安全生产_保密安全与密码技术讲义

保密安全与密码技术 第十讲安全评估与安全管理 安全评估 安全评估发展过程安全评估标准介绍可信计算机系统评估准则 TCSEC 通用准则CC信息安全保证技术框架IATFBS7799 ISO17799我国信息安全保护准则 计算机信息系统安全保护等级划分准则 信息系统安全保护等级应用指南 信息技术安全评估准则发展过程 20世纪60年代后期 1967年美国国防部成立了一个研究组 针对当时计算机使用环境中的安全策略进行研究 其研究结果是 DefenseScienceBoardreport 70年代的后期DOD对当时流行的操作系统KSOS PSOS KVM进行了安全方面的研究80年代后 美国国防部发布的 可信计算机系统评估准则 TCSEC 即桔皮书 后来DOD又发布了可信数据库解释 TDI 可信网络解释 TNI 等一系列相关的说明和指南 信息技术安全评估准则发展过程 90年代初 英 法 德 荷等四国针对TCSEC准则的局限性 提出了包含保密性 完整性 可用性等概念的 信息技术安全评估准则 ITSEC 定义了从E0级到E6级的七个安全等级加拿大1988年开始制订 TheCanadianTrustedComputerProductEvaluationCriteria CTCPEC 1993年 美国对TCSEC作了补充和修改 制定了 组合的联邦标准 简称FC 国际标准化组织 ISO 从1990年开始开发通用的国际标准评估准则 信息技术安全评估准则发展过程 在1993年6月 CTCPEC FC TCSEC和ITSEC的发起组织开始联合起来 将各自独立的准则组合成一个单一的 能被广泛使用的IT安全准则发起组织包括六国七方 加拿大 法国 德国 荷兰 英国 美国NIST及美国NSA 他们的代表建立了CC编辑委员会 CCEB 来开发CC1996年1月完成CC1 0版 在1996年4月被ISO采纳1997年10月完成CC2 0的测试版1998年5月发布CC2 0版1999年12月ISO采纳CC 并作为国际标准ISO15408发布 信息技术安全评估准则发展过程 1999年GB17859计算机信息系统安全保护等级划分准则 1991年欧洲信息技术安全性评估准则 ITSEC 国际通用准则1996年 CC1 0 1998年 CC2 0 1985年美国可信计算机系统评估准则 TCSEC 1993年加拿大可信计算机产品评估准则 CTCPEC 1993年美国联邦准则 FC1 0 1999年国际标准ISO IEC15408 1989年英国可信级别标准 MEMO3DTI 德国评估标准 ZSEIC 法国评估标准 B W RBOOK 2001年国家标准GB T18336信息技术安全性评估准则idtiso iec15408 1993年美国NIST的MSFR GB18336idtISO IEC15408信息技术安全性评估准则 IATF信息保障技术框架 ISSE信息系统安全工程 SSE CMM系统安全工程能力成熟度模型 BS7799 ISO IEC17799信息安全管理实践准则 其他相关标准 准则例如 ISO IEC15443 COBIT 系统认证和认可标准和实践例如 美国DITSCAP 中国信息安全产品测评认证中心相关文档和系统测评认证实践 技术准则 信息技术系统评估准则 管理准则 信息系统管理评估准则 过程准则 信息系统安全工程评估准则 信息系统安全保障评估准则 现有标准关系 安全评估 安全评估发展过程安全评估标准介绍可信计算机系统评估准则 TCSEC 通用准则CC信息安全保证技术框架IATFBS7799 ISO17799我国信息安全保护准则 计算机信息系统安全保护等级划分准则 信息系统安全保护等级应用指南 TCSEC可信计算机系统评估准则 在TCSEC中 美国国防部按处理信息的等级和应采用的响应措施 将计算机安全从高到低分为 A B C D四类八个级别 共27条评估准则随着安全等级的提高 系统的可信度随之增加 风险逐渐减少 四个安全等级 D无保护级C自主保护级B强制保护级A验证保护级 