版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、中軟信息安全博士后科研工作站馬東平 博士2001-10-232001-10-23信息與網(wǎng)絡(luò)信息與網(wǎng)絡(luò)安全標(biāo)準(zhǔn)與規(guī)范安全標(biāo)準(zhǔn)與規(guī)范 version 3copyright 2001 x-exploit teamx-exploit teamhttp:/www.x- 2copyright 2001 x-exploit teamx-exploit teamhttp:/www.x-日程安排 iso 15408(cc) bs7799 sse-cmm cveiso15408(cc)iso15408(cc)copyright 2001 x-exploit teamx-exploit teamhttp:/www.
2、x- 4copyright 2001 x-exploit teamx-exploit teamhttp:/www.x-iso15408簡(jiǎn)介 iso/iec 15408-1999“信息技術(shù)/安全技術(shù)/信息技術(shù)安全性評(píng)估準(zhǔn)則”(簡(jiǎn)稱cc) 國(guó)際標(biāo)準(zhǔn)化組織在現(xiàn)有多種評(píng)估準(zhǔn)則的基礎(chǔ)上,統(tǒng)一形成的 在美國(guó)和歐洲等國(guó)分別自行推出并實(shí)踐測(cè)評(píng)準(zhǔn)則及標(biāo)準(zhǔn)的基礎(chǔ)上,通過(guò)相互間的總結(jié)和互補(bǔ)發(fā)展起來(lái)的。 - 5copyright 2001 x-exploit teamx-exploit teamhttp:/www.x-發(fā)展歷程q 1985年,美國(guó)國(guó)防部公布可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則(tcsec)即桔皮書(shū);q 1989年,
3、加拿大公布可信計(jì)算機(jī)產(chǎn)品評(píng)估準(zhǔn)則(ctcpec);q 1991年,歐洲公布信息技術(shù)安全評(píng)估準(zhǔn)則(itsec);q 1993年,美國(guó)公布美國(guó)信息技術(shù)安全聯(lián)邦準(zhǔn)則(fc);q 1996年,六國(guó)七方(英國(guó)、加拿大、法國(guó)、德國(guó)、荷蘭、美國(guó)國(guó)家安全局和美國(guó)標(biāo)準(zhǔn)技術(shù)研究所)公布信息技術(shù)安全性通用評(píng)估準(zhǔn)則(cc 1.0版);q 1998年,六國(guó)七方公布信息技術(shù)安全性通用評(píng)估準(zhǔn)則(cc 2.0版);q 1999年12月,iso接受cc 2.0版為iso 15408標(biāo)準(zhǔn),并正式頒布發(fā)行。 - 6copyright 2001 x-exploit teamx-exploit teamhttp:/www.x-cc v
4、s tcsec cc源于tcsec,但已經(jīng)完全改進(jìn)了tcsec。 tcsec主要是針對(duì)操作系統(tǒng)的評(píng)估,提出的是安全功能要求,目前仍然可以用于對(duì)操作系統(tǒng)的評(píng)估。 隨著信息技術(shù)的發(fā)展,cc全面地考慮了與信息技術(shù)安全性有關(guān)的所有因素,以“安全功能要求”和“安全保證要求”的形式提出了這些因素,這些要求也可以用來(lái)構(gòu)建tcsec的各級(jí)要求。 - 7copyright 2001 x-exploit teamx-exploit teamhttp:/www.x-類子類組件 cc定義了作為評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基礎(chǔ)準(zhǔn)則,提出了目前國(guó)際上公認(rèn)的表述信息技術(shù)安全性的結(jié)構(gòu),即:l安全要求=規(guī)范產(chǎn)品和系統(tǒng)安全行為
5、的功能要求+解決如何正確有效的實(shí)施這些功能的保證要求。 功能和保證要求又以“類子類組件”的結(jié)構(gòu)表述,組件作為安全要求的最小構(gòu)件塊,可以用于“保護(hù)輪廓”、“安全目標(biāo)”和“包”的構(gòu)建,例如由保證組件構(gòu)成典型的包“評(píng)估保證級(jí)”。 功能組件還是連接cc與傳統(tǒng)安全機(jī)制和服務(wù)的橋梁,以及解決cc同已有準(zhǔn)則如tcsec、itsec的協(xié)調(diào)關(guān)系,如功能組件構(gòu)成tcsec的各級(jí)要求。 - 8copyright 2001 x-exploit teamx-exploit teamhttp:/www.x-cc的先進(jìn)性 結(jié)構(gòu)的開(kāi)放性l即功能和保證要求都可以在具體的“保護(hù)輪廓”和“安全目標(biāo)”中進(jìn)一步細(xì)化和擴(kuò)展,如可以增加“
