信息安全技术_02信息安全技术的标准化
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中国国家军用标准) 企业规范。 项目规范。
1.2.2 信息安全管理国内外标准现状
到目前为止,信息技术方面的国家标准有53个。 其中,安全管理方面的主要有:
GB/T19715.1-2005 信息技术安全管理指南 第1部分:信 息技术安全概念和模型 (ISO/IEC13335-1:1996,IDT)
1.2.3 信息安全评估标准的发展
信息技术安全评估标准 (ITSEC,欧洲白皮书)
由法、英、荷、德等欧洲四国于90年代初联合发布, 它提出了信息安全的安全属性:
机密性:保证未经授权的用户、实体或进程无法窃取信息; 完整性:保证没有经过授权的用户不能改变或者删除信息,从
而信息在传送的过程中不会被偶然或故意破坏,保持信息的完 整、统一; 可用性:指合法用户的正常请求能及时、正确、安全地得到服 务或回应。 ITSEC把可信计算机的概念提高到可信信息技术的高度上来认 识,对国际信息安全的研究、实施产生了深刻的影响。
GB/T19715.2-2005 信息技术安全管理指南 第2部分:管 理和规划信息技术安全 (ISO/IEC13335-2:1997,IDT)
GB/T19716-2005 信息安全管理实用规则 (ISO/IEC 17799:2000,MOD)
GB/T20269-2006 信息系统安全管理要求
1.2.3 信息安全评估标准的发展
(CC)
1999年 国际准则
(ISO 15408)
1991年 美国联邦政府
评价准则 (FLeabharlann Baidu)
国际安全评测标准的发展与联系
1.2.3 信息安全评估标准的发展
信息安全评估标准是信息安全评估的行动指南。
可信计算机系统安全评估标准 (TCSEC,从橘皮书到 彩虹系列) 由美国国防部于1985年公布,是计算机系统 信息安全评估的第一个正式标准。它把计算机系统的 安全分为4类、7个级别,对用户登录、授权管理、访 问控制、审计跟踪、隐蔽通道分析、可信通道建立、 安全检测、生命周期保障、文档写作、用户指南等内 容提出了规范性要求。
1.2.3 信息安全评估标准的发展
对企业信息系统安全风险的分析,就得出了系统 的防护需求,根据防护需求的不同制定系统的安 全解决方案,选择适当的防护措施,进而降低安 全风险,并抗击威胁。该模型阐述了信息安全评 估的思路,对企业的信息安全评估工作具有指导 意义。
1.2.3 信息安全评估标准的发展
1.2.3 信息安全评估标准的发展
信息技术安全评价的通用标准 (CC) 由多个国家 ( 美、加、英、法、德、荷) 于1996年联合提出, 并逐渐形成国际标准ISO15408。
标准定义了评价信息技术产品和系统安全性的基本准 则,提出了国际上公认的表述信息技术安全性的结构 ,即把安全要求分为规范产品和系统安全行为的功能 要求以及解决如何正确有效地实施这些功能的保证要 求。CC标准是第一个信息技术安全评价国际标准,它 的发布对信息安全具有重要意义,是信息技术安全评 价标准以及信息安全技术发展的一个重要里程碑。
1.2.3 信息安全评估标准的发展
(2) 主要的信息安全评估标准
国际安全评测标准的发展与联系如图1.2所示。
1985年 美国可信计算机
系统评估准则
(TCSEC)
1990年 加拿大可信计算机
产品评估准则
(CTCPEC)
1991年 欧洲信息技术 安全性评估准则
(ITSEC)
1996年 国际通用准则
1.2 信息安全技术的标准化
近年来,随着计算机网络的建设和应用,对网络 的信息安全也提出了很高要求。与此同时,国内 外的有关标准化组织对信息安全标准化工作非常 重视,先后制定了不少的安全技术标准。
1.2.1 信息安全评估标准的发展
根据制定机构和适用范围的不同,信息安全标准 可分为5个级别:
国际标准。(ISO 国际标准化组织) 国家标准。(GB 国家标准,ANSI 美国国家标准协会) 行业标准。(IEEE 美国电气和电子工程师学会,GJB
信息安全技术
第 1 章 熟悉信息安全技术