TCSEC D类是最低保护等级 即无保护级是为那些经过评估 但不满足较高评估等级要求的系统设计的 只具有一个级别 该类是指不符合要求的那些系统 因此 这种系统不能在多用户环境下处理敏感信息C类为自主保护级具有一定的保护能力 采用的措施是自主访问控制和审计跟踪 一般只适用于具有一定等级的多用户环境 具有对主体责任及其动作审计的能力C类分为C1和C2两个级别 自主安全保护级 C1级 控制访问保护级 C2级 TCSEC C1级TCB通过隔离用户与数据 使用户具备自主安全保护的能力它具有多种形式的控制能力 对用户实施访问控制为用户提供可行的手段 保护用户和用户组信息 避免其他用户对数据的非法读写与破坏C1级的系统适用于处理同一敏感级别数据的多用户环境C2级计算机系统比C1级具有更细粒度的自主访问控制C2级通过注册过程控制 审计安全相关事件以及资源隔离 使单个用户为其行为负责 TCSEC B类为强制保护级主要要求是TCB应维护完整的安全标记 并在此基础上执行一系列强制访问控制规则B类系统中的主要数据结构必须携带敏感标记系统的开发者还应为TCB提供安全策略模型以及TCB规约应提供证据证明访问监控器得到了正确的实施B类分为三个类别 标记安全保护级 B1级 结构化保护级 B2级 安全区域保护级 B3级 TCSEC B1级系统要求具有C2级系统的所有特性在此基础上 还应提供安全策略模型的非形式化描述 数据标记以及命名主体和客体的强制访问控制并消除测试中发现的所有缺陷在B2级系统中 TCB建立于一个明确定义并文档化形式化安全策略模型之上要求将B1级系统中建立的自主和强制访问控制扩展到所有的主体与客体在此基础上 应对隐蔽信道进行分析TCB应结构化为关键保护元素和非关键保护元素 TCSEC TCB接口必须明确定义其设计与实现应能够经受更充分的测试和更完善的审查鉴别机制应得到加强 提供可信设施管理以支持系统管理员和操作员的职能提供严格的配置管理控制B2级系统应具备相当的抗渗透能力 TCSEC 在B3级系统中 TCB必须满足访问监控器需求访问监控器对所有主体对客体的访问进行仲裁访问监控器本身是抗篡改的访问监控器足够小访问监控器能够分析和测试为了满足访问控制器需求 计算机信息系统可信计算基在构造时 排除那些对实施安全策略来说并非必要的代码计算机信息系统可信计算基在设计和实现时 从系统工程角度将其复杂性降低到最小程度 TCSEC B3级系统支持 安全管理员职能扩充审计机制当发生与安全相关的事件时 发出信号提供系统恢复机制系统具有很高的抗渗透能力 TCSEC A类为验证保护级A类的特点是使用形式化的安全验证方法 保证系统的自主和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息为证明TCB满足设计 开发及实现等各个方面的安全要求 系统应提供丰富的文档信息A类分为两个类别 验证设计级 A1级 超A1级 TCSEC A1级系统在功能上和B3级系统是相同的 没有增加体系结构特性和策略要求最显著的特点是 要求用形式化设计规范和验证方法来对系统进行分析 确保TCB按设计要求实现从本质上说 这种保证是发展的 它从一个安全策略的形式化模型和设计的形式化高层规约 FTLS 开始针对A1级系统设计验证 有5种独立于特定规约语言或验证方法的重要准则 安全策略的形式化模型必须得到明确标识并文档化 提供该模型与其公理一致以及能够对安全策略提供足够支持的数学证明应提供形式化的高层规约 包括TCB功能的抽象定义 用于隔离执行域的硬件 固件机制的抽象定义 TCSEC 应通过形式化的技术 如果可能的化 和非形式化的技术证明TCB的形式化高层规约 FTLS 与模型是一致的通过非形式化的方法证明TCB的实现 硬件 固件 软件 与形式化的高层规约 FTLS 是一致的 应证明FTLS的元素与TCB的元素是一致的 FTLS应表达用于满足安全策略的一致的保护机制 这些保护机制的元素应映射到TCB的要素应使用形式化的方法标识并分析隐蔽信道 非形式化的方法可以用来标识时间隐蔽信道 