07-网络空间安全概述07-信息安全标准

网络空间安全概述07

信息安全标准了解标准的基本知识了解信息安全相关的标准化组织了解信息安全国家标准体系教学目标标准的基本知识信息安全相关的标准化组织信息安全国家标准介绍目录标准的基本知识标准与标准化标准是为了在一定范围内获得最佳秩序，经协商一致建立并由公认机构批准，为共同使用和重复使用，对活动及结果提供规则、指导或给出特性的文件。标准化即为了在一定范围内获得最佳秩序，促进共同效益，对现实问题或潜在问题制定共同使用和重复使用的条款的活动。标准的特性民主性：标准是各利益相关方协商一致的结果，反映的是共同意愿，而不是个别利益。权威性：标准要按照规定程序制定，必须由能够代表各方利益，并为社会所公认的权威机构批准发布。系统性：需要协调处理标准化对象各要素之间的关系，统筹考虑使系统性能和秩序达到最佳。科学性：标准来源于人类社会实践活动，其产生的基础是科学研究和技术进步的成果，是实践经验的总结。

标准的基本知识标准的级别依据《中华人民共和国标准化法》，将标准划分为4个级别：国家标准：由国务院标准化行政主管部门国家质量技术监督总局与国家标准化管理委员会（属于国家质量技术监督检验检疫总局管理）制定（编制计划、组织起草、统一审批、编号、发布）。国家标准在全国范围内适用，其他各级别标准不得与国家标准相抵触。行业标准：由国务院有关行政主管部门制定，在全国某个行业范围内适用。地方标准：指在某个省、自治区、直辖市范围内需要统一的标准。企业标准：没有国家标准、行业标准和地方标准的产品，企业应当制定相应的企业标准，并报当地政府标准化行政主管部门和有关行政主管部门备案。企业标准仅在该企业内部适用。标准的基本知识标准的编号标准的编号由三部分构成：标准代号、标准顺序号和标准发布的年号。示例：GB/T22239-2019关于标准代号国家标准：GB（强制性国家标准）、GB/T（推荐性国家标准）、GB/Z（国家标准化指导性技术文件）。行业标准：常见的代号有GM（国密）、YD（通信）、GA（公共安全）、GJB（国军标）、BMB（保密）、RB（认证认可）等。标准的基本知识代号顺序号年号标准的基本知识信息安全相关的标准化组织信息安全国家标准介绍目录国际化组织信息安全相关的标准化组织标准组织主要标准ISO：国际标准化组织27000系列IEC：国际电工委员会ITU：国际电信联盟目录系统（X.400系列、X.500系列）IETF：互联网工程任务组Internet标准草案和RFC（征求意见稿）IEEE：电气与电子工程师学会EN：欧洲标准ASMO：阿拉伯标准ARS：非洲地区标准NIST：美国国家标准与技术研究院NIST800系列DIN：德国标准BS：英国国家标准GOST：俄罗斯国家标准JIS：日本国家标准KISA：韩国国家标准关于ISO/IECJTC1JTC1是ISO（国际标准化组织）和IEC（国际电工委员会）成立的第一联合技术委员会（JoinTechnicalCommission1），其主要职责就是制定信息技术领域国际标准。JTC1下辖19个分技术委员会SC（Sub-technicalCommission），其中SC27是JTC1当中专门从事信息安全通用方法及技术标准化工作的分技术委员会，其工作职责包括：确定信息技术系统安全服务的一般需求研究制定相关安全技术和机制（如登记规程和安全部件间的相互关系等）研究制定安全指南（如说明性的文档、风险分析等）研究制定管理支撑文档和标准（如词汇、安全评估准则等）研究制定用于完整性、鉴别和抗抵赖性等服务的密码算法标准，同时根据国际认可的策略，研究制定用于保密性服务的密码算法标准信息安全相关的标准化组织我国的信息安全标准化组织全国信息安全标准化技术委员会密码行业标准化技术委员会信息安全相关的标准化组织全国信息安全标准化技术委员会为了加强信息安全标准化工作的组织协调力度，在国家质量技术监督局领导下，国家标准化管理委员会于2002年批准成立“全国信息安全标准化技术委员会”（NationalInformationSecurityStandardizationTechnicalCommittee），简称“信安标委”，委员会编号TC260。信安标委专门从事信息安全标准化的技术工作，负责全国信息安全技术、安全机制、安全管理、安全评估等领域的标准化工作，统一、协调、申报信息安全国家标准项目，组织国家标准的送审、批报工作，向国家标准化委员会提出信息安全标准化工作的方针、政策和技术措施等建议。信息安全相关的标准化组织全国信息安全标准化技术委员会（信安标委）组织结构图信息安全相关的标准化组织委员会主任副主任委员秘书处WG1信息安全标准体系与协调工作组WG2涉密信息系统安全保密标准工作组WG3密码技术标准工作组WG4鉴别与授权标准工作组WG5信息安全评估标准工作组WG6通信安全标准工作组WG7信息安全管理标准工作组SWG-BDS大数据安全标准特别工作组全国信息安全标准化技术委员会（信安标委）官方网站/信息安全相关的标准化组织密码行业标准化技术委员会为了满足密码领域标准化发展需求，充分发挥密码科研、生产、使用、教学和监督检验等方面专家的作用，更好地开展密码领域的标准化工作，2011年10月，经国家标准化管理委员会和国家密码管理局批准，成立“密码行业标准化技术委员会”（CryptographyStandardizationTechnicalCommittee），简称“密标委”。密标委是在密码领域内从事密码标准化工作的非法人技术组织，归口国家密码管理局领导和管理，主要从事密码技术、产品、系统和管理等方面的标准化工作。密标委委员主要由政府、企业、科研院所、高等院校、检测机构和行业协会等有关方面的专家组成。目前，密标委下设秘书处和总体、基础、应用、测评四个工作组。信息安全相关的标准化组织标准的基本知识信息安全相关的标准化组织信息安全国家标准介绍目录信息安全国家标准体系已发布的国家标准清单信息安全国家标准介绍信息安全国家标准目录信息安全国家标准介绍第一类：基础标准1、术语概念GB/T25069-2022《信息安全技术术语》2、框架模型GB/Z29830.1-2013《信息技术安全技术信息技术安全保障框架第1部分：综述和框架》GB/Z29830.2-2013《信息技术安全技术信息技术安全保障框架第2部分：保障方法》GB/Z29830.3-2013《信息技术安全技术信息技术安全保障框架第3部分：保障方法分析》信息安全国家标准介绍

