信息與網(wǎng)絡(luò)安全工程與過程

1、網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 與信息安全工程學(xué)與信息安全工程學(xué) Version 3 - 2 日程安排 n 信息安全工程理論 n信息安全工程理論：層次論、過程論與方法控制論 n信息安全工程生命周期模型 n信息安全工程學(xué)與SSE-CMM的關(guān)系 n 信息安全工程實務(wù) n信息安全風(fēng)險分析與評估理論與實務(wù) n信息安全需求分析理論與實務(wù) n信息安全策略開發(fā)方法與實務(wù) n信息安全體系結(jié)構(gòu)設(shè)計理論與實務(wù) n安全產(chǎn)品功能規(guī)范與測試選型理論與實務(wù) n信息安全工程實施監(jiān)理理論與實務(wù) n信息安全工程稽核與檢查理論與實務(wù) n信息安全意識教育與技術(shù)培訓(xùn)體系與內(nèi)容 n信息安全工程安全度的評價理論與方法 信息安全工程理論信息安全工程理論

2、 Copyright 2001 X-Exploit Team X-Exploit Team - 4 q安全不是純粹的技術(shù)問題，是一項復(fù)雜的系統(tǒng)工 程信息安全工程論 q安全是策略，技術(shù)與管理的綜合 組織人才 政策法規(guī) 安全技術(shù) 安全策略 管理 安全理念 - 5 INSIDE 撥號接入服務(wù)器 企業(yè)內(nèi)部網(wǎng)絡(luò) WAN INTERNET 企業(yè)廣域網(wǎng)絡(luò) Web Server Mail Server DNS Server AAA Server 企業(yè)合作伙伴網(wǎng)絡(luò) Internet出口 PSTN INTERNET 企業(yè)部門 數(shù)據(jù)中心 數(shù)據(jù)庫 服務(wù)器 數(shù)據(jù)庫 服務(wù)器 木桶原理 安全理念-全面性 - 6 層次化風(fēng)險

3、緩釋論 災(zāi)難恢復(fù) 防火墻/VPN/動態(tài)安全管理 安全操作系統(tǒng)/操作系統(tǒng)安全 密碼技術(shù) SSL/SET/SHTTP 身份認證/授權(quán)驗證 安全策略/技術(shù)標準/管理規(guī)范 環(huán)境和硬件 網(wǎng)絡(luò)層 操作系統(tǒng) 數(shù)據(jù)/數(shù)據(jù)庫層 應(yīng)用層 操作層 管理層 物理安全 應(yīng)用安全 網(wǎng)絡(luò)安全 系統(tǒng)安全 安全理念-層次性 - 7 安全策略安全策略 螺旋式上升論 安全理念-生命周期性（過程性） - 8 保護 (Protection) 檢測 (Detection) 響應(yīng)(Response) 備份(Recovery)策略(Policy) 時間 Time 安全理念-動態(tài)性 - 9 Authentication Authorizati

4、on Accounting Assurance Confidentiality Data Integrity Connectivity Performance Ease of Use Manageability Availability AccessSecurity 安全理念-相對性 - 10 集中安全管理 安全理念-可管理性 - 11 信道加密 信源加密 身份認證 。 應(yīng) 網(wǎng) 絡(luò) 級 系 統(tǒng) 級 用 級 管 理 級 信息信息 網(wǎng)絡(luò)網(wǎng)絡(luò) 系統(tǒng)系統(tǒng) 密級管理 。 訪問控制 地址過濾 數(shù)據(jù)加密，線路加密數(shù)據(jù)加密，線路加密 安全操作系統(tǒng) 應(yīng)用安全集成 外聯(lián)業(yè)務(wù)安全措施 安全管理規(guī)范 網(wǎng)絡(luò)病毒監(jiān)控與清

