美军颁发安全性军用标准MIL-STD-882E
曾天翔
美国国防部从1969年7月发布第一个系统安全军用标准MIL-STD-882,到2012年5月颁发最新的标准MIL-STD-882E的42年中,该标准先后进行了6次重大修订,平均每7年修订一次,充分体现了美军重视跟踪标准的应用情况并及时进行修订,以保持标准的先进性和适用性。随着美国国防战略计划和目标的改变和科学技术的发展,该标准的目标从保障武器装备和军事人员的安全向保持环境安全和人员职业健康延伸,标准的技术内容从设备硬件向系统软件扩展,实现系统安全目标的方法也从单项技术向系统集成演变。
1. MIL-STD-882 标准的演变和发展
1969年7月,美国国防部首次颁发了系统安全军用标准MIL-STD-882“系统及其有关的分系统、设备的系统安全工作要求”,规定了系统安全管理、设计、分析和评价的基本要求。该标准作为国防部范围内武器装备采办必须遵循的文件,系统安全成为美军各种武器装备研制必须采用的工作项目。
1977年6月,MIL-STD-882进行了修订后发布MIL-STD-882A“系统安全工作要求”。MIL-STD-882A标准提出接受风险的概念,并以此作为系统安全工作的准则。该标准要求引入危险可能性并建立危险发生频率的等级,以便与危险严重性等级相协调,同时还增加了软件安全性要求。
1984年3月MIL-STD-882A做了修订并颁发了MIL-STD-882B“系统安全工作要求”,提出系统安全工程和管理要求的详细指导原则,并首次详细描述软件系统安全。在附录中给出了定性风险评价表。
1987年7月发布了MIL-STD-882B的修改通报,在这标准的修订中,增加了软件安全性的工作项目,包括软件需求危险分析、概要设计危险分析、软件安全性测试、软件与用户接口分析和软件更改危险分析等。
1993年1月MIL-STD-882B进行修订并发布了MIL-STD-882C“系统安全工作要求”,删除了MIL-STD-882B对软件独立规定的工作项目,将危险和软件系统安全工作整合在一起,接着在1996年1月发布了MIL-STD-882C的修改通报。
2000年2月,对MIL-STD-882C进行修订,发布了MIL-STD-882D“系统安全标准实践”。MIL-STD-882D是在20世纪90年代中期的采办改革的环境中诞生的,由于受到军用
规范和标准改革提出的优先采用民用规范和基于性能的标准实践的影响,MIL-STD-882D仅规定了军方对武器装备采办的系统安全工作要求,取消了MIL-STD-882C规定的对承制方要求的系统安全工作项目说明,使武器装备采办过程中开展系统安全工作遇到不少困难。
2004年中期,为了弥补MIL-STD-882D可操作性差的缺陷,美国国防部发布了MIL-STD-882E(征求意见1稿),重新编制系统安全工作项目。接着,于2005年初期发布了MIL-STD-882E(征求意见2稿),增加了安全关键功能和功能危险分析等新的工作项目。2005年中期又发布了MIL-STD-882E(征求意见3稿),增加了工程安全特性(如在线冗余通道、联锁、不中断电源等),提出系统安全的5个基本要素替代系统安全的8个步骤。后来经过国防部与政府电子信息技术协会(GEIA)G-48系统安全委员会的协调和修改,2005年12月完成了MIL-STD-882E的征求意见。
2009年2月,在MIL-STD-882D的基础上,美国政府电子信息协会(GEIA)G-48系统安全委员会正式批准发布了新的军民两用安全性标准GEIA-STD-0010“系统安全工作的标准最佳实践”。
2010年3月,国防部根据政府部门和工业界的要求,对MIL-STD-882D进行修订,颁发了MIL-STD-882D修订版“系统安全标准实践——系统工程用的环境、安全及职业健康风险管理方法”。新修订的标准恢复了可以写入采办合同的工作项目说明,加强了采办过程中在环境、安全及职业健康与系统工程之间的集成,以实现采办项目的环境、安全及职业健康的统一协调管理。
2012年5月,在MIL-STD-882E征求意见稿、MIL-STD-882D修订版和军民两用的GEIA-STD-0010标准的基础上,美国国防部经历8年的修订,正式颁发新的军用标准MIL-STD-882E“系统安全标准实践”。
2 MIL-STD-882E标准概况
MIL-STD-882E标准强调:“系统安全标准实践”是系统工程的一个关键要素,它为危险识别、分类和消减提供通用的标准方法;是在执行军事任务过程中,保护美军人员免受意外死亡、受伤或职业病,而且防止国防系统、基础设施和财产免遭意外毁坏、损坏的基石。
新修订的标准强调系统安全标准实践与现行的美国国防政策相协调,支持国防战略计划和目标;调整标准结构和内容编排,阐明系统安全过程的基本要素,定义工作项目说明;而且加强系统安全标准实践和其他工程专业统一集成到系统工程学科,以保证整个采办项目的危险管理协调一致。
该标准长达104页,主要的修改内容如下:
(1)恢复工作项目说明,标准的工作项目说明包括:a.100系列工作项目—管理、b.200系列工作项目—分析、c.300系列工作项目—评价、d.400系列工作项目—验证。
(2)新增加的工作项目有:a.危险材料管理计划、b.功能危险分析、c.系统的系统(system of system)危险分析和d.环境危险分析。
(3)加强对适用的技术要求的识别。
(4)在事故严重性说明中,提高损失的美元数值。
(5)在事故可能性等级中,增加一个“消除”级。
(6)增加软件系统安全技术和实践的内容。
(7)更新标准的附录,包括附录A—系统安全工作指南;附录B—软件系统安全工程分析。
3 MIL-STD-882E的工作项目应用表
MIL-STD-882E标准规定的各个工作项目的名称、类型以及在项目采办的各个阶段,即装备解决方案分析(MSA)、技术开发(TD)、工程与制造研制(EMD)、生产与部署(P&D)和使用与保障(O&S)等阶段的应用情况列在表1中。
