1、信息安全標準組織,第21講 信息安全標準組織,信息安全標準組織,課前檢查,從技術角度分析下列信息傳遞現(xiàn)象 1、接收方自己撰寫一份報文，并聲稱它來自發(fā)送方，這是（ ）。 2、網(wǎng)絡上的張三以李四的名義接收或發(fā)送報文，這是（ ） 。 3、小兵張嘎接到7月15日晚收藥的情報后將其改為8月15日晚，然后將其送給敵方，這是對信息進行了（ ） 4、小明通過QQ上告訴張晚上10:00出去，雖然張看到了QQ但遲遲做不了決定，小明晚上等了很久也沒等到張，第二天碰到張，小明問起這個事情，張說沒有看到，這是屬于（ ）信息。,偽造,冒充,篡改,否認,信息安全標準組織,針對在通信過程中信息接收和發(fā)送方容易出現(xiàn)的爭端，你認

2、為最好的解決方案是采用（ ）技術。 這是（ ），其主要特點是（ ）,課前檢查,數(shù)字簽名,與被簽的文件在物理上不可分割 簽名者不能否認自己的簽名 簽名不能被偽造 容易被驗證,按明文、密文對應關系劃分：數(shù)字簽名可分為確定性數(shù)字簽名和非確定性數(shù)字簽名，其中確定性數(shù)字簽名采用的是（ ）體制,RSA,手動簽名,信息安全標準組織,新課引入,信息安全標準組織,信息安全技術標準是信息安全產(chǎn)業(yè)的重要領域，一直受到國內(nèi)外的普遍關注，早在1977年，美國國家標準局就正式頒發(fā)了世界第一個數(shù)據(jù)加密標準（DES），隨著通信和計算機網(wǎng)絡的發(fā)展，信息安全的標準化工作也取得了很大的進展。 BS7799 CC SSE-CMM,信

3、息安全標準組織,國際安全標準,BS7799 英國標準BS7799是目前世界上應用最廣泛的典型的信息安全管理標準，它是在BSI/DISC的BDD/2信息安全管理委員會指導下制定完成的。 BS7799標準提供一個開發(fā)組織安全標準、有效實施安全管理的公共基礎，還提供了組織間交易的可信度。 該標準第一部分為組織管理者提供了信息安全管理的實施慣例，例如信息與軟件交換和處理的安全規(guī)定、設備的安全配置管理、安全區(qū)域進出的控制等一些很容易理解的問題。這恰巧符合信息安全的“七分管理，三分技術”的原則。 這些管理規(guī)定一般的單位都可以制定，但要想達到BS7799的全面性則需要一番努力。在信息安全管理方面，BS779

4、9的地位是其他標準無法取代的?？偟恼f來，BS7799涵蓋了安全管理所應涉及的方方面面，全面而不失可操作性，提供了一個可持續(xù)提高的信息安全管理環(huán)境。,信息安全標準組織,CC 信息安全安全性評估的標準信息技術安全性評估通用準則（CC：Common Criteria），通常簡稱通用準則，也即是國際標準ISO/IEC15408-99，該標準是評估信息技術產(chǎn)品和系統(tǒng)安全特性的基礎準則。 它是在TESEC、ITSEC、CTCPEC、FC等信息安全標準的基礎上綜合形成的，通過建立信息技術安全性評估的通用準則庫，使得其評估結果能被更多的人理解、信任，并且讓各種獨立的安全評估結果具有可比性，從而達到互相認可的目

5、的。 此標準是現(xiàn)階段最完善的信息技術安全性評估標準，我國也采用這一標準（GB/T 18336）對產(chǎn)品、系統(tǒng)和系統(tǒng)方案進行測試、評估和認可。,信息安全標準組織,國際安全標準,SSE-CMM 系統(tǒng)安全工程能力成熟模型簡寫為SSE-CMM，是原英文Systems Security Engineering Capability Maturity Model的縮寫。它是一個模型，正如開放系統(tǒng)互連參考模型（OSI）一樣，但它指導著系統(tǒng)安全工程的完善和改進，使系統(tǒng)安全工程成為一個清晰定義的、成熟的、可管理的、可控制的、有效的和可度量的科學。 SSE-CMM描述了一個組織的安全工程過程務必包含的本質(zhì)特征，這些

6、特征是完善安全工程的保證，也是安全工程實施的度量標準，還是一個易于理解的評估安全工程實施的框架。,信息安全標準組織,重要里程碑,信息安全標準組織,信息安全標準組織,信息安全標準組織,信息安全標準組織,信息安全標準組織,信息安全標準組織,信息安全標準組織,信息安全標準組織,信息安全標準組織,信息安全標準組織,信息安全標準體系,信息安全標準組織,信息安全標準組織,國內(nèi)安全標準,中華人民共和國標準化法將我國的標準分為國家標準、行業(yè)標準、地方標準、企業(yè)標準四級。 我國的國家標準由國務院標準化行政主管部門制定； 行業(yè)標準由國務院有關行政主管部門制定； 地方標準由省、自治區(qū)和直轄市標準化行政主管部門制定；

