信息安全標(biāo)準(zhǔn)與法律法規(guī)

第1章 標(biāo)準(zhǔn)概述 1
1.1 標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化的概念 1
1.1.1 標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化定義 1
1.1.2 標(biāo)準(zhǔn)化的對象及范圍 1
1.1.3 標(biāo)準(zhǔn)化工作 2
1.2 標(biāo)準(zhǔn)化的意義 3
1.3 標(biāo)準(zhǔn)化的發(fā)展 3
1.3.1 標(biāo)準(zhǔn)化的早期發(fā)展 3
1.3.2 標(biāo)準(zhǔn)化學(xué)科的理論基礎(chǔ) 3
1.3.3 世界經(jīng)濟(jì)及技術(shù)的新發(fā)展對標(biāo)準(zhǔn)化產(chǎn)生的影響 4
1.3.4 信息技術(shù)標(biāo)準(zhǔn)的發(fā)展趨勢 5
1.4 國際通用“標(biāo)準(zhǔn)化七原理” 5
第2章 國際標(biāo)準(zhǔn)發(fā)展概況 7
2.1 信息技術(shù)標(biāo)準(zhǔn)化組織 7
2.1.1 國際標(biāo)準(zhǔn)化組織（ISO） 7
2.1.2 國際電工委員會(huì)（IEC） 9
2.1.3 國際電信聯(lián)盟?↖TU） 9
2.1.4 因特網(wǎng)工程任務(wù)組（IETF） 10
2.1.5 歐洲計(jì)算機(jī)廠商協(xié)會(huì)（ECMA） 10
2.2 ISO 9000族簡介 11
2.2.1 ISO 9000族標(biāo)準(zhǔn)的起源與發(fā)展 11
2.2.2 ISO 9000族標(biāo)準(zhǔn)的構(gòu)成 12
2.2.3 ISO 9000質(zhì)量管理體系的應(yīng)用 13
2.2.4 ISO 9000族與信息技術(shù)安全性評估通用準(zhǔn)則（CC）的關(guān)系 14
2.3 因特網(wǎng)標(biāo)準(zhǔn)的發(fā)布 14
2.3.1
因特網(wǎng)社團(tuán)組織及責(zé)任 14
2.3.2 RFC的發(fā)布 15
2.3.3 標(biāo)準(zhǔn)化進(jìn)程 15
2.3.4 非標(biāo)準(zhǔn)進(jìn)入文檔 16
2.4 國外信息安全標(biāo)準(zhǔn)化現(xiàn)狀簡介 16
第3章 我國信息安全標(biāo)準(zhǔn)化概況 19
3.1 我國標(biāo)準(zhǔn)化情況簡介 19
3.1.1 我國采用國際標(biāo)準(zhǔn)的原則及規(guī)定 19
3.1.2 我國標(biāo)準(zhǔn)化現(xiàn)狀和存在的問題 20
3.1.3 我國今后標(biāo)準(zhǔn)化的重點(diǎn)工作 21
3.2 我國信息安全標(biāo)準(zhǔn)化概況 23
3.3 我國信息安全標(biāo)準(zhǔn) 23
3.3.1 基礎(chǔ)類標(biāo)準(zhǔn) 23
3.3.2 物理安全標(biāo)準(zhǔn) 25
3.3.3 系統(tǒng)與網(wǎng)絡(luò)標(biāo)準(zhǔn) 27
3.3.4 應(yīng)用與工程標(biāo)準(zhǔn) 27
3.3.5 管理標(biāo)準(zhǔn) 28
3.4 我國信息標(biāo)準(zhǔn)化未來發(fā)展的趨勢 29
3.4.1 建立國家信息安全標(biāo)準(zhǔn)體系框架 29
3.4.2 企業(yè)承擔(dān)標(biāo)準(zhǔn)制定工作 29
第4章 基礎(chǔ)信息安全標(biāo)準(zhǔn)指南 31
4.1 概述 31
4.1.1 信息系統(tǒng)的安全問題 31
4.1.2 信息安全技術(shù)標(biāo)準(zhǔn)的目標(biāo) 34
4.1.3 信息系統(tǒng)實(shí)體 35
4.1.4 信息安全標(biāo)準(zhǔn)體系結(jié)構(gòu) 36
4.2 安全體系結(jié)構(gòu)標(biāo)準(zhǔn) 37
4.2.1 安全體系結(jié)構(gòu)的依據(jù)、目的和內(nèi)容 37
4.2.2 典型的網(wǎng)絡(luò)安全體系結(jié)構(gòu)標(biāo)準(zhǔn) 37
4.3 安全框架標(biāo)準(zhǔn)指南 41
4.3.1 安全框架標(biāo)準(zhǔn)概述 41
4.3.2 組織結(jié)構(gòu) 42
4.3.3 通用概念 51
4.3.4 一般的安全信息 54
4.3.5 一般的安全業(yè)務(wù) 56
4.3.6 業(yè)務(wù)的拒絕/操作的連續(xù) 57
4.3.7 安全服務(wù)與安全機(jī)制在實(shí)現(xiàn)中的關(guān)系 58
4.4 信息安全技術(shù)中的安全機(jī)制標(biāo)準(zhǔn)指南 59
4.4.1 加密機(jī)制 59
4.4.2 訪問控制機(jī)制 67
4.4.3 數(shù)據(jù)完整性機(jī)制 70