第二类：技术与机制标准1、密码算法和技术GB/T32905-2016《信息安全技术SM3密码杂凑算法》GB/T32907-2016《信息安全技术SM4分组密码算法》GB/T32918.1-2016《信息安全技术SM2椭圆曲线公钥密码算法第1部分：总则》GB/T33133.1-2016《信息安全技术祖冲之序列密码算法第1部分：算法描述》GB/T36968-2018《信息安全技术IPSecVPN技术规范》GB/T33560-2017《信息安全技术密码应用标识规范》GB/T39786-2021《信息安全技术信息系统密码应用基本要求》信息安全国家标准介绍

第二类：技术与机制标准2、安全标识GB/T35287-2017《信息安全技术网站可信标识技术指南》GB/T36629.1-2018《信息安全技术公民网络电子身份标识安全技术要求第1部分：读写机具安全技术要求》GB/T36629.2-2018《信息安全技术公民网络电子身份标识安全技术要求第2部分：载体安全技术要求》GB/T36629.3-2018《信息安全技术公民网络电子身份标识安全技术要求第3部分：验证服务消息及处理规则》GB/T36632-2018《信息安全技术公民网络电子身份标识格式规范》信息安全国家标准介绍

第二类：技术与机制标准3、鉴别与授权GB/T15843.1-2017《信息技术安全技术实体鉴别第1部分：总则》GB/T20518-2018《信息安全技术公钥基础设施数字证书格式》GB/T25064-2010《信息安全技术公钥基础设施电子签名格式规范》GB/T36624-2018《信息技术安全技术可鉴别的加密机制》GB/T36633-2018《信息安全技术网络用户身份鉴别技术指南》4、可信计算GB/T29827-2013《信息安全技术可信计算规范可信平台主板功能接口》GB/T29828-2013《信息安全技术可信计算规范可信连接架构》GB/T36639-2018《信息安全技术可信计算规范服务器可信支撑平台》信息安全国家标准介绍

