1、第21讲 信息安全标准组织,课前检查,从技术角度分析下列信息传递现象 1、接收方自己撰写一份报文,并声称它来自发送方,这是( )。 2、网络上的张三以李四的名义接收或发送报文,这是( ) 。 3、小兵张嘎接到7月15日晚收药的情报后将其改为8月15日晚,然后将其送给敌方,这是对信息进行了( ) 4、小明通过QQ上告诉张晚上10:00出去,虽然张看到了QQ但迟迟做不了决定,小明晚上等了很久也没等到张,第二天碰到张,小明问起这个事情,张说没有看到,这是属于( )信息。,伪造,冒充,篡改,否认,针对在通信过程中信息接收和发送方容易出现的争端,你认为最好的解决方案是采用( )技术。这是( ),其主要特
2、点是( ),课前检查,数字签名,与被签的文件在物理上不可分割 签名者不能否认自己的签名 签名不能被伪造 容易被验证,按明文、密文对应关系划分:数字签名可分为确定性数字签名和非确定性数字签名,其中确定性数字签名采用的是( )体制,RSA,手动签名,新课引入,信息安全技术标准是信息安全产业的重要领域,一直受到国内外的普遍关注,早在1977年,美国国家标准局就正式颁发了世界第一个数据加密标准(DES),随着通信和计算机网络的发展,信息安全的标准化工作也取得了很大的进展。 BS7799 CC SSE-CMM,国际安全标准,BS7799 英国标准BS7799是目前世界上应用最广泛的典型的信息安全管理标准
3、,它是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成的。 BS7799标准提供一个开发组织安全标准、有效实施安全管理的公共基础,还提供了组织间交易的可信度。 该标准第一部分为组织管理者提供了信息安全管理的实施惯例,例如信息与软件交换和处理的安全规定、设备的安全配置管理、安全区域进出的控制等一些很容易理解的问题。这恰巧符合信息安全的“七分管理,三分技术”的原则。 这些管理规定一般的单位都可以制定,但要想达到BS7799的全面性则需要一番努力。在信息安全管理方面,BS7799的地位是其他标准无法取代的。总的说来,BS7799涵盖了安全管理所应涉及的方方面面,全面而不失可操作性,提供
4、了一个可持续提高的信息安全管理环境。,CC 信息安全安全性评估的标准信息技术安全性评估通用准则(CC:Common Criteria),通常简称通用准则,也即是国际标准ISO/IEC15408-99,该标准是评估信息技术产品和系统安全特性的基础准则。 它是在TESEC、ITSEC、CTCPEC、FC等信息安全标准的基础上综合形成的,通过建立信息技术安全性评估的通用准则库,使得其评估结果能被更多的人理解、信任,并且让各种独立的安全评估结果具有可比性,从而达到互相认可的目的。 此标准是现阶段最完善的信息技术安全性评估标准,我国也采用这一标准(GB/T 18336)对产品、系统和系统方案进行测试、评
5、估和认可。,国际安全标准,SSE-CMM 系统安全工程能力成熟模型简写为SSE-CMM,是原英文Systems Security Engineering Capability Maturity Model的缩写。它是一个模型,正如开放系统互连参考模型(OSI)一样,但它指导着系统安全工程的完善和改进,使系统安全工程成为一个清晰定义的、成熟的、可管理的、可控制的、有效的和可度量的科学。 SSE-CMM描述了一个组织的安全工程过程务必包含的本质特征,这些特征是完善安全工程的保证,也是安全工程实施的度量标准,还是一个易于理解的评估安全工程实施的框架。,重要里程碑,信息安全标准体系,国内安全标准,中华
6、人民共和国标准化法将我国的标准分为国家标准、行业标准、地方标准、企业标准四级。我国的国家标准由国务院标准化行政主管部门制定;行业标准由国务院有关行政主管部门制定;地方标准由省、自治区和直辖市标准化行政主管部门制定;企业标准由企业自己制定。 我们国家的信息安全从保密技术、难度、标准的特点出发,将信息安全保密标准分三级:第一级国家标准, 第二级国家军队标准,第三级国家保密标准。在这三级标准中,国家保密标准最高。其他标准还包括:公共安全行业标准(GA)。,重要的标准化组织,国际标准化组织ISO 国际标准化组织(International Organization for Standardizatio
