國內(nèi)外信息安全標準與信息安全模型經(jīng)典.經(jīng)典.pptx課件

1、國內(nèi)外信息安全標準與模型精品文檔1信息安全標準概述國際標準 ISO/IEC 系列信息安全標準國際標準 COBIT 國內(nèi)標準 等級保護安全標準的總結(jié)問題與回答提綱精品文檔2信息安全標準概述信息安全的重要性得到廣泛的關(guān)注。與此同時，國際和國內(nèi)的各種官方和科研機構(gòu)都發(fā)布了大量的安全標準。這些標準都是為實現(xiàn)安全目標而服務(wù)，并從不同的角度對如何保障組織的信息安全提供了指導(dǎo)。第 3 頁精品文檔3信息安全標準的演進第 4 頁精品文檔4主要的信息安全標準國際標準發(fā)布的機構(gòu)安全標準1ISO（國際標準組織）ISO17799/ISO27001/ISO27002ISO/IEC 15408ISO/IEC 13335IS

2、O/TR 135692ISACA（信息系統(tǒng)審計與控制學(xué)會）COBIT 4.13ISSEA（國際系統(tǒng)安全工程協(xié)會）SSE-CMM Systems Security Engineering - Capability Maturity Model 3.04ISSA（信息系統(tǒng)安全協(xié)會）GAISP Version 3.05ISF (信息安全論壇）The Standard of Good Practice forInformation Security6IETF （互聯(lián)網(wǎng)工程任務(wù)小組）各種RFC （Request for Comments）5主要的信息安全標準國際標準(續(xù)）發(fā)布的機構(gòu)安全標準7NIST（國

3、家標準和技術(shù)研究所）NIST 800系列8DOD (美國國防部)TCSEC（可信計算機系統(tǒng)評測標準） 彩虹系列9Carnegie Mellon Software Engineering Institute (SEI) Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) Criteria Version 2.010OECD（經(jīng)濟與貿(mào)易發(fā)展組織）Guidelines for the Security of InformationSystems and Networks and AssociatedI

4、mplementation Plan11The Open GroupManagers Guide to Information Security12ITILSecurity management除了上述標準，世界各國的官方機構(gòu)和行業(yè)監(jiān)管機構(gòu)還有許多信息安全方面的標準、指引和建議的操作實踐。第 6 頁第 6 頁提綱信息安全標準概述國際標準 ISO/IEC 系列信息安全標準國際標準 COBIT 國內(nèi)標準 等級保護安全標準的比較問題與回答第 7 頁精品文檔7主要的信息安全標準國內(nèi)標準發(fā)布的機構(gòu)安全標準1全國信息安全標準化技術(shù)委員會等級保護系列標準信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求信息安全技術(shù)

5、 信息系統(tǒng)安全等級保護定級指南 信息安全技術(shù) 信息系統(tǒng)安全等級保護實施指南其他信息安全標準 截至2007年底，共完成了國家標準59項，還有56項國家標準在研制中。2公安部、安全部、國家保密局、國家密碼管理委員會等部門 一系列的信息安全方面的政策法規(guī)如：計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法 互聯(lián)網(wǎng)信息服務(wù)管理辦法計算機信息系統(tǒng)保密管理暫行規(guī)定 計算機軟件保護條例商用密碼管理條例，等。第 8 頁第 8 頁在下面的課程中，我們會主要介紹以下標準：ISO系列安全標準，包括ISO17799/ISO27001/ISO27002ISO/IEC 15408ISO/IEC 13335ISO/TR 13569I

6、SACA的COBIT 4.1全國信息安全標準化技術(shù)委員會的等級保護系列標準第 9 頁課程主要內(nèi)容精品文檔9目錄信息安全標準概述國際標準 ISO/IEC 系列信息安全標準國際標準 COBIT國內(nèi)標準 等級保護安全標準的總結(jié)問題與回答精品文檔10國際標準化組織簡介國際標準化組織 (International Organization for Standardization)是由多國聯(lián)合組成的非政府性國際標準化機構(gòu)。到目前為止，ISO有正式成員國120多個。國際標準化組織1946年成立于瑞士日內(nèi)瓦，負責(zé)制定在世界范圍內(nèi)通用的國際標準；ISO技術(shù)工作是高度分散的，分別由2700多個技術(shù)委員會(TC)、

