安全測(cè)評(píng)實(shí)踐

1、安全測(cè)評(píng)實(shí)踐2012-09-112課程內(nèi)容23知識(shí)域：信息系統(tǒng)安全保障工作基本內(nèi)容3知識(shí)子域：信息安全測(cè)評(píng)了解信息安全測(cè)評(píng)的重要性了解國(guó)內(nèi)外信息安全測(cè)評(píng)概況理解信息安全產(chǎn)品測(cè)評(píng)方法和流程理解信息系統(tǒng)安全測(cè)評(píng)方法和流程了解服務(wù)商資質(zhì)測(cè)評(píng)方法和流程了解信息安全人員資質(zhì)測(cè)評(píng)方法和流程4信息系統(tǒng)安全保障評(píng)估信息系統(tǒng)安全保障評(píng)估在信息系統(tǒng)所處的運(yùn)行環(huán)境中對(duì)信息系統(tǒng)安全保障的具體工作和活動(dòng)進(jìn)行客觀的評(píng)估，通過(guò)信息系統(tǒng)安全保障評(píng)估所搜集的客觀證據(jù)，向信息系統(tǒng)的所有相關(guān)方提供信息系統(tǒng)的安全保障工作能夠?qū)崿F(xiàn)其安全保障策略，能夠?qū)⑵渌媾R的風(fēng)險(xiǎn)降低到其可接受的程度的主觀信心。45信息系統(tǒng)安全保障評(píng)估的作用56信息

2、安全保障評(píng)估評(píng)估是信息系統(tǒng)安全保障的一個(gè)重要概念，系統(tǒng)所有者可以根據(jù)評(píng)估所得到的客觀評(píng)估結(jié)果建立其主觀的信心。評(píng)估對(duì)象是信息系統(tǒng)，不僅包含了信息技術(shù)系統(tǒng)，還包括同信息系統(tǒng)所處的運(yùn)行環(huán)境相關(guān)的人和管理等領(lǐng)域。評(píng)估是一種動(dòng)態(tài)持續(xù)的評(píng)估過(guò)程。 67美國(guó)歐洲亞太國(guó)際組織中國(guó)國(guó)內(nèi)外信息安全保障測(cè)評(píng)782022/9/6國(guó)防部: 1997年IT安全認(rèn)證認(rèn)可過(guò)程（DITSCAP）2007年信息保障認(rèn)證和認(rèn)可過(guò)程（DIACAP）國(guó)土安全部: 關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)規(guī)劃 RAMCAP (Risk Analysis and Management for Critical Asset Protection) 商務(wù)部/N

3、IST：IT系統(tǒng)安全自評(píng)估指南（SP 800-26）IT系統(tǒng)風(fēng)險(xiǎn)管理指南（SP 800-30） （SP800-53a）審計(jì)署/OMB： FISMA科研機(jī)構(gòu)：CMU OCTAVE,SANDIA RAM-* 政策明確,技術(shù)實(shí)用美國(guó)風(fēng)險(xiǎn)評(píng)估領(lǐng)頭羊892022/9/6歐盟：CORAS安全關(guān)鍵系統(tǒng)的風(fēng)險(xiǎn)分析平臺(tái)英國(guó)：COBRA，CRAMM，用例推理德國(guó)：德國(guó)聯(lián)邦I(lǐng)T基線防護(hù)手冊(cè)（ITBPM）法國(guó): EBIOS ,MEHARI 瑞典: ATAM(安全架構(gòu)評(píng)估),XMASS挪威: 安全策略評(píng)估芬蘭: 安全指標(biāo)評(píng)估 技術(shù)創(chuàng)新強(qiáng),未形成明確政策歐洲-積極探索創(chuàng)新9102022/9/6日本：政府和關(guān)鍵信息系統(tǒng)安全

