国内外信息安全标准与信息安全模型ppt课件.pptx

国内外信息安全标准与模型 1 信息安全标准概述国际标准 ISO IEC系列信息安全标准国际标准 COBIT国内标准 等级保护安全标准的总结问题与回答 提纲 2 信息安全标准概述 信息安全的重要性得到广泛的关注 与此同时 国际和国内的各种官方和科研机构都发布了大量的安全标准 这些标准都是为实现安全目标而服务 并从不同的角度对如何保障组织的信息安全提供了指导 第3页 3 信息安全标准的演进 第4页 4 主要的信息安全标准 国际标准 5 主要的信息安全标准 国际标准 续 除了上述标准 世界各国的官方机构和行业监管机构还有许多信息安全方面的标准 指引和建议的操作实践 第6页 第6页 提纲 信息安全标准概述国际标准 ISO IEC系列信息安全标准国际标准 COBIT国内标准 等级保护安全标准的比较问题与回答 第7页 7 主要的信息安全标准 国内标准 第8页 第8页 在下面的课程中 我们会主要介绍以下标准 ISO系列安全标准 包括ISO17799 ISO27001 ISO27002ISO IEC15408ISO IEC13335ISO TR13569ISACA的COBIT4 1全国信息安全标准化技术委员会的等级保护系列标准 第9页 课程主要内容 9 目录 信息安全标准概述国际标准 ISO IEC系列信息安全标准国际标准 COBIT国内标准 等级保护安全标准的总结问题与回答 10 国际标准化组织简介 国际标准化组织 InternationalOrganizationforStandardization 是由多国联合组成的非政府性国际标准化机构 到目前为止 ISO有正式成员国120多个 国际标准化组织1946年成立于瑞士日内瓦 负责制定在世界范围内通用的国际标准 ISO技术工作是高度分散的 分别由2700多个技术委员会 TC 分技术委员会 SC 和工作组 WG 承担 ISO技术工作的成果是正式出版的国际标准 即ISO标准 ISO在信息安全方面的标准主要包括 ISO17799 ISO27001 ISO27002ISO IEC15408ISO IEC13335ISO TR13569 第11页 11 关于ISO IEC17799 27001 27002 ISO IEC17799是由国际标准化组织 ISO 与IEC 国际电工委员会 共同成立的联合技术委员会ISO IECJTC1 以英国标准BS7799为蓝本而制定的一套全面和复杂的信息安全管理标准 ISO IEC17799于2000年正式颁布 ISO IEC17799标准由两部分构成 第一部分是信息安全管理体系的实施指南 相当于BS7799 1 第二部分是信息安全管理体系规范 相当于BS7799 2 ISO IEC17799标准的内容涉及10个领域 36个管理目标和127个控制措施 2005年ISO17799更名为ISO27001和ISO27002 分别为 ISO IEC27001 2005Informationtechnology Securitytechniques Informationsecuritymanagementsystems RequirementsISO IEC27002 2005Informationtechnology Securitytechniques Codeofpracticeforinformationsecuritymanagement2007年ISO又颁布了Informationtechnology Securitytechniques Requirementsforbodiesprovidingauditandcertificationofinformationsecuritymanagementsystems 第12页 12 ISO IEC17799模型 ISO IEC17799标准的内容涉及10个领域 36个控制目标和127个控制措施 第13页 13 ISO17799模型 SecurityPolicy AssetClassificationAndControl SecurityOrganization 纪录和沟通信息系统政策和法规的审核 分配职责和分工 第3方授权 风险 控制的外包 资产的保存 对于敏感 商业风险的区分 第14页 14 ISO17799模型 PersonalSecurity Comm OpsManagement PhysicalandEnvironmentSecurity 员工聘请 知识培训 事故报告等 物理安全参数 设备保护 桌面及电脑的重要文件的保护 事故流程 职责分离 系统规划 电子邮件控制 第15页 15 ISO17799模型 AccessControl BusinessContinuityPlanning SystemDevelopmentandMaintenance 权限管理 包括应用系统 操作系统 网络 变更控制 环境划分 安全设备 商业可持续性计划及其框架 测试计划以及计划的维护和更新 Compliance 版权控制 记录和信息的保存 数据保护 公司制度的服从 第16页 16 ISO IEC27001 27002 2005的內容 总共分成11个领域 39个控制目标 133个控制措施 11个领域包括A 1SecurityPolicyA 2organizationofinformationsecurityA 3AssetmanagementA 4HumanresourcessecurityA 5PhysicalandenvironmentalsecurityA 6CommunicationsandoperationsmanagementA 