7、分技術(shù)委員會(SC)和工作組(WG)承擔(dān)。ISO技術(shù)工作的成果是正式出版的國際標準，即ISO標準。ISO在信息安全方面的標準主要包括：ISO17799/ISO27001/ISO27002ISO/IEC 15408ISO/IEC 13335ISO/TR 13569第 11 頁精品文檔11關(guān)于ISO/IEC 17799/27001/27002ISO/IEC17799是由國際標準化組織（ISO）與 IEC （國際電工委員會）共同成立的聯(lián)合技術(shù)委員會 ISO/IEC JTC 1，以英國標準 BS7799為藍本而制定的一套全面和復(fù)雜的信息安全管理標準。ISO/IEC17799于2000年正式頒布。ISO

8、/IEC 17799標準由兩部分構(gòu)成:第一部分是信息安全管理體系的實施指南，相當(dāng)于BS7799-1;第二部分是信息安全管理體系規(guī)范，相當(dāng)于BS7799-2。 ISO/IEC 17799標準的內(nèi)容涉及10個領(lǐng)域，36個管理目標和127個控制措施。2005年 ISO17799更名為ISO27001和ISO27002，分別為：ISO/IEC 27001:2005 Information technology - Security techniques - Information security management systems RequirementsISO/IEC 27002:2005 In

9、formation technology - Security techniques - Code of practice for information security management2007年 ISO又頒布了Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems.第 12 頁精品文檔12ISO/IEC17799模型ISO/IEC 17799標準的

10、內(nèi)容涉及10個領(lǐng)域，36個控制目標和127個控制措施。 第 13 頁精品文檔13ISO17799模型Security PolicyAssetClassificationAnd ControlSecurityOrganization紀錄和溝通信息系統(tǒng)政策和法規(guī)的審核分配職責(zé)和分工，第3方授權(quán)，風(fēng)險/控制的外包資產(chǎn)的保存，對于敏感/商業(yè)風(fēng)險的區(qū)分第 14 頁精品文檔14ISO17799模型PersonalSecurity Comm/OpsManagementPhysical and EnvironmentSecurity員工聘請，知識培訓(xùn)，事故報告等物理安全參數(shù)，設(shè)備保護，桌面及電腦的重要文件的保

11、護事故流程，職責(zé)分離，系統(tǒng)規(guī)劃，電子郵件控制第 15 頁精品文檔15ISO17799模型AccessControlBusinessContinuityPlanningSystemDevelopmentandMaintenance權(quán)限管理：包括應(yīng)用系統(tǒng)，操作系統(tǒng)，網(wǎng)絡(luò)變更控制，環(huán)境劃分，安全設(shè)備商業(yè)可持續(xù)性計劃及其框架，測試計劃以及計劃的維護和更新Compliance版權(quán)控制，記錄和信息的保存，數(shù)據(jù)保護，公司制度的服從第 16 頁精品文檔16ISO/IEC 27001/27002:2005的內(nèi)容總共分成11個領(lǐng)域、39個控制目標、133個控制措施。11個領(lǐng)域包括A.1SecurityPolicy

12、A.2organizationofinformationsecurityA.3AssetmanagementA.4HumanresourcessecurityA.5PhysicalandenvironmentalsecurityA.6CommunicationsandoperationsmanagementA.7AccesscontrolA.8Informationsystemsacquisition,developmentandmaintenanceA.9InformationsecurityincidentmanagementA.10Businesscontinuitymanagement

