07-網(wǎng)絡空間安全概述07-信息安全標準

網(wǎng)絡空間安全概述07

信息安全標準了解標準的基本知識了解信息安全相關的標準化組織了解信息安全國家標準體系教學目標標準的基本知識信息安全相關的標準化組織信息安全國家標準介紹目錄標準的基本知識標準與標準化標準是為了在一定范圍內獲得最佳秩序，經(jīng)協(xié)商一致建立并由公認機構批準，為共同使用和重復使用，對活動及結果提供規(guī)則、指導或給出特性的文件。標準化即為了在一定范圍內獲得最佳秩序，促進共同效益，對現(xiàn)實問題或潛在問題制定共同使用和重復使用的條款的活動。標準的特性民主性：標準是各利益相關方協(xié)商一致的結果，反映的是共同意愿，而不是個別利益。權威性：標準要按照規(guī)定程序制定，必須由能夠代表各方利益，并為社會所公認的權威機構批準發(fā)布。系統(tǒng)性：需要協(xié)調處理標準化對象各要素之間的關系，統(tǒng)籌考慮使系統(tǒng)性能和秩序達到最佳?？茖W性：標準來源于人類社會實踐活動，其產生的基礎是科學研究和技術進步的成果，是實踐經(jīng)驗的總結。

標準的基本知識標準的級別依據(jù)《中華人民共和國標準化法》，將標準劃分為4個級別：國家標準：由國務院標準化行政主管部門國家質量技術監(jiān)督總局與國家標準化管理委員會（屬于國家質量技術監(jiān)督檢驗檢疫總局管理）制定（編制計劃、組織起草、統(tǒng)一審批、編號、發(fā)布）。國家標準在全國范圍內適用，其他各級別標準不得與國家標準相抵觸。行業(yè)標準：由國務院有關行政主管部門制定，在全國某個行業(yè)范圍內適用。地方標準：指在某個省、自治區(qū)、直轄市范圍內需要統(tǒng)一的標準。企業(yè)標準：沒有國家標準、行業(yè)標準和地方標準的產品，企業(yè)應當制定相應的企業(yè)標準，并報當?shù)卣畼藴驶姓鞴懿块T和有關行政主管部門備案。企業(yè)標準僅在該企業(yè)內部適用。標準的基本知識標準的編號標準的編號由三部分構成：標準代號、標準順序號和標準發(fā)布的年號。示例：GB/T22239-2019關于標準代號國家標準：GB（強制性國家標準）、GB/T（推薦性國家標準）、GB/Z（國家標準化指導性技術文件）。行業(yè)標準：常見的代號有GM（國密）、YD（通信）、GA（公共安全）、GJB（國軍標）、BMB（保密）、RB（認證認可）等。標準的基本知識代號順序號年號標準的基本知識信息安全相關的標準化組織信息安全國家標準介紹目錄國際化組織信息安全相關的標準化組織標準組織主要標準ISO：國際標準化組織27000系列IEC：國際電工委員會ITU：國際電信聯(lián)盟目錄系統(tǒng)（X.400系列、X.500系列）IETF：互聯(lián)網(wǎng)工程任務組Internet標準草案和RFC（征求意見稿）IEEE：電氣與電子工程師學會EN：歐洲標準ASMO：阿拉伯標準ARS：非洲地區(qū)標準NIST：美國國家標準與技術研究院NIST800系列DIN：德國標準BS：英國國家標準GOST：俄羅斯國家標準JIS：日本國家標準KISA：韓國國家標準關于ISO/IECJTC1JTC1是ISO（國際標準化組織）和IEC（國際電工委員會）成立的第一聯(lián)合技術委員會（JoinTechnicalCommission1），其主要職責就是制定信息技術領域國際標準。