2 信息安全标准与测评

1、信息安全培训信息安全标准与测评第一PPT模板主要内容1.2.3.信息安全相关的标准化组织信息安全标准信息安全测评1.信息安全相关的标准化组织31.信息安全相关的标准化组织NIST美国国家标准技术研究所前身为NBS（美国国家标准局）所辖信息技术实验室负责信息安全领域的工作制定公布了DES（美国国家数据加密标准）制定了一系列信息安全相关的标准与指南41.信息安全相关的标准化组织IABInternet体系结构委员会负责Internet相关的技术规范下设两个主要部门：IETF和IRTF提出了一系列与Internet安全相关的协议标准（RFC）51.信息安全相关的标准化组织ISO

2、国际标准化组织与IEC联合发布了信息安全相关的多个标准61.信息安全相关的标准化组织ITU国际电信联盟是的一个专门机构制定了数据通信方面的V系列和X系列建议书X.400与X.500包括与信息安全相关的内容71.信息安全相关的标准化组织IEEEInstitute of Electrical and Electronics Engineers电子和电工工程师学会世界上最大的专业性学会提出了IEEE 802 系列标准8常见的信息安全标准FIPS PUB 46FIPS PUB 180FIPS PUB 186FIPS PUB 197Spec. Pub. 500 series (Information T

3、echnology) Spec. Pub. 800 series (Computer Security) X.509（ITU）IEEE 802.10（IEEE）9常见的信息安全标准RFC 2401: Security architecture for the Internet Protocol RFC 2402: IP authentication headerRFC 2406: IP encapsulating security payloadRFC 2408: Internet security association and key management protocol RFC 224

4、6 TLSRFC 1155 1157、1212 RFC 19011908IPSNMPRFC 25712574RFC 2104、1321 HMAC消息认证、MD5RFC 2459 、 3280 ；1510 X.509 、 Kerberos RFC 2502 Anti-Spam Recommendations for 10常见的信息安全标准ISO 15408ISO 13335ISO 17799ISO 27000 标准族ISO 7498-211ISO 27000 标准族ISMSInformation security management systemsISO 27000：ISMS fundamen

5、tals and vocabularyISO 27001：ISMS requirement ISO 27002：ISO 17799ISO 27003：ISMS implementation guidance ISO 27004：Information security managementmeasurementsISO 27005：Information security risk managementISO 27006：Requirements for the accreditation of bodies providing certification of ISMSISO 27007：G

6、uidelines for ISMS auditing122.信息安全标准1） 信息安全标准的发展2） 信息安全管理标准ISO 270003） 等级保护标准4） 风险评估标准5） 信息安全产品标准介绍2.信息安全标准1） 信息安全标准的发展（1） DoD&NSA：TCSEC、彩虹系列（2） DoD：漏洞分析与评估计划（3） Europe：ITSEC（4） 欧美六国：CC初期阶段成熟阶段（5） DoD：DITSCAP2.信息安全标准1）信息安全标准的发展（6）国际标准全球化阶段ISO/IEC 13335ISO/IEC 1540890年代以来，信息安全成为ISO/IEC 17799ISO/IEC

7、27001准，信息安全的评估进入到全球化的阶段。 世界各国面临的共同挑战。国际标准化组织颁布了一系列的信息安全评估与管理标 2.信息安全标准我国的信息安全标准（1） 国际标准（ISO等）（2） 国家标准（国家标准化委员会、质检总局）（3） 信息安全等级保护标准（公安部）（4） 信息安全产品测评认证标准（认监委）（5） 信息安全产品市场准入标准（公安部）（6） 保密产品/涉密系统测评认证标准（国家保密局）标准（国家管理局）（7）（8） 其他行标与地标（如金融、电力、教育、各省市）2.信息安全标准2）ISO 27000标准族介绍ISO 27000标准族简介ISO/IEC27000族又称ISMS标准

