信息安全产品测试方法介绍
信息安全产品测试方法
介绍
Standardization of sany group #QS8QHH-HHGX8Q8-GNHHJ8-HHMHGN#
信息安全产品测试方法介绍
摘要介绍了常见的IPSec网关,SSL VPN,防火墙,IDS,IPS和反垃圾邮件网关等信息安全产品的测试方法和测试步骤,并对IXIA在这方面的特点和优势进行了总结。
关键词 IPSec网关 SSL VPN 防火墙 IDS IPS 反垃圾邮件网关测试
1 引言
IP网络的最大优势是它的开放性,并最大限度地支持终端的智能,这使得IP 网络中存在着各种各样丰富多彩的业务与应用。但与此同时,IP网络的开放性与终端的智能化也使得IP网络面临着前所未有的安全威胁;在IP网络中进行的信息通信和传输也显得不太安全。
IP网络的安全威胁有两个方面,一是主机(包括用户主机和应用服务器等)的安全,二是网络自身(主要是网络设备,包括路由器、交换机等)的安全。用户主机所感知的安全威胁主要是针对特定操作系统(主要是Windows系统)的攻击,即所谓病毒。网络设备主要面对的是基于TCP/IP协议的攻击。信息通信和交换的泄密主要来自信息在交换和传输过程中没有加密而被窃取或盗听。
为了防范各种各样的安全威胁和进行安全不泄密的通信,个人终端、企业网络和运营商都安装或者部署了各种各样的安全软件和设备来防范来自主机和网络的威胁或者实现安全加密的通信,这些安全设备包括防火墙,IDS,IPS,垃圾邮件网关,代理服务器,IPSec网关和SSL VPN网关等。
但是这些设备地引入,会对网络的性能造成一定地影响。多个厂家设备地引入,产品的互通性也对网络部署是一个考验。所以,如果评估测试这些安全设备的性能(Performance)和一致性(Conformance)就显得尤其重要,全球领先的IP 测试方案供应商美国IXIA公司的测试方案可以全面满足信息安全产品的性能、一致性和功能的测试需求。
2 实现安全通信的设备测试
目前,实现安全通信的最主要方式是采用VPN技术,VPN技术从实现上主要有三大类,基于MPLS技术的VPN,基于IP技术的VPN和基于应用层技术的SSL VPN 等。这些VPN技术和设备的测试都可以很方便地通过IXIA公司的工具来实现。基于MPLS技术的VPN包括L2 VPN,L3 VPN和Multicast VPN等;基于IP技术的VPN包括二层的L2TP技术,PPTP技术和三层的IPSec技术与GRE技术等。本文主要对目前比较流行的基于三层IP技术的IPSec VPN以及基于应用层技术的SSL VPN测试进行介绍。
IPSec VPN是基于网络层的VPN,对所有的IP应用均透明。但是SSL VPN是基于应用层的VPN,对保护基于Web的应用更有优势。两种VPN技术的简单比较参见表1。
由于基于这两种技术的差异性,所以对这两种不同的VPN网关测试方法和指标也有些不同。
IPSec VPN安全网关测试
对于IPSec VPN网关来说,性能测试方法有两种,一种是早期的测试方法,这种方法是由两台被测设备直接连接起来,由被测设备之间完成IPSec之间的协商过程并建立IPSec的隧道,然后在建立的隧道上运行流量,来评估设备在有IPSec加密情况下的吞吐量(Throughput)、时延(Latency)和丢包率(Packet Loss)等各项性能指标。测试示意见图1。
但是,这种方法有很大地局限性,就是不能评估IPSec网关支持IPSec隧道的数量以及隧道建立的速度等指标。所以,目前最普遍的测试方法是使用测试仪表来仿真IPSec网关,和被测IPSec网关建立IPSec隧道来评估被测设备所支持的IPSec隧道的数量以及隧道建立的速度,在隧道建立成功后,测试仪表还可以同时仿真IPSec网关后的主机以及被保护的网络,以验证隧道之上2~7层数据和应用的转发性能与QoE指标。
IXIA的IPSec网关测试方案完全满足上述两种测试方法。本文主要介绍第二种方法。这种方法的测试原理参见图2,它是通过IXIA IP性能测试仪的一个端口来仿真多个IPSec安全网关以及安全网关后面被保护的子网和主机,与被测设备建立IPSec的通信隧道,另外一个端口仿真安全网关内被保护的子网或者主机。在IPSec隧道协商成功后,可以在被保护的子网和主机之间发送和分析流量。
(1)IXIA的IPSec性能测试方案能够回答下列关键问题:
●评估IPSec网关所支持的IPSec隧道的数量。
●评估IPSec网关建立IPSec隧道的速度。
●评估IPSec网关在建立IPSec隧道成功后,在IPSec上运行RFC 2544的测试。
●评估IPSec网关在建立IPSec隧道成功后,在IPSec上运行有状态的(Stateful)应用层流量测试,目前最为关注的就是该特性的测试,可以直接验证IPSec之上承载多种真实业务的能力。
2)IXIA的IPSec 性能测试方案具有以下特点:
●测试网络安全设备的IPSec Tunnel容量,Tunnel建立速度以及Tunnel建立起来之后的RFC 2544测试和应用层业务承载能力。应用层流量包括HTTP,FTP,E-mail,SIP,MGCP和视频等;每个测试端口最多支持万个IPSec的隧道,160个Tunnel/s的隧道建立速度,超过950Mbit/s以上的吞吐量。
●支持IPSec的IPv4和IPv6版本。
●支持AH,ESP或者两者结合的加密算法:Null,DES,3DES,AES 128,AES 192,AES 256等封装算法;MD5,SHA-1认证算法,Certificates,Pre-shared Keys等Phase 1认证模式;GROUP 1,2,5,14,15,16等DH组。
●支持GRE和VLAN配置,支持GRE over IPSec和IPSec over GRE等特性测试。
●可以线速加密数据进行RFC 2544基准测试以及长时间地性能测试。
●支持IKE的版本1和2;支持动态多点VPN(DMVPN)。
●在IKE协商的第一阶段,支持Main模式和Aggressive模式,Hash算法(HMAC-MD5,HMAC-SHA1),Xauth用户认证,模式地址分配,用户认证(预先共享密钥及证书),NAT转换(NAT-T),支持隧道模式(Tunnel)和传输模式(Transport)不同的封装方式,Lifetime协商和Re-keying。
●IKE协商的第二阶段,支持AH,ESP和AH+ESP,Hash算法(HMAC-MD5,HMAC-SHA1),完整转发安全性(PFS),IPSec keep-alives和Dead Peer Detection (DPD)。
另外,IXIA公司的安全测试方案还可以在同一平台上实现IPSec的一致性(Conformance)测试。支持的测试协议和测试例参见表2。
这些特点为IPSec性能测试和一致性测试提供了有力地保证。
SSL VPN网关测试
SSL VPN的技术特点在上面已经和IPSec VPN做了简单地比较,从技术上来说,SSL VPN有很多面向应用的特点,所以在性能测试的方法上也和IPSec有很大不同。
