BS7799与SSE-CMM的对比研究
信息与网络安全标准与规范
建立管理框架
确立并验证管理目标和管理办法时需采取如下步骤: 定义信息安全策略 定义信息安全管理体系的范围,包括定义该组织的特征、地点、资产和技术等方 面的特征 进行合理的风险评估,包括找出资产面临的威胁、弱点、对组织的冲击、风险的 强弱程度等等 根据组织的信息安全策略及所要求的安全程度,决定应加以管理的风险领域 选出合理的管理标的和管理办法,并加以实施;选择方案时应做到有法可依 准备可行性声明是指在声明中应对所选择的管理标的和管理办法加以验证,同时 对选择的理由进行验证,并对第四章中排除的管理办法进行记录 对上述步骤的合理性应按规定期限定期审核。
X-Exploit Team
-8
Copyright 2001 X-Exploit Team
CC的先进性…
结构和表达方式的内在完备性和实用性 体现在“保护轮廓”和“安全目标”的编制上。 “保护轮廓”主要用于表达一类产品或系统的用户需求,在标准化体系中可以作为安全技术 类标准对待。 内容主要包括: 对该类产品或系统的界定性描述,即确定需要保护的对象; 确定安全环境,即指明安全问题——需要保护的资产、已知的威胁、用户的组织安全 策略; 产品或系统的安全目的,即对安全问题的相应对策——技术性和非技术性措施; 信息技术安全要求,包括功能要求、保证要求和环境安全要求,这些要求通过满足安 全目的,进一步提出具体在技术上如何解决安全问题; 基本原理,指明安全要求对安全目的、安全目的对安全环境是充分且必要的; 附加的补充说明信息。 “保护轮廓”编制,一方面解决了技术与真实客观需求之间的内在完备性; 另一方面用户通过分析所需要的产品和系统面临的安全问题,明确所需的安全策略, 进而确定应采取的安全措施,包括技术和管理上的措施,这样就有助于提高安全保护 的针对性、有效性。 “安全目标”在“保护轮廓”的基础上,通过将安全要求进一步针对性具体化,解决 了要求的具体实现。常见的实用方案就可以当成“安全目标”对待。 通过“保护轮廓”和“安全目标”这两种结构,就便于将CC的安全性要求具体应用到 IT产品的开发、生产、测试、评估和信息系统的集成、运行、评估、管理中。 X-Exploit Team
信息安全风险分析及其对应急管理的建议
信息安全风险分析及其对应急管理的建议发表时间:2019-03-13T16:09:56.383Z 来源:《中国西部科技》2019年第1期作者:宋亭亭[导读] 政府以及研究机构始终高度关注突发事件应急管理工作。
在实际分析信息安全与突发事件应急管理时,可从多个方面着手,其中主要包括基本理念、安全标准以及风险分析等。
将全新的信息安全风险管理工作以及研究成果,逐步渗透到广阔领域的突发事件应急管理当中,这对突发事件应急管理工作的进一步发展有推动作用。
本文主要针对信息安全分析以及应急管理的措施进行探究。
黑龙江省大兴安岭地区应急管理局我国各个层次于2003年开始逐步提高,对突发事件应急管理工作的重视程度。
政府设置的应急管理办公室机构,可充分证明我国对突发事件应急管理工作的重视。
在不断发展中,突发事件立法工作取得较为明显的进步。
各位研究者在学术界也开始加大对突发事件应急管理的研究力度。
在信息安全领域同样涉及到应急管理工作。
在实际面对突发事件管理时,必须充分结合突发事件以及应急管理工作的整体特征。
一、信息安全风险的基本模型一般意义上,风险(Risk)的构成包含了两个基本变量:后果(1mpact)和可能性(Likelihood)。
根据IS015408、BS7799、SSE-CMM等安全标准所包涵的基于风险的安全理念,信息资产面临的威胁以及信息资产自身的脆弱性决定了安全破坏事件发生的"可能性"(Likelihood);信息资产自身的价值和威胁的严重程度决定了安全破坏事件的"后果"(1mpact)。
因此资产、威胁和脆弱性成为信息安全风险评估中必须赋值的三个要素,这三个要素之间的相互作用,决定了风险发生的后果和可能性,从而形成了风险的描述。
资产、威胁、脆弱性这三个要素构成了逻辑上不可分割的有机整体:1.信息资产表明了对象的重要性和必要性。
2.威胁是有能力造成安全事件并可能造成系统、组织和资产损害的环境因素。
计算机信息网络安全员培训试题8
计算机信息⽹络安全员培训试题8计算机信息⽹络安全员培训试题8在实现信息安全的⽬标中,信息安全技术和管理之间的关系以下哪种说法不正确?1>产品和技术,要通过管理的组织职能才能发挥最好的作⽤2>技术不⾼但管理良好的系统远⽐技术⾼但管理混乱的系统安全3>信息安全技术可以解决所有信息安全问题,管理⽆关紧要4>实现信息安全是⼀个管理的过程,⽽并⾮仅仅是⼀个技术的过程Cid=19 gid=69在实现信息安全的⽬标中,以下哪⼀项措施值得我们推⼴1>管理层明显的⽀持和承诺2>有效地向所有管理⼈员和员⼯推⾏安全措施3>为全体员⼯提供适当的信息安全培训和教育4>⼀整套⽤于评估信息安全管理能⼒和反馈建议的测量系统5>以上答案都是Eid=20 gid=70以下哪个标准是信息安全管理国际标准?1>ISO9000-20002>SSE-CMM3>ISO177994>ISO15408Cid=21 gid=71ISO17799是由以下哪个标准转化⽽来的?1>BS7799-12>BS7799-23>SSE-CMM4>橘⽪书Aid=22 