美国军用标准化发展概况 张笑瑜 (周四;编号:35;学号:201202025017) 摘要:美军明确提出“军用标准化是未来战略思想的核心要素之一”,“未来战争要成功,靠标准”。世界各主要军事强国均把标准化战略作为实现其军事战略的重要组成部分。我军在军用标准化方面还有所欠缺,美国军用标准化的发展阶段进程值得我军学习借鉴。 关键词:美军军用标准化;发展概况;军用标准化 十八大报告提出“走中国特色军民融合式发展路子,坚持富国和强军相统一”, 明确了建设巩固国防和强大军队是我国现代化建设的战略任务。国防和军队现代化建设离不开军用标准的体系建设,美军作为世界上公认的最为现代化的军队,其军用标准化的发展值得我军学习借鉴。 美军军用标准化体系是伴随着美国科技发展和国家战略需求而逐步演化和完善的,从美军的军用标准化发展可以看出美国军用标准是当前世界公认的先进技术标准,具有体系完整、内容丰富、结构严谨、技术先进等特点,长期以来一直被认为是美国的宝贵财富。通过我的调研发现,美国军用标准化发展大致可分为三个阶段。 一、起步阶段 第二次世界大战中,美国需要向欧洲运送大量的军用物资。由于当时美国的标准化程度不高,给军用物资的运输、存储、维护和使用,以及后勤供应等工作带来了极大的困难,直接影响了部队的战斗力。第二次世界大战后,为满足装备采办的需求,美国于1951面发布了《军用标准化备忘录》,1952年7月1日,美国国会通过了《国防编目和标准化法》,该法规定“在国防部范围内展开单一的统一的标准化活动”。随后,美国国防部根据公法、联邦法和条例建立了一整套有关军用标准化的指令、指示和细则,对军用标准化工作实施了科学管理和全程控制。从此,美国国防部一直依据法律集中、统一地展开军用标准化建设,在“国防部标准化计划”的指导下,美国军用标准数量快速增长,从20世纪50年代到20世纪80年代初的30年间,总数达到43580项。该阶段,美国军用标准化的发展具有两个特点:保障军用标准发展的各项制度法规全面建立;军用标准数量呈急剧增长状态。 二、调整阶段 20世纪80年代起,美军标准化工作的指导性文件——DOD4120系列文件和
液体渗透防护 侵入防护 固体微粒防护 海能达DMR对讲机可以耐受各种恶劣环境,比如极端的温度条件、跌落 于仓库混凝土楼板,或需要防尘防湿的情况。无论环境如何,海能达对讲机都可让您保持工作顺利进行,是您的最佳选择。, 所有海能达对讲机均采用美国军用标准 (MIL-STD) 及 IP 代码进行认证, 您可以据此了解每种型号的坚固程度和防护等级。那么,这些认证是什么?分别代表什么含义呢? MIL-STD-810 美国 MIL-STD-810 是为美国军方设计的一系列环境工程考量和实验室测试,用于测试设备在寿命期内各种预期使用条件下的环境设计及限制情况。该标准还制定了模拟设备所受环境影响的测试方法。MIL-STD-810 不禁 旨在根据装备系统性能要求,提供切实可行的装备设计和测试方法。 虽然该标准最初用于军事应用,但现在也常常用于商业产品。MIL-STD-810 已为商业对讲机行业广泛采用,为客户提供易于理解的评级系统,并使用独立的测试方法,确保可靠的对讲机环境性能和耐用性。 MIL-STD-810 标准指南和测试方法旨在:
● 确定环境应力顺序、耐受度和设备寿命等级 ● 用于制定适合设备及其环境寿命的分析和测试标准 ● 评估环境应力寿命周期下的设备性能 ● 发现设备设计、材料、制造工艺、包装技术和维护方法的缺陷和不足 ● 体现产品的合规性。 MIL-STD-810 涵盖各种环境条件,包括:低压高度测试;高温、低温及 热震试验(工作及存储);雨雪环境试验(包括大风和冻雨情况);湿度、霉菌、盐雾防锈测试;沙尘暴露;爆炸性气体环境;泄漏;加速度;冲击和运输冲击;炮振;以及随机振动。在对讲机行业内,MIL-STD-810 常 用于测试和指示对讲机对温度、跌落、冲击和振动的耐受程度。 IP 等级 IP 代码(国际防护或异物防护)由国际电工委员会 (IEC) 制定,“划分了 机械和电子设备对异物入侵(如手和手指等身体部位)、灰尘、意外接触和液体渗入的防护程度”。与IEC 60529 相对应的欧洲标准是EN 60529。 IP 代码由字母“IP”加两位数字组成,有时还包含选择性字母。IP 代表异 物防护(Ingress Protection)。第一个数字表示电气外壳的固体防护水平,包括手和手指等身体部位、灰尘的侵入及意外接触;第二个数字表示电气外壳的液体防护水平。目的是为用户提供更清晰的指导,而不仅仅是“防水”这样的模糊术语。 以下定义是 DMR 对讲机及其相关基础设施的普遍 IP 等级。例如: 第一位数字:固体防护 ● 5:防尘——不能完全防止灰尘进入,但灰尘的侵入量不足以影响设备 的正常运作;完全防止接触。
信息安全管理规范 第一章总则 第一条为规范企业信息系统及所承担维护服务的用户信息系统的信息安全管理,促进信息安全管理工作体系化、规范化,提高信息系统和网络服务质量,提高信息系统管理人员、维护人员以及使用人员的整体安全素质和水平,特制定本管理规范。本管理规范目标是为公司信息安全管理提供清晰的策略方向,阐明信息安全建设和管理的重要原则,阐明信息安全的所需支持和承诺。 第二条本规范是指导公司信息安全工作的基本依据,信息安全相关人员必须认真执行本规程,并根据工作实际情况,制定并遵守相应的安全标准、流程和安全制度实施细则,做好安全维护管理工作。 第三条信息安全是公司及所承担的用户信息系统系统运维服务工作的重要内容。公司管理层非常重视,大力支持信息安全工作,并给予所需的人力物力资源。 第四条本规范的适用范围包括所有与公司信息系统及本公司所承担维护服务的各方面相关联的人员,它适用于本公司全部员工,集成商,软件开发商,产品提供商,商务伙伴和使用公司信息系统的其他第三方。 第五条本规范适用于公司所承担服务支撑的外部各单位的信息系统的安全工作范围。 第六条本规范主要依据国际标准ISO17799,并遵照我国信息安全有关法律法规、电信行业规范和相关标准。 第二章安全管理的主要原则 第七条管理与技术并重的原则:信息安全不是单纯的技术问题,在采用安全技术和产品的同时,应重视管理,不断积累完善各个信息安全管理章程与规定,全面提高信息安全管理水平。
