信息安全保障體系和測評認證課件

信息安全保障體系和測評認證信息安全保障體系和測評認證1我國國家領導高度重視信息安全胡錦濤總書記在一份報告上批示：信息安全事關國家安全，必須予以高度重視李嵐清同志在中辦的一份信息通報上批示：信息安全是危及國家安全的大事我國國家領導高度重視信息安全胡錦濤總書記在一份報告上批示：信2國家高度重視信息安全測評認證工作胡錦濤總書記在一份報告上批示：信息安全事關國家安全，必須予以高度重視。在2000年3月29日的信息網(wǎng)絡安全協(xié)調會議上又強調“要建設好信息安全測評認證中心”吳邦國同志在一份報告上批示：信息安全認證中心的工作很重要，是確保國家信息安全，促進互聯(lián)網(wǎng)健康發(fā)展的重大舉措，又是當前急需解決的緊迫問題國家高度重視信息安全測評認證工作胡錦濤總書記在一份報告上批示3國家信息安全測評認證管理委員會中國信息安全產(chǎn)品測評認證中心及其分支機構授權測試實驗室國家實驗室認可程序ISO65、25認證申請者授權質管測試報告申報測試報告評估報告認證證書監(jiān)管機構國家認證實體授權測評機構國家信息安全測評認證體系組織結構國家信息安全測評認證管理委員會中國信息安全產(chǎn)品測評授權測試實4認證中心的性質中國信息安全產(chǎn)品測評認證中心是經(jīng)中央批準成立的、代表國家實施信息安全測評認證的職能機構，依據(jù)國家有關產(chǎn)品質量認證和信息安全管理的法律法規(guī)，管理和運行國家信息安全測評認證體系認證中心的性質中國信息安全產(chǎn)品測評認證中心是經(jīng)中央批準成立的5認證中心的主要職能任務1、對國內外信息安全設備和信息技術實施安全性檢驗、測試與認證2、對國內信息系統(tǒng)和工程進行安全性評估與認證3、對提供信息安全服務的單位、人員的資質進行評估與認證4、承擔國家信息安全技術標準的研究、制訂和信息安全培訓5、與各國相應的測評認證機構進行國際交流與合作認證中心的主要職能任務1、對國內外信息安全設備和信息技術實61、包過濾防火墻安全技術要求2、應用級防火墻安全技術要求3、信息技術安全性評估準則4、信息系統(tǒng)安全工程能力成熟模型5、信息安全服務評價準則6、信息安全工程質量管理要求7、電信智能卡安全技術要求8、商用密碼產(chǎn)品安全技術要求9、網(wǎng)上證券委托系統(tǒng)安全技術要求10、信息技術安全性評估方法等共20多項國家標準的制定情況1、包過濾防火墻安全技術要求國家標準的制定情況7概述為推動信息系統(tǒng)安全測評認證工作開展，2002年1月，中國信息安全產(chǎn)品測評認證中心內部立項，開始進行有關部門信息系統(tǒng)安全測評認證的標準，程序，方法和工具的研究工作?！缎畔⑾到y(tǒng)安全通用評估準則》作為其中十分重要的工作之一開始展開。經(jīng)過兩年的工作和實踐，目前完成了：《信息系統(tǒng)安全保障通用評估準則》（征求意見稿）《電子政務信息系統(tǒng)安全保障評估準則》（征求意見稿）概述為推動信息系統(tǒng)安全測評認證工作開展，2002年1月，中8信息系統(tǒng)使命信息系統(tǒng)建模，。。。GB18336idtISO/IEC15408信息技術安全性評估準則IATF信息保障技術框架ISSE信息系統(tǒng)安全工程SSE-CMM系統(tǒng)安全工程能力成熟度模型BS7799,ISO/IEC17799信息安全管理實踐準則其他相關標準、準則例如：ISO/IEC15443,COBIT。。。系統(tǒng)認證和認可標準和實踐例如：美國DITSCAP,…中國信息安全產(chǎn)品測評認證中心相關文檔和系統(tǒng)測評認證實踐技術準則（信息技術系統(tǒng)評估準則）管理準則（信息系統(tǒng)管理評估準則）過程準則（信息系統(tǒng)安全工程評估準則）信息系統(tǒng)安全性評估準則信息安全管理和管理能力成熟度模型將GB18336從產(chǎn)品和產(chǎn)品系統(tǒng)擴展到信息技術系統(tǒng)安全性評估安全工程過程和能力成熟度模型傳統(tǒng)C&A信息系統(tǒng)認證認可和實踐信息系統(tǒng)相關基礎知識信息系統(tǒng)安全保障通用評估準則