6、備份和恢復(fù)”方面的功能要求或一些環(huán)境安全要求。這種開(kāi)放式的結(jié)構(gòu)更適應(yīng)信息技術(shù)和信息安全技術(shù)的發(fā)展。 表達(dá)方式的通用性l即給出通用的表達(dá)方式。如果用戶、開(kāi)發(fā)者、評(píng)估者、認(rèn)可者等目標(biāo)讀者都使用cc的語(yǔ)言,互相之間就更容易理解溝通。例如,用戶使用cc的語(yǔ)言表述自己的安全需求,開(kāi)發(fā)者就可以更具針對(duì)性地描述產(chǎn)品和系統(tǒng)的安全性,評(píng)估者也更容易有效地進(jìn)行客觀評(píng)估,并確保對(duì)用戶更容易理解評(píng)估結(jié)果。這種特點(diǎn)對(duì)規(guī)范實(shí)用方案的編寫(xiě)和安全性測(cè)試評(píng)估都具有重要意義。在經(jīng)濟(jì)全球化發(fā)展、全球信息化發(fā)展的趨勢(shì)下,這種特點(diǎn)也是進(jìn)行合格評(píng)定和評(píng)估結(jié)果國(guó)際互認(rèn)的需要。 - 9copyright 2001 x-exploit tea
7、mx-exploit teamhttp:/www.x-cc的先進(jìn)性結(jié)構(gòu)和表達(dá)方式的內(nèi)在完備性和實(shí)用性l體現(xiàn)在“保護(hù)輪廓”和“安全目標(biāo)”的編制上。l“保護(hù)輪廓”主要用于表達(dá)一類產(chǎn)品或系統(tǒng)的用戶需求,在標(biāo)準(zhǔn)化體系中可以作為安全技術(shù)類標(biāo)準(zhǔn)對(duì)待。l內(nèi)容主要包括:l對(duì)該類產(chǎn)品或系統(tǒng)的界定性描述,即確定需要保護(hù)的對(duì)象;l確定安全環(huán)境,即指明安全問(wèn)題需要保護(hù)的資產(chǎn)、已知的威脅、用戶的組織安全策略;l產(chǎn)品或系統(tǒng)的安全目的,即對(duì)安全問(wèn)題的相應(yīng)對(duì)策技術(shù)性和非技術(shù)性措施;l信息技術(shù)安全要求,包括功能要求、保證要求和環(huán)境安全要求,這些要求通過(guò)滿足安全目的,進(jìn)一步提出具體在技術(shù)上如何解決安全問(wèn)題;l基本原理,指明安全要
8、求對(duì)安全目的、安全目的對(duì)安全環(huán)境是充分且必要的;l附加的補(bǔ)充說(shuō)明信息。l“保護(hù)輪廓”編制,一方面解決了技術(shù)與真實(shí)客觀需求之間的內(nèi)在完備性;l另一方面用戶通過(guò)分析所需要的產(chǎn)品和系統(tǒng)面臨的安全問(wèn)題,明確所需的安全策略,進(jìn)而確定應(yīng)采取的安全措施,包括技術(shù)和管理上的措施,這樣就有助于提高安全保護(hù)的針對(duì)性、有效性。l“安全目標(biāo)”在“保護(hù)輪廓”的基礎(chǔ)上,通過(guò)將安全要求進(jìn)一步針對(duì)性具體化,解決了要求的具體實(shí)現(xiàn)。常見(jiàn)的實(shí)用方案就可以當(dāng)成“安全目標(biāo)”對(duì)待。l通過(guò)“保護(hù)輪廓”和“安全目標(biāo)”這兩種結(jié)構(gòu),就便于將cc的安全性要求具體應(yīng)用到it產(chǎn)品的開(kāi)發(fā)、生產(chǎn)、測(cè)試、評(píng)估和信息系統(tǒng)的集成、運(yùn)行、評(píng)估、管理中。- 10c
9、opyright 2001 x-exploit teamx-exploit teamhttp:/www.x-cc的內(nèi)容 第1部分“簡(jiǎn)介和一般模型”l正文介紹了cc中的有關(guān)術(shù)語(yǔ)、基本概念和一般模型以及與評(píng)估有關(guān)的一些框架,l附錄部分主要介紹“保護(hù)輪廓”和“安全目標(biāo)”的基本內(nèi)容; 第2部分“安全功能要求”l按“類子類組件”的方式提出安全功能要求,每一個(gè)類除正文以外,還有對(duì)應(yīng)的提示性附錄作進(jìn)一步解釋; 第3部分“安全保證要求”l定義了評(píng)估保證級(jí)別,介紹了“保護(hù)輪廓”和“安全目標(biāo)”的評(píng)估,并按“類子類組件”的方式提出安全保證要求。 - 11copyright 2001 x-exploit teamx-
10、exploit teamhttp:/www.x-cc內(nèi)容之間的關(guān)系 cc的三個(gè)部分相互依存,缺一不可。l第1部分是介紹cc的基本概念和基本原理;l第2部分提出了技術(shù)要求;l第3部分提出了非技術(shù)要求和對(duì)開(kāi)發(fā)過(guò)程、工程過(guò)程的要求。 三個(gè)部分有機(jī)地結(jié)合成一個(gè)整體。l具體體現(xiàn)在“保護(hù)輪廓”和“安全目標(biāo)” 中,“保護(hù)輪廓”和“安全目標(biāo)”的概念和原理由第1部分介紹,“保護(hù)輪廓”和“安全目標(biāo)”中的安全功能要求和安全保證要求在第2、3部分選取,這些安全要求的完備性和一致性,由第2、3兩部分來(lái)保證。 - 12copyright 2001 x-exploit teamx-exploit teamhttp:/www
