信息安全國際標(biāo)準(zhǔn)

信息平安國際標(biāo)準(zhǔn)整理ppt提綱信息平安標(biāo)準(zhǔn)概述平安標(biāo)準(zhǔn)組織平安標(biāo)準(zhǔn)分類平安管理標(biāo)準(zhǔn)〔ISO17799〕平安技術(shù)標(biāo)準(zhǔn)平安產(chǎn)品標(biāo)準(zhǔn)〔CC〕平安工程標(biāo)準(zhǔn)〔SSE-CMM〕平安方法論平安資格認(rèn)證〔CISSP/CISA〕什么是信息平安？保密性

完整性可用性

CONFIDENTIALATYINTEGRITYAVAILABILITY整理ppt什么是標(biāo)準(zhǔn)？標(biāo)準(zhǔn)：標(biāo)準(zhǔn)是對重復(fù)性事物和概念所做的統(tǒng)一規(guī)定。它以科學(xué)、技術(shù)和實踐的綜合成果為根底，經(jīng)有關(guān)方面協(xié)商一致，由主管部門批準(zhǔn)，以特定的方式發(fā)布，作為共同遵守的準(zhǔn)那么和依據(jù)。強制性標(biāo)準(zhǔn)：保障人體健康、人身、財產(chǎn)平安的標(biāo)準(zhǔn)和法律、行政法規(guī)規(guī)定強制執(zhí)行的標(biāo)準(zhǔn)；其它標(biāo)準(zhǔn)是推薦性標(biāo)準(zhǔn)。整理ppt無規(guī)矩不成方圓無規(guī)矩不成方圓!整理ppt提綱信息平安標(biāo)準(zhǔn)概述平安標(biāo)準(zhǔn)組織平安標(biāo)準(zhǔn)分類平安管理標(biāo)準(zhǔn)〔ISO17799〕平安技術(shù)標(biāo)準(zhǔn)平安產(chǎn)品標(biāo)準(zhǔn)〔CC〕平安工程標(biāo)準(zhǔn)〔SSE-CMM〕平安方法論平安資格認(rèn)證〔CISSP/CISA〕標(biāo)準(zhǔn)的來源政府組織NIST-NationalInstituteofStandardsandTechnologyNSA-NationalSecurityAgencyGAO-GeneralAccountingOfficeBSI-BritishStandardInstitution標(biāo)準(zhǔn)化組織ISO/IECJTC1SC27ANSI-AmericanNationalStandardsInstitute專業(yè)組織/行業(yè)聯(lián)盟