內容組成信息系統(tǒng)使命GB18336idtISO/IEC1549信息系統(tǒng)安全保障模型技術過程管理人員保證對象生命周期信息特征計劃組織開發(fā)采購實施交付運行維護廢棄機密性完整性可用性信息系統(tǒng)安全保障模型技術過程管理人員保生命周期信計開實運廢機10信息系統(tǒng)分類和安全保障分級信息系統(tǒng)使命類信息系統(tǒng)威脅分級信息系統(tǒng)安全保障級ISAL+價值信息特征機密性完整行可用性產(chǎn)品EAL級別要求EAL管理能力成熟度級別ISAM-CML過程能力成熟度級別ISAE-CML信息系統(tǒng)安全分類安全要求基線信息系統(tǒng)分類和安全保障分級信息系統(tǒng)使命類信息系統(tǒng)威脅分級信息11信息系統(tǒng)使命類分類信息系統(tǒng)使命類信息特征信息和信息系統(tǒng)價值機密性完整性可用性IBBB對信息保障策略的違犯造成的負面影響和結果可以忽略。IIBMM對信息保障策略的違犯會對安全、保險、金融狀況、組織機構的基礎設施造成不良影響和/或小的破壞。IIIBMH對信息保障策略的違犯會產(chǎn)生一定破壞IVBHH對信息保障策略的違犯會嚴重的破壞安全、保險、金融狀況、組織機構的基礎設施VMHH對信息保障策略的違犯會造成異常嚴重的破壞信息系統(tǒng)使命類分類信息系統(tǒng)信息特征信息和信息系統(tǒng)價值機密性完12信息系統(tǒng)威脅分類威脅級別威脅說明T1無意的或意外的事件T2被動的、無意識的占有很少資源并且愿意冒少量風險的對手T3占有少量資源但是愿意冒很大風險的對手T4占有中等程度資源的熟練的對手，愿意冒少量風險T5占有中等程度資源的熟練的對手，愿意冒較大風險T6占有豐富程度資源的特別熟練的對手，愿意冒少量風險T7占有豐富程度資源的特別熟練的對手，愿意冒較大風險信息系統(tǒng)威脅分類威脅級別威脅說明T1無意的或意外的事件T2被13信息系統(tǒng)安全保障級信息系統(tǒng)安全保障級技術（主要安全產(chǎn)品EAL級）安全保障管理能力成熟度級別安全保障過程能力成熟度級別EGISAL1EAL1EGISAM-CML1EGISAE-CML1EGISAL2EAL2EGISAM-CML1EGISAE-CML1EGISAL3EAL3EGISAM-CML2EGISAE-CML2EGISAL4EAL4EGISAM-CML3EGISAE-CML3EGISAL5EAL5EGISAM-CML3EGISAE-CML3信息系統(tǒng)安全保障級信息系統(tǒng)安全保障級技術安全保障管理能力成熟14信息系統(tǒng)安全保障