gid=72我们经常说的CC指的是以下哪⼀个标准1>TCSEC2>SSE-CMM3>ISO177994>ISO15408Did=23 gid=73信息安全管理体系中的“管理”是指1>⾏政管理2>对信息、⽹络、软硬件等物的管理3>管辖4>通过计划、组织、领导、控制等环节来协调⼈⼒、物⼒、财⼒等资源,以期有效达到组织信息安全⽬标的活动Did=24 gid=74信息安全管理体系是指1>实现信息安全管理的⼀套计算机软件2>实现信息安全管理的⼀套组织结构3>建⽴信息安全⽅针和⽬标并实现这些⽬标的⼀组相互关联相互作⽤的要素4>实现信息安全管理的⾏政体系Cid=25 gid=75信息安全管理体系中要素通常包括1>信息安全的组织机构2>信息安全⽅针和策略3>⼈⼒、物⼒、财⼒等相应资源4>各种活动和过程5>以上都是Eid=26 gid=76信息安全⽅针是⼀个组织实现信息安全的⽬标和⽅向,它应该1>由组织的最⾼领导层制定并发布2>定期进⾏评审和修订3>贯彻到组织的每⼀个员⼯4>以上各项都是Did=27 gid=77确定信息安全管理体系的范围是建设ISMS的⼀个重要环节,它可以根据什么1>组织结构如部门2>所在地域3>信息资产的特点4>以上各项都是Did=28 gid=78信息安全风险评估应该1>只需要实施⼀次就可以2>根据变化了的情况定期或不定期的适时地进⾏3>不需要形成⽂件化评估结果报告4>仅对⽹络做定期的扫描就⾏Bid=29 gid=79信息安全风险管理应该1>将所有的信息安全风险都消除2>在风险评估之前实施3>基于可接受的成本采取相应的⽅法和措施4>以上说法都不对Cid=30 gid=80选择信息安全控制措施应该1>建⽴在风险评估的结果之上2>针对每⼀种风险,控制措施并⾮唯⼀3>反映组织风险管理战略4>以上各项都对Did=31 gid=81关于PDCA循环,以下哪⼀种说法不正确1>PDCA循环是计划-实施-检查-改进的⼀次性活动2>PDCA循环是按计划-实施-检查-改进的顺序进⾏,靠组织的⼒量推动的周⽽复始、不断循环的活动3>组织中的每个部分,甚⾄个⼈,均可运⾏PDCA循环,⼤环套⼩环,⼀层⼀层地解决问题4>每进⾏⼀次PDCA 循环,都要进⾏总结,提出新⽬标,再进⾏第⼆次PDCAAid=32 gid=82过程是指1>⼀组将输⼊转化为输出的相互关联或相互作⽤的活动2>⼀个从起点到终点的时间段3>⼀组有始有终的活动4>⼀组从开始到结束的相互关联相互作⽤的活动Aid=33 gid=83如果把组织实现信息安全⽬标的活动看作是⼀个过程,那么这个过程的输⼊和输出分别是1>信息安全解决⽅案和信息安全项⽬验收2>信息安全要求和信息安全要求的实现3>信息安全产品和解决信息安全事件4>信息不安全和信息安全Bid=34 gid=84关于实现信息安全过程的描述,以下哪⼀项论述不正确1>信息安全的实现是⼀个⼤的过程,其中包含许多⼩的可细分过程2>组织应该是别信息安全实现中的每⼀个过程3>对每⼀个分解后的信息安全的过程实施监控和测量4>信息安全的实现是⼀个技术的过程Did=35 gid=85以下哪⼀项是过程⽅法中的要考虑的主要因素1>责任⼈、资源、记录、测量和改进2>时间、财务、记录、改进3>责任⼈、时间、物资、记录4>资源、⼈、时间、测量和改进Aid=36 gid=86建⽴和实施信息安全管理体系的重要原则是1>领导重视2>全员参与3>⽂档化4>持续改进5>以上各项都是Eid=37 gid=87组织在建⽴和实施信息安全管理体系的过程中,领导重视可以1>指明⽅向和⽬标2>提供组织保障3>提供资源保障4>为贯彻信息安全措施提供权威5>以上各项都是Eid=38 gid=88关于全员参与原则的理解,以下哪⼀项说法不确切1>信息安全并⾮仅仅是IT部门的事2>每⼀个员⼯都应该明⽩,时时处处都存在信息不安全的隐患3>每⼀个员⼯都应该参与所有的信息安全⼯作4>每⼀个员⼯都应该明确⾃⼰肩负的信息安全责任Cid=39 gid=89组织在建⽴和实施信息安全管理体系的过程中,⽂档化形成的⽂件的主要作⽤是1>有章可循,有据可查2>⽤于存档3>便于总结、汇报4>便于检查⼯作Aid=40 gid=90信息安全的持续改进应该考虑1>分析和评价现状,识别改进区域2>确定改进⽬标3>选择解决办法4>实施并测量⽬标是否实现5>以上都包括Eid=41 gid=91你认为建⽴信息安全管理体系时,⾸先因该1>风险评估2>建⽴信息安全⽅针和⽬标3>风险管理4>制定安全策略Bid=42 gid=92我国对信息安全产品实⾏销售许可证管理制度,以下哪个部门具体负责销售许可证的审批颁发⼯作1>中国信息安全产品测评认证中⼼2>公安部公共信息⽹络安全监察局3>信息安全产业商会4>互联⽹安全协会Bid=43 gid=93⽬前我国提供信息安全从业⼈员资质-CISP认证考试的组织是1>中国信息安全产品测评认证中⼼2>公安部公共信息⽹络安全监察局3>信息安全产业商会4>互联⽹安全协会Aid=44 gid=94⽬前我国提供信息安全产品检测、认证的组织包括1>中国信息安全产品测评认证中⼼2>公安部第三研究所3>解放军信息安全产品测评认证中⼼4>国家保密局5>以上都是Eid=45 gid=95⽬前我国颁布实施的信息安全相关标准中,以下哪⼀个标准属于强制执⾏的标准1>GB/T 18336-2001 信息技术安全性评估准则2>GB 17859-1999 