5、除 防火墻技術(shù) 集中訪問控制 弱 點 漏 洞 檢 測 系統(tǒng)配置檢測 系 統(tǒng) 審 計 教 訓(xùn) 培 育 中軟VPN安全網(wǎng)關(guān) 中 軟 B1 安 全 操 作 系 統(tǒng) 中軟高性能防火墻 中軟網(wǎng)絡(luò)安全巡警 中軟信息監(jiān)控與取證系統(tǒng) 中軟入侵檢測系統(tǒng) 安全管理模型 - 12 企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)統(tǒng)一安全策略企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)統(tǒng)一安全策略 Policy 安全技術(shù)標準安全技術(shù)標準 Management 安全管理規(guī)范安全管理規(guī)范 Administrator 密密 碼碼 技技 術(shù)術(shù) 認證認證 授權(quán)授權(quán) 訪問訪問 控控 防火防火 墻技墻技 術(shù)術(shù) 動態(tài)動態(tài) 安全安全 管理管理 技術(shù)技術(shù) 網(wǎng)絡(luò)網(wǎng)絡(luò) 防病防病 毒技毒技 術(shù)術(shù)

6、政策政策 法規(guī)法規(guī) 安全安全 機構(gòu)機構(gòu) 與組與組 織織 安全安全 管理管理 人員人員 安全安全 管理管理 流程流程 信息信息 支援支援 體系體系 企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)主要安全實施領(lǐng)域企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)主要安全實施領(lǐng)域 企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)具體安全解決方案企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)具體安全解決方案 基于具體安全解決方案的安全產(chǎn)品功能規(guī)范基于具體安全解決方案的安全產(chǎn)品功能規(guī)范 安全體系架構(gòu) - 13 保護框架保護框架 信息安全保障信息安全保障 深度保護策略深度保護策略 網(wǎng)絡(luò)基礎(chǔ) 設(shè)施 網(wǎng)絡(luò)邊界計算環(huán)境支撐基礎(chǔ)設(shè)施 檢測/響 應(yīng) KMI/PKI 技術(shù)技術(shù)技術(shù)技術(shù) 操作操作操作操作 人人人人 人人 通過通過技術(shù)技

7、術(shù)來來 操作控制和管理操作控制和管理 安全要素 - 14 信息安全工程學(xué) 信息安全工程(ISE)是采用工程的概念、原理、技術(shù)和方 法來研究、開發(fā)、實施與維護企業(yè)級信息與網(wǎng)絡(luò)系統(tǒng)安 全的過程，它將經(jīng)過時間考驗證明是正確的管理技術(shù)和 當前能夠得到的最好的技術(shù)方法相結(jié)合。 研究信息安全工程的學(xué)說就是信息安全工程學(xué)。我們所 提及的信息安全是一個廣義的概念，是指信息與網(wǎng)絡(luò)系 統(tǒng)全面的安全，而不是狹義的信息本身的安全性問題。 - 15 信息安全工程學(xué)研究的范疇 信息與網(wǎng)絡(luò)系統(tǒng)風(fēng)險分析與評估 信息與網(wǎng)絡(luò)系統(tǒng)需求分析 信息與網(wǎng)絡(luò)系統(tǒng)安全策略 信息與網(wǎng)絡(luò)系統(tǒng)安全體系結(jié)構(gòu) 信息與網(wǎng)絡(luò)系統(tǒng)安全產(chǎn)品功能規(guī)范 信息與網(wǎng)

8、絡(luò)系統(tǒng)安全工程的實施 信息與網(wǎng)絡(luò)系統(tǒng)安全工程的監(jiān)理 信息與網(wǎng)絡(luò)系統(tǒng)安全工程的測試 信息與網(wǎng)絡(luò)系統(tǒng)安全工程的維護 信息與網(wǎng)絡(luò)系統(tǒng)安全意識的教育與技術(shù)培訓(xùn) 信息與網(wǎng)絡(luò)系統(tǒng)安全工程的稽核與檢查 信息與網(wǎng)絡(luò)系統(tǒng)安全事件應(yīng)急響應(yīng) - 16 信息安全工程生命周期性模型SSE- LCM - 17 系統(tǒng)安全工程能力成熟度模型SSE-CMM 系統(tǒng)安全工程功能成熟模型 (SSE-CMM) 描述了一個機構(gòu) 安全工程過程的基本特性，它是保證良好安全工程必須 具備的。SSE-CMM 并不是指定某個過程或順序，但是抓 住了工業(yè)界所遵循的實踐。本模型是一個衡量安全工程 實踐的標準尺度，覆蓋： l整個生命周期過程，開展、運行