IEEEIETFW3CISSA-InformationSystemsSecurityAssociationITAA-InformationTechnologyAssociationOfAmerica)大學(xué)整理pptISO，國際標(biāo)準(zhǔn)化組織ISO是InternationalOrganizationforStandardization的簡稱國際最大的標(biāo)準(zhǔn)化組織機構(gòu)與IEC聯(lián)合成立的JTC1/SC27負(fù)責(zé)通用信息技術(shù)平安標(biāo)準(zhǔn)的制定ISO/TC68負(fù)責(zé)銀行和金融效勞業(yè)務(wù)應(yīng)用范圍內(nèi)信息平安標(biāo)準(zhǔn)的制定已發(fā)布的其他行業(yè)的重要標(biāo)準(zhǔn)ISO9001ISO14001整理pptIEC，國際電工委員會IEC是InternationalElectrotechnicalCommission的簡稱世界上最早的國際性電工標(biāo)準(zhǔn)化機構(gòu)負(fù)責(zé)有關(guān)電工、電子領(lǐng)域的國際標(biāo)準(zhǔn)化工作在信息平安技術(shù)標(biāo)準(zhǔn)化方面，同ISO聯(lián)合成立JTC1在電磁兼容EMC等方面成立技術(shù)委員會，制定相關(guān)國際標(biāo)準(zhǔn)整理pptISO/IECJTC1/SC27–JTC1(JointTechnicalCommittee1)是ISO及IEC的聯(lián)合技術(shù)委員會,SC27小組專門負(fù)責(zé)平安技術(shù)標(biāo)準(zhǔn)的制定、審核–已發(fā)布的局部標(biāo)準(zhǔn)ISO/IEC18033加密機制ISO/IEC9796,14888.15964數(shù)字簽名ISO/IECTR13335GMITSISO/IEC15408EvaluationcriteriaforITSecurityISO/IEC17799CodeofPracticeforInformationSecurityManagementISO/IEC21287SSE-CMM整理pptNIST，國家標(biāo)準(zhǔn)技術(shù)協(xié)會NIST是美國NationalInstituteofStandardsandTechnology的簡稱已發(fā)布的局部文獻(xiàn)FIPS〔FederalInformationProcessingStandardsPublications〕FIPSPUB140-2SecurityRequirementsforCryptographicModulesFIPSPUB180-1SecureHashStandardFIPSPUB197AdvancedEncryptionStandardSP〔SpecialPublications800series是關(guān)于計算機平安的文獻(xiàn)〕SP800-12ComputerSecurityHandbookSP800-30RiskManagementGuideforITSystemsSP800-44GuidelinesonSecuringPublicWebServers整理ppt其他組織ANSI，美國國家標(biāo)準(zhǔn)協(xié)會80年代初開始數(shù)據(jù)加密標(biāo)準(zhǔn)化工作制定了三個通用的國家標(biāo)準(zhǔn)ANSIX.9系列財務(wù)效勞平安標(biāo)準(zhǔn)ITU-T，國際電訊聯(lián)盟前身是CCITT，單獨或于ISO合作開發(fā)諸如消息處理系統(tǒng)、目錄系統(tǒng)〔X.400系列、X.500系列〕和平安框架、平安模型等標(biāo)準(zhǔn)ITU-TX.509TheDirectory:AuthenticationFramework整理ppt其他組織IEEE-電氣電子工程師協(xié)會在信息平安方面主要是提出了LAN/WAN平安方面的標(biāo)準(zhǔn)和公鑰密碼標(biāo)準(zhǔn)IETF-Internet工程任務(wù)組主要提出Internet標(biāo)準(zhǔn)草案和成為RFC的協(xié)議文稿，內(nèi)容廣泛，也包括平安方面的建議稿，經(jīng)過網(wǎng)上討論修改，被大家廣泛接受就成了的事實上的標(biāo)準(zhǔn)標(biāo)準(zhǔn)整理ppt提綱概述平安標(biāo)準(zhǔn)組織平安標(biāo)準(zhǔn)分類平安管理標(biāo)準(zhǔn)〔ISO17799〕平安技術(shù)標(biāo)準(zhǔn)平安產(chǎn)品標(biāo)準(zhǔn)〔CC〕平安工程標(biāo)準(zhǔn)〔SSE-CMM〕平安方法論平安資格認(rèn)證〔CISSP/CISA〕平安標(biāo)準(zhǔn)的類型安全管理框架安全技術(shù)標(biāo)準(zhǔn)安全方法論產(chǎn)品的安全性保證安全工程標(biāo)準(zhǔn)安全的資格認(rèn)證整理ppt提綱概述平安標(biāo)準(zhǔn)組織平安標(biāo)準(zhǔn)分類平安管理標(biāo)準(zhǔn)〔ISO17799〕平安技術(shù)標(biāo)準(zhǔn)平安產(chǎn)品標(biāo)準(zhǔn)〔CC〕平安工程標(biāo)準(zhǔn)〔SSE-CMM〕平安方法論平安資格認(rèn)證〔CISSP/CISA〕平安管理框架OSI–ISO7498-2/10181開放系統(tǒng)互連第二局部平安體系結(jié)構(gòu)，10181是7498-2的后續(xù)標(biāo)準(zhǔn)，分局部描述5類平安效勞的實現(xiàn)GMITS,GuidelinesfortheManagementofITSecurityISO/IEC13335GuidelinesfortheManagementofITSecurity提供IT平安管理的指導(dǎo)BS7799AS/NZS4444ISO/IEC17799信息平安管理的即成標(biāo)準(zhǔn)提供企業(yè)開發(fā)、實施、評估有效平安建設(shè)的框架ISFSOGPInformationSecurityForum(ISF),信息平安優(yōu)秀實踐標(biāo)準(zhǔn)〔StandardofGoodPracticeforInformationSecurity,1998〕整理pptBS7799介紹BS7799AS/NZS4444ISO/IEC17799信息平安管理的即成標(biāo)準(zhǔn)提供企業(yè)開發(fā)、實施、評估有效平安建設(shè)的框架BS7799包括兩局部第一局部:提供平安管理的最正確實踐，等同于ISO/IEC17799:2000提供10個領(lǐng)域的127項平安措施整套的基于業(yè)界經(jīng)驗的平安性最正確實踐的指導(dǎo)第二局部ISMS標(biāo)準(zhǔn)SpecificationforISMS(InformationSecurityManagementSystems)提供依據(jù)第一局部進(jìn)行內(nèi)部審計、外部認(rèn)證的流程體系整理ppt什么是ISO17799/BS7799？