收藏
下载资源

国内外信息安全标准与信息安全模型共45页

上传人:博****1 文档编号:568641721 上传时间:2024-07-25 格式:PPT 页数:45 大小:2.20MB
返回 下载 相关 举报
国内外信息安全标准与信息安全模型共45页_第1页
第1页 / 共45页
国内外信息安全标准与信息安全模型共45页_第2页
第2页 / 共45页
国内外信息安全标准与信息安全模型共45页_第3页
第3页 / 共45页
国内外信息安全标准与信息安全模型共45页_第4页
第4页 / 共45页
国内外信息安全标准与信息安全模型共45页_第5页
第5页 / 共45页
点击查看更多>>
资源描述

《国内外信息安全标准与信息安全模型共45页》由会员分享,可在线阅读,更多相关《国内外信息安全标准与信息安全模型共45页(45页珍藏版)》请在金锄头文库上搜索。

1、提纲提纲1.1.信息安全标准概述信息安全标准概述2.国际标准 ISO/IEC 系列信息安全标准3.国际标准 COBIT4.国内标准 等级保护5.安全标准的总结6.问题与回答第 1 页1信息安全标准概述信息安全标准概述 信息安全的重要性得到广泛的关注。 与此同时,国际和国内的各种官方和科研机构都发布了大量的安全标准。 这些标准都是为实现安全目标而服务,并从不同的角度对如何保障组织的信息安全提供了指导。第 2 页第 2 页2信息安全标准的演进信息安全标准的演进第 3 页第 3 页3主要的信息安全标准国际标准主要的信息安全标准国际标准发布的机构安全标准1 ISO(国际标准组织)ISO17799/IS

2、O27001/ISO27002ISO/IEC 15408ISO/IEC 13335ISO/TR 135692 ISACA(信息系统审计与 COBIT 4.1控制学会)3 ISSEA(国际系统安全工 SSE-CMM Systems Security程协会)Engineering - Capability MaturityModel 3.04 ISSA(信息系统安全协会)GAISP Version 3.05 ISF (信息安全论坛)The Standard of Good Practice forInformation Security(互联网工程任务 各种RFC (Request for Com

3、ments)6 IETF小组)第 4 页4主要的信息安全标准国际标准主要的信息安全标准国际标准(续)续)发布的机构安全标准7 NIST(国家标准和 NIST 800系列技术研究所)8 DOD (美国国防部) TCSEC(可信计算机系统评测标准) 彩虹系列9 Carnegie Mellon Operationally Critical Threat, Asset,SoftwareEngineeringand Vulnerability Evaluation (OCTAVE)Criteria Version 2.0Institute (SEI)10 OECD(经济与贸易 Guidelines fo

4、r the Security of发展组织)InformationSystems and Networks and AssociatedImplementation Plan11 The Open Group Managers Guide to InformationSecuritySecurity management 除了上述标准,世界各国的官方机构和行业监管机构还有许多信息安全方12 ITIL面的标准、指引和建议的操作实践。第 5 页第 5 页5提纲提纲1. 信息安全标准概述2.2. 国际标准国际标准 ISO/IEC 系列信息安全标准系列信息安全标准3. 国际标准 COBIT4. 国内标

5、准 等级保护5. 安全标准的比较6. 问题与回答第 6 页第 6 页6主要的信息安全标准国内标准主要的信息安全标准国内标准发布的机构安全标准1 全国信息安全标准化技 等级保护系列标准术委员会 信息安全技术 信息系统安全等级保护基本要求 信息安全技术 信息系统安全等级保护定级指南 信息安全技术 信息系统安全等级保护实施指南其他信息安全标准 截至2007年底,共完成了国家标准59项,还有56项国家标准在研制中。2 公安部、安全部、国家 一系列的信息安全方面的政策法规如:保密局、国家密码管理委员会等部门 计算机信息网络国际联网安全保护管理办法 互联网信息服务管理办法 计算机信息系统保密管理暂行规定

