信息安全國(guó)際標(biāo)準(zhǔn)PPT課件.ppt

《信息安全國(guó)際標(biāo)準(zhǔn)PPT課件.ppt》由會(huì)員分享，可在線(xiàn)閱讀，更多相關(guān)《信息安全國(guó)際標(biāo)準(zhǔn)PPT課件.ppt（78頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

信息安全國(guó)際標(biāo)準(zhǔn) 提綱 信息安全標(biāo)準(zhǔn)概述安全標(biāo)準(zhǔn)組織安全標(biāo)準(zhǔn)分類(lèi)安全管理標(biāo)準(zhǔn) ISO17799 安全技術(shù)標(biāo)準(zhǔn)安全產(chǎn)品標(biāo)準(zhǔn) CC 安全工程標(biāo)準(zhǔn) SSE CMM 安全方法論安全資格認(rèn)證 CISSP CISA 什么是信息安全 保密性完整性可用性 CONFIDENTIALATYINTEGRITYAVAILABILITY 什么是標(biāo)準(zhǔn) 標(biāo)準(zhǔn) 標(biāo)準(zhǔn)是對(duì)重復(fù)性事物和概念所做的統(tǒng)一規(guī)定 它以科學(xué) 技術(shù)和實(shí)踐的綜合成果為基礎(chǔ) 經(jīng)有關(guān)方面協(xié)商一致 由主管部門(mén)批準(zhǔn) 以特定的方式發(fā)布 作為共同遵守的準(zhǔn)則和依據(jù) 強(qiáng)制性標(biāo)準(zhǔn) 保障人體健康 人身 財(cái)產(chǎn)安全的標(biāo)準(zhǔn)和法律 行政法規(guī)規(guī)定強(qiáng)制執(zhí)行的標(biāo)準(zhǔn) 其它標(biāo)準(zhǔn)是推薦性標(biāo)準(zhǔn) 無(wú)規(guī)矩不成方圓 無(wú)規(guī)矩不成方圓 提綱 信息安全標(biāo)準(zhǔn)概述安全標(biāo)準(zhǔn)組織安全標(biāo)準(zhǔn)分類(lèi)安全管理標(biāo)準(zhǔn) ISO17799 安全技術(shù)標(biāo)準(zhǔn)安全產(chǎn)品標(biāo)準(zhǔn) CC 安全工程標(biāo)準(zhǔn) SSE CMM 安全方法論安全資格認(rèn)證 CISSP CISA 標(biāo)準(zhǔn)的來(lái)源 政府組織NIST NationalInstituteofStandardsandTechnologyNSA NationalSecurityAgencyGAO GeneralAccountingOfficeBSI BritishStandardInstitution標(biāo)準(zhǔn)化組織ISO IECJTC1SC27ANSI AmericanNationalStandardsInstitute專(zhuān)業(yè)組織 行業(yè)聯(lián)盟IEEEIETFW3CISSA InformationSystemsSecurityAssociationITAA InformationTechnologyAssociationOfAmerica 大學(xué) ISO 國(guó)際標(biāo)準(zhǔn)化組織 ISO是InternationalOrganizationforStandardization的簡(jiǎn)稱(chēng)國(guó)際最大的標(biāo)準(zhǔn)化組織機(jī)構(gòu)與IEC聯(lián)合成立的JTC1 SC27負(fù)責(zé)通用信息技術(shù)安全標(biāo)準(zhǔn)的制定ISO TC68負(fù)責(zé)銀行和金融服務(wù)業(yè)務(wù)應(yīng)用范圍內(nèi)信息安全標(biāo)準(zhǔn)的制定已發(fā)布的其他行業(yè)的重要標(biāo)準(zhǔn)ISO9001ISO14001 IEC 國(guó)際電工委員會(huì) IEC是InternationalElectrotechnicalCommission的簡(jiǎn)稱(chēng)世界上最早的國(guó)際性電工標(biāo)準(zhǔn)化機(jī)構(gòu)負(fù)責(zé)有關(guān)電工 電子領(lǐng)域的國(guó)際標(biāo)準(zhǔn)化工作在信息安全技術(shù)標(biāo)準(zhǔn)化方面 同ISO聯(lián)合成立JTC1在電磁兼容EMC等方面成立技術(shù)委員會(huì) 制定相關(guān)國(guó)際標(biāo)準(zhǔn) ISO IECJTC1 SC27 JTC1 