1.1 信息安全技术的计算环境 1.2 信息安全技术的标准化 1.3 信息系统的物理安全 1.4 Windows系统管理与安全设置
1.2 信息安全技术的标准化
在传统工业领域中,实行标准生产的必要性及其 对生产、流通、运行等方面带来的好处人们早已 习以为常。然而,在我国,对于信息安全领域的 标准化问题,人们的认识还很不一致。事实上, 掌握信息安全的知识是必要的,树立对信息安全 标准化的正确认识也同样是非常必要的。
BS7799/ISO17799提供了有效地实施信息系统风 险管理的建议,并介绍了风险管理的方法和过程 。企业可以参照该标准制定出自己的安全策略和 风险评估实施步骤。
信息安全评估是信息安全生命周期中的重要环节 ,是对企业的网络拓扑结构、重要服务器的位置 、带宽、协议、硬件、因特网接口、防火墙配置 、安全管理措施及应用流程等进行全面的安全分 析,并提出安全风险分析报告和改进建议书。
1.2.3 信息安全评估标准的发展
(1) 信息安全评估的作用
明确企业信息系统的安全现状。 确定企业信息系统的主要安全风险。 指导企业信息系统安全技术体系与管理体系的建设。
1.2.3 信息安全评估标准的发展
ISO13335标准首次给出了关于IT安全的保密性、 完整性、可用性、审计性、认证性、可靠性等6个 方面含义,并提出了以风险为核心的安全模型。
1.2.3 信息安全评估标准的发展
企业面临着很多威胁 (包括来自内部和来自外部 的威胁) ,这些威胁利用信息系统存在的各种漏 洞 (如:物理环境、网络服务、主机系统、应用 系统、相关人员、安全策略等) ,对信息系统进 行渗透和攻击。如果渗透和攻击成功,将导致企 业重要机密信息的泄露,会对资产的价值产生影 响 (包括直接和间接的影响) 。
BS7799是英国的工业、政府和商业共同需求而发 展的一个标准,它分两部分:第一部分为“信息 安全管理事务准则”;第二部分为“信息安全管 理系统的规范”。目前此标准已经被很多国家采 用,并已成为国际标准ISO17799。BS7799包含10 个控制大项、36个控制目标和127个控制措施。
1.2.3 信息安全评估标准的发展
1.2.2 信息安全管理国内外标准现状
到目前为止,信息技术方面的国家标准有53个。 其中,安全管理方面的主要有:
GB/T19715.1-2005 信息技术安全管理指南 第1部分:信 息技术安全概念和模型 (ISO/IEC13335-1:1996,IDT)
1.2.3 信息安全评估标准的发展
信息技术安全评估标准 (ITSEC,欧洲白皮书)
由法、英、荷、德等欧洲四国于90年代初联合发布, 它提出了信息安全的安全属性:
机密性:保证未经授权的用户、实体或进程无法窃取信息; 完整性:保证没有经过授权的用户不能改变或者删除信息,从
而信息在传送的过程中不会被偶然或故意破坏,保持信息的完 整、统一; 可用性:指合法用户的正常请求能及时、正确、安全地得到服 务或回应。 ITSEC把可信计算机的概念提高到可信信息技术的高度上来认 识,对国际信息安全的研究、实施产生了深刻的影响。
GB/T19715.2-2005 信息技术安全管理指南 第2部分:管 理和规划信息技术安全 (ISO/IEC13335-2:1997,IDT)
GB/T19716-2005 信息安全管理实用规则 (ISO/IEC 17799:2000,MOD)
GB/T20269-2006 信息系统安全管理要求
1.2.3 信息安全评估标准的发展
(CC)
1999年 国际准则
(ISO 15408)
1991年 美国联邦政府
评价准则 (FLeabharlann Baidu)
国际安全评测标准的发展与联系
1.2.3 信息安全评估标准的发展
信息安全评估标准是信息安全评估的行动指南。
可信计算机系统安全评估标准 (TCSEC,从橘皮书到 彩虹系列) 由美国国防部于1985年公布,是计算机系统 信息安全评估的第一个正式标准。它把计算机系统的 安全分为4类、7个级别,对用户登录、授权管理、访 问控制、审计跟踪、隐蔽通道分析、可信通道建立、 安全检测、生命周期保障、文档写作、用户指南等内 容提出了规范性要求。
