《国内外信息安全标准化情况》

合集下载

国内外信息安全标准

国内外信息安全标准姓名杨直霖信息安全标准是解决有关信息安全的产品和系统在设计、研发、生产、建设、使用、检测认证中的一致性、可靠性、可控性，先进性和符合性的技术规范和技术依据。

因此，世界各国越来越重视信息安全产品认证标准的制修订工作。

国外信息安全标准发展现状:CC标准(Common Criteria for Information Technology Security Evaluation)是信息技术安全性评估标准，用来评估信息系统和信息产品的安全性。

CC标准源于世界多个国家的信息安全准则规范，包括欧洲ITSEC、美国TCSEC（桔皮书）、加拿大CTCPEC 以及美国的联邦准则(Federal Criteria)等，由6个国家（美国国家安全局和国家技术标准研究所、加拿大、英国、法国、德国、荷兰）共同提出制定。

国际上，很多国家根据CC标准实施信息技术产品的安全性评估与认证。

1999年被转化为国际标准ISO/IEC15408-1999《Information technology-Security techniques-Evaluation criteria for IT security》，目前，最新版本ISO/IEC15408-2008采用了。

用于CC评估的配套文档CEM标准(Common Methodology for Information Technology Security Evaluation)提供了通用的评估方法，并且跟随CC标准版本的发展而更新。

CEM标准主要描述了保护轮廓(PP-Protection Profile)、安全目标(ST-Security Target)和不同安全保证级产品的评估要求和评估方法。

CEM标准于2005年成为国际标准ISO/IEC18045《Information technology-Security techniques-Methodology for ITsecurity evaluation》。

国内外信息安全标准与信息安全模型 ppt课件

第5部分
2003
2004
2005
2006
2007
2008
2008
2003
2004
GAISP3.0 ISO15408更新
2006
2007
ISO13335第信息安全
1&2部分更新等级管理办法
2005 NIST800-53
N
W
E
S
Page 1
PPT课件
第4页
4
主要的信息安全标准－国际标准
发布的机构
安全标准
术委员会
• 信息安全技术信息系统安全等级保护基本要求
• 信息安全技术信息系统安全等级保护定级指南
• 信息安全技术信息系统安全等级保护实施指南
其他信息安全标准－截至2007年底，共完成了国家标准59项，还有56项国家标准在研制中。
2 公安部、安全部、国家一系列的信息安全方面的政策法规如：
保密局、国家密码管理委员会等部门
• 计算机信息网络国际联网安全保护管理办法 • 互联网信息服务管理办法
• 计算机信息系统保密管理暂行规定
• 计算机软件保护条例
• 商用密码管理条例，等。
第8页
第8页
课程主要内容
在下面的课程中，我们会主要介绍以下标准：
1. ISO系列安全标准，包括 • ISO17799/ISO27001/ISO27002 • ISO/IEC 15408 • ISO/IEC 13335 • ISO/TR 13569
– ISO/IEC 13335
– ISO/TR 13569
PPT课件
第 11 页
11
关于ISO/IEC 17799/27001/27002

TC8-WG2-2005-202：国内外信息安全标准情况介绍

4,IEEE
– 802.10 SILS – P1363 Public-Key Cryptography – 802.11i
5,ETSI
TC ESI Electronic Signatures & Infrastructures TC LI Lawful Interception SAGE Security Algorithms
3,CCSA TC8
– WG2正在开展的项目
2004H176移动通信智能卡安全技术要求手机终端安全要求 CDMA2000 系统的安全技术要求 2004H177.2基于PKI的移动通信用户与应用服务之间端到端安全通信第2部分:密钥管理 2004H177.3基于PKI的移动通信用户与应用服务之间端到端安全通信第3部分:认证机制
6,3GPP和3GPP2
3GPP TSG SA WG3 (Security) 3GPP2 TSG-S WG4 (Security)
7,其他
ECMA
– TC32——"通信,网络和系统互连"曾定义了开放系统应用层安全结构 – TC36——"IT安全"负责信息技术设备的安全标准
ATM论坛
OASIS-OPEN ANSI NCITS-T4 制定IT安全技术标准 NIST 负责联邦政府非密敏感信息
三,工作重点(续)
– 下一代网络安全
NGN安全体系与框架 IPV6的安全性软交换安全框架以及相应的安全通信模型,协议,算法等下一代网络监控技术(如VoIP,Wi-Fi, WiMAX的监管,IPSec监控等)研究
三,工作重点(续)
– 无线通信安全
3G,B3G(超3G)和4G的安全性 WLAN的安全性超宽带无线通信(UWB)的安全性移动宽带无线接入(MBWA)的安全性卫星定位和同步的安全保障家庭网络安全技术,包括安全模型,协议等