JointTechnicalCommittee1 是ISO及IEC的聯(lián)合技術(shù)委員會(huì) SC27小組專(zhuān)門(mén)負(fù)責(zé)安全技術(shù)標(biāo)準(zhǔn)的制定 審核 已發(fā)布的部分標(biāo)準(zhǔn)ISO IEC18033加密機(jī)制ISO IEC9796 14888 15964數(shù)字簽名ISO IECTR13335GMITSISO IEC15408EvaluationcriteriaforITSecurityISO IEC17799CodeofPracticeforInformationSecurityManagementISO IEC21287SSE CMM NIST 國(guó)家標(biāo)準(zhǔn)技術(shù)協(xié)會(huì) NIST是美國(guó)NationalInstituteofStandardsandTechnology的簡(jiǎn)稱(chēng)已發(fā)布的部分文獻(xiàn)FIPS FederalInformationProcessingStandardsPublications FIPSPUB140 2SecurityRequirementsforCryptographicModulesFIPSPUB180 1SecureHashStandardFIPSPUB197AdvancedEncryptionStandardSP SpecialPublications800series是關(guān)于計(jì)算機(jī)安全的文獻(xiàn) SP800 12ComputerSecurityHandbookSP800 30RiskManagementGuideforITSystemsSP800 44GuidelinesonSecuringPublicWebServers 其他組織 ANSI 美國(guó)國(guó)家標(biāo)準(zhǔn)協(xié)會(huì)80年代初開(kāi)始數(shù)據(jù)加密標(biāo)準(zhǔn)化工作制定了三個(gè)通用的國(guó)家標(biāo)準(zhǔn)ANSIX 9系列財(cái)務(wù)服務(wù)安全標(biāo)準(zhǔn)ITU T 國(guó)際電訊聯(lián)盟前身是CCITT 單獨(dú)或于ISO合作開(kāi)發(fā)諸如消息處理系統(tǒng) 目錄系統(tǒng) X 400系列 X 500系列 和安全框架 安全模型等標(biāo)準(zhǔn)ITU TX 509TheDirectory AuthenticationFramework 其他組織 IEEE 電氣電子工程師協(xié)會(huì)在信息安全方面主要是提出了LAN WAN安全方面的標(biāo)準(zhǔn)和公鑰密碼標(biāo)準(zhǔn)IETF Internet工程任務(wù)組主要提出Internet標(biāo)準(zhǔn)草案和成為RFC的協(xié)議文稿 內(nèi)容廣泛 也包括安全方面的建議稿 經(jīng)過(guò)網(wǎng)上討論修改 被大家廣泛接受就成了的事實(shí)上的標(biāo)準(zhǔn)標(biāo)準(zhǔn) 提綱 概述安全標(biāo)準(zhǔn)組織安全標(biāo)準(zhǔn)分類(lèi)安全管理標(biāo)準(zhǔn) ISO17799 安全技術(shù)標(biāo)準(zhǔn)安全產(chǎn)品標(biāo)準(zhǔn) CC 安全工程標(biāo)準(zhǔn) SSE CMM 安全方法論安全資格認(rèn)證 CISSP CISA 安全標(biāo)準(zhǔn)的類(lèi)型 提綱 概述安全標(biāo)準(zhǔn)組織安全標(biāo)準(zhǔn)分類(lèi)安全管理標(biāo)準(zhǔn) ISO17799 安全技術(shù)標(biāo)準(zhǔn)安全產(chǎn)品標(biāo)準(zhǔn) CC 安全工程標(biāo)準(zhǔn) SSE CMM 安全方法論安全資格認(rèn)證 CISSP CISA 安全管理框架 OSI ISO7498 2 10181開(kāi)放系統(tǒng)互連第二部分安全體系結(jié)構(gòu) 10181是7498 2的后續(xù)標(biāo)準(zhǔn) 分部分描述5類(lèi)安全服務(wù)的實(shí)現(xiàn)GMITS GuidelinesfortheManagementofITSecurityISO IEC13335GuidelinesfortheManagementofITSecurity提供IT安全管理的指導(dǎo)BS7799AS NZS4444ISO