6、计算机软件保护条例 商用密码管理条例,等。第 7 页第 7 页7课程主要内容课程主要内容在下面的课程中,我们会主要介绍以下标准:在下面的课程中,我们会主要介绍以下标准:1. ISO系列安全标准,包括ISO17799/ISO27001/ISO27002ISO/IEC 15408ISO/IEC 13335ISO/TR 135692. ISACA的COBIT 4.13. 全国信息安全标准化技术委员会的等级保护系列标准第 8 页第 8 页8目录目录1.信息安全标准概述2.国际标准 ISO/IEC 系列信息安全标准3.国际标准 COBIT4.国内标准 等级保护5.安全标准的总结6.问题与回答第 9 页9

7、国际标准化组织简介国际标准化组织简介 国际标准化组织(International Organization for Standardization)是由多国联合组成的非政府性国际标准化机构。到目前为止,ISO有正式成员国120多个。 国际标准化组织1946年成立于瑞士日内瓦,负责制定在世界范围内通用的国际标准; ISO技术工作是高度分散的,分别由2700多个技术委员会(TC)、分技术委员会(SC)和工作组(WG)承担。 ISO技术工作的成果是正式出版的国际标准,即ISO标准。 ISO在信息安全方面的标准主要包括: ISO17799/ISO27001/ISO27002 ISO/IEC 15408

8、 ISO/IEC 13335 ISO/TR 13569第 10 页第 10 页10关于关于ISO/IEC 17799/27001/27002 ISO/IEC17799是由国际标准化组织(ISO)与 IEC (国际电工委员会)共同成立的联合技术委员会 ISO/IEC JTC 1,以英国标准BS7799为蓝本而制定的一套全面和复杂的信息安全管理标准。 ISO/IEC17799于2000年正式颁布。ISO/IEC 17799标准由两部分构成: 第一部分是信息安全管理体系的实施指南,相当于BS7799-1; 第二部分是信息安全管理体系规范,相当于BS7799-2。 ISO/IEC17799标准的内容涉

9、及10个领域,36个管理目标和127个控制措施。 2005年 ISO17799更名为ISO27001和ISO27002,分别为: ISO/IEC 27001:2005 Information technology - Security techniques -Information security management systems Requirements ISO/IEC 27002:2005 Information technology - Security techniques -Code of practice for information security management

10、 2007年 ISO又颁布了Information technology - Securitytechniques - Requirements for bodies providing audit andcertification of information security management systems.第 11 页第 11 页11ISO/IEC17799模型模型ISO/IEC 17799标准的内容涉及10个领域,36个控制目标和127个控制措施。第 12 页第 12 页12ISO17799模型模型纪录和沟通信息系统政策和法规的审核SecurityPolicy分配职责和分工,第3

11、方授权,风险/控制的外包SecurityOrganizationAssetClassificationAnd Control资产的保存,对于敏感/商业风险的区分第 13 页第 13 页13ISO17799模型模型PersonalSecurity员工聘请,知识培训,事故报告等Physical andEnvironmentSecurity物理安全参数,设备保护,桌面及电脑的重要文件的保护Comm/OpsManagement事故流程,职责分离,系统规划,电子邮件控制第 14 页第 14 页14ISO17799模型模型权限管理:包括应用系统,操作系统,网络AccessControlSystem变更控制

12、,环境划分,安全设备DevelopmentandMaintenanceBusinessContinuityPlanning商业可持续性计划及其框架,测试计划以及计划的维护和更新版权控制,记录和信息的保存,数据保护,公司制度的服从Compliance第 15 页第 15 页15ISO/IEC 27001/27002:2005 的內容的內容 总共分成11个领域、39个控制目标、133个控制措施。 11个领域包括A.1 Security PolicyA.2 organization of information securityA.3 Asset managementA.4 Human resour