第八条全过程原则:信息安全是一个系统工程,应将它落实在系统建设、运行、维护、管理的全过程中,安全系统应遵循与信息系统同步规划、同步建设、同步运行的原则,在任何一个环节的疏忽都可能给信息系统带来危害。 第九条风险管理和风险控制原则:应进行安全风险管理和风险控制,以可以接受的成本或最小成本,确认、控制、排除可能影响公司信息系统的安全风险,并将其带来的危害最小化。 第十条分级保护原则:应根据信息资产的重要程度以及面临的风险大小等因素决定各类信息资产的安全保护级别。制订各类网络系统和信息资产的安全保护等级表,在表中明确资产类别,同时确定对何种资产应达到何种级别的安全。 第十一条统一规划、分级管理实施原则:信息安全管理遵循统一规划、分级管理的原则。信息安全领导小组负责对公司各项信息安全管理工作进行统一规划,负责信息安全管理办法的制定和监督实施。各级部门在信息安全领导小组指导与监督下,负责具体实施。 第十二条平衡原则:在公司信息安全管理过程中,应在安全性与投入成本、安全性和操作便利性之间找到最佳的平衡点。 第十三条动态管理原则:在公司信息安全管理过程中,应遵循动态管理原则,要针对信息系统环境的变动情况及时调整管理办法。 第三章安全组织和职责 第十四条建立和健全信息安全组织,设立由高层领导组成的信息安全领导小组,对于信息安全方面的重大问题做出决策,协调信息安全相关各部门之间的关系,并支持和推动信息安全工作在整个信息系统范围内的实施。 第十五条公司应设置相应的信息安全管理机构,负责信息系统的信息安全管理工作,配备专职安全管理员,由安全管理员具体执行本公司信息安全方面的相关工作。 第十六条公司信息系统的安全管理机构职责如下: 根据本规范制定信息系统的信息安全管理制度、标准规范和执行程序;
美國軍用標准 (MIL-PRF-13830B) 性能標准 軍火控制設備用光學元件;監控生產、裝配、檢測的通用標准 所有國防部門和代理部門可允許使用此標准。 1.范圍 1.1范圍。此標准包括精加工光學光學元件的生產、裝配、檢測,諸如用於軍火控制設備上的球面鏡、稜鏡、平面鏡、分劃板、觀景窗以及光楔等。 2.應用文件 2.1概要 本章列出的文件需要參閱本標准3、4、5章的要求。本章不包括本標准其他章節的文件或其他信息推存的文件。為了保証本目錄的完整性,文件使用者必須注意文件須滿足本標准3、4、5章列出的文件要求,無論這些內容是否在本章中列出。 發行申明:此為公用版本,發行不受限制。 2.2其他政府文件,圖紙及出版物 下列政府其他文件、圖紙和出版物組成本文件內容的一部分,擴大本文的范圍。除非另有規定,這些文件、圖紙和出版物是征求引用的。 圖面資料 美國軍事裝備研究發展工程技術中心 C7641866---光學元件表面質量標准 (立約人要求的其他政府文件、圖紙、出版復印件及具體的功能應該從簽約事宜或簽約指示得到) 2.3優先順序 本標准內容與其引出的參考有沖突時,以本標准內容為准。本標准未述內容,可行法律法規代行除非有具體的免除通知。(看附加優先標准合同條令) 3.要求: 3.1所有的光學元件,配件以及系統產品都必須符合這一標准的要求,除非具體的儀器標准或合同之可行圖紙另有要求與定義。 3.2所用的材料必須與所適用的仕樣書或圖紙相一致 3.2.1光學玻璃光學玻璃的種類和等級必須在圖紙中規定,允許使用規定的其它玻璃材料時,應提供給合同管理人員相關的玻璃光學特性及設計數據完整的信息。3.2.1.1 放射性材料 本文中要求的光學材料應不含釷或其他加入的超過0.05%重量的放射性材料。 3.2.2粘接劑除非合同和定單中有規定,光學粘合劑必須同附錄A的要求相一致。
国内外信息安全产品认证标准简介信息安全标准是解决有关信息安全的产品和系统在设计、研发、生产、建设、使用、检测认证中的一致性、可靠性、可控性,先进性和符合性的技术规范和技术依据。因此,世界各国越来越重视信息安全产品认证标准的制修订工作。 一、国外信息安全标准发展现状 l .CC标准的发展过程 CC标准(Common Criteria for Information Technology Security Evaluation)是信息技术安全性评估标准,用来评估信息系统和信息产品的安全性。CC标准源于世界多个国家的信息安全准则规范,包括欧洲ITSEC、美国TCSEC(桔皮书)、加拿大CTCPEC以及美国的联邦准则(Federal Criteria)等,由6个国家(美国国家安全局和国家技术标准研究所、加拿大、英国、法国、德国、荷兰)共同提 出制定。CC标准的发展过程见附图。 国际上,很多国家根据CC标准实施信息技术产品的安全性评估与认证。1999年CCV2.1被转化为国际标准ISO/IEC15408-1999《Information technology-Security techniques-Evaluation criteria for IT security》,目前,最新版本ISO/IEC15408-2008采用了CCV3.1。 用于CC评估的配套文档CEM标准(Common Methodology for Information Technology Security Evaluation)提供了通用的评估方法,并且跟随CC标准版本的发展而更新。CEM标准主要描述了保护轮廓(PP-Protection Profile)、安全目标(ST-Security Target)和不同安全保证级产品的评估要求和评估方法。CEM标准于2005年成为国际标准ISO/IEC18045《Information technology-Security techniques-Methodology for ITsecurity evaluation》。 2. CC标准内容介绍 CC标准共分为三部分,主要内容包括信息技术安全性评估的一般模型和基本框架,以及安全功能要求和安全保证要求,目的是建立一个各国都能接受的通用的信息安全产品和系统的安全性评估准则。CC标准为不同国家或实验室的评估结果提供了可比性。 CC标准的第一部分为简介和一般模型,描述了信息安全相关的基本概念和模型,以及PP和ST的要求。PP是为一类产品或系统定义信息安全技术要求,包括功要求和保证要求。ST则定义了一个既定评估对象(TOE-TarEet of aluation)的IT
