收藏
下载资源

信息安全审计

上传人:飞*** 文档编号:51503270 上传时间:2018-08-14 格式:PPTX 页数:185 大小:2.58MB
返回 下载 相关 举报
信息安全审计_第1页
第1页 / 共185页
信息安全审计_第2页
第2页 / 共185页
信息安全审计_第3页
第3页 / 共185页
信息安全审计_第4页
第4页 / 共185页
信息安全审计_第5页
第5页 / 共185页
点击查看更多>>
资源描述

《信息安全审计》由会员分享,可在线阅读,更多相关《信息安全审计(185页珍藏版)》请在金锄头文库上搜索。

1、信息安全审计信息安全处信息安全处顾超顾超 20112011年年8 8月月1515日日RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line2信息安全与审计基础及理论知识信息安全与审计的概念、目标、范围 信息安全审计/IT审计/信息系统安全审计 审计应该是独立的。审计与信息安全的目 标是一致的,而不是对立的。 信息安全与IT审计的关系 信息安全其中一项必不可少的内容是IT审计 IT审计主要针对的是信息安全,也包含其他内容 信息安全与IT审计有很大的重合点1.不懂信息安全如何 进行IT审计 2.要做好IT审计必须 了解信息安全RUNNING HE

2、ADER, 14 PT., ALL CAPS, Line Spacing=1 line3信息安全各类标准 1.1 GB18336 1.2 美国标准TCSEC 欧洲标准ITSEC 1.3 CC标准 1.4 CC、TCSEC、ITSEC对应关系 1.5 SSE-CMM 1.6 BS7799/ISO27001 1.7 ITIL 1.8 ISO15408 1.9 ISO13335 1.10 等级保护RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line41.4 信息安全基础-国际标准 CC (Common Criteria)美英法德荷加六国制定的共同

3、标准 包含的类 FAU安全审计 FCO通信 FCS密码支持 FDP用户数据保护 FIA标识与鉴别 FMT安全管理 FPR隐私 FPTTSF保护(固件保护,TOE Security Functions, TOE Security Policy,(Target Of Evaluation) FRU资源利用 FTATOE访问 FTP可信信道/路径RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line51.8 信息安全标准-BS7799 BS7799 BS 7799是英国标准协会制定的信息安全管理体系标准,已得到了 一些国家的采纳,是国际上具有代表性

4、的信息安全管理体系标准。 BS7799以下10个部分:信息安全政策 安全组织 资产分类及控制 人员安全 物理及环境安全 计算机及系统管理 系统访问控制 系统开发与维护 业务连续性规划 符合性RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line61.8 信息安全基础-7799/27001 ISO27001 BS7799 Part 2的全称是Information Security Management Specification,也即为信息安全管理体系规范,其最新修订版在05 年10月正式成为ISO/IEC 27001:2005,ISO/IE

5、C 27001是建立信息 安全管理体系(ISMS)的一套规范,其中详细说明了建立、实施 和维护信息安全管理体系的要求,可用来指导相关人员去应用 ISO/IEC 17799,其最终目的,在于建立适合企业需要的信息安全 管理体系(ISMS)。RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line71.1 信息安全基础-三要素 信息安全内容概述 计算机安全 信息安全三要素Confidentiality Integrity AvailabilityRUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lin

6、e81.信息安全基础-北美标准 TCSEC 美国国防部(Trusted Computer Systems Evaluation Criteria) 安全等级 A 验证保护 B 强制保护 C 自主保护 D 无保护 FC 美联邦标准(Federal Criteria) CTCPEC 加拿大标准(Canadian Trusted Computer Product Evaluation Criteria)RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line91.3 信息安全基础-欧洲标准 ITSEC Information Technology S

7、ecurity Evaluation Criteria 英法德荷四国制定 ITSEC是欧洲多国安全评价方法的综合产物,应用领域为军队、政 府和商业。该标准将安全概念分为功能与评估两部分。功能准则从 F1F10共分10级。 15级对应于TCSEC的D到A。F6至F10级分 别对应数据和程序的完整性、系统的可用性、数据通信的完整性、 数据通信的保密性以及机密性和完整性。 与TCSEC不同,它并不把保密措施直接与计算机功能相联系,而是只 叙述技术安全的要求,把保密作为安全增强功能。另外,TCSEC把保 密作为安全的重点,而ITSEC则把完整性、可用性与保密性作为同等 重要的因素。ITSEC定义了从E