信息安全标准化建设手册

信息安全标准化建设手册第1章信息安全标准化概述 (4)1.1 信息安全标准化的重要性 (4)1.2 国内外信息安全标准化现状 (4)1.3 信息安全标准化的基本框架 (4)第2章信息安全管理体系 (5)2.1 信息安全政策与目标 (5)2.1.1 信息安全政策 (5)2.1.2 信息安全目标 (5)2.2 信息安全组织架构 (5)2.2.1 信息安全组织结构 (6)2.2.2 职责分配 (6)2.3 信息安全风险管理 (6)2.3.1 风险识别 (6)2.3.2 风险评估 (6)2.3.3 风险处置 (7)2.3.4 风险监控 (7)第3章物理与环境保护 (7)3.1 物理安全措施 (7)3.1.1 场地安全 (7)3.1.2 边界安全 (7)3.1.3 入侵检测与报警 (7)3.1.4 人员安全管理 (7)3.2 环境保护措施 (8)3.2.1 环境监控 (8)3.2.2 电力保障 (8)3.2.3 防火措施 (8)3.3 设备与介质管理 (8)3.3.1 设备管理 (8)3.3.2 介质管理 (8)3.3.3 数据备份与恢复 (8)第4章网络安全 (8)4.1 网络架构安全 (8)4.1.1 网络架构安全概述 (9)4.1.2 网络安全层次模型 (9)4.1.3 网络架构安全设计 (9)4.1.4 网络架构安全评估 (9)4.2 防火墙与入侵检测 (9)4.2.1 防火墙技术概述 (9)4.2.2 防火墙配置与管理 (9)4.2.3 入侵检测系统（IDS） (9)4.2.4 入侵防御系统（IPS） (9)4.3.1 VPN技术概述 (9)4.3.2 VPN关键技术解析 (10)4.3.3 VPN应用场景与部署 (10)4.3.4 VPN安全策略与运维 (10)第5章数据安全 (10)5.1 数据加密技术 (10)5.1.1 加密原理 (10)5.1.2 加密算法 (10)5.1.3 加密技术应用 (10)5.2 数据备份与恢复 (10)5.2.1 备份策略 (10)5.2.2 备份技术 (11)5.2.3 恢复实践 (11)5.3 数据库安全 (11)5.3.1 安全机制 (11)5.3.2 防护措施 (11)5.3.3 审计与监控 (11)5.4 数据生命周期管理 (11)5.4.1 数据分类与标识 (11)5.4.2 数据存储与访问控制 (11)5.4.3 数据共享与传输 (11)5.4.4 数据归档与销毁 (12)第6章应用系统安全 (12)6.1 应用系统开发安全 (12)6.1.1 开发过程安全管理 (12)6.1.2 代码安全审查 (12)6.1.3 安全编码规范 (12)6.2 应用系统部署安全 (12)6.2.1 部署环境安全 (12)6.2.2 应用系统安全配置 (12)6.2.3 应用系统安全加固 (12)6.3 应用系统运维安全 (12)6.3.1 运维安全管理 (12)6.3.2 安全监控与报警 (13)6.3.3 安全漏洞管理 (13)6.3.4 应用系统更新与升级 (13)6.3.5 应急响应与灾难恢复 (13)第7章终端设备安全 (13)7.1 终端设备管理策略 (13)7.1.1 管理策略概述 (13)7.1.2 采购与配置策略 (13)7.1.3 使用与维护策略 (13)7.1.4 报废与回收策略 (13)7.2.1 操作系统安全概述 (14)7.2.2 安全更新策略 (14)7.2.3 安全配置策略 (14)7.2.4 漏洞管理策略 (14)7.3 移动设备管理 (14)7.3.1 移动设备管理概述 (14)7.3.2 移动设备管理策略 (14)7.3.3 移动设备操作系统安全 (15)7.3.4 移动应用管理 (15)第8章人员与培训 (15)8.1 人员安全管理 (15)8.1.1 人员选拔 (15)8.1.2 背景调查 (15)8.1.3 人员离职 (15)8.2 岗位职责与权限 (16)8.2.1 岗位设置 (16)8.2.2 权限分配 (16)8.2.3 权限审计 (16)8.3 信息安全意识培训 (16)8.3.1 培训内容 (16)8.3.2 培训方式 (17)8.3.3 培训效果评估 (17)8.4 员工违规行为管理 (17)8.4.1 违规行为分类 (17)8.4.2 预防措施 (17)8.4.3 处理流程 (18)第9章应急响应与处理 (18)9.1 应急响应计划 (18)9.1.1 制定应急响应计划的目的 (18)9.1.2 应急响应计划的主要内容 (18)9.1.3 应急响应计划的实施与评估 (18)9.2 安全事件监测与报警 (18)9.2.1 安全事件监测 (18)9.2.2 报警与通报 (18)9.3 调查与处理 (19)9.3.1 调查 (19)9.3.2 处理 (19)第10章信息安全审计与合规性 (19)10.1 信息安全审计概述 (19)10.1.1 定义与目标 (19)10.1.2 审计原则 (19)10.2 审计程序与实施 (20)10.2.1 审计程序 (20)10.3 合规性检查与评估 (20)10.3.1 合规性检查 (20)10.3.2 合规性评估 (20)10.4 改进措施与持续优化 (21)10.4.1 改进措施 (21)10.4.2 持续优化 (21)第1章信息安全标准化概述1.1 信息安全标准化的重要性信息安全标准化作为维护国家网络安全、促进信息化发展的重要手段，其重要性不言而喻。

