第21讲_信息安全标准组织.pptVIP

第21讲 信息安全标准组织 1. 信息安全立法现状 2. 信息安全标准组织 3. 信息安全标准体系 课前检查 从技术角度分析下列信息传递现象 1、接收方自己撰写一份报文，并声称它来自发送方，这是（ ）。 2、网络上的张三以李四的名义接收或发送报文，这是（ ） 。 3、小兵张嘎接到7月15日晚收药的情报后将其改为8月15日晚，然后将其送给敌方，这是对信息进行了（ ） 4、小明通过QQ上告诉张晚上10:00出去，虽然张看到了QQ但迟迟做不了决定，小明晚上等了很久也没等到张，第二天碰到张，小明问起这个事情，张说没有看到，这是属于（ ）信息。 伪造 冒充 篡改 否认 针对在通信过程中信息接收和发送方容易出现的争端，你认为最好的解决方案是采用（ ）技术。 这是（ ），其主要特点是（ ） 课前检查 数字签名 与被签的文件在物理上不可分割 签名者不能否认自己的签名 签名不能被伪造 容易被验证 按明文、密文对应关系划分：数字签名可分为确定性数字签名和非确定性数字签名，其中确定性数字签名采用的是（ ）体制 RSA 手动签名 新课引入 信息安全技术标准是信息安全产业的重要领域，一直受到国内外的普遍关注，早在1977年，美国国家标准局就正式颁发了世界第一个数据加密标准（DES），随着通信和计算机网络的发展，信息安全的标准化工作也取得了很大的进展。 BS7799 CC SSE-CMM 国际安全标准 BS7799 英国标准BS7799是目前世界上应用最广泛的典型的信息安全管理标准，它是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成的。 BS7799标准提供一个开发组织安全标准、有效实施安全管理的公共基础，还提供了组织间交易的可信度。 该标准第一部分为组织管理者提供了信息安全管理的实施惯例，例如信息与软件交换和处理的安全规定、设备的安全配置管理、安全区域进出的控制等一些很容易理解的问题。这恰巧符合信息安全的“七分管理，三分技术”的原则。 这些管理规定一般的单位都可以制定，但要想达到BS7799的全面性则需要一番努力。在信息安全管理方面，BS7799的地位是其他标准无法取代的。总的说来，BS7799涵盖了安全管理所应涉及的方方面面，全面而不失可操作性，提供了一个可持续提高的信息安全管理环境。 CC 信息安全安全性评估的标准——信息技术安全性评估通用准则（CC：Common Criteria），通常简称通用准则，也即是国际标准ISO/IEC15408-99，该标准是评估信息技术产品和系统安全特性的基础准则。 它是在TESEC、ITSEC、CTCPEC、FC等信息安全标准的基础上综合形成的，通过建立信息技术安全性评估的通用准则库，使得其评估结果能被更多的人理解、信任，并且让各种独立的安全评估结果具有可比性，从而达到互相认可的目的。 此标准是现阶段最完善的信息技术安全性评估标准，我国也采用这一标准（GB/T 18336）对产品、系统和系统方案进行测试、评估和认可。 国际安全标准 SSE-CMM 系统安全工程能力成熟模型简写为SSE-CMM，是原英文Systems Security Engineering Capability Maturity Model的缩写。它是一个模型，正如开放系统互连参考模型（OSI）一样，但它指导着系统安全工程的完善和改进，使系统安全工程成为一个清晰定义的、成熟的、可管理的、可控制的、有效的和可度量的科学。 SSE-CMM描述了一个组织的安全工程过程务必包含的本质特征，这些特征是完善安全工程的保证，也是安全工程实施的度量标准，还是一个易于理解的评估安全工程实施的框架。 重要里程碑 信息安全标准体系 国内安全标准 《中华人民共和国标准化法》将我国的标准分为国家标准、行业标准、地方标准、企业标准四级。 我国的国家标准由国务院标准化行政主管部门制定； 行业标准由国务院有关行政主管部门制定； 地方标准由省、自治区和直辖市标准化行政主管部门制定； 企业标准由企业自己制定。 我们国家的信息安全从必威体育官网网址技术、难度、标准的特点出发，将信息安全必威体育官网网址标准分三级： 第一级国家标准， 第二级国家军队标准， 第三级国家必威体育官网网址标准。 在这三级标准中，国家必威体育官网网址标准最高。 其他标准还包括：公共安全行业标准（GA）。 重要的标准化组织 国际标准化组织ISO 国际标准化组织(International Organization f