8、0级(不满足品质)到E6级(形式化验 证)的7个安全等级,对于每个系统,安全功能可分别定义。RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line101.5 信息安全基础-国际标准 CC、TCSEC、ITSEC对应关系 CCTCSECITSEC -DE0 EAL1- EAL2C1E1 EAL3C2E2 EAL4B1E3 EAL5B2E4 EAL6B3E5 EAL7A1E6RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line111.5 信息安全基础-国际标准 CC分为三个部分: 第1部分“简

9、介和一般模型“,正文介绍了CC中的有关术语、基本概 念和一般模型以及与评估有关的一些框架,附录部分主要介绍保护 轮廓(PP)和安全目标(ST)的基本内容。 第2部分“安全功能要求“,按“类-子类-组件“的方式提出安全功能要 求,每一个类除正文以外,还有对应的提示性附录作进一步解释。 第3部分“安全保证要求”,定义了评估保证级别,介绍了PP和ST的 评估,并按“类-子类-组件”的方式提出安全保证要求RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line121.5 信息安全基础-国际标准 CC的三个部分相互依存,缺一不可。 第1部分是介绍CC的基

10、本概念和基本原理 第2部分提出了技术要求 第3部分提出了非技术要求和对开发过程、工程过程的要求。 这三部分的有机结合具体体现在PP和ST 中,PP和ST的概念和原 理由第1部分介绍,PP和ST中的安全功能要求和安全保证要求在第 2、3部分选取,这些安全要求的完备性和一致性,由第2、3两部分 来保证。 CC 作为评估信息技术产品和系统安全性的世界性通用准则,是信 息技术安全性评估结果国际互认的基础。RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line131.5 信息安全基础-国际标准RUNNING HEADER, 14 PT., ALL CA

11、PS, Line Spacing=1 line141.7 信息安全基础-SSE-CMM SSE-CMM (System Security Engineering Capability Maturity Model)模型 是CMM在系统安全工程这个具体领域应用而产生的一个分支,是 美国国家安全局(NSA)领导开发的,是专门用于系统安全工程的能 力成熟度模型。 SSE-CMM第一版于1996年10月出版,1999年4月,SSE-CMM模 型和相应评估方法2.0版发布。 系统安全工程过程一共有三个相关组织过程: 工程过程 风险过程 保证过程RUNNING HEADER, 14 PT., ALL CA

12、PS, Line Spacing=1 line151.7 信息安全基础-SSE-CMM SSE-CMM 共分5个能力级别,11个过程区域:基本执行级、计划跟踪级、充分定义级、量化控制级、持续改进级 2002年SSE-CMM被国际标准化组织采纳成为国际标准即 ISO/IEC 21827:2002信息技术系统安全工程成熟度模型 。 SSE-CMM 和BS 7799 都提出了一系列最佳惯例,但BS 7799 是一个认证标准(第二部分),提出了一个可供认证的 ISMS 体系,组织应该将其作为目标,通过选择适当的控制措 施(第一部分)去实现。而SSE-CMM 则是一个评估标准, 适合作为评估工程实施组织

13、能力与资质的标准.RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line161.8 信息安全基础-7799/27001 ISO17799 BS7799 Part 1的全称是Code of Practice for Information Security ,也即为信息安全的实施细则。2000年被采纳为ISO/IEC 17799, 目前其最新版本为2005版,也就是ISO 17799: 2005。 ISO/IEC 17799:2005 通过层次结构化形式提供安全策略、信息安 全的组织结构、资产管理、人力资源安全等11个安全管理要素,还 有39个

14、主要执行目标和133个具体控制措施(最佳实践),供负责 信息安全系统应用和开发的人员作为参考使用,以规范化组织机构 信息安全管理建设的内容。RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line171.8 信息安全基础-7799/27001 BS7799 BS7799涵盖了安全管理所应涉及的方方面面,全面而不失可操作 性,提供了一个可持续提高的信息安全管理环境。推广信息安全管 理标准的关键在重视程度和制度落实方面。 标准存在一定不足 对查看敏感信息等保密性缺少控制。 标准中对评审控制和审计没有区分 标准中只在开发和维护中简单涉及密码技术 某些

15、方面可能不全面,但是它仍是目前可以用来达到一定预防标准 的最好的指导标准。RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line181.9 信息安全基础-ITIL ITIL ITIL的全称是信息技术基础设施库(Information Technology Infrastructure Library)。ITIL针对一些重要的IT实践,详细描述了 可适用于任何组织的全面的Checklists、Tasks、Procedures、 Responsibilities等 IT服务管理中最主要的内容就是服务交付(Service Delivery)和服 务支持(Service Support) 服务交付(Service Delivery): Service Level Management Financial Management for IT Service Capacity Management IT Service Continuity Management Availability ManagementRUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line191.9 信息安全基础-ITILITIL V3 版本图RU

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号