信息安全技术的国内外发展现状_概述及解释说明

信息安全技术的国内外发展现状概述及解释说明1. 引言1.1 概述：信息安全技术是在当今数字化时代中保障信息系统和网络安全的关键领域。

随着信息技术的迅猛发展，信息安全问题也日益凸显。

国内外都对信息安全技术的研究和应用给予了高度重视。

本文将从国内外两个维度来概述和解释信息安全技术的发展现状。

1.2 文章结构：本文分为五个部分。

引言部分主要介绍了本篇文章的概述、文章结构以及目的。

接下来将详细阐述国内和国外信息安全技术发展的现状，包括政策与法规推动、关键领域发展概况，以及存在的问题与挑战。

然后，我们会介绍主要国家和地区的情况、先进技术研究与应用实例，并探讨国际合作与交流情况。

在第四部分中，我们将对信息安全技术发展趋势进行分析，包括人工智能与大数据驱动下的创新、增强网络防御能力的新方法和技术，以及用户教育和意识提升的重要性认识。

最后，在结论与展望部分，我们会总结已有的成就并进行问题反思，并提出发展策略建议和未来预期方向。

1.3 目的：本文旨在全面梳理和介绍信息安全技术的国内外发展现状，既包括政策层面的推动和支持，也包括关键领域的发展情况。

同时，本文还将探讨目前所存在的问题和挑战，并从先进技术、网络防御能力以及用户教育等方面分析信息安全技术的未来趋势。

最后，根据实际情况提出相关建议和展望未来发展方向，为信息安全技术的进一步研究和应用提供参考依据。

2. 国内信息安全技术发展现状：2.1 政策与法规推动在国内，信息安全技术发展得到了政府的高度重视和支持，并制定了一系列政策和法规以促进其发展。

其中，2017年颁布的《网络安全法》是国内信息安全领域的重要里程碑。

该法规定了网络基础设施的保护、网络数据的安全、网络运营者的责任等方面内容，为信息安全提供了有力的法律保障。

2.2 关键领域发展概况在关键领域中，国内信息安全技术取得了长足进步。

首先，在网络攻防技术领域，国内专家团队通过不断研究攻击手段和防御方法，提高了网站和系统的安全性能。

信息安全标准化介绍

管理、人力资源安全、物理和环境安全、信和运行通管理、问控制、息系统的获取与开发维护、息访信信
安全事件管理、务连续性管理、合性等相关的业符控制目标和控制措施方面的最佳实践。ＩＯ／Ｅ７０ＳＩＣ２０３关注依据ＩＯ／Ｅ７０ＳＩＣ２０１成
思想。理解ＩＯＩＣ７０，要对ＩＯ／ＥＳ／Ｅ２０５需ＳＩＣ
在健康信息领域的实施，ＩＯ／Ｅ７０与ＳＩＣ２０２是成对
实施的标准。ＩＯ２７９规定了一组详细的管理健Ｓ７９
２０１和ＩＯ／Ｅ７０７０ＳＩＣ２０２中的概念、型、模过程和术
管理体系，出特定行业领域的ＩＭＳ应用指南，提Ｓ提出了ＩＭＳ的合格评定要求，要描述了ＰＣＳ简ＤＡ过程在信息安全管理中的应用，定了信息安全管规理体系标准族中使用的所有术语。ＩＯＩＣ２０１２０包含了适用于所有类型Ｓ／Ｅ７０：０５