7、 企業(yè)標準由企業(yè)自己制定。 我們國家的信息安全從保密技術、難度、標準的特點出發(fā)，將信息安全保密標準分三級： 第一級國家標準， 第二級國家軍隊標準， 第三級國家保密標準。 在這三級標準中，國家保密標準最高。 其他標準還包括：公共安全行業(yè)標準（GA）。,信息安全標準組織,信息安全標準組織,信息安全標準組織,重要的標準化組織,國際標準化組織ISO 國際標準化組織(International Organization for Standardization)簡稱ISO，是一個全球性的非政府組織，是國際標準化領域中一個十分重要的組織。ISO成立于1946年，當時來自25個國家的代表在倫敦召開會議，決定成

8、立一個新的國際組織，以促進國際間的合作和工業(yè)標準的統(tǒng)一。于是，ISO這一新組織于1947年2月23日正式成立，總部設在瑞士的日內(nèi)瓦。ISO于1951年發(fā)布了第一個標準工業(yè)長度測量用標準參考溫度。 ISO的任務是促進全球范圍內(nèi)的標準化及其有關活動，以利于國際間產(chǎn)品與服務的交流，以及在知識、科學、技術和經(jīng)濟活動中發(fā)展國際間的相互合作。ISO的組織機構包括全體大會、主要官員、成員團體、通信成員、捐助成員、政策發(fā)展委員會、理事會、ISO中央秘書處、特別咨詢組、技術管理局、標樣委員會、技術咨詢組、技術委員會等。,信息安全標準組織,重要的標準化組織,國際電工委員會IEC IEC（International

9、 Electro technical Commission）成立于1906年，是世界上最早的非政府性國際性電工標準化機構，總部設在日內(nèi)瓦，是聯(lián)合國經(jīng)社理事會（E-COSOC）的甲級咨詢組織。IEC負責有關電工、電子領域的國際標準化工作，其他領域則由ISO負責。IEC的宗旨是促進電工、電子領域中標準化及有關方面問題的國際合作，增進相互了解。IEC的工作領域包括了電力、電子、電信和原子能方面的電工技術。目前IEC成員國包括了大多數(shù)的工業(yè)發(fā)達國家及一部分發(fā)展中國家。這些國家擁有世界人口的80%，其生產(chǎn)和消耗的電能占全世界的95%，制造和使用電氣、電子產(chǎn)品占全世界產(chǎn)量的90%。 IEC下設80多個標準

10、化技術委員會，已制定標準4000余項。在信息安全技術標準化方面，除了同ISO聯(lián)合建立的JTC1下屬幾個分委員會外，還在電磁兼容等方面成立了技術委員會，并制定了相關的國際標準，如信息技術設備安全（IEC 60950）。,信息安全標準組織,重要的標準化組織,國際電信聯(lián)盟ITU ITU（International Telecommunication Union）是世界各國政府的電信主管部門之間協(xié)調(diào)電信事務方面的一個國際組織，于1865年5月17日成立于巴黎。 ITU現(xiàn)有成員國189個，總部設在日內(nèi)瓦。 ITU是聯(lián)合國負責電信事務的專門機構，但在法律上不是聯(lián)合國附屬機構。 ITU的宗旨是：維持和擴大國

11、際合作，以改進和合理地使用電信資源；促進技術設施的發(fā)展及其有效運用，以提高電信業(yè)務的效率，擴大技術設施的用途，并盡量使公眾普遍利用；協(xié)調(diào)各國行動，以達到上述目的。 ITU的組織原有全權代表會、行政大會、行政理事會和4個常設機構，即總秘書處、國際電報電話咨詢委員會（CCITT）、國際無線電咨詢委員會（CCIR）和國際頻率登記委員會（IFRB）。,信息安全標準組織,重要的標準化組織,因特網(wǎng)工程任務組IETF IETF(Internet Engineering Task Force)主要提出Internet標準草案和成為RFC（征求意見稿）的協(xié)議文稿，也包括安全方面的建議稿，內(nèi)容比較廣泛，經(jīng)過網(wǎng)上討

12、論修改，被大家接受的就成了事實上的標準。目前有關安全方面的RFC有170多個，例如：RFC1352（SNMP安全協(xié)議）、RFC1421-1424（因特網(wǎng)電子郵件保密增強協(xié)議）和RFC1825（因特網(wǎng)協(xié)議安全體系結構）等。有關信息安全的工作組有PGP開發(fā)規(guī)范（OpenPGP）、鑒別防火墻遍歷（AFT）、通過鑒別技術（CAT）、域名服務系統(tǒng)安全（Dnssec）、IP安全協(xié)議（IPSec）、一次性口令鑒別（Otp）、X.509公鑰基礎設施（PKI）、S/MIME郵件安全、安全Shell（Secsh）、簡單公鑰基礎設施（SPKI）、傳輸層安全（TLS）和Web處理安全（WTS）等12個。,信息安全標準組織,重要的標準化組織,中國通信標準化協(xié)會 中國通信標準化協(xié)會（CCSA，China Communications Standards Association），該協(xié)會是國內(nèi)企業(yè)、事業(yè)單位自愿聯(lián)合起來，經(jīng)業(yè)務主管部門批準，國家社團登記管理機關登記，開展通信技術標準化活動的非營利性法人社會團體