7、n)简称ISO,是一个全球性的非政府组织,是国际标准化领域中一个十分重要的组织。ISO成立于1946年,当时来自25个国家的代表在伦敦召开会议,决定成立一个新的国际组织,以促进国际间的合作和工业标准的统一。于是,ISO这一新组织于1947年2月23日正式成立,总部设在瑞士的日内瓦。ISO于1951年发布了第一个标准工业长度测量用标准参考温度。 ISO的任务是促进全球范围内的标准化及其有关活动,以利于国际间产品与服务的交流,以及在知识、科学、技术和经济活动中发展国际间的相互合作。ISO的组织机构包括全体大会、主要官员、成员团体、通信成员、捐助成员、政策发展委员会、理事会、ISO中央秘书处、特别咨
8、询组、技术管理局、标样委员会、技术咨询组、技术委员会等。,重要的标准化组织,国际电工委员会IEC IEC(International Electro technical Commission)成立于1906年,是世界上最早的非政府性国际性电工标准化机构,总部设在日内瓦,是联合国经社理事会(E-COSOC)的甲级咨询组织。IEC负责有关电工、电子领域的国际标准化工作,其他领域则由ISO负责。IEC的宗旨是促进电工、电子领域中标准化及有关方面问题的国际合作,增进相互了解。IEC的工作领域包括了电力、电子、电信和原子能方面的电工技术。目前IEC成员国包括了大多数的工业发达国家及一部分发展中国家。这些
9、国家拥有世界人口的80%,其生产和消耗的电能占全世界的95%,制造和使用电气、电子产品占全世界产量的90%。 IEC下设80多个标准化技术委员会,已制定标准4000余项。在信息安全技术标准化方面,除了同ISO联合建立的JTC1下属几个分委员会外,还在电磁兼容等方面成立了技术委员会,并制定了相关的国际标准,如信息技术设备安全(IEC 60950)。,重要的标准化组织,国际电信联盟ITU ITU(International Telecommunication Union)是世界各国政府的电信主管部门之间协调电信事务方面的一个国际组织,于1865年5月17日成立于巴黎。 ITU现有成员国189个,总
10、部设在日内瓦。 ITU是联合国负责电信事务的专门机构,但在法律上不是联合国附属机构。ITU的宗旨是:维持和扩大国际合作,以改进和合理地使用电信资源;促进技术设施的发展及其有效运用,以提高电信业务的效率,扩大技术设施的用途,并尽量使公众普遍利用;协调各国行动,以达到上述目的。ITU的组织原有全权代表会、行政大会、行政理事会和4个常设机构,即总秘书处、国际电报电话咨询委员会(CCITT)、国际无线电咨询委员会(CCIR)和国际频率登记委员会(IFRB)。,重要的标准化组织,因特网工程任务组IETF IETF(Internet Engineering Task Force)主要提出Internet标
11、准草案和成为RFC(征求意见稿)的协议文稿,也包括安全方面的建议稿,内容比较广泛,经过网上讨论修改,被大家接受的就成了事实上的标准。目前有关安全方面的RFC有170多个,例如:RFC1352(SNMP安全协议)、RFC1421-1424(因特网电子邮件保密增强协议)和RFC1825(因特网协议安全体系结构)等。有关信息安全的工作组有PGP开发规范(OpenPGP)、鉴别防火墙遍历(AFT)、通过鉴别技术(CAT)、域名服务系统安全(Dnssec)、IP安全协议(IPSec)、一次性口令鉴别(Otp)、X.509公钥基础设施(PKI)、S/MIME邮件安全、安全Shell(Secsh)、简单公钥
12、基础设施(SPKI)、传输层安全(TLS)和Web处理安全(WTS)等12个。,重要的标准化组织,中国通信标准化协会 中国通信标准化协会(CCSA,China Communications Standards Association),该协会是国内企业、事业单位自愿联合起来,经业务主管部门批准,国家社团登记管理机关登记,开展通信技术标准化活动的非营利性法人社会团体。中国国家标准化管理委员会 中国国家标准化管理委员会(SCA,Standardization Administration of the Peoples Republic of China),SAC是国务院授权履行行政管理职能,统一管理全国标准化工作的主攻机构。,实践,查找国内外信息安全标准现状,并完成练习。 查找国内外信息安全立法现状,列出近2年内的信息安全法律法规。,