13、ces securityA.5 Physical and environmental securityA.6 Communications and operations managementA.7 Access controlA.8 Information systems acquisition, development and maintenanceA.9 Information security incident managementA.10 Business continuity managementA.11 Compliance第 16 页第 16 页16关于关于ISO/IEC1540

14、8 90年代开始,由于Internet的日益普及,信息安全领域呼吁修改桔皮书,以解决商用信息系统安全问题。 1991年欧盟(European Commission) 颁布了ITSEC (InformationTechnology Security Evaluation Criteria,信息技术安全评估准则)。 在此基础上,美国、加拿大、英国、法国等7国组织联合研制了“信息技术评估安全公共准则”(CC:Common Criteria)。 1999年6月ISO通过了ISO/IEC 15408 安全评估准则 (ISO/IEC15408:1999 Security TechniquesEvaluat

15、ion Criteria for ITSecurity)。目前的最新版本于2005年发布。 ISO/IEC 15408是基于多个标准而产生的,它的演进过程如下图所示:第 17 页第 17 页17ISO/IEC 15408的内容的内容 ISO/IEC 15408由以下三部分组成: 第一部分:介绍和一般模型 第二部分:安全功能需求 第三部分:安全认证需求 ISO/IEC 15408准则比以往的其他信息技术安全评估标准更加规范,采用以下方式定义: 类别(CLASS); 认证族(ASSURANCE FAMILY); 认证部件(ASSURANCE COMPONENT); 认证元素(ASSURANCE E

16、LEMENT)。 其中类别中有若干族,族中有若干部件,部件中有若干元素。第 18 页第 18 页18ISO/IEC 15408的特点的特点 ISO/IEC 15408 信息技术安全评估准则中讨论的是TOE (targetof evaluation), 即评估对象。该准则关注于评估对象的安全功能,安全功能执行的是安全策略。 ISO/IEC 15408 定义了安全属性,包括用户属性、客体属性、主体属性、和信息属性。 ISO/IEC 15408加强了完整性和可用性的防护措施,强调了抗抵赖性的安全要求。 ISO/IEC 15408 还定义了加密的要求,强调对用户的隐私保护。 ISO/IEC 15408

17、还讨论了某些故障、错误和异常的安全保护问题。第 19 页第 19 页19ISO/IEC15408的类别的类别 ISO/IEC 15408中,类别(class) 代表最概括的分类和定义方式。包括: 安全功能类别,共11个, 分别为安全审计、通信、加密支持、用户数据防护、标识与鉴别、安全管理、隐私、安全功能的防护、资源利用、对评估对象的访问、可信通路/通道。 安全认知类别,共8个,分别为配置管理、递交和操作、开发、指南文档、生存期支持、测试、脆弱性评估、认证维护。 评估认证级别类别,共7个,分别为评估功能测试、结构测试、方法测试和检查、半形式设计和测试、半形式验证设计和测试、形式验证设计和测试。

18、评估类别,共3个,包括2个预评估类别和TOE评估(即评估对象的评估)。其中预评估类别分别为: 防护框架评估(Protection Profile evaluation,简称PP评估): 评估的一般是某类安全产品,如防火墙等,提出测评的常为是行业组织; 安全目标评估 (Security Target evaluation, 简称ST评估):评估的一般是某一类的特定产品,如某品牌的防火墙,提出测评的常为厂商。第 20 页第 20 页20ISO/IEC15408的评估方法的评估方法 对于信息系统和产品进行安全认证ISO/IEC15408通常采用如下方法进行评估: 分析和检查进程与过程 检查进程和过程

19、被应用的情况 分析TOE设计表示一致性 分析TOE设计表示与需求的满足性 验证 分析指南文档 分析功能测试和测试结果 独立功能测试 分析脆弱性(包括漏洞假说) 侵入测试等 (TOE是评估对象(Target of Evaluation)的缩写)第 21 页第 21 页21关于关于ISO/IEC 13335 ISO/IEC 13335 Information TechnologyGuidelines for theManagement of IT Security 是一套关于信息安全管理的技术文件,共由五个部分组成,这五个组成部分分别在1996至2001年间发布。 第一部分:安全概念和模型 (Pa