13、A.11Compliance第 17 頁精品文檔17關(guān)于ISO/IEC1540890年代開始，由于Internet的日益普及，信息安全領(lǐng)域呼吁修改桔皮書，以解決商用信息系統(tǒng)安全問題。1991年歐盟(European Commission) 頒布了ITSEC (Information Technology Security Evaluation Criteria,信息技術(shù)安全評估準則)。在此基礎(chǔ)上，美國、加拿大、英國、法國等7國組織聯(lián)合研制了“信息技術(shù)評估安全公共準則”（CC：Common Criteria）。1999年6月ISO通過了ISO/IEC 15408 安全評估準則 （ISO/IEC

14、15408:1999 Security TechniquesEvaluation Criteria for IT Security）。目前的最新版本于2005年發(fā)布。ISO/IEC 15408是基于多個標準而產(chǎn)生的，它的演進過程如下圖所示：第 18 頁精品文檔18ISO/IEC 15408的內(nèi)容ISO/IEC 15408由以下三部分組成：第一部分：介紹和一般模型第二部分：安全功能需求第三部分：安全認證需求ISO/IEC 15408準則比以往的其他信息技術(shù)安全評估標準更加規(guī)范，采用以下方式定義：類別（CLASS）；認證族（ASSURANCE FAMILY）；認證部件（ASSURANCE COMP

15、ONENT）；認證元素（ASSURANCE ELEMENT）。其中類別中有若干族，族中有若干部件，部件中有若干元素。第 19 頁精品文檔19ISO/IEC 15408的特點ISO/IEC 15408 信息技術(shù)安全評估準則中討論的是TOE （target of evaluation), 即評估對象。該準則關(guān)注于評估對象的安全功能，安全功能執(zhí)行的是安全策略。ISO/IEC 15408 定義了安全屬性，包括用戶屬性、客體屬性、主體屬性、和信息屬性。ISO/IEC 15408加強了完整性和可用性的防護措施，強調(diào)了抗抵賴性的安全要求。ISO/IEC 15408 還定義了加密的要求，強調(diào)對用戶的隱私保護。

16、ISO/IEC 15408還討論了某些故障、錯誤和異常的安全保護問題。第 20 頁精品文檔20ISO/IEC15408的類別ISO/IEC 15408中，類別（class) 代表最概括的分類和定義方式。包括:安全功能類別，共11個， 分別為安全審計、通信、加密支持、用戶數(shù)據(jù)防護、標識與鑒別、安全管理、隱私、安全功能的防護、資源利用、對評估對象的訪問、可信通路/通道。安全認知類別，共8個，分別為配置管理、遞交和操作、開發(fā)、指南文檔、生存期支持、測試、脆弱性評估、認證維護。評估認證級別類別，共7個，分別為評估功能測試、結(jié)構(gòu)測試、方法測試和檢查、半形式設(shè)計和測試、半形式驗證設(shè)計和測試、形式驗證設(shè)計和

17、測試。評估類別，共3個，包括2個預(yù)評估類別和TOE評估（即評估對象的評估）。其中預(yù)評估類別分別為：防護框架評估（Protection Profile evaluation,簡稱PP評估）: 評估的一般是某類安全產(chǎn)品，如防火墻等，提出測評的常為是行業(yè)組織；安全目標評估 （Security Target evaluation, 簡稱ST評估）：評估的一般是某一類的特定產(chǎn)品，如某品牌的防火墻，提出測評的常為廠商。第 21 頁精品文檔21ISO/IEC15408的評估方法對于信息系統(tǒng)和產(chǎn)品進行安全認證ISO/IEC15408通常采用如下方法進行評估：分析和檢查進程與過程檢查進程和過程被應(yīng)用的情況分析T

18、OE設(shè)計表示一致性分析TOE設(shè)計表示與需求的滿足性驗證分析指南文檔分析功能測試和測試結(jié)果獨立功能測試分析脆弱性（包括漏洞假說）侵入測試等（TOE是評估對象（Target of Evaluation）的縮寫）第 22 頁精品文檔22關(guān)于ISO/IEC 13335 ISO/IEC 13335 Information TechnologyGuidelines for the Management of IT Security 是一套關(guān)于信息安全管理的技術(shù)文件，共由五個部分組成，這五個組成部分分別在1996至2001年間發(fā)布。第一部分：安全概念和模型 （Part 1Concepts and Model