安全技术
组织的信息安全管理体系要求，定了建立、施、规实运行、视、审、持和改进一个文件化的信息安监评保全管理体系的要求，旨在帮助组织在整体业务风险
信息安全管理体系信息安全控制措施实践规则ＩＯＩＣＤＩ７１信息技术Ｓ／ＥＳ２０３安全技术

我国信息安全标准化现状

我国信息安全标准化现状信息安全标准体系是信息安全保障体系中十分重要的技术体系，是整个信息安全标准化工作的指南。

信息安全标准体系主要作用突出地体现在两个方面，一是确保有关产品、设施的技术先进性、可靠性和一致性，确保信息化安全技术工程的整体合理、可用、互联互通互操作。

二是按国际规则实行IT产品市场准入时为相关产品的安全性合格评定提供依据，以强化和保证我国信息化的安全产品、工程、服务的技术自主可控。

本着“科学、合理、系统、适用”的原则，在充分借鉴和吸收国际先进信息安全技术标准化成果的基础上，初步形成了我国信息安全标准体系。

1．信息安全产品评测认证为配合信息安全等级保护制度的建立，促进信息安全产品评测认证工作，信安标委组织研究制定了如下标准：GB/T 20008—2005《信息安全技术操作系统安全评估准则》；GB/T 20009—2005《信息安全技术数据库管理系统安全评估准则》；GB/T 20010—2005《信息安全技术路由器安全评估准则》；GB/T 2001卜2005信息安全技术包过滤防火墙评估准则》；GB/T 20275—2006《信息安全技术入侵检测系统技术要求和测试评价方法》；GB/T 20274．1-2006《信息技术安全技术信息系统安全保障评估框架第一部分：简介和一般模型》GB/Z 20283—2006《信息技术安全技术保护轮廓和安全目标的产生指南》；信息安全标准化专栏GB/T 20272-2006《信息安全技术操作系统安全技术要求》；GB/T 2028 1-2006《信息安全技术防火墙技术要求和测试评价方法》；GB/T 20276-2006 息技术安全技术智能卡嵌入式软件安全技术要求(EAL4增强级)》；GB/T 20270-2006《信息安全技术网络安全基础技术要求》；GB/T 20278—2006《信息安全技术网络脆弱性扫描产品技术要求》；GB/T 20269-2006《信息安全技术信息系统安全管理要求》；GB/T 20271-2006《信息安全技术信息系统安全通用技术要求》；GB/T 20273-2006《信息安全技术数据库管理系统安全技术要求》；GB/T 20280—2006《信息安全技术网络脆弱性扫描产品测试评价方法》；GB/T 20277—2006《信息安全技术网络和端设备隔离部件测评方法》；GB/T 20279—2006《信息安全技术网络和端设备隔离部件技术要求》；GB/T 20282-2006《信息安全技术信息系统安全工程管理要求》。