4、基線措 施評(píng)估韓國(guó)：信息安全等級(jí)風(fēng)險(xiǎn)評(píng)估新加坡：信息安全風(fēng)險(xiǎn)審計(jì)和評(píng)估 追隨多,創(chuàng)新少亞太：及時(shí)跟進(jìn)，確保發(fā)展10112022/9/6ISO:ISO 27004 信息安全管理的度量指標(biāo) 和測(cè)量ITU:基于通信安全架構(gòu)(x.805)的風(fēng)險(xiǎn)評(píng)估ISACA：信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估指南、安全評(píng)估 之滲透測(cè)試和漏洞分析指南 注重操作實(shí)用，弱化理論方法國(guó)際組織：規(guī)范標(biāo)準(zhǔn)111212信息安全風(fēng)險(xiǎn)評(píng)估指南 -資產(chǎn)/威脅/脆弱性信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)指南 -安全保護(hù)基線信息系統(tǒng)安全保障評(píng)估框架 -安全保障措施與能力2022/9/6我國(guó)風(fēng)險(xiǎn)評(píng)估技術(shù)情況1213我國(guó)信息安全測(cè)評(píng)認(rèn)證標(biāo)準(zhǔn) 我國(guó)信息安全測(cè)評(píng)認(rèn)證所使用的標(biāo)準(zhǔn)主要

5、有三個(gè)來(lái)源：采用國(guó)家標(biāo)準(zhǔn)、在沒(méi)有國(guó)家標(biāo)準(zhǔn)的情況下采用國(guó)際標(biāo)準(zhǔn)、采用認(rèn)證中心管委會(huì)批準(zhǔn)的技術(shù)要求和保護(hù)輪廓。1314國(guó)家信息安全測(cè)評(píng)主要對(duì)象 信息產(chǎn)品安全測(cè)評(píng) 信息系統(tǒng)安全測(cè)評(píng) 服務(wù)商資質(zhì)測(cè)評(píng) 信息安全人員資質(zhì)測(cè)評(píng)1415信息安全產(chǎn)品測(cè)評(píng)1516信息產(chǎn)品安全評(píng)估是測(cè)評(píng)機(jī)構(gòu)對(duì)產(chǎn)品的安全性做出的獨(dú)立評(píng)價(jià)，目的是為產(chǎn)品認(rèn)證提供證據(jù)，增強(qiáng)用戶(hù)對(duì)已評(píng)估產(chǎn)品安全的信任，向消費(fèi)者提供信息技術(shù)安全產(chǎn)品的采購(gòu)依據(jù)，從而推動(dòng)信息技術(shù)安全產(chǎn)業(yè)的發(fā)展、提高信息技術(shù)安全科研和生產(chǎn)水平。信息產(chǎn)品安全測(cè)評(píng)依據(jù)的標(biāo)準(zhǔn)是：CC、CEM和CNITSEC的要求信息安全產(chǎn)品測(cè)評(píng)1617產(chǎn)品認(rèn)證的基本要求產(chǎn)品認(rèn)證屬于典型完整的產(chǎn)品質(zhì)量認(rèn)

6、證。產(chǎn)品認(rèn)證的基本要求是對(duì)認(rèn)證申請(qǐng)者送達(dá)的樣品進(jìn)行型式試驗(yàn)（測(cè)試評(píng)估），同時(shí)對(duì)申請(qǐng)者的質(zhì)量體系（即質(zhì)量保證能力）進(jìn)行檢查、評(píng)審。這兩方面都符合有關(guān)標(biāo)準(zhǔn)要求，則予以認(rèn)證。認(rèn)證通過(guò)后，認(rèn)證中心予以發(fā)放證書(shū)。證書(shū)發(fā)放以后，認(rèn)證中心再?gòu)氖袌?chǎng)和、或工廠（車(chē)間）抽樣進(jìn)行核查試驗(yàn)，即監(jiān)督檢驗(yàn)，同時(shí)對(duì)其質(zhì)量體系進(jìn)行監(jiān)督性復(fù)查，若兩方面都合格，即維持認(rèn)證，否則取消認(rèn)證。1718根據(jù)國(guó)家標(biāo)準(zhǔn)GB/T 183362001，信息產(chǎn)品安全的測(cè)評(píng)由低到高劃分為7級(jí)別，即CC的EAL1-7級(jí)。目前中國(guó)信息安全測(cè)評(píng)中心開(kāi)展了14級(jí)四個(gè)級(jí)別的測(cè)評(píng)工作。5 7級(jí)三個(gè)級(jí)別的測(cè)評(píng)將視具體情況與委托方研究協(xié)商后確定 獲得的級(jí)別越高，安