7AccesscontrolA 8Informationsystemsacquisition developmentandmaintenanceA 9InformationsecurityincidentmanagementA 10BusinesscontinuitymanagementA 11Compliance 第17页 17 关于ISO IEC15408 90年代开始 由于Internet的日益普及 信息安全领域呼吁修改桔皮书 以解决商用信息系统安全问题 1991年欧盟 EuropeanCommission 颁布了ITSEC InformationTechnologySecurityEvaluationCriteria 信息技术安全评估准则 在此基础上 美国 加拿大 英国 法国等7国组织联合研制了 信息技术评估安全公共准则 CC CommonCriteria 1999年6月ISO通过了ISO IEC15408安全评估准则 ISO IEC15408 1999SecurityTechniques EvaluationCriteriaforITSecurity 目前的最新版本于2005年发布 ISO IEC15408是基于多个标准而产生的 它的演进过程如下图所示 第18页 18 ISO IEC15408的内容 ISO IEC15408由以下三部分组成 第一部分 介绍和一般模型第二部分 安全功能需求第三部分 安全认证需求ISO IEC15408准则比以往的其他信息技术安全评估标准更加规范 采用以下方式定义 类别 CLASS 认证族 ASSURANCEFAMILY 认证部件 ASSURANCECOMPONENT 认证元素 ASSURANCEELEMENT 其中类别中有若干族 族中有若干部件 部件中有若干元素 第19页 19 ISO IEC15408的特点 ISO IEC15408信息技术安全评估准则中讨论的是TOE targetofevaluation 即评估对象 该准则关注于评估对象的安全功能 安全功能执行的是安全策略 ISO IEC15408定义了安全属性 包括用户属性 客体属性 主体属性 和信息属性 ISO IEC15408加强了完整性和可用性的防护措施 强调了抗抵赖性的安全要求 ISO IEC15408还定义了加密的要求 强调对用户的隐私保护 ISO IEC15408还讨论了某些故障 错误和异常的安全保护问题 第20页 20 ISO IEC15408的类别 ISO IEC15408中 类别 class 代表最概括的分类和定义方式 包括 安全功能类别 共11个 分别为安全审计 通信 加密支持 用户数据防护 标识与鉴别 安全管理 隐私 安全功能的防护 资源利用 对评估对象的访问 可信通路 通道 安全认知类别 共8个 分别为配置管理 递交和操作 开发 指南文档 生存期支持 测试 脆弱性评估 认证维护 评估认证级别类别 共7个 分别为评估功能测试 结构测试 方法测试和检查 半形式设计和测试 半形式验证设计和测试 形式验证设计和测试 评估类别 共3个 包括2个预评估类别和TOE评估 即评估对象的评估 其中预评估类别分别为 防护框架评估 ProtectionProfileevaluation 简称PP评估 评估的一般是某类安全产品 如防火墙等 提出测评的常为是行业组织 安全目标评估 SecurityTargetevaluation 简称ST评估 评估的一般是某一类的特定产品 如某品牌的防火墙 提出测评的常为厂商 第21页 21 ISO IEC15408的评估方法 对于信息系统和产品进行安全认证ISO IEC15408通常采用如下方法进行评估 分析和检查进程与过程检查进程和过程被应用的情况分析TOE设计表示一致性分析TOE设计表示与需求的满足性验证分析指南文档分析功能测试和测试结果独立功能测试分析脆弱性 包括漏洞假说 侵入测试等 TOE是评估对象 TargetofEvaluation 的缩写 第22页 22 关于ISO IEC13335 ISO IEC13335InformationTechnology GuidelinesfortheManagementofITSecurity是一套关于信息安全管理的技术文件 共由五个部分组成 这五个组成部分分别在1996至2001年间发布 第一部分 安全概念和模型 Part1 ConceptsandModelsforITSecurity 发布于1996年12月15日 第二部分 安全管理和规划 Part2 ManagingandPlanningITSecurity 发布于1997年12月15日 第三部分 安全管理技术 Part3 TechniquesfortheManagementofITSecurity 发布于1998年6月15日 第四部分 保护的选择 Part4 SelectionofSafeguards 发布于2000年3月1日 第五部分 外部联接的防护 Part5 ManagementGuidanceonNetworkSecurity 发布于2001年1月2日 其中第一部分分别于1997年和2004年发布了更新版本 第23页 23 关于ISO13569 ISO13569的全称为ISO TR13569 2005Financialservices Informationsecurityguidelines 它提供了对于金融服务行业机构的信息安全程序开发的指导方针 它包括了对制度 组织结构和法律法规等内容的讨论 该标准对组织选择和实施安全控制 和金融机构用于管理信息安全风险的要素进行了阐述 ISO13569于1997年首次发布 分别于2003年和2005年更新 目前的最新版本为2005年的版本 