關(guān)注于平安管理的框架和指導(dǎo)提供了10個方面36個平安目標(biāo)，127項平安控制措施，建立了BestPractice指引；廣泛應(yīng)用于在政府、企業(yè)、金融、電信等行業(yè)，應(yīng)用最廣泛的平安標(biāo)準(zhǔn)1993–1995DepartmentofTradeandIndustry(UK)建立工作組進(jìn)行信息系統(tǒng)安全研究1995BS7799正式發(fā)布1998BS7799:PART2ISMS發(fā)布1999BS7799：1999發(fā)布ISO/IEC17799:2000整理ppt17799的十個方面SecurityPolicy安全策略SecurityOrganization組織安全PersonnelSecurity人員安全AssetClassificationandControl資產(chǎn)分類與控制PhysicalandEnvironmentalSecurity物理與環(huán)境安全Communications&OperationsManagement通信與運作管理BusinessContinuityPlanning業(yè)務(wù)持續(xù)性管理SystemDevelopmentandMaintenance系統(tǒng)開發(fā)與維護AccessControl訪問控制Compliance符合性整理pptISO17799的文檔結(jié)構(gòu)分為10個領(lǐng)域的平安實踐建議分為36個子項，共127項平安控制措施平安方針〔1〕組織平安〔3〕資產(chǎn)分類與控制〔2〕人員平安〔3〕物理與環(huán)境平安〔3〕通信與操作平安〔7〕訪問控制〔8〕系統(tǒng)開發(fā)與維護〔5〕業(yè)務(wù)持續(xù)方案〔1〕依從〔3〕整理ppt平安策略控制目標(biāo):信息平安策略為信息平安提供管理指導(dǎo)和支持控制措施:信息平安策略文件復(fù)查和審查整理ppt組織平安控制目標(biāo)一:信息平安根底設(shè)施管理組織內(nèi)部的信息平安控制目標(biāo)二:第三方訪問平安維護被第三方訪問的根底設(shè)施和信息資產(chǎn)的平安控制目標(biāo)三:外包當(dāng)IT外包給其他組織負(fù)責(zé)時,維護信息的平安整理ppt資產(chǎn)分類與控制控制目標(biāo)一:資產(chǎn)責(zé)任保證對組織資產(chǎn)做適當(dāng)?shù)谋Ｗo控制目標(biāo)二:信息分類確保信息資產(chǎn)得到適當(dāng)級別的保護整理ppt人員平安控制目標(biāo)一:崗位平安責(zé)任和人員錄用要求控制目標(biāo)二:用戶培訓(xùn)控制目標(biāo)三:對平安事件和故障的響應(yīng)整理ppt物理與環(huán)境平安控制目標(biāo)一:平安區(qū)域防止非授權(quán)訪問控制目標(biāo)二:設(shè)備平安防止資產(chǎn)的喪失,破壞和損壞;防止業(yè)務(wù)活動被中斷控制目標(biāo)三:一般性控制防止危害或竊取信息及設(shè)施整理ppt通信和操作平安控制目標(biāo)一:操作流程和責(zé)任控制目標(biāo)二:系統(tǒng)規(guī)劃和驗收控制目標(biāo)三:防范惡意軟件控制目標(biāo)四:內(nèi)務(wù)管理(備份,日志)控制目標(biāo)五:網(wǎng)絡(luò)管理控制目標(biāo)六:介質(zhì)處理及平安控制目標(biāo)七:信息和軟件的交換整理ppt訪問控制控制目標(biāo)一: 訪問控制的業(yè)務(wù)需求控制目標(biāo)二:用戶訪問管理控制目標(biāo)三:用戶責(zé)任控制目標(biāo)四:網(wǎng)絡(luò)訪問控制控制目標(biāo)五:操作系統(tǒng)訪問控制控制目標(biāo)六:應(yīng)用系統(tǒng)訪問控制控制目標(biāo)七:監(jiān)視系統(tǒng)訪問和使用控制目標(biāo)八:移動計算和通信整理ppt系統(tǒng)開發(fā)和維護控制目標(biāo)一:系統(tǒng)的平安需求控制目標(biāo)二:應(yīng)用系統(tǒng)的平安控制目標(biāo)三:密碼控制控制目標(biāo)四:系統(tǒng)文件的平安控制目標(biāo)五:開發(fā)和支持過程的平安整理ppt業(yè)務(wù)連續(xù)性管理控制目標(biāo):業(yè)務(wù)連續(xù)性管理的各個方面控制措施業(yè)務(wù)連續(xù)性管理過程業(yè)務(wù)連續(xù)性和影響分析編寫并實施連續(xù)性方案業(yè)務(wù)連續(xù)性方案框架測試,維護和復(fù)審業(yè)務(wù)連續(xù)性方案整理ppt符合性控制目標(biāo)一:符合法律要求控制目標(biāo)二:對平安策略和技術(shù)的評審控制目標(biāo)三:系統(tǒng)審核的考慮整理pptBS7799第2局部BS7799PART2是一個標(biāo)準(zhǔn)。使用該標(biāo)準(zhǔn)對組織的信息平安管理體系進(jìn)行審核與認(rèn)證。通過使用該標(biāo)準(zhǔn)能使組織建立信息平安管理體系〔ISMS〕。該標(biāo)準(zhǔn)提供以下內(nèi)容建立信息平安管理體系〔ISMS〕指導(dǎo)成功實施信息平安的關(guān)鍵因素PDCA(Plan-do-check-act)模型持續(xù)性改進(jìn)改進(jìn)平安管理評估業(yè)務(wù)變化、新技術(shù)、新威脅對平安管理流程的影響PlanISMS確實立DoISMS的運用CheckISMS的監(jiān)控ActISMS的改善PDCA模型整理ppt什么是ISO-7498-2信息處理系統(tǒng)開放系統(tǒng)互連根本參考模型第2局部:平安體系結(jié)構(gòu)