JTC1下轄19個分技術委員會SC（Sub-technicalCommission），其中SC27是JTC1當中專門從事信息安全通用方法及技術標準化工作的分技術委員會，其工作職責包括：確定信息技術系統(tǒng)安全服務的一般需求研究制定相關安全技術和機制（如登記規(guī)程和安全部件間的相互關系等）研究制定安全指南（如說明性的文檔、風險分析等）研究制定管理支撐文檔和標準（如詞匯、安全評估準則等）研究制定用于完整性、鑒別和抗抵賴性等服務的密碼算法標準，同時根據(jù)國際認可的策略，研究制定用于保密性服務的密碼算法標準信息安全相關的標準化組織我國的信息安全標準化組織全國信息安全標準化技術委員會密碼行業(yè)標準化技術委員會信息安全相關的標準化組織全國信息安全標準化技術委員會為了加強信息安全標準化工作的組織協(xié)調力度，在國家質量技術監(jiān)督局領導下，國家標準化管理委員會于2002年批準成立“全國信息安全標準化技術委員會”（NationalInformationSecurityStandardizationTechnicalCommittee），簡稱“信安標委”，委員會編號TC260。信安標委專門從事信息安全標準化的技術工作，負責全國信息安全技術、安全機制、安全管理、安全評估等領域的標準化工作，統(tǒng)一、協(xié)調、申報信息安全國家標準項目，組織國家標準的送審、批報工作，向國家標準化委員會提出信息安全標準化工作的方針、政策和技術措施等建議。信息安全相關的標準化組織全國信息安全標準化技術委員會（信安標委）組織結構圖信息安全相關的標準化組織委員會主任副主任委員秘書處WG1信息安全標準體系與協(xié)調工作組WG2涉密信息系統(tǒng)安全保密標準工作組WG3密碼技術標準工作組WG4鑒別與授權標準工作組WG5信息安全評估標準工作組WG6通信安全標準工作組WG7信息安全管理標準工作組SWG-BDS大數(shù)據(jù)安全標準特別工作組全國信息安全標準化技術委員會（信安標委）官方網(wǎng)站/信息安全相關的標準化組織密碼行業(yè)標準化技術委員會為了滿足密碼領域標準化發(fā)展需求，充分發(fā)揮密碼科研、生產、使用、教學和監(jiān)督檢驗等方面專家的作用，更好地開展密碼領域的標準化工作，2011年10月，經(jīng)國家標準化管理委員會和國家密碼管理局批準，成立“密碼行業(yè)標準化技術委員會”（CryptographyStandardizationTechnicalCommittee），簡稱“密標委”。密標委是在密碼領域內從事密碼標準化工作的非法人技術組織，歸口國家密碼管理局領導和管理，主要從事密碼技術、產品、系統(tǒng)和管理等方面的標準化工作。密標委委員主要由政府、企業(yè)、科研院所、高等院校、檢測機構和行業(yè)協(xié)會等有關方面的專家組成。目前，密標委下設秘書處和總體、基礎、應用、測評四個工作組。信息安全相關的標準化組織標準的基本知識信息安全相關的標準化組織信息安全國家標準介紹目錄信息安全國家標準體系已發(fā)布的國家標準清單信息安全國家標準介紹信息安全國家標準目錄信息安全國家標準介紹第一類：基礎標準1、術語概念GB/T25069-2022《信息安全技術術語》2、框架模型GB/Z29830.1-2013《信息技術安全技術信息技術安全保障框架第1部分：綜述和框架》GB/Z29830.2-2013《信息技術安全技術信息技術安全保障框架第2部分：保障方法》GB/Z29830.3-2013《信息技術安全技術信息技術安全保障框架第3部分：保障方法分析》信息安全國家標準介紹

第二類：技術與機制標準1、密碼算法和技術GB/T32905-2016《信息安全技術SM3密碼雜湊算法》GB/T32907-2016《信息安全技術SM4分組密碼算法》GB/T32918.1-2016《信息安全技術SM2橢圓曲線公鑰密碼算法第1部分：總則》GB/T33133.1-2016《信息安全技術祖沖之序列密碼算法第1部分：算法描述》GB/T36968-2018《信息安全技術IPSecVPN技術規(guī)范》GB/T33560-2017《信息安全技術密碼應用標識規(guī)范》GB/T39786-2021《信息安全技術信息系統(tǒng)密碼應用基本要求》信息安全國家標準介紹