计算机信息系统安全保护等级划分准则3>GB/T 9387.2-1995 信息处理系统开放系统互联安全体系结构4>GA/T 391-2002 计算机信息系统安全等级保护管理要求Bid=46 gid=96我国信息安全标准化组织是1>互联⽹安全协会2>计算机安全学会3>信息安全标准化委员会4>信息安全专业委员会Cid=47 gid=97CERT是计算机紧急响应⼩组的英⽂缩写,世界各国⼤都有⾃⼰CERT,我国的CERT是1>互联⽹安全协会2>国家计算机⽹络与信息安全管理中⼼3>公安部公共信息⽹络安全监察局4>中国信息安全产品测评认证中⼼Bid=48 gid=98我国规定商⽤密码产品的研发、制造、销售和使⽤采取专控管理,必须经过审批,所依据的是1>商⽤密码管理条例2>中华⼈民共和国计算机信息系统安全保护条例3>计算机信息系统国际联⽹保密管理规定4>中华⼈民共和国保密法Aid=49 gid=99“物理隔离”这⼀项控制措施依据的是以下哪⼀个法规1>商⽤密码管理条例2>中华⼈民共和国计算机信息系统安全保护条例3>计算机信息系统国际联⽹保密管理规定4>中华⼈民共和国保密法Cid=50 gid=100发⽣⿊客⾮法⼊侵和攻击事件后,应及时向哪⼀个部门报案1>公安部公共信息⽹络安全监察局及其各地相应部门2>国家计算机⽹络与信息安全管理中⼼3>互联⽹安全协会4>信息安全产业商会Aid=3 title="第三章⼩测验" qtotal=49 ask=20 pass=14 id=1 gid=101我国的信息安全⾏政法律体系有那⼏部分组成?1>法律2>⾏政法规和部门规章3>法律、⾏政法规和部门规章Cid=2 gid=102法律是由那个部门通过的?1>⼈民代表⼤会2>国务院3>政府部门Aid=3 gid=103⾏政法规(条例)是由那个部门通过的?1>⼈民代表⼤会2>国务院3>政府部门Bid=4 gid=104部门规章是由那个部门通过的?1>⼈民代表⼤会2>国务院3>政府部门Cid=5 gid=105以下那部分没有直接描述信息安全?1>法律2>⾏政法规3>部门规章Aid=6 gid=106我国《刑法》中第⼏条规定了“⾮法侵⼊计算机信息系统罪”1>第⼆百⼋⼗五条2>第⼆百⼋⼗六条3>第⼆百⼋⼗七条Aid=7 gid=107我国《刑法》中第⼏条规定了“破坏计算机信息系统罪”1>第⼆百⼋⼗五条2>第⼆百⼋⼗六条3>第⼆百⼋⼗七条Bid=8 gid=108我国《刑法》中规定的“⾮法侵⼊计算机信息系统罪”是指1>侵⼊国家事务、国防建设、尖端技术领域的计算机信息系统,没有破坏⾏为。
FAQ 安全标准介绍
安全标准介绍在与客户交流过程中,涉及安全理念的时候免不了要侃安全标准,下面对一下常见的安全标准进行简单介绍。
1 ISO 17799信息安全管理BS7799标准是由英国标准协会(BIS)制定的信息安全管理标准,是目前国际上具有代表性的信息安全管理体系标准,标准包括如下两部分✓BS7799-1:1999 《信息安全管理实施细则》✓BS7799-2:1999 《信息安全管理体系规范》BS7799-1:1999 《信息安全管理实施细则》是组织建立并实施信息安全管理体系的一个指导性的准则,主要为组织制定其信息安全策略和进行有效的信息安全控制提供的一个大众化的最佳惯例。
BS7799-2:1999 《信息安全管理体系规范》规定了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。
BS7799标准第二部分明确提出安全控制要求,标准第一部分对应给出了通用的控制方法(措施),因此可以说,标准第一部分为第二部分的具体实施提供了指南。
但标准中的控制目标、控制方式的要求并非信息安全管理的全部,组织可以根据需要考虑另外的控制目标和控制方式。
其中BS7799-1:1999 于2000年12月通过国际标准化组织(ISO)认可,正式成为国际标准,即ISO/IEC17799:2000 《信息技术-信息安全管理实施细则》。
ISO 17799包含十个方面的内容:✓信息安全方针✓组织安全✓资产归类与控制✓人员安全✓实物与环境安全✓通信与运作安全✓访问控制✓系统开发与维护✓商务持续性管理✓符合性2 ISO 7498-2安全体系结构ISO 7498-2安全体系结构文献定义了安全就是最小化资产和资源的漏洞。
资产可以指任何事物。
漏洞是指任何可以造成破坏;系统或信息的弱点。
威胁是指潜在的安全破坏。
ISO 进一步把威胁分类为偶然的或故意的,主动的或被动的。
偶然威胁是指没有事先预谋的事件,这类的威胁包括天然的灾祸或错误的系统维护。
网络安全概论
网络安全概论第一次作业20112914 王佳淼一、目前计算机信息系统安全评估标准有哪些?计算机信息系统安全产品种类繁多,功能也各不相同,典型的信息安全评价标准主要有美国国防部颁布的《可信计算机系统评价标准》。
欧洲德国、法国、英国、荷兰四国联合颁布的《信息技术安全评价标准》。
加拿大颁布的《可信计算机产品评价标准》。
美国、加拿大、德国、法国、英国、荷兰六国联合颁布的《信息技术安全评价通用标准》。
中国国家质量技术监督局颁布的《计算机信息系统安全保护等级划分准则》。
二、这些标准之间有什么区别和联系?区别是目前网络系统安全方面的准则,无论是TCSEC准则、ITSEC准则、FC准则,还是国内的GB17895-1999准则和GB/T18336准则,其核心都是对安全产品或系统进行评测的标准或准则。