11、.x-cc的國(guó)際化 cc 作為評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全性的世界性通用準(zhǔn)則,是信息技術(shù)安全性評(píng)估結(jié)果國(guó)際互認(rèn)的基礎(chǔ)。 早在1995年,cc項(xiàng)目組成立了cc國(guó)際互認(rèn)工作組,此工作組于1997年制訂了過(guò)渡性cc互認(rèn)協(xié)定,并在同年10月美國(guó)的nsa和nist、加拿大的cse和英國(guó)的cesg簽署了該協(xié)定。 1998年5月德國(guó)的gisa、法國(guó)的scssi也簽署了此互認(rèn)協(xié)定。 1999年10月澳大利亞和新西蘭的dsd加入了cc互認(rèn)協(xié)定。 在2000年,又有荷蘭、西班牙、意大利、挪威、芬蘭、瑞典、希臘、瑞士等國(guó)加入了此互認(rèn)協(xié)定,日本、韓國(guó)、以色列等也正在積極準(zhǔn)備加入此協(xié)定。 bs7799bs7799copy
12、right 2001 x-exploit teamx-exploit teamhttp:/www.x- 14copyright 2001 x-exploit teamx-exploit teamhttp:/www.x-歷史沿革1990年,世界經(jīng)濟(jì)合作開(kāi)發(fā)組織(oecd)下轄的信息、計(jì)算機(jī)與通信政策組織開(kāi)始起草 “信息系統(tǒng)安全指導(dǎo)方針”。1992年,oecd于11月26日正式通過(guò)“信息系統(tǒng)安全指導(dǎo)方針”。1993年,英國(guó)工業(yè)與貿(mào)易部(dti)頒布“信息安全管理事務(wù)準(zhǔn)則”。1995年,英國(guó)制定國(guó)家標(biāo)準(zhǔn)bs 7799第一部分:“信息安全管理事務(wù)準(zhǔn)則”,并提交國(guó)際標(biāo)準(zhǔn)組織(iso),成為iso dis
13、 14980。1996年,bs 7799第一部分提交iso審議的結(jié)果,于1996年2月24日結(jié)束6個(gè)月的審議后,參與投票的成員國(guó)未超過(guò)三分之二。1997年,oecd于3月27日公布密碼模塊指導(dǎo)原則;同年,英國(guó)正式開(kāi)始推動(dòng)信息安全管理認(rèn)證先導(dǎo)計(jì)劃。1998年,英國(guó)公布bs 7799第二部分“信息安全管理規(guī)范”并成為信息安全管理認(rèn)證的依據(jù);同年,歐盟于1995年10月公布之“個(gè)人資料保護(hù)指令,自1998年10月25日起正式生效,要求以適當(dāng)標(biāo)準(zhǔn)保護(hù)個(gè)人資料”。1999年,修訂后的bs 7799:1999版再度提交iso審議。2000年,國(guó)際標(biāo)準(zhǔn)組織 iso/iec jtc sc 27在日本東京 10
14、月21 日通過(guò)bs 7799-1,成為 iso dis 17799-1,2000年12月1日正式發(fā)布。 - 15copyright 2001 x-exploit teamx-exploit teamhttp:/www.x-bs7799國(guó)際化 現(xiàn)已有30多家機(jī)構(gòu)通過(guò)了信息安全管理體系認(rèn)證,范圍包括:政府機(jī)構(gòu)、銀行、保險(xiǎn)公司、電信企業(yè)、網(wǎng)絡(luò)公司及許多跨國(guó)公司。 目前除英國(guó)之外,國(guó)際上已有荷蘭、丹麥、挪威、瑞典、芬蘭、澳大利亞、新西蘭、南非、巴西已同意使用bs 7799; 日本、瑞士、盧森堡表示對(duì)bs 7799感興趣; 我國(guó)的臺(tái)灣、香港地區(qū)也在推廣該標(biāo)準(zhǔn)。 值得一提的是:該標(biāo)準(zhǔn)也是目前英國(guó)最暢銷的標(biāo)
15、準(zhǔn)。 - 16copyright 2001 x-exploit teamx-exploit teamhttp:/www.x-bs7799內(nèi)容:總則要求各組織建立并運(yùn)行一套經(jīng)過(guò)驗(yàn)證的信息安全管理體系,用于解決如下問(wèn)題:資產(chǎn)的保管、組織的風(fēng)險(xiǎn)管理、管理標(biāo)的和管理辦法、要求達(dá)到的安全程度。建立管理框架l確立并驗(yàn)證管理目標(biāo)和管理辦法時(shí)需采取如下步驟:l定義信息安全策略l定義信息安全管理體系的范圍,包括定義該組織的特征、地點(diǎn)、資產(chǎn)和技術(shù)等方面的特征l進(jìn)行合理的風(fēng)險(xiǎn)評(píng)估,包括找出資產(chǎn)面臨的威脅、弱點(diǎn)、對(duì)組織的沖擊、風(fēng)險(xiǎn)的強(qiáng)弱程度等等l根據(jù)組織的信息安全策略及所要求的安全程度,決定應(yīng)加以管理的風(fēng)險(xiǎn)領(lǐng)域l選出
