信息安全標準與法律法規(guī)

第1章 標準概述 1
1.1 標準和標準化的概念 1
1.1.1 標準和標準化定義 1
1.1.2 標準化的對象及范圍 1
1.1.3 標準化工作 2
1.2 標準化的意義 3
1.3 標準化的發(fā)展 3
1.3.1 標準化的早期發(fā)展 3
1.3.2 標準化學(xué)科的理論基礎(chǔ) 3
1.3.3 世界經(jīng)濟及技術(shù)的新發(fā)展對標準化產(chǎn)生的影響 4
1.3.4 信息技術(shù)標準的發(fā)展趨勢 5
1.4 國際通用“標準化七原理” 5
第2章 國際標準發(fā)展概況 7
2.1 信息技術(shù)標準化組織 7
2.1.1 國際標準化組織（ISO） 7
2.1.2 國際電工委員會（IEC） 9
2.1.3 國際電信聯(lián)盟?↖TU） 9
2.1.4 因特網(wǎng)工程任務(wù)組（IETF） 10
2.1.5 歐洲計算機廠商協(xié)會（ECMA） 10
2.2 ISO 9000族簡介 11
2.2.1 ISO 9000族標準的起源與發(fā)展 11
2.2.2 ISO 9000族標準的構(gòu)成 12
2.2.3 ISO 9000質(zhì)量管理體系的應(yīng)用 13
2.2.4 ISO 9000族與信息技術(shù)安全性評估通用準則（CC）的關(guān)系 14
2.3 因特網(wǎng)標準的發(fā)布 14
2.3.1
因特網(wǎng)社團組織及責(zé)任 14
2.3.2 RFC的發(fā)布 15
2.3.3 標準化進程 15
2.3.4 非標準進入文檔 16
2.4 國外信息安全標準化現(xiàn)狀簡介 16
第3章 我國信息安全標準化概況 19
3.1 我國標準化情況簡介 19
3.1.1 我國采用國際標準的原則及規(guī)定 19
3.1.2 我國標準化現(xiàn)狀和存在的問題 20
3.1.3 我國今后標準化的重點工作 21
3.2 我國信息安全標準化概況 23
3.3 我國信息安全標準 23
3.3.1 基礎(chǔ)類標準 23
3.3.2 物理安全標準 25
3.3.3 系統(tǒng)與網(wǎng)絡(luò)標準 27
3.3.4 應(yīng)用與工程標準 27
3.3.5 管理標準 28
3.4 我國信息標準化未來發(fā)展的趨勢 29
3.4.1 建立國家信息安全標準體系框架 29
3.4.2 企業(yè)承擔(dān)標準制定工作 29
第4章 基礎(chǔ)信息安全標準指南 31
4.1 概述 31
4.1.1 信息系統(tǒng)的安全問題 31
4.1.2 信息安全技術(shù)標準的目標 34
4.1.3 信息系統(tǒng)實體 35
4.1.4 信息安全標準體系結(jié)構(gòu) 36
4.2 安全體系結(jié)構(gòu)標準 37
4.2.1 安全體系結(jié)構(gòu)的依據(jù)、目的和內(nèi)容 37
4.2.2 典型的網(wǎng)絡(luò)安全體系結(jié)構(gòu)標準 37
4.3 安全框架標準指南 41
4.3.1 安全框架標準概述 41
4.3.2 組織結(jié)構(gòu) 42
4.3.3 通用概念 51
4.3.4 一般的安全信息 54
4.3.5 一般的安全業(yè)務(wù) 56
4.3.6 業(yè)務(wù)的拒絕/操作的連續(xù) 57
4.3.7 安全服務(wù)與安全機制在實現(xiàn)中的關(guān)系 58
4.4 信息安全技術(shù)中的安全機制標準指南 59
4.4.1 加密機制 59
4.4.2 訪問控制機制 67
4.4.3 數(shù)據(jù)完整性機制 70
4.4.4 鑒別機制 71
4.4.5 數(shù)字簽名機制 74
4.4.6 抗抵賴機制 76
4.4.7 路由選擇控制機制 77
4.4.8 公證機構(gòu) 77
4.4.9 普遍安全機制 77
第5章 環(huán)境與平臺安全標準指南 79
5.1 電磁泄漏發(fā)射技術(shù)標準指南 79
5.2 物理環(huán)境與保障標準 80
5.2.1 計算機機房安全 80
5.2.2 計算機場地安全 80
5.2.3 電源與備份 81
5.2.4 災(zāi)難預(yù)防與恢復(fù) 82
5.2.5 電磁兼容 82
