【文章內(nèi)容簡介】 負責組織開展通信行業(yè)網(wǎng)絡與信息安全標準化工作。 TC8現(xiàn)設有 4個工作組有線網(wǎng)絡安全（ WG1）、無線網(wǎng)絡安全（ WG2）、安 全管理（ WG3）、安全基礎（ WG4），另外還設有安全防護標準和綠色上網(wǎng)標 準 2個特設項目組。 信息產(chǎn)業(yè)部電子工業(yè)標準化研究所 China Electronic Standardization Insititute 三、信息安全標準 體系 軍用標準政 府 用 （ 保 密 C L S ） 標 準商 用 （ 非 密 U N C L S ） 標 準密碼標準3. 信息安全標準體系 課題目標 至今，在世界范圍內(nèi)尚未形成統(tǒng)一的、公認的標準體系結(jié)構。但是許 多國家、不同部門都在研究自身的信息安全標準體系結(jié)構。 ?（ 1）美國的體系結(jié)構 3. 信息安全標準體系 WG1 需求安全服務與指南標準 （ 22項 ） WG2 安全技術和機制標準 （ 45項 ） WG3 系統(tǒng)和產(chǎn)品安全評估與認證標準 （ 15項 ） I S O JTC/SC27 ISOJTC/SC27 （ 2） ISO標準體系結(jié)構 （截止到 2023年底） 3. 信息安全標準體系 實體安全（ A） 環(huán)境安全（ A10） 設備安全（ A20） 媒體安全（ A30） 運行安全（ B） 風險分析（ B10） 審計跟蹤（ B20） 備份與恢復（ B30） 應急（ B40） 應急計劃輔助軟件（ B41） 應急設施（ B42） 信息安全（ C） 操作系統(tǒng)安全（ C10） 安全操作系統(tǒng)（ C11） 操作系統(tǒng)安全部件（ C12） 數(shù)據(jù)庫安全（ C20） 安全數(shù)據(jù)庫系統(tǒng)（ C21） 數(shù)據(jù)庫系統(tǒng)安全部件（ C22） 網(wǎng)絡安全（ C30） 網(wǎng)絡安全管理（ C31） 安全網(wǎng)絡系統(tǒng)（ C32） 網(wǎng)絡系統(tǒng)安全部件（ C33） （ 3） GA1631997關于計算機信息系統(tǒng)安全專用產(chǎn)品分類原則 3. 信息安全標準體系 （ 4）一種信息安全產(chǎn)品與標準體系結(jié)構草案 網(wǎng)絡通信安全類 內(nèi)容安全類 身份鑒別類 基礎平臺與中間 應用安全類 惡意代碼防治類 監(jiān)控與審計類 密碼基礎類 安全隔離類 1密碼設備類 數(shù)據(jù)安全類 1密碼模塊類 3. 信息安全標準體系 （ 5）一種基于通用標準體系結(jié)構的信息安全標準體系結(jié)構 國際級 區(qū)域級 企業(yè)級 國家級 行業(yè)級 地方級 產(chǎn)品 系統(tǒng) 人員 服務 事件 對象 基礎 技術 工作 管理 內(nèi)容 我國信息安全標準體系 信息安全技術標準體系框架 信息安全技術標準從總體上可劃分為六大類：基礎標準、技術與機制標 準、管理標準、測評標準、密碼技術標準和保密技術標準，在每一大類的基 礎上，可按照標準所涉及的主要內(nèi)容進行細分。信息安全技術標準體系總體 框架如圖所示。 信 息 安 全 技 術 標 準 體 系管理標準測評標準技術與機制標準基礎標準密碼技術標準保密技術標準圖 信息安全技術標準體系總體框架 我國信息安全標準體系 標準體系介紹 基礎標準 ： 基 礎 準 體安 全 術 語安 全 術 語框 架模 型圖 基礎標準體系框架 我國信息安全標準體系 我國信息安全標準體系 我國信息安全標準體系 技術與機制標準 技 術 與 機 制 標 準標 識 與 鑒 別 授 權 與 訪 問 控 制 物 理 安 全實 體 管 理圖 技術與機制標準體系框架 技術與機制標準包括標識與鑒別、授權與訪問控制、實體管理和物理安 全技術標準，體系框架如圖所示。 我國信息安全標準體系 我國信息安全標準體系 我國信息安全標準體系 我國信息安全標準體系 我國信息安全標準體系 管 理 標 準管 理 基 礎 管 理 要 素 工 程 與 服 務管 理 支 撐 技 術圖 信息安全管理標準體系框架 信息安全管理標準 ： 技術與機制標準包括標識與鑒別、授權與訪問控制、實體管理和物理安 全技術標準，體系框架如圖所示。 我國信息安全標準體系 我國信息安全標準體系 信息安全測評標準 ： 信息安全測評標準包括測評基礎標準、產(chǎn)品測評標準和系統(tǒng)測評標準， 信息安全測評標準體系框架如圖 。如圖所示。 測 評 標 準測 評 基 礎 產(chǎn) 品 測 評 系 統(tǒng) 測 評 我國信息安全標準體系 我國信息安全標準體系 密 碼 技 術 標 準基 礎 標 準 管 理 標 準 技 術 標 準密碼產(chǎn)品設備密碼應用管理接口密碼應用服務系統(tǒng)密碼核芯片密碼管理密碼協(xié)議密鑰配用密碼檢測評估密碼算法配用密碼術語密碼算法密鑰 我國信息安全標準體系 保 密 技 術 標 準管 理 標 準實驗室要求涉密信息系統(tǒng)管理電子文件管理技 術 標 準涉密信息消除和介質(zhì)銷毀信息安全保密產(chǎn)品技術要求和測試方法涉密信息系統(tǒng)技術要求和測評其它技術標準電磁泄漏發(fā)射防護和檢測信息產(chǎn)業(yè)部電子工業(yè)標準化研究所 China Electronic Standardization Insititute 四、主要信息安全 標準介紹 BS7799系列（ ISO/IEC 27000系列） ?BS7799 Part 1的全稱是 Code of Practice for Information Security，也即為信息安全的實施細則。 