必须对系统中存在的隐蔽信道进行解释 TCSEC A1级系统 要求更严格的配置管理要求建立系统安全分发的程序支持系统安全管理员的职能超A1级系统 超A1级在A1级基础上增加的许多安全措施超出了目前的技术发展随着更多 更好的分析技术的出现 本级系统的要求才会变的更加明确今后 形式化的验证方法将应用到源码一级 并且时间隐蔽信道将得到全面的分析 TCSEC 在这一级 设计环境将变的更重要形式化高层规约的分析将对测试提供帮助TCB开发中使用的工具的正确性及TCB运行的软硬件功能的正确性将得到更多的关注超A1级系统涉及的范围包括 系统体系结构安全测试形式化规约与验证可信设计环境等 安全评估 安全评估发展过程安全评估标准介绍可信计算机系统评估准则 TCSEC 通用准则CC信息安全保证技术框架IATFBS7799 ISO17799我国信息安全保护准则 计算机信息系统安全保护等级划分准则 信息系统安全保护等级应用指南 CC的适用范围 CC定义了评估信息技术产品和系统安全型所需的基础准则 是度量信息技术安全性的基准针对在安全评估过程中信息技术产品和系统的安全功能及相应的保证措施提出的一组通用要求 使各种相对独立的安全评估结果具有可比性 该标准适用于对信息技术产品或系统的安全性进行评估 不论其实现方式是硬件 固件还是软件 还可用于指导产品和系统开发 该标准的主要目标读者是用户 开发者 评估者 CC的关键概念 评估对象 TargetofEvaluation TOE 用于安全评估的信息技术产品 系统或子系统 如防火墙 计算机网络 密码模块等 包括相关的管理员指南 用户指南 设计方案等文档 TOESecurityPolicy TSP 控制TOE中资产如何管理 保护和分发的规则 TOESecurityFunctions TSF 必须依赖于TSP正确执行的TOE的所有部件 CC的关键概念 保护轮廓 ProtectionProfile PP 为既定的一系列安全对象提出功能和保证要求的完备集合 表达了一类产品或系统的用户需求 PP与某个具体的TOE无关 它定义的是用户对这类TOE的安全需求 主要内容 需保护的对象 确定安全环境 TOE的安全目的 IT安全要求 基本原理在标准体系中PP相当于产品标准 也有助于过程规范性标准的开发 国内外已对应用级防火墙 包过滤防火墙 智能卡等开发了相应的PP CC的关键概念 安全目标 SecurityTarget ST针对具体TOE而言 它包括该TOE的安全要求和用于满足安全要求的特定安全功能和保证措施 ST包括的技术要求和保证措施可以直接引用该TOE所属产品或系统类的PP ST是开发者 评估者 用户在TOE安全性和评估范围之间达成一致的基础 ST相当于产品和系统的实现方案 与ITSEC的安全目标类似 CC的关键概念 组件 Component 组件描述了一组特定的安全要求 使可供PP ST或包选取的最小的安全要求集合 在CC中 以 类 族 组件号 的方式来标识组件 包 Package 组件依据某个特定关系的组合 就构成了包 构建包的目的是定义那些公认有用的 对满足某个特定安全目的有效的安全要求 包可以用来构造更大的包 PP和ST 包可以重复使用 CC中有功能包和保证包两种形式 CC的先进性 结构的开放性即功能要求和保证要求都可以在具体的 保护轮廓 和 安全目标 中进一步细化和扩展 例如可以增加 备份和恢复 方面的功能要求或一些环境安全要求 表达方式的通用性如果用户 开发者 评估者 认可者等目标读者都使用CC的语言 互相之间就更容易理解沟通 结构和表达方式的内在完备性和实用性体现在 保护轮廓 和 安全目标 的编制上 保护轮廓 主要用于表达一类产品或系统的用户需求 在标准化体系中可以作为安全技术类标准对待 CC内容 CC吸收了个先进国家对现代信息系统安全的经验和知识 对信息系统安全的研究和应用定来了深刻的影响 它分为三部分 第一部分介绍CC的基本概念和基本原理 第二部分提出了安全功能要求 第三部分提出了非技术性的安全保证要求 CC内容 后两部分构成了CC安全要求的全部 