16、合理的管理標(biāo)的和管理辦法,并加以實(shí)施;選擇方案時(shí)應(yīng)做到有法可依l準(zhǔn)備可行性聲明是指在聲明中應(yīng)對(duì)所選擇的管理標(biāo)的和管理辦法加以驗(yàn)證,同時(shí)對(duì)選擇的理由進(jìn)行驗(yàn)證,并對(duì)第四章中排除的管理辦法進(jìn)行記錄l對(duì)上述步驟的合理性應(yīng)按規(guī)定期限定期審核。- 17copyright 2001 x-exploit teamx-exploit teamhttp:/www.x-控制點(diǎn)管理 安全策略 安全組織 資產(chǎn)分類與管理 個(gè)人安全守則 設(shè)備及使用環(huán)境安全管理 溝通及操作過(guò)程管理 存取控制 信息系統(tǒng)開(kāi)發(fā)及維護(hù) 可持續(xù)運(yùn)營(yíng)管理符合性- 18copyright 2001 x-exploit teamx-exploit team
17、http:/www.x-安全策略 信息安全策略l為信息安全提供管理指導(dǎo)和支持 控制點(diǎn)包括l信息安全策略文件l審核與評(píng)估。- 19copyright 2001 x-exploit teamx-exploit teamhttp:/www.x-安全組織 控制點(diǎn)l信息安全基礎(chǔ)架構(gòu);信息安全管理委員會(huì);部門(mén)間協(xié)調(diào);權(quán)責(zé)分配;信息處理設(shè)備的授權(quán)流程;專業(yè)信息安全顧問(wèn);組織間合作;信息安全審核的獨(dú)立性。 外部存取的安全管理l外來(lái)組織存取組織內(nèi)部信息及信息處理設(shè)施時(shí)的安全管理。l控制點(diǎn)包括:第三方存取的風(fēng)險(xiǎn)鑒別;與第三方存取組織簽約時(shí)的安全要求。 委外資源管理l委外加工處理時(shí)相關(guān)信息的安全管理。l控制點(diǎn):委外
18、加工處理合同內(nèi)的安全需求。- 20copyright 2001 x-exploit teamx-exploit teamhttp:/www.x-資產(chǎn)分類與管理 資產(chǎn)管理權(quán)責(zé)l確保信息資產(chǎn)得以適當(dāng)保護(hù)。l控制點(diǎn):資產(chǎn)的盤(pán)點(diǎn) 信息分類l確保信息資產(chǎn)得到恰當(dāng)?shù)谋Wo(hù)。l控制點(diǎn)包括:分類原則;信息標(biāo)示及攜帶。- 21copyright 2001 x-exploit teamx-exploit teamhttp:/www.x-個(gè)人信息安全守則 工作及資源的安全管理l降低錯(cuò)誤、偷竊、欺騙或設(shè)備誤用的風(fēng)險(xiǎn)。l控制點(diǎn)包括:工作權(quán)責(zé)涵蓋的安全需求;人員任用政策;保密協(xié)議;員工守則。 教育訓(xùn)練l確保使用者在日常工作
19、中了解如何看待和關(guān)心信息安全,并支持組織的安全策略。l控制點(diǎn):信息安全的教育和培訓(xùn)。 易發(fā)事件及故障處理l發(fā)生易發(fā)事件及故障時(shí)如何將損害降至最小、監(jiān)督類似事件并從中學(xué)習(xí)。l控制點(diǎn)包括:安全事故回報(bào);安全漏洞回報(bào);軟件功能障礙回報(bào);從事故中學(xué)習(xí);違規(guī)處置流程。- 22copyright 2001 x-exploit teamx-exploit teamhttp:/www.x-設(shè)備及使用環(huán)境的信息安全管理 信息安全區(qū)l保護(hù)企業(yè)所在地及信息免于未經(jīng)授權(quán)的存取、破壞及入侵。l控制點(diǎn)包括:信息安全區(qū)的實(shí)體區(qū)隔;信息安全區(qū)進(jìn)出管制;信息安全辦公室、處所、設(shè)備;信息安全區(qū)內(nèi)工作守則;交接區(qū)的隔離。 設(shè)備安全
20、l防止資產(chǎn)的遺失、損壞、危害及企業(yè)正?;顒?dòng)的中斷。l控制點(diǎn)包括:設(shè)備座落及防護(hù);電力供應(yīng);傳輸設(shè)備安全性;設(shè)備的維護(hù)、保養(yǎng);非管制區(qū)的設(shè)備安全管理;設(shè)備報(bào)廢或再啟用安全管理。 日常管制l防止信息或信息處理設(shè)備被毀壞或偷竊。l控制點(diǎn):桌面及屏幕凈空原則;財(cái)產(chǎn)撤離。- 23copyright 2001 x-exploit teamx-exploit teamhttp:/www.x-溝通和操作過(guò)程管理操作程序書(shū)及權(quán)責(zé):確保雇員能正確、安全地操作信息處理設(shè)備。控制點(diǎn)包括:操作流程的文件化;系統(tǒng)變更管制;事故管理程序;部門(mén)權(quán)責(zé)劃分;開(kāi)發(fā)與操作設(shè)備的隔離;外部設(shè)備管理。系統(tǒng)規(guī)劃及可行性:將系統(tǒng)失效風(fēng)險(xiǎn)降至