目录 前言 (3 0 引言 (4 0.1 总则 (4 0.2 与其他管理系统标准的兼容性 (4 1. 范围 (5 2 规范性引用文件 (5 3 术语和定义 (5 4 组织景况 (5 4.1 了解组织及其景况 (5 4.2 了解相关利益方的需求和期望 (5 4.3 确立信息安全管理体系的范围 (6 4.4 信息安全管理体系 (6 5 领导 (6 5.1 领导和承诺 (6 5.2 方针 (6 5.3 组织的角色,职责和权限 (7 6. 计划 (7 6.1 应对风险和机遇的行为 (7
6.2 信息安全目标及达成目标的计划 (9 7 支持 (9 7.1 资源 (9 7.2 权限 (9 7.3 意识 (10 7.4 沟通 (10 7.5 记录信息 (10 8 操作 (11 8.1 操作的计划和控制措施 (11 8.2 信息安全风险评估 (11 8.3 信息安全风险处置 (11 9 性能评价 (12 9.1监测、测量、分析和评价 (12 9.2 内部审核 (12 9.3 管理评审 (12 10 改进 (13 10.1 不符合和纠正措施 (13 10.2 持续改进 (14 附录A(规范参考控制目标和控制措施 (15
参考文献 (28 前言 0 引言 0.1 总则 本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。 信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。 重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。信息安全管理体系的实施要与组织的需要相符合。 本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。 本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引用。 ISO/IEC 27000参考信息安全管理体系标准族(包括ISO/IEC 27003[2]、ISO/IEC 27004[3]、ISO/IEC 27005[4]及相关术语和定义,给出了信息安全管理体系的概述和词汇。 0.2 与其他管理体系标准的兼容性
美军标简介United States Military Standard 2010-06-11 15:54 主要分类: Acronym Type Definition [1] MIL-HDBK Defense Handbook A guidance document containing standard procedural, technical, engineering, or design information about the materiel, processes, practices, and methods covered by the DSP. MIL-STD-962 covers the content and format for defense handbooks. MIL-SPEC Defense Specification A document that describes the essential technical requirements for purchased material that is military unique or substantially modified commercial items. MIL-STD-961 covers the content and format for defense specifications. MIL-STD Defense Standard A document that establishes uniform engineering and technical requirements for military-unique or substantially modified commercial processes, procedures, practices, and methods. There are five types of defense standards: interface standards, design criteria standards, manufacturing process standards, standard practices, and test method standards. MIL-STD-962 covers the content and format for defense standards. MIL-PRF Performance Specification A performance specification states requirements in terms of the required results with criteria for verifying compliance, but without stating the methods for achieving the required results. A performance specification defines the functional requirements for