国内外信息安全研究现状及发展趋势

国内外信息安全研究现状及发展趋势国内外信息安全研究现状及发展趋势（一）冯登国随着信息技术的发展与应用，信息安全的内涵在不断的延伸，从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性，进而又发展为"攻（攻击）、防（防范）、测（检测）、控（控制）、管（管理）、评（评估）"等多方面的基础理论和实施技术。

信息安全是一个综合、交叉学科领域，它要综合利用数学、物理、通信和计算机诸多学科的长期知识积累和最新发展成果，进行自主创新研究，加强顶层设计，提出系统的、完整的，协同的解决方案。

与其他学科相比，信息安全的研究更强调自主性和创新性，自主性可以避免陷门"，体现国家主权；而创新性可以抵抗各种攻击，适应技术发展的需求。

就理论研究而言，一些关键的基础理论需要保密，因为从基础理论研究到实际应用的距离很短。

现代信息系统中的信息安全其核心问题是密码理论及其应用，其基础是可信信息系统的构作与评估。

总的来说，目前在信息安全领域人们所关注的焦点主要有以下几方面：1）密码理论与技术；2）安全协议理论与技术；3）安全体系结构理论与技术；4）信息对抗理论与技术；5）网络安全与安全产品。

下面就简要介绍一下国内外在以上几方面的研究现状及发展趋势。

1．国内外密码理论与技术研究现状及发展趋势密码理论与技术主要包括两部分，即基于数学的密码理论与技术（包括公钥密码、分组密码、序列密码、认证码、数字签名、Hash函数、身份识别、密钥管理、PKI技术等）和非数学的密码理论与技术（包括信息隐形，量子密码，基于生物特征的识别理论与技术）。

自从1976年公钥密码的思想提出以来，国际上已经提出了许多种公钥密码体制，但比较流行的主要有两类：一类是基于大整数因子分解问题的，其中最典型的代表是RSA；另一类是基于离散对数问题的，比如ElGamal公钥密码和影响比较大的椭圆曲线公钥密码。

由于分解大整数的能力日益增强，所以对RSA的安全带来了一定的威胁。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