8、体系是国际标准化组织专门为ISMS预留下来的系列相关国际标准的总称。该系列标准的序号已经预留到27019，其中将2700027009留给ISMS基本标准，2701027019预留给ISMS标准族的解释性指南与文档。可见ISMS标准将来会是一个庞大的。按照ISO/IEC27001建立和实施ISMS （Information Security Management System，信息安全管理体系）并积极申请认证成为许多组织解决其信息安全问题的选择。ISO 27000标准族介绍ISO 27000 标准关系图ISO/IEC27001和 ISO/IEC27002为ISMS的核心标准 ISO 27000标

9、准族介绍ISO/IEC 27000标准简介Information security management system fundamentals and vocabulary (信息安全管理体系基础和术语)提供了ISMS标准族中所涉及的通用术语及基本原则，是ISMS标准族中最基础的标准之一。ISMS标准族中的每个标准都有“术语和定义”部分，但不同标准的术语间往往缺乏协调性，ISO/IEC27000主要用于实现这种协调。ISO 27000标准族介绍ISO/IEC 27001标准介绍Information technology-Security techniques-Information sec

10、urity management systems-Requirements(信息安全管理体系要求)从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求，并提供了方法。它还规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求，是组织建立和实施ISMS的依据，也是ISMS 认证机构实施审核的依据。ISO 27000标准族介绍ISO/IEC 27002标准介绍Information technology-Security techniques-Code of practice for Information security managemen

11、t(信息安全管理实用规则)该标准提出的控制目标和控制措施成为信息安全管理的最佳实践。在应用角度上，既有专用性，又有通用性。专用性指它做为ISMS标准族的一个成员，是配合ISO/IEC27001使用的； 通用性指它提出的信息安全控制目标和控制措施是从信息安全工作实践中总结出来的，不管组织是否建立和实施ISMS，均可从中选择适合自己使用的控制措施来实现组织的信息安全目标。ISO 27000标准族介绍ISO/IEC 27002标准发展历程ISO 27000标准族介绍GB/T 22081:2008人民国家标准GB/T 22081:2008(信息技术安全技术信息安全管理实用规定)为参考ISO/IEC 2

12、7002标准，进行等同转化的国内标准，对ISO/IEC 27002标准仅有编辑性修改。以下将从术语和定义、风险评估和处理及安全控制措施三个方面介绍本标准ISO 27000标准族介绍术语和定义资产：对组织有价值的任何东西控制措施：管理风险的方法，包括策略、规程、指南、惯例或组织结构。它们可以是行政、技术、管理、法律等方面的。指南：阐明应做什么和怎么做以达到制定的目标的描述。策略中ISO 27000标准族介绍术语和定义信息处理设施：任何信息处理系统、服务或基础设施，或放置它 们的场所。信息安全：保持信息的保密性、完整性、可用性；另外也可包括 例如真实性、可核查性、不可否认性和可靠性等。信息安全事态

13、：信息安全事态是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或是和安全关联的一个先前未知的状态。信息安全：一个信息安全由单个的或一系列的有害或意外信息安全事态组成，它们具有损害业务运作和威胁信息安全的极大的可能性。ISO 27000标准族介绍术语和定义：管理者正式发布的总的宗旨和方向。风险risk：事态的概率及其结果的组合。风险分析：系统地使用信息来识别风险来源和估计风险。风险评估：风险分析和风险评价的整个过程。风险评价：将估计的风险与给定的风险准则加以比较以确定风险严重性的过程。ISO 27000标准族介绍术语和定义风险管理：指导和控制一个组织相