Informationprocessingsystem--OpenSystemsInterconnection--BasicReferenceModel--Part2:Securityarchitecture提供平安效勞與有關(guān)機制的一般描述,這些效勞與機制可以為GB9387—88/ISO7498-1參考模型所配備。確定在參考模型內(nèi)部可以提供這些效勞與機制的位置已被接受為國標(biāo)GB/T9387.2—1995整理ppt五種平安效勞認(rèn)證對等實體認(rèn)證數(shù)據(jù)原發(fā)認(rèn)證訪問控制

數(shù)據(jù)機密性連接機密性無連接機密性選擇字段機密性通信業(yè)務(wù)流機密性數(shù)據(jù)完整性

帶恢復(fù)的連接完整性不帶恢復(fù)的連接完整性選擇字段的連接完整性無連接完整性選擇字段無連接完整性抗抵賴

有數(shù)據(jù)原發(fā)證明的抗抵賴有交付證明的抗抵賴整理ppt八種平安機制特定的平安機制用來實現(xiàn)以上平安效勞加密數(shù)字簽名機制訪問控制機制數(shù)據(jù)完整性機制認(rèn)證交換機制通信業(yè)務(wù)填充機制提供各種不同級別的保護,抵抗通信業(yè)務(wù)分析路由選擇控制機制公證機制整理ppt效勞與機制的關(guān)系機制服務(wù)加密數(shù)字簽名訪問控制數(shù)據(jù)完整性認(rèn)證交換通信業(yè)務(wù)填充路由控制公證對等實體認(rèn)證

數(shù)據(jù)原發(fā)認(rèn)證

訪問控制服務(wù)

連接機密性

無連接機密性

選擇字段機密性

通信業(yè)務(wù)流機密性

帶恢復(fù)的連接完整性

不帶恢復(fù)的連接完整性

選擇字段連接完整性

無連接完整性

選擇字段無連接完整性

抗抵賴,帶數(shù)據(jù)原發(fā)證據(jù)

