【正文】 023 信息安全技術 操作系統(tǒng)安全技術要求 ? GB/T 202732023 信息安全技術 數據庫管理系統(tǒng)安全技術要求 ? 其他信息產品、信息安全產品相關標準 ... ?其他類 ? GB/T 209842023 信息安全技術 信息安全風險評估規(guī)范 ? GB/Z 243642023信息安全技術 信息安全風險管理指南 ? GB/T 243632023信息安全技術 信息安全應急響應計劃規(guī) 范 ? GB/Z 202852023 信息安全技術 信息安全事件管理指南 ? GB/Z 209862023 信息安全技術 信息安全事件分類分級指南 ? GB/T 209882023 信息安全技術 信息系統(tǒng)災難恢復規(guī)范 系統(tǒng)服務安全等級 定級指南－－ GB/T 222402023 保護對象受到破壞時受侵害的客體 對客體的侵害程度 一般損害 嚴重損害 特別嚴重損害 公民、法人和其他組織的合法權益 第一級 第二級 第二級 社會秩序、公共利益 第二級 第三級 第四級 國家安全 第三級 第四級 第五級 等級保護定級方法 保護對象 對客體的侵害程度 客體 ： 社 會關系 受侵害的客體 信息系統(tǒng)安全 系統(tǒng)服務安全 業(yè)務信息安全 綜合評定對客體的侵害程度 確定業(yè)務信息安全受到破壞時所侵害的客體 綜合評定對客體的侵害程度 確定系統(tǒng)服務安全受到破壞時所侵害的客體 業(yè)務信息安全等級 定級對象的安全保護等級 8＝ MAX（ 4， 7） 確定定級對象 （系統(tǒng)邊界） 一般流程 等級確定 91 控制點 控制項 安全要求類 層面 一級 二級 三級 四級 一級 二級 三級 四級 技術要求 物理安全 7 10 10 10 9 19 32 33 網絡安全 3 6 7 7 9 18 33 32 主機安全 4 6 7 9 6 19 32 36 應用安全 4 7 9 11 7 19 31 36 數據安全及備份恢復 2 3 3 3 2 4 8 11 管理要求 安全管理制度 2 3 3 3 3 7 11 14 安全管理機構 4 5 5 5 4 9 20 20 人員安全管理 4 5 5 5 7 11 16 18 系統(tǒng)建設管理 9 9 11 11 20 28 45 48 系統(tǒng)運維管理 9 12 13 13 18 41 62 70 合計 / 48 66 73 77 85 175 290 318 級差 / / 18 7 4 / 90 115 28 基本要求－－ GB/T 222392023 92 實施指南－－ GB/T 250582023 等級變更 局部調整 信息系統(tǒng)定級 總體安全規(guī)劃 安全設計與實施 安全運行維護 信息系統(tǒng)終止 國家管理部門（ 4家） 信息系統(tǒng)主管部門 信息系統(tǒng)運營、使用單位 信息安全服務機構 信息安全等級測評機構 信息安全產品供應商 93 測評要求 GB/T 284482023 測評強度 信息系統(tǒng)安全等級 第一級 第二級 第三級 第四級 訪談 廣度 種類和數量上抽樣，種類和數量都較少 種類和數量上抽樣，種類和數量都較多 數量上抽樣，基本覆蓋 數量上抽樣，基本覆蓋 深度 簡要 充分 較全面 全面 檢查 廣度 種類和數量上抽樣，種類和數量都較少 種類和數量上抽樣，種類和數量都較多 數量上抽樣，基本覆蓋 數量上抽樣，基本覆蓋 深度 簡要 充分 較全面 全面 測試 廣度 種類和數量、范圍上抽樣，種類和數量都較少，范圍小 種類和數量、范圍上抽樣，種類和數量都較多 ,范圍大 數量、范圍上抽樣，基本覆蓋 數量、范圍上抽樣，基本覆蓋 深度 功能測試 /性能測試 功能測試 /性能測試 功能測試 /性能測試，滲透測試 功能測試 /性能測試，滲透測試 94 測評過程指南 GB/T 284492023 方案編制 測評準備 分析與報告編制 現場測評 項目啟動、信息收集和分析、工具和表單準備 測評對象確定、測評指標確定、測試工具接入點確定、測評內容確定、測評實施手冊開發(fā)、測評方案編制 