5.3 計算機安全等級標準 83
5.3.1 我國計算機安全保護等級劃分準則 83
5.3.2 美國國防部可信計算機評價準則（TCSEC） 86
5.4 網(wǎng)絡(luò)平臺安全標準 88
5.4.1 概述 88
5.4.2 防火墻 89
5.4.3 鏈路層加密 89
5.4.4 基于IPSec的網(wǎng)絡(luò)加密 90
5.5 應(yīng)用平臺安全標準 91
5.5.1 數(shù)據(jù)庫安全 91
5.5.2 Web安全技術(shù) 92
5.5.3 E-mail安全技術(shù) 93
5.5.4 文件傳送系統(tǒng)安全技術(shù) 94
5.5.5 SSH 95
5.5.6 電子商務(wù)標準 96
5.5.7 文電處理系統(tǒng)安全保密（X.400）標準指南 99
5.5.8 目錄系統(tǒng)（X.500）安全服務(wù)標準指南 103
5.5.9 IPV6標準研究指南 104
5.5.10 數(shù)據(jù)加密物理層互操作性要求 106
5.5.11 簡單網(wǎng)絡(luò)管理協(xié)議 109
第6章 信息安全產(chǎn)品標準指南 111
6.1 密碼模塊安全標準 111
6.1.1 概述 111
6.1.2 密碼模塊的安全目標 112
6.1.3 密碼模塊的安全要求 113
6.1.4 系統(tǒng)安全級別的確定 121
6.2 包過濾防火墻安全標準 121
6.2.1 包過濾防火墻概述 121
6.2.2 包過濾防火墻安全環(huán)境 122
6.2.3 包過?朔闌鵯槳踩勘? 123
6.2.4 包過濾防火墻安全要求 124
6.3 應(yīng)用級防火墻安全標準 125
6.3.1 應(yīng)用級防火墻概述 125
6.3.2 應(yīng)用級防火墻安全環(huán)境 126
6.3.3 應(yīng)用級防火墻安全目標 127
6.3.4 應(yīng)用級防火墻安全功能要求 128
6.4 路由器安全標準 129
6.4.1 概述 129
6.4.2 安全目標 130
6.4.3 安全技術(shù)要求 130
6.4.4 路由器安全功能要求 131
6.4.5 路由器安全級別劃分的建議規(guī)則 132
6.5 安全VPN 133
6.5.1 概述 133
6.5.2 安全環(huán)境 133
6.5.3 安全目標 133
6.5.4 安全要求 134
6.5.5 安全管理 135
6.6 證書認證中心安全標準 135
6.6.1 概述 135
6.6.2 公鑰體系 135
6.6.3 認證中心適用范圍 141
6.6.4 管理要求 142
6.6.5 運行要求 144
6.6.6 系統(tǒng)和設(shè)施要求 145
6.7 話音保密設(shè)備的安全要求 146
6.8 數(shù)據(jù)保密設(shè)備的安全要求 148
6.9 傳真保密設(shè)備的安全要求 149
6.10 安全PC卡（PCMCIA安全卡） 150
6.11 智能卡 153
第7章 信息安全管理標準 155
7.1 信息安全管理簡介 155
7.2 我國信息安全管理面臨的問題 156
7.3 英國信息安全管理標準BS7799 157
7.3.1 BS7799的發(fā)展 157
7.3.2 使用BS7799標準建立信息安全管理體系 158
7.3.3 BS7799的應(yīng)用范圍 159
7.3.4 BS7799-2結(jié)構(gòu)的介紹 159
第8章 信息安全測評認證標準 161
8.1 我國信息安全測評認證體系 161
8.1.1 信息安全測評認證體系理論基礎(chǔ) 161
8.1.2 我國信息安全測評認證體系組織結(jié)構(gòu) 162
8.3 信息技術(shù)安全測評標準的發(fā)展 165
8.4 信息技術(shù)安全性評估通用準則（CC） 168
8.4.1 CC的主要用戶 168
8.4.2 評估環(huán)境 169
8.4.3 CC的組成 169
8.4.4 CC的特點 176
8.4.5 CC的國際互認 177
8.5 我國信息技術(shù)安全性評估準則（GB/T 18336） 177
8.5.1 GB/T18336的適用范圍 177
8.5.2 GB/T 18336的作用 178