征信机构信息安全规范 一、总则 1.1标准适用范围 标准规定了不同安全保护等级征信系统的安全要求,包括安全管理、安全技术和业务运作三个方面。 标准适用于征信机构信息系统的建设、运行和维护,也可作为各单位开展安全检查和内部审计的安全依据。接入征信机构信息系统的信息提供者、信息使用者也可以参照与本机构有关条款执行,标准还可作为专业检测机构开展检测、认证的依据。 1.2相关定义 (一)征信系统:征信机构与信息提供者协议约定,或者通过互联网、政府信息公开等渠道,对分散在社会各领域的企业和个人信用信息,进行采集、整理、保存和加工而形成的信用信息数据库及相关系统。 (二)敏感信息:影响征信系统安全的密码、密钥以及业务敏感数据等信息。 1、密码包括但不限与查询密码、登录密码、证书的PIN等。 2、密钥包括但不限与用于确保通讯安全、报告完整性的密
钥。 3、业务敏感数据包括但不限于信息主体的身份信息、婚姻状况以及银行账户信息等涉及个人隐私的数据。 (三)客户端程序:征信机构开发的、通过浏览器访问征信系统并为征信系统其他功能(如数据采集)的程序,并提供必需功能的组件,包括但不限于:可执行文件、控件、浏览器插件、静态链接库、动态链接库等(不包括IE等通用浏览器);或信息提供者、信息使用者以独立开发的软件接入征信系统的客户端程序。 (四)通讯网络:通讯网络指的是由客户端、服务器以及相关网络基础设施组建的网络连接。征信系统通过互联玩或网络专线等方式与信息提供者、信息使用者相连,征信系统安全设计应在考虑建设成本、网络便利性等因素的同时,采取必要的技术防护措施,有效应对网络通讯安全威胁。(五)服务器端:服务器端指用于提供征信系统核心业务处理和应用服务的服务器设备及安装的相关软件程序,征信机构应充分利用有效的物理安全技术、网络安全技术、主机安全技术、应用安全技术及数据安全与备份恢复技术等,在外部威胁和受保护的资源间建立多道严密的安全防线。 1.3总体要求 本标准从安全管理、安全技术和业务运作三个方面提出征信
ISO标准——IEC 27001:2005 信息安全管理体系—— 规范与使用指南 Reference number ISO/IEC 27001:2005(E)
0简介 0.1总则 本国际标准的目的是提供建立、实施、运作、监控、评审、维护和改进信息安全管理体系(ISMS)的模型。采用ISMS应是一个组织的战略决定。组织ISMS的设计和实施受业务需求和目标、安全需求、应用的过程及组织的规模、结构的影响。上述因素和他们的支持系统预计会随事件而变化。希望根据组织的需要去扩充ISMS的实施,如,简单的环境是用简单的ISMS解决方案。 本国际标准可以用于内部、外部评估其符合性。 0.2过程方法 本国际标准鼓励采用过程的方法建立、实施、运作、监控、评审、维护和改进一个组织的ISMS的有效性。 一个组织必须识别和管理许多活动使其有效地运行。通过利用资源和管理,将输入转换为输出的活动,可以被认为是一个过程。通常,一个过程的输出直接形成了下一个过程的输入。 组织内过程体系的应用,连同这些过程的识别和相互作用及管理,可以称之这“过程的方法”。 在本国际标准中,信息安全管理的过程方法鼓励用户强调以下方面的重要性: a)了解组织信息安全需求和建立信息安 全策略和目标的需求; b)在组织的整体业务风险框架下,通过 实施及运作控制措施管理组织的信息 安全风险; c)监控和评审ISMS的执行和有效性; d)基于客观测量的持续改进。 本国际标准采用了“计划-实施-检查-改进”(PDCA)模型去构架全部ISMS流程。图1显示ISMS如何输入相关方的信息安全需求和期望,经过必要的处理,产生满足需求和期望的产品信息安全输出,图1阐明与条款4、5、6、7、8相关。 采用PDCA模型将影响OECD《信息系统和网络的安全治理》(2002)中陈述的原则,0 Introduction 0.1 General This International Standard has been prepared to provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System (ISMS). The adoption of an ISMS should be a strategic decision for an organization. The design and implementation of an organization’s ISMS is influenced by their needs and objectives, security requirements, the processes employed and the size and structure of the organization. These and their supporting systems are expected to change over time. It is expected that an ISMS implementation will be scaled in accordance with the needs of the organization, e.g. a simple situation requires a simple ISMS solution. This International Standard can be used in order to assess conformance by interested internal and external parties. 