从技术上来说,SSL VPN也有三种类型,包括无客户端模式(Clientless Mode)、简化模式(Thin Client Mode)和安装客户端模式(Tunnel Mode)。目前,能够用仪表进行性能测试的,主要是无客户端模式,也就是通常讨论的SSL测试。
谈到SSL VPN产品的性能测试,首先要区分的是SSL Server和SSL VPN,SSL Server相当于SSL VPN中的反向代理功能,二者的要求是不一样的,SSL Server 面对的是业务系统,如电子商务网站、网上银行等,它强调地是性能,目前国内可见的SSL Server产品性能可达2万TPS和400万同时在线用户数;而SSL VPN面向的是远程接入,即管理系统,它强调地是易于使用和管理、安全性等,一个SSL VPN用户的登录包括SSL握手、认证、授权、记录日志等过程,其中认证、授权、记录日志所耗费的时间远远高于SSL握手,不可能达到SSL Server那样高的性能,如果需要非常高的性能,要使用多台SSL VPN堆叠来实现。
H中有通过该组织认证的SSL VPN厂商列表,也可以说,只有在这儿能够查到的SSL VPN厂商的产品,才是真正地各个厂家能够互通的SSL VPN产品。IXIA公司作为VPNC协会中的惟一测试仪表提供商,一直在跟踪这方面的技术,并且有很好地测试解决方案。相应的VPNC会员列表,请参考下面链接:。
IXIA的SSL VPN性能测试方案主要有下面的特点:
(1)支持SSLv2,SSLv3,。
(2)支持全面的密码套件,包括DES,3DES,RC4,MD5,SHA。
(3)支持私有密钥和会话重用。
(4)用户可配置地客户端密钥和证书。
SSL VPN的测试示意如图3所示。这些特点可以用于客户端,也可以用于服务器端,为SSL VPN测试带来很大地灵活性和方便性。SSL VPN性能测试的主要指标包括:
(1)在不同加密算法下的有效吞吐量(Goodput)。
(2)并发连接数(Concurrent Connection。
(3)新建SSL 连接的速率(Connection Rate)。
3 保障信息安全产品的测试
保障信息安全的产品比较多,比如防火墙,IDS,IPS,防垃圾邮件网关和内容检测系统等等都属于保障信息安全的产品。下面对这些产品的性能测试方法做一简单介绍。
防火墙测试
防火墙是应用最广泛地信息安全产品,防火墙测试也是目前信息安全测试领域的一个热点。从功能上来说,防火墙地作用是让合法的流量正常通过,并能够拦截各种非法与攻击流量。防火墙类型比较多,比如无状态包过滤类型(Stateless packet filtering)、有状态包过滤类型(Stateful Packet Filtering)、基于NAT类型(静态,动态,PAT)、基于代理类型(Proxy)等。但无论是何种类型,测试防火墙的性能,都要遵守IETF提出的RFC 3511标准,该标准规范了测试防火墙性能的方法和测试项,这些测试项包括:IP吞吐量(IP Throughput),并发的TCP连接数量(Concurrent TCP Connection Capacity),最大地TCP连接建
立速度(Maximum TCP Connection Establishment Rate),最大地TCP连接拆除速度(Maximum TCP Connection Tear Down Rate),防火墙对DoS的防范能力(Denial of Service Handling),HTTP转发率(HTTP Transfer Rate),最大地HTTP交易速率(Maximum HTTP Transaction Rate),对“非法”流量地防范能力(Illegal Traffic Handling),防火墙对IP包分拆组合地处理能力(IP Fragmentation Handling),时延(Latency)。
IXIA的防火墙安全测试方案可以满足RFC 3511里面规定的测试项,并且这些测试项已经用自动化地测试脚本实现,可以十分方便快捷地完成相关测试。相关特点包括:
(1)测试仪表的每个端口都可以仿真客户端或者服务器端,使用方便。
(2)各项性能指标随着端口数量的增加而线性增加,可以产生超千万TCP并发连接数、几十万每秒新增TCP连接数和接近线速地应用层吞吐量,特别是在10G高速率下,IXIA可以产生线速的应用层流量。
(3)随着防火墙功能复杂程度越来越高,需要验证防火墙在各种应用层业务(包括数据、语音和视频等)和非法流量混合情况下地处理和检测能力(见图4)。IXIA同时可以仿真包括P2P协议在内超过20种应用层的流量以验证防火墙的转发性能。
(4)防火墙对一些“私有协议”流量地防范,可以通过IxLoad强大地“Application Replay”功能进行验证。该特点同样可以用于其他相关信息安全产品地性能测试。
在这里有一个问题被经常提起,就是在正常流量和非法流量混合的情况下,如何在测试仪表上能够直接观察到防火墙是否对非法流量进行了有效拦截IxLoad的“Packet Monitor”功能可以回答该问题,其特点是在接收端具有检测功能,验证攻击流量是否被防火墙所丢弃,这个特性对信息安全产品的测试非常重要,可以实时了解防火墙对各种攻击流量的防范能力,该功能同样可用于下面将要介绍的IDS,IPS等产品的测试。
IDS(入侵检测系统)和IPS(入侵防御系统)设备测试
IDS本质上是一种监听系统,它依照一定的安全策略,对网络与系统地运行状况进行监测,尽可能发现、报告、记录各种攻击企图、攻击行为或者攻击结果,以保证信息系统的机密性、完整性和可用性。IDS可分为主机型(HIDS)和网络型(NIDS),目前主流IDS产品均采用两者有机结合地混合型架构。
IPS串联于通信线路之内,是既具有IDS的检测功能,又能够实时中止网络入侵行为的新型安全技术设备。IPS由检测和防御两大系统组成,具备从网络到主机的防御措施与预先设定的响应设置。
从测试方法上来说,这两种设备的测试方法基本相同,都是通过测试仪表(或者其他攻击工具产生攻击)仿真各种类型的攻击数据包(DDoS或者NESSUS漏洞扫
描和攻击),同时通过测试仪表产生所需要的压力流量(无状态和有状态的流量),来验证IDS或者IPS的检测和防御能力。测试指标主要包括:(1)检测非法入侵的能力;
(2)抗欺骗能力(IDS误报,IDS漏报);
(3)自身安全性。
但是,IPS除了具有检测功能外,还有对异常或者攻击流量的防御功能,决定了还需要测试其防御特性,这些特点和防火墙的测试方法类似,测试标准同样也需要遵守RFC 3511的规范。所以在这里就不详细介绍。测试拓扑示意如图5所示。
反垃圾邮件网关的测试
反垃圾邮件网关作为安全产品的重要组成部分,越来越受到业界地关注,单一的反垃圾邮件网关功能也进一步扩展具有反垃圾邮件、防范蠕虫病毒攻击、防范DDoS攻击和防范漏洞扫描等于一体的综合性信息安全产品。IXIA公司的反垃圾邮件性能测试方案可以测试反垃圾邮件网关系统的各项指标,包括POP3,SMTP和IMAP邮件网关的吞吐量、在一定时间内发送的E-mail的数量、在一定时间内发送的E-mail附件的数量、邮件转发成功率、最大SMTP并发连接数、SMTP请求处理的速度等。