7、全性與可信度越高 信息安全測(cè)評(píng)級(jí)別1819準(zhǔn)備階段評(píng)估階段認(rèn)證階段監(jiān)督和維持階段信息產(chǎn)品安全測(cè)評(píng)流程1920信息系統(tǒng)安全測(cè)評(píng)20電子商務(wù)系統(tǒng)工業(yè)控制系統(tǒng)電子政務(wù)系統(tǒng)21信息系統(tǒng)安全保障的評(píng)估，是從信息系統(tǒng)安全保障的概念出發(fā)，在信息系統(tǒng)的生命周期內(nèi)，根據(jù)組織機(jī)構(gòu)的要求在信息系統(tǒng)的安全技術(shù)、安全管理和安全工程領(lǐng)域內(nèi)對(duì)信息系統(tǒng)的安全技術(shù)控制措施和技術(shù)架構(gòu)能力、安全管理控制和管理能力以及安全工程實(shí)施控制措施和工程實(shí)施能力進(jìn)行評(píng)估綜合，從而最終得出信息系統(tǒng)在其運(yùn)行環(huán)境中安全保障措施滿(mǎn)足其安全保障要求的符合性以及信息系統(tǒng)安全保障能力的評(píng)估。信息系統(tǒng)安全保障評(píng)估的內(nèi)容2122信息系統(tǒng)安全測(cè)評(píng)標(biāo)準(zhǔn) 信息系統(tǒng)安

8、全測(cè)評(píng)標(biāo)準(zhǔn)是GB/T20274 信息系統(tǒng)安全保障評(píng)估框架，它為信息系統(tǒng)安全測(cè)評(píng)提供了思路框架和操作規(guī)范保障要素生命周期信息特征22232022/9/6信息安全等級(jí)保護(hù)法律政策體系242022/9/6信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)25信息安全保障評(píng)估總體思路2526評(píng)估信息系統(tǒng)安全保障目標(biāo)（ISST）對(duì)信息系統(tǒng)安全保障要求（ISPP）的符合性，即具體的信息系統(tǒng)安全保障措施信息系統(tǒng)在其運(yùn)行環(huán)境下是否滿(mǎn)足信息系統(tǒng)安全保障的需求對(duì)信息系統(tǒng)安全保障的執(zhí)行能力進(jìn)行評(píng)估，評(píng)估信息系統(tǒng)安全保障級(jí)（包括技術(shù)架構(gòu)能力級(jí)、工程能力級(jí)和管理能力級(jí)的評(píng)定）符合性目標(biāo)及級(jí)別目標(biāo)2627信息系統(tǒng)安全分級(jí)分類(lèi)“信息系統(tǒng)安全保障評(píng)估

9、框架”信息系統(tǒng)安全保障級(jí)ISALTCML安全技術(shù)架構(gòu)能力級(jí)MCML安全管理能力級(jí)ECML安全過(guò)程能力級(jí)信息系統(tǒng)安全分級(jí)分類(lèi)價(jià)值信息特征保密性完整性可用性信息系統(tǒng)使命類(lèi)信息系統(tǒng)威脅分級(jí)+27信息系統(tǒng)的分級(jí)原則28信息系統(tǒng)的安全保障能力成熟度級(jí)管理能力成熟度等級(jí)（MCML）： MCML1、MCML2、MCML3、MCML4和 MCML5工程能力成熟度等級(jí)（PCML）： PCML1、PCML2、PCML3、PCML4和 PCML5技術(shù)體系架構(gòu)成熟度級(jí)別（TCML） ： TCML1、TCML2、TCML3、TCML4、 TCML52829評(píng)估對(duì)象評(píng)估實(shí)施評(píng)估結(jié)果評(píng)估規(guī)范、準(zhǔn)則評(píng)估方法、工具評(píng)估預(yù)案、組