21、最低??刂泣c(diǎn)包括:系統(tǒng)容量需求計(jì)劃;系統(tǒng)驗(yàn)收。侵略性軟件防護(hù):保護(hù)軟件及信息的完整??刂泣c(diǎn):對(duì)非法入侵軟件的防御管理。儲(chǔ)存管理:維護(hù)信息處理及服務(wù)的完整性和可行性。控制點(diǎn)包括:資料備份;登錄數(shù)據(jù)管理;差錯(cuò)記錄管理。網(wǎng)絡(luò)管理:建立網(wǎng)絡(luò)信息及基礎(chǔ)架構(gòu)支持的防護(hù)措施。控制點(diǎn):網(wǎng)絡(luò)管制。媒體存取及安全性:防止資產(chǎn)損失及企業(yè)活動(dòng)中斷??刂泣c(diǎn)包括:可移動(dòng)計(jì)算機(jī)媒體的管理;媒體的處理;信息移動(dòng)或儲(chǔ)存程序;系統(tǒng)文件的安全性。信息及軟件交換:進(jìn)行組織間信息交流時(shí)避免信息的遺失、篡改或誤用。控制點(diǎn)包括:信息及軟件轉(zhuǎn)換協(xié)議;傳遞中媒體的安全管制;電子商務(wù)的安全性;電子郵件的安全性;電子辦公系統(tǒng)的安全性;公共信息系統(tǒng)
22、的安全性;其它形態(tài)的信息交換。- 24copyright 2001 x-exploit teamx-exploit teamhttp:/www.x-存取控制存取管制的工作要求:管制信息的存取??刂泣c(diǎn):存取管制原則。使用者存取管理:避免未經(jīng)授權(quán)的信息存取。控制點(diǎn)包括:使用者注冊(cè);特別權(quán)限使用管理;使用者密碼管理;對(duì)使用者存取權(quán)限的審核。使用者權(quán)責(zé):避免未經(jīng)授權(quán)的使用者進(jìn)入??刂泣c(diǎn)包括:密碼管制;未列管設(shè)備的安全性。網(wǎng)絡(luò)存取管制:網(wǎng)絡(luò)服務(wù)系統(tǒng)的防護(hù)。控制點(diǎn)包括:網(wǎng)絡(luò)服務(wù)的使用原則;聯(lián)結(jié)路徑管理;外部聯(lián)結(jié)的使用者驗(yàn)證;節(jié)點(diǎn)驗(yàn)證;遙控監(jiān)測(cè)端的安全防護(hù);使用者組別區(qū)隔;網(wǎng)絡(luò)聯(lián)結(jié)的功能管制;聯(lián)網(wǎng)路由管理;
23、網(wǎng)絡(luò)服務(wù)的安全需求。操作系統(tǒng)存取管理:避免未經(jīng)授權(quán)的進(jìn)入網(wǎng)絡(luò)。控制點(diǎn)包括:自動(dòng)辨識(shí)末端聯(lián)結(jié);末端登錄程序;使用者辨識(shí)和授權(quán);密碼管理系統(tǒng);系統(tǒng)工具的使用;防御系統(tǒng)的警報(bào)通知;閑置自動(dòng)中斷;聯(lián)機(jī)時(shí)間限制。應(yīng)用軟件存取管理:避免非法存取信息系統(tǒng)中的信息??刂泣c(diǎn)包括:信息存取限制;敏感系統(tǒng)隔離。監(jiān)控系統(tǒng)的存取及使用:偵測(cè)未經(jīng)授權(quán)的入侵活動(dòng)。控制點(diǎn)包括:事件登錄簿;監(jiān)控系統(tǒng)的使用;同步計(jì)時(shí)。移動(dòng)計(jì)算機(jī)及撥接服務(wù)管理:保證使用移動(dòng)計(jì)算機(jī)和其它聯(lián)機(jī)服務(wù)時(shí)的信息安全。控制點(diǎn)包括:移動(dòng)計(jì)算機(jī);聯(lián)機(jī)活動(dòng)。- 25copyright 2001 x-exploit teamx-exploit teamhttp:/w
24、ww.x-信息系統(tǒng)開(kāi)發(fā)和維護(hù)信息系統(tǒng)的安全要求:確保安全觀念融入信息系統(tǒng)中。控制點(diǎn):安全需求的分析和規(guī)定。應(yīng)用軟件的安全要求:防止使用者資料被遺失、篡改或誤用??刂泣c(diǎn)包括:輸入資料的核準(zhǔn);內(nèi)部流程管控;訊息驗(yàn)證;輸出資料的核準(zhǔn)。資料加密技術(shù)管制:保護(hù)信息機(jī)密性、真實(shí)性和完整性??刂泣c(diǎn)包括:資料加密技術(shù)的使用原則;資料加密;數(shù)字簽名;防偽服務(wù);密鑰管理。系統(tǒng)檔案的安全性:確保信息部門(mén)的計(jì)劃和支持活動(dòng)以安全方式進(jìn)行??刂泣c(diǎn)包括:操作軟件管制;系統(tǒng)測(cè)試數(shù)據(jù)管理;程序原始編碼存取管制。開(kāi)發(fā)和支持系統(tǒng)的安全性:維護(hù)應(yīng)用軟件和信息的安全性??刂泣c(diǎn)包括:變動(dòng)管理流程;對(duì)操作系統(tǒng)變更的技術(shù)審查;對(duì)軟件包變更的