IEC17799信息安全管理的即成標(biāo)準(zhǔn)提供企業(yè)開(kāi)發(fā) 實(shí)施 評(píng)估有效安全建設(shè)的框架ISFSOGPInformationSecurityForum ISF 信息安全優(yōu)秀實(shí)踐標(biāo)準(zhǔn) StandardofGoodPracticeforInformationSecurity 1998 BS7799介紹 BS7799AS NZS4444ISO IEC17799信息安全管理的即成標(biāo)準(zhǔn)提供企業(yè)開(kāi)發(fā) 實(shí)施 評(píng)估有效安全建設(shè)的框架BS7799包括兩部分第一部分 提供安全管理的最佳實(shí)踐 等同于ISO IEC17799 2000提供10個(gè)領(lǐng)域的127項(xiàng)安全措施整套的基于業(yè)界經(jīng)驗(yàn)的安全性最佳實(shí)踐的指導(dǎo)第二部分ISMS規(guī)范SpecificationforISMS InformationSecurityManagementSystems 提供依據(jù)第一部分進(jìn)行內(nèi)部審計(jì) 外部認(rèn)證的流程體系 什么是ISO17799 BS7799 關(guān)注于安全管理的框架和指導(dǎo)提供了10個(gè)方面36個(gè)安全目標(biāo) 127項(xiàng)安全控制措施 建立了BestPractice指引 廣泛應(yīng)用于在政府 企業(yè) 金融 電信等行業(yè) 應(yīng)用最廣泛的安全標(biāo)準(zhǔn) 17799的十個(gè)方面 ISO17799的文檔結(jié)構(gòu) 分為10個(gè)領(lǐng)域的安全實(shí)踐建議分為36個(gè)子項(xiàng) 共127項(xiàng)安全控制措施安全方針 1 組織安全 3 資產(chǎn)分類(lèi)與控制 2 人員安全 3 物理與環(huán)境安全 3 通信與操作安全 7 訪(fǎng)問(wèn)控制 8 系統(tǒng)開(kāi)發(fā)與維護(hù) 5 業(yè)務(wù)持續(xù)計(jì)劃 1 依從 3 安全策略 控制目標(biāo) 信息安全策略為信息安全提供管理指導(dǎo)和支持控制措施 信息安全策略文件復(fù)查和審查 組織安全 控制目標(biāo)一 信息安全基礎(chǔ)設(shè)施管理組織內(nèi)部的信息安全控制目標(biāo)二 第三方訪(fǎng)問(wèn)安全維護(hù)被第三方訪(fǎng)問(wèn)的基礎(chǔ)設(shè)施和信息資產(chǎn)的安全控制目標(biāo)三 外包當(dāng)IT外包給其他組織負(fù)責(zé)時(shí) 維護(hù)信息的安全 資產(chǎn)分類(lèi)與控制 控制目標(biāo)一 資產(chǎn)責(zé)任保證對(duì)組織資產(chǎn)做適當(dāng)?shù)谋Ｗo(hù)控制目標(biāo)二 信息分類(lèi)確保信息資產(chǎn)得到適當(dāng)級(jí)別的保護(hù) 人員安全 控制目標(biāo)一 崗位安全責(zé)任和人員錄用要求控制目標(biāo)二 用戶(hù)培訓(xùn)控制目標(biāo)三 對(duì)安全事件和故障的響應(yīng) 物理與環(huán)境安全 控制目標(biāo)一 安全區(qū)域防止非授權(quán)訪(fǎng)問(wèn)控制目標(biāo)二 設(shè)備安全防止資產(chǎn)的丟失 破壞和損壞 防止業(yè)務(wù)活動(dòng)被中斷控制目標(biāo)三 一般性控制防止危害或竊取信息及設(shè)施 通信和操作安全 控制目標(biāo)一 操作流程和責(zé)任控制目標(biāo)二 系統(tǒng)規(guī)劃和驗(yàn)收控制目標(biāo)三 防范惡意軟件控制目標(biāo)四 內(nèi)務(wù)管理 備份 日志 控制目標(biāo)五 網(wǎng)絡(luò)管理控制目標(biāo)六 介質(zhì)處理及安全控制目標(biāo)七 信息和軟件的交換 訪(fǎng)問(wèn)控制 控制目標(biāo)一 訪(fǎng)問(wèn)控制的業(yè)務(wù)需求控制目標(biāo)二 用戶(hù)訪(fǎng)問(wèn)管理控制目標(biāo)三 用戶(hù)責(zé)任控制目標(biāo)四 網(wǎng)絡(luò)訪(fǎng)問(wèn)控制控制目標(biāo)五 操作系統(tǒng)訪(fǎng)問(wèn)控制控制目標(biāo)六 應(yīng)用系統(tǒng)訪(fǎng)問(wèn)控制控制目標(biāo)七 