这些安全测评准则一般都是用现行的技术评测现行的产品或系统。
然而,信息系统中的安全风险、影响和脆弱性都是动态的,而这些相对静态的准则具有其局限性。
SSE-CMM、CC、BS7799在很多文中经常会同时出现,但其间的区别还是很明显的。
BS7799作为一顼通行的信息安全管理标准,旨在为组织实施信息安全管理体系提供指导性框架,在BS7799标准的第一部分也提供了诸多控制措施。
不过对组织来说,要真正将BS7799的要求和指导落到实处,必须补充必要的可实施内容,在这方面有很多国际上相关的标准和规范可做参照BS7799与CC均是信息安全领域的评估标准,并都以信息的保密性、完整性和可用性作为信息安全的基础[5_。
然而,两个标准所面向的角度有很大的不同,BS7799是一个基于管理的标准,它处理的是与IT系统相关的非技术问题,在阐述信息安全管理要求时,虽然涉及到某些技术领域,但并没有强调技术要求细节;CC则是一个基于技术性的标准,侧重点放在系统和产品的技术要求指标评价上,这和更广泛、更高层次的管理要求是有很大区别的。
~般来说,组织在依照BS7799标准来实施信息安全管理体系,并牵涉一些系统和产品安全的技术要求时,可以借鉴CC标准。
信息安全管理复习
1、信息安全基本属性:机密性、完整性、可用性、抗抵赖性、可靠性、可控性、真实性。
2、PDCA的含义:P(Plan)——计划,确定方针、目标和活动计划;D(Do)——实施,实现计划中的内容;C(Check)——检查,检查并总结执行计划的结果;A(Action)——行动,对检查总结的结果进行处理。
3、BS7799-1,信息安全管理实施细则,2000年成为国际标准ISO/IEC17799:2000,规范了10个安全控制区域,36个安全控制目标和127个安全控制措施。
十个控制区域为:安全策略、组织的安全、资产的分类和管理、人员安全、物理和环境安全、通信和运营管理、访问控制、系统开发和维护、业务连续性管理、符合性。
4、BS7799-2,信息安全管理体系规范。
2005年成为国际标准ISO/IEC27001:2005,规定了建立、实施和文件化信息安全管理体系ISMS的要求,规定了根据独立组织的需要应实施安全控制的要求。
5、信息安全策略:本质上来说是描述组织具有哪些重要信息资产,并说明这些信息资产如何被保护的一个计划。
6、什么叫BCM:业务连续性管理,与之相对应的还有BCP业务连续性计划。
是一项综合管理流程,它使企业认识到潜在的危机和相关影响,制订响应、业务和连续性的恢复计划,其总体目标是为了提高企业的风险防范能力,以有效地响应非计划的业务破坏并降低不良影响。
BCM规划与实施包括企业信息系统的基础数据、应用系统与业务的灾难备份与恢复计划。
7、信息安全审计: 信息系统安全审计是评判一个信息系统是否真正安全的重要标准之一。
通过安全审计收集、分析、评估安全信息、掌握安全状态,制定安全策略,确保整个安全体系的完备性、合理性和适用性,才能将系统调整到“最安全”和“最低风险”的状态,是信息系统审计全过程的组成部分,主要依据标准包括COBIT、CC、ITIL等信息安全管理标准。
8、信息系统安全审计的功能:取证、威慑、发现系统漏洞、发现系统运行异常9、信息系统安全审计的分类:按照对象:针对主机的和针对网络的。
信息安全工程习题和答案
第一章一、填空题1.信息保障的三大要素是______、______、______2.在bs7799信息安全管理体系中,信息安全的主要目标是信息的______、______、______的保持3.信息安全一般包括______、______、信息安全和______四个方面的内容。
4.信息安全管理是通过维护信息的______、______、______等,来管理和保护信息资产的一项体制二、名词解释1.信息安全2.信息安全管理四、论述1.我国信息安全管理现状如何?第二章一、填空题1.BS7799信息安全管理领域的一个权威标准,其最大意义就在于它给______一整套可“______”的信息安全管理要领。
2.SSE-CMM将安全工程划分为三个基本的安全区域,即______、______、______3.SSE-CMM包含了______个级别,我国的信息和信息系统的安全保护等级共分为______级二、名词解释1.信息安全管理体系ISMS2.信息安全等级保护3.信息安全管理体系认证三、简答1.建立ISMS有什么作用?2.可以采用哪些模式引入BS7799?3.我国对于信息和信息系统的安全保护等级是如何划分的?4.SSE-CMM将安全工程划分为哪些基本的过程区域?每一个区域的含义是什么?5.建立信息安全管理体系一般要经过哪些基本步骤?四、论述1.PDCA分为哪几个阶段?每一个阶段的主要任务是什么?2.等级保护的实施分为哪几个阶段?每一个阶段的主要步骤是什么?3.试述BS7799的主要内容。
第三章一、填空题1.资产管理的主要任务是______、______等2.脆弱性分为______、______、______3.风险评估方法分为______、______、______4.OCTAVE是一种信息安全风险评估方法,它指的是______、______、______5.组织根据______与______的原则识别并选择安全控制措施6.风险接受是一个对残留风险进行______和______的过程二、名词解释(1)资产的价值(2)威胁(3)脆弱性(4)安全风险(5)风险评估(6)风险管理(7)安全控制(8)适用性声明三、简答1.叙述风险评估的基本步骤。