9、、維護和退役等行為 l整個組織機構(gòu)，管理、編制、工程等部門行為 l同其它準則共同發(fā)揮作用，如：系統(tǒng)、軟件、硬件、 人員因素、檢測工程；系統(tǒng)管理、運行和維護。 l同其它機構(gòu)交互，如：采集、系統(tǒng)管理、證明、委托 和評估。 信息安全工程實務(wù)信息安全工程實務(wù) Copyright 2001 X-Exploit Team X-Exploit Team - 19 風(fēng)險分析與評估 目標和原則 對象與范圍 方法與手段 結(jié)果與結(jié)論 - 20 鑒別網(wǎng)絡(luò)資產(chǎn) 明確需要保護什么？作什么樣的保護？如何協(xié)調(diào)？ 資產(chǎn)資產(chǎn) 說明說明 硬件 工作站、個人計算機、打印機、路由器、交換機、調(diào)制解調(diào)器、服務(wù)器、工作站、防火墻 軟件 源

10、程序、對象程序、應(yīng)用系統(tǒng)、診斷程序、操作系統(tǒng)和通信程序等 數(shù)據(jù) 在先保存和離線歸檔的數(shù)據(jù)、備份、注冊記錄、數(shù)據(jù)庫以及通信介質(zhì)上傳輸?shù)臄?shù)據(jù) 人員 用戶、管理員和硬件維護人員 文檔 軟件程序、內(nèi)部硬件和軟件的評價、系統(tǒng)以及本地程序 - 21 資產(chǎn)價值 評定資產(chǎn)價值 根據(jù)不同的關(guān)鍵程度等級劃分數(shù)據(jù)級別 有形資產(chǎn)/無形資產(chǎn) - 22 了解威脅與脆弱性 明確對資產(chǎn)的潛在威脅和資產(chǎn)受此威脅攻擊的可能性 威脅是任何對網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備造成損害的個人、對象或 事件 脆弱性是網(wǎng)絡(luò)系統(tǒng)存在的可能被威脅利用的缺陷 - 23 分析受到威脅后造成的影響 影響是一旦遭到威脅后，對企業(yè)造成直接的損失和潛在 的影響。 數(shù)據(jù)破壞

11、喪失數(shù)據(jù)的完整性 資源不可用 詆毀名譽 - 24 風(fēng)險評估 定量分析 l采用經(jīng)驗數(shù)據(jù)和已知的可能性及統(tǒng)計結(jié)果來進行評定 定性分析 l根據(jù)直覺進行評價 二者結(jié)合分析 - 25 風(fēng)險緩解與安全成本 確定企業(yè)能夠接受多高的風(fēng)險以及資產(chǎn)需要保護到什么 程度。 風(fēng)險緩解是選擇適當?shù)目刂品绞綄L(fēng)險降低到可以接受 水平的過程。 性能成本（可用性、效率） 經(jīng)濟成本：實施和管理安全程序的花費必須與潛在利益 進行比較 - 26 安全風(fēng)險分析與評估實務(wù) SCS-RAA安全風(fēng)險分析與評估實務(wù) 結(jié)果 SCS-RAA-SVA 系統(tǒng)脆弱性與弱點漏洞分析SVA系統(tǒng)脆弱性與弱點漏洞分析報告 SCS-RAA-NVA網(wǎng)絡(luò)脆弱性與弱

