CISP-22-信息安全标准-new课件.ppt

1、信息安全标准信息安全标准中国信息安全测评中心目录目录一标准基础知识简介二国际、外国、我国信息安全标准化机构三信息安全相关国际标准和指南四信息安全相关国内标准和指南五一些补充材料一、标准基础知识简介一、标准基础知识简介 国家标准：GB/T XXXX.X-200X GB XXXX-200X 行业标准：GA，GJB 地方标准：DBXX/T XXX-200X DBXX/XXX-200X 企业标准：QXXX-XXX-200X标准化基础知识（标准化基础知识（1/4）标准化基础知识（标准化基础知识（2/4） 标准化：为在一定的范围内获得最佳秩序，对实际的或潜在的问题制定共同的和重复使用的规则的活动 实质：通

2、过制定、发布和实施标准，达到统一。 目的：获得最佳秩序和社会效益。 意义：促进和带动产业发展；解决安全互联互通。国际级国际级区域级区域级国家级国家级行业级行业级地方级地方级企业级企业级人员人员服务服务系统系统产品产品过程过程管理管理应用应用技术机制技术机制体系、框架体系、框架术语术语XYZX X轴代表标准化对象轴代表标准化对象Y Y轴代表标准化的内容轴代表标准化的内容Z Z轴代表标准化的级别。轴代表标准化的级别。标准化基础知识（标准化基础知识（3/4） 标准化三维空间标准化三维空间 我国通行“标准化八字原理”： “统一”原理 “简化”原理 “协调”原理 “最优”化原理标准化基础知识（标准化基础

3、知识（4/4） 标准化管理性质 标准化提供的事公共服务，依法管理 标准化管理的性质是国家公共行政行为。 标准化的管理 标准化管理机构 国务院授权履行行政管理职能，主管机构是国家标准化管理委员会（Standardization Administration of the Peoples Republic of China，简称：SAC） 标准的制定 全国专业标准化技术委员会是由国家标准化主管机构依法组建的专家型技术组织我国标准化管理和组织机构我国标准化管理和组织机构 国家标准化管理委员会，http:/ 全国信息安全标准化技术委员会（简称信息安全标委会，全国信息安全标准化技术委员会（简称信息安全标

4、委会，TC260），）， http:/ 全国信息技术标准化技术委员会（简称信标委,英文缩写为CITS），负责全国信息技术领域以及与ISO/IEC JTC1相对应的标准化工作。http:/ 全国金融标准化技术委员会（简称金标委），负责金融系统标准化技术归口管理工作和国际标准化组织中银行与相关金融业务标准化技术委员会（ISO/TC68、TC222）的归口管理工作。http:/www.cfstc.org/ 我国标准工作归口单位我国标准工作归口单位标准化基础标准化基础 采标： 等同采用IDT（identical） 修改采用MOD（modified） 非等效采用NEQ（not equivalent）IT

5、标准化标准化 IT标准发展趋势 (1)标准逐步从技术驱动向市场驱动市场驱动方向发展。 (2)信息技术标准化机构由分散走向联合联合。 (3)信息技术标准化的内容更加广泛，重点更加突出，从IT技术领域向社会各个领域渗透向社会各个领域渗透，涉及教育、文化、医疗、交通、商务等广泛领域，需求大量增加。 (4)从技术角度看，IT标准化的重点将放在网络接口、软件接口、信息格式、安全安全等方面，并向着以技术中立为前提，保证互操作为目的方向发展。二、国际、外国、我国信息安全标准化二、国际、外国、我国信息安全标准化机构机构信息安全标准化组织信息安全标准化组织国际标准国际标准ISO（国际标准化组织）（国际标准化组织

6、） 由146个国家标准成员（每个国家一个）组成的世界联盟 建立于1947（www.iso.org） 2.952技术成员 190技术委员会 (TCs)、544子委员会 (SCs)、2.188工作组 (WGs) 工作成果发布为国际标准（IS） 同安全相关的机构 ISO/IEC JTC 1/SC 27：IT安全技术 ISO TC 68 “金融服务（Financial Services）” ISO TC 215 “健康医疗学（Health Informatics）”国际信息安全相关组织（国际信息安全相关组织（1/4） ISO JTC1其他分技术委员会： SC6系统间通信与信息交换 SC17识别卡和有关