安全管理能力成熟度級別信息系統(tǒng)安全保障

安全管理能力成熟度級別15信息系統(tǒng)安全保障

安全過程能力成熟度級別信息系統(tǒng)安全保障

安全過程能力成熟度級別16信息系統(tǒng)安全認證定義：“對信息系統(tǒng)在其運行環(huán)境中的技術和非技術環(huán)節(jié)進行全面的分析，從而確定與其所聲稱的安全目標和需求的符合性…”(PP/ST)通過在系統(tǒng)生命周期過程中實施一整套結構化的活動來實現(xiàn)識別并降低系統(tǒng)非授權訪問、修改信息和資源拒絕服務的風險信息系統(tǒng)安全認證定義：“對信息系統(tǒng)在其運行環(huán)境中的技術和非技17系統(tǒng)認可定義：“某個指定機構根據(jù)認證過程的結果和其他相關的考慮對信息系統(tǒng)的運行所作出的管理決定”在實施恰當?shù)陌踩胧┖?，平衡業(yè)務需求和信息系統(tǒng)的殘余風險將信息系統(tǒng)或網(wǎng)絡安全和可靠運行的責任指派給了某個指定的機構系統(tǒng)認可定義：“某個指定機構根據(jù)認證過程的結果和其他相關的考18信息系統(tǒng)測評認證流程申請及文檔審查階段項目啟動階段現(xiàn)場核查安全性測試綜合評估階段

