cisp考点整理
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一.信息安全测评服务介绍
1.中国信息安全测评中心:
1)履行国家信息安全漏洞分析和风险评估职能2)对信息产品、系统和工程进行评估3)对信息安全服务,人员的资质进行审核
2.CISP以信息安全保障(IA)作为主线
二.信息安全测评认证体系介绍
1.由信息安全问题所引起的国家面临的主要威胁:1)信息霸权的威胁2)经济安全3)舆论安全4)社会稳定2.我国测评认证中心的建设过程:1)国家质量技术监督局成立“中国国家信息安全测评认证中心”,该中心挂牌运行2)中编办“中国信息安全产品测评认证中心”(中编办【2001】51号)CNITSEC 3)2007 改名“中国信息安全测评中心”
3.认证要点
(1)一个目标:TOE评估的正确性和一致性
(2)两种方法:“质量过程核查”,“评估活动评价”
(3)三个阶段:准备,评估,认证(4)四类活动
4.行业许可证制度
1)信息安全产品:公安部3所检测,公安部11局颁发2)防病毒产品:指定单位(天津市公安局)3)商用密码产品:国密办颁发
5.商业性测评:制定化,控制,量化
6.认证业务的范围:服务商,专业人员,产品,系统
三.信息安全测评认标准
1.测评标准发展
1)美国TCSEC(桔皮书):美国国防部1985年提出,军用机密性,D最小保护C1自主安全保护C2访问控制保护B1安全标签保护B2结构化保护B3安全域保护A1验证设计保护
2)欧共体ITSEC:将安全性分为功能和保证;提出TOE;提出“安全目标”ST;E1-6
3)加拿大CTCPEC:功能性要求分为机密性,完整性,可用性,可控性
4)美国联邦FC:引入了保护轮廓PP;每个轮廓包括功能,保障和评测需求
5)通用评估准则CC:1996年;1998年;1999年为ISO15408(GB/T18336);思想框架来源于FC和ITSEC;EAL1-7 2. CC的评估保证级EAL
EAL1功能测试;EAL2结构测试;EAL3系统地测试和检查;EAL4系统地设计、测试和复查;EAL5半形式化设计和测试(无隐蔽通道);EAL6半形式化验证的设计和测试;EAL7形式化验证的设计和测试
3. CC的结构:1)简介和一般介绍,以及保护轮廓规范和安全目标规范2)第二部分:安全功能需求3)第三部分:安全保障需求
4. CC的范围不包括:1)行政性管理安全措施的评估准则;2)物理安全方面(诸如电磁辐射控制)的评估准则;3)密码算法固有质量评价准则
包括:信息系统产品和技术
5. 保护轮廓PP(甲方)没有详细的设计方案,安全目标ST(乙方)方案
6. APE类:保护轮廓的评估准则;ASE类:安全目标的评估准则
7. CC的结构:类,子类,组件
8. 其他重要标准
1)ITIL:IT服务框架2)Gobit:ISACA协会IT内控审计、IT治理框架
四.我国标准
1. 我国:国家GB/T; 行业:GA,GJB; 地方:DB/T; 企业:Q
2. 标准化:最佳秩序,对实际的或潜在的问题制定共同的和重复使用的规则的活动。
目的:获得最佳秩序和社会效益。
3. 我国通行“标准化八字原理:“统一”,“简化”,“协调”,“最优”
4. idt为等同采用,MOD(修改采用),NEQ(非等效采用)
5 .1)IEC国际电工委员会(有TC77电磁兼容);2)ITU国际电信联盟(安全框架,安全联盟);IETF(英特网工程工作组)
6. 1)GB/T (idt ISO ;GJB 2256-1994 《军用计算机安全术语》
2)GB/T (idt ISO7498-2);RFC 2401 因特网安全体系结构
3)安全框架ISO/IEC 10181-1~7 4)信息安全管理框架(ISO 7498-4) 5)信息安全保证框架(ISO/IEC WD 15443) 6)64位块加密算法操作方式(GB/T 15277) (Idt ISO 8372)
7)鉴别的保准GB15843 8) 数据完整性机制GB15852 9)计算站场地安全要求GB9361
10)机房适宜的湿度是40%-70%,GB2887 4.4.1 11)机房适宜的温度是15-30℃,见GB2887 4.4.1。
12)系统平台安全
参照标准:1)TCSEC 可信计算机评估准则;2)GB 17859 计算机信息系统安全保护等级划分准则;3)GJB 2646 军用计算机安全评估准则;4)TDI 可信数据库解释
13)网络平台安全:防火墙GB 18019-1999,GB 18020-1999 14)安全策略:17799,13335
7 .安全服务由安全机制来实现
8 .密钥管理:1)框架,2)使用对称技术,3)使用非对称技术
9. 计算机安全等级分为A高,B,C
四.信息安全法律法规
1.当前我国现有的信息安全法律:《中华人民共和国保守国家秘密法》《电子签名法》
其中规定:国家秘密的级别分为:绝密、机密、秘密三个级别
2. 2003年7月22日,国家信息化领导小组第三次会议通过了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
3. 党的十六届四中全会将信息安全与政治安全、经济安全、文化安全并列为国家安全的重要组成要素。非传统安全问题日益得到重视
4. 公通字[2007]43号-信息安全等级保护管理办法
5.《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号)
6.《关于加强政府信息系统安全和保密管理工作的通知》(国办发[2008]17号)
7.《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》(国办发[2009]28号)
8.《国务院办公厅关于印发<国家网络与信息安全事件应急预案>的通知》(国办函[2008]168号)