从测试方法上来说,首先要进行基准测试,也就是在反垃圾邮件网关上不启用任何过滤规则,验证其上述各项性能指标。然后启用各种过滤规则,分别验证反垃
圾邮件网关在启用垃圾邮件扫描、病毒邮件和附件扫描、DDoS攻击扫描等规则下的性能。测试拓扑图和IDS的测试类似,可以参考图5。
IXIA的反垃圾邮件网关测试方案有以下特点:
(1)支持POP3,APOP3,SMTP,IMAP等常见的邮件协议。
(2)POP3协议主要支持下面这些常见的命令来更加真实的仿真接收Email的过程:OPEN,STAT,DELE,NOOP,RSET,LIST,UIDL,RETR,TOP,QUIT等。另外,支持发送E-mail认证(Authentication)的仿真APOP3。
(3)SMTP协议主要支持下面这些常见的命令来更加真实地仿真发送E-mail的过程:OPEN,MAIL,NOOP,RSET,SLEEP,QUIT等。
(4)IMAP主要支持下面这些常见的命令来更加真实地仿真发送和接收E-mail 的过程:LOGIN,SELECT,FETCH,LOGOUT等。
(5)IXIA可以十分方便地仿真多个不同的E-mail地址发送给不同的接收者,每个E-mail都可以有不同的主题(Subject);E-mail可以抄送(CC)、暗送(BCC)给不同的人。E-mail的正文可以是文本,HTML或者Random格式。E-mail的附件可以根据你的需要加入自己的文件做为附件。邮件的正文和附件大小可以灵活设置。附件文件可以是病毒(Virus)等。
(6)IXIA测试模块的每个端口可以仿真E-mail客户端或者服务器端。一个测试模块就可以仿真海量的E-mail客户端或者服务器来评估高端的反垃圾邮件网关设备。
(7)IXIA测试模块的每个端口可以产生超过130k的并发连接数(Concurrent Connections),每秒超过7000的Transaction速率,每秒超过200M的E-mail发送流量。
另外,IXIA公司对WLAN无线产品的安全性,的认证,网络接入控制(NAC-Network Access Control),IEEE MacSec等技术和产品的性能测试都有相应地
解决方案,由于篇幅限制,本文未做详细介绍,如果有兴趣,请访问IXIA公司的网站。
4 结束语
通过IXIA公司的信息安全产品的性能和一致性测试方案,在IXIA一体化的
2~7层测试平台上完全可以满足IPSec网关,SSL VPN网关,防火墙,IDS,IPS和反垃圾邮件网关等相关安全产品地测试。为产品快速推向市场,提升产品性能起到十分重要地推动作用。
全国计算机等级考试三级信息安全技术知识点总结71766
第一章 信息安全保障概述 ??信息安全保障背景 ?什么是信息? 事物运行的状态和状态变化的方式。 ?信息技术发展的各个阶段? ??电讯技术的发明 ??计算机技术发展 ??互联网的使用 ?信息技术的消极影响? 信息泛滥、信息污染、信息犯罪。 ?信息安全发展阶段? ??信息保密 ??计算机安全 ??信息安全保障 ?信息安全保障的含义? 运行系统的安全、系统信息的安全 ?信息安全的基本属性? 机密性、完整性、可用性、可控性、不可否认性 信息安全保障体系框架? 保障因素:技术、管理、工程、人员 安全特征:保密性、完整性、可用性
生命周期:规划组织、开发采购、实施交付、运行维护、废弃 ?????模型? 策略?核心?、防护、监测、响应 ?????信息保障的指导性文件? 核心要素:人员、技术?重点?、操作 ???????中 个技术框架焦点域? ??保护本地计算环境 ??保护区域边界 ??保护网络及基础设施 ??保护支持性基础设施 ??信息安全保障工作的内容? ??确定安全需要 ??设计实施安全方案 ??进行信息安全评测 ??实施信息安全监控和维护 ??信息安全评测的流程? 见课本???图 ?? 受理申请、静态评测、现场评测、风险分析 ??信息监控的流程? 见课本???图 ?? 受理申请、非现场准备、现场准备、现场监控、综合分析
????信息技术及其发展阶段 信息技术两个方面:生产:信息技术产业;应用:信息技术扩散 信息技术核心:微电子技术,通信技术,计算机技术,网络技术 第一阶段,电讯技术的发明;第二阶段,计算机技术的发展;第三阶段,互联网的使用 ????信息技术的影响 积极:社会发展,科技进步,人类生活 消极:信息泛滥,信息污染,信息犯罪 ??信息安全保障基础 ????信息安全发展阶段 通信保密阶段( ?世纪四十年代):机密性,密码学 计算机安全阶段( ?世纪六十和七十年代):机密性、访问控制与认证,公钥密码学( ????? ??●●???, ??),计算机安全标准化(安全评估标准) 信息安全保障阶段:信息安全保障体系(??), ???模型:保护(??????????)、检测(?????????)、响应??????????、恢复(???????),我国 ?????模型:保护、预警(???????)、监测、应急、恢复、反击(??◆???????????), ????? ????标准(有代表性的信息安全管理体系标准):信息安全管理实施细则、信息安全管理体系规范 ????信息安全的含义 一是运行系统的安全,二是系统信息的安全:口令鉴别、用户存取权限控制、数据存取权限方式控制、审计跟踪、数据加密等 信息安全的基本属性:完整性、机密性、可用性、可控制性、不可否认性 ????信息系统面临的安全风险 ????信息安全问题产生的根源:信息系统的复杂性,人为和环境的威胁 ????信息安全的地位和作用
第十期-《我国信息安全技术标准体系与认证认可制度介绍》
第十期《我国信息安全技术标准体系与认证认可制度介绍》 一. 什么是信息安全技术标准体系?为了规范信息系统建设、资源保护、管理、服务等信息安全各方面的建设,使信息安全在各个方面都有据可依,信息安全标准的制定显得十分重要,国际国内都形成了具有一定规模的信息安全标准体系。信息安全标准体系是由信息安全领域内具有内在联系的标准组成的科学有机整体,是编制信息安全标准编制、修订计划的重要依据,是促进信息安全领域内的标准组成趋向科学合理化的手段。 信息安全技术领域有国际标准体系、国家标准体系、行业标准体系和地方标准体系等,而且通常高层次的标准体系对下有约束力。事实上,在这些特定领域标准的执行还要看各个国家的管理法规和制度。国际信息安全标准体系主要由信息系统安全的一般要求、开发安全技术和机制、开发安全指南和安全管理支撑性文件和标准等几部分组成。 二. 国内外信息安全标准化组织有哪些?国际上与信息安全标准化有关的组织主要有以下四个。1.ISO/IEC JTC1 (信息技术标准化委员会)所属SC27 (安全技术分委员会)的前身是SC20 (数据加密技术分委员会),主要从事信息技术安全的一般方法和技术的标准化工作。ISO/TC68 负责银行业务应用范围内有关信息安全标准的制定,主要制定行业应用标准,与SC27 有着密切的联系。ISO/IEC JTC1 负责制定的标准主要是开放系统互连、密钥管理、数字签名、安全评估等方面。 2. lEC 在信息安全标准化方面除了与ISO 联合成立了JTC1 下的分委员会外,还在电信、信息技术和电磁兼容等方面成立了技术委员会,如TC56 可靠性、TC74 IT 设备安全和功效、TC77 电磁兼容、TC108 音频/ 视频、信息技术和通信技术电子设备的安全等,并且制定相关国际标准。 3.ITU SG17 组负责研究网络安全标准,包括通信安全项目、安全架构和框架、计算安全、安全管理、用于安全的生物测定、安全通信服务等。 4.IETF(Internet 工程任务组)制定标准的具体工作由各个工作组承担。IETF 分成八个工作组,分别负责Internet 路由、传输、应用等八个领域,其著名的IKE 和IPSec 都在RFC 系列之中,还有电子邮件、网络认证和密码及其他安全协