7、设备 SC18文件处理及有关通信 SC21开放系统互连，数据管理和开放式分布处理 SC22程序语言，其环境及系统软件接口，也开发相应的安全标准。 SC30开放式电子数据交换，主要开发电子数据交换的有关安全标准。国际信息安全相关组织（国际信息安全相关组织（2/4） IEC TC56 可靠性； TC74 IT设备安全和功效； TC77 电磁兼容； CISPR 无线电干扰特别委员会 ITU 前身是CCITT 消息处理系统 目录系统(X.400系列、X.500系列) 安全框架 安全模型等标准国际信息安全相关组织（国际信息安全相关组织（3/4） IETF（170多个RFC、12个工作组） PGP开发规范

8、(openpgp)； 鉴别防火墙遍历(aft)； 通用鉴别技术(cat) ； 域名服务系统安全(dnssec)； IP安全协议(ipsec)； 一次性口令鉴别(otp)； X.509公钥基础设施(pkix)； S/MIME邮件安全(smime)； 安全Shell (secsh)； 简单公钥基础设施(spki)； 传输层安全(tls) Web处理安全 (wts)国际信息安全相关组织（国际信息安全相关组织（4/4） IEEE SILS（LAN/WAN）安全 P1363公钥密码标准 ECMA(欧洲计算机厂商协会) TC32“通信、网络和系统互连”曾定义了开放系统应用层安全结构； TC36“IT安全”

9、负责信息技术设备的安全标准。外国信息安全标准化组织（外国信息安全标准化组织（1/2） 美国 ANSI NCITS-T4 制定IT安全技术标准 X9 制定金融业务标准 X12 制定商业交易标准 NIST 负责联邦政府非密敏感信息 FIPS-197 NIST Special Publication 800系列 DOD 负责涉密信息 NSA 国防部指令（DODI）（如TCSEC）英国 BS 7799 医疗卫生信息系统安全加拿大计算机安全管理日本JIS 国家标准JISC 工业协会标准韩国KISA负责防火墙、IDS、PKI方面标准外国信息安全标准化组织（外国信息安全标准化组织（2/2）我国全国信息安全标

10、准化技术委员会我国全国信息安全标准化技术委员会TC260 2002年4月15日成立 共54个标准（2007年1月31日更新） 其中2002年前21个标准 目前分为6个工作组： WG1: 标准体系与协调 WG2: 涉密 WG3: 密码 WG4: 标识与鉴别 WG5: 信息安全评估 WG7：信息安全管理三、信息安全相关国际标准和指南三、信息安全相关国际标准和指南词汇词汇安全体系结构安全体系结构安全框架安全框架安全模型安全模型GB/T 5271.8-2000信息技术 词汇 第8部分：安全GB/T 9387.2-1995开放系统互连 基本参考模型 第2部分：安全体系结构ISO/IEC 10181-17

11、 开放系统的安全框架GB/T 17965高层安全模型GB/T 18231低层安全模型ISO/IEC 15443-1 IT安全保障框架IATF信息保障技术框架ISO/IEC 11586-16通用高层安全网络层安全GJB 2256-1994军用计算机安全术语RFC 2401因特网安全体系结构ISO/IEC7498-4 管理框架传输层安全信息安全基础标准信息安全基础标准信息技术安全评估标准的历史和发展信息技术安全评估标准的历史和发展1985年年美国国防部美国国防部可信计算机评估准则可信计算机评估准则（TCSEC）1999年年GB 17859计算机信息系统安全保护等计算机信息系统安全保护等级划分准则级

12、划分准则2001年年GB/T 18336信息技术安全性评估准则信息技术安全性评估准则1991年年欧洲欧洲信息技术安全性评估准则信息技术安全性评估准则（ITSEC）1989年年 英国英国可信级别标准可信级别标准（MEMO 3 DTI）德国德国评估标准评估标准（ZSEIC）法国法国评估标准评估标准（B-W-R BOOK）1993年年 美国美国NIST的的MSFR1993年年加拿大加拿大可信计算机产品评估准则可信计算机产品评估准则（CTCEC）1993年年美国美国联邦准则联邦准则（FC 1.0）国际国际 通用评估准则通用评估准则1996年，年，CC 1.01998年，年，CC 2.01999年，年，