監(jiān)視系統(tǒng)訪(fǎng)問(wèn)和使用控制目標(biāo)八 移動(dòng)計(jì)算和通信 系統(tǒng)開(kāi)發(fā)和維護(hù) 控制目標(biāo)一 系統(tǒng)的安全需求控制目標(biāo)二 應(yīng)用系統(tǒng)的安全控制目標(biāo)三 密碼控制控制目標(biāo)四 系統(tǒng)文件的安全控制目標(biāo)五 開(kāi)發(fā)和支持過(guò)程的安全 業(yè)務(wù)連續(xù)性管理 控制目標(biāo) 業(yè)務(wù)連續(xù)性管理的各個(gè)方面控制措施業(yè)務(wù)連續(xù)性管理過(guò)程業(yè)務(wù)連續(xù)性和影響分析編寫(xiě)并實(shí)施連續(xù)性計(jì)劃業(yè)務(wù)連續(xù)性計(jì)劃框架測(cè)試 維護(hù)和復(fù)審業(yè)務(wù)連續(xù)性計(jì)劃 符合性 控制目標(biāo)一 符合法律要求控制目標(biāo)二 對(duì)安全策略和技術(shù)的評(píng)審控制目標(biāo)三 系統(tǒng)審核的考慮 BS7799第2部分 BS7799PART2是一個(gè)規(guī)范 使用該規(guī)范對(duì)組織的信息安全管理體系進(jìn)行審核與認(rèn)證 通過(guò)使用該規(guī)范能使組織建立信息安全管理體系 ISMS 該規(guī)范提供以下內(nèi)容建立信息安全管理體系 ISMS 指導(dǎo)成功實(shí)施信息安全的關(guān)鍵因素PDCA Plan do check act 模型持續(xù)性改進(jìn)改進(jìn)安全管理評(píng)估業(yè)務(wù)變化 新技術(shù) 新威脅對(duì)安全管理流程的影響 PlanISMS的確立 DoISMS的運(yùn)用 CheckISMS的監(jiān)控 ActISMS的改善 PDCA模型 什么是ISO 7498 2 信息處理系統(tǒng)開(kāi)放系統(tǒng)互連基本參考模型第2部分 安全體系結(jié)構(gòu)Informationprocessingsystem OpenSystemsInterconnection BasicReferenceModel Part2 Securityarchitecture提供安全服務(wù)與有關(guān)機(jī)制的一般描述 這些服務(wù)與機(jī)制可以為GB9387 88 ISO7498 1參考模型所配備 確定在參考模型內(nèi)部可以提供這些服務(wù)與機(jī)制的位置已被接受為國(guó)標(biāo)GB T9387 2 1995 五種安全服務(wù) 認(rèn)證對(duì)等實(shí)體認(rèn)證數(shù)據(jù)原發(fā)認(rèn)證訪(fǎng)問(wèn)控制數(shù)據(jù)機(jī)密性連接機(jī)密性無(wú)連接機(jī)密性選擇字段機(jī)密性通信業(yè)務(wù)流機(jī)密性數(shù)據(jù)完整性帶恢復(fù)的連接完整性不帶恢復(fù)的連接完整性選擇字段的連接完整性無(wú)連接完整性選擇字段無(wú)連接完整性抗抵賴(lài)有數(shù)據(jù)原發(fā)證明的抗抵賴(lài)有交付證明的抗抵賴(lài) 八種安全機(jī)制 特定的安全機(jī)制用來(lái)實(shí)現(xiàn)以上安全服務(wù)加密數(shù)字簽名機(jī)制訪(fǎng)問(wèn)控制機(jī)制數(shù)據(jù)完整性機(jī)制認(rèn)證交換機(jī)制通信業(yè)務(wù)填充機(jī)制提供各種不同級(jí)別的保護(hù) 抵抗通信業(yè)務(wù)分析路由選擇控制機(jī)制公證機(jī)制 服務(wù)與機(jī)制的關(guān)系 服務(wù)應(yīng)用與OSI層的關(guān)系 安全管理 安全管理信息庫(kù) SMIB 是一個(gè)概念上的集存地 存儲(chǔ)開(kāi)放系統(tǒng)所需的與安全有關(guān)的全部信息 這一概念對(duì)信息的存儲(chǔ)形式與實(shí)施方式不提出要求 SMIB能有多種實(shí)現(xiàn)辦法 例如 a 數(shù)據(jù)表 b 文卷 c 嵌入實(shí)開(kāi)放系統(tǒng)軟件或硬件中的數(shù)據(jù)或規(guī)則 OSI安全管理的分類(lèi) 系統(tǒng)安全管理 涉及總的OSI環(huán)境安全方面的管理 例 總體安全策略的管理 與別的OSI管理功能的相互作用 與安全服務(wù)管理和安全機(jī)制管理的交互作用 事件處理管理 安全審計(jì)管理 