安全功能要求和安全保证要求 其中安全保证的目的是为了确保安全功能的正确性和有效性 这是从ITSEC和CTCPEC中吸收的 同时CC还从FC中吸收了保护轮廓的 PP 的概念 从而为CC的应用和发展提供了最大可能的空间和自由度 CC定义了作为评估信息技术产品和系统安全性的基础准则 提出了目前国际上公认的表述信息技术安全性的结构 即 安全要求 规范产品和系统安全行为的功能要求 解决如何正确有效的实施这些功能的保证要求 CC内容之间的关系 CC的三个部分相互依存 缺一不可 第1部分是介绍CC的基本概念和基本原理 第2部分提出了技术要求 第3部分提出了非技术性要求和对开发过程 工程过程的要求 三个部分有机地结合成一个整体 具体体现在 保护轮廓 和 安全目标 中 保护轮廓 和 安全目标 的概念和原理由第1部分介绍 保护轮廓 和 安全目标 中的安全功能要求和安全保证要求在第2 3部分选取 这些安全要求的完备性和一致性 由第2 3两部分来保证 保护轮廓与安全目标的关系 CC 第一部分介绍和通用模型 安全就是保护资产不受威胁 威胁可依据滥用被保护资产的可能性进行分类所有的威胁类型都应该被考虑到在安全领域内 被高度重视的威胁是和人们的恶意攻击及其它人类活动相联系的 CC框架下的评估类型 PP评估PP评估的目标是为了证明PP是完备的 一致的 技术合理的 而且适合于作为一个可评估TOE的安全要求的声明ST评估ST评估具有双重目标 首先是为了证明ST是完备的 一致的 技术合理的 而且适合于用作相应TOE评估的基础其次 当某一ST宣称与某一PP一致时 证明ST满足该PP的要求TOE评估TOE评估的目标是为了证明TOE满足ST中的安全要求 三种评估的关系 CC第二部分 安全功能要求 CC的第二部分是安全功能要求 对满足安全需求的诸安全功能提出了详细的要求另外 如果有超出第二部分的安全功能要求 开发者可以根据 类 族 组件 元素 的描述结构表达其安全要求 并附加在其ST中 安全功能需求层次关系 CC的11个安全功能类 FAU类 安全审计FCO类 通信FCS类 密码支持FDP类 用户数据保护FIA类 标识与鉴别FMT类 安全管理FPR类 隐秘FPT类 TSF保护FAU类 资源利用FTA类 TOE访问FTP类 可信路径 信道 CC 第三部分评估方法 CC的第三部分是评估方法部分 提出了PP ST TOE三种评估 共包括10个类 但其中的APE类与ASE类分别介绍了PP与ST的描述结构及评估准则维护类提出了保证评估过的受测系统或产品运行于所获得的安全级别上的要求只有七个安全保证类是TOE的评估类别 7个安全保证类 ACM类 配置管理CM自动化CM能力CM范围ADO类 交付和运行交付安装 生成和启动ADV类 开发功能规范高层设计实现表示TSF内部低层设计表示对应性安全策略模型 AGD类 指南文档管理员指南用户指南ALC类 生命周期支持开发安全缺陷纠正生命周期定义工具和技术ATE类 测试覆盖范围深度功能测试独立性测试AVA类 脆弱性评定隐蔽信道分析误用TOE安全功能强度脆弱性分析 安全保证要求部分提出了七个评估保证级别 EvaluationAssuranceLevels EALs 分别是 7个评估保证级别 7个评估保证级别 CC的EAL与其他标准等级的比较 CC优缺点 CC的优点CC代表了先进的信息安全评估标准的发展方向 基于CC的IT安全测评认证正在逐渐为更多的国家所采纳 CC的互认可协定签署国也在不断增多 根据IT安全领域内CC认可协议 在协议签署国范围内 在某个国家进行的基于CC的安全评估将在其他国家内得到承认 截止2003年3月 加入该协议的国家共有十五个 澳大利亚 新西兰 加拿大 芬兰 法国 德国 希腊 以色列 意大利 荷兰 挪威 西班牙 瑞典 英国及美国 到2001年底 所有已经经过TCSEC评估的产品 其评估结果或者过时 或者转换为CC评估等级 CC优缺点 CC缺点 CC应用的局限性 比如该标准在开篇便强调其不涉及五个方面的内容 行政性管理安全措施 物理安全 评估方法学 认可过程 