20、rt 1Concepts and Models for ITSecurity ),发布于1996年12月15日。 第二部分:安全管理和规划 (Part 2Managing and Planning ITSecurity),发布于1997年12月15日。 第三部分:安全管理技术(Part 3Techniques for theManagement of IT Security),发布于1998年6月15日。 第四部分:保护的选择 (Part 4Selection of Safeguards),发布于2000年3月1日。 第五部分:外部联接的防护(Part 5Management Guidance

21、 onNetwork Security),发布于2001年1月2日。 其中第一部分分别于1997年和2004年发布了更新版本。第 22 页第 22 页22关于关于ISO13569 ISO13569的全称为ISO/TR 13569:2005 Financial services -Information security guidelines。 它提供了对于金融服务行业机构的信息安全程序开发的指导方针。它包括了对制度,组织结构和法律法规等内容的讨论。 该标准对组织选择和实施安全控制,和金融机构用于管理信息安全风险的要素进行了阐述。 ISO13569于1997年首次发布,分别于2003年和2005

22、年更新,目前的最新版本为2005年的版本。第 23 页第 23 页23ISO/IEC 13569的主要内容的主要内容 ISO/IEC 13569是针对金融行业的信息安全标准,包括以下主要内容: 组织的IT安全政策 IT安全管理 风险分析和评估 安全保护的实施和选择 IT系统保护 金融服务行业专题,包括如银行卡、电子资金传输(ElectronicFund Transfer)、支票、电子商务等内容; 另外,还包括如加密、审计、事件管理等专项讨论。第 24 页第 24 页24提纲提纲1. 信息安全标准概述2. 国际标准 ISO/IEC 系列信息安全标准3.3. 国际标准国际标准 COBIT4. 国内

23、标准 等级保护5. 安全标准的比较6. 问题与回答第 25 页第 25 页25COBIT简介简介 COBIT(Control Objectives for Information and related Technology)是由信息系统审计与控制学会ISACA(Information Systems Audit and Control Association)在1996年所公布的控制框架; 目前已经更新至第4.1版; COBIT的主要目的是研究、发展、宣传权威的、最新的国际化的公认信息技术控制目标以供企业经理、IT专业人员和审计专业人员日常使用。 COBIT框架共有34个IT的流程,分成四个

24、领域:PO(计划与组织)、AI(获取与实施)、DS(交付与支持)、和ME(监控与评估)。第 26 页第 26 页26COBIT来源来源 1992年:ISACF (Information System Audit and ControlFoundation)发起,参阅全球不同国家、政府、标准组织的26份文件后,基于其中之18份文件,研擬COBIT,同时筹组COBIT指导委员会(Steering Committee)。 1996年:COBIT指导委员会公布COBIT第一版。 1998年:COBIT指导委员会公布COBIT第二版,將第一版之32個高级控制目标(High Level Control O

25、bjectives)扩充成34个。 2000年:COBIT指导委员会公布COBIT第三版。 2005年: COBIT指导委员会公布COBIT第四版。 2007年:发布COBIT 4.1版,为目前最新版本。第 27 页第 27 页27COBIT涉及领域涉及领域商业目标及IT治理目标CobiT框架ME1 监控和评价IT绩效ME2 监控和评价内部控制ME3 确保与法律的符合性ME4 提供IT治理P01 定义IT战略计划信息P02 定义IT信息架构P03 确定技术导向P04 定义IT过程/组织和关系P05 IT投资管理效率效果合规性可靠性完整性可用性保密性P06 传递管理目标和方向P07 IT人力资源