安全恢復(fù)管理安全服務(wù)管理 涉及特定安全服務(wù)的管理 例 指定特定服務(wù)的保護(hù)目標(biāo) 指定與維護(hù)特定的安全機(jī)制 安全機(jī)制協(xié)商 本地的與遠(yuǎn)程的 調(diào)用特定的安全機(jī)制 與別的安全服務(wù)和安全機(jī)制的交互作用安全機(jī)制管理 涉及的是特定安全機(jī)制的管理 例 密鑰管理 加密管理 數(shù)字簽名管理 訪(fǎng)問(wèn)控制管理等等OSI管理本身的安全 所有OSI管理功能和信息自身的安全 這一類(lèi)安全管理將借助OSI安全服務(wù)與機(jī)制以確保OSI管理協(xié)議與信息獲得足夠的保護(hù) 作為ISO7498 2的后續(xù)標(biāo)準(zhǔn) 1988年開(kāi)始建立ISO IEC10181ISO IEC10181 Securityframeworksforopensystems 有七個(gè)部分第2 6部分對(duì)應(yīng)ISO7498 2定義的5種服務(wù)Part1 概述Part2 認(rèn)證服務(wù)架構(gòu)Part3 訪(fǎng)問(wèn)控制服務(wù)架構(gòu)Part4 防抵賴(lài)服務(wù)架構(gòu)Part5 數(shù)據(jù)保密服務(wù)架構(gòu)Part6 數(shù)據(jù)完整服務(wù)架構(gòu)Part7 安全審計(jì) 報(bào)警架構(gòu) ISO IEC10181 什么是ISO13335 ISO IEC13335 即IT安全管理指南 GuidelinesfortheManagementofITSecurity GMITS 是由ISO IECJTC制定的技術(shù)報(bào)告ISO IEC13335是一個(gè)信息安全管理方面的指導(dǎo)性標(biāo)準(zhǔn)其目的是為有效實(shí)施IT安全管理提供建議 ISO13335 GMITS 的內(nèi)容 13335 1 IT安全概念和模型包含了對(duì)IT安全和安全管理中一些基本概念和模型的解釋13335 2 IT安全計(jì)劃和管理建議性地介紹了IT安全管理和計(jì)劃的方式和要點(diǎn)13335 3 IT安全管理技術(shù)描述了風(fēng)險(xiǎn)管理技術(shù) IT安全計(jì)劃的開(kāi)發(fā) 實(shí)施和測(cè)試還包括策略審查 事件分析 IT安全教育等后續(xù)內(nèi)容 13335 4 安全措施的選擇描述了針對(duì)一個(gè)組織特定環(huán)境和安全需求可以選擇的安全措施 不僅僅是技術(shù)性措施13335 5 網(wǎng)絡(luò)安全的管理指導(dǎo)提供了關(guān)于網(wǎng)絡(luò)和通信安全管理的指導(dǎo)性?xún)?nèi)容 該指南為識(shí)別和分析建立網(wǎng)絡(luò)安全需求時(shí)需要考慮的通信相關(guān)因素提供支持 也包括對(duì)可能的安全措施方面的簡(jiǎn)要介紹 ISO13335vs BS7799 與BS7799相比 ISO IEC13335只是一個(gè)技術(shù)報(bào)告和指導(dǎo)性文件 并不是可依據(jù)的認(rèn)證標(biāo)準(zhǔn)也不像BS7799那樣給出一個(gè)全面而完整的信息安全管理框架但13335在信息安全尤其是IT安全的某些具體環(huán)節(jié)切入較深 對(duì)實(shí)際的工作具有較好的指導(dǎo)價(jià)值 從可實(shí)施性上來(lái)說(shuō)要比BS7799好些另外13335對(duì)安全計(jì)劃 安全策略 控制措施選擇的內(nèi)容的闡述要比BS7799具體很多總之 作為一個(gè)框架 總體要求和目標(biāo)選擇 BS7799是我們信息安全管理體系建設(shè)過(guò)程中要貫徹的指導(dǎo)方針 而這期間的一些具體的活動(dòng)則可以參考13335 比如風(fēng)險(xiǎn)評(píng)估 提綱 概述安全標(biāo)準(zhǔn)組織安全標(biāo)準(zhǔn)分類(lèi)安全管理標(biāo)準(zhǔn) ISO17799 安全技術(shù)標(biāo)準(zhǔn)安全產(chǎn)品標(biāo)準(zhǔn) CC 安全工程標(biāo)準(zhǔn) SSE CMM 安全方法論安全資格認(rèn)證 CISSP CISA 安全技術(shù)標(biāo)準(zhǔn) ApplicationProtocols SSL S HTTP NetworkProtocols IPSec Cryptography