抗抵賴,帶交付接收證據(jù)

整理ppt效勞應(yīng)用與OSI層的關(guān)系OSI層服務(wù)物理層鏈路層網(wǎng)絡(luò)層傳輸層會話層表示層應(yīng)用層對等實體認(rèn)證

數(shù)據(jù)原發(fā)認(rèn)證

訪問控制服務(wù)

連接機密性

無連接機密性

選擇字段機密性

通信業(yè)務(wù)流機密性

帶恢復(fù)的連接完整性

不帶恢復(fù)的連接完整性

選擇字段連接完整性

無連接完整性

選擇字段無連接完整性

抗抵賴,帶數(shù)據(jù)原發(fā)證據(jù)

抗抵賴,帶交付證據(jù)

整理ppt平安管理平安管理信息庫(SMIB)是一個概念上的集存地,存儲開放系統(tǒng)所需的與平安有關(guān)的全部信息。這一概念對信息的存儲形式與實施方式不提出要求。SMIB能有多種實現(xiàn)方法,例如:a)數(shù)據(jù)表;b)文卷;c)嵌入實開放系統(tǒng)軟件或硬件中的數(shù)據(jù)或規(guī)那么。OSI平安管理的分類：系統(tǒng)平安管理—涉及總的OSI環(huán)境平安方面的管理；例：總體平安策略的管理、與別的OSI管理功能的相互作用、與平安效勞管理和平安機制管理的交互作用、事件處理管理、平安審計管理、平安恢復(fù)管理平安效勞管理—涉及特定平安效勞的管理；例：指定特定效勞的保護目標(biāo)、指定與維護特定的平安機制、平安機制協(xié)商(本地的與遠(yuǎn)程的)、調(diào)用特定的平安機制、與別的平安效勞和平安機制的交互作用平安機制管理—涉及的是特定平安機制的管理。例：密鑰管理、加密管理、數(shù)字簽名管理、訪問控制管理等等OSI管理本身的平安—所有OSI管理功能和信息自身的平安。這一類平安管理將借助OSI平安效勞與機制以確保OSI管理協(xié)議與信息獲得足夠的保護。整理ppt作為ISO7498-2的后續(xù)標(biāo)準(zhǔn)，1988年開始建立ISO/IEC10181ISO/IEC10181(Securityframeworksforopensystems)有七個局部第2-6局部對應(yīng)ISO7498-2定義的5種效勞Part1:概述Part2:認(rèn)證效勞架構(gòu)Part3:訪問控制效勞架構(gòu)Part4:防抵賴效勞架構(gòu)Part5:數(shù)據(jù)保密效勞架構(gòu)Part6:數(shù)據(jù)完整效勞架構(gòu)Part7:平安審計、報警架構(gòu)ISO/IEC10181整理ppt什么是ISO13335ISO/IEC13335，即IT平安管理指南〔GuidelinesfortheManagementofITSecurity,GMITS〕,是由ISO/IECJTC制定的技術(shù)報告ISO/IEC13335是一個信息平安管理方面的指導(dǎo)性標(biāo)準(zhǔn)其目的是為有效實施IT平安管理提供建議