14、关风险的协调活动，一般包括风险评估、风险处置、风险接受和风险沟通。风险处置：选择并且执行措施来更改风险的过程。第三方：就所涉及的问题被公认为是独立于有关各方的个人或机构威胁：可能导致对系统或组织的损害的不期望 因发生的潜在原脆弱性：可能会被一个或多个威胁所利用的资产或一组资产的弱点ISO 27000标准族介绍风险评估和处理评估安全风险风险评估包括：风险分析和风险评价； 应定期进行风险评估；应有一个清晰定义的信息安全风险评估的范围；处理安全风险首先要确定组织的风险接受准则；对风险评估识别出的每个风险，必须作出风险处理的决定：降低风险、 接受风险、规避风险、转移风险；关于风险评估和管理的详细信息，

15、可参见ISO/IEC 27005：2008信息技术安全技术信息安全风险管理ISO 27000标准族介绍安全控制措施主要包括11项控制措施：安全、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全理、符合性管理、业务连续性管共含有39个主要安全类别每个主要安全类别包括：一个控制目标，声明要实现什么；一个或多个控制措施，可被用于实现该控制目标ISO 27000标准族介绍安全控制措施-安全主要安全类别1：信息安全目标：依据业务要求和相关法律法规提供管理指导并支持信息安全。安全控制措施-信息安全组织主要安全类别1：内部组织目标：在组织内管理

16、信息安全。主要安全类别2：外部各方目标：保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。ISO 27000标准族介绍安全控制措施-资产管理主要安全类别1：对资产负责目标：实现和保持对组织资产的适当保护。主要安全类别2：信息分类目标：确保信息受到适当级别的保护。安全控制措施-人力资源安全主要安全类别1：任用之前目标：确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的，以降低设施被窃、和误用的风险。ISO 27000标准族介绍安全控制措施-人力资源安全主要安全类别2：任用中目标：确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系、他

17、们的职责和义务、并准备好在其正常工作过程中支持组织的安全，以减少人为过失的风险。主要安全类别3：任用的终止或变化目标：确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系。安全控制措施-物理和环境安全主要安全类别1：安全区域目标：防止对组织场所和信息的未授权物理访问、损坏和干扰。ISO 27000标准族介绍安全控制措施-物理和环境安全主要安全类别2：设备安全目标：防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。安全控制措施-通信和操作管理主要安全类别1：操作程序和职责目标：确保正确、安全的操作信息处理设施。主要安全类别2：第三方服务交付管理目标：实施和保持符

18、合第三方服务交付协议的信息安全和服务交付的适当水准。主要安全类别3：系统规划和验收目标：将系统失效的风险降至最小。ISO 27000标准族介绍安全控制措施-通信和操作管理主要安全类别4：防范恶意和移动代码目标：保护软件和信息的完整性。主要安全类别5：备份目标：保持信息和信息处理设施的完整性及可用性。主要安全类别6：网络安全管理目标：确保网络中信息的安全性并保护支持性的基础设施。主要安全类别7：介质处置目标：防止资产遭受未授权泄露、修改、移动或销毁以及业务活动的中断。ISO 27000标准族介绍安全控制措施-通信和操作管理主要安全类别8：信息的交换目标：保持组织内信息和软件交换及与外部组织信息和

19、软件交换的安全。主要安全类别9：电子商务服务目标：确保电子商务服务的安全及其安全使用。主要安全类别10：监视目标：检测未经授权的信息处理活动。安全控制措施-访问控制主要安全类别1：访问控制的业务要求目标：控制对信息的访问。ISO 27000标准族介绍安全控制措施-访问控制主要安全类别2：用户访问管理目标：确保授权用户访问信息系统，并防止未授权的访问。主要安全类别3：用户职责目标：防止未授权用户对信息和信息处理设施的访问、主要安全类别4：网络访问控制目标：防止对网络服务的未授权访问。主要安全类别5：操作系统访问控制目标：防止对操作系统的未授权访问。或窃取。ISO 27000标准族介绍安全控制措施