12、點漏洞分析NVA網(wǎng)絡(luò)脆弱性與弱點漏洞分析報告 SCS-RAA-CIA當前威脅與入侵狀況分析審計CIA當前威脅與入侵狀況分析報告 SCS-RAA-FIA潛在威脅與入侵趨勢分析審計FIA潛在的威脅分析報告 SCS-RAA-ARA結(jié)構(gòu)風(fēng)險分析ARA結(jié)構(gòu)風(fēng)險分析報告 SCS-RAA-PRA政策風(fēng)險分析PRA政策法規(guī)風(fēng)險分析報告 SCS-RAA-ORA組織風(fēng)險分析ORA組織體系風(fēng)險分析報告 SCS-RAA-CPA當前安全策略分析CPA當前安全策略風(fēng)險分析報告 SCS-RAA-RIA風(fēng)險帶來的影響分析RIA影響分析報告 SCS-RAA-SYN綜合風(fēng)險分析SYN綜合風(fēng)險分析報告 SCS-RAA-SFA安全功

13、能分析SFA安全功能分析報告 - 27 實務(wù) 制定目標 l了解網(wǎng)絡(luò)的系統(tǒng)結(jié)構(gòu)和管理水平，及可能存在的安全隱患； l了解網(wǎng)絡(luò)所提供的服務(wù)及可能存在的安全問題； l了解各應(yīng)用系統(tǒng)與網(wǎng)絡(luò)層的接口及其相應(yīng)的安全問題； l網(wǎng)絡(luò)攻擊和電子欺騙的檢測、模擬及預(yù)防； l分析企業(yè)關(guān)鍵應(yīng)用對網(wǎng)絡(luò)的安全需求，尋找目前的安全策略和實 際需求的差距。 - 28 實務(wù) 明確重點內(nèi)容 l網(wǎng)絡(luò)安全組織，制度和人員情況 l網(wǎng)絡(luò)安全技術(shù)方法的使用情況 l防火墻布控及邊界安全狀況 l動態(tài)安全管理狀況 l鏈路，數(shù)據(jù)及應(yīng)用加密情況 l網(wǎng)絡(luò)系統(tǒng)訪問控制狀況 - 29 實務(wù) 方式與方法 l問卷調(diào)查。 l訪談。 l文檔審查。 l黑盒測試。

14、l操作系統(tǒng)的漏洞檢查和分析； l網(wǎng)絡(luò)服務(wù)的安全漏洞和隱患的檢查和分析； l抗攻擊測試。（拒絕服務(wù)/滲透/入侵） l綜合審計報告。 - 30 安全需求分析 目標與原則 內(nèi)容 法規(guī)標準 - 31 安全需求分析實務(wù) SRA安全需求分析實務(wù)SRA結(jié)果 SRA-SFR安全功能需求SFR安全功能需求報告 SRA-SOR安全組織需求SOR 安全組織需求報告 SRA-SPR安全策略需求SPR安全策略需求報告 SRA-SAR安全體系需求SAR 安全體系需求報告 - 32 實務(wù) 制定目標 l根據(jù)風(fēng)險分析的結(jié)果，結(jié)合國家、行業(yè)、企業(yè)的政策 法規(guī)對安全的需求制定切實可行的安全需求 l細化、分析有關(guān)規(guī)定，轉(zhuǎn)化為可操作、

15、可以實施的安 全要求 - 33 實務(wù) 內(nèi)容 l安全政策法規(guī)需求分析 l安全組織體系需求分析 l安全策略、安全體系需求分析 l安全功能需求分析 - 34 安全策略開發(fā) 安全策略的作用和重要性 安全策略制定的原則 安全策略的內(nèi)容 安全策略制定的注意事項 - 35 安全策略開發(fā)實務(wù) SCS-SPD安全策略開發(fā)實務(wù)SPD SCS-SPD-ASP抽象安全策略ASP信息與網(wǎng)絡(luò)系統(tǒng)抽象安全策略 SCS-SPD-WAP全局自動安全策略WAP信息與網(wǎng)絡(luò)系統(tǒng)全局自動安全策略 SCS-SPD-LAP局部可執(zhí)行安全策略LAP 信息與網(wǎng)絡(luò)系統(tǒng)局部可執(zhí)行安全策略 SCS-SPD-LAP-PHY物理安全控制策略物理安全控制

