网络信息安全标准
2018-03-20 14:52:39 | 来源:中培企业IT培训网
第3节 安全标准
1. 组织:ISO、IEC、IEEE、NIST等。
2. 我国标准化组织:TC260
— WG1:协调。
— WG2:保密工作组。
— WG7:安全管理工作组。
3. 我国标准分类:GB、GB/T、GB/Z、DB、QB。
4. 我国的基础标准体系:基础、标识与访问控制(包括哪些内容)等6个部分。
5. 我国的等级保护标准:技术和管理均包括的。
— 定级标准:1)业务信息安全和业务服务安全两个维度进行定级。
2)原理是:
一般损害、严重损害、特别严重损害
公民:1-2-2,
社会秩序、公共利益2-3-4,
国家:3-4-5。
— 基本要求:1)物理、网络、主机、应用、数据安全。
2)人员安全、组织机构、安全制度、建设安全、维护安全。
— 实施过程:略。
— 测评标准:准备、现场测评、分析及报告。
访谈、查看、测试等三种方法。级别越高则抽样越多,粒度越细。
6. CC标准
1)TCSEC->itsec->CC(ISO/IEC 15408、GB/T 18336)2)PP:基于CC的标准化安全需求。
3)ST:基于CC的标准化安全方案。
4)TOE:产品。
5)CC标准:
— 从ITSEC开始功能和保证进行了分离。
— 所有与ICT有关的产品均适用。
— 用户、开发者和评估者均适用。
6)级别:EAL1、EAL2、EAL3、EAL4、EAL5、EAL6、EAL7。
第4节 信息安全道德规范(略)
- 上一篇:信息安全政策
- 下一篇:密码学中密码技术作用