RSA DSA ECC DES AES SHA 1 PKCSVulnerabilityCVE Authentication Kerberos RADIUS SAML Messaging S MIME OpenPGP PEM XMLDSIG XMLENC ApplicationSecurity CORBASecurity WS Security 提綱 概述安全標(biāo)準(zhǔn)組織安全標(biāo)準(zhǔn)分類(lèi)安全管理標(biāo)準(zhǔn) ISO17799 安全技術(shù)標(biāo)準(zhǔn)安全產(chǎn)品標(biāo)準(zhǔn) CC 安全工程標(biāo)準(zhǔn) SSE CMM 安全方法論安全資格認(rèn)證 CISSP CISA 產(chǎn)品安全性保證標(biāo)準(zhǔn) CommonCriteria CC ISO IEC15408EvaluationcriteriaforITSecurity 針對(duì)產(chǎn)品或組件的保證標(biāo)準(zhǔn)e g Firewalls IDS OS 定義了7個(gè)EvaluationAssuranceLevels EAL 一級(jí)最低 七級(jí)最高1996年國(guó)際上的六個(gè)國(guó)家 美 加 英 法 德 荷 聯(lián)合提出了信息技術(shù)安全評(píng)價(jià)的通用準(zhǔn)則 CC CC的基礎(chǔ)是歐州的ITSEC 美國(guó)的包括TCSEC在內(nèi)的新的聯(lián)邦評(píng)價(jià)標(biāo)準(zhǔn) 加拿大的CTCPEC 以及國(guó)際標(biāo)準(zhǔn)化組織ISO SC27WG3的安全評(píng)價(jià)標(biāo)準(zhǔn) TrustedComputerSystemEvaluationCriteria TCSEC TheOrangeBook分為D C1 C2 B1 B2 B3 A1七個(gè)等級(jí)C2 部分OS有 VMS IBMOS 400 WindowsNT NovellNetWare4 11 Oracle7 DGAOS VSII B1 部分OS有 HP UXBLS CrayResearchTrustedUnicos8 0 DigitalSEVMS HarrisCS SX SGITrustedIRIX B2 部分OS有 HoneywellMultics CryptekVSLAN TrustedXENIXB3 僅有的OS Getronics WangFederalXTS 300A1 BoeingMLSLAN GeminiTrustedNetworkProcessor HoneywellSCOMP FIPSPUB140 2 Cryptographic模塊的安全要求標(biāo)準(zhǔn) 定義了4個(gè)等級(jí) 美國(guó)TCSEC 1970年由美國(guó)國(guó)防部提出 1985年公布 主要為軍用標(biāo)準(zhǔn) 延用至民用 安全級(jí)別從高到低分為A B C D四級(jí) 級(jí)下再分小級(jí) 彩虹系列桔皮書(shū) 可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則黃皮書(shū) 桔皮書(shū)的應(yīng)用指南紅皮書(shū) 可信網(wǎng)絡(luò)解釋紫皮書(shū) 可信數(shù)據(jù)庫(kù)解釋 美國(guó)TCSEC CC標(biāo)準(zhǔn)的發(fā)展歷程 CC驅(qū)動(dòng)因素 CC要實(shí)現(xiàn)的目標(biāo) 成為統(tǒng)一的國(guó)際 通用 IT產(chǎn)品和系統(tǒng)安全標(biāo)準(zhǔn)目前 CC已經(jīng)成為ISO國(guó)際標(biāo)準(zhǔn) 15408 在不同國(guó)家間達(dá)成協(xié)議 相互承認(rèn)產(chǎn)品評(píng)估為開(kāi)發(fā)者拓展國(guó)際舞臺(tái)改善IT安全產(chǎn)品在全世界的可用性 CC的目標(biāo)讀者 消費(fèi)者 具有IT安全功能的產(chǎn)品購(gòu)買(mǎi)指南 產(chǎn)品開(kāi)發(fā)者和集成商 具有IT安全功能的產(chǎn)品的開(kāi)發(fā)基礎(chǔ) 評(píng)估員 IT安全產(chǎn)品的評(píng)估基礎(chǔ) 審核員 認(rèn)證人員 授權(quán)人員 對(duì)他們的特定應(yīng)用給予支持 CC的內(nèi)容組織 CC定義了兩類(lèi)安全需求 