13、CC 2.11999年年国际标准国际标准ISO/IEC 15408可信计算机系统评估准则（TCSEC）信息安全技术的里程碑1985年作为美国国防部标准（DoD）发布（DoD 5200.28-STD ）桔皮书简介主要为军用标准。延用至民用。主要针对主机型分时操作系统，主要关注保密性安全级别主要按功能分类安全级别从高到低分为A、B、C、D四级，级下再分小级，包含D、C1、C2、B1、B2、B3、A1这这7个级别。个级别。后发展为彩虹系列彩虹系列桔皮书：可信计算机系统评估准则黄皮书：桔皮书的应用指南红皮书：可信网络解释紫皮书：可信数据库解释。可信计算机系统评估准则（可信计算机系统评估准则（TCSEC

14、）qD: 最小保护Minimal ProtectionqC1: 自主安全保护Discretionary Security ProtectionqC2: 访问控制保护Controlled Access ProtectionqB1: 安全标签保护Labeled Security ProtectionqB2: 结构化保护结构化保护Structured ProtectionqB3: 安全域保护安全域保护Security DomainqA1: 验证设计保护验证设计保护Verified Design低保证系统高保证系统可信计算机系统评估准则（可信计算机系统评估准则（TCSEC）安全级别安全级别可信计算机系

15、统评估准则（可信计算机系统评估准则（TCSEC）缺陷缺陷 集中考虑数据保密性，而忽略了数据完整性、系统可用性等； 将安全功能和安全保证混在一起 安全功能规定得过为严格，不便于实际开发和测评信息技术安全性评估准则（信息技术安全性评估准则（ITSEC） 欧洲多国安全评价方法的综合产物，军用，政府用和商用。 以超越TCSEC为目的，将安全概念分为功能与功能评估两部分。 功能准则在测定上分10级。15级对应于TCSEC的C1到B3。610级加上了以下概念： F-IN：数据和程序的完整性 F-AV：系统可用性 F-DI：数据通信完整性 F-DC：数据通信保密性 F-DX 包括保密性和完整性的网络安全 评

16、估准则分为6级： E1：测试 E2：配置控制和可控的分配 E3：能访问详细设计和源码 E4：详细的脆弱性分析 E5：设计与源码明显对应 E6：设计与源码在形式上一致。信息技术安全性评估准则（信息技术安全性评估准则（ITSEC） 与与TCSEC的不同的不同 安全被定义为保密性、完整性、可用性 功能和质量/保证分开 对产品和系统的评估都适用，提出评估对象（TOE）的概念 产品：能够被集成在不同系统中的软件或硬件包； 系统：具有一定用途、处于给定操作环境的特殊安全装置可信计算机产品评估准则（可信计算机产品评估准则（CTCEC） 加拿大，1989年公布，专为政府需求而设计 与ITSEC类似，将安全分为

17、功能性需求和保证性需要两部分。 功能性要求分为四个大类： a 保密性 b 完整性 c 可用性 d 可控性 在每种安全需求下又分成很多小类，表示安全性上的差别，分级条数为05级。美国联邦准则美国联邦准则(FC) 对TCSEC的升级1992年12月公布 引入了“保护轮廓（PP）”这一重要概念 每个轮廓都包括功能部分、开发保证部分和评测部分。 分级方式与TCSEC不同，吸取了ITSEC、CTCPEC中的优点。 供美国政府用、民用和商用。GB 17859-1999 计算机信息系统安全计算机信息系统安全等级划分准则等级划分准则 第一级 用户自主保护级 自主保护 第二级 系统审计保护级 指导保护 第三级

18、安全标记保护级 监督保护 第四级 结构化保护级 强制保护 第五级 访问验证保护级 专控保护 通用准则（通用准则（CC）GB/T 18336 国际标准化组织统一现有多种准则的努力结果； 1993年开始，1996年出V 1.0, 1998年出V 2.0，1999年6月正式成为国际标准，1999年12月ISO出版发行ISO/IEC 15408； 主要思想和框架取自ITSEC和FC； 充分突出“保护轮廓”，将评估过程分“功能”和“保证”两部分； 是目前最全面的评价准则 通用准则（通用准则（CC） 国际上认同的表达IT安全的体系结构结构 一组规则集一组规则集 一种评估方法，其评估结果国际互认 通用测试方