信息安全产品培训方案
[标签:标题] 信息安全产品 培训方案 *****有限公司 2016年08月05日
目录 第1章概述 (1) 1.1 前言 (1) 1.2 培训目的 (1) 1.3 培训内容 (1) 1.4 培训安排 (2) 第2章培训原则 (2) 2.1 培训范围 (2) 2.2 培训时间 (2) 2.3 培训师资 (3) 2.4 对培训人员的要求 (3) 2.5 提供中文授课及中文材料与培训教材 (3) 第3章*******原厂商培训计划细节 (3) 3.1 产品基础培训 (3) 3.2 系统运行维护培训 (3) 3.3 技术答疑 (4) 3.4 有针对性的二次培训 (4) 3.5 升级培训服务 (4) 第4章培训安排 (4) 4.1 应用交付基础培训(现场培训) (4) 4.2 应用交付系统运行维护培训(集中培训) (6) 第5章培训教材简介 (8) 5.1 配置与管理 (8) 5.2 单设备接线方式 (8) 5.3 配置界面 (9) 5.4 配置和使用 (9)
第1章概述 1.1前言 系统基于互联网的应用系统安全评估及网络行为监控项目实施完成以后,如何才能对所有设备进行有效管理,是所有系统管理员关心的问题。为了保证整个系统稳定运行,提高其使用效率和安全性,需要对用户的系统管理人员进行相关技术培训,使他们能掌握产品的配置、故障诊断、设备管理、达到能独立进行日常管理,以保障系统的正常运行,使管理员能够更快的进入环境,真正帮助管理员对系统进行有效管理,提高管理质量。因此,为用户培训出一支有较高水平的技术队伍,来保证整个系统的有效运行,也是十分重要的。 针对系统基于互联网的应用系统安全评估及网络行为监控项目我司会对硬件设备提供现场操作使用培训,其内容涉及设备的基本原理、安装、调试、操作使用和保养维修(产品维护、故障排除、性能优化等)等,我司会在本章中提供详细的培训方案。 1.2培训目的 培训目的有两个: 强化分支机构IT人员对设备的认识程度及维护能力,让其可自主完成对应用交付运维; 强化总部IT人员,对集中管理平台使用及认知,让其可担当其省分应用交付运维工作,并分担总部在应用交付运维上的工作。 用户方的技术人员经培训后应能熟练地掌握与本产品有关的软件及硬件维护工作,并能及时排除大部分设备故障。本文件是*******科技技术支持部培训中心对采购人进行应用交付的使用维护的培训大纲。 针对培训对象按不同的级别进行了分类,共设定了两个级别的培训项目:入门级别(初级)和专家级别培训(中级、高级)。对于每个培训项目,本文件第三部分“培训项目说明”定义了该培训项目的培训对象、入学要求、培训目标、培训内容、培训方式、培训时长及培训课程等。 1.3培训内容 技术培训: 对货物生产厂家提供的软硬件设备的技术原理和操作使用方法,维护管理等进行培训。货物生产厂家负责提供培训教材。分为入门级培训和专家级培训。同时,根据本项目需要,我司培训内容分为初级、中级、高级三种内容,详细内容见第二节。 技术交流:货物生产厂家与采购人进行定期的技术交流,分享应用交付和网络安全等方面最新技术信息。技术交流时间在项目实施前举办一次,然后验收后每一年举办一
信息安全评估标准简介
信息安全产品评估标准综述 全国信息安全标准化技术委员会安全评估标准组崔书昆 信息安全产品,广义地是指具备安全功能(保密性、完整性、可用性、可鉴别性与不可否认性)的信息通信技术(ICT)产品,狭义地是指具备上述功能的专用信息通信技术产品。这些产品可能是硬件、固件和软件,也可能是软、固、硬件的结合。 一、国外信息安全产品评估标准的发展 以美国为首的西方发达国家和前苏联及其盟国,早在20世纪50年代即着手开发用于政府和军队的信息安全产品。到20世纪末,美国信息安全产品产值已达500亿美元。 随着产品研发,有关信息安全产品评估标准的制定也相应地开展起来。 (一)国外信息安全产品评估标准的演变 国际上信息安全产品检测评估标准的发展大体上经历了三个阶段: 1.本土化阶段 1983年,美国国防部率先推出了《可信计算机系统评估准则》(TCSEC),该标准事实上成了美国国家信息安全评估标准,对世界各国也产生了广泛影响。在1990年前后,英国、德国、加拿大等国也先后制定了立足于本国情况的信息安全评估标准,如加拿大的《可信计算机产品评估准则》(CTCPEC)等。在欧洲影响下,美国1991年制定了一个《联邦(最低安全要求)评估准则》(FC),但由于其不完备性,未能推开。 2.多国化阶段 由于信息安全评估技术的复杂性和信息安全产品国际市场的逐渐形成,单靠一个国家自行制定并实行自己的评估标准已不能满足国际交流的要求,于是多国共同制定统一的信息安全产品评估标准被提了出来。 1991年欧洲英、法、德、荷四国国防部门信息安全机构率先联合制定了《信息技术安全评估准则》(ITSEC),并在事实上成为欧盟各国使用的共同评估标准。这为多国共同制定信息安全标准开了先河。为了紧紧把握信息安全产品技术与市场的主导权,美国在欧洲四国出台ITSEC之后,立即倡议欧美六国七方(即英、
信息安全产品采购使用管理制度
信息安全产品采购、使用管理制度 1总则 1.1为了推动信息系统管理的规范化、程序化、制度化,加强信息安全产 品的管理,规范安全设备购置、管理、应用、维护、维修及报废等方面的工作,保护信 息系统安全,制定本制度。 1.2信息安全软硬件设备的管理须严格遵循已颁布的《信息系统软硬件设备管理制度》。 本制度作为《信息系统软硬件设备管理制度》的补充,适用于扬州职业大学网络中心的 信息安全软硬件设备的管理工作。 2规范性引进文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的引用文件,其 随后所有的修改单或修订版均不适用于本标准(不包括勘误、通知单),然而,鼓励根 据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡未注日期的引用文 件,其最新版本适用于本标准 《信息安全技术信息系统安全保障评估框架》(GB/T 20274.1-2006) 《信息安全技术信息系统安全管理要求》(GB/T 20269-2006) 《信息安全技术信息系统安全等级保护基本要求》(GBT 22239-2008) 本标准未涉及的管理内容,参照国家、电力行业、南方电网扬州职业大学网络中心的有 关标准和规定执行。 3设备采购 3.1网绪安全设备选型应根据国家电力行业有关规定选择经过国家有关权威部门的测评 或认证的产品。 3.2所有安全设备后均需进行严格检测,凡购回的设备均应在测试环境下经过连续72小