整理pptISO13335(GMITS)的內(nèi)容13335-1:IT平安概念和模型包含了對IT平安和平安管理中一些根本概念和模型的解釋13335-2:IT平安方案和管理 建議性地介紹了IT平安管理和方案的方式和要點13335-3:IT平安管理技術(shù)描述了風(fēng)險管理技術(shù)、IT平安方案的開發(fā)、實施和測試還包括策略審查、事件分析、IT平安教育等后續(xù)內(nèi)容。13335-4:平安措施的選擇描述了針對一個組織特定環(huán)境和平安需求可以選擇的平安措施,不僅僅是技術(shù)性措施13335-5:網(wǎng)絡(luò)平安的管理指導(dǎo)提供了關(guān)于網(wǎng)絡(luò)和通信平安管理的指導(dǎo)性內(nèi)容,該指南為識別和分析建立網(wǎng)絡(luò)平安需求時需要考慮的通信相關(guān)因素提供支持,也包括對可能的平安措施方面的簡要介紹整理pptISO13335vs.BS7799與BS7799相比，ISO/IEC13335只是一個技術(shù)報告和指導(dǎo)性文件，并不是可依據(jù)的認(rèn)證標(biāo)準(zhǔn)也不像BS7799那樣給出一個全面而完整的信息平安管理框架但13335在信息平安尤其是IT平安的某些具體環(huán)節(jié)切入較深，對實際的工作具有較好的指導(dǎo)價值，從可實施性上來說要比BS7799好些另外13335對平安方案、平安策略、控制措施選擇的內(nèi)容的闡述要比BS7799具體很多總之，作為一個框架、總體要求和目標(biāo)選擇，BS7799是我們信息平安管理體系建設(shè)過程中要貫徹的指導(dǎo)方針，而這期間的一些具體的活動那么可以參考13335，比方風(fēng)險評估。整理ppt提綱概述平安標(biāo)準(zhǔn)組織平安標(biāo)準(zhǔn)分類平安管理標(biāo)準(zhǔn)〔ISO17799〕平安技術(shù)標(biāo)準(zhǔn)平安產(chǎn)品標(biāo)準(zhǔn)〔CC〕平安工程標(biāo)準(zhǔn)〔SSE-CMM〕平安方法論平安資格認(rèn)證〔CISSP/CISA〕PKIFireWallLDAPVPNIDSAAAScannerSSO平安技術(shù)標(biāo)準(zhǔn)?ApplicationProtocols –SSL,S-HTTP?NetworkProtocols –IPSec?Cryptography–RSA,DSA,ECC–DES,AES–SHA-1–PKCSVulnerabilityCVE