1.2.3 信息安全评估标准的发展
对企业信息系统安全风险的分析,就得出了系统 的防护需求,根据防护需求的不同制定系统的安 全解决方案,选择适当的防护措施,进而降低安 全风险,并抗击威胁。该模型阐述了信息安全评 估的思路,对企业的信息安全评估工作具有指导 意义。
1.2.3 信息安全评估标准的发展
1.2.3 信息安全评估标准的发展
信息技术安全评价的通用标准 (CC) 由多个国家 ( 美、加、英、法、德、荷) 于1996年联合提出, 并逐渐形成国际标准ISO15408。
标准定义了评价信息技术产品和系统安全性的基本准 则,提出了国际上公认的表述信息技术安全性的结构 ,即把安全要求分为规范产品和系统安全行为的功能 要求以及解决如何正确有效地实施这些功能的保证要 求。CC标准是第一个信息技术安全评价国际标准,它 的发布对信息安全具有重要意义,是信息技术安全评 价标准以及信息安全技术发展的一个重要里程碑。
1.2.3 信息安全评估标准的发展
(2) 主要的信息安全评估标准
国际安全评测标准的发展与联系如图1.2所示。
1985年 美国可信计算机
系统评估准则
(TCSEC)
1990年 加拿大可信计算机
产品评估准则
(CTCPEC)
1991年 欧洲信息技术 安全性评估准则
(ITSEC)
1996年 国际通用准则
1.2 信息安全技术的标准化
近年来,随着计算机网络的建设和应用,对网络 的信息安全也提出了很高要求。与此同时,国内 外的有关标准化组织对信息安全标准化工作非常 重视,先后制定了不少的安全技术标准。
1.2.1 信息安全评估标准的发展
根据制定机构和适用范围的不同,信息安全标准 可分为5个级别:
国际标准。(ISO 国际标准化组织) 国家标准。(GB 国家标准,ANSI 美国国家标准协会) 行业标准。(IEEE 美国电气和电子工程师学会,GJB
信息安全技术
第 1 章 熟悉信息安全技术
1.1 信息安全技术的计算环境 1.2 信息安全技术的标准化 1.3 信息系统的物理安全 1.4 Windows系统管理与安全设置
1.2 信息安全技术的标准化
在传统工业领域中,实行标准生产的必要性及其 对生产、流通、运行等方面带来的好处人们早已 习以为常。然而,在我国,对于信息安全领域的 标准化问题,人们的认识还很不一致。事实上, 掌握信息安全的知识是必要的,树立对信息安全 标准化的正确认识也同样是非常必要的。
BS7799/ISO17799提供了有效地实施信息系统风 险管理的建议,并介绍了风险管理的方法和过程 。企业可以参照该标准制定出自己的安全策略和 风险评估实施步骤。
信息安全评估是信息安全生命周期中的重要环节 ,是对企业的网络拓扑结构、重要服务器的位置 、带宽、协议、硬件、因特网接口、防火墙配置 、安全管理措施及应用流程等进行全面的安全分 析,并提出安全风险分析报告和改进建议书。
1.2.3 信息安全评估标准的发展
(1) 信息安全评估的作用
明确企业信息系统的安全现状。 确定企业信息系统的主要安全风险。 指导企业信息系统安全技术体系与管理体系的建设。
1.2.3 信息安全评估标准的发展
ISO13335标准首次给出了关于IT安全的保密性、 完整性、可用性、审计性、认证性、可靠性等6个 方面含义,并提出了以风险为核心的安全模型。
1.2.3 信息安全评估标准的发展
企业面临着很多威胁 (包括来自内部和来自外部 的威胁) ,这些威胁利用信息系统存在的各种漏 洞 (如:物理环境、网络服务、主机系统、应用 系统、相关人员、安全策略等) ,对信息系统进 行渗透和攻击。如果渗透和攻击成功,将导致企 业重要机密信息的泄露,会对资产的价值产生影 响 (包括直接和间接的影响) 。
BS7799是英国的工业、政府和商业共同需求而发 展的一个标准,它分两部分:第一部分为“信息 安全管理事务准则”;第二部分为“信息安全管 理系统的规范”。目前此标准已经被很多国家采 用,并已成为国际标准ISO17799。BS7799包含10 个控制大项、36个控制目标和127个控制措施。
1.2.3 信息安全评估标准的发展