現場測評準備（一般包括：訪談、文檔審查、配置檢查、工具測試和實地察看）、現場測評和結果記錄、結果確認和資料歸還 單項測評結果判定、單元測評結果判定、整體測評、風險分析、等級測評結論形成、測評報告編制 95 文檔 RR 國際信息安全標準體系框架 96 國際信息安全標準體系 信 息安全管理體系標準 密碼技術與安全機 制 標準 安全評價準則 標準 安全控制與服 務 標準 身份管理與隱私保護技 術 標準 詞 匯標準 要求標準 指南標準 相關標準 為實現保密性、完整性和可用性而開發(fā)的各種安全機制標準 安全評價標準 安全功能和保證規(guī)范 針對潛在 /顯現信息安全問題 的標準 針對 已知 信息安全問題的標準 針對信息安全違反和損害 的標準 身份管理相關標準 生物識別相關標準 隱私保護相關標準 ISO 27000 ISO 27001 ISO 27006 ISO 27002 ISO 27003 ISO 18033 ISO 19772 ... ISO 15408 ISO 18045 ... ISO 19790 ISO 24759 ... ISO 27032 ISO 27033 ISO 27037 ISO 24760 ISO 29144 ISO 29100 知識域： 我國 信息安全典型標準介紹 ?知識 子域：基礎標準 ? 了解 已發(fā)布的基礎標準及其適用范圍 ?知識 子域：技術與機制標準 ? 了解 已發(fā)布的技術與機制標準及其適用范圍 ?知識 子域：管理標準 ? 了解 已發(fā)布的管理標準及其適用范圍 97 知識域：我國信息安全典型標準 介紹 ?知識子域 ：測評標準 ? 了解已發(fā)布的測評標準及其適用范圍 ? 了解 《 信息技術安全性評估準則 》 的 結構 ? 理解相關 概念（ TOE、 PP、 ST、 EAL） ? 了解 《 信息系統(tǒng)安全保障評估框架 》 的意義和結構 ?知識子域：密碼技術標準 ? 了解已發(fā)布的密碼技術標準及其適用范圍 98 基礎 標準 ?GB/T 25069– 2023《 信息安全技術 術語 》 ? 定義 信息 安全領域相關 術語 ? 分為 一般概念術語、信息安全技術術語、信息安全管理術語三 類 ?GB/T 《 信息技術 開放系統(tǒng)互連 基本 參考 模型 第 1部分：基本模型 》 ? idt ISO/IEC 74981:1994 ?GB/T 《信息處理 系統(tǒng) 開放系統(tǒng)互連 基本 參考 模型 第 2部分：安全體系結構 》 ? idt ISO 74982:1989 ? 解決開放系統(tǒng)互聯中 安全問題的一致性方法 99 技術與機制標準 ? GB/T 284552023《引入可信第三方的實體鑒別及接入架構規(guī)范》 ? 標識與鑒別 標準 ? 提出 一套適用于網絡訪問控制和身份管理，并具有普遍適用性的實體鑒別與安全接入的協(xié)議和 結構 ? GB/T 284472023《電子認證服務機構運營管理規(guī)范》 ? 授權與訪問控制標準 ? 規(guī)定了電子認證服務機構在業(yè)務運營、認證系統(tǒng)運行、物理環(huán)境與設施安全 、業(yè)務 連續(xù)性、審計與改進等方面應遵循的要求 ? GB/T 210522023《信息系統(tǒng)物理安全技術要求》 ? 物理安全標準 ? 將 物理安全 按照 五個不同級別 分別描述要求 ? GB 《 信息技術設備 安全 第 1部分：通用要求》 ? 物理安全標準 ? 旨在 減小設備在安裝 、操作和維修時的危險 100 管理標準 ?GB/T 220802023《信息安全管理體系 要求》 ? idt ISO/IEC 27001:2023 ? 為建立、實施、運行、監(jiān)視、評審、保持和 改進 ISMS進行 了 規(guī)范 ?GB/Z 243642023《信息安全風險管理指南》 ? 規(guī)范信息安全風險管理的內容和 過程 ? 為 信息系統(tǒng)生命周期不同階段的信息安全風險管理提供指導 ?GB/T 202822023《信息安全技術 信息系統(tǒng)安全工程管理要求》 ? 