第二類：技術與機制標準2、安全標識GB/T35287-2017《信息安全技術網(wǎng)站可信標識技術指南》GB/T36629.1-2018《信息安全技術公民網(wǎng)絡電子身份標識安全技術要求第1部分：讀寫機具安全技術要求》GB/T36629.2-2018《信息安全技術公民網(wǎng)絡電子身份標識安全技術要求第2部分：載體安全技術要求》GB/T36629.3-2018《信息安全技術公民網(wǎng)絡電子身份標識安全技術要求第3部分：驗證服務消息及處理規(guī)則》GB/T36632-2018《信息安全技術公民網(wǎng)絡電子身份標識格式規(guī)范》信息安全國家標準介紹

第二類：技術與機制標準3、鑒別與授權GB/T15843.1-2017《信息技術安全技術實體鑒別第1部分：總則》GB/T20518-2018《信息安全技術公鑰基礎設施數(shù)字證書格式》GB/T25064-2010《信息安全技術公鑰基礎設施電子簽名格式規(guī)范》GB/T36624-2018《信息技術安全技術可鑒別的加密機制》GB/T36633-2018《信息安全技術網(wǎng)絡用戶身份鑒別技術指南》4、可信計算GB/T29827-2013《信息安全技術可信計算規(guī)范可信平臺主板功能接口》GB/T29828-2013《信息安全技術可信計算規(guī)范可信連接架構》GB/T36639-2018《信息安全技術可信計算規(guī)范服務器可信支撐平臺》信息安全國家標準介紹

第二類：技術與機制標準5、生物特征識別GB/T20979-2007《信息安全技術虹膜識別系統(tǒng)技術要求》GB/T37076-2018《信息安全技術指紋識別系統(tǒng)技術要求》6、身份管理GB/T19771-2005《信息技術安全技術公鑰基礎設施PKI組件最小互操作規(guī)范》GB/T29241-2012《信息安全技術公鑰基礎設施PKI互操作性評估準則》信息安全國家標準介紹

第三類：安全管理標準1、ISMSGB/T22080-2016《信息技術安全技術信息安全管理體系要求》（對應于ISO/IEC27001:2013）GB/T22081-2016《信息技術安全技術信息安全控制實踐指南》（對應于ISO/IEC27002:2013）GB/T25067-2016《信息技術安全技術信息安全管理體系審核和認證機構要求》（對應于ISO/IEC27006:2011）GB/T29246-2017《信息技術安全技術信息安全管理體系概述和詞匯》（對應于ISO/IEC27000:2016）信息安全國家標準介紹

第三類：安全管理標準2、風險管理GB/T20984-2022《信息安全技術信息安全風險評估規(guī)范》GB/T31509-2015《信息安全技術信息安全風險評估實施規(guī)范》GB/T24364-2009《信息安全技術信息安全風險管理指南》3、運維管理GB/T36626-2018《信息安全技術信息系統(tǒng)安全運維管理指南》4、事件管理GB/T20985.1-2017《信息技術安全技術信息安全事件管理第1部分：事件管理原理》（對應于ISO/IEC27035-1:2016）GB/Z20986-2007《信息安全技術信息安全事件分類分級指南》GB/T20988-2007《信息安全技術信息系統(tǒng)災難恢復規(guī)范》信息安全國家標準介紹