19、法（CEM） 已有安全准则的总结和兼容 通用的表达方式表达方式，便于理解 灵活的架构 可以定义自己的要求扩展CC要求 准则今后发展的框架评测级别对应评测级别对应GB/T 18336CCGB 17859TCSECCTCPECITSECDT-0E0EAL1-T-1-EAL2第一级C1T-2E1EAL3第二级C2T-3E2EAL4第三级B1T-4E3EAL5第四级B2T-5E4EAL6第五级B3T-6E5EAL7A1T-7E6保证保证功功能能 EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 EAL7 E0 E1 E2 E3 E4 E5 E6D级级C1级级C2级级B1级级B2级级B3级级A

20、1级级F-C1级级F-C2级级F-B1级级F-B2级级F-B3级级HP-UNIX(VV)Win nt 3.5Win nt 4.0Win 2000评测级别对应评测级别对应IATF信息安全保障技术框架信息安全保障技术框架IATF分层多点深度防御分层多点深度防御IATF分层多点深度防御分层多点深度防御技术保护区域技术保护区域 保卫网络和基础设施 保卫边界 保卫计算环境 支撑性基础设施IATF分层多点深度防御分层多点深度防御攻击类型攻击类型描述描述被动攻击被动攻击被动攻击包括分析通信流，监视未被保护的通讯，解密弱加密通讯，获取鉴别信息（比如口令）。被动攻击可能造成在没有得到用户同意或告知用户的情况下，

21、将信息或文件泄露给攻击者。这样的例子如泄露个人的信用卡号码和医疗档案等。主动攻击主动攻击主动攻击包括试图阻断或攻破保护机制、引入恶意代码、偷窃或篡改信息。主动进攻可能造成数据资料的泄露和散播，或导致拒绝服务以及数据的篡改。物理临近攻击物理临近攻击是指一未被授权的个人，在物理意义上接近网络、系统或设备，试图改变、收集信息或拒绝他人对信息的访问。内部人员攻击内部人员攻击内部人员攻击可以分为恶意或无恶意攻击。前者指内部人员对信息的恶意破坏或不当使用，或使他人的访问遭到拒绝；后者指由于粗心、无知以及其它非恶意的原因而造成的破坏。软硬件装配分发攻软硬件装配分发攻击击指在工厂生产或分销过程中对硬件和软件进

22、行的恶意修改。这种攻击可能是在产品里引入恶意代码，比如后门。信息安全管理标准概述信息安全管理标准概述ISO/IEC JTC1 SC27安全技术子委员会介绍安全技术子委员会介绍 ISO/IEC JTC 1 SC 27的名称是“IT安全技术”。其工作领域是IT安全的通用方法和技术，包括： 为IT安全服务识别通用要求（包括要求方法）； 开发安全技术和机制（包括注册流程以及安全组件的关系）； 开发安全指南（例如，解释文件、风险分析）；以及 开发管理支持文件和标准（例如，术语和安全评估准则）。 JTC 1/SC 27 IT 安全技术子委员会的活动 超过80个项目（其他几乎50个是活跃的） 超过50个发布

23、的信息安全标准 近2年发展尤其活跃和迅猛WG 5“隐私、标识和隐私、标识和生物测定技术安全生物测定技术安全”ISO/IEC JTC1 SC27工作组方向工作组方向评估评估指南指南技术技术产品产品系统系统过程过程环境环境WG 1“ISMS”WG 2“密码技术和安全机制密码技术和安全机制”WG 3“安全评估安全评估”WG 4“安全控制和服务安全控制和服务”已发布已发布 ISO/IEC 27001:2005信息安全管理系统要求 ISO/IEC 27002:2005 (ISO/IEC 17799)信息安全管理实践准则 ISO/IEC 27006:2007 Requirements for the ac

24、creditation of bodies providing certification of ISMS ISO/IEC 13335信息和通信技术安全的管理 ISO/IEC TR 13335IT安全管理指南即将发布即将发布 ISO/IEC 27000:2006信息安全管理系统基础和词汇表目前状态：1st CD ISO/IEC 27003:2007信息安全管理系统实施指南目前状态：3rd WD ISO/IEC 27004:2006信息安全管理测量目前状态：1st CD ISO/IEC 27005:2007信息安全风险管理目前状态：FCD ISO/IEC 27007信息安全管理系统审计师指南目前

25、状态：尚未批准WG1：信息安全管理系统（：信息安全管理系统（ISMS）参考文件：SC 27 Standing Document 7 (SD7) CATALOGUE OF ISO/IEC JTC 1/SC 27 PROJECTS AND STANDARDS (SC 27 N5717)，2007-04-24ISMS 概述和词汇表ISO/IEC 27000:2008? (ISO/IEC 13335-1)ISMS 测量ISO/IEC 27004:2008?风险管理BS 7799-3:2006ISO/IEC 27005:2007? (ISO/IEC TR 13335-3:1998)ISMS要求要求ISO