20、-访问控制主要安全类别6：应用和信息访问控制目标：防止对应用系统中信息的未授权访问。主要安全类别7：移动计算和远程工作目标：确保使用移动计算和远程工作设施时的信息安全。安全控制措施-信息系统获取、开发和维护主要安全类别1：信息系统的安全要求目标：确保安全是信息系统的一个有机组成部分。主要安全类别2：应用中的正确处理目标：防止应用系统中的信息的错误、遗失、未授权的修改及误用。ISO 27000标准族介绍安全控制措施-信息系统获取、开发和维护主要安全类别3：控制目标：通过方法保护信息的保密性、真实性或完整性。主要安全类别4：系统文件的安全目标：确保系统文件的安全。主要安全类别5：开发和支持过程中的

21、安全目标：维护应用系统软件和信息的安全。主要安全类别6：技术脆弱性管理目标：降低利用公布的技术脆弱性导致的风险。ISO 27000标准族介绍安全控制措施-信息安全管理主要安全类别1：报告信息安全事态和弱点目标：确保与信息系统有关的信息安全事态和弱点能够以某种方式传达，以便及时采取纠正措施。主要安全类别2：信息安全和改进的管理目标：确保采用一致和有效的方法对信息安全安全控制措施-业务连续性管理进行管理。主要安全类别1：业务连续性管理的信息安全方面目标：防止业务活动中断，保护关键业务过程免受信息系统重大失误或的影响，并确保它们的及时恢复。ISO 27000标准族介绍安全控制措施-符合性主要安全类别

22、1：符合法律要求目标：避免违反任何法律、法令、法规或合同义务，以及任何安全要求。主要安全类别2：符合安全策略和标准以及技术符合性目标：确保系统符合组织的安全策略及标准。主要安全类别3：信息系统审核考虑目标：将信息系统审核过程的有效性最大化，干扰最小化。ISO 27000标准族介绍ISO/IEC 27003标准介绍Information security management system implementation guidance (信息安全管理体系实施指南)为建立、实施、监视、评审、保持和改进符合ISO/IEC27001的ISMS提供了实施指南和进一步的信息，使用者主要为组织内负责实施I

23、SMS的人员。ISO 27000标准族介绍ISO/IEC 27004标准介绍Information security management measurements (信息安全管理测量)为组织测量信息安全控制措施和ISMS过程的有效性提供指南。ISO 27000标准族介绍ISO/IEC 27005标准介绍Information security risk management (信息安全风险管理)该标准给出信息安全风险管理的指南，包括风险管理的原则，风险评估方法，风险处理和风险接受，风险的监视和评审等，以及给出了如何满足ISMS要求的更进一步的信息。ISO 27000标准族介绍ISO/IEC

24、27006标准介绍Requirements for the accreditation of bodies providing certification of information security management systems (信息安全管理体系认证机构的认可要求)该标准对提供ISMS认证的机构提出要求，所有提供ISMS认证服务的机构需要按照该标准的要求证明其能力和可靠性。ISO 27000标准族介绍ISO/IEC 27007标准介绍Information technologySecurity techniquesISMS auditorguidelines(信息技术安全技术信息

25、安全管理体系审核员指南)该标准对提供ISMS认证的第三方认证机构的审核员的工作提供支持，内部审核员也可以参考本标准完成内部审核活动。2.信息安全标准3）等级保护相关标准介绍相关背景等级保护标准体系对基本要求的解读3）等级保护相关标准介绍(一)相关背景信息安全等级保护工作是由信息系统主管部门、运营单位、使用单位、安全产品提供方、安全服务提供方、检测评估机构、信息安全监督管理部门等多方参与，涉及技术与管理两个领域的复杂系统工程3）等级保护相关标准介绍（一）相关背景3）等级保护相关标准介绍（二）等级保护标准体系基础计算机信息系统安全保护等级划分准则GB17859-1999信息系统安全等级保护实施指南