4.4.4 鑒別機(jī)制 71
4.4.5 數(shù)字簽名機(jī)制 74
4.4.6 抗抵賴機(jī)制 76
4.4.7 路由選擇控制機(jī)制 77
4.4.8 公證機(jī)構(gòu) 77
4.4.9 普遍安全機(jī)制 77
第5章 環(huán)境與平臺安全標(biāo)準(zhǔn)指南 79
5.1 電磁泄漏發(fā)射技術(shù)標(biāo)準(zhǔn)指南 79
5.2 物理環(huán)境與保障標(biāo)準(zhǔn) 80
5.2.1 計(jì)算機(jī)機(jī)房安全 80
5.2.2 計(jì)算機(jī)場地安全 80
5.2.3 電源與備份 81
5.2.4 災(zāi)難預(yù)防與恢復(fù) 82
5.2.5 電磁兼容 82
5.3 計(jì)算機(jī)安全等級標(biāo)準(zhǔn) 83
5.3.1 我國計(jì)算機(jī)安全保護(hù)等級劃分準(zhǔn)則 83
5.3.2 美國國防部可信計(jì)算機(jī)評價(jià)準(zhǔn)則（TCSEC） 86
5.4 網(wǎng)絡(luò)平臺安全標(biāo)準(zhǔn) 88
5.4.1 概述 88
5.4.2 防火墻 89
5.4.3 鏈路層加密 89
5.4.4 基于IPSec的網(wǎng)絡(luò)加密 90
5.5 應(yīng)用平臺安全標(biāo)準(zhǔn) 91
5.5.1 數(shù)據(jù)庫安全 91
5.5.2 Web安全技術(shù) 92
5.5.3 E-mail安全技術(shù) 93
5.5.4 文件傳送系統(tǒng)安全技術(shù) 94
5.5.5 SSH 95
5.5.6 電子商務(wù)標(biāo)準(zhǔn) 96
5.5.7 文電處理系統(tǒng)安全保密（X.400）標(biāo)準(zhǔn)指南 99
5.5.8 目錄系統(tǒng)（X.500）安全服務(wù)標(biāo)準(zhǔn)指南 103
5.5.9 IPV6標(biāo)準(zhǔn)研究指南 104
5.5.10 數(shù)據(jù)加密物理層互操作性要求 106
5.5.11 簡單網(wǎng)絡(luò)管理協(xié)議 109
第6章 信息安全產(chǎn)品標(biāo)準(zhǔn)指南 111
6.1 密碼模塊安全標(biāo)準(zhǔn) 111
6.1.1 概述 111
6.1.2 密碼模塊的安全目標(biāo) 112
6.1.3 密碼模塊的安全要求 113
6.1.4 系統(tǒng)安全級別的確定 121
6.2 包過濾防火墻安全標(biāo)準(zhǔn) 121
6.2.1 包過濾防火墻概述 121
6.2.2 包過濾防火墻安全環(huán)境 122
6.2.3 包過?朔闌鵯槳踩勘? 123
6.2.4 包過濾防火墻安全要求 124
6.3 應(yīng)用級防火墻安全標(biāo)準(zhǔn) 125
6.3.1 應(yīng)用級防火墻概述 125
6.3.2 應(yīng)用級防火墻安全環(huán)境 126
6.3.3 應(yīng)用級防火墻安全目標(biāo) 127
6.3.4 應(yīng)用級防火墻安全功能要求 128
6.4 路由器安全標(biāo)準(zhǔn) 129
6.4.1 概述 129
6.4.2 安全目標(biāo) 130
6.4.3 安全技術(shù)要求 130
6.4.4 路由器安全功能要求 131
6.4.5 路由器安全級別劃分的建議規(guī)則 132
6.5 安全VPN 133
6.5.1 概述 133
6.5.2 安全環(huán)境 133
6.5.3 安全目標(biāo) 133
6.5.4 安全要求 134
6.5.5 安全管理 135
6.6 證書認(rèn)證中心安全標(biāo)準(zhǔn) 135
6.6.1 概述 135
6.6.2 公鑰體系 135
6.6.3 認(rèn)證中心適用范圍 141
6.6.4 管理要求 142
6.6.5 運(yùn)行要求 144
6.6.6 系統(tǒng)和設(shè)施要求 145
6.7 話音保密設(shè)備的安全要求 146
6.8 數(shù)據(jù)保密設(shè)備的安全要求 148
6.9 傳真保密設(shè)備的安全要求 149
6.10 安全PC卡（PCMCIA安全卡） 150
6.11 智能卡 153
第7章 信息安全管理標(biāo)準(zhǔn) 155
7.1 信息安全管理簡介 155
7.2 我國信息安全管理面臨的問題 156
7.3 英國信息安全管理標(biāo)準(zhǔn)BS7799 157
7.3.1 BS7799的發(fā)展 157
7.3.2 使用BS7799標(biāo)準(zhǔn)建立信息安全管理體系 158
7.3.3 BS7799的應(yīng)用范圍 159
7.3.4 BS7799-2結(jié)構(gòu)的介紹 159
第8章 信息安全測評認(rèn)證標(biāo)準(zhǔn) 161
8.1 我國信息安全測評認(rèn)證體系 161
8.1.1 信息安全測評認(rèn)證體系理論基礎(chǔ) 161
8.1.2 我國信息安全測評認(rèn)證體系組織結(jié)構(gòu) 162