Authentication–Kerberos–RADIUS–SAML?Messaging–S/MIME,OpenPGP,PEM–XMLDSIG,XMLENC?ApplicationSecurity–CORBASecurity–WS-Security整理ppt提綱概述平安標(biāo)準(zhǔn)組織平安標(biāo)準(zhǔn)分類平安管理標(biāo)準(zhǔn)〔ISO17799〕平安技術(shù)標(biāo)準(zhǔn)平安產(chǎn)品標(biāo)準(zhǔn)〔CC〕平安工程標(biāo)準(zhǔn)〔SSE-CMM〕平安方法論平安資格認(rèn)證〔CISSP/CISA〕產(chǎn)品平安性保證標(biāo)準(zhǔn)CommonCriteria(CC)–ISO/IEC15408EvaluationcriteriaforITSecurity–針對產(chǎn)品或組件的保證標(biāo)準(zhǔn)e.g.Firewalls,IDS,OS–定義了7個EvaluationAssuranceLevels(EAL)一級最低，七級最高1996年國際上的六個國家〔美、加、英、法、德、荷〕聯(lián)合提出了信息技術(shù)平安評價的通用準(zhǔn)那么〔CC〕。CC的根底是歐州的ITSEC，美國的包括TCSEC在內(nèi)的新的聯(lián)邦評價標(biāo)準(zhǔn)，加拿大的CTCPEC，以及國際標(biāo)準(zhǔn)化組織ISO:SC27WG3的平安評價標(biāo)準(zhǔn)。TrustedComputerSystemEvaluationCriteria〔TCSEC〕TheOrangeBook分為D/C1/C2/B1/B2/B3/A1七個等級C2-局部OS有:VMS,IBMOS/400,WindowsNT,NovellNetWare4.11,Oracle7,DGAOS/VSII.B1-局部OS有:HP-UXBLS,CrayResearchTrustedUnicos8.0,DigitalSEVMS,HarrisCS/SX,SGITrustedIRIX.B2-局部OS有:HoneywellMultics,CryptekVSLAN,TrustedXENIXB3-僅有的OS:Getronics/WangFederalXTS-300A1-BoeingMLSLAN,GeminiTrustedNetworkProcessor,HoneywellSCOMP.FIPSPUB140-2–Cryptographic模塊的平安要求標(biāo)準(zhǔn)–定義了4個等級。整理ppt美國TCSEC1970年由美國國防部提出。1985年公布。主要為軍用標(biāo)準(zhǔn)。延用至民用。平安級別從高到低分為A、B、C、D四級，級下再分小級。彩虹系列桔皮書：可信計算機系統(tǒng)評估準(zhǔn)那么 黃皮書：桔皮書的應(yīng)用指南紅皮書：可信網(wǎng)絡(luò)解釋紫皮書：可信數(shù)據(jù)庫解釋整理ppt美國TCSECD:最小保護MinimalProtectionC1:自主安全保護DiscretionarySecurityProtectionC2:訪問控制保護ControlledAccessProtectionB1:安全標(biāo)簽保護LabeledSecurityProtectionB2:結(jié)構(gòu)化保護StructuredProtectionB3:安全域保護SecurityDomainA1:驗證設(shè)計保護VerifiedDesign低保證系統(tǒng)高保證系統(tǒng)整理pptCC標(biāo)準(zhǔn)的開展歷程整理pptCC驅(qū)動因素整理pptCC要實現(xiàn)的目標(biāo)成為統(tǒng)一的國際〔通用〕IT產(chǎn)品和系統(tǒng)平安標(biāo)準(zhǔn)目前，CC已經(jīng)成為ISO國際標(biāo)準(zhǔn)〔15408〕在不同國家間達(dá)成協(xié)議，相互成認(rèn)產(chǎn)品評估為開發(fā)者拓展國際舞臺改善IT平安產(chǎn)品在全世界的可用性整理pptCC的目標(biāo)讀者消費者-具有IT平安功能的產(chǎn)品購置指南產(chǎn)品開發(fā)者和集成商-具有IT平安功能的產(chǎn)品的開發(fā)根底評估員-IT平安產(chǎn)品的評估根底審核員,認(rèn)證人員,授權(quán)人員-對他們的特定應(yīng)用給予支持整理pptCC的內(nèi)容組織整理pptCC定義了兩類平安需求整理pptCC的關(guān)鍵概念評估目標(biāo)(TOE)IT產(chǎn)品或系統(tǒng)及其相關(guān)的管理指南和用戶指南等文檔，是評估的對象保護輪廓(ProtectProfilePP)滿足特定消費者需求的、獨立于實現(xiàn)的、關(guān)于某一類TOE的一組平安要求〔用戶提出要求〕平安目標(biāo)(SecurityTargetST)依賴于實現(xiàn)的一組平安要求和說明，作為指定TOE的評估根底〔開發(fā)者給出〕整理ppt用戶借助PP定義需求整理ppt廠商使用ST對用戶需求做出響應(yīng)整理pptPP、ST和TOE之間的關(guān)系整理ppt評估保證等級整理pptCC總體結(jié)構(gòu)整理ppt平安產(chǎn)品評估框架模型整理pptCCvs.BS7799都是認(rèn)證標(biāo)準(zhǔn)，但是對象不同，CC評估的對象是系統(tǒng)和產(chǎn)品，而7799關(guān)注的信息平安管理在依照BS7799標(biāo)準(zhǔn)來實施ISMS時，一些涉及系統(tǒng)和產(chǎn)品平安的技術(shù)要求，可以參考CC整理ppt提綱概述平安標(biāo)準(zhǔn)組織平安標(biāo)準(zhǔn)分類平安管理標(biāo)準(zhǔn)〔ISO17799〕平安技術(shù)標(biāo)準(zhǔn)平安產(chǎn)品標(biāo)準(zhǔn)〔CC〕平安工程標(biāo)準(zhǔn)〔SSE-CMM〕平安方法論平安資格認(rèn)證〔CISSP/CISA〕什么是SSE-CMMSSE-CMM是系統(tǒng)平安工程能力成熟模型〔SystemsSecurityEngineeringCapabilityMaturityModel〕的縮寫，它描述了一個組織的平安工程過程必須包含的本質(zhì)特征，這些特征是完善的平安工程保證,為平安工程的應(yīng)用提供了一個衡量和改進(jìn)的途徑現(xiàn)代統(tǒng)計過程控制理論說明通過強調(diào)生產(chǎn)過程的高質(zhì)量和在過程中組織實施的成熟性可以低本錢地生產(chǎn)出高質(zhì)量產(chǎn)品SSE-CMM工程的目標(biāo)是促進(jìn)平安工程成為一個確定的、成熟的和可度量的科目SSE-CMM工程進(jìn)展來自于平安工程業(yè)界、美國國防部和加拿大通訊平安機構(gòu)積極參與和共同的投入1995成立工程組1996SSE-CMMv1正式發(fā)布1997SSE-CMM評定方法發(fā)布1999SSE-CMMv2發(fā)布2002ISO/IEC218272003SSE-CMMv3發(fā)布整理pptSSE-CMM模型結(jié)構(gòu)BasePracticesGenericPracticesProcessAreasProcessCategoryProcessAreasBasePracticesDomainCommonFeaturesGenericPracticesGenericPracticesGenericPracticesGenericPracticesGenericPracticesBasePracticesBasePracticesBasePracticesBasePracticesProcessAreasProcessAreasCapability