26、管理计划与组织P08 质量管理监控与评估P09 IT风险评估及管理P10 项目管理IT资源DS1 定义和管理服务水平DS2 管理第三方服务DS3 性能管理和容量管理DS4 确保服务的连续性DS5 确保系统安全DS6 确定并分配成本DS7 教育和培训用户DS8 服务台和紧急事件管理DS9 配置管理应用系统信息AI1 识别自动化解决方案AI2 获取并维护应用软件AI3 获取并维护技术基础设施基础架构人力交付与支持获得与实施DS10 问题管理DS11 数据管理AI4 保障运营和使用AI5 获取IT资源DS12 物理环境管理DS13 运营管理AI6 变革管理AI7 安装/授权解决方案和变更第 28 页

27、第 28 页28COBIT的组件的组件实施概要实施工具构架伴随高级控制目标管理层指引具体控制目标审计指引成熟的模板关键职能和目标说明关键的成功因素第 29 页第 29 页29COBIT框架的原理框架的原理信 息 处 理 要 求信息基础控制领域(Domains)应信息技术流程人 架用构力资源系统流程(Processes)活动(Activities/Tasks)第 30 页第 30 页30COBIT框架的原理框架的原理 IT流程管理各种IT资源,以产生、传递并存储可满足业务需求的各种信息。 CobiT中定义的IT资源包括如下方面: 应用系统:处理信息的自动化信息系统及相应手册程序 信息:信息系统输

28、入、处理和输出的所有形式的数据,可以被业务以任何形式使用 基础架构:保障应用系统处理信息所需的技术和设施(硬件、操作系统、数据库管理系统、网络、多媒体,以及放置上述设施所需的环境) 人员:策划、组织、采购、实施、交付、支持、监控和评价信息系统和服务所需的人员,可以是内部的也可以是外部的信息处理要求应用系统信息基础架构人员IT 流程IT 资源第 31 页第 31 页31提纲提纲1.信息安全标准概述2.国际标准 ISO/IEC 系列信息安全标准3.国际标准 COBIT4.4.国内标准国内标准 等级保护等级保护5.安全标准的总结6.问题与回答第 32 页第 32 页32全国信息安全标准化技术委员会简

29、介全国信息安全标准化技术委员会简介 中国从1984年开始就组建了数据加密技术委员会,并在1997年8月,将该委员会改组为全国信息技术标准化分技术委员会,主要负责制定信息安全的国家标准。 2001年,国家标准化管理委员会批准成立全国信息安全标准化技术委员会,简称“全国安标委”。标准委员会的标号是TC260。 全国信息安全标准化技术委员会包括四个工作组:1. 信息安全标准体系与协调工作组2. PKI和PMI工作组3. 信息安全评估工作组4. 信息安全管理工作组 截至2007年底,全国信息安全标准化技术委员会已经完成了国家标准59项,还有56项国家标准在研制中。第 33 页第 33 页33等级保护是

30、什么?等级保护是什么? 等级保护基本概念:信息系统安全等级保护是指对信息安全实行等级化保护和等级化管理 根据信息系统应用业务重要程度及其实际安全需求,实行分级、分类、分阶段实施保护,保障信息安全和系统安全正常运行,维护国家利益、公共利益和社会稳定。 等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点,保障重要信息资源和重要信息系统的安全。第 34 页第 34 页34等级保护法律和政策依据等级保护法律和政策依据 中华人民共和国计算机信息系统安全保护条例第二章安全保护制度部分规定:“计算机信息

31、系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。” 计算机信息系统安全保护等级划分准则GB17859-1999(技术法规)规定:“国家对信息系统实行五级保护。” 国家信息化领导小组关于加强信息安全保障工作的意见重点强调:“实行信息安全等级保护制度,重点保护基础信息网络和重要信息系统。”第 35 页第 35 页35等级保护的分级等级保护的分级 等级保护分为5级管理制度: 第一级,自主保护级:信息系统受到破坏后,会对公民,法人和其他组织的合法权益造成损害,但不损害国家安全,社会秩序和公共利益。 第二级,指导保护级:信息系统受到破坏后,会对公民,法人和其他