26、/IEC 27001:2005 (BS 7799-2:2002)ISMS 实践准则实践准则ISO/IEC 27002:2005 (ISO/IEC17799)ISMS 实施指南ISO/IEC 27003:2008? ISMS 审计师指南ISO/IEC 27007?ISMS 认证体制ISO/IEC 27006:2007 (EA 7/03)ISO/IEC 27000标准族标准族特定标准和指南附录A信息安全管理标准概述信息安全管理标准概述西方发达国家的信息安全管理标准西方发达国家的信息安全管理标准 西方发达国家的信息安全管理标准 英国（BSI） BS 7799 BS 15000 美国（NIST） NI

27、ST SP的以下一些标准指南信息安全管理标准信息安全管理标准BS 7799 BS 7799标准 BS 7799-1 信息安全管理导则（code of practice for information security management），现已成为国际标准ISO/IEC 17799。 BS7799-2：信息安全管理系统规范（specification for information security management systems），27001。 BS7799-3：信息安全风险评估，27005。 ISO/IEC 17799:2005年第2版，27002。ISO/IEC 17799:20

28、05标准结构标准结构前 言0 引言1 范围2 术语和定义3 本标准的组织结构4 风险评估和处置风险评估和处置5 安全策略安全策略6 信息安全的组织结构信息安全的组织结构7 资产管理资产管理8 人力资源安全人力资源安全9 物理和环境安全物理和环境安全10 通信和运行管理通信和运行管理11 访问控制访问控制12 信息系统采购、开发和维护信息系统采购、开发和维护13 信息安全事故管理信息安全事故管理14 业务持续性管理业务持续性管理15 符合性符合性信息安全管理系统规范信息安全管理系统规范 PDCA模型应用于模型应用于ISMS过程过程ISO/IEC 13335 ISO/IEC TR 13335系列：

29、 GMITS（IT安全管理指南）系列标准 ISO/IEC TR 13335-1: 1996，第1部分：IT安全概念和模型； ISO/IEC TR 13335-2: 1997，第2部分：管理和规划IT安全； ISO/IEC TR 13335-3: 1998，第3部分：IT安全管理技术； ISO/IEC TR 13335-4: 2000，第4部分：保护措施的选择； ISO/IEC TR 13335-5: 2001，第5部分：网络安全管理指南。 ISO/IEC IS 13335系列：MICTS（信息和通信技术安全管理） ISO/IEC 13335-1: 2004 第1部分：信息和通信技术安全管理概念

30、和模型 ISO/IEC 13335第1部分综合了原先ISO/IEC TR13335的第1和第2部分。 ISO/IEC 13335-2，第2部分：信息和通信技术安全风险管理技术 ISO/IEC 13335第2部分目前还在草案阶段，计划于2006年作为国际标准正式发布。 ISO/IEC 13335第2部分综合了原先ISO/IEC TR 13335的第3和第4部分。 美国国家标准和技术委员会美国国家标准和技术委员会NIST相关管理标准指南相关管理标准指南 美国NIST相关管理标准指南 NIST SP 800系列是NIST根据美国联邦信息安全管理法案（FISMA 2002）所赋予的法定职责所开发的系列

31、文件，即NIST负责为除国家安全系统之外的所有政府机关开发保护政府机关运行和资产的标准、指南。 NIST SP 800系列中通信息安全管理相关的文件： NIST SP 800-53：联邦信息系统推荐安全控制 NIST SP 800-18：开发IT系统安全计划指南 NIST SP 800-30：IT系统风险管理指南 NIST SP 800-34：IT系统业务持续性规划指南 NIST SP 800-50：建立信息安全意识和培训管理 。ISO/IEC 21827 信息安全工程能力成熟度模型信息安全工程能力成熟度模型SSE-CMM 1993年4月美国国家安全局（NSA）开始酝量 1996年10月出版了