對信息系統(tǒng)安全工程中所涉及到的需求方、實施方與第三方工程實施的指導，各方可以此為依據建立安全工程管理 體系 ? 按照 GB 178591999劃分的五個安全保護等級，規(guī)定了信息系統(tǒng)安全工程管理的不同 要求 101 測評標準 ?GB/T18336《信息技術 安全技術 信息技術安全性評估準則》 ? 為 信息技術產品 和 系統(tǒng) 敵 安全功能 及其保證 措施 的 安全評估提出了 通用要求 ? 可 作為 評估 IT產品和系統(tǒng)安全性的基礎 準則 ? 適用于對于用戶、開發(fā)者和評估者 ?GB/T 20274《信息系統(tǒng)安全保障評估框架》 ? 用于 描述 和 評估 信息系統(tǒng)安全保障 內容 、 能力 的通用框架 ? 信息系統(tǒng)作為評估對象 ， 從 技術 、 管理、工程 等 多個 方面 描述 102 GB/T18336《信息技術 安全技術 信息技術安全性評估準則》 ? 分三部分 ? GB/《第 1部分：簡介和一般模型 》 ? ISO/IEC 154081:2023 ? 定義了 IT安全性評估的一般概念和原理，并提出了評估的一般模型 ? GB/《第 2部分：安全功能要求 》 ? ISO/IEC 154082:2023 ? 規(guī)定了一系列功能組件族和類，作為表達評估對象（ TOE）功能要求的標準方法 ? GB/《第 3部分：安全保證要求 》 ? ISO/IEC 154083:2023 ? 規(guī)定了一系列保證組件族和類，作為表達 TOE保證要求的標準 方法 ? 定義了保護輪廓（ PP）和安全目標（ ST）的評估準則，提出了評估保證 級別 （ Evaluation Assurance Level， EAL） 103 《 信息技術安全性評估準則 》 的發(fā)展 104 ITSEC 1991 CC 1996 ISO15408 1999 CC 1998 GB/T 18336 2023 CD 1997 GB 17859 1999 ISO15408 2023 TCSEC 1985 FC 1992 CTCPEC 1993 GB/T 18336 2023 FCD 1998 對 《 信息技術安全性評估準則 》 的理解 ?發(fā)展 ? 國際標準化組織統(tǒng)一現有多種準則的努力結果 ? 1999年正式成為國際標準 ISO/IEC 15408 ?特點 ? 定義了“保護輪廓”和“安全目標” ? 將評估過程分“功能”和“保證”兩部分 ? 基于 風險管理理論，對安全模型、安全概念和安全功能進行了全面系統(tǒng)描繪，強化 了保證 評估 ?優(yōu)點 ? 通用的表達方式，便于理解 ? 是目前最全面的評價準則 ? 一種評估方法，其評估結果國際互認 105 《 信息技術安全性評估準則 》 術語 —— TOE ?評估 對象（ TOE） ? Target of Evaluation ? 評估 對象（即被評估的產品 或 系統(tǒng)） ? 用于安全評估的信息技術產品、系統(tǒng)或子系統(tǒng)（如防火墻、計算機網絡、密碼模塊等），包括相關的管理員指南、用戶指南、設計方案等文檔 106 《 信息技術安全性評估準則 》 術語 —— PP ?保護輪廓（ PP） ? Protection Profile ? 為了滿足安全目標而提出的一整套相對應的功能和保證需求 ? 是滿足用戶需要的、與實現無關的安全需求 ? PP與某個具體的 TOE無關，它定義的是用戶對這類TOE的安全需求 ? 主要內容：需保護的對象；確定安全環(huán)境； TOE的安全目的； IT安全要求； 基本原理 ? 在 標準體系中 PP相當于產品標準 ? 如： 《 包過濾防火墻安全技術 要求 》 107 《 信息技術安全性評估準則 》 術語 —— ST ?安全 目標（ ST） ? Security Target ? 針對具體 TOE而言，是某 一款產品對某一 PP要求的具體 實現 ? 包括 該 TOE的安全要求和用于滿足安全要求的特定安全功能和保證 措施 ? ST包括的技術要求和保