32、组织的合法权益造成严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,监督保护级:信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,强制保护级:信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成严重损害。 第五级,专控保护级:信息系统受到破坏后,会对国家安全造成特别严重损害。第 36 页第 36 页36安全保护要素与等级关系安全保护要素与等级关系对相应客体的侵害程度业务信息安全被破坏时所侵害的客体严重损害一般损害第一级特别严重损害第二级公民、法人和其他组织的合法权益第二级社会秩序、公共利益国家安全第二级第三级第

33、三级第四级第四级第五级第 37 页第 37 页37等级保护监管级别与等级对应情况等级保护监管级别与等级对应情况等级 对象第一级侵害客体 侵害程度 监管强度合法权益合法权益损害自主保护一般系统严重损害第二级第三级指导社会秩序和公共利益损害社会秩序和公共利益严重损害损害监督检查国家安全重要系统社会秩序和公共 特别严重损利益国家安全害第四级第五级强制监督检查专门监督检查严重损害极端重要系统特别严重损害国家安全第 38页38等级保护定级流程等级保护定级流程 信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体得侵害程度可能不同,因此信息系统定级也应由业务信息安全和系统服务安全两方面

34、确定。具体流程为:确定定级对象确定业务信息安全受到破坏时所侵害的客体确定系统服务安全受到破坏时所侵害的客体综合评定对客体的侵害程度业务信息安全等级综合评定对客体的侵害程度系统服务安全等级定级对象的安全保护等级第 39 页第 39 页39等级保护的基本要求等级保护的基本要求 信息系统安全等级保护应依据信息系统的安全保护等级情况保证它们具有相应等级的基本安全保护能力, 基本安全要求分为基本技术要求和基本管理要求两大类。二者都是确保信息系统安全不可分割的两个部分。 信息系统具有的整体安全保护能力通过不同组件实现基本安全要求来保证。 除了保证系统的每个组件满足基本安全要求外,还要考虑组件之间的相互关系

35、,来保证信息系统的整体安全保护能力。第 41页40等级保护的基本要求等级保护的基本要求 (续)(续)基本技术要求基本管理要求与信息系统提供的技术安全机制 与信息系统中各种角色参与的活动有关;有关;-主要通过在信息系统中部-主要通过控制各种角色的活署软硬件并正确的配置其安全功能来实现。动,从政策、制度、规范、流程以及记录等方面做出规定来实现。基本技术要求从物理安全、网络 基本管理要求从安全管理制度、安安全、主机安全、应用安全和数 全管理机构、人员安全管理、系统据安全几个层面提出。建设管理和系统运维管理几个方面提出。第 42页41提纲提纲1.信息安全标准概述2.国际标准 ISO/IEC 系列信息安

36、全标准3.国际标准 COBIT4.国内标准 等级保护5.5.安全标准的总结安全标准的总结6.问题与回答第 43 页第 43 页42信息安全标准总结信息安全标准总结 世界各国近几年来发布了各种各样的信息安全标准。 各种标准的对象、目的和范围都有所不同。 各个标准之间尽管侧重点不同,但原则上也有很多共同之处: 基于风险,即以信息安全风险为主要的探讨对象,为组织如何管理信息安全风险提供指导; 提供有关安全控制的操作实践; 各个标准建议的操作实践本身基本没有冲突。第 44 页第 44 页43关注的安全领域关注的安全领域关注的安全领域安全标准安全管 安全 概括性的 详细的控 安全模型理组件 原则 安全控制 制活动或方法论ISO/IEC 17799ISO/IEC 13335 ISO/TR 13569 ISO/IEC 15408COBIT 等级保护第 45 页第 45 页44关注的信息技术资源关注的信息技术资源关注的信息技术资源人员应用程序技术设施数据安全标准People Application Technology Facilities DatasOISO/IEC 17799ISO/IEC 13335ISO/TR 13569ISO/IEC 15408OOOOCOBIT等级保护注释: :较多描述 O: 中等详细程度:较少描述第 46页45

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 工作计划

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号