CC的關(guān)鍵概念 評(píng)估目標(biāo) TOE IT產(chǎn)品或系統(tǒng)及其相關(guān)的管理指南和用戶(hù)指南等文檔 是評(píng)估的對(duì)象保護(hù)輪廓 ProtectProfilePP 滿(mǎn)足特定消費(fèi)者需求的 獨(dú)立于實(shí)現(xiàn)的 關(guān)于某一類(lèi)TOE的一組安全要求 用戶(hù)提出要求 安全目標(biāo) SecurityTargetST 依賴(lài)于實(shí)現(xiàn)的一組安全要求和說(shuō)明 作為指定TOE的評(píng)估基礎(chǔ) 開(kāi)發(fā)者給出 用戶(hù)借助PP定義需求 廠(chǎng)商使用ST對(duì)用戶(hù)需求做出響應(yīng) PP ST和TOE之間的關(guān)系 評(píng)估保證等級(jí) CC總體結(jié)構(gòu) 安全產(chǎn)品評(píng)估框架模型 CCvs BS7799 都是認(rèn)證標(biāo)準(zhǔn) 但是對(duì)象不同 CC評(píng)估的對(duì)象是系統(tǒng)和產(chǎn)品 而7799關(guān)注的信息安全管理在依照BS7799標(biāo)準(zhǔn)來(lái)實(shí)施ISMS時(shí) 一些涉及系統(tǒng)和產(chǎn)品安全的技術(shù)要求 可以參考CC 提綱 概述安全標(biāo)準(zhǔn)組織安全標(biāo)準(zhǔn)分類(lèi)安全管理標(biāo)準(zhǔn) ISO17799 安全技術(shù)標(biāo)準(zhǔn)安全產(chǎn)品標(biāo)準(zhǔn) CC 安全工程標(biāo)準(zhǔn) SSE CMM 安全方法論安全資格認(rèn)證 CISSP CISA 什么是SSE CMM SSE CMM是系統(tǒng)安全工程能力成熟模型 SystemsSecurityEngineeringCapabilityMaturityModel 的縮寫(xiě) 它描述了一個(gè)組織的安全工程過(guò)程必須包含的本質(zhì)特征 這些特征是完善的安全工程保證 為安全工程的應(yīng)用提供了一個(gè)衡量和改進(jìn)的途徑現(xiàn)代統(tǒng)計(jì)過(guò)程控制理論表明通過(guò)強(qiáng)調(diào)生產(chǎn)過(guò)程的高質(zhì)量和在過(guò)程中組織實(shí)施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品SSE CMM項(xiàng)目的目標(biāo)是促進(jìn)安全工程成為一個(gè)確定的 成熟的和可度量的科目SSE CMM項(xiàng)目進(jìn)展來(lái)自于安全工程業(yè)界 美國(guó)國(guó)防部和加拿大通訊安全機(jī)構(gòu)積極參與和共同的投入 1995成立項(xiàng)目組 1996SSE CMMv1正式發(fā)布 1997SSE CMM評(píng)定方法發(fā)布 1999SSE CMMv2發(fā)布 2002ISO IEC21827 2003SSE CMMv3發(fā)布 SSE CMM模型結(jié)構(gòu) 二維結(jié)構(gòu) Domain CapabilityDomain包含安全工程中的實(shí)踐領(lǐng)域 分為3個(gè)主要的Process類(lèi) 22個(gè)PA 130多項(xiàng)BPCapability表示過(guò)程管理 衡量及制度化的能力 共分為5級(jí) 下面細(xì)分為12個(gè)CommonFeatures 以及近30個(gè)GenericPractices 5級(jí)成熟能力 系統(tǒng)安全工程過(guò)程 風(fēng)險(xiǎn)過(guò)程 工程過(guò)程 保證過(guò)程 SSE CMM與ISO17799的內(nèi)容比較 提綱 概述安全標(biāo)準(zhǔn)組織安全標(biāo)準(zhǔn)分類(lèi)安全管理標(biāo)準(zhǔn) ISO17799 安全技術(shù)標(biāo)準(zhǔn)安全產(chǎn)品標(biāo)準(zhǔn) CC 安全工程標(biāo)準(zhǔn) SSE CMM 安全方法論安全資格認(rèn)證 CISSP CISA 安全方法論 AS NZS4360澳洲 新西蘭風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)提供建立 實(shí)施風(fēng)險(xiǎn)管理過(guò)程的指導(dǎo)NISTSP800 