对密码算法固有质量的评价 而这些被CC忽略的内容恰恰是信息安全保障工作中需要特别予以注意的重要环节 CC还有一个明显的缺陷 即它没有数学模型的支持 即理论基础不足 TCSEC还有BLP模型的支持 其安全功能可以得到完善的解释 安全功能的实现机制便有章可循 对于增加的完整性 可用性 不可否认性等要求 只局限于简单的自然语言描述 不能落实到具体的安全机制上 更无从评价这些安全要求的强度 CC优缺点 所以 CC并不是万能的 它仍然需要与据各个国家的具体要求 与其他安全标准相结合 才能完成对一个信息系统的完整评估 目前得到国际范围内认可的是ISO IEC15408 CC 我国的GB T18336等同采用ISO IEC15408 安全评估 安全评估发展过程安全评估标准介绍可信计算机系统评估准则 TCSEC 通用准则CC信息安全保证技术框架IATFBS7799 ISO17799我国信息安全保护准则 计算机信息系统安全保护等级划分准则 信息系统安全保护等级应用指南 信息安全保证技术框架 IATF 信息保证技术框架 InformationAssuranceTechnicalFramework IATF 为保护政府 企业信息及信息基础设施提供了技术指南IATF对信息保证技术四个领域的划分同样适用于信息系统的安全评估 它给出了一种实现系统安全要素和安全服务的层次结构 信息安全保证技术框架 IATF 信息安全保证技术框架将计算机信息系统分4个部分 本地计算环境区域边界网络和基础设施支撑基础设施 信息安全保证技术框架 IATF 本地计算环境一般包括服务器客户端及其上面的应用 如打印服务 目录服务等 操作系统数据库基于主机的监控组件 病毒检测 入侵检测 信息安全保证技术框架 IATF 区域是指在单一安全策略管理下 通过网络连接起来的计算设备的集合区域边界是区域与外部网络发生信息交换的部分区域边界确保进入的信息不会影响区域内资源的安全 而离开的信息是经过合法授权的边界的主要作用是防止外来攻击它也可以来对付某些恶意的内部人员这些内部人员有可能利用边界环境来发起攻击通过开放后门 隐蔽通道来为外部攻击提供方便 信息安全保证技术框架 IATF 区域边界上有效的控制措施包括防火墙门卫系统VPN标识和鉴别访问控制等有效的监督措施包括基于网络的入侵检测系统 IDS 脆弱性扫描器局域网上的病毒检测器等 信息安全保证技术框架 IATF 网络和基础设施在区域之间提供连接 包括局域网 LAN 校园网 CAN 城域网 MAN 广域网等其中包括在网络节点间 如路由器和交换机 传递信息的传输部件 如 卫星 微波 光纤等 以及其他重要的网络基础设施组件如网络管理组件 域名服务器及目录服务组件等 信息安全保证技术框架 IATF 对网络和基础设施的安全要求主要是鉴别访问控制机密性完整性抗抵赖性可用性 信息安全保证技术框架 IATF 支撑基础设施提供了一个IA机制在网络 区域及计算环境内进行安全管理 提供安全服务所使用的基础主要为以下内容提供安全服务 终端用户工作站web服务应用文件DNS服务目录服务等 信息安全保证技术框架 IATF IATF中涉及到两个方面的支撑基础设施 KMI PKI检测响应基础设施KMI PKI提供了一个公钥证书及传统对称密钥的产生 分发及管理的统一过程检测及响应基础设施提供对入侵的快速检测和响应 包括入侵检测 监控软件 CERT等 信息安全保证技术框架 IATF 深度保卫战略在信息保证技术框架 IATF 下提出保卫网络和基础设施保卫边界保卫计算环境支持基础设施 信息安全保证技术框架 IATF 其中使用多层信息保证 IA 技术来保证信息的安全意味着通过对关键部位提供适当层次的保护就可以为组织提供有效的保护这种分层的策略允许在恰当的部位存在低保证级别的应用 而在关键部位如网络边界部分采用高保证级别的应用 信息安全保证技术框架 IATF 区域边界保护内部的计算环境 控制外部用户的非授权访问 同时控制内部恶意用户从区域内发起攻击根据所要保护信息资源的敏感级别以及潜在的内外威胁 可将边界分为不同的层次 信息安全保证技术框架 