0.2 Process approach This International Standard adopts a process approach for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an organization's ISMS. An organization needs to identify and manage many activities in order to function effectively. Any activity using resources and managed in order to enable the transformation of inputs into outputs can be considered to be a process. Often the output from one process directly forms the input to the next process. The application of a system of processes within an organization, together with the identification and interactions of these processes, and their management, can be referred to as a “process approach”. The process approach for information security management presented in this International Standard encourages its users to emphasize the importance of: a) understanding an organization’s information security requirements and the need to establish policy and objectives for information security; b) implementing and operating controls to manage an organization's information security risks in the context of the organization’s overall business risks; c) monitoring and reviewing the performance and effectiveness of the ISMS; and d) continual improvement based on objective measurement. This International Standard adopts the "Plan-Do-Check-Act" (PDCA) model, which is applied to structure all ISMS processes. Figure 1 illustrates how an ISMS takes as input the information security requirements and expectations of the interested parties and through the necessary actions and processes produces information security outcomes that meets those requirements and expectations. Figure 1 also illustrates the links in the processes presented in Clauses 4, 5, 6, 7 and 8. The adoption of the PDCA model will also reflect the principles as set out in the
广电计量-环境可靠性与电磁兼容试验中心:https://www.doczj.com/doc/a99240390.html,/ 美军标MIL-STD-810G认证检测 美军标MIL-STD-810G并不是指的某个测试项目,其中我国军用装备环境试验标准GJB 150A就是根据美军标MIL-STD-810G为基础改编而来,它涵盖了气候环境、机械环境等可靠性测试,比较其他如常见的电子设备环境试验IEC60068和GB/T2423较为严格。 符合美国军用MIL-STD-810G标准的主要用户为军方、警方、电信工程、建筑工地、户外测量等需要在户外工作的用户,这些用户的工作环境容易遭受碰撞、雨水、沙尘等,导致装备损坏。除了防震、防水、耐摔、防尘外,还可安装在野外车辆中使用。该标准已被欧洲、日本、新加坡、欧洲、马来西亚等地的军警人员广泛使用。 具体项目如下(cnas认可): 第2部分:低气压(高度)试验500.4Low Pressure (Altitude) 第3部分:高温试验501.4High Temperature 第4部分:低温试验502.4Low Temperature 第5部分:温度冲击试验503.4Temperature Shock 第7部分:太阳辐射试验505.4Solar Radiation (Sunshine) 第8部分:淋雨试验506.4Rain 第9部分:湿热试验507.4Humidity 第10部分:霉菌试验508.5Fungus 第11部分:盐雾试验509.4Salt Fog 第12部分:砂尘试验510.4Sand and Dust 第13部分:爆炸性大气试验511.4Explosive Atmosphere 第14部分:浸渍试验512.4Immersion 