8.3 信息技術(shù)安全測評標(biāo)準(zhǔn)的發(fā)展 165
8.4 信息技術(shù)安全性評估通用準(zhǔn)則（CC） 168
8.4.1 CC的主要用戶 168
8.4.2 評估環(huán)境 169
8.4.3 CC的組成 169
8.4.4 CC的特點(diǎn) 176
8.4.5 CC的國際互認(rèn) 177
8.5 我國信息技術(shù)安全性評估準(zhǔn)則（GB/T 18336） 177
8.5.1 GB/T18336的適用范圍 177
8.5.2 GB/T 18336的作用 178
8.5.3 GB/T 18336的目標(biāo)讀者 178
8.5.4 文檔組織 179
8.5.5 關(guān)鍵概念 179
8.5.6 安全功能要求和安全保證要求 181
8.5.7 評估保證級和安全性評估 184
8.6 信息系統(tǒng)安全工程能力成熟模型及其評定方法 188
8.6.1 SSE-CMM的發(fā)展史 188
8.6.2 SSE-CMM的用途 188
8.6.3 能力級別 189
8.6.4 過程區(qū)（PA） 191
8.6.6 過程區(qū)與安全工程過程 192
8.6.6 SSE-CMM的體系結(jié)構(gòu) 194
8.6.7 評定方法 196
第9章 信息安全法律法規(guī)概貌 197
9.1 國際信息安全法律法規(guī)概要 197
9.1.1 美國信息安全法律法規(guī)概要 197
9.1.2 歐洲信息安全法律法規(guī)概要 197
9.1.3 亞洲信息安全法律法規(guī)概要 199
9.1.4 各國密碼政策簡介 199
9.2 我國現(xiàn)有信息安全相關(guān)法律法規(guī) 202
9.2.1 國家法律 202
9.2.2 行政法規(guī) 202
9.2.3 部門規(guī)章及規(guī)范性文件 203
9.2.4 地方法律法規(guī) 204
第10章 我國信息安全法律法規(guī) 205
10.1 現(xiàn)有部分信息安全法律簡介 205
10.1.1 中華人民共和國憲法相關(guān)信息安全部分摘錄 205
10.1.2 中華人民共和國刑法相關(guān)信息安全的內(nèi)容簡介 206
10.1.4 全國人大通過的維護(hù)互聯(lián)網(wǎng)安全決定 207
10.2
現(xiàn)有部分信息安全行政法規(guī)簡介 209
10.2.1 中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例簡介 209
10.2.2 商用密碼管理?xiàng)l例簡介 210
10.3 現(xiàn)有部分信息安全部門規(guī)章及規(guī)范性文件簡介 211
10.3.1 計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法簡介 211
10.3.2 計(jì)算機(jī)病毒防治管理辦法簡介 212
10.3.3 計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定簡介 212
10.3.4 計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法簡介 212
附錄A 縮略語和術(shù)語 215
一、縮略語 215
二、術(shù)語 216
附錄B 信息安全法律法規(guī) 227
一、國家法律 227
中華人民共和國保守國家秘密法 227
中華人民共和國標(biāo)準(zhǔn)化法 230
中華人民共和國產(chǎn)品質(zhì)量法 233
中華人民共和國國家安全法 241
維護(hù)互聯(lián)網(wǎng)安全的決定 244
二、行政法規(guī) 245
中華人民共和國產(chǎn)品質(zhì)量認(rèn)證管理?xiàng)l例 245
中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 249
中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定 251
中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法 252
商用密碼管理?xiàng)l例 256
三、部門規(guī)章及規(guī)范性文件 259
計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法 259
計(jì)算機(jī)病毒防治管理辦法 262
計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定 264
互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定 266
科學(xué)技術(shù)保密規(guī)定 268
網(wǎng)上證券委托暫行管理辦法 272
計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法 276
注冊信息安全專業(yè)人員認(rèn)證程序 279