IATF 在对信息系统进行安全评估时 可以依据这种多层的深度保卫战略对系统的构成进行合理分析根据系统所面临的各种威胁及实际安全需求分别对计算环境 区域边界 网络和基础设施 支撑基础设施进行安全评估对系统的安全保护等级作出恰当的评估 信息安全保证技术框架 IATF 在网络上 有三种不同的通信流 用户通信流控制通信流管理通信流信息系统应保证局域内这些通信流的安全直接假设KMI PKI等支撑基础设施的实施过程是安全的 安全评估 安全评估发展过程安全评估标准介绍可信计算机系统评估准则 TCSEC 通用准则CC信息安全保证技术框架IATFBS7799 ISO17799我国信息安全保护准则 计算机信息系统安全保护等级划分准则 信息系统安全保护等级应用指南 BS7799 1995年 英国制定国家标准BS7799第一部分 信息安全管理事务准则 并提交国际标准组织 ISO 成为ISODIS14980 1998年 英国公布BS7799第二部分 信息安全管理规范 并成为信息安全管理认证的依据 同年 欧盟于1995年10月公布之 个人资料保护指令 自1998年10月25日起正式生效 要求以适当标准保护个人资料 2000年 国际标准组织ISO IECJTCSC27在日本东京10月21日通过BS7799 1 成为ISODIS17799 1 2000年12月1日正式发布 BS7799 目前除英国之外 国际上已有荷兰 丹麦 挪威 瑞典 芬兰 澳大利亚 新西兰 南非 巴西已同意使用BS7799 日本 瑞士 卢森堡表示对BS7799感兴趣 我国的台湾 香港地区也在推广该标准 BS7799 ISO IEC17799 在欧洲的证书发放量已经超过ISO9001 但是 ISO17799不是认证标准 目前正在修订 BS7799 2是认证标准 作为国际标准目前正在讨论 BS7799内容 总则 要求各组织建立并运行一套经过验证的信息安全管理体系 ISMS 用于解决如下问题 资产的保管 组织的风险管理 管理标的和管理办法 要求达到的安全程度 建立管理框架确立并验证管理目标和管理办法时需采取如下步骤 定义信息安全策略定义信息安全管理体系的范围进行合理的风险评估决定应加以管理的风险领域选出合理的管理标的和管理办法 并加以实施准备可行性声明对上述步骤的合理性应按规定期限定期审核 BS7799部分 BS7799 1 1999 信息安全管理实施细则 是组织建立并实施信息安全管理体系的一个指导性的准则 主要为组织制定其信息安全策略和进行有效的信息安全控制提供的一个大众化的最佳惯例 BS7799 2 2002 信息安全管理体系规范 规定了建立 实施和文件化信息安全管理体系 ISMS 的要求 规定了根据独立组织的需要应实施安全控制的要求 即本标准适用以下场合 组织按照本标准要求建立并实施信息安全管理体系 进行有效的信息安全风险管理 确保商务可持续性发展 作为寻求信息安全管理体系第三方认证的标准 BS7799标准第二部分明确提出安全控制要求 标准第一部分对应给出了通用的控制方法 措施 因此可以说 标准第一部分为第二部分的具体实施提供了指南 BS7799 2 2002十大管理要项 BS7799与其他标准的比较 BS7799完全从管理角度制定 并不涉及具体的安全技术 实施不复杂 主要是告诉管理者一些安全管理的注意事项和安全制度 信息技术安全性评估准则 CC 和美国国防部可信计算机评估准则 TCSEC 等更侧重于对系统和产品的技术指标的评估 系统安全工程能力成熟模型 SSE CMM 更侧重于对安全产品开发 安全系统集成等安全工程过程的管理 总的来说 BS7799涵盖了安全管理所应涉及的方方面面 全面而不失可操作性 提供了一个可持续提高的信息安全管理环境 推广信息安全管理标准的关键在重视程度和制度落实方面 它是目前可以用来达到一定预防标准的最好的指导标准 制订信息安全方针 定义ISMS范围 进行风险评估 实施风险管理 选择控制目标措施 准备适用声明 第一步 第二步 第三步 第四步 第五步 第六步 BS7799实施过程 