4.3信息安全技术产品标准 -信息保障技术框架关注的领域
27. BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》（部分代替BMZ1－2000） 28.BMB21-2007《涉及国家秘密的载体销毁与信息消除安全保密要求》 29.BMB22-2007《涉及国家秘密的信息系统分级保护测评指南》（代替BMZ3－2001） 30. BMB23-2008《涉及国家秘密的信息系统分级保护方案设计指南》（代替BMZ2－2001）
5
2011-11-8
4.2 保密标准
我国的保密标准均由国家保密局（WG2）负责制定。至今已经完成30项相关标准。他们是：
1. BMB1-1994《电话机电磁泄漏发射限值和测试方法》 2. BMB2-1998《使用现场的信息设备电磁泄漏发射检查测试方法和安全判据》 3. BMB3-1999《处理涉密信息的电磁屏蔽室的技术要求和测试方法》 4. BMB4-2000《电磁干扰器技术要求和测试方法》
3.我国和国际标准化组织的工作组布局 TC260工作组布局
TC260
ISO/IEC JTC1 SC27 信息安全标准化工作内容
WG1：信息安全管理体系 WG2：密码学与安全机制 WG3：安全评价准则 WG4：安全控制与服务 WG5：身份管理与隐私保护技术
W G 1 标准体系与协调
预警（W）保护（P）检测（D）响应（R）恢复（R）反击（C）
2
2011-11-8
七个安全属性
保密性完整性可用性可认证性不可否认性可控性可追究性
我国信息安全保障工作的基本制度性安排
信息安全等级保护涉密信息系统的信息安全保障管理密码技术的研究、开发、应用、管理信息安全保障工作中的产品、服务认证认可信息安全中内容安全监管
5. BMB5-2000《涉密信息设备使用现场的电磁泄漏发射防护要求》 6. BMB6-2001《密码设备电磁泄漏发射限值》 7. BMB7-2001《密码设备电磁泄漏发射测试方法（总则）》 8. BMB7.1-2001《电话密码机电磁泄漏发射测试方法》 9. BMB8-2004《国家保密局电磁泄漏发射防护产品检测实验室认可要求》 10. BMB10-2004《涉及国家秘密的计算机网络安全隔离设备的技术要求和测试方法》
6
2011-11-8
16. BMB16-2004《涉及国家秘密的信息系统安全隔离与信息交换产品技术要求》 17. BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》（部分代替BMZ1－2000） 18. BMB18-2006《涉及国家秘密的信息系统工程监理规范》 19. BMB19-2006《电磁泄漏发射屏蔽机柜技术要求和测试方法》 20. GGBB1-1999《信息设备电磁泄漏发射限值》 21. GGBB2-1999《信息设备电磁泄漏发射测试方法》
交换机和路防火墙由器无线 VPN 外部设备远程访问多域解决方案移动代码门卫
检测和响应多国信息共享 IDS
4.4 信息安全评估标准
安全评估标准的发展经历了漫长的时间最具影响的是上世纪80年代，美国国防部推出的可信计算机安全评价准则（TCSEC）。该标准（俗称橘皮书）基于贝尔.拉巴杜拉模型的 “禁止上读下写”原则，用访问控制机制（自主型访问控制，强制型访问控制），针对计算机的保密性需求，把计算机的可信级别分成四类七个等级。橘皮书随后又补充了针对网络、数据库等安全需求，发展成彩虹系列。我国至今唯一的信息安全强制标准GB 17859就是参考橘皮书制定的。 GB 17859根据我们的产业能力，将信息安全产品分成五个等级。
11. BMB11-2004《涉及国家秘密的计算机信息系统防火墙安全技术要求》 12. BMB12-2004《涉及国家秘密的计算机信息系统漏洞扫描产品技术要求》 13. BMB13-2004《涉及国家秘密的计算机信息系统入侵检测产品技术要求》 14. BMB14-2004《涉及国家秘密的信息系统安全保密测评实验室要求》 15. BMB15-2004《涉及国家秘密的信息系统安全审计产品技术要求》
GB/T 20520-2006 GB/T 20519-2006
《信息安全技术公钥基础设施 PKI系统安全等级保护评估准则》《信息安全技术公钥基础设施 PKI系统安全等级保护技术要求》《信息安全技术公钥基础设施电子签名卡应用接口基本要求》《信息安全技术公钥基础设施简易在线证书状态协议》《信息安全技术公钥基础设施 X.509数字证书应用接口规范》《信息安全技术公钥基础设施 XML数字签名语法与处理规范》《信息安全技术公钥基础设施签名生成应用程序的安全要求》《信息系统安全技术证书认证系统密码及其相关安全技术规范》《信息安全技术公钥基础设施安全支撑平台技术框架》《信息安全技术公钥基础设施电子签名格式规范》