基于BS7799的信息安全风险评估的量化研究的开题报告
基于BS7799的信息安全风险评估的量化研究的开题报告1.研究背景和研究意义信息技术的快速发展,使信息安全问题成为企业不可忽视的重要风险之一。
信息安全风险评估是保护企业信息资产安全的重要手段之一。
BS7799是一项针对信息安全管理的国际标准,有助于规范企业信息安全管理体系的建立。
本研究旨在基于BS7799标准,探讨信息安全风险评估的量化方法,以此为企业提供科学有效的保护信息安全的措施,提高企业信息安全管理水平和竞争力。
同时,研究方法也可为其他行业的风险评估研究提供参考和借鉴。
2.研究内容和方法本研究主要包括以下内容:(1)BS7799标准概述和信息安全风险评估方法的探讨。
(2)分析信息安全风险评估中涉及的指标体系,并建立适合企业的指标体系。
(3)构建风险计算模型,探究信息安全风险的量化方法。
(4)通过实证研究,对所构建的风险计算模型进行验证。
研究方法主要包括文献研究、案例分析和实证研究。
通过对BS7799标准和信息安全风险评估方法的理论研究,梳理出企业信息安全风险评估的指标体系和计算模型。
通过案例分析,探讨和验证指标体系和计算模型的可行性和有效性。
最后,通过实证研究,对所构建的方法进行实现和验证。
3.研究的预期成果本研究的预期成果包括:(1)建立针对企业的信息安全风险评估指标体系和计算模型。
(2)验证所构建的指标体系和计算模型的可行性和有效性。
(3)提供企业科学有效的信息安全风险评估方法,提高企业信息安全管理水平和竞争力。
(4)为其他行业的风险评估研究提供参考和借鉴。
4.研究进度安排研究分为以下四个阶段:(1)前期准备阶段:对BS7799标准和信息安全风险评估方法进行文献研究和案例分析,构建评估指标体系和计算模型。
(2)指标体系和计算模型的初步验证阶段:对所构建的指标体系和计算模型进行初步验证,发现不足进行修改。
(3)实证研究阶段:通过实证研究,对所构建的方法进行实现和验证。
(4)研究总结阶段:总结研究成果,提出改进意见和建议,撰写研究报告。
浅谈政务信息安全评估指标体系的建立
浅谈政务信息安全评估指标体系的建立作者:吕洁来源:《中国科技纵横》2013年第22期【摘要】本文分析了当前政务信息化安全形势,对现有信息系统安全性评估标准进行评价,在此基础上探讨了政务信息安全评估指标体系相关建设内容,为政府单位制定电子政务信息安全检查标准提供参考依据。
【关键词】政务信息安全信息安全评估指标体系1 引言近年来,我国电子政务网络体系和信息系统建设加快推进,建设了大量的政务门户网站、电子公文系统等。
随之而来的是政务安全威胁也与日俱增。
根据统计,政府网站和信息系统依然是黑客攻击的主要目标之一。
大量政府网站被挂马和恶意篡改,重要数据库信息被窃取,这些都严重影响到了政府部门的信息安全和自身公信力。
在政府单位信息安全日常检查工作中,由于缺乏系统、全面、统一的信息安全评估机制和评估标准,导致评估结果可量化程度低,无法直观反映评估结果和存在问题,一定程度上削弱了信息安全检查结果对整改工作的指导价值。
因此,探索建立适用于政府单位的一整套信息安全评估指标体系,变信息安全“一事一议”为长效机制,对于增强政务信息安全防护水平,带动信息安全产业发展具有重要意义。
2 政务信息安全评估信息安全评估就是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及存在的漏洞,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。
信息安全评估的重要意义在于,通过对政府部门关心的重要信息资产的评估分级,推断出用户关心的重要资产当前的安全风险,并根据风险的严重级别制定后期处理计划,从而建立一套完整的、健壮的安全风险防御体系,为进一步制定安全风险投资预算计划、安全风险投资回报分析、人员组织计划和建立安全体系、制定安全政策、引入安全控制措施而提供基础数据,辅助最高管理层对政务信息安全管理的计划与实践做出正确决策。
目前,在信息安全领域较为通用的信息安全评估技术标准包括《信息技术安全评价通用准则》(ISO/IEC 15408 CC标准)、《国际信息安全管理标准体系》(BS 7799标准)、《信息技术安全技术信息安全管理体系要求》(GB/T 22080-2008 ISO/IEC 27001:2005)、《信息技术安全技术信息安全管理实用规则》(GB/T 22081-2008 ISO/IEC 27002:2005)、《系统安全工程能力成熟度模型》(SSE-CMM)等。
网络安全渗透技术
网络安全渗透技术(合集7篇)时间:2023-07-03 15:50:37网络安全渗透技术第4篇【关键词】信息安全;评估;标准;对策保证信息安全不发生外泄现象,是至关重要的。
可是,现在我国信息安全保障和其它先进国家相比,仍难望其项背,还有不少问题迫切需要我们着手解决:中国保证信息安全工作经历了三个时期。
第一时期是不用联网,只作用于单一电脑的查杀和防控病毒软件;第二个时期是自立的防止病毒产品向为保证信息安全采用的成套装备过渡时期;第三个时期是建设保证信息安全的系统时期。