第一步制订信息安全方针组织应定义信息安全方针 信息安全是指保证信息的保密性 完整性和可用性不受破坏 建立信息安全管理体系的目标是对公司的信息安全进行全面管理 信息安全方针是由组织的最高管理者正式制订和发布的该组织的信息安全的目标和方向 用于指导信息安全管理体系的建立和实施过程 要经最高管理者批准和发布体现了最高管理者对信息安全的承诺与支持要传达给组织内所有的员工要定期和适时进行评审目的和意义为组织提供了关注的焦点 指明了方向 确定了目标 确保信息安全管理体系被充分理解和贯彻实施 统领整个信息安全管理体系 BS7799实施过程 第一步制订信息安全方针信息安全方针的内容包括但不限于 组织对信息安全的定义信息安全总体目标和范围最高管理者对信息安全的承诺与支持的声明符合相关标准 法律法规 和其它要求的声明对信息安全管理的总体责任和具体责任的定义相关支持文件注意事项相关支持文件简单明了易于理解可实施避免太具体 BS7799实施过程 第二步确定ISMS范围BS7799 2对ISMS的要求 组织应定义信息安全管理体系的范围 范围的边界应依据组织的结构特征 地域特征 资产和技术特点来确定 可以根据组织的实际情况 将组织的一部分定义为信息安全管理范围 也可以将组织整体定义为信息安全管理范围 信息安全管理范围必须用正式的文件加以记录 ISMS范围文件文件是否明白地描述了信息安全管理体系的范围范围的边界和接口是否已清楚定义 BS7799实施过程 第三步风险评估BS7799 2对ISMS的要求 组织应进行适当的风险评估 风险评估应识别资产所面对的威胁 脆弱性 以及对组织的潜在影响 并确定风险的等级 是否执行了正式的和文件化的风险评估 是否经过一定数量的员工验证其正确性 风险评估是否识别了资产的威胁 脆弱性和对组织的潜在影响 风险评估是否定期和适时进行 BS7799实施过程 第四步风险管理BS7799 2对ISMS的要求 组织应依据信息安全方针和组织要求的安全保证程度来确定需要管理的信息安全风险 根据风险评估的结果 选择风险控制方法 将组织面临的风险控制在可以接受的范围之内 是否定义了组织的风险管理方法 是否定义了所需的信息安全保证程度 是否给出了可选择的控制措施供管理层做决定 BS7799实施过程 第五步选择控制目标和控制措施BS7799 2对ISMS的要求 组织应选择适当的控制措施和控制目标来满足风险管理的要求 并证明选择结果的正确性 选择的控制措施是否建立在风险评估的结果之上 是否能从风险评估中清楚地看出哪一些是基本控制措施 哪一些是必须的 哪一些是可以考虑选择的控制措施 选择的控制措施是否反应了组织的风险管理战略 针对每一种风险 控制措施都不是唯一的 要根据实际情况进行选择 BS7799实施过程 第五步选择控制目标和控制措施BS7799 2对ISMS的要求 未选择某项控制措施的原因风险原因 没有识别出相关的风险财务原因 财务预算的限制环境原因 安全设备 气候 空间等技术 某些控制措施在技术上不可行文化 社会环境的限制时间 某些要求目前无法实施其它 BS7799实施过程 第六步准备适用声明BS7799 2对ISMS的要求 组织应准备适用声明 记录已选择的控制措施和理由 以及未选择的控制措施及其理由 在选择了控制目标和控制措施后 对实施某项控制目标 措施和不实施某项控制目标 措施进行记录 并对原因进行解释的文件 未来实现公司ISMS适用声明 BS7799实施过程 安全评估 安全评估发展过程安全评估标准介绍可信计算机系统评估准则 TCSEC 通用准则CC信息安全保证技术框架IATFBS7799 ISO17799我国信息安全保护准则 计算机信息系统安全保护等级划分准则 信息系统安全保护等级应用指南 系统安全保护等级划分准则 公安部组织制订了 计算机信息系统安全保护等级划分准则 国家标准于1999年9月13日由国家质量技术监督局审查通过并正式批准发布于2001年1月1日执行该准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检查提供了依据为安全产品的研制提供了技术支持为安全系统的建设和管理提供了技术指导是我国计算机信息系统安全保护等级工作的基础 