LevelCommonFeaturesCommonFeaturesCapability二維結(jié)構(gòu)：Domain,CapabilityDomain包含平安工程中的實踐領(lǐng)域，分為3個主要的Process類，22個PA，130多項BPCapability表示過程管理、衡量及制度化的能力，共分為5級，下面細(xì)分為12個CommonFeatures，以及近30個GenericPractices整理ppt5級成熟能力12345非正式執(zhí)行–沒有控制計劃并跟蹤-引入了計劃、跟蹤和管理，周期性的評估執(zhí)行的效果，并定義了改進(jìn)過程；適當(dāng)定義-在組織內(nèi)建立并共享bestPractices量化控制-收集量化指標(biāo)，進(jìn)行量化管理持續(xù)改進(jìn)整理ppt系統(tǒng)平安工程過程整理ppt風(fēng)險過程整理ppt工程過程整理ppt保證過程整理pptSSE-CMM與ISO17799的內(nèi)容比較SSE-CMMISO17799PA01：管理安全性控制(4BP)Section5,PersonnelSecuritySection6,CommunicationsandoperationsManagementSection8,SystemsDevelopmentandMaintenancePA02：評估影響(6BP)IntroductionPA03：評估風(fēng)險(6BP)IntroductionPA04：評估威脅(6BP)IntroductionPA05：評估脆弱性(5BP)IntroductionPA06：建立保證論據(jù)(5BP)Section10,CompliancePA07：協(xié)調(diào)安全性(4BP)Section2,SecurityOrganizationSection6,CommunicationsandoperationsManagementPA08：監(jiān)視安全狀態(tài)(7BP)Section10,CompliancePA09：提供安全性條件(6BP)Section1,SecurityPolicySection3,AssetClassificationandControlSection5,PhysicalandEnvironmentalSecurityPA10：特殊的安全性需求(11BP)Section1,SecurityPolicySection7,AccessControlSection8,SystemsDevelopmentandMaintenanceSection9,BusinessContinuityPlanningPA11：確認(rèn)和證實（5BP）Section10,Compliance整理ppt提綱概述平安標(biāo)準(zhǔn)組織平安標(biāo)準(zhǔn)分類平安管理標(biāo)準(zhǔn)〔ISO17799〕平安技術(shù)標(biāo)準(zhǔn)平安產(chǎn)品標(biāo)準(zhǔn)〔CC〕平安工程標(biāo)準(zhǔn)〔SSE-CMM〕平安方法論平安資格認(rèn)證〔CISSP/CISA〕平安方法論AS/NZS4360澳洲/新西蘭風(fēng)險管理標(biāo)準(zhǔn)提供建立、實施風(fēng)險管理過程的指導(dǎo)NISTSP800-30RiskManagementGuideforITSystems建立、實施風(fēng)險管理過程的指導(dǎo)OCTAVEOperationallyCriticalThreat,Asset,andVulnerabilityEvaluation由CMU-SEI〔CarnegieMellonUniversity-SoftwareEngineeringInstitute〕建立的風(fēng)險評估方法論整理ppt提綱概述平安標(biāo)準(zhǔn)組織平安標(biāo)準(zhǔn)分類平安管理標(biāo)準(zhǔn)〔ISO17799〕平安技術(shù)標(biāo)準(zhǔn)平安產(chǎn)品標(biāo)準(zhǔn)〔CC〕平安工程標(biāo)準(zhǔn)〔SSE-CMM〕平安方法論平安資格認(rèn)證〔CISSP/CISA〕平安資格認(rèn)證標(biāo)準(zhǔn)：CISSP?CertifiedInformationSystemsSecurityProfessional(CISSP)–由美國(ISC)2進(jìn)行認(rèn)證管理–十個CommonBodyofKno