32、SSE-CMM模型的第一个版本，1997年4月出版了评定方法的第一个版本。 从1996年6月到1997年6月进行许多实验项目 1999年4月出版了第二版。 目前，SSE-CMM V3.0 2002年，ISO/IEC IS 21827ISO/IEC 21827 信息安全工程能力成熟度模型信息安全工程能力成熟度模型SSE-CMM定义SSE-CMM是系统安全工程能力成熟模型（Systems Security Engineering Capability Maturity Model）的缩写，它描述了一个组织组织的安全工程过程安全工程过程必须包含的本质特征本质特征，这些特征是完善的安全工程保证保证。

33、理论基础现代统计过程控制理论现代统计过程控制理论表明通过强调生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品。 目的SSE-CMM项目的目标是促进安全工程成为一个确定的、成熟的和可度量的科目。 通过区分投标者的能力级别和相关的计划风险来选择合格的安全工选择合格的安全工程提供商程提供商； 工程组把投资投资集中在安全工程工具、培训、过程定义、管理实施和改进上； 基于能力的保证基于能力的保证，也就是说，信赖是基于对工程组织安全工程实践和过程成熟的信心 ISO/IEC 21827 信息安全工程能力成熟度模型信息安全工程能力成熟度模型概念和评估概念和评估PA 01 PA 02 PA

34、 03 PA 04 PA 05 PA 06 PA 07 PA 08 PA 09 PA 10012345PA 01 PA 02 PA 03 PA 04 PA 05 PA 06 PA 07 PA 08 PA 09 PA 10域域方面方面能力能力方面方面能力级别能力级别公共特征公共特征通用实施通用实施过程类过程类基础实施基础实施过程区过程区ISO/IEC 21827 信息安全工程能力成熟度模型信息安全工程能力成熟度模型安全工程过程安全工程过程保证论据保证论据风险信息风险信息产品或服务产品或服务工程过程工程过程Engineering保证过程保证过程Assurance风险过程风险过程Risk安全基本实施

35、安全基本实施 PA01-管理安全控制 PA02-评估影响 PA03-评估安全风险 PA04-评估威胁 PA05-评估脆弱性 PA06-建立保证论据 PA07-协调安全 PA08-监视安全态势 PA09-提供安全输入 PA10-指定安全要求 PA11-验证和确认安全计划执行计划执行规范化执行规范化执行跟踪执行跟踪执行验证执行验证执行定义标准过程定义标准过程协调安全实施协调安全实施执行已定义的过程执行已定义的过程建立可测量建立可测量的质量目标的质量目标客观地管理客观地管理过程的执行过程的执行1非正式非正式执行执行2计划与跟踪计划与跟踪3充分定义充分定义4量化控制量化控制5连续改进连续改进执行执行基

36、本基本实施实施改 进 组 织改 进 组 织能力能力改 进 过 程改 进 过 程的有效性的有效性能力级别代表安全工程组织的成熟级别 公共特性公共特性其他相关标准系列其他相关标准系列 ITIL框架是IT服务的一个广泛接受的框架。它为IT服务提供和IT服务管理等提供了规范、指南和最佳实践； CoBIT模型是ISACA协会所提供的一个IT审计和治理的框架。它为信息系统审计和治理提供了一整套的控制目标、管理措施、审计指南等。IT服务管理服务管理ITIL（IT基础设施库）基础设施库）信息系统审计领域 CoBIT信息和相关技术的控制目标信息和相关技术的控制目标四、四、信息安全相关国内标准和指南信息安全相关国

37、内标准和指南我国信息安全技术标准体系我国信息安全技术标准体系 基础标准： 4个方面 技术与机制标准：4个方面 管理标准： 4个方面 测评标准： 3个方面基础标准：基础标准： 安全术语 体系与模型 保密技术 密码技术技术与机制标准技术与机制标准 标识与鉴别 授权与访问控制 管理技术 物理安全管理标准管理标准 管理基础 管理要素 管理技巧 工程与服务 测评标准测评标准 评估基础 产品评估 系统评估我国信息安全标准我国信息安全标准1999年发布了10项2000年发布了8项2001年发布了5项2002年发布了4项2003年发布了6项 2004年 无2005年发布了14项2006年发布了16项2007年

38、发布了3项目前有效标准共54项，正在制定的还有34项。1999年发布的信息安全国标（年发布的信息安全国标（1/2） GB/T 15843.1-1999 信息技术 安全技术 实体鉴别 第1部分：概述 GB/T 15843.4-1999 信息技术 安全技术 实体鉴别 第4部分：采用密码校验函数的机制 GB 17859-1999 计算机信息系统计算机信息系统 安全保护等级划分安全保护等级划分准则准则 GB/T 17901.1-1999 信息技术 安全技术 密钥管理 第1部分：框架 GB/T 17902.1-1999 信息技术 安全技术 带附录的数字签名 第1部分：框架 GB/T 17903.1-19