第二类：技术与机制标准5、生物特征识别GB/T20979-2007《信息安全技术虹膜识别系统技术要求》GB/T37076-2018《信息安全技术指纹识别系统技术要求》6、身份管理GB/T19771-2005《信息技术安全技术公钥基础设施PKI组件最小互操作规范》GB/T29241-2012《信息安全技术公钥基础设施PKI互操作性评估准则》信息安全国家标准介绍

第三类：安全管理标准1、ISMSGB/T22080-2016《信息技术安全技术信息安全管理体系要求》（对应于ISO/IEC27001:2013）GB/T22081-2016《信息技术安全技术信息安全控制实践指南》（对应于ISO/IEC27002:2013）GB/T25067-2016《信息技术安全技术信息安全管理体系审核和认证机构要求》（对应于ISO/IEC27006:2011）GB/T29246-2017《信息技术安全技术信息安全管理体系概述和词汇》（对应于ISO/IEC27000:2016）信息安全国家标准介绍

第三类：安全管理标准2、风险管理GB/T20984-2022《信息安全技术信息安全风险评估规范》GB/T31509-2015《信息安全技术信息安全风险评估实施规范》GB/T24364-2009《信息安全技术信息安全风险管理指南》3、运维管理GB/T36626-2018《信息安全技术信息系统安全运维管理指南》4、事件管理GB/T20985.1-2017《信息技术安全技术信息安全事件管理第1部分：事件管理原理》（对应于ISO/IEC27035-1:2016）GB/Z20986-2007《信息安全技术信息安全事件分类分级指南》GB/T20988-2007《信息安全技术信息系统灾难恢复规范》信息安全国家标准介绍

第四类：安全测评标准1、测评准则GB/T18336.1-2015《信息技术安全技术信息技术安全评估准则第1部分：简介和一般模型》（对应于ISO/IEC15408-1:2008）GB/T18336.2-2015《信息技术安全技术信息技术安全评估准则第2部分：安全功能组件》（对应于ISO/IEC15408-2:2008）GB/T18336.3-2015《信息技术安全技术信息技术安全评估准则第3部分：安全保障组件》（对应于ISO/IEC15408-3:2008）2、测评方法GB/T30270-2013《信息技术安全技术信息技术安全性评估方法》（对应于ISO/IEC18045:2005）信息安全国家标准介绍

第五类：产品与服务标准1、组件GB/T37092-2018《信息安全技术密码模块安全要求》GB/T38625-2020《信息安全技术密码模块安全检测要求》2、安全产品GB/T25066-2020《信息安全技术信息安全产品类别与代码》GB/T33131-2016《信息安全技术基于IPSec的IP存储网络安全技术要求》GB/T36322-2018《信息安全技术密码设备应用接口规范》3、IT产品GB/T20272-2019《信息安全技术操作系统安全技术要求》GB/T28452-2012《信息安全技术应用软件系统通用安全技术要求》GB/T35290-2017《信息安全技术射频识别（RFID）系统通用安全技术要求》信息安全国家标准介绍

第五类：产品与服务标准4、网络关键设备GB/T18018-2019《信息安全技术路由器安全技术要求》GB/T21028-2007《信息安全技术服务器安全技术要求》GB/T21050-2019《信息安全技术网络交换机安全技术要求》5、网络安全专用产品GB/T20275-2021《信息安全技术网络入侵检测系统技术要求和测试评价方法》GB/T20278-2022《信息安全技术网络脆弱性扫描产品安全技术要求》GB/T20281-2020《信息安全技术防火墙安全技术要求和测试评价方法》GB/T20945-2013《信息安全技术信息系统安全审计产品技术要求和测试评价方法》GB/T28451-2012《信息安全技术网络型入侵防御产品技术要求和测试评价方法》GB/T32917-2016《信息安全技术Web应用防火墙安全技术要求和测试评价方法》信息安全国家标准介绍

第五类：产品与服务标准6、网络服务GB/T30271-2013《信息安全技术信息安全服务能力评估准则》GB/T30283-2022《信息安全技术信息安全服务分类》GB/T32914-2016《信息安全技术信息安全服务提供方管理要求》信息安全国家标准介绍