現(xiàn)場檢測階段安全認證階段

信息系統(tǒng)測評認證流程申請及文檔審查階段項目啟動階段現(xiàn)場核查安19

信息系統(tǒng)安全策略信息系統(tǒng)安全技術方案信息系統(tǒng)安全管理機構及制度信息系統(tǒng)安全工程過程信息系統(tǒng)安全審計與評估提交的五類文檔：用戶申請書信息系統(tǒng)安全技術方案信息系統(tǒng)安全管理機構及制度信息系統(tǒng)安全工20問題？問題？21系統(tǒng)安全保障方案（ISST）系統(tǒng)安全保障方案（ISST）22管理制度描述組織機構描述管理制度及流程描述系統(tǒng)資產(chǎn)描述管理制度描述組織機構描述23工程實施過程文檔工程實施計劃安全產(chǎn)品及應用系統(tǒng)功能及系統(tǒng)測試紀錄，選型依據(jù)實施過程的重大改進或意外事件紀錄系統(tǒng)聯(lián)調及測試報告系統(tǒng)驗收報告工程實施過程文檔工程實施計劃24系統(tǒng)自我風險評估文檔信息系統(tǒng)威脅分析；信息系統(tǒng)脆弱性分析；信息系統(tǒng)威脅所產(chǎn)生的后果分析；風險分析；風險處理；系統(tǒng)自我風險評估文檔信息系統(tǒng)威脅分析；25現(xiàn)場核查管理核查運行核查審計核查現(xiàn)場核查管理核查26網(wǎng)絡結構探測；Router,Firewall,IDSOS安全測試；脆弱性掃描；口令猜解；日志檢查；滲透性測試安全性測試網(wǎng)絡結構探測；安全性測試27認證與認可階段提交認證與認可批準包：申請方系統(tǒng)安全計劃；測評認證計劃；安全性測試計劃；申請方風險自評報告；安全現(xiàn)場核查報告；安全性測試報告；安全性綜合評估報告；認證與認可階段提交認證與認可批準包：28 每年進行一次管理體系監(jiān)督檢查 每年進行一次產(chǎn)品質量的監(jiān)督檢測 每年進行一次對系統(tǒng)運行維護狀態(tài)的監(jiān) 督核查 根據(jù)需要安排系統(tǒng)測試證后監(jiān)督 每年進行一次管理體系監(jiān)督檢查證后監(jiān)督29問題？問題？30信息安全保障體系和測評認證信息安全保障體系和測評認證31我國國家領導高度重視信息安全胡錦濤總書記在一份報告上批示：信息安全事關國家安全，必須予以高度重視李嵐清同志在中辦的一份信息通報上批示：信息安全是危及國家安全的大事我國國家領導高度重視信息安全胡錦濤總書記在一份報告上批示：信32國家高度重視信息安全測評認證工作胡錦濤總書記在一份報告上批示：信息安全事關國家安全，必須予以高度重視。在2000年3月29日的信息網(wǎng)絡安全協(xié)調會議上又強調“要建設好信息安全測評認證中心”吳邦國同志在一份報告上批示：信息安全認證中心的工作很重要，是確保國家信息安全，促進互聯(lián)網(wǎng)健康發(fā)展的重大舉措，又是當前急需解決的緊迫問題國家高度重視信息安全測評認證工作胡錦濤總書記在一份報告上批示33國家信息安全測評認證管理委員會中國信息安全產(chǎn)品測評認證中心及其分支機構授權測試實驗室國家實驗室認可程序ISO65、25認證申請者授權質管測試報告申報測試報告評估報告認證證書監(jiān)管機構國家認證實體授權測評機構國家信息安全測評認證體系組織結構國家信息安全測評認證管理委員會中國信息安全產(chǎn)品測評授權測試實34認證中心的性質中國信息安全產(chǎn)品測評認證中心是經(jīng)中央批準成立的、代表國家實施信息安全測評認證的職能機構，依據(jù)國家有關產(chǎn)品質量認證和信息安全管理的法律法規(guī)，管理和運行國家信息安全測評認證體系認證中心的性質中國信息安全產(chǎn)品測評認證中心是經(jīng)中央批準成立的35認證中心的主要職能任務1、對國內外信息安全設備和信息技術實施安全性檢驗、測試與認證2、對國內信息系統(tǒng)和工程進行安全性評估與認證3、對提供信息安全服務的單位、人員的資質進行評估與認證4、承擔國家信息安全技術標準的研究、制訂和信息安全培訓5、與各國相應的測評認證機構進行國際交流與合作認證中心的主要職能任務1、對國內外信息安全設備和信息技術實361、包過濾防火墻安全技術要求2、應用級防火墻安全技術要求3、信息技術安全性評估準則4、信息系統(tǒng)安全工程能力成熟模型5、信息安全服務評價準則6、信息安全工程質量管理要求7、電信智能卡安全技術要求8、商用密碼產(chǎn)品安全技術要求9、網(wǎng)上證券委托系統(tǒng)安全技術要求10、信息技術安全性評估方法等共20多項國家標準的制定情況1、包過濾防火墻安全技術要求國家標準的制定情況37概述為推動信息系統(tǒng)安全測評認證工作開展，2002年1月，中國信息安全產(chǎn)品測評認證中心內部立項，開始進行有關部門信息系統(tǒng)安全測評認證的標準，程序，方法和工具的研究工作?！缎畔⑾到y(tǒng)安全通用評估準則》作為其中十分重要的工作之一開始展開。經(jīng)過兩年的工作和實踐，目前完成了：《信息系統(tǒng)安全保障通用評估準則》（征求意見稿）《電子政務信息系統(tǒng)安全保障評估準則》（征求意見稿）概述為推動信息系統(tǒng)安全測評認證工作開展，2002年1月，中38信息系統(tǒng)使命信息系統(tǒng)建模，。。。GB18336idtISO/IEC15408信息技術安全性評估準則IATF信息保障技術框架ISSE信息系統(tǒng)安全工程SSE-CMM系統(tǒng)安全工程能力成熟度模型BS7799,ISO/IEC17799信息安全管理實踐準則其他相關標準、準則例如：ISO/IEC15443,COBIT。。。系統(tǒng)認證和認可標準和實踐例如：美國DITSCAP,…中國信息安全產(chǎn)品測評認證中心相關文檔和系統(tǒng)測評認證實踐技術準則（信息技術系統(tǒng)評估準則）管理準則（信息系統(tǒng)管理評估準則）過程準則（信息系統(tǒng)安全工程評估準則）信息系統(tǒng)安全性評估準則信息安全管理和管理能力成熟度模型將GB18336從產(chǎn)品和產(chǎn)品系統(tǒng)擴展到信息技術系統(tǒng)安全性評估安全工程過程和能力成熟度模型傳統(tǒng)C&A信息系統(tǒng)認證認可和實踐信息系統(tǒng)相關基礎知識信息系統(tǒng)安全保障通用評估準則

