CHD16信息安全管理_第1頁
CHD16信息安全管理_第2頁
CHD16信息安全管理_第3頁
CHD16信息安全管理_第4頁
CHD16信息安全管理_第5頁
已閱讀5頁,還剩32頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、信息安全管理(Information Security Management)信息與網絡安全概論(第三版)2本章內容信息與網絡安全概論(第三版)316.1 可信賴的系統(tǒng)信息與網絡安全概論(第三版)4可信賴的系統(tǒng)具有以下特征:16.1 可信賴的系統(tǒng)(續(xù))信息與網絡安全概論(第三版)516.2 可信賴計算機系統(tǒng)的評估準則信息與網絡安全概論(第三版)6可信賴系統(tǒng)評估準則的安全等級信息與網絡安全概論(第三版)7可信賴系統(tǒng)評估準則的安全等級(續(xù))信息與網絡安全概論(第三版)8可信賴系統(tǒng)評估準則的安全等級(續(xù))信息與網絡安全概論(第三版)9可信賴系統(tǒng)評估準則的安全等級(續(xù))信息與網絡安全概論(第三版)10

2、可信賴系統(tǒng)評估準則的安全等級(續(xù))信息與網絡安全概論(第三版)1116.3 密碼模塊的安全規(guī)范FIPS140信息與網絡安全概論(第三版)12FIPS140-2的安全等級信息與網絡安全概論(第三版)13FIPS140-2的安全等級(續(xù))信息與網絡安全概論(第三版)14FIPS140-2的安全等級(續(xù))信息與網絡安全概論(第三版)15FIPS140-2的安全等級(續(xù))信息與網絡安全概論(第三版)16FIPS 140-2所涵蓋的范圍信息與網絡安全概論(第三版)1716.4 信息技術安全評估共同準則信息與網絡安全概論(第三版)18信息技術安全評估共同準則的發(fā)展過程 TCSEC 1985 (Orange

3、 Book) CCITSE ISO/IEC 15408 1998 CTCPEC 1993 US Federal Criteria 1993 ITSEC 1990 French Criteria 1989 German Criteria 1989 Confidence Levels 1989 信息與網絡安全概論(第三版)19TCSEC、ITSEC及CCITSE安全等級的對應TCSECITSECCCITSED-最低安全防護E-EAL1-功能性測試C1-任意安全防護E1EAL2-結構性測試C2-控制訪問防護F1、F2、E3EAL3-系統(tǒng)化測試及檢查B1-安全防護標示F3、E3EAL4-系統(tǒng)化設計、測

4、試及審查B2-結構化防護F4、E4EAL5-半正規(guī)化設計和測試B3-劃分安全范圍F5、E5EAL6-半正規(guī)化查證設計和測試A1-驗證防護F6、E6EAL7-正規(guī)化查證設計和測試信息與網絡安全概論(第三版)20CCITSE所提出的7種評估保證等級信息與網絡安全概論(第三版)21CCITSE所提出的7種評估保證等級(續(xù))信息與網絡安全概論(第三版)22共同準則內容信息與網絡安全概論(第三版)23共同準則內容(續(xù))共同準則內容所劃分的3部分為:信息與網絡安全概論(第三版)24評估目標(TOE)的研發(fā)模式 安全需求Security Requirements 功能規(guī)格Functional Specifi

5、cation 高層設計 High-level Design 源代碼/硬件描述Source code/ Hardware Drawings 實現(xiàn) Implementation 設計與實現(xiàn)細化 對應分析和整合測試 信息與網絡安全概論(第三版)25評估目標(TOE)被評估的過程 安全需求 Security Requirements (PP and ST) 評估目標及評估證據(jù) TOE and Evaluation Evidence 評估結果 Evaluation Results 評估方案 Evaluation Scheme 評估方法 Evaluation Methodology 評估準則 Evalua

6、tion Criteria 發(fā)展 TOE 評估 TOE 執(zhí)行 TOE 回饋Feedback 信息與網絡安全概論(第三版)26功能元件、屬別及類別的階層式架構圖 類別名稱 類別簡介 功能類別(Functional Class) 屬別名稱 屬別行為 功能屬別(Functional Family) 元件等 管理 審核 功能元件(Functional Component) 元件識別 相依性 功能元素 信息與網絡安全概論(第三版)27保證元件、屬別及類別的階層式架構圖 保證屬別(Assurance Family) 保證元件(Assurance Component) 元件識別 相依性 保證元素 類別名稱

7、保證類別(Assurance Class) 類別簡介 屬別名稱 屬別目的 元件等級 應用注釋 目的 應用注釋 信息與網絡安全概論(第三版)28不同用戶所關注的共同準則消 費 者研 發(fā) 者評 估 者簡介及一般模型作為背景數(shù)據(jù)及參考用途,為PP的引導結構作為TOE研發(fā)需求及闡述安全規(guī)格的背景數(shù)據(jù)及參考文件作為背景數(shù)據(jù)及參考用途,為PP及ST的引導結構安全功能需求作為闡述安全功能需求的引導及參考文件作為TOE敘述功能需求及闡述功能規(guī)格的參考文件作為判定TOE是否有效地符合聲明安全功能時所使用的評估準則強制性描述安全保證需求作為決定所需保證等級的引導文件作為TOE敘述保證需求及決定保證方法的參考文件作

8、為判定TOE保證等級和評估PP及ST時所使用的評估準則強制性描述信息與網絡安全概論(第三版)2916.5 信息安全管理作業(yè)要點BS7799 OCED 信息系統(tǒng)指導方針 1990 UK DTI 信息安全管理實施準則 1993 UK BSI 信息安全管理實施準則 BS7799- 1995 ISO ISO/IEC 177992005 2005 UK BSI 信息安全管理系統(tǒng)規(guī)范 BS7799-2002 2002 UK BSI 信息安全管理系統(tǒng)規(guī)范 BS7799- 1998 ISO ISO/IEC 17799 2000 BS7799系列標準的發(fā)展歷程 信息與網絡安全概論(第三版)30BS7799的導入

9、在導入BS7799時,首先要界定執(zhí)行范圍,并評估執(zhí)行范圍內的資產,評估的準則主要有以下3項:信息與網絡安全概論(第三版)31風險計算公式依據(jù)這3個準則來評估執(zhí)行范圍內的資產可能會面臨的威脅,并預估可能發(fā)生的幾率,進而算出其風險的高低。風險=價值威脅弱點發(fā)生的幾率 信息與網絡安全概論(第三版)32風險管理信息與網絡安全概論(第三版)33建立ISMS的6個步驟 (1) (2) (3) (4) (5) (6) 威脅及弱點攻擊 風險管理的目標 可接受的風險程度 BS7799 控制目標 不在BS7799 的額外控制目標 制訂信息安全策略 定義 ISMS 的范圍 進行風險評估 進行風險管理 選擇欲執(zhí)行的控制目標與實行 制訂適用性聲明 信息安全策略

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論