19、s for IT Security ），發(fā)布于1996年12月15日。第二部分：安全管理和規(guī)劃 （Part 2Managing and Planning IT Security），發(fā)布于1997年12月15日。第三部分：安全管理技術(shù)（Part 3Techniques for the Management of IT Security），發(fā)布于1998年6月15日。第四部分：保護的選擇 （Part 4Selection of Safeguards），發(fā)布于2000年3月1日。第五部分：外部聯(lián)接的防護（Part 5Management Guidance on Network Security），發(fā)

20、布于2001年1月2日。其中第一部分分別于1997年和2004年發(fā)布了更新版本。第 23 頁精品文檔23關(guān)于ISO13569ISO13569的全稱為ISO/TR 13569:2005 Financial services - Information security guidelines。 它提供了對于金融服務(wù)行業(yè)機構(gòu)的信息安全程序開發(fā)的指導(dǎo)方針。它包括了對制度，組織結(jié)構(gòu)和法律法規(guī)等內(nèi)容的討論。該標準對組織選擇和實施安全控制，和金融機構(gòu)用于管理信息安全風(fēng)險的要素進行了闡述。ISO13569于1997年首次發(fā)布，分別于2003年和2005年更新，目前的最新版本為2005年的版本。第 24 頁精品

21、文檔24ISO/IEC 13569的主要內(nèi)容ISO/IEC 13569是針對金融行業(yè)的信息安全標準，包括以下主要內(nèi)容：組織的IT安全政策IT安全管理風(fēng)險分析和評估安全保護的實施和選擇IT系統(tǒng)保護金融服務(wù)行業(yè)專題，包括如銀行卡、電子資金傳輸(Electronic Fund Transfer)、支票、電子商務(wù)等內(nèi)容；另外，還包括如加密、審計、事件管理等專項討論。第 25 頁精品文檔25提綱信息安全標準概述國際標準 ISO/IEC 系列信息安全標準國際標準 COBIT 國內(nèi)標準 等級保護安全標準的比較問題與回答第 26 頁精品文檔26COBIT簡介COBIT（ControlObjectivesfor

22、InformationandrelatedTechnology）是由信息系統(tǒng)審計與控制學(xué)會ISACA（InformationSystemsAuditandControlAssociation）在1996年所公布的控制框架；目前已經(jīng)更新至第4.1版;COBIT的主要目的是研究、發(fā)展、宣傳權(quán)威的、最新的國際化的公認信息技術(shù)控制目標以供企業(yè)經(jīng)理、IT專業(yè)人員和審計專業(yè)人員日常使用。COBIT框架共有34個IT的流程，分成四個領(lǐng)域：PO（計劃與組織）、AI（獲取與實施）、DS（交付與支持）、和ME（監(jiān)控與評估）。第 27 頁精品文檔27COBIT來源1992年：ISACF (Information S

23、ystem Audit and Control Foundation)發(fā)起，參閱全球不同國家、政府、標準組織的26份文件后，基于其中之18份文件，研擬COBIT，同時籌組COBIT指導(dǎo)委員會(Steering Committee)。1996年：COBIT指導(dǎo)委員會公布COBIT第一版。1998年：COBIT指導(dǎo)委員會公布COBIT第二版，將第一版之32個高級控制目標(High Level Control Objectives)擴充成34個。2000年：COBIT指導(dǎo)委員會公布COBIT第三版。2005年： COBIT指導(dǎo)委員會公布COBIT第四版。2007年：發(fā)布COBIT 4.1版，為目前最