1 需要解决与注意的问题信息安全保障的内容和深度不断得到扩展和加深,但依然存在着“头痛医头,脚痛医脚”的片面性,没有从系统工程的角度来考虑和对待信息安全保障问题;信息安全保障问题的解决既不能只依靠纯粹的技术,也不能靠简单的安全产品的堆砌,它要依赖于复杂的系统工程、信息安全工程(system security engineering);信息安全就是人们把利用工程的理论、定义、办法和技术进行信息安全的开发实施与维护的经过,是把通过岁月检验证明没有错误的工程实施步骤管理技术和当前能够得到的最好的技术方法相结合的过程;由于国家8个重点信息系统和3个重点基础网络本身均为复杂的大型信息系统,因此必须采用系统化方法对其信息安全保障的效果和长效性进行评估。
2 安全检测标准2.1 CC 标准1993年6月,米国、加拿大及欧洲四国协商共同起草了《信息技术安全评估公共标准CCITSE(commoncriteria of information technical securityevaluation)》,简称CC,它是国际标准化组织统一现有多种准则的结果。
CC标准,一方面可以支持产品(最终已在系统中安装的产品)中安全特征的技术性要求评估,另一方面描述了用户对安全性的技术需求。
然而,CC 没有包括对物理安全、行政管理措施、密码机制等方面的评估,且未能体现动态的安全要求。
安全标准之BS 7799
安全标准之BS 7799
佚名
【期刊名称】《软件世界》
【年(卷),期】2006(000)001
【摘要】BS7799是BSI针对信息安全管理而制定的一个标准,其最早始于1995年,BS 7799分为两个部分:第一部分,名为(Code of Prectice for Information Security Management),于2000年被采纳为ISO/IEC 17799。
目前其最新版本为2005版,也就是常说的ISO 17799:2005。
【总页数】1页(P86)
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.BS7799与SSE-CMM的对比研究 [J], 王艳玮;王娟
2.BS7799与等级保护系列标准对比研究 [J], 王艳玮;王闪闪
3.BS7799标准及其在中观信息系统审计中的运用 [J], 刘国城
4.基于改进的BS7799的信息系统安全风险评估研究 [J], 朱方洲
5.基于BS7799的数字化档案信息安全标准化管理体系研究 [J], 黄萃;陈永生因版权原因,仅展示原文概要,查看原文内容请购买。
信息安全与运维管理教材
怎样开展信息安全治理(4)
4、维护 根据评估结果,进行流程改进 标杆管理,提高安全系统成熟度 持续改进,永不停止
怎样开展信息安全治理(5)
关于人... 上述步骤中,并没有列出“人”的因素,其实在整个安全治理工作中,“人”是最关键的因素。 对人的安全意识的培养、安全技能的教育伴随着整个安全治理工作全程,不会仅限于某个特定步骤
怎样开展信息安全治理(6)
关于安全成熟度... 系统安全工程能力成熟模型(SSE-CMM)描述了一个组织的安全工程过程必须包含的本质特征,这些特征是完善的安全工程保。包括6级。 SSE-CMM0: 未实施级 SSE-CMM1: 非正式实施级 执行基本实施 SSE-CMM2: 计划和跟踪级 规划执行,规范化执行,验证执行,跟踪执行 SSE-CMM3: 已定义级 定义标准过程,执行已定义过程,协调实施 SSE-CMM4: 可管理级 建立可测的质量目标,客观的管理执行 SSE-CMM5: 持续改进级 改进组织能力,改进过程有效性
信息安全与IT运维的关系(2)
安全与IT运维共有一个衡量标尺:组织业务目标 业务需求驱动信息安全与IT运维需求 信息安全与IT运维方案要适应业务流程 信息安全与IT运维方案要支撑业务的可持续发展 业务目标的调整驱使安全与IT运维的调整 投资与企业战略、风险状况密切相关
信息安全与IT运维的关系(3)
信息安全与IT运维的关系(5)
IT运维的趋势彰示着安全的未来 IT运维的标准化符合安全的“纵深防御”的理念 IT运维的流程化提高了安全的可管理性,为改进安全工作提供条件 IT运维的自动化减少了人为失误,降低了安全的成本
信息安全评估标准的研究和比较
信息安全评估标准的研究和比较来源:饿狼辅助 http://www。
elfz999。
com摘要信息安全评估标准是对信息安全产品或系统进行安全水平测定、评估的一类标准,本文介绍了国内外现有的信息安全评估标准,并对这些标准的特点、应用方式、适用范围和实用价值进行了详细的比较、讨论;最后研究了安全评估标准中面临的问题及进一步完善方法。
关键词信息安全评估标准 TCSEC ITSEC CCBS7799/ISO7799 GB17859-1999 0 引言进入21世纪,信息化对经济社会发展的影响更加深刻。
全球信息化正在引发当今世界的深刻变革,重塑世界政治、经济、社会、文化和军事发展的新格局。
信息资源日益成为重要生产要素、无形资产和社会财富.信息安全的重要性与日俱增,成为各国面临的共同挑战。
在《2006-2020年国家信息化发展战略》中,“建设国家信息安全保障体系”已经做为我国信息化发展的9大战略重点之一【1】。