时以上的单机运行测试和联机48小时的应用系统兼容性运行测试。严禁将未经测试验 收或验收不合格的设备交付使用。 3.3通过上述测试后,设备才能进入试运行阶段。试运行时间的长短可根据需要自行确 定。通过试运行的设备,才能投入生产系统,正式运行。 4设备管理 4.1每台(套)安全设备的使用均应指定专人负责,均应设定严格的管理员身份鉴别和 访问控制,严禁盗用帐号和密码,超越管理权限,非法操作安全设备。 4.2安全设备的口令不得少于10位,须使用包含大小写字母、数字等在内的不易猜测的 强口令,并遵循省电网扬州职业大学网络中心统一的帐号口令管理办法。 4.3安全设备的网络配置应遵循统一的规划和分配,相关网络配置应向信息中心网络管 理部门备案。 4.4安全设备的安全策略应进行统一管理,安全策略固化后的变更应经过信息中心审核 批准,并及时更新策略配置库。 4.5关键的安全设备须有备机备件,由信息中心统一进行保管、分发和替换。 4.6加强安全设备外联控制,严禁擅自接入国际互联网或其他公众信息网络。 4.7因工作需要,设备需携带出工作环境时,应递交申请并由相关责任人签字并留档。 4.8存储介质(含磁盘、磁带、光盘和优盘)的管理应遵循: 如因工作原因需使用外来介质,应首先进行病毒检查。 存储介质上粘贴统一标识,注明编号、部门、责任人。 存储介质如有损坏或其他原因更换下来的,需交回信息中心处理。 4.9安全设备的使用管理: 安全设备每月详细检查一次,记录并分析相关日志,对可疑行力及时进行处理: 关键安全设备每天须进行日常巡检: 当设备的配置更改时,应做好配置的备份工作; 安全设备出现故障要立即报告主管领导,并及时通知系统集成商或有关单位进行故障排
ISO27001信息安全管理体系标准中文版
ISO标准——IEC 27001:2005 信息安全管理体系—— 规范与使用指南 Reference number ISO/IEC 27001:2005(E)
0简介 0.1总则 本国际标准的目的是提供建立、实施、运作、监控、评审、维护和改进信息安全管理体系(ISMS)的模型。采用ISMS应是一个组织的战略决定。组织ISMS的设计和实施受业务需求和目标、安全需求、应用的过程及组织的规模、结构的影响。上述因素和他们的支持系统预计会随事件而变化。希望根据组织的需要去扩充ISMS的实施,如,简单的环境是用简单的ISMS解决方案。 本国际标准可以用于内部、外部评估其符合性。 0.2过程方法 本国际标准鼓励采用过程的方法建立、实施、运作、监控、评审、维护和改进一个组织的ISMS的有效性。 一个组织必须识别和管理许多活动使其有效地运行。通过利用资源和管理,将输入转换为输出的活动,可以被认为是一个过程。通常,一个过程的输出直接形成了下一个过程的输入。 组织内过程体系的应用,连同这些过程的识别和相互作用及管理,可以称之这“过程的方法”。 在本国际标准中,信息安全管理的过程方法鼓励用户强调以下方面的重要性: a)了解组织信息安全需求和建立信息安 全策略和目标的需求; b)在组织的整体业务风险框架下,通过 实施及运作控制措施管理组织的信息 安全风险; c)监控和评审ISMS的执行和有效性; d)基于客观测量的持续改进。 本国际标准采用了“计划-实施-检查-改进”(PDCA)模型去构架全部ISMS流程。图1显示ISMS如何输入相关方的信息安全需求和期望,经过必要的处理,产生满足需求和期望的产品信息安全输出,图1阐明与条款4、5、6、7、8相关。 采用PDCA模型将影响OECD《信息系统和网络的安全治理》(2002)中陈述的原则,0 Introduction 0.1 General This International Standard has been prepared to provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System (ISMS). The adoption of an ISMS should be a strategic decision for an organization. The design and implementation of an organization’s ISMS is influenced by their needs and objectives, security requirements, the processes employed and the size and structure of the organization. These and their supporting systems are expected to change over time. It is expected that an ISMS implementation will be scaled in accordance with the needs of the organization, e.g. a simple situation requires a simple ISMS solution. This International Standard can be used in order to assess conformance by interested internal and external parties. 0.2 Process approach This International Standard adopts a process approach for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an organization's ISMS. An organization needs to identify and manage many activities in order to function effectively. Any activity using resources and managed in order to enable the transformation of inputs into outputs can be considered to be a process. Often the output from one process directly forms the input to the next process. The application of a system of processes within an organization, together with the identification and interactions of these processes, and their management, can be referred to as a “process approach”. The process approach for information security management presented in this International Standard encourages its users to emphasize the importance of: a) understanding an organization’s information security requirements and the need to establish policy and objectives for information security; b) implementing and operating controls to manage an organization's information security risks in the context of the organization’s overall business risks; c) monitoring and reviewing the performance and effectiveness of the ISMS; and d) continual improvement based on objective measurement. This International Standard adopts the "Plan-Do-Check-Act" (PDCA) model, which is applied to structure all ISMS processes. Figure 1 illustrates how an ISMS takes as input the information security requirements and expectations of the interested parties and through the necessary actions and processes produces information security outcomes that meets those requirements and expectations. Figure 1 also illustrates the links in the processes presented in Clauses 4, 5, 6, 7 and 8. The adoption of the PDCA model will also reflect the principles as set out in the
国家信息安全等级保护制度介绍
信息安全等级保护制度介绍 一、开展信息安全等级保护工作的重要性和必要性 信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。 二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》(以下简称《管理办法》),明确了信息安全等级保护的具体要求。 三、工作分工和组织协调 (一)工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 (二)组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组,负责信息安全等级保护工作的组织部署,由省公安厅主管网监工作的领导任组长,省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队,负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组,组织本系统和行业
信息安全技术 信息安全产品分类
信息安全技术信息安全产品分类 1 范围 本标准规定了信息安全产品分类,包括物理安全类、主机安全类、网络安全类、边界安全类、应用安全类、数据安全类、安全管理与支持类及其他类八个方面。 本标准适用于国家信息安全等级保护建设与信息安全行业产品分类管理。 本标准不适用于商用密码产品。 2 规范性引用文件 下列文件中的有关条款通过引用而成为本标准的条款。凡注日期或版次的引用文件,其后的任何修改单(不包括勘误的内容)或修订版本都不适用于本标准,但提倡使用本标准的各方探讨使用其最新版本的可能性。凡不注日期或版次的引用文件,其最新版本适用于本标准。 GB17859-1999计算机信息系统安全保护等级划分准则 3 术语和定义 GB17859-1999确立的术语和定义适用于本标准。 3.1 信息安全产品 information security products 保障信息安全的一个IT软件、固件或硬件包,它提供相关功能且可用于或组合到多种系统中。 3.2 物理安全产品 physical security products 采用一定信息技术实现的,用以保护系统、设备、设施以及介质免遭物理破坏(如地震、火灾等自然灾害以及直接窃取等人为破坏)的信息安全产品。 3.3 主机设备 host equipment 由单一操作系统平台及其上层运行的应用所组成的、独立的信息设备。包括PC机、工作站、服务器等。 3.4 主机安全产品 host security products 部署在主机设备上,用于保障主机运行和数据安全的信息安全产品。 3.5 网络安全产品 network security products 部署在网络设备或通信终端上,用于防御针对网络通讯的攻击,保障通讯的可用性、保密性、完整性的信息安全产品。 3.6 边界安全产品 boundary security products 部署在安全域的边界上,用于防御安全域外部对内部网络/主机设备进行渗透或安全域内部网络/主机设备向外部泄漏敏感信息的信息安全产品。 3.7 应用安全产品 application security products 部署在特定的应用系统中,用于保障应用安全的信息安全产品,如应用级别的身份鉴别和访问控制服务。
信息安全系统管理系统要求规范
信息安全管理规范公司
版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(保密级别)规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息? (21) 2.2什么是信息安全? (21)
信息安全技术概述
