起伤害 , 了减小可 能引起 伤害 为 的能量转移到人体的可能性 ,需要引入安全 防护措施 。 危险能量源可分为电击危险 、 着火危 险 、 化学 危险 、 机械 危险 、 灼伤危险 、 辐射危险 。根据能量 的危 险 l 标准 引 生, 入 了安全防护三模块模型 , 即能量源 、 安全 防护和人体 , 防护 的手 段包括设 备 自身 的安全 结构 、 装 防护 、 防 安 预 防护 、 技能 防护 、 说明警告和人身防护等 。 标准 中对 电路 特性不再采用 S L T V等分类方式 , E V、N 而是采用 电气 能
国际标准 的技术差异共有 l : ) 4处 ( 电源容差 ; ) 1 ( 电源额 2 定值 的标定 ; ) 全说 明 ; ) (安 3 ( 电源插 头 ; ) 用范 围 ; ) 4 (使 5 ( 6
讯设备 第 1 部分 :安全要求> E 6 3 8 1 0 0 0 u ) C 2 6 — : 1— 1 — ( I 2 A