16、策略 SCS-SPD-LAP-LOG邏輯安全控制策略邏輯安全控制策略 SCS-SPD-LAP-INT系統(tǒng)和數(shù)據(jù)的完整性保護策略系統(tǒng)和數(shù)據(jù)的完整性保護策略 SCS-SPD-LAP-SEC數(shù)據(jù)機密性策略數(shù)據(jù)機密性策略 SCS-SPD-LAP-MAN管理體系策略管理體系策略 SCS-SPD-LAP-PEN人員職責(zé)與流程策略人員職責(zé)與流程策略 SCS-SPD-LAP-EDU安全意識教育與技術(shù)培訓(xùn)策略安全意識教育與技術(shù)培訓(xùn)策略 - 36 實務(wù) 目的 l明確正在保護什么及保護的原因 l確定首先必須保護的內(nèi)容和相應(yīng)代價的優(yōu)先次序 l根據(jù)安全的價值，可以和機構(gòu)內(nèi)的不同部門制定明確的協(xié)議 l當需要說“不”時，為

17、安全部門提供了說“不”的合理理由 l為安全部門提供支持“不”的權(quán)利 l防止安全部門進行愚蠢的活動 - 37 實務(wù) 對象與范圍 物理安全控制 l基礎(chǔ)設(shè)施 l物理介質(zhì)/網(wǎng)絡(luò)拓撲 l物理設(shè)備安全性 l物理位置/物理訪問/環(huán)境安全保護 邏輯安全控制 l安全邊界 l路由邊界 lLAN/WAN/Internet/Dialup lVLAN邊界 l邏輯訪問 l控制與限制秘密/認證保障（機制/口令）/系統(tǒng)消息（Banner)/人的因 素 - 38 實務(wù) 對象與范圍 l基礎(chǔ)設(shè)施與數(shù)據(jù)完整性 l防火墻 l通信方向/來源/IP/PORT/認證/內(nèi)容/ l網(wǎng)絡(luò)服務(wù) l刪除服務(wù)/限制服務(wù)/刪除軟件/限制軟件 l驗證數(shù)據(jù)

18、l路由/VLAN l數(shù)據(jù)保密性 l加密 l組織體系 l機構(gòu)/人員 l流程 l安全備份/設(shè)備認證/使用便攜工具安全/審計跟蹤/應(yīng)急響應(yīng) l教育與培訓(xùn) l安全意識/安全技術(shù)/用戶/領(lǐng)導(dǎo)/執(zhí)法 - 39 實務(wù) 具體策略內(nèi)容 l明確保護的內(nèi)容/安全級別 l保護的方法與手段 l明確保護的優(yōu)先次序（生命健康/法律/機構(gòu)利益/人員利益/非敏感 ） l措施與周期 l責(zé)任 l明確不同用戶對應(yīng)的責(zé)任 l一般用戶/系統(tǒng)管理與操作/安全管理員/承包商/客人 l注意事項 l怎么使用或操作/不該怎么使用或操作 l后果處理 - 40 實務(wù) 誤區(qū) l今天的好策略比明年的偉大策略要更好 l薄弱的但廣為分發(fā)的策略比沒有人閱讀的強

19、壯的策略要更好 l容易理解的簡單策略比沒有人閱讀的復(fù)雜的策略要更好 l有微小錯誤的策略要比根本沒有細節(jié)的策略要更好 l連續(xù)更新的活躍策略比時間上過期而發(fā)展的策略要更好 l道歉比請求批準要更好 - 41 安全體系結(jié)構(gòu)設(shè)計 目標與原則 安全體系結(jié)構(gòu)設(shè)計 安全體系結(jié)構(gòu)評估 - 42 安全體系結(jié)構(gòu)設(shè)計實務(wù) SCS-SSD安全體系結(jié)構(gòu)設(shè)計實務(wù)SSD S C S - S S D - SSD 安全體系結(jié)構(gòu)設(shè)計SSD信息與網(wǎng)絡(luò)系統(tǒng)安全體系結(jié)構(gòu) S C S - S S D - SIM 安全實施指南設(shè)計SIM信息與網(wǎng)絡(luò)系統(tǒng)安全實施指南 S C S - S S D - SMM 安全維護指南設(shè)計SMM信息與網(wǎng)絡(luò)系統(tǒng)安