系统安全保护等级划分准则 GA388 2002 计算机信息系统安全等级保护操作系统技术要求 GA391 2002 计算机信息系统安全等级保护管理要求 GA T387 2002 计算机信息系统安全等级保护网络技术要求 GA T389 2002 计算机信息系统安全等级保护数据库管理系统技术要求 GA T390 2002 计算机信息系统安全等级保护通用技术要求 系统安全保护等级划分准则 准则 规定了计算机系统安全保护能力的五个等级 即 第一级 用户自主保护级第二级 系统审计保护级第三级 安全标记保护级第四级 结构化保护级第五级 访问验证保护级 系统安全保护等级划分准则 用户自主保护级 计算机信息系统可信计算基通过隔离用户与数据 使用户具备自主安全保护的能力 它具有多种形式的控制能力 对用户实施访问控制 即为用户提供可行的手段 保护用户和用户组信息 避免其他用户对数据的非法读写与破坏 系统安全保护等级划分准则 系统审计保护级 与用户自主保护级相比 计算机信息系统可信计算基实施了粒度更细的自主访问控制它通过登录规程 审计安全性相关事件和隔离资源 使用户对自己的行为负责 系统安全保护等级划分准则 安全标记保护级 计算机信息系统可信计算基具有系统审计保护级所有功能此外 还提供有关安全策略模型 数据标记以及主体对客体强制访问控制的非形式化描述具有准确地标记输出信息的能力消除通过测试发现的任何错误 系统安全保护等级划分准则 结构化保护级 计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体此外 还要考虑隐蔽通道计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素 系统安全保护等级划分准则 计算机信息系统可信计算基的接口也必须明确定义 使其设计与实现能经受更充分的测试和更完整的复审加强了鉴别机制支持系统管理员和操作员的职能提供可信设施管理增强了配置管理控制系统具有相当的抗渗透能力 系统安全保护等级划分准则 访问验证保护级计算机信息系统可信计算基满足访问监控器需求访问监控器仲裁主体对客体的全部访问访问监控器本身是抗篡改的 必须足够小 能够分析和测试 系统安全保护等级划分准则 访问验证保护级支持安全管理员职能扩充审计机制 当发生与安全相关的事件时发出信号提供系统恢复机制系统具有很高的抗渗透能力 安全评估 安全评估发展过程安全评估标准介绍可信计算机系统评估准则 TCSEC 通用准则CC信息安全保证技术框架IATFBS7799 ISO17799我国信息安全保护准则 计算机信息系统安全保护等级划分准则 信息系统安全保护等级应用指南 应用指南 通用部分 前三部分主要介绍了该准则的应用范围 规范性引用文件以及一些术语的定义 应用指南详细说明了为实现 准则 所提出的安全要求应采取的具体安全策略和安全机制 以及为确保实现这些安全策略和安全机制的安全功能达到其应具有的安全性而采取的保证措施第四部分是总体结构与说明 给出了 准则 应用指南 技术要求 的总体结构 并对有关内容作一般性说明 包括安全要求与目标 组成与结构和一般说明 应用指南 通用部分 安全要求与目标 无论是安全保护框架的描述 还是安全目标的设计 都要从安全功能的完备性 一致性和有效性等方面进行考虑 应用指南在对安全功能和安全保证进行详细说明以后 对 准则 各个安全等级的不同要求分别进行详细描述安全功能主要说明一个计算机信息系统所实现的安全策略和安全机制符合 准则 中哪一级的功能要求安全保证则是通过一定的方法保证计算机信息系统所提供的安全功能确实达到了确定的功能要求和强度一般说明部分 对本指南内容 安全等级划分 主体和客体 引起信息流动的方式 密码技术 安全的计算机信息系统开发方法进行了进一步的说明 应用指南 通用部分 第五部分是安全功能技术要求说明 为了对计算机信息系统安全功能的实现进行了完整的描述 这里将实现这些安全功