24、新版本。第 28 頁精品文檔28COBIT涉及領(lǐng)域商業(yè)目標及IT治理目標效率應(yīng)用系統(tǒng)信息基礎(chǔ)架構(gòu)人力交付與支持監(jiān)控與評估獲得與實施信息IT資源CobiT框架效果保密性完整性可用性合規(guī)性DS1 定義和管理服務(wù)水平DS2 管理第三方服務(wù)DS3 性能管理和容量管理DS4 確保服務(wù)的連續(xù)性DS5 確保系統(tǒng)安全DS6 確定并分配成本DS7 教育和培訓(xùn)用戶DS8 服務(wù)臺和緊急事件管理DS9 配置管理DS10 問題管理DS11 數(shù)據(jù)管理DS12 物理環(huán)境管理DS13 運營管理ME1 監(jiān)控和評價IT績效ME2 監(jiān)控和評價內(nèi)部控制ME3 確保與法律的符合性ME4 提供IT治理P01 定義IT戰(zhàn)略計劃P02 定義

25、IT信息架構(gòu)P03 確定技術(shù)導(dǎo)向P04 定義IT過程/組織和關(guān)系P05 IT投資管理P06 傳遞管理目標和方向P07 IT人力資源管理P08 質(zhì)量管理P09 IT風(fēng)險評估及管理P10 項目管理AI1 識別自動化解決方案AI2 獲取并維護應(yīng)用軟件AI3 獲取并維護技術(shù)基礎(chǔ)設(shè)施AI4 保障運營和使用AI5 獲取IT資源AI6 變革管理AI7 安裝/授權(quán)解決方案和變更計劃與組織可靠性第 29 頁精品文檔29COBIT的組件實施概要管理層指引具體控制目標構(gòu)架伴隨高級控制目標關(guān)鍵職能和目標說明關(guān)鍵的成功因素成熟的模板審計指引實施工具第 30 頁精品文檔30COBIT框架的原理控制領(lǐng)域(Domains)流

26、程(Processes)活動(Activities/Tasks)人 力 資 源應(yīng) 用 系 統(tǒng)基 礎(chǔ) 架 構(gòu)信 息信息技術(shù)資源可信賴性需求質(zhì) 量 需 求信 息 處 理 要 求信息技術(shù)流程 安 全 性 需 求第 31 頁精品文檔31COBIT框架的原理IT流程管理各種IT資源，以產(chǎn)生、傳遞并存儲可滿足業(yè)務(wù)需求的各種信息。CobiT中定義的IT資源包括如下方面：應(yīng)用系統(tǒng)：處理信息的自動化信息系統(tǒng)及相應(yīng)手冊程序信息：信息系統(tǒng)輸入、處理和輸出的所有形式的數(shù)據(jù)，可以被業(yè)務(wù)以任何形式使用基礎(chǔ)架構(gòu)：保障應(yīng)用系統(tǒng)處理信息所需的技術(shù)和設(shè)施（硬件、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、網(wǎng)絡(luò)、多媒體，以及放置上述設(shè)施所需的環(huán)境）

27、人員：策劃、組織、采購、實施、交付、支持、監(jiān)控和評價信息系統(tǒng)和服務(wù)所需的人員，可以是內(nèi)部的也可以是外部的應(yīng)用系統(tǒng)信息基礎(chǔ)架構(gòu)人員IT 資源信息處理要求IT 流程第 32 頁精品文檔32提綱信息安全標準概述國際標準 ISO/IEC 系列信息安全標準國際標準 COBIT 國內(nèi)標準 等級保護安全標準的總結(jié)問題與回答第 33 頁精品文檔33全國信息安全標準化技術(shù)委員會簡介中國從1984年開始就組建了數(shù)據(jù)加密技術(shù)委員會，并在1997年8月，將該委員會改組為全國信息技術(shù)標準化分技術(shù)委員會，主要負責(zé)制定信息安全的國家標準。2001年，國家標準化管理委員會批準成立全國信息安全標準化技術(shù)委員會，簡稱“全國安標委

