网络信息安全标准

第3节 安全标准
　　1. 组织：ISO、IEC、IEEE、NIST等。
　　2. 我国标准化组织：TC260
　　— WG1：协调。
　　— WG2：保密工作组。
　　— WG7：安全管理工作组。
　　3. 我国标准分类：GB、GB/T、GB/Z、DB、QB。
　　4. 我国的基础标准体系：基础、标识与访问控制（包括哪些内容）等6个部分。

 　　5. 我国的等级保护标准：技术和管理均包括的。
　　— 定级标准：1）业务信息安全和业务服务安全两个维度进行定级。
　　2）原理是：
　　一般损害、严重损害、特别严重损害
　　公民：1-2-2,
　　社会秩序、公共利益2-3-4,
　　国家：3-4-5。
　　— 基本要求：1）物理、网络、主机、应用、数据安全。
　　2）人员安全、组织机构、安全制度、建设安全、维护安全。
　　— 实施过程：略。
　　— 测评标准：准备、现场测评、分析及报告。
　　访谈、查看、测试等三种方法。级别越高则抽样越多，粒度越细。
　　6. CC标准
　　1）TCSEC->itsec->CC（ISO/IEC 15408、GB/T 18336）2）PP：基于CC的标准化安全需求。
　　3）ST：基于CC的标准化安全方案。
　　4）TOE：产品。
　　5）CC标准：
　　— 从ITSEC开始功能和保证进行了分离。
　　— 所有与ICT有关的产品均适用。
　　— 用户、开发者和评估者均适用。
　　6）级别：EAL1、EAL2、EAL3、EAL4、EAL5、EAL6、EAL7。
　　第4节 信息安全道德规范（略）