25、限制;防范秘密訊息通道和軟件內(nèi)異常程序;委外開(kāi)發(fā)軟件。- 26copyright 2001 x-exploit teamx-exploit teamhttp:/www.x-持續(xù)運(yùn)營(yíng)管理 持續(xù)運(yùn)營(yíng)l確保發(fā)生重大系統(tǒng)失效或人為疏忽時(shí),組織的運(yùn)營(yíng)不致中斷,并保護(hù)關(guān)鍵流程。 控制點(diǎn)包括l持續(xù)運(yùn)營(yíng)管理的流程;l持續(xù)運(yùn)營(yíng)和沖擊分析;l持續(xù)運(yùn)營(yíng)計(jì)劃的制定和實(shí)施;l持續(xù)運(yùn)營(yíng)計(jì)劃的框架;l持續(xù)運(yùn)營(yíng)計(jì)劃的測(cè)試、維護(hù)和再評(píng)估。- 27copyright 2001 x-exploit teamx-exploit teamhttp:/www.x-符合性合乎法律要求l避免觸犯任何刑法、民法、已成文的法令法規(guī)或其它任何安全
26、要求。l控制點(diǎn)包括:辨別相關(guān)法律的要求;知識(shí)產(chǎn)權(quán);組織記錄的防護(hù)措施;數(shù)據(jù)保護(hù)和個(gè)人隱私;防止信息處理設(shè)備的濫用;加密技術(shù)的管理;證據(jù)收集。對(duì)信息安全策略和技術(shù)應(yīng)用的審查l確保信息系統(tǒng)符合組織的安全策略和標(biāo)準(zhǔn)。l控制點(diǎn)包括:符合信息安全策略;對(duì)守法情況的技術(shù)審查。系統(tǒng)稽核的考慮l通過(guò)系統(tǒng)稽核流程擴(kuò)大效能,降低阻礙。l控制點(diǎn)包括:系統(tǒng)稽核管制;系統(tǒng)稽核工具的保管。- 28copyright 2001 x-exploit teamx-exploit teamhttp:/www.x-bs7799與cc和sse-cmm的比較bs 7799完全從管理角度制定,并不涉及具體的安全技術(shù),實(shí)施不復(fù)雜,主要是告
27、訴管理者一些安全管理的注意事項(xiàng)和安全制度,例如磁盤(pán)文件交換和處理的安全規(guī)定、設(shè)備的安全配置管理、工作區(qū)進(jìn)出的控制等一些很容易理解的問(wèn)題。這些管理規(guī)定一般的單位都可以制定,但要想達(dá)到bs 7799的全面性則需要一番努力。同bs 7799相比,信息技術(shù)安全性評(píng)估準(zhǔn)則(cc)和美國(guó)國(guó)防部可信計(jì)算機(jī)評(píng)估準(zhǔn)則(tcsec)等更側(cè)重于對(duì)系統(tǒng)和產(chǎn)品的技術(shù)指標(biāo)的評(píng)估系統(tǒng)和產(chǎn)品的技術(shù)指標(biāo)的評(píng)估;系統(tǒng)安全工程能力成熟模型(sse-cmm)更側(cè)重于對(duì)安全產(chǎn)品開(kāi)發(fā)、安對(duì)安全產(chǎn)品開(kāi)發(fā)、安全系統(tǒng)集成等安全工程過(guò)程的管理全系統(tǒng)集成等安全工程過(guò)程的管理。在對(duì)信息系統(tǒng)日常安全日常安全管理方面,bs 7799的地位是其他標(biāo)準(zhǔn)無(wú)法
28、取代的。總的來(lái)說(shuō),bs7799涵蓋了安全管理所應(yīng)涉及的方方面面,全面而不失可操作性,提供了一個(gè)可持續(xù)提高的信息安全管理環(huán)境。推廣信息安全管理標(biāo)準(zhǔn)的關(guān)鍵在重視程度和制度落實(shí)方面。它是目前可以用來(lái)達(dá)到一定預(yù)防標(biāo)準(zhǔn)的最好的指導(dǎo)標(biāo)準(zhǔn)。- 29copyright 2001 x-exploit teamx-exploit teamhttp:/www.x-sse-cmm年月美國(guó)國(guó)家安全局發(fā)起的研究工作。這項(xiàng)工作用模型研究現(xiàn)有的各種工作,并發(fā)現(xiàn)安全工程需要一個(gè)特殊的模型與之配套。年月,在第一次公共安全工程討論會(huì)中,信息安全協(xié)會(huì)被邀請(qǐng)加入,超過(guò)個(gè)組織的代表再次確認(rèn)需要這樣一種模型。因此,研討會(huì)期間成立了項(xiàng)目工作
29、組,由此進(jìn)入了模型開(kāi)發(fā)階段。通過(guò)項(xiàng)目領(lǐng)導(dǎo)、應(yīng)用工作組全體的通力合作,于年月完成了sse-cmm模型的第一版,年月完成了評(píng)價(jià)方法第一版。為檢驗(yàn)?zāi)P图霸u(píng)價(jià)方法的有效性,年月到年月進(jìn)行了試驗(yàn)工作。一些試驗(yàn)組織向sse-cmm及其評(píng)價(jià)模型提供了有價(jià)值的信息。年月,第二次公共安全工程研討會(huì)舉行,以明確一些與模型應(yīng)用相關(guān)的問(wèn)題,特別是關(guān)于:獲取領(lǐng)域、過(guò)程改善、及產(chǎn)品及系統(tǒng)的安全保證。由于研討會(huì)中明確了上述問(wèn)題,便成立了一個(gè)新的工作組以直接落實(shí)這些問(wèn)題,于年月完成了sse-cmm模型的第二版。 - 30copyright 2001 x-exploit teamx-exploit teamhttp:/www.