第六类：网络与系统标准1、信息系统GB/T22239-2019《信息安全技术网络安全等级保护基本要求》（等保2.0标准之一）GB/T25070-2019《信息安全技术网络安全等级保护安全设计技术要求》（等保2.0标准之一）GB/T28448-2019《信息安全技术网络安全等级保护测评要求》（等保2.0标准之一）GB/T20274.1-2006《信息系统安全保障评估框架第1部分：简介和一般模型》GB/T20274.2-2006《信息系统安全保障评估框架第2部分：技术保障》GB/T20274.3-2006《信息系统安全保障评估框架第3部分：管理保障》GB/T20274.4-2006《信息系统安全保障评估框架第4部分：工程保障》信息安全国家标准介绍

第六类：网络与系统标准2、办公系统GB/T29240-2012《信息安全技术终端计算机通用安全技术要求与测试评价方法》GB/T35283-2017《信息安全技术计算机终端核心配置基线结构规范》GB/T37094-2018《信息安全技术办公信息系统安全管理要求》GB/T37095-2018《信息安全技术办公信息系统安全基本技术要求》GB/T37096-2018《信息安全技术办公信息系统安全测试规范》GB/T37002-2018《信息安全技术电子邮件系统安全技术要求》GB/T37091-2018《信息安全技术安全办公U盘安全技术要求》GB/T35282-2017《信息安全技术电子政务移动办公系统安全技术规范》信息安全国家标准介绍

第六类：网络与系统标准3、通用网络GB/T20270-2006《信息安全技术网络基础安全技术要求》GB/T33134-2016《信息安全技术公共域名服务系统安全要求》GB/T25068.1-2012《信息技术安全技术IT网络安全第1部分：网络安全管理》（对应于ISO/IEC18028-1:2006）GB/T25068.2-2012《信息技术安全技术IT网络安全第2部分：网络安全体系结构》（对应于ISO/IEC18028-2:2006）4、工业控制系统GB/T32919-2016《信息安全技术工业控制系统安全控制应用指南》GB/T36323-2018《信息安全技术工业控制系统安全管理基本要求》GB/T36324-2018《信息安全技术工业控制系统信息安全分级规范》信息安全国家标准介绍

第七类：数据安全标准1、个人信息GB/Z28828-2012《信息安全技术公共及商用服务信息系统个人信息保护指南》GB/T35273-2017《信息安全技术个人信息安全规范》信息安全国家标准介绍

第八类：组织管理标准1、机构GB/T28447-2012《信息安全技术电子认证服务机构运营管理规范》GB/T35280-2017《信息安全技术信息技术产品安全检测机构条件和行为准则》2、人员GB/T35288-2017《信息安全技术电子认证服务机构从业人员岗位技能规范》3、监管GB/T29245-2012《信息安全技术政府部门信息安全管理基本要求》GB/T32925-2016《信息安全技术政府联网计算机终端安全管理基本要求》4、供应链GB/T36637-2018《信息安全技术ICT供应链安全风险管理指南》信息安全国家标准介绍

第九类：新技术新应用标准1、云计算GB/T31167-2014《信息安全技术云计算服务安全指南》GB/T31168-2014《信息安全技术云计算服务安全能力要求》GB/T34942-2017《信息安全技术云计算服务安全能力评估方法》GB/T35279-2017《信息安全技术云计算安全参考架构》2、大数据GB/T35274-2017《信息安全技术大数据服务安全能力要求》信息安全国家标准介绍

第九类：新技术新应用标准3、物联网GB/T36951-2018《信息安全技术物联网感知终端应用安全技术要求》GB/T37204-2018《信息安全技术物联网感知层网关安全技术要求》GB/T37025-2018《信息安全技术物联网数据传输安全要求》GB/T37044-2018《信息安全技术物联网安全参考模型及通用要求》GB/T37093-2018《信息安全技术物联网感知层接入通信网的安全要求》信息安全国家标准介绍

第九类：新技术新应用标准4、移动互联网GB/T32927-2016《信息安全技术移动智能终端安全架构》GB/T34975-2017《信息安全技术移动智能终端应用软件安全技术要求和测试评价方法》GB/T34976-2017《信息安全技术移动智能终端操作系统安全技术要求和测试评价方法》GB/T34977-2017《信息安全技术移动智能终端数据存储安全技术要求和测试评价方法》GB/T34978-2017《信息安全技术移动智能终端个人信息保护技术要求》