2023年被采納為 ISO/IEC 17799，目前其最新版本為 2023版，也就是 ISO 17799: 2023。ISO/IEC 17799:2023 通過層次結(jié)構化形式提供安全策略、信息安全的組織結(jié)構、資產(chǎn)管理、人力資源安全等 11個安全管理要素，還有 39個主要執(zhí)行目標和 133個具體控制措施（最佳實踐），供負責信息安全系統(tǒng)應用和開發(fā)的人員作為參考使用，以規(guī)范化組織機構信息安全管理建設的內(nèi)容。 ?BS7799 Part 2的全稱是 Information Security Management Specification，也即為信息安全管理體系規(guī)范，其最新修訂版在 05年 10月正式成為 ISO/IEC 27001:2023， ISO/IEC 27001是建立信息安全管理體系（ ISMS）的一套規(guī)范，其中詳細說明了建立、實施和維護信息安全管理體系的要求，可用來指導相關人員去應用 ISO/IEC 17799，其最終目的，在于建立適合企業(yè)需要的信息安全管理體系（ ISMS）。 ISO/IEC TR 13335系列 ISO/IEC TR 13335系列標準（舊版）－ GMITS，由 5部分標準組成： ?ISO/IEC133351:1996《 IT安全的概念與模型》 ?ISO/IEC133352:1997《 IT安全管理與策劃》 ?ISO/IEC133353:1998《 IT安全管理技術》 ?ISO/IEC133354:2023《防護措施的選擇》 ?ISO/IEC133355:2023《網(wǎng)絡安全管理指南》 目前， ISO/IEC 133351:1996 已經(jīng)被新的 ISO/IEC 133351:2023（ MICTS 第 1部分：信息和通信技術安全管理的概念和模型）所取代，ISO/IEC 133352:1997也將被正在開發(fā)的 ISO/IEC 133352（ MICTS 第 2 部分：信息安全風險管理）取代。 ISO/IEC TR 13335 只是一個技術報告和指導性文件，并不是可依據(jù)的認證標準，信息安全體系建設參考 BS 7799，具體實踐參考 ISO TR 13335。 SSECMM SSECMM (System Security Engineering Capability Maturity Model)模型是 CMM在系統(tǒng)安全工程這個具體領域應用而產(chǎn)生的一個分支，是美國國家安全局 (NSA)領導開發(fā)的，是專門用于系統(tǒng)安全工程的能力成熟度模型。 SSECMM第一版于 1996年 10月出版， 1999年 4月， SSECMM模型和相應評估方法 。 系統(tǒng)安全工程過程一共有三個相關組織過程： ?工程過程 ?風險過程 ?保證過程 共分 5個能力級別， 11個過程區(qū)域： ?基本執(zhí)行級 ?計劃跟蹤級 ?充分定義級 ?量化控制級 ?持續(xù)改進級 2023年被國際標準化組織采納成為國際標準即 ISO/IEC 21827:2023《信息技術系統(tǒng)安全工程－成熟度模型》。 SSECMM 和 BS 7799 都提出了一系列最佳慣例，但 BS 7799 是一個認證標準（第二部分），提出了一個可供認證的 ISMS 體系，組織應該將其作為目標，通過選擇適當?shù)目刂拼胧ǖ谝徊糠郑┤崿F(xiàn)。而SSECMM 則是一個評估標準， 適合作為評估工程實施組織能力與資質(zhì)的標準 通用標準 CC(ISO/IEC 15408) 我們通常所稱的通用標準或通用準則（ Common Criteria，簡稱 CC）是指 ISO/IEC15408:1999標準。目前 CC標準的最新版本是 ； 版在 1999年成為國際標準 ISO/IEC15408:1999；我國在 2023年等同采用為國家標準 GB/T 18336－ 2023。 CC標準由三個部分組成： ?GB/T － 2023 idt ISO/IEC154081:1999 信息技術安全技術信息技術安全性評估準則第 1部分：簡介和一般模型 ?GB/T － 2023 idt ISO/IEC154082:1999 信息技術安全技術信息技術安全性評估準則第 2部分：安全功能要求 ?GB/T － 2023 idt ISO/IEC154083:1999 信息技術安全技術信息技術安全性評估準則第 3部分：安全保證要求 與 BS7799 標準相比， CC 的側(cè)重點放在系統(tǒng)和產(chǎn)品的技術指標評價上，BS7799 在闡述信息安全管理要求時，并沒有強調(diào)技術細節(jié)。因此，組織在依照 BS7799 標準來實施 ISMS 時，一些牽涉系統(tǒng)和產(chǎn)品安全的技術要求，可以借鑒 CC 標準。 ITIL和 BS15000 ITIL的全稱是信息技術基礎設施庫（ Information T