30RiskManagementGuideforITSystems建立 實(shí)施風(fēng)險(xiǎn)管理過(guò)程的指導(dǎo)OCTAVEOperationallyCriticalThreat Asset andVulnerabilityEvaluation由CMU SEI CarnegieMellonUniversity SoftwareEngineeringInstitute 建立的風(fēng)險(xiǎn)評(píng)估方法論 提綱 概述安全標(biāo)準(zhǔn)組織安全標(biāo)準(zhǔn)分類(lèi)安全管理標(biāo)準(zhǔn) ISO17799 安全技術(shù)標(biāo)準(zhǔn)安全產(chǎn)品標(biāo)準(zhǔn) CC 安全工程標(biāo)準(zhǔn) SSE CMM 安全方法論安全資格認(rèn)證 CISSP CISA 安全資格認(rèn)證標(biāo)準(zhǔn) CISSP CertifiedInformationSystemsSecurityProfessional CISSP 由美國(guó) ISC 2進(jìn)行認(rèn)證管理 十個(gè)CommonBodyofKnowledge CBK 訪(fǎng)問(wèn)控制AccessControlSystems Methodology 應(yīng)用開(kāi)發(fā)Applications SystemsDevelopment 業(yè)務(wù)持續(xù)性BusinessContinuityPlanning 加密Cryptography 法律 道德 調(diào)查L(zhǎng)aw Investigation Ethics 操作安全OperationsSecurity 物理安全PhysicalSecurity 安全架構(gòu)及模型SecurityArchitecture Models 安全管理實(shí)踐SecurityManagementPractices 網(wǎng)絡(luò)安全Telecommunications Network InternetSecurity ISC 2 InternationalInformationSystemsSecurityCertificationsConsortium 安全資格認(rèn)證標(biāo)準(zhǔn) CISA CertifiedInformationSystemsAuditor CISA 由ISACA管理認(rèn)證依據(jù)ControlObjectivesforInformationandrelatedTechnologies CobiT 考試包括7個(gè)內(nèi)容 IS計(jì)劃 管理和組織Management Planning OrganizationofIS 技術(shù)結(jié)構(gòu)及操作實(shí)踐TechnicalInfrastructure OperationalPractices 信息資產(chǎn)保護(hù)ProtectionofInformationAssets 災(zāi)難恢復(fù)及業(yè)務(wù)持續(xù)DisasterRecovery BusinessContinuity 系統(tǒng)開(kāi)發(fā) 實(shí)施 管理BusinessApplicationSystemDevelopment Acquisition Implementation Maintenance 商業(yè)過(guò)程評(píng)估及風(fēng)險(xiǎn)管理BusinessProcessEvaluation RiskManagement IS審計(jì)ISAuditProcess ISACA InformationSystemsAuditandControlAssociation 安全資格認(rèn)證標(biāo)準(zhǔn) CISM CertifiedInformationSecurityManager CISM 由ISACA管理認(rèn)證 面向安全管理人員 比CISSP CISA更早的認(rèn)證 包含5項(xiàng)內(nèi)容信息安全管轄I(yíng)nformationSecurityGovernance風(fēng)險(xiǎn)管理RiskManagement 信息安全程序管理InformationSecurityProgrammeManagement 信息安全管理InformationSecurityManagement 安全響應(yīng)管理ResponseManagement ISACA InformationSystemsAuditandControlAssociation