26、GB/T 25058-2010定级环节信息系统安全保护等级定级指南GB/T22240-20083）等级保护相关标准介绍（二）等级保护标准体系安全建设整改技术环节信息系统安全等级保护基本要求GB/T22239-2008信息系统通用安全技术要求GB/T20271-2006信息系统等级保护安全设计技术要求GB/T 25070-2010安全建设整改管理环节信息系统安全管理要求GB/T20269-2006信息系统安全工程管理要求GB/T20282-20063）等级保护相关标准介绍（二）等级保护标准体系等级测评环节信息系统安全等级保护测评要求GB/T 28448-2012信息系统安全等级保护测评过程指南G

27、B/T 28449-20123）等级保护相关标准介绍(三)对基本要求的解读基本要求的文档结构(三)对基本要求的解读三级系统技术要求物理安全防火（3）防水和防潮（4） 防静电（2）温湿度控制（1）电力供应（4） 电磁防护（3）物理位置的选择（2）物理访问控制（4）防和防破坏（6）防雷击（3）(三)对基本要求的解读三级系统技术要求网络安全结构安全（7） 访问控制（8） 安全审计（4）边界完整性检查（2） 入侵防范（2）恶意代码防范（2）网络设备防护（8）(三)对基本要求的解读三级系统技术要求主机安全身份鉴别（6） 访问控制（7） 安全审计（6）剩余信息保护（2） 入侵防范（3）恶意代码防范（3）资

28、源控制（5）(三)对基本要求的解读三级系统技术要求应用安全身份鉴别（5） 访问控制（6） 安全审计（4）剩余信息保护（2） 通信完整性（1） 通信保密性（2） 抗抵赖（2）软件容错（2）资源控制（7）(三)对基本要求的解读三级系统技术要求数据安全及备份恢复数据完整性（2）数据保密性（2） 备份和恢复（4）(三)对基本要求的解读三级系统管理要求安全管理制度管理制度（4）制定和发布（5） 评审和修订（2）(三)对基本要求的解读三级系统管理要求安全管理机构岗位设置（4） 人 员 配 备 （3） 授权和审批（4） 沟通和合作（5）审核和检查（4）(三)对基本要求的解读三级系统管理要求人员安全管理人员录

29、用（4） 人员离岗（3） 人员考核（3）安全意识教育和培训（4）外部人员访问管理（2）(三)对基本要求的解读三级系统管理要求系统建设管理测试验收（4）系统交付（5） 系统备案（3） 等级测评（4）安全服务商选择（3）系统定级（4）安全方案设计（5） 产品采购和使用（4） 自行软件开发（5） 外包软件开发（4）工程实施（3）(三)对基本要求的解读三级系统管理要求系统运维管理环境管理（4）资产管理（4） 介质管理（6） 设备管理（5）备份与恢复管理（5）安全处置（6）应急预案管理（5）监控管理和安全管理中心（3）网络安全管理（8） 系统安全管理（7）恶意代码防范管理（4） 管理（1）变更管理（4）

30、4）风险评估标准(一)相关背景2003年7月国家信息化领导小组关于加强信息安全保障工作的意见（200327号）明确提出 ：要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，进行相应等级的安全建设和管理。自2004年，国家信息中心信在国家有关信息安全主管部门的指导下，组织编制了信息安全风险评估规范、信息安全风险管理规范、信息安全风险评估实施指南等国家标准。残余风险评估a)4）风险评估标准。(二)对风险评估规范的解读信息安全风险评估规范GB-T20984-2007提出了风险评估的基本概念、要素关系、分析原理、实施流程和评估方法，以及风险评估在信息系统生命

31、周期不同阶段的实施要点和工作形式。是信息安全风险评估的基础4）风险评估标准(二)对风险评估规范的解读基本术语：资产：对组织具有价值的信息或资源，是安全策略保护的对象资产价值：资产的重要程度或敏感程度的表征威胁：可能导致对系统或组织故潜在起因的不希望事脆弱性：可能被威胁所利用的资产或若干资产的薄弱环节信息安全风险：人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全的发生及其对组织造成的影响。4）风险评估标准(二)对风险评估规范的解读风险要素关系4）风险评估标准(二)对风险评估规范的解读风险分析原理4）风险评估标准(二)对风险评估规范的解读风险评估实施风险评估准备风险评估准备是整个风险