1基本概念 1.1信息安全的要素 ●性:指网络中的信息不被非授权实体获取与使用。 的信息包括: 1.存储在计算机系统中的信息:使用访问控制机制,也可以进行加密增加安全性。 2.网络中传输的信息:应用加密机制。 ●完整性:指数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、 不被破坏和丢失的特性,还要求数据的来源具有正确性和可信性,数据是真实可信的。 解决手段:数据完整性机制。 ●真实性:保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操 作者的物理身份与数字身份相对应。 解决手段:身份认证机制。 ●不可否认性:或不可抵赖性。发送信息方不能否认发送过信息,信息的接收方不能否认接收 过信息。 解决手段:数字签名机制。 1.2信息技术 ●明文(Message):指待加密的信息,用M或P表示。 ●密文(Ciphertext):指明文经过加密处理后的形式,用C表示。 ●密钥(Key):指用于加密或解密的参数,用K表示。 ●加密(Encryption):指用某种方法伪装消息以隐藏它的容的过程。 ●加密算法(EncryptionAlgorithm):指将明文变换为密文的变换函数,用E表示。 ●解密(Decryption):指把密文转换成明文的过程。 ●解密算法(DecryptionAlgorithm):指将密文变换为明文的变换函数,用D表示。 ●密码分析(Cryptanalysis):指截获密文者试图通过分析截获的密文从而推断出原来的明文 或密钥的过程。 ●密码分析员(Crytanalyst):指从事密码分析的人。 ●被动攻击(PassiveAttack):指对一个系统采取截获密文并对其进行分析和攻击,这种攻 击对密文没有破坏作用。 ●主动攻击(ActiveAttack):指攻击者非法入侵一个密码系统,采用伪造、修改、删除等手 段向系统注入假消息进行欺骗,这种攻击对密文具有破坏作用。 ●密码体制(密码方案):由明文空间、密文空间、密钥空间、加密算法、解密算法构成的五 元组。 分类: 1.对称密码体制:单钥密码体制,加密密钥和解密密钥相同。 2.非对称密码体制:双钥密码体制、公开密码体制,加密密钥和解密密钥不同。 ●密码系统(Cryptosystem):指用于加密和解密的系统,通常应当是一个包含软、硬件的系 统。 ●柯克霍夫原则:密码系统的安全性取决于密钥,而不是密码算法,即密码算法要公开。
信息安全专业简介
信息安全专业简介 随着计算机技术与网络通信技术的广泛应用,社会对计算机的依赖越来越大,而计算机系统的安全一旦受到破坏,不仅会导致严重的社会混乱,也会带来巨大的经济损失。因此,信息安全已成为信息科学的热点课题,信息安全专业也受到了社会各界的普遍关注。 信息安全学科是由数学、计算机科学与技术、信息与通信工程和电子科学与技术等学科交叉而成的一门综合性学科。目前主要研究领域涉及现代密码学、计算机系统安全、计算机与通信网络安全、信息系统安全、电子商务/电子政务系统安全等。 信息安全专业的主干学科为:计算机科学与技术、信息与通信工程、电子科学与技术、数学。相关学科专业包括:计算机科学与技术(080605) 、电子信息科学与技术(071201)、电子信息工程(080603) 、通信工程(080604)等。 信息安全专业的主干课程包括信息安全数学基础、计算机组成原理、操作系统原理、数据库系统原理、计算机网络、数字系统与逻辑设计、通信原理、现代密码学、信息安全理论与技术、信息安全工程、信息安全管理、信息安全标准与法律法规等。 目前信息安全方面的人才还十分稀少,尤其是政府、国防、金融、公安和商业等部门对信息安全人才的需求很大。目前国内从事信息安全的专业人才人数并不多,并且大多分布在高校和研究院所,按照目前信息化发展的状况,社会对信息安全专业的人才需求量达几十万人。要解决供需矛盾,必须加快信息安全人才的培养。 信息安全专业培养具有扎实的数理基础,较好的外语和计算机技术运用能力,掌握信息安全的基本理论与技术、计算机与网络通信及其安全技术以及信息安全法律法规等方面的知识,能运用所学知识与技能去分析和解决相关的实际问题,具有较高的综合业务素质、较强的实践、创新与知识更新能力,可以在政府、国防、金融、公安和商业等部门从事信息安全产品研发、信息系统安全分析与设计、信息安全技术咨询与评估服务、信息安全教育、信息安全管理与执法等工作的高级专业人才。
信息安全保障概述
第一章信息安全保障概述 1.信息安全的基本属性:完整性、机密性、可用性、可控制性、不可否认性 2.信息安全保障体系框架 生命周期:规划组织、开发采购、实施交付、运行维护、废弃 保障要素:技术、管理、工程、人员 安全特征:保密性、完整性、可用性 3.信息系统安全模型P2DR安全模型:策略、防护、检测、响应 4.信息保障技术框架IATF 核心思想是纵深防御战略 三个主要核心要素:人、技术和操作。 四个技术框架焦点区域:保护本地计算机环境、保护区域边界、保护网络及基础设施、保护 支撑性基础设施 5.信息安全保障工作内容:确定安全需求、设计和实施安全方案、进行信息安全评测、实施 信息安全监控 第二章信息安全基础技术与原理 密码技术、认证技术、访问控制技术、审计和监控技术 A、密码技术 明文、密文、加密、解密 信息空间M、密文空间C、密钥空间K、加密算法E、解密算法 D 加密密钥、解密密钥 密码体系分为对称密钥体系、非对称密钥体系 对称密钥体系 1 对称密钥优点:加解密处理速度快和保密度高。 缺点:密钥管理和分发负责、代价高,数字签名困难 2.对称密钥体系分类:分组(块)密码(DES/IDEA/AES)和序列密码(RC4/SEAL) 3.传统的加密方法:代换法、置换法 5、攻击密码体系的方法:穷举攻击法(128位以上不再有效)和密码分析法 6.针对加密系统的密码分析攻击类型分为以下四种: ①惟密文攻击在惟密文攻击中,密码分析者知道密码算法,但仅能根据截获的 密文进行分析,以得出明文或密钥。由于密码分析者所能利用的数据资源仅为密文, 这是对密码分析者最不利的情况。 ②已知明文攻击已知明文攻击是指密码分析者除了有截获的密文外,还有一些已知的“明文—密文对”来破译密码。密码分析者的任务目标是推出用来加密的密钥或 某种算法,这种算法可以对用该密钥加密的任何新的消息进行解密。 ③选择明文攻击选择明文攻击是指密码分析者不仅可得到一些“明文—密文 对”,还可以选择被加密的明文,并获得相应的密文。这时密码分析者能够选择特定
信息安全产品培训方案
信息安全产品培训方案 *****有限公司 2016年08月05日
目录 第1章概述.............................................................................. 错误!未指定书签。 1.1前言.............................................................................. 错误!未指定书签。 1.2培训目的...................................................................... 错误!未指定书签。 1.3培训内容...................................................................... 错误!未指定书签。 1.4培训安排...................................................................... 错误!未指定书签。