20、全維護指南 S C S - S S D - ERM 安全應(yīng)急響應(yīng)指南設(shè)計ERM信息與網(wǎng)絡(luò)系統(tǒng)安全應(yīng)急響應(yīng)指南 S C S - S S D - SEP 安全評估過程設(shè)計SEP信息與網(wǎng)絡(luò)系統(tǒng)安全評估過程規(guī)范 - 43 設(shè)計原則 安全性 l既要最大限度的保證網(wǎng)絡(luò)系統(tǒng)的安全性，同時要保證安全系統(tǒng)本身的安全性。 可靠性 l安全系統(tǒng)的實施不能影響網(wǎng)絡(luò)系統(tǒng)的正常的運行與可靠性，同時安全系統(tǒng)本身必 須是可靠的。 高效性 l安全系統(tǒng)的實施不能以整個網(wǎng)絡(luò)系統(tǒng)的運行效率為代價，安全系統(tǒng)不能影響原有 系統(tǒng)的運行效率。 可擴展性 l安全系統(tǒng)的建設(shè)必須考慮到未來發(fā)展的需要，技術(shù)的發(fā)展，安全手段不斷翻新， 安全要求本身也不

21、斷提出更高的要求，系統(tǒng)必須具有良好的可擴展性和良好的可 升級性。 易實現(xiàn)性 l安全系統(tǒng)的安裝、配置與管理盡可能的簡潔，易學(xué)、易用與易實現(xiàn)。再好的安全 系統(tǒng)，如果很難實現(xiàn)也是不安全的。 可管理性 l安全系統(tǒng)必須支持可管理的安全，安全必須是可控的、可集中管理、可審計的安 全。 - 44 了解網(wǎng)絡(luò)拓撲 INSIDE 撥號接入服務(wù)器 企業(yè)內(nèi)部網(wǎng)絡(luò) WAN INTERNET 企業(yè)廣域網(wǎng)絡(luò) Web Server Mail Server DNS Server AAA Server 企業(yè)合作伙伴網(wǎng)絡(luò) Internet出口 PSTN INTERNET 企業(yè)部門 數(shù)據(jù)中心 數(shù)據(jù)庫 服務(wù)器 數(shù)據(jù)庫 服務(wù)器 - 45

22、 Building Distributed Management Servers Core Distributed E-Commerce VPN Remote Access Corporate Internet DDN Extranet DDN Partners PSTN Dialup F/R,ATM,DDN Internet Enterprise CampusEnterprise Edge ISP Edge 網(wǎng)絡(luò)拓撲演變 - 46 了解網(wǎng)絡(luò)組件 邊界設(shè)備 l防火墻/到Internet服務(wù)提供商的路由器/到合作伙伴的路由 器/撥號訪問服務(wù)器/電子郵件網(wǎng)關(guān)/外部的服務(wù)器 l基礎(chǔ)設(shè)施 l文件服務(wù)器

23、/交換機/路由器/打印服務(wù)器/內(nèi)部DNS/新聞服務(wù) 器/時間同步服務(wù)器/ l業(yè)務(wù)設(shè)備 l數(shù)據(jù)服務(wù)器/內(nèi)部Web站點/業(yè)務(wù)工作站/前置機/業(yè)務(wù)專用軟 件服務(wù)器 l桌面設(shè)備 lPC/UNIX/Windows 9x/NT/2000/ME/Mac - 47 了解網(wǎng)絡(luò)應(yīng)用 關(guān)鍵應(yīng)用 關(guān)鍵數(shù)據(jù) 對外提供服務(wù)/電子商務(wù) Internet訪問 撥號訪問/移動訪問 與合作伙伴的連接 企業(yè)異地分支機構(gòu)連接 - 48 層次化風(fēng)險緩釋論 災(zāi)難恢復(fù) 防火墻/VPN/動態(tài)安全管理 安全操作系統(tǒng)/操作系統(tǒng)安全 密碼技術(shù) SSL/SET/SHTTP 身份認證/授權(quán)驗證 安全策略/技術(shù)標準/管理規(guī)范 環(huán)境和硬件 網(wǎng)絡(luò)層 操作系