10、織安全要求安全風(fēng)險(xiǎn)信息系統(tǒng)安全保護(hù)等級(jí)劃分等級(jí)認(rèn)證信息系統(tǒng)安全保障評(píng)估總體框架2930信息系統(tǒng)安全保障等級(jí)評(píng)估規(guī)范的建立 安全環(huán)境 安全目標(biāo) 安全需求 評(píng)估規(guī)范ISPP/ ISST物理環(huán)境假 設(shè)威 脅系統(tǒng)使命受保護(hù)資產(chǎn)組織管理管 理技 術(shù)工 程服 務(wù)3031服務(wù)商資質(zhì)測(cè)評(píng)31信息安全服務(wù)是指信息安全工程的設(shè)計(jì)、實(shí)施、測(cè)試、運(yùn)行和維護(hù)，以及相關(guān)的咨詢(xún)和培訓(xùn)活動(dòng)。集成商開(kāi)發(fā)商運(yùn)維商32信息安全服務(wù)資質(zhì)測(cè)評(píng)信息安全服務(wù)資質(zhì)測(cè)評(píng)是對(duì)信息安全服務(wù)商的技術(shù)、資源、管理等方面的能力和穩(wěn)定性、可靠性進(jìn)行評(píng)估目前中國(guó)信息安全測(cè)評(píng)中心開(kāi)展的信息安全服務(wù)資質(zhì)評(píng)估包括3個(gè)類(lèi)別信息安全工程類(lèi)信息安全開(kāi)發(fā)類(lèi)信息系統(tǒng)災(zāi)難恢

11、復(fù)類(lèi)32服務(wù)資質(zhì)測(cè)評(píng)的作用對(duì)安全服務(wù)提供方：獲得自身安全服務(wù)能力的認(rèn)可獲得自身安全服務(wù)能力規(guī)范和提高（可重復(fù)、可預(yù)測(cè)的過(guò)程和實(shí)施減少返工）提高組織的市場(chǎng)競(jìng)爭(zhēng)力（知名度） 對(duì)安全服務(wù)需求方：可獲得選擇服務(wù)商的第三方保證提供有能力、有保障的服務(wù)商的范圍（選擇依據(jù)） 對(duì)社會(huì)和行業(yè)：規(guī)范和指導(dǎo)整個(gè)社會(huì)和信息安全服務(wù)行業(yè)的行為搭建起信息安全服務(wù)領(lǐng)域科學(xué)的、規(guī)范的發(fā)展框架33服務(wù)資質(zhì)測(cè)評(píng)的程序3435基本資格獨(dú)立實(shí)體本身合法遵守國(guó)家有關(guān)法規(guī)行為合法基本能力組織機(jī)構(gòu)外部協(xié)作人員素質(zhì)資產(chǎn)規(guī)模設(shè)施環(huán)境業(yè)績(jī)信息安全服務(wù)資質(zhì)評(píng)估主要內(nèi)容3536安全工程過(guò)程能力級(jí)別是評(píng)定信息系統(tǒng)安全服務(wù)組織資質(zhì)的主要依據(jù)，標(biāo)志著服務(wù)

12、組織提供給客戶(hù)的安全服務(wù)專(zhuān)業(yè)水平和質(zhì)量保證程度。信息系統(tǒng)工程的過(guò)程能力級(jí)別按成熟性排序，表示依次增加的組織能力。信息系統(tǒng)安全服務(wù)資質(zhì)評(píng)估準(zhǔn)則將信息系統(tǒng)安全服務(wù)組織的工程能力分為五個(gè)級(jí)別：一級(jí)：基本執(zhí)行級(jí)二級(jí)：計(jì)劃跟蹤級(jí)三級(jí)：充分定義級(jí)四級(jí)：量化控制級(jí)五級(jí)：連續(xù)改進(jìn)級(jí)信息安全服務(wù)資質(zhì)評(píng)估主要內(nèi)容3637項(xiàng)目和組織過(guò)程能力包括：1、質(zhì)量保證；2、管理配置；3、管理項(xiàng)目風(fēng)險(xiǎn)；4、監(jiān)控技術(shù)活動(dòng)；5、規(guī)劃技術(shù)活動(dòng)；6、管理系統(tǒng)工程支持環(huán)境；7、提供不短發(fā)展的技能和知識(shí)；8、與供應(yīng)商協(xié)調(diào)。信息安全服務(wù)資質(zhì)評(píng)估主要內(nèi)容3738CISECISO信息安全人員資質(zhì)測(cè)評(píng)38CISM39概述“注冊(cè)信息安全專(zhuān)業(yè)人員”(