第15部分:加速度试验513.5Acceleration 第16部分:振动试验514.5Vibration 第17部分:噪声试验515.5Acoustic Noise 第18部分:冲击试验516.5Shock 第20部分:炮击振动试验519.5Gunfire Vibration 第21部分:风压试验 第22部分:积冰/冰雨试验521.2Icing/Freezing Rain 第23部分:倾斜和摇摆试验 第24部分:温度--湿度--振动--高520.2Temperature, Humidity, Vibration, and Altitude 第25部分:振动--噪声--温度试验523.2Vibro-Acoustic/Temperature 第26部分:流体污染试验504 Contamination by Fluids 第27部分:爆炸分离冲击试验517Pyroshock 第28部分:酸性大气试验518Acidic Atmosphere 第29部分:弹道冲击试验522Ballistic Shock 依据国内外标准提供光老化试验、温湿度试验、气体腐蚀试验、机械振动试验、机械冲击试验、碰撞试验和跌落试验、防尘防水试验以及包装压力试验等多项环境和可靠性试验,涵盖了气候环境试验、机械环境试验及综合环境试验的绝大部分项目,能满足GJB、GB、GB/T、IEC、ISO、EN、MIL、SAE、ASTM、ISTA、JIS、IPC、JEDEC、GM、NISSAN等各种国际、国内环境及可靠性试验标准要求,同时满足相关军用标准要求。
员工信息安全规范 1、适用范围 本标准规定了公司员工必须遵循的个人计算机和其他方面的安全要求,规定了员工保护公司涉密信息的责任,并列出了大量可能遇到的情况下的安全要求。 本标准适用于公司所有员工,包括子公司的员工,以及其他经授权使用公司内部资源的人员。 2、计算机安全要求 1)计算机信息登记与使用维护: 每台由公司购买的计算机的领用、使用人变更、配置变更、报废等环节必须经过IT部的登记,严禁私自变更使用人和增减配置; 每位员工有责任保护公司的计算机资源和设备,以及包含的信息。 每位员工必须把自己的计算机名字设置成固定的格式,一律采用AD域名_所属地区编号组成; 例如某台计算机名为SSSS_100201,SSSS为地区AD域名,100为地区编号,201代表该地区第201个账户。 2)必须在所有个人计算机上激活下列安全控制: 所有计算机(包括便携电脑与台式机)必须设有系统密码;系统密码应当符合一定程度的复杂性要求,并不定期更换密码;存储在个人计算机中的包含有公司涉密信息的文件,需要加密存放。
3)当员工离开办公室或工作区域时: 必须立即锁定计算机或者激活带密码保护的屏幕保护程序; 如果办公室或者工作区域能上锁,最后一个离开的员工请锁上办公室或工作区域; 妥善保管所有包含公司涉密内容的文件,如锁进文件柜。 4)防范计算机病毒和其他有害代码: 每位员工由公司配备的计算机上都必须安装和运行公司授权使用的防病毒软件; 员工必须开启防病毒软件实时扫描保护功能,至少每周进行一次全硬盘扫描,在网络条件许可的情况下每天进行一次病毒库文件的更新; 如果员工发现未能处理的病毒,应立即断开局域网连接,以免病毒在局域网内部交叉感染,并及时向公司IT部门汇报。 5)软件的使用: 员工不得私自在计算机上安装公司禁止的软件,公司禁止安装的软件包括但不限于:BT等P2P软件、Sniffer等流量监控软件及黑客软件、P2P 终结者、网络执法官之类的网络管理软件; 工作用计算机禁止安装盗版杀毒软件和盗版防火墙软件; 公司员工的机器上必须安装并开启功能的软件有:金山企业版防病毒软件、Office2010、360浏览器、IE8.0升级包、Winrar、固网打印服务;如果由于使用未经公司授权的且没有许可的软件造成公司损失,员工需
国外军用电子元器件质量等级与国内对应情况 为了保证元器件的质量,我国制定了一系列的元器件标准。在上世纪70年代末期制定了“七专”7905技术协议和80年代初制定了“七专”8406技术协议,已具备了军用器件标准的雏形,但标准是在改革开放之前制定的,有很多局限性,很难与国际接轨。从80年代开始,我国标准化部门参照了美国军用标准(MIL)体系建立了GJB体系,元器件的标准有规范、标准、指导性文件等三种形式。 1.国内军用元器件质量分级 2.美国军标质量等级体系: (1)B-2级:不完全符合MIL-STD-883的1.2.1节的要求,并按照政府批准文件,包括卖方等效的B级要求进行采购。 (2)B-1级:完全符合MIL-STD-883(微电子器件试验方法和程序)的1.2.1节所要求,并按照标准军用图样(SMD – Standard Microcicuit Drawing),国防电子供应中心(DESC – Defence Electronic Supply Center)图样或政府批准的其它文件进行采购。即通常称883级,器件上有5962 – xxx号。 (3)S-1级:完全按照MIL-STD-975(NASA标准的电子电气和机电源器件目录)或MIL-STD-1547(航天飞行器和运载火箭用元器件、材料和工艺技术要求)进行采购,并有采购机关的规范批准。 MIL-PRF-38534D 混合集成电路规范(依次低→高等级)
电阻、电容、电感元件 MIL 标准中有可靠性指标的元件失效等级分五级 3.欧空局元器件 半导体分立器件: ESA/SCC(Europe Space Agency/Space Componet Cooperation)5000标准 试验等级:B级、C级(从高到低) 批接收等级:1级、2级、3级(从高到低) 微电路: ESA/SCC(Europe Space Agency/Space Componet Cooperation)9000标准 试验等级:B级、C级(从高到低) 批接收等级:1级、2级、3级(从高到低) 电阻、电容、电感器件: ESA/SCC(Europe Space Agency/Space Componet Cooperation)3000和4000标准试验等级:B级、C级(从高到低) 批接收等级:1级、2级、3级(从高到低) 4.国外军用元器件与我国军用元器件质量等级对应关系 微电路质量对应等级