第2章培训原则...................................................................... 错误!未指定书签。 2.1培训范围...................................................................... 错误!未指定书签。 2.2培训时间...................................................................... 错误!未指定书签。 2.3培训师资...................................................................... 错误!未指定书签。 2.4对培训人员的要求...................................................... 错误!未指定书签。 2.5提供中文授课及中文材料与培训教材...................... 错误!未指定书签。第3章*******原厂商培训计划细节.................................... 错误!未指定书签。 3.1产品基础培训.............................................................. 错误!未指定书签。 3.2系统运行维护培训...................................................... 错误!未指定书签。 3.3技术答疑...................................................................... 错误!未指定书签。 3.4有针对性的二次培训.................................................. 错误!未指定书签。 3.5升级培训服务.............................................................. 错误!未指定书签。第4章培训安排...................................................................... 错误!未指定书签。 4.1培训讲师简介.............................................................. 错误!未指定书签。 4.2应用交付基础培训(现场培训).............................. 错误!未指定书签。 4.3应用交付系统运行维护培训(集中培训).............. 错误!未指定书签。第5章培训教材简介.............................................................. 错误!未指定书签。 5.1配置与管理.................................................................. 错误!未指定书签。 5.2单设备接线方式.......................................................... 错误!未指定书签。 5.3配置界面................................................................... 错误!未指定书签。 5.4配置和使用............................................................... 错误!未指定书签。
网上银行系统信息安全通用规范标准
附件 网上银行系统信息安全通用规范 (试行) 中国人民银行
目录 1使用范围和要求 (4) 2规范性引用文件 (4) 3术语和定义 (5) 4符号和缩略语 (6) 5网上银行系统概述 (6) 5.1系统标识 (6) 5.2系统定义 (7) 5.3系统描述 (7) 5.4安全域 (8) 6安全规范 (9) 6.1安全技术规范 (9) 6.2安全管理规范 (22) 6.3业务运作安全规范 (26) 附1 基本的网络防护架构参考图 (30) 附2 增强的网络防护架构参考图 (31)
前言 本规范是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上,有针对性提出的安全要求,内容涉及网上银行系统的技术、管理和业务运作三个方面。 本规范分为基本要求和增强要求两个层次。基本要求为最低安全要求,增强要求为本规范下发之日起的三年内应达到的安全要求,各单位应在遵照执行基本要求的同时,按照增强要求,积极采取改进措施,在规定期限内达标。 本规范旨在有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。本规范既可作为网上银行系统建设和改造升级的安全性依据,也可作为各单位开展安全检查和内部审计的依据。
1使用范围和要求 本规范指出了网上银行系统的描述、安全技术规范、安全管理规范、业务运作安全规范,适用于规范网上银行系统建设、运营及测评工作。 2规范性引用文件 下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,然而,鼓励根据本规范达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本规范。 GB/T 20983-2008 信息安全技术网上银行系统信息安全保障评估准则 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 GB/T 20984-2007 信息安全技术信息系统风险评估规范 GB/T 18336.1-2008 信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型 GB/T 18336.2-2008 信息技术安全技术信息技术安全性评估准则第2部分: 安全功能要求 GB/T 18336.3-2008信息技术安全技术信息技术安全性评估准则第3部分: 安全保证要求 GB/T 22080-2008 信息技术安全技术信息安全管理体系要求 GB/T 22081-2008 信息技术安全技术信息安全管理使用规则 GB/T 14394-2008 计算机软件可靠性和可维护性管理 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 《中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见》(银发〔2006〕123号) 《中国人民银行中国银行业监督管理委员会公安部国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知》(银发〔2009〕142号)