8.5.3 GB/T 18336的目標讀者 178
8.5.4 文檔組織 179
8.5.5 關(guān)鍵概念 179
8.5.6 安全功能要求和安全保證要求 181
8.5.7 評估保證級和安全性評估 184
8.6 信息系統(tǒng)安全工程能力成熟模型及其評定方法 188
8.6.1 SSE-CMM的發(fā)展史 188
8.6.2 SSE-CMM的用途 188
8.6.3 能力級別 189
8.6.4 過程區(qū)（PA） 191
8.6.6 過程區(qū)與安全工程過程 192
8.6.6 SSE-CMM的體系結(jié)構(gòu) 194
8.6.7 評定方法 196
第9章 信息安全法律法規(guī)概貌 197
9.1 國際信息安全法律法規(guī)概要 197
9.1.1 美國信息安全法律法規(guī)概要 197
9.1.2 歐洲信息安全法律法規(guī)概要 197
9.1.3 亞洲信息安全法律法規(guī)概要 199
9.1.4 各國密碼政策簡介 199
9.2 我國現(xiàn)有信息安全相關(guān)法律法規(guī) 202
9.2.1 國家法律 202
9.2.2 行政法規(guī) 202
9.2.3 部門規(guī)章及規(guī)范性文件 203
9.2.4 地方法律法規(guī) 204
第10章 我國信息安全法律法規(guī) 205
10.1 現(xiàn)有部分信息安全法律簡介 205
10.1.1 中華人民共和國憲法相關(guān)信息安全部分摘錄 205
10.1.2 中華人民共和國刑法相關(guān)信息安全的內(nèi)容簡介 206
10.1.4 全國人大通過的維護互聯(lián)網(wǎng)安全決定 207
10.2
現(xiàn)有部分信息安全行政法規(guī)簡介 209
10.2.1 中華人民共和國計算機信息系統(tǒng)安全保護條例簡介 209
10.2.2 商用密碼管理條例簡介 210
10.3 現(xiàn)有部分信息安全部門規(guī)章及規(guī)范性文件簡介 211
10.3.1 計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法簡介 211
10.3.2 計算機病毒防治管理辦法簡介 212
10.3.3 計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定簡介 212
10.3.4 計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法簡介 212
附錄A 縮略語和術(shù)語 215
一、縮略語 215
二、術(shù)語 216
附錄B 信息安全法律法規(guī) 227
一、國家法律 227
中華人民共和國保守國家秘密法 227
中華人民共和國標準化法 230
中華人民共和國產(chǎn)品質(zhì)量法 233
中華人民共和國國家安全法 241
維護互聯(lián)網(wǎng)安全的決定 244
二、行政法規(guī) 245
中華人民共和國產(chǎn)品質(zhì)量認證管理條例 245
中華人民共和國計算機信息系統(tǒng)安全保護條例 249
中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定 251
中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實施辦法 252
商用密碼管理條例 256
三、部門規(guī)章及規(guī)范性文件 259
計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法 259
計算機病毒防治管理辦法 262
計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定 264
互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定 266
科學(xué)技術(shù)保密規(guī)定 268
網(wǎng)上證券委托暫行管理辦法 272
計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法 276
注冊信息安全專業(yè)人員認證程序 279