13、Certified Information Security Engineer，簡(jiǎn)稱(chēng)CISP)是一種特殊專(zhuān)業(yè)崗位人員，其所具備的專(zhuān)業(yè)資質(zhì)和能力，系經(jīng)國(guó)家認(rèn)證和認(rèn)可。CISP的基本職能是對(duì)信息系統(tǒng)的安全提供技術(shù)保障。申請(qǐng)CISP認(rèn)證的境內(nèi)人員必須具備相關(guān)的教育和工作經(jīng)歷，通過(guò)信息安全專(zhuān)業(yè)人員培訓(xùn)及考試，提交申請(qǐng)，并由認(rèn)證中心認(rèn)證。CISP證書(shū)在有效期內(nèi)實(shí)行年度確認(rèn)制度，在有效期結(jié)束進(jìn)行復(fù)查換證。3940CISPCISP分為根據(jù)實(shí)際崗位工作需要，分為兩個(gè)基礎(chǔ)類(lèi)別: 注冊(cè)信息安全工程師（CISE）,適合從事信息安全技術(shù)領(lǐng)域的工作； 注冊(cè)信息安全管理人員（CISO）,適合信息安全管理領(lǐng)域的工作；在兩個(gè)

14、基礎(chǔ)類(lèi)別之上還有兩個(gè)擴(kuò)展類(lèi)別： 注冊(cè)信息安全專(zhuān)業(yè)人員-審計(jì)師（CISP-AUIT（原CISA），適合從事信息安全審計(jì)工作。注冊(cè)信息安全專(zhuān)業(yè)人員-災(zāi)難恢復(fù)工程師（CISP-DRP），適合從事信息系統(tǒng)災(zāi)難恢復(fù)工作。4041信息安全人才知識(shí)體系戰(zhàn)略4142CISP的知識(shí)體系架構(gòu)42注冊(cè)信息安全專(zhuān)業(yè)人員（CISP）知識(shí)體系結(jié)構(gòu)安全體系模型信息安全保障框架信息安全測(cè)試評(píng)估計(jì)算機(jī)架構(gòu)與安全模型安全管理安全管理體系風(fēng)險(xiǎn)管理安全管理措施安全技術(shù)安全工程密碼技術(shù)網(wǎng)絡(luò)安全系統(tǒng)安全應(yīng)用安全安全攻防安全工程理論安全標(biāo)準(zhǔn)法規(guī)信息安全法規(guī)與政策信息安全標(biāo)準(zhǔn)道德規(guī)范安全工程實(shí)踐43CISP資質(zhì)認(rèn)證流程申請(qǐng)階段評(píng)估階段認(rèn)證階段監(jiān)督階段4344知識(shí)域：信息系統(tǒng)安全保障工作基本內(nèi)容44知識(shí)子域：信息安全監(jiān)控與維護(hù)理解在系統(tǒng)生命周期中持續(xù)提高信息系統(tǒng)安全保障能力的意義理解信息系統(tǒng)安全監(jiān)控與維護(hù)的主要原則45為什么投入錢(qián)、投入人，信息安全問(wèn)題還是層出不窮？因?yàn)轱L(fēng)險(xiǎn)是動(dòng)態(tài)變化的，信息系統(tǒng)安全保障需要覆蓋信息系統(tǒng)的整個(gè)生命周期，形成持續(xù)改進(jìn)的信息系統(tǒng)安全保障能力（技術(shù)/管理