28、”。標準委員會的標號是TC260。 全國信息安全標準化技術(shù)委員會包括四個工作組：信息安全標準體系與協(xié)調(diào)工作組PKI和PMI工作組信息安全評估工作組信息安全管理工作組截至2007年底，全國信息安全標準化技術(shù)委員會已經(jīng)完成了國家標準59項，還有56項國家標準在研制中。第 34 頁精品文檔34等級保護是什么？等級保護基本概念：信息系統(tǒng)安全等級保護是指對信息安全實行等級化保護和等級化管理根據(jù)信息系統(tǒng)應(yīng)用業(yè)務(wù)重要程度及其實際安全需求，實行分級、分類、分階段實施保護，保障信息安全和系統(tǒng)安全正常運行，維護國家利益、公共利益和社會穩(wěn)定。等級保護的核心是對信息系統(tǒng)特別是對業(yè)務(wù)應(yīng)用系統(tǒng)安全分等級、按標準進行建設(shè)、

29、管理和監(jiān)督。國家對信息安全等級保護工作運用法律和技術(shù)規(guī)范逐級加強監(jiān)管力度。突出重點，保障重要信息資源和重要信息系統(tǒng)的安全。第 35 頁精品文檔35等級保護法律和政策依據(jù)中華人民共和國計算機信息系統(tǒng)安全保護條例第二章安全保護制度部分規(guī)定：“計算機信息系統(tǒng)實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關(guān)部門制定?！庇嬎銠C信息系統(tǒng)安全保護等級劃分準則GB17859-1999（技術(shù)法規(guī)）規(guī)定：“國家對信息系統(tǒng)實行五級保護?！眹倚畔⒒I(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見重點強調(diào)：“實行信息安全等級保護制度，重點保護基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)?！钡?36 頁精品文檔36等

30、級保護的分級等級保護分為5級管理制度：第一級，自主保護級：信息系統(tǒng)受到破壞后，會對公民，法人和其他組織的合法權(quán)益造成損害，但不損害國家安全，社會秩序和公共利益。第二級，指導(dǎo)保護級：信息系統(tǒng)受到破壞后，會對公民，法人和其他組織的合法權(quán)益造成嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級，監(jiān)督保護級：信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。第四級，強制保護級：信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成嚴重損害。第五級，?？乇Ｗo級：信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。第 37 頁精品文檔37安

31、全保護要素與等級關(guān)系業(yè)務(wù)信息安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級第 38 頁38等級保護監(jiān)管級別與等級對應(yīng)情況等級對象侵害客體侵害程度監(jiān)管強度第一級一般系統(tǒng)合法權(quán)益損害自主保護第二級合法權(quán)益嚴重損害指導(dǎo)社會秩序和公共利益損害第三級重要系統(tǒng)社會秩序和公共利益嚴重損害監(jiān)督檢查國家安全損害第四級社會秩序和公共利益特別嚴重損害強制監(jiān)督檢查國家安全嚴重損害第五級極端重要系統(tǒng)國家安全特別嚴重損害專門監(jiān)督檢查39等級保護定級流程信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，與之相關(guān)的受侵害客體和對客體得侵害程度可能不同，因此信息系統(tǒng)定級也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。具體流程為：確定業(yè)務(wù)信息安全受到破壞時所侵害的客體綜合評定對客體的侵害程度確定定級對象業(yè)務(wù)信息安全等級定級對象的安全保護等級確定系統(tǒng)服務(wù)安全受到破壞時所侵害的客體綜合評定對客體的侵害程度系統(tǒng)服務(wù)安全等級第 40 頁精品文檔40等級保護定級對象確定作為定級對象的信息系統(tǒng)應(yīng)具有如下基本特征：具有唯一確定的安全責(zé)任單位能夠唯一地確定其安全責(zé)任單位具有信息系統(tǒng)的基本要素承載單一或相對獨立的業(yè)務(wù)應(yīng)用第 41 頁精品文檔41等級保護的基本要求信息系統(tǒng)安