24、統(tǒng) 數(shù)據(jù)/數(shù)據(jù)庫層 應(yīng)用層 操作層 管理層 - 49 可定制的安全要素和領(lǐng)域 訪問控制與安全邊界（CSS-SEC-CTL） 弱點漏洞分析和風(fēng)險審計（CSS-SEC-ASS） 入侵檢測與防御（CSS-SEC-IDS） 信息監(jiān)控與取證（CSS-SEC-INF） 通信鏈路安全（CSS-SEC-LNK） 系統(tǒng)安全（CSS-SEC-SYS） 數(shù)據(jù)與數(shù)據(jù)庫安全（CSS-SEC-DBS） 應(yīng)用系統(tǒng)安全（CSS-SEC-APS） 個人桌面安全（CSS-SEC-PCS） 身份認證與授權(quán)（CSS-SEC-AAA） 災(zāi)難恢復(fù)與備份（CSS-SEC-RAB） 集中安全管理（CSS-SEC-MAN） 病毒防治（CSS-

25、SEC-VPR） - 50 信息安全功能規(guī)范設(shè)計 目標與原則 內(nèi)容與形式 功能規(guī)范設(shè)計實踐 - 51 目標與原則 滿足企業(yè)統(tǒng)一的安全策略 易于管理 公開/公正/公平 - 52 內(nèi)容 產(chǎn)品類別 功能規(guī)范要求 性能規(guī)范要求 可用性要求 可管理性要求 工藝要求 - 53 SCS-SCD安全標準與規(guī)范制定實務(wù)SCD SCS-SCD-TPF安全技術(shù)與產(chǎn)品功能規(guī)范研究制定TPF安全技術(shù)與產(chǎn)品功能規(guī)范 S C S - S C D - SMC 安全管理規(guī)范研究制定SMC安全管理規(guī)范 信息安全功能規(guī)范設(shè)計實務(wù) - 54 安全產(chǎn)品測試選型 功能規(guī)范 指標體系 測試環(huán)境 測試內(nèi)容（功能/性能/可用性） 測試步驟設(shè)計

26、 測試結(jié)果評定 參考標準體系 - 55 SCS-SPT安全產(chǎn)品測試選型實務(wù)SPT S C S - S P T - PEC 產(chǎn)品測試選型規(guī)范制定PEC產(chǎn)品測試選型規(guī)范 S C S - S P T - PEG 安全產(chǎn)品測試選型指標體系制定PEG安全產(chǎn)品測試選型指標體系 S C S - S P T - PEM 產(chǎn)品分類測試選型指南制定PEM產(chǎn)品分類測試選型指南 S C S - S P T - PER 測試選型結(jié)果分析PER測試選型結(jié)果分析報告 安全產(chǎn)品測試選型實務(wù) - 56 信息安全工程實施監(jiān)理 原則與依據(jù) 安全工程監(jiān)理定義 監(jiān)理內(nèi)容 監(jiān)理流程 監(jiān)理結(jié)果分析與反饋 - 57 安全工程監(jiān)理實務(wù) SCS-PMM安全工程項目工程監(jiān)理實務(wù)PMM SCS- P MM- PMC 工程監(jiān)理指南PMC工程監(jiān)理指南 SCS- P MM- IMM 實施監(jiān)理服務(wù)IMM工程監(jiān)理總結(jié)報告 SCS- P MM- IET 安全實施教育服務(wù)IET SCS- P MM- SIE 安全體系內(nèi)部評估SIE安全體系內(nèi)部評估報告報告 SCS- P MM- SEE 安全體系外部評估服務(wù)S