信息安全体系结构剖析.ppt

* 关于信息安全标准体系结构 2005年10月15日 一、信息安全标准化是国家信息安全保障工作的重要组成部分 关于信息安全标准体系结构 二、标准及标准化的基本概念和定义 三、标准化是一门系统工程 四、信息安全标准体系结构 （一）中办发［2003］27号文件指出： “要加强信息安全标准化工作，抓紧制定急需的信息安全管理和技术标准，形成与国际标准相衔接的中国特色的信息安全标准体系。要重视信息安全标准的贯彻实施，充分发挥其基础性、规范性作用。” 《国家信息安全战略报告》强调： “加强信息安全标准化” 一、信息安全标准化是国家信息安全保障工作的重要组成部分 标准（Standard）定义 国际标准化组织和国际电工委员会联合发布的ISO/IEC第二号指南对标准作了如下定义： 二、标准及标准化的基本概念和定义 标准是“为在一定的范围内获得最佳秩序，对活动或其结果规定共同的和重复使用的规则、指导原则或特性的文件。该文件经协商一致定并经一个公认机构的批准”。“标准应以科学、技术和经验的综合成果为基础，并以促进最大社会效益为目的”。 二、标准及标准化的基本概念和定义 对“标准”的定义可从三个主要方面去理解： 1、标准是对某一对象（称之为标准化对象）进行统一描述的一种特殊文件。 2、标准是实现系统功能的工具之一，制定标准的目的是为了满足人类社会的某种需求，取得最佳经济效益和社会效益。 3、标准产生有自身的规律： 二、标准及标准化的基本概念和定义 （1）确定标准对象以需求为根据。 （2）制定标准以科学、技术和经验的综合成果为基础。 （3）与标准的统一化有关系的各个方面要协调一致。 （4）标准要经过一个公认的（权威的）机构或受权的机构批准。 （5）标准具有系统性和动态性。 二、标准及标准化的基本概念和定义 标准化（Standardization）定义 国际标准化组织和国际电工委员会联合发布的ISO/IEC第二号指南对标准化作如下定义： 二、标准及标准化的基本概念和定义 “为在一定的范围内获得最佳秩序，对实际的或潜在的问题制定共同的和重复使用的规则的活动。”“上述活动特别包括制定、发布及实施标准的过程”。“标准化的显著好处是改进产品、过程和服务的适用性，防止贸易壁垒，并便利技术合作”。对“标准化”的定义从三个方面去理解： 二、标准及标准化的基本概念和定义 1、标准化是一项完整的活动，是一个过程。它包括制定标准、发布标准，贯彻实施标准，对标准的实施进行监督检查，并根据贯彻中产生的问题，进一步修订完善标准。 2、标准是贯穿于标准化全过程的信息资源。 3、标准化的目的是取得社会效益和经济效益。 二、标准及标准化的基本概念和定义 钱学森在《标准化和标准学研究》一文中指出：“标准化也是一门系统工程，任务就是设计、组织和建立全国的标准体系，使它促进社会生产力的持续高速发展”。 三、标准化是一门系统工程 （一）标准化系统工程主要包括： 1、标准系统 它是由许多现成的和新制定的标准组合成的具有明确目的性、完整性、寿命期的、成文的概念系统。标准化系统工程的全部活动就是围绕着它而展开的。 2、标准化工作系统 这是一个负责标准系统制定和贯彻实施的，包括人员、物质条件和工具制度在内在社会组织系统。 三、标准化是一门系统工程 （二）标准化系统工程中两个分系统的特征 1、标准系统的特征 （1）目的性与整体性 （2）联系和协调（相关性） （3）动态性和时效性 （4）法规性和灵活性 （5）先进性和合理性 三、标准化是一门系统工程 2、标准化工作系统的特征 （1）组织上的复杂性和分散性 （2）体制上的依存性和相对独立性 （3）任务上的立法司法性 （4）业务上的技术——管理性 （5）活跃性 三、标准化是一门系统工程 （三）信息安全标准化 信息安全标准化是诸多标准化领域中一个新生的标准化领域，它具备一般标准化领域的特征，同时又有自身的特征，因为信息安全兼具社会科学、自然科学以及其他许多相关学科的特征。这方面在学术界还缺乏深入研究。 三、标准化是一门系统工程 四、信息安全标准体系结构 （一）一种通用标准系统的体系结构 区域标准 国际标准 专业（部） 标 准 地方标准 企业标准 性质维 技术标准 管理标准 经济标准 基础标准 方法标准 工作标准 产品标准 对象维 级别维 四、信息安全标准体系结构 （二）信息安全标准体系结构 至今，在世界范围内尚未形成统一的、公认的标准体系结构。但是许多国家、不同部门都在研究自身的信息安全标准体系结构。 （1）美国的体系结构 商用（非密UNCLS）标准 密码标准 政府用（保密CLS）标准 军用标准 四、信息安全标准体系结构 （2）ISO标准体系结构 WG1 需求安全服务与指南标准（22项）