內容組成信息系統(tǒng)使命GB18336idtISO/IEC15439信息系統(tǒng)安全保障模型技術過程管理人員保證對象生命周期信息特征計劃組織開發(fā)采購實施交付運行維護廢棄機密性完整性可用性信息系統(tǒng)安全保障模型技術過程管理人員保生命周期信計開實運廢機40信息系統(tǒng)分類和安全保障分級信息系統(tǒng)使命類信息系統(tǒng)威脅分級信息系統(tǒng)安全保障級ISAL+價值信息特征機密性完整行可用性產(chǎn)品EAL級別要求EAL管理能力成熟度級別ISAM-CML過程能力成熟度級別ISAE-CML信息系統(tǒng)安全分類安全要求基線信息系統(tǒng)分類和安全保障分級信息系統(tǒng)使命類信息系統(tǒng)威脅分級信息41信息系統(tǒng)使命類分類信息系統(tǒng)使命類信息特征信息和信息系統(tǒng)價值機密性完整性可用性IBBB對信息保障策略的違犯造成的負面影響和結果可以忽略。IIBMM對信息保障策略的違犯會對安全、保險、金融狀況、組織機構的基礎設施造成不良影響和/或小的破壞。IIIBMH對信息保障策略的違犯會產(chǎn)生一定破壞IVBHH對信息保障策略的違犯會嚴重的破壞安全、保險、金融狀況、組織機構的基礎設施VMHH對信息保障策略的違犯會造成異常嚴重的破壞信息系統(tǒng)使命類分類信息系統(tǒng)信息特征信息和信息系統(tǒng)價值機密性完42信息系統(tǒng)威脅分類威脅級別威脅說明T1無意的或意外的事件T2被動的、無意識的占有很少資源并且愿意冒少量風險的對手T3占有少量資源但是愿意冒很大風險的對手T4占有中等程度資源的熟練的對手，愿意冒少量風險T5占有中等程度資源的熟練的對手，愿意冒較大風險T6占有豐富程度資源的特別熟練的對手，愿意冒少量風險T7占有豐富程度資源的特別熟練的對手，愿意冒較大風險信息系統(tǒng)威脅分類威脅級別威脅說明T1無意的或意外的事件T2被43信息系統(tǒng)安全保障級信息系統(tǒng)安全保障級技術（主要安全產(chǎn)品EAL級）安全保障管理能力成熟度級別安全保障過程能力成熟度級別EGISAL1EAL1EGISAM-CML1EGISAE-CML1EGISAL2EAL2EGISAM-CML1EGISAE-CML1EGISAL3EAL3EGISAM-CML2EGISAE-CML2EGISAL4EAL4EGISAM-CML3EGISAE-CML3EGISAL5EAL5EGISAM-CML3EGISAE-CML3信息系統(tǒng)安全保障級信息系統(tǒng)安全保障級技術安全保障管理能力成熟44信息系統(tǒng)安全保障

安全管理能力成熟度級別信息系統(tǒng)安全保障

安全管理能力成熟度級別45信息系統(tǒng)安全保障

安全過程能力成熟度級別信息系統(tǒng)安全保障

安全過程能力成熟度級別46信息系統(tǒng)安全認證定義：“對信息系統(tǒng)在其運行環(huán)境中的技術和非技術環(huán)節(jié)進行全面的分析，從而確定與其所聲稱的安全目標和需求的符合性…”(PP/ST)通過在系統(tǒng)生命周期過程中實施一整套結構化的活動來實現(xiàn)識別并降低系統(tǒng)非授權訪問、修改信息和資源拒絕服務的風險信息系統(tǒng)安全認證定義：“對信息系統(tǒng)在其運行環(huán)境中的技術和非技47系統(tǒng)認可定義：“某個指定機構根據(jù)認證過程的結果和其他相關的考慮對信息系統(tǒng)的運行所作出的管理決定”在實施恰當?shù)陌踩胧┖?，平衡業(yè)務需求和信息系統(tǒng)的殘余風險將信息系統(tǒng)或網(wǎng)絡安全和可靠運行的責任指派給了某個指定的機構系統(tǒng)認可定義：“某個指定機構根據(jù)認證過程的結果和其他相關的考48信息系統(tǒng)測評認