第四類：安全測評標準1、測評準則GB/T18336.1-2015《信息技術安全技術信息技術安全評估準則第1部分：簡介和一般模型》（對應于ISO/IEC15408-1:2008）GB/T18336.2-2015《信息技術安全技術信息技術安全評估準則第2部分：安全功能組件》（對應于ISO/IEC15408-2:2008）GB/T18336.3-2015《信息技術安全技術信息技術安全評估準則第3部分：安全保障組件》（對應于ISO/IEC15408-3:2008）2、測評方法GB/T30270-2013《信息技術安全技術信息技術安全性評估方法》（對應于ISO/IEC18045:2005）信息安全國家標準介紹

第五類：產品與服務標準1、組件GB/T37092-2018《信息安全技術密碼模塊安全要求》GB/T38625-2020《信息安全技術密碼模塊安全檢測要求》2、安全產品GB/T25066-2020《信息安全技術信息安全產品類別與代碼》GB/T33131-2016《信息安全技術基于IPSec的IP存儲網(wǎng)絡安全技術要求》GB/T36322-2018《信息安全技術密碼設備應用接口規(guī)范》3、IT產品GB/T20272-2019《信息安全技術操作系統(tǒng)安全技術要求》GB/T28452-2012《信息安全技術應用軟件系統(tǒng)通用安全技術要求》GB/T35290-2017《信息安全技術射頻識別（RFID）系統(tǒng)通用安全技術要求》信息安全國家標準介紹

第五類：產品與服務標準4、網(wǎng)絡關鍵設備GB/T18018-2019《信息安全技術路由器安全技術要求》GB/T21028-2007《信息安全技術服務器安全技術要求》GB/T21050-2019《信息安全技術網(wǎng)絡交換機安全技術要求》5、網(wǎng)絡安全專用產品GB/T20275-2021《信息安全技術網(wǎng)絡入侵檢測系統(tǒng)技術要求和測試評價方法》GB/T20278-2022《信息安全技術網(wǎng)絡脆弱性掃描產品安全技術要求》GB/T20281-2020《信息安全技術防火墻安全技術要求和測試評價方法》GB/T20945-2013《信息安全技術信息系統(tǒng)安全審計產品技術要求和測試評價方法》GB/T28451-2012《信息安全技術網(wǎng)絡型入侵防御產品技術要求和測試評價方法》GB/T32917-2016《信息安全技術Web應用防火墻安全技術要求和測試評價方法》信息安全國家標準介紹

第五類：產品與服務標準6、網(wǎng)絡服務GB/T30271-2013《信息安全技術信息安全服務能力評估準則》GB/T30283-2022《信息安全技術信息安全服務分類》GB/T32914-2016《信息安全技術信息安全服務提供方管理要求》信息安全國家標準介紹

第六類：網(wǎng)絡與系統(tǒng)標準1、信息系統(tǒng)GB/T22239-2019《信息安全技術網(wǎng)絡安全等級保護基本要求》（等保2.0標準之一）GB/T25070-2019《信息安全技術網(wǎng)絡安全等級保護安全設計技術要求》（等保2.0標準之一）GB/T28448-2019《信息安全技術網(wǎng)絡安全等級保護測評要求》（等保2.0標準之一）GB/T20274.1-2006《信息系統(tǒng)安全保障評估框架第1部分：簡介和一般模型》GB/T20274.2-2006《信息系統(tǒng)安全保障評估框架第2部分：技術保障》GB/T20274.3-2006《信息系統(tǒng)安全保障評估框架第3部分：管理保障》GB/T20274.4-2006《信息系統(tǒng)安全保障評估框架第4部分：工程保障》信息安全國家標準介紹

第六類：網(wǎng)絡與系統(tǒng)標準2、辦公系統(tǒng)GB/T29240-2012《信息安全技術終端計算機通用安全技術要求與測試評價方法》GB/T35283-2017《信息安全技術計算機終端核心配置基線結構規(guī)范》GB/T37094-2018《信息安全技術辦公信息系統(tǒng)安全管理要求》GB/T37095-2018《信息安全技術辦公信息系統(tǒng)安全基本技術要求》GB/T37096-2018《信息安全技術辦公信息系統(tǒng)安全測試規(guī)范》GB/T37002-2018《信息安全技術電子郵件系統(tǒng)安全技術要求》GB/T37091-2018《信息安全技術安全辦公U盤安全技術要求》GB/T35282-2017《信息安全技術電子政務移動辦公系統(tǒng)安全技術規(guī)范》信息安全國家標準介紹

