税务系统网络与信息安全安全标准.ppt

税务系统网络与信息安全技术培训班安全标准2004年6月 要 点 一、信息安全及标准化介绍 二、基础标准 三、技术机制安全标准 四、应用安全标准 五、管理类安全标准 六、信息安全标准对比 一、信息安全及标准化介绍 信息安全概述 标准化基础知识 国际信息安全标准化组织 我国信息安全标准化归口单位 信息安全标准体系 1.信息安全概述 21世纪，国家经济与社会文化发展的主要战略目标与技术产业动力，国家实现现代化的基本途径 内容： 领域信息化 党政机关 国防军事 银行 证券 新闻 文化 社会基础设施（电力、航空、交通等） 区域信息化（北京、上海、深圳等） 社区信息化 企业信息化 家庭信息化 信息安全 性质：信息技术以网络化的方式应用于社会生活各方面时，对国家、社会、个人安全利益的侵害与保护 关键点： 安全利益：国家、社会、个人的生存和发展的利益 信息技术： 侵害——信息、信息系统（网络化）以及信息和信息系统关联的主体（国家、社会、个人）的特定安全利益 保护——信息、信息系统（网络化）以及信息和信息系统关联的主体（国家、社会、个人）的特定安全利益 核心问题： 信息技术：特性和过程结果可侵害或保护国家、社会、个人的安全利益 信息安全保障体系 党的十五届五中全会和第九届人大第六次会议决定建立国家信息安全保障体系 性质：国家以国家意志和国家行为的方式，在信息技术方面所形成的用于保护其安全利益的资源和能力，这种资源和能力体现为特定形态和过程的技术结构、社会结构和人才结构 内容 技术资源 管理资源 人力资源 2.标准化基础 标准：标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践的综合成果为基础，经有关方面协商一致，由主管部门批准，以特定的方式发布，作为共同遵守的准则和依据。 强制性标准：保障人体健康、人身、财产安全的标准和法律、行政法规规定强制执行的标准；其它标准是推荐性标准。 我国标准分四级：国家标准、行业标准、地方标准、企业标准。 标准分类 国家标准：对需要在全国范围内统一的技术要求(含标准样品的制作）。GB/T XXXX.X-200X GB XXXX-200X 行业标准：没有国家标准，需要在全国某个行业范围内统一的技术要求。GA ,SJ 地方标准：没有国家标准 、行业标准而又需要在省、自治区、直辖市范围内统一的工业产品的安全、卫生要求。 DBXX/T XXX-200X DBXX/XXX-200X 企业标准：对企业范围内需要统一的技术要求、管理要求和工作要求。QXXX-XXX-200X 标准化定义 标准化：为在一定的范围内获得最佳秩序，对实际的或潜在的问题制定共同的和重复使用的规则的活动 实质：通过制定、发布和实施标准，达到统一。 目的：获得最佳秩序和社会效益。 标准化对象 标准化三维空间 标准化原理 我国通行“标准化八字原理”： “统一”原理 “简化”原理 “协调”原理 “最优”化原理 采标 等同采用idt（identical）：指技术内容相同，没有或仅有编辑性修改，编写方法完全相对应； 修改采用MOD（modified）：与国际标准之间存在技术性差异，有编辑性修改，可能不采用部分条款 非等效采用NEQ（not equivalent）：指技术内容有重大差异，只表示与国际标准有关。 3.国际信息安全标准化组织 ISO IEC ITU IETF 美国 欧洲 英国 加拿大 日本 韩国 信息安全标准化组织－ ISO JTC1 SC27，信息技术-安全技术 ISO/TC 68 银行和有关的金融服务 SC2，安全管理和通用银行运作； SC4，安全及相关金融工具； SC6，零售金融服务。 JTC1其他分技术委员会： SC6—系统间通信与信息交换，主要开发开放系统互连下四层安全模型和安全协议，如ISO 9160、ISO/IEC 11557。 SC17—识别卡和有关设备，主要开发与识别卡有关的安全标准ISO 7816 SC18—文件处理及有关通信，主要开发电子邮件、消息处理系统等。 SC21—开放系统互连，数据管理和开放式分布处理，主要开发开放系统互连安全体系结构，各种安全框架，高层安全模型等标准，如:ISO/IEC 7498-2、ISO/IEC 9594-1至8。 SC22—程序语言，其环境及系统软件接口，也开发相应的安全标准。 SC30—开放式电子数据交换，主要开发电子数据交换的有关安全标准。如ISO 9735-9 、 ISO 9735-10。 信息安全标准化组织－美国 ANSI NCITS-T4 制定IT安全技术标准 X9 制定金融业务标准 X12 制定商业交易标准 NIST 负责联邦政府非密敏感信息 FIPS-197 DOD 负责涉密信息 NSA 国防部指令（DODDI）（如TCSEC） IEEE SI