信息安全评估是指评估机构依据信息安全评估标准,采用一定的方法(方案)对信息安全产品或系统安全性进行评价【2】.信息安全评估标准是信息安全评估的行动指南.在信息安全管理领域里,由于标准众多,对于标准的争论从未停息过,有ISO/IEC的国际标准17799、13335;西方国家,有美国国家标准和技术委员会(NIST)的特别出版物系列、英国标准协会(BSI)的7799系列;在我国,有风险管理、灾难恢复的国家政策.本文将对目前主要使用的标准:TCSEC ITSEC CC ISO15408BS7799/ISO7799 GB17859-1999进行逐一介绍并进行比较. 1 安全评估标准介绍国际上针对计算机安全的等级防护和评估制定了多个标准,其发展过程和关系见下图:图 1 1。
1 侧重于对系统和产品的技术指标方面的标准美国国防部于1985年公布可信的计算机系统安全评估标准(TCSEC,从橘皮书到彩虹系列),是计算机系统信息安全评估的第一个正式标准。
基于BS7799的数字化档案信息安全标准化管理体系研究
一 项 简 单 的 工 作 , 而 是 一 个 系 统 工 程 , 由 一 系 列 识 始 逐 步 采 用 此 项 标 准 。而 且 , 我 国 制 定 的 推 荐 性 国
别 、 控 制 、 降 低 或 消 除 信 息 安 全 风 险 的 活 动 所 构 家 标 准《 信 息 技 术 信 息 安 全 管 理 实 用 规 则 GB.T
( 五) 数字化档案信息服务安全防范 访问控制是数字化档案信息服务安全的通用 控制措施, 其主要任务是保证数字化档案信息资 源不被非法利用和非法访问。访问控制有多种实 现途径, 各种实现途径必须相互配合才能真正起 到保护作用。下面我们分述访问控制的多种实施 途径: 1、信 息 登 陆 访 问 控 制 。 信息登陆访问控制可分为三个步骤: 用户名 的 识 别 与 验 证 、用 户 口 令 的 识 别 与 验 证 、用 户 账 号 的 缺 省 限 制 检 查 。三 道 关 卡 中 只 要 任 何 一 关 未 过 , 该用户便不能进入信息服务区域。信息登陆访问 控制提供了第一层访问控制机制, 它控制哪些用 户能够登录到信息服务平台并获取有关信息资 源, 控制准许用户入网的时间和准许他们在哪台 工作站入网。 2、用 户 权 限 控 制 。 用户权限控制是针对非法操作所提出的一种 安 全 保 护 措 施 。用 户 和 用 户 组 被 赋 予 一 定 的 权 限 。 网络控制用户和用户组可以访问哪些目录、子目 录 、文 件 和 其 他 资 源 , 可 以 指 定 用 户 对 这 些 文 件 、 目 录 、设 备 能 够 执 行 哪 些 操 作 。受 托 者 指 派 和 继 承 权 限 屏 蔽( IRM) 可 作 为 其 两 种 实 现 方 式 : 受 托 者 指派控制用户和用户组如何使用网络服务器的目
等级保护风险评估和安全测评三者之间的区别与联系
等级保护、风险评估和安全测评三者之间的区别与联系刚接触安全测试这项工作的时候,对等级保护、风险评估和安全测评三者之间的联系很不清楚,常常会弄混淆。
幸得有这样一篇文章,详细介绍了三者的概念区别以及联系,澄清了他们之间的关系。
好文章不敢独享,特在此和大家一起分享。
一、三者的基本概念和工作背景A、等级保护基本概念:信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件等等级响应、处置。
这里所指的信息系统,是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
工作背景:1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》2规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
1999年公安部组织起草了《计算机信息系统安全保护等级划分准则》(GB 17859-1999),规定了计算机信息系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。
GB17859中的分级是一种技术的分级,即对系统客观上具备的安全保护技术能力等级的划分。
2002年7月18日,公安部在GB17859的基础上,又发布实施五个GA新标准,分别是:GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》、GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》、GA 391-2002 《计算机信息系统安全等级保护管理要求》。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
对 比研 究
; S79 SE C M B 7 9; S — M ;
供借鉴意义;另一方 面可 以优 势互补 ,将 二者结合起 来开发高确信度信息安全产品或系统的开发方法。
1 标 准的概 述
1. B¥77 9 1 9
[ 摘
ห้องสมุดไป่ตู้
要 ] 随 着 It t 发 展 。信 息 n me 的 e
由此 定 义 了 1 1项 “ 良好 ” 的安 全 工 程 过 程 即 过 程 域