32、评估过程有效性的保证。在风险评估实施前，应：a） 确定风险评估的目标；b） 确定风险评估的范围；c） 组建适当的评估管理与实施团队；d） 进行系统调研；e） 确定评估依据和方法；f） 制定风险评估方案；g） 获得最高管理者对风险评估工作的支持。4）风险评估标准(二)对风险评估规范的解读风险评估实施资产识别在一个组织中，资产有多种表现形式；同样的两个资产也因属于不同的信息系统而重要性不同。这时首先需要将信息系统及相关的资产进行恰当的分类，以此为基础进行下一步的风险评估。一种基于表现形式的资产分类方法：数据、软件、硬件、服务、人员等此外还要对资产进行赋值：保密性赋值、完整性赋值、可用性赋值4）风险

33、评估标准(二)对风险评估规范的解读风险评估实施威胁识别威胁分类一种基于表现形式的威胁分类：软硬件故障、物理不到位、无作为或操作失误、管理威胁赋值4）风险评估标准(二)对风险评估规范的解读风险评估实施脆弱性识别脆弱性识别是风险评估中最重要的一个环节脆弱性识别可以以资产为核心，针对每一项需要保护的资产,识别可能被威胁利用的弱点， 并对脆弱性的严重程度进行评估；也可以从物理、网络、系统、应用等层次进行识别，然后与资产、威胁对应起来对不同的识别对象，其脆弱性识别的具体要求应参照相应的技术或管理标准实施。例如，对物理环境的脆弱性识别应按GB/T 9361-2000 中的技术指标实施；对操作系统、数据库应

34、按GB 17859-1999 中的技术指标实施4）风险评估标准(二)对风险评估规范的解读风险评估实施脆弱性识别脆弱性赋值可以根据脆弱性对资产的暴露程度、技术实现的难易程度、流行程度等，采用等级方式对已识别的脆弱性的严重程度进行赋值。4）风险评估标准(二)对风险评估规范的解读风险评估实施已有安全措施确认在识别脆弱性的同时，评估人员应对已采取的安全措施的有效性进行确认安全措施的确认应评估其有效性，即是否真正地降低了系统的脆弱性，抵御了威胁。对有效的安全措施继续保持，以避免不必要的工作和费用， 防止安全措施的重复实施。对确认为不适当的安全措施应核实是否应被取消或对其进行修正，或用更合适的安全措施替代

35、4）风险评估标准(二)对风险评估规范的解读风险评估实施风险分析 风险计算原理风险值=R（A，T，V）= R(L(T，V)，F(Ia， Va )。R 表示安全风险计算函数；A 表示资产；T 表胁；V 表示脆弱性； Ia 表示安全价值；Va 表示脆弱性严重程度；L 表所作用的资产胁利用资产的脆弱性导致安全生后造成的损失。的可能性；F 表示安全发4）风险评估标准(二)对风险评估规范的解读风险评估实施风险分析 风险结果判定为实现对风险的控制与管理，可以对风险评估的结果进行等级化处理。可将风险划分为五级，等级越高， 风险越高。4）风险评估标准(二)对风险评估规范的解读风险评估实施风险分析 风险处理计划对

36、不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。风险处理计划中应明确采取的弥补脆弱性的安全措施、预期效果、实施条件、进度安排、责任部门等。安全措施的选择应从管理与技术两个方面考虑。安全措施的选择与实施应参照信息安全的相关标准进行。4）风险评估标准(二)对风险评估规范的解读风险评估实施风险分析残余风险评估在对于不可接受的风险选择适当安全措施后，为确保安全措施的有效性，可进行再评估，以判断实施安全措施后的残余风险是否已经降低到可接受的水平。残余风险的评估可以依据本标准提出的风险评估流程实施，也可做适当裁减。一般来说，安全措施的实施是以减少脆弱性或降低安全发生可能性为目标的，因此，残余风险的