39、99 信息技术 安全技术 抗抵赖 第1部分：框架1999年发布的信息安全国标（年发布的信息安全国标（2/2） GB/T 17903.2-1999 信息技术 安全技术 抗抵赖 第2部分：使用对称技术的机制 GB/T 17903.3-1999 信息技术 安全技术 抗抵赖 第3部分：使用非对称技术的机制 GB/T 18019-1999 信息技术 包过滤防火墙安全技术要求 GB/T 18020-1999 信息技术 应用级防火墙安全技术要求2000年发布的信息安全国标（年发布的信息安全国标（1/2） GB/T 17963-2000 信息技术 开放系统互连 网络层安全协议 GB/T 17964-2000

40、信息技术 安全技术 n位块密码算法的操作方式 GB/T 17965-2000 信息技术 开放系统互连 高层安全模型 GB/T 18231-2000 信息技术 低层安全模型 GB/T 18237.1-2000 信息技术 开放系统互连 通用高层安全 第1部分：概述、模型和记法2000年发布的信息安全国标（年发布的信息安全国标（2/2） GB/T 18237.2-2000 信息技术 开放系统互连 通用高层安全 第2部分：安全交换服务元素（SESE）服务定义 GB/T 18237.3-2000 信息技术 开放系统互连 通用高层安全 第3部分：安全交换服务元素（SESE）协议规范 GB/T 18238.

41、1-2000 信息技术 安全技术 散列函数 第1部分：概述2001年发布的信息安全国标年发布的信息安全国标 GB/T 18336.1 信息技术信息技术 安全技术安全技术 信息技术安全性评估准则信息技术安全性评估准则 第第1部分：简介和一般模型部分：简介和一般模型 GB/T 18336.2 信息技术信息技术 安全技术安全技术 信息技术安全性评估准则信息技术安全性评估准则 第第2部分：安全功能要求部分：安全功能要求 GB/T 18336.3 信息技术信息技术 安全技术安全技术 信息技术安全性评估准则信息技术安全性评估准则 第第3部分：安全保证要求部分：安全保证要求 GB 4943-2001 信息技

42、术设备的安全 GB/T 5271.8 信息技术 词汇 第8部分：安全2002年发布的信息安全国标年发布的信息安全国标 GB/T 18238.2-2002 信息技术 安全技术 散列函数 第2部分：采用n位块密码的散列函数 GB/T 18238.3-2002 信息技术 安全技术 散列函数 第3部分：专用散列函数 GB/T 18794.1-2002 信息技术 开放系统互连 开放系统安全框架 第1部分：概述 GB/T 18794.2-2002 信息技术 开放系统互连 开放系统安全框架 第2部分：鉴别框架 2003年发布的信息安全国标年发布的信息安全国标 GB/T 18237.4-2003 信息技术 开

43、放系统互连 通用高层安全 第4部分：保护传送语法规范 GB/T 18794.3-2003 信息技术 开放系统互连 开放系统安全框架 第3部分：访问控制框架 GB/T 18794.4-2003 信息技术 开放系统互连 开放系统安全框架 第4部分：抗抵赖框架 GB/T 18794.5-2003 信息技术 开放系统互连 开放系统安全框架 第5部分：机密性框架 GB/T 18794.6-2003 信息技术 开放系统互连 开放系统安全框架 第6部分：完整性框架 GB/T 18794.7-2003 信息技术 开放系统互连 开放系统安全框架 第7部分：安全审计和报警框架2005年发布的信息安全国标（年发布的

44、信息安全国标（1/3） GB/T 15843.5-2005 信息技术 安全技术 实体鉴别 第5部分：使用零知识技术的机制 GB/T 16264.8-2005 信息技术 开放系统互连 目录 第8部分：公钥和属性证书框架 GB/T 17902.2-2005 信息技术 安全技术 带附录的数字签名 第2部分：基于身份的机制 GB/T 17902.3-2005 信息技术 安全技术 带附录的数字签名 第3部分：基于证书的机制 GB/T 19713-2005 信息技术 安全技术 公钥基础设施 在线证书状态协议 GB/T 19714-2005 信息技术 安全技术 公钥基础设施 证书管理协议2005年发布的信息