30、x-sse-cmm目的 sse-cmm確定了一個(gè)評(píng)價(jià)安全工程實(shí)施的綜合框架,提供了度量與改善安全工程學(xué)科應(yīng)用情況的方法。 sse-cmm項(xiàng)目的目標(biāo)是將安全工程發(fā)展為一整套有定義的、成熟的及可度量的學(xué)科。 sse-cmm模型及其評(píng)價(jià)方法可達(dá)到以下幾點(diǎn)目的:l將投資主要集中于安全工程工具開(kāi)發(fā)、人員培訓(xùn)、過(guò)程定義、管理活動(dòng)及改善等方面。l基于能力的保證,也就是說(shuō)這種可信性建立在對(duì)一個(gè)工程組的安全實(shí)施與過(guò)程的成熟性的信任之上的。l通過(guò)比較競(jìng)標(biāo)者的能力水平及相關(guān)風(fēng)險(xiǎn),可有效地選擇合格的安全工程實(shí)施者。 - 31copyright 2001 x-exploit teamx-exploit teamhttp
31、:/www.x-sse-cmm內(nèi)容系統(tǒng)安全工程能力成熟模型(sse-cmm)描述的是,為確保實(shí)施較好的安全工程,一個(gè)組織的安全工程過(guò)程必須具備的特征。sse-cmm描述的對(duì)象不是具體的過(guò)程或結(jié)果,而是工業(yè)中的一般實(shí)施。這個(gè)模型是安全工程實(shí)施的標(biāo)準(zhǔn),它主要涵蓋以下內(nèi)容:lsse-cmm強(qiáng)調(diào)的是分布于整個(gè)安全工程生命周期中各個(gè)環(huán)節(jié)的安全工程活動(dòng)。包括概念定義、需求分析、設(shè)計(jì)、開(kāi)發(fā)、集成、安裝、運(yùn)行、維護(hù)及更新。lsse-cmm應(yīng)用于安全產(chǎn)品開(kāi)發(fā)者、安全系統(tǒng)開(kāi)發(fā)者及集成者,還包括提供安全服務(wù)與安全工程的組織。lsse-cmm適用于各種類型、規(guī)模的安全工程組織,如:商業(yè)、政府及學(xué)術(shù)界。l盡管sse-c
32、mm模型是一個(gè)用以改善和評(píng)估安全工程能力的獨(dú)特的模型,但這并不意味著安全工程將游離于其它工程領(lǐng)域之外進(jìn)行實(shí)施。sse-cmm模型強(qiáng)調(diào)的一種集成,它認(rèn)為安全性問(wèn)題存在于各種工程領(lǐng)域之中,同時(shí)也包含在模型的各個(gè)組件之中。- 32copyright 2001 x-exploit teamx-exploit teamhttp:/www.x-sse-cmm模型構(gòu)成sse-cmm的結(jié)構(gòu)被設(shè)計(jì)以用于確認(rèn)一個(gè)安全工程組織中某安全工程各領(lǐng)域過(guò)程的成熟度。這種結(jié)構(gòu)的目標(biāo)就是將安全工程的基礎(chǔ)特性與管理制度特性區(qū)分清楚。為確保這種區(qū)分,模型中建立了兩個(gè)維度“域維”和“能力維”。“域維”包含所有集中定義安全過(guò)程的實(shí)施,
33、這些實(shí)施被稱作“基礎(chǔ)實(shí)施”?!澳芰S”代表反映過(guò)程管理與制度能力的實(shí)施。這些實(shí)施被稱作“一般實(shí)施”,這是由于它們被應(yīng)用于廣泛的領(lǐng)域?!耙话銓?shí)施”應(yīng)該作為執(zhí)行“基礎(chǔ)實(shí)施”的一種補(bǔ)充。sse-cmm模型中大約含個(gè)基礎(chǔ)實(shí)施,被分為個(gè)過(guò)程域,這些過(guò)程域覆蓋了安全工程的所有主要領(lǐng)域?;A(chǔ)實(shí)施是從現(xiàn)存的很大范圍內(nèi)的材料、實(shí)施活動(dòng)、專家見(jiàn)解之中采集而來(lái)的。這些挑選出來(lái)的實(shí)施代表了當(dāng)今安全工程組織的最高水位,它們都是經(jīng)過(guò)驗(yàn)證的實(shí)施。- 33copyright 2001 x-exploit teamx-exploit teamhttp:/www.x-模型構(gòu)成一般實(shí)施是一些應(yīng)用于所有過(guò)程的活動(dòng)。它們強(qiáng)調(diào)一個(gè)過(guò)程的
34、管理、度量與制度方面。一般而言,在評(píng)估一個(gè)組織執(zhí)行某過(guò)程的能力時(shí)要用到這些實(shí)施。一般實(shí)施被分組成若干個(gè)被稱作“共同特征”的邏輯區(qū)域,這些“共同特征”又被分作五個(gè)能力水平,分別代表組織能力的不同層次。與域維中的基礎(chǔ)實(shí)施不同的是,能力維中的一般實(shí)施是根據(jù)成熟性進(jìn)行排序的。因此,代表較高過(guò)程能力的一般實(shí)施會(huì)位于能力維的頂層。sse-cmm模型的五個(gè)能力水平如下:l級(jí)別:“非正式執(zhí)行級(jí)”。這一級(jí)別將焦點(diǎn)集中于一個(gè)組織是否將一個(gè)過(guò)程所含的所有基礎(chǔ)實(shí)施都執(zhí)行了。l級(jí)別:“計(jì)劃并跟蹤級(jí)”。主要集中于項(xiàng)目級(jí)別的定義、計(jì)劃與實(shí)施問(wèn)題。l級(jí)別3:“良好定義級(jí)”。集中于在組織的層次上有原則地將對(duì)已定義過(guò)程進(jìn)行篩選。
35、l級(jí)別:“定量控制級(jí)”。焦點(diǎn)在于與組織的商業(yè)目標(biāo)相結(jié)合的度量方法。盡管在起始階段就十分必要對(duì)項(xiàng)目進(jìn)行度量,但這并不是在整個(gè)組織范圍內(nèi)進(jìn)行的度量。直到組織已達(dá)到一個(gè)較高的能力水平時(shí)才可以進(jìn)行整個(gè)組織范圍內(nèi)的度量。l級(jí)別:“持續(xù)改善級(jí)”。在前幾個(gè)級(jí)別進(jìn)行之后,我們從所有的管理實(shí)施的改進(jìn)中已經(jīng)收到成效。這時(shí)需要強(qiáng)調(diào)必須對(duì)組織文化進(jìn)行適當(dāng)調(diào)整以支撐所獲得的成果。 - 34copyright 2001 x-exploit teamx-exploit teamhttp:/www.x-sse-cmm應(yīng)用sse-cmm模型適用于所有從事某種形式安全工程的組織,而不必考慮產(chǎn)品的生命周期、組織的規(guī)模、領(lǐng)域及特殊性