This document and process INCH-POUND conversion measures necessary to comply with this revision shall be completed by 7 July 2003 MIL-PRF-38534E 6 January 2003 SUPERSEDING MIL-PRF-38534D 6 January 1999 PERFORMANCE SPECIFICATION MICROCIRCUITS, HYBRID GENERAL SPECIFICATION FOR This specification is approved for use by all Depart- ments and Agencies of the Department of Defense. This document is a performance specification. It is intended to provide the device manufacturers an acceptable established baseline in order to support Government microcircuit applications and logistic programs. The basic document has been structured as a performance specification that is supplemented with detailed appendices. These appendices provide guidance to manufacturers on demonstrated successful approaches to meeting military performance requirements. These appendices are included as a benchmark and are not intended to impose mandatory requirements. 1. SCOPE 1.1 Scope. This specification establishes the general performance requirements for hybrid microcircuits, Multi- * Chip Modules (MCM) and similar devices and the verification requirements for ensuring that these devices meet the applicable performance requirements. Verification is accomplished through the use of one of two quality programs (Appendix A). The main body of this specification describes the performance requirements and the requirements for obtaining a Qualified Manufacturers List (QML) listing. The appendices of this specification are intended for guidance to aid a manufacturer in developing their verification program. Detail requirements, specific characteristics, and other provisions that are sensitive to the particular intended use should be specified in the applicable device acquisition specification. Beneficial comments (recommendations, additions, deletions) and any pertinent data which may be of use in improving this document should be addressed to: Defense Supply Center Columbus (DSCC-VAS), PO Box 3990, Columbus, OH 43216-5000, by using the Standardization Document Improvement Proposal (DD Form 1426) appearing at the end of this document, or by letter AMSC N/A FSC 5962 DISTRIBUTION STATEMENT A. Approval for public release; distribution is unlimited. 1
信息安全管理规范公司
版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(保密级别)规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息? (21) 2.2什么是信息安全? (21)