第六類：網(wǎng)絡與系統(tǒng)標準3、通用網(wǎng)絡GB/T20270-2006《信息安全技術網(wǎng)絡基礎安全技術要求》GB/T33134-2016《信息安全技術公共域名服務系統(tǒng)安全要求》GB/T25068.1-2012《信息技術安全技術IT網(wǎng)絡安全第1部分：網(wǎng)絡安全管理》（對應于ISO/IEC18028-1:2006）GB/T25068.2-2012《信息技術安全技術IT網(wǎng)絡安全第2部分：網(wǎng)絡安全體系結構》（對應于ISO/IEC18028-2:2006）4、工業(yè)控制系統(tǒng)GB/T32919-2016《信息安全技術工業(yè)控制系統(tǒng)安全控制應用指南》GB/T36323-2018《信息安全技術工業(yè)控制系統(tǒng)安全管理基本要求》GB/T36324-2018《信息安全技術工業(yè)控制系統(tǒng)信息安全分級規(guī)范》信息安全國家標準介紹

第七類：數(shù)據(jù)安全標準1、個人信息GB/Z28828-2012《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》GB/T35273-2017《信息安全技術個人信息安全規(guī)范》信息安全國家標準介紹

第八類：組織管理標準1、機構GB/T28447-2012《信息安全技術電子認證服務機構運營管理規(guī)范》GB/T35280-2017《信息安全技術信息技術產品安全檢測機構條件和行為準則》2、人員GB/T35288-2017《信息安全技術電子認證服務機構從業(yè)人員崗位技能規(guī)范》3、監(jiān)管GB/T29245-2012《信息安全技術政府部門信息安全管理基本要求》GB/T32925-2016《信息安全技術政府聯(lián)網(wǎng)計算機終端安全管理基本要求》4、供應鏈GB/T36637-2018《信息安全技術ICT供應鏈安全風險管理指南》信息安全國家標準介紹

第九類：新技術新應用標準1、云計算GB/T31167-2014《信息安全技術云計算服務安全指南》GB/T31168-2014《信息安全技術云計算服務安全能力要求》GB/T34942-2017《信息安全技術云計算服務安全能力評估方法》GB/T35279-2017《信息安全技術云計算安全參考架構》2、大數(shù)據(jù)GB/T35274-2017《信息安全技術大數(shù)據(jù)服務安全能力要求》信息安全國家標準介紹

第九類：新技術新應用標準3、物聯(lián)網(wǎng)GB/T36951-2018《信息安全技術物聯(lián)網(wǎng)感知終端應用安全技術要求》GB/T37204-2018《信息安全技術物聯(lián)網(wǎng)感知層網(wǎng)關安全技術要求》GB/T37025-2018《信息安全技術物聯(lián)網(wǎng)數(shù)據(jù)傳輸安全要求》GB/T37044-2018《信息安全技術物聯(lián)網(wǎng)安全參考模型及通用要求》GB/T37093-2018《信息安全技術物聯(lián)網(wǎng)感知層接入通信網(wǎng)的安全要求》信息安全國家標準介紹

第九類：新技術新應用標準4、移動互聯(lián)網(wǎng)GB/T32927-2016《信息安全技術移動智能終端安全架構》GB/T34975-2017《信息安全技術移動智能終端應用軟件安全技術要求和測試評價方法》GB/T34976-2017《信息安全技術移動智能終端操作系統(tǒng)安全技術要求和測試評價方法》GB/T34977-2017《信息安全技術移動智能終端數(shù)據(jù)存儲安全技術要求和測試評價方法》GB/T34978-2017《信息安全技術移動智能終端個人信息保護技術要求》