45、安全国标（年发布的信息安全国标（2/3） GB/T 19715.1-2005 信息技术 信息技术安全管理指南 第1部分：信息技术安全概念和模型 GB/T 19715.2-2005 信息技术 信息技术安全管理指南 第2部分：管理和规划信息技术安全 GB/T 19716-2005 信息技术 信息安全管理实用规则 GB/T 19771-2005 信息技术 安全技术 公钥基础设施 PKI组件最小互操作规范2005年发布的信息安全国标（年发布的信息安全国标（3/3） GB/T 20008-2005 信息安全技术 操作系统安全评估准则 GB/T 20009-2005 信息安全技术 数据库管理系统安全评估准

46、则 GB/T 20010-2005 信息安全技术 路由器安全评估准则 GB/T 20011-2005 信息安全技术 包过滤防火墙评估准则2006年发布的信息安全国标（年发布的信息安全国标（1/3） GB/T 20261-2006 信息技术 系统安全工程 能力成熟度模型； GB/T 20269-2006 信息安全技术 信息系统安全管理要求 GB/T 20270-2006 信息安全技术 网络安全基础技术要求 GB/T 20271-2006 信息安全技术 信息系统安全通用技术要求 GB/T 20272-2006 信息安全技术 操作系统安全技术要求 GB/T 20273-2006 信息安全技术 数据库

47、管理系统安全技术要求2006年发布的信息安全国标（年发布的信息安全国标（2/3） GB/T 20274.1-2006 信息技术 安全技术 信息系统安全保障评估框架 第一部分：简介和一般模型； 信息技术 安全技术 信息系统安全保障评估框架 第二部分：技术保障； 信息技术 安全技术 信息系统安全保障评估框架 第三部分：管理保障； 信息技术 安全技术 信息系统安全保障评估框架 第四部分：工程保障； GB/T 20275-2006 信息安全技术 入侵检测系统技术要求和测试评价方法 GB/T 20276-2006 信息技术 安全技术 智能卡嵌入式软件安全技术要求（EAL4增强级）2006年发布的信息安全

48、国标（年发布的信息安全国标（3/3） GB/T 20277-2006 信息安全技术 网络和端设备隔离部件测评方法 GB/T 20278-2006 信息安全技术 网络脆弱性扫描产品技术要求 GB/T 20279-2006 信息安全技术 网络和端设备隔离部件技术要求 GB/T 20280-2006 信息安全技术 网络脆弱性扫描产品测试评价方法 GB/T 20281-2006 信息安全技术 防火墙技术要求和测试评价方法 GB/T 20282-2006 信息安全技术 信息系统安全工程管理要求 GB/Z 20283-2006 信息技术 安全技术 保护轮廓和安全目标的产生指南2007年发布的信息安全国标年

49、发布的信息安全国标 GB/T 20518-2006 信息安全技术 公钥基础设施 数字证书格式 GB/T 20519-2006 信息安全技术 公钥基础设施 特定权限管理中心技术规范 GB/T 20520-2006 信息安全技术 公钥基础设施 时间戳规范正在报批和研制的（正在报批和研制的（1/4） 信息技术 安全技术 公钥基础设施 安全支撑平台技术框架 信息技术 安全技术 公钥基础设施 证书策略与认证业务声明框架 信息技术 安全技术 公钥基础设施 CA认证机构建设和运营管理规范 证书载体应用程序接口 CA密码设备应用程序接口 信息技术 安全技术 公钥基础设施 PKI应用支撑平台正在报批和研制的（正

50、在报批和研制的（2/4） 分组算法应用接口规范 PCI密码卡技术规范 杂凑算法应用接口规范 ECC算法应用接口规范 证书认证系统密码及相关安全技术规范 简明在线证书状态协议SOCSP 电子签名卡应用接口规范 X509证书应用接口规范 XML数字签名语法与处理规范 正在报批和研制的（正在报批和研制的（3/4） PKI系统安全等级保护评估准则 PKI系统安全等级保护技术要求 信息安全等级保护实施指南 信息安全等级保护 信息系统物理安全技术要求 信息安全等级保护 信息系统测评准则 正在报批和研制的（正在报批和研制的（4/4） 信息安全事件管理指南 信息安全事件分类指南 信息系统灾难恢复规范 信息安全