37、评估可以从脆弱性评估开始，在对照安全措施实施前后的脆弱性状况后，再次计算风险值的大小。4）风险评估标准(二)对风险评估规范的解读风险评估实施风险分析 风险评估文档记录风险评估文档是指在整个风险评估过程中产生的评估过程文档和评估结果文档，包括:风险评估方案、风险评估程序、资产识别、重要资产、威胁列表、脆弱性列表、已有安全措施确认表、风险评估报告、风险处理计划、风险评估记录。2.信息安全标准5）信息安全产品标准（一）产品类别边界安全通信安全身份鉴别与访问控制数据安全基础平台内容安全评估审计与监控应用安全5）信息安全产品标准边界安全包括的产品有： 适用的产品范围主要是以 件组合、其它网络产品中的功能

38、为主体的软件或软硬模块 不适用个人产品5）信息安全产品标准边界安全包括的产品有： 网络安全隔离卡与线路选择器u 网络安全隔离卡是指安装在计算机内部，能够使连接该计 算机的多个独立的网络之间仍然保持物理隔离的设备u 安全隔离线路选择器是与配套的安全隔离卡一起使用，适用于单网布线环境下，使同一计算机能够访问多个独立的网络，并且各网络仍然保持物理隔离的设备。 适用的产品范围主要是安全隔离计算机、安全隔离卡、安 全隔离线路选择器5）信息安全产品标准边界安全包括的产品有： 安全隔离与信息交换产品u 安全隔离与信息交换产品是指能够保证不同网络之间在网络协议终止的基础上，通过安全通道在实现网络隔离的同时进行

39、安全数据交换的软硬件组合。 适用的产品范围主要是安全隔离与信息交换产品、安全隔 离与文件单向传输产品5）信息安全产品标准通信安全包括的产品： 安全路由器 适用的产品范围主要是集成了计等一种或多种安全模块的路由器、入侵检测、安全审5）信息安全产品标准身份鉴别与访问控制包括的产品： 智能卡COSu 智能卡芯片操作系统(COS-ChipOperatingSystem)是指在 智能卡芯片中存储和运行的、以保护存储在非易失性存储器中的应用数据或程序的性和完整性、控制智能卡芯片与外界信息交换为目的的嵌入式软件 适用的产品范围主要是被集成或者内置了的cos5）信息安全产品标准数据安全包括的产品： 数据备份与

40、恢复产品 适用的产品范围主要是独立的数据备份与恢复管理软件产 品，不包括数据复制产品和持续数据保护产品。5）信息安全产品标准基础平台包括的产品： 安全操作系统 适用的产品范围主要是独立的安全操作系统软件产品、集 成或内置了安全操作系统的产品。5）信息安全产品标准内容安全包括的产品： 安全数据库系统 适用的产品范围主要是独立的安全数据库系统软件产品、 集成或内置了安全数据库系统的产品。5）信息安全产品标准评估审计与监控包括的产品： 反垃圾邮件产品 适用的产品范围主要是透明的反垃圾邮件网、与邮件服务 器一体的反垃圾邮件的邮件服务器等5）信息安全产品标准评估审计与监控包括的产品： 入侵检测系统 适用的产品范围主要是网络型入侵检测系统、主机型入侵 检测系统。5）信息安全产品标准评估审计与监控包括的产品： 网络脆弱性扫描产品 适用的产品范围主要:网络型脆弱性扫描产品； 不适用:主机型脆弱性扫描产品、数据库的脆弱性扫描产品、WEB应用的脆弱性扫描产品。5）信息安全产品标准评估审计与监控包括的产品： 安全审计产品 适用的产品范围主要是将主机、服务器、网络、数据库及 其它应用系统等一类或多类作为审