列 信 息 安 全标 准 族 的 主要 标准 之 一 。 S E C M 成 为 许 多 国 家 政 府 、军 队 和要 害 部 门 S—M 组 织 和 实 施 安 全工 程 的通用 方 法 ,是 系 统 安 全 工程 领
tm eui n ier a a it try d 1[ e s c ry g e p bly ui e )]是一 种 S tE n C i Ma t Mo
面 向工 程 过程 ,衡 量 系 统 安 全 工 程 实 施 能 力 的 方 法 。
SE C S — MM 的 基 本 思 想 是 :通 过 对 安 全 工 程 过 程 进 行
安 全 问题 逐 渐 成 为人 们 关 注 的 焦 点 。 风 险 评 估 不 仅 是 保 证 信 息 安 全 的前 提 ,也 是 制
B 7 9 E 由英 国标 准协 会 ( ri t d rsnt S79 B is Sa ad s— th n I i
定 信 息安 全 管 理 措 施 的 有 力依 据 。 标 准 作
图 书馆 理 论 与 实 践
L BRARY I THEORY AND PRACTI CE
综合评 述
●王艳 玮 ,王 娟 (西 范 学国 商 院 西 70) 陕 师 大 际 学 , 安 16 02
B 9 S 7 9与 S C 7 — MM 的 对 比 研 究 S E
为 风 险 评 估 的 基 础 与 依 据 更 是 越 来越 发 挥
te S) 于 19 u ,B I t 95年 颁 布 ,分 为 两 部 分 。 B 79 — S 79 1
是信息安全管理实施细则 ,主要提供 了信息安全最佳
实 践 的 汇 总 集 ,最 初 从 1 方 面 定 义 了 17 控 制 0个 2项
管理和技 术两方面建立 了一整套信息安全评估体系 。
B 79 分 为 B 7 9— 1 B 7 9— 两 部分 ,[ S 79 S79 1_ ]和 S79 2 2 1已
经被 国际 标 准 化组 织 IO采 纳 ,成 为 IO I C 7 0 S S / 2 0 0系 E
管 理 的 途 径 ,将 系 统 安 全 工 程 转 变 为 一 个 完 好 定 义
12 S E—CM M . S
等 几 个 方 面 分 析 了二 者 的 差 异 ,提 出 了彼
此 相 互 借 鉴 的 建 议 ,为 我 国标 准 的 制 定 提 供 参考 。
[ 中图分 类 号] G 0 ;T 39 22 P 0 [ 文献 标 志码 ] A
[ 文章编号】10 -8 1(020 —0 2 —0 0 5 2 42 1 )4 o2 4 科学的信息安全评估标准是信息安全测评认证的
20 ,20 年 编 号 改 为 IOIC 70 ,其 内容 也 增 加 05 07 S / 20 2 E 到 1 个 方 面 的 13 控 制 措 施 。B 7 9— 1 3项 S79 2是 建 立 信 息安 全 管 理体 系 ( M ) 的管 理要 求 和 规 范 ,指 导 相 I S S 关 人 员 如 何 去 应 用 B 79— 。B 7 9— S7 9 1 S79 2规 定 了 组 织 基于 P C D A模 型建 立 、实 施 、运 行 、监 视 、评 审 、保 持 和 改 进 IM S S的 总 要 求 及 相 关 文 件 要 求 ,并 规 定 了 在 这个 过程 中的管 理 职 责和 管 理评 审 要求 。
域里成熟的方法体系 ,在理论研究和实际应用方面具
有 举 足轻 重 的作 用 ,同 时也 被 国 际标 准 化 组 织 采 用 ,
成 为 IO I C D S 2 8 7标 准 。 S / I 1 2 E
本 文 通 过 对 B 79 S79和 S E C M 进 行 对 比研 究 , S— M
措施 。B 7 9 — 几 经 改版 ,最 终转 化 为IO I C 7 9 : S79 1 S / 17 9 E
着重要的作用。通过对 B 79 和SE C S7 9 S — MM
标 准 进 行 对 比研 究 ,从 标 准 涉 及 的 内 容 、
发展 历程 、适 用 范 围 、实施 流程 、应 用现状
的 、成 熟 的 、可 测 量 的过 程 ,具 有此 类 成 熟 过 程 的组
织开发的安全系统或产品具有较高安全确信度和可重
复 性 。S E C M 模 型 中定 义 了 2 个 安 全 方 面 的 过 程 S— M 2 域 P (r es r s ,按 照 解 决 问题 的 不 同 ,过 程 域 A Po sA e ) c a 可 以分 为 3 :安 全 工程 过 程 域 (A ,包 括 1 个 过 类 P) 1 程 ;项 目过 程 域 (A ,包 括 5个 过 程 ; 组 织 过 程 域 P) (A ,包 括 6个 过 程 。SE C M 模 型 又将 各 种 系 统 P) S— M 安 全 工程 任 务 抽象 划 分 为 1 个 有 明显 特征 的子 任 务 , 1
基 础 。英 国 标 准 协 会 和 贸 工 部 B I I 的 B D2信 S/ S D C D/ 息 安 全 管 理 委 员 会 制 定 的 B 79 S79是 目前 世 界 上 应 用 最 广泛 与 最 典 型 的安 全 管理 标 准 ,其 围绕 风 险评 估 从
系统 安 全 工 程 能力 成 熟 度模 型 (S — MM,S s SE C y—