36、。這一模型通常以下述三種方式來(lái)應(yīng)用:“過(guò)程改善”l可以使一個(gè)安全工程組織對(duì)其安全工程能力的級(jí)別有一個(gè)認(rèn)識(shí),于是可設(shè)計(jì)出改善的安全工程過(guò)程,這樣就可以提高他們的安全工程能力?!澳芰υu(píng)估” l使一個(gè)客戶組織可以了解其提供商的安全工程過(guò)程能力?!氨WC” l通過(guò)聲明提供一個(gè)成熟過(guò)程所應(yīng)具有的各種依據(jù),使得產(chǎn)品、系統(tǒng)、服務(wù)更具可信性。目前,sse-cmm已經(jīng)成為西方發(fā)達(dá)國(guó)家政府、軍隊(duì)和要害部門(mén)組織和實(shí)施安全工程的通用方法,是系統(tǒng)安全工程領(lǐng)域里成熟的方法體系,在理論研究和實(shí)際應(yīng)用方面具有舉足輕重的作用。在模型的應(yīng)用方面,德州儀器(美) 和參與模型建立的一些公司采用該模型指導(dǎo)安全工程活動(dòng),可以在提供過(guò)程能力
37、的同時(shí)有效地降低成本。 - 35copyright 2001 x-exploit teamx-exploit teamhttp:/www.x-cvecvecopyright 2001 x-exploit teamx-exploit teamhttp:/www.x- 36copyright 2001 x-exploit teamx-exploit teamhttp:/www.x-關(guān)于cve信息系統(tǒng)安全問(wèn)題的列表或目錄,不是一個(gè)數(shù)據(jù)庫(kù);弱點(diǎn)漏洞(vulnerabilities)lproblems that are universally thought of as “vulnerabilities
38、” in any security policylsoftware flaws that could directly allow serious damagelphf, tooltalk, smurf, rpc.cmsd, etc.攻擊方法(exposures)lproblems that are sometimes thought of as “vulnerabilities” in some security policieslstepping stones for a successful attacklrunning finger, poor logging practices, e
39、tc.- 37copyright 2001 x-exploit teamx-exploit teamhttp:/www.x-cvediscoverymailing lists, newsgroups, hacker sitesanalysisacademic studyadvisoriesprotectionvulnerability assessment toolscollectiondatabasesnewslettersdetectionintrusion detection systemsincidenthandlingincident response teamsincident r
40、eportsstart herecve來(lái)源- 38copyright 2001 x-exploit teamx-exploit teamhttp:/www.x-為什么需要cve provide common language for referring to problems facilitate data sharing betweenlidseslassessment toolslvulnerability databaseslacademic researchlincident response teams foster better communication across the community get better tools that interoperate across multiple vendors- 39copyright 2001 x-exploit teamx-exploit teamhttp:/www.x-cve分級(jí)submissionsraw informationobtained from mitre, board members, and other data feedscombined and refinedcandidatesplaced in clustersproposed to editorial boardaccepte
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024年土地承包經(jīng)營(yíng)權(quán)抵押擔(dān)保合同樣本解析3篇
- 2024版分款協(xié)議書(shū):餐飲行業(yè)分批付款合同模板3篇
- 2024年土地承包經(jīng)營(yíng)權(quán)流轉(zhuǎn)及項(xiàng)目管理合同3篇
- 2024年度高端防火門(mén)定制安裝合同范本3篇
- 2024版工業(yè)廠房租賃合同模板(含配套設(shè)施建設(shè)要求)3篇
- 2024年度中介提供房屋交易法律咨詢合同3篇
- 2024年度商務(wù)咨詢服務(wù)合同履行進(jìn)度與進(jìn)度款支付協(xié)議3篇
- 2024年度水電設(shè)備檢修與保養(yǎng)合同屋3篇
- 2024年度個(gè)人抵押借款合同操作指南3篇
- 2024年度農(nóng)產(chǎn)品加工投資顧問(wèn)合同3篇
- 圖文轉(zhuǎn)換-圖表(小題訓(xùn)練)(解析版)-2025年部編版中考語(yǔ)文一輪復(fù)習(xí)
- 七上語(yǔ)文期末考試復(fù)習(xí)計(jì)劃表
- 2024兒童青少年抑郁治療與康復(fù)痛點(diǎn)調(diào)研報(bào)告 -基于患者家長(zhǎng)群體的調(diào)研
- 大數(shù)據(jù)+治理智慧樹(shù)知到期末考試答案章節(jié)答案2024年廣州大學(xué)
- 江蘇省建筑與裝飾工程計(jì)價(jià)定額(2014)電子表格版
- 山東省煙臺(tái)市2023-2024學(xué)年高二上學(xué)期期末考試數(shù)學(xué)試卷(含答案)
- 2024年中國(guó)鐵路南寧局集團(tuán)招聘筆試參考題庫(kù)含答案解析
- 國(guó)家開(kāi)放大學(xué)化工節(jié)能課程-復(fù)習(xí)資料期末復(fù)習(xí)題
- 2023年云南滇中新區(qū)事業(yè)單位招聘30人筆試參考題庫(kù)(共500題)答案詳解版
- GB 18613-2020 電動(dòng)機(jī)能效限定值及能效等級(jí)
- 小學(xué)寫(xiě)字閱讀考核實(shí)施方案
評(píng)論
0/150
提交評(píng)論