4
2011-11-8
密码算法和模块标准
目前我国有关密码应用的标准
GB/T 17964-2008 GB/T 15843.1-2008 GB/T 15843.2-2008 GB/T 15843.3-2008 GB/T 15843.4-2008 GB/T 15843.5-2005 GB/T 15852.1-2008 《信息安全技术分组密码算法的工作模式》《信息技术安全技术实体鉴别第1部分: 概述》《信息技术制》《信息技术制》《信息技术制》《信息技术制》《信息技术制》安全技术实体鉴别第2部分: 采用对称加密算法的机安全技术实体鉴别第3部分: 采用数字签名技术的机安全技术实体鉴别第4部分: 采用密码校验函数的机安全技术实体鉴别第5部分：使用零知识技术的机安全技术消息鉴别码第1部分：采用分组密码的机
22. BMZ1-2000《涉及国家秘密的计算机信息系统保密技术要求》（已被BMB17－2006和BMB20－2007 代替） 23. BMZ2-2001《涉及国家秘密的计算机信息系统安全保密方案设计指南》（已被BMB23－2008代替） 24. BMZ3-2001《涉及国家秘密的计算机信息系统安全保密测评指南》（已被BMB22－2007代替） 25. BMB9.1-2007《保密会议移动通信干扰器技术要求和测试方法》 26. BMB9.2-2007《保密会议移动通信干扰器安装使用指南》
GB/T 21054-2007 GB/T 21053-2007 GB/T 25057–2010 GB/T 25059–2010 GB/T 25060–2010 GB/T 25061–2010 GB/T 25065-2010 GB/T 25056–2010 GB/T 25055–2010 GB/T 25064–2010
7
2011-11-8
信息安全技术产品标准
-根据技术保障框架形成保护要求（IATF）
保卫网络和基础设施保卫边界和外部连接保卫局域计算环境操作系统生物识别技术单级WEB 令牌移动代码消息安全数据库支撑性基础设施 PKI/KMI 证书管理密钥恢复第四级PKI 目录系统轮廓
赵战生 2011年9月22日西宁 2011年11月3日重庆
1.信息安全标准化工作的重要性
曲维枝同志指出：没有信息安全的信息化是危险的信息化；没有完善的信息安全标准，信息化建设中的产品、系统、工程就不能实现安全的互联、互通、互操作，就不能形成我国自主的信息安全产业，就不能构造出一个自主可控的信息安全保障体系，就难以保证国家信息安全和国家利益。
4.1 密码应用标准
密码算法的标准化工作，美国进行的最为有序、深化。在其国家安全局（NSA)的支持、帮助、监控下，民用密码标准由其商务部(DOC）下属的国家技术标准研究所（NIST）负责制定。从上世纪颁布的国家数据加密标准（DES ），到为本世纪需要遴选出来的先进的加密标准（AES）；从RSA到ECC，以及密码模块的安全要求，他们有了全局部署。
2011-11-8
国内外信息安全标准化情况概要
中国科学院研究生院信息安全国家重点实验室全国信息安全技术标准化委员会 WG7
概要
1.信息安全标准化工作的重要性 2.需要什么标准 3.我国和国际标准化组织的工作组布局 4.国内外信息安全标准的主要成果
4.1 4.2 4.3 4.4 4.5 4.6 密码应用标准保密标准信息安全技术产品标准信息安全评估标准信息系统安全标准信息安全管理标准
GB/T 17903.1-2008 GB/T 17903.2-2008
《信息技术安全技术抗抵赖第1部分: 概述》《信息技术安全技术抗抵赖第2部分: 采用对称技术的机制》《信息技术安全技术抗抵赖第3部分: 采用非对称技术的机制》
L
OIS
GB/T 17903.3-2008
GB/T 19717-2005 GB/T 19771-2005 GB/T 19713-2005 GB/T 19714-2005 GB/T 20518-2006 GB/T 17902.2-2005 GB/T 17902.3-2005
2.需要什么标准
从保密,保护到保障
保护 INFΒιβλιοθήκη SEC预警（W）保护（P）检测（D）反应（R）恢复（R）反击（C）
保障 IA
保密 COMSEC
保密性 80年代
保密性完整性可用性
保密性完整性可用性真实性不可否认性现在
90年代
1
2011-11-8
到底信息安全保障应该包括那些方面？！
一个宗旨:保障信息化带来的利益最大化(应用服务安全) 两个对象:
信息信息系统
四个层面
局域计算环境边界和外部连接基础设施信息内容