第24页 24 ISO IEC13569的主要内容 ISO IEC13569是针对金融行业的信息安全标准 包括以下主要内容 组织的IT安全政策IT安全管理风险分析和评估安全保护的实施和选择IT系统保护金融服务行业专题 包括如银行卡 电子资金传输 ElectronicFundTransfer 支票 电子商务等内容 另外 还包括如加密 审计 事件管理等专项讨论 第25页 25 提纲 信息安全标准概述国际标准 ISO IEC系列信息安全标准国际标准 COBIT国内标准 等级保护安全标准的比较问题与回答 第26页 26 COBIT简介 COBIT ControlObjectivesforInformationandrelatedTechnology 是由信息系统审计与控制学会ISACA InformationSystemsAuditandControlAssociation 在1996年所公布的控制框架 目前已经更新至第4 1版 COBIT的主要目的是研究 发展 宣传权威的 最新的国际化的公认信息技术控制目标以供企业经理 IT专业人员和审计专业人员日常使用 COBIT框架共有34个IT的流程 分成四个领域 PO 计划与组织 AI 获取与实施 DS 交付与支持 和ME 监控与评估 第27页 27 COBIT来源 1992年 ISACF InformationSystemAuditandControlFoundation 发起 参阅全球不同国家 政府 标准组织的26份文件后 基于其中之18份文件 研擬COBIT 同时筹组COBIT指导委员会 SteeringCommittee 1996年 COBIT指导委员会公布COBIT第一版 1998年 COBIT指导委员会公布COBIT第二版 將第一版之32個高级控制目标 HighLevelControlObjectives 扩充成34个 2000年 COBIT指导委员会公布COBIT第三版 2005年 COBIT指导委员会公布COBIT第四版 2007年 发布COBIT4 1版 为目前最新版本 第28页 28 COBIT涉及领域 第29页 29 COBIT的组件 实施概要 管理层指引 具体控制目标 构架伴随高级控制目标 关键职能和目标说明关键的成功因素 成熟的模板 审计指引 实施工具 第30页 30 COBIT框架的原理 控制领域 Domains 流程 Processes 活动 Activities Tasks 人力资源 应用系统 基础架构 信息 信息技术资源 可信赖性需求 质量需求 信息处理要求 信息技术流程 安全性需求 第31页 31 COBIT框架的原理 IT流程管理各种IT资源 以产生 传递并存储可满足业务需求的各种信息 CobiT中定义的IT资源包括如下方面 应用系统 处理信息的自动化信息系统及相应手册程序信息 信息系统输入 处理和输出的所有形式的数据 可以被业务以任何形式使用基础架构 保障应用系统处理信息所需的技术和设施 硬件 操作系统 数据库管理系统 网络 多媒体 以及放置上述设施所需的环境 人员 策划 组织 采购 实施 交付 支持 监控和评价信息系统和服务所需的人员 可以是内部的也可以是外部的 第32页 32 提纲 信息安全标准概述国际标准 ISO IEC系列信息安全标准国际标准 COBIT国内标准 等级保护安全标准的总结问题与回答 第33页 33 全国信息安全标准化技术委员会简介 中国从1984年开始就组建了数据加密技术委员会 并在1997年8月 将该委员会改组为全国信息技术标准化分技术委员会 主要负责制定信息安全的国家标准 2001年 国家标准化管理委员会批准成立全国信息安全标准化技术委员会 简称 全国安标委 标准委员会的标号是TC260 全国信息安全标准化技术委员会包括四个工作组 信息安全标准体系与协调工作组PKI和PMI工作组信息安全评估工作组信息安全管理工作组截至2007年底 全国信息安全标准化技术委员会已经完成了国家标准59项 还有56项国家标准在研制中 第34页 34 等级保护是什么 等级保护基本概念 信息系统安全等级保护是指对信息安全实行等级化保护和等级化管理根据信息系统应用业务重要程度及其实际安全需求 实行分级 分类 分阶段实施保护 保障信息安全和系统安全正常运行 维护国家利益 公共利益和社会稳定 等级保护的核心是对信息系统特别是对业务应用系统安全分等级 按标准进行建设 管理和监督 国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度 突出重点 保障重要信息资源和重要信息系统的安全 第35页 35 等级保护法律和政策依据 中华人民共和国计算机信息系统安全保护条例 第二章安全保护制度部分规定 计算机信息系统实行安全等级保护 安全等级的划分标准和安全等级保护的具体办法 由公安部会同有关部门制定 计算机信息系统安全保护等级划分准则 GB17859 1999 技术法规 规定 国家对信息系统实行五级保护 国家信息化领导小组关于加强信息安全保障工作的意见 重点强调 实行信息安全等级保护制度 重点保护基础信息网络和重要信息系统 第36页 36 等级保护的分级 等级保护分为5级管理制度 第一级 自主保护级 信息系统受到破坏后 会对公民 法人和其他组织的合法权益造成损害 但不损害国家安全 社会秩序和公共利益 第二级 指导保护级 信息系统受到破坏后 会对公民 法人和其他组织的合法权益造成严重损害 或者对社会秩序和公共利益造成损害 但不损害国家安全 第三级 监督保护级 信息系统受到破坏后 会对社会秩序和公共利益造成严重损害 或者对国家安全造成损害 第四级 强制保护级 信息系统受到破坏后 会对社会秩序和公共利