信息安全标准上

1、LOGO 标准基础知识简介 信息安全标准化组织 国外信息安全相关标准 国内信息安全相关标准 本 讲 提 纲 LOGO 基本概念基本概念 标准化：在一定的范围内获得最佳秩序，对实 际的或潜在的问题制定共同的和重复使用的规 则的活动。 实质：通过制定、发布和实施标准，达到统一。 目的：获得最佳秩序和社会效益。 意义：促进和带动产业发展；解决安全互联互 通。 LOGO 等同采用国际标准IDT（identical） 修改采用国际标准MOD（modified） 非等效采用国际标准NEQ（not equivalent） 是指我国标准在技术内容与文本结构上均与国际标准完全相同，或者 我国标准在技术内容上可以

2、与国际标准相同，但可以包含小的编辑性修改。 是采用国际标准的基本方法之一。 是指允许我国标准和国际标准存在技术性差异，并对这些技术性差异 进行了清楚的标示和解释。是采用国际标准的基本方法之一。 是指我国标准与相应国际标准在技术内容和文本结构上均不相同，它们 之间的差异也未被清楚的标示。其不属于采用国际标准。 LOGO 标准的分类标准的分类 从世界范围，按标准的层次分类： 国际标准国际标准：由国际标准化组织（ISO）和国际电工委 员会（IEC）制定的标准。 区域标准区域标准：是世界区域性标准化组织制定的标准。 国家标准国家标准：在一个国家内通用的标准。 行业标准行业标准：是在某个行业或专业范围内

3、适用的标准。 企业标准企业标准：有企业制定的标准。 LOGO 企业标准企业标准地方标准地方标准行业标准行业标准国家标准国家标准 LOGO 国家标准国家标准 对需要在全国范围内统一的技术要求，应当制定国家标 准。 国家标准由国家标准化管理委员会编制计划、审批、编 号、发布。 国家标准代号为：GB和GB/T，其含义分别为强制性国 家标准和推荐性国家标准。 国家标准是四级标准体系中的主体，在全国范围内使用， 其他各级标准不得与之相抵触。 1998年增加一种“国家标准化指导性技术文件”，作 为国家标准的补充，其代号为GB/Z。 LOGO 行业标准行业标准 对没有国家标准又需要在全国某个行业范围内统一的

4、技 术要求，可以制定行业标准。 当相应的国家标准实施后，该行业标准应自行废止。 行业标准由行业标准归口部门编制计划、审批、编号、 发布、管理。 部分行业的行业标准代号如下： 汽车QC 化工HG 电子SJ 石油化工SH 有色金属YS 邮电通信YD 机械JB 船舶CB 电力DL 商检SN 包装BB 核工业EJ LOGO 地方标准地方标准 对没有国家标准和行业标准而又需要在省、自治区、直 辖市范围内统一的要求，可以制定地方标准。 地方标准由省、自治区、直辖市标准化行政主管部门统 一编制计划、组织制定、审批、编号、发布。 地方标准在本行政区域内使用，不得与国家标准和行业 标准相抵触。国家标准、行业标准

5、公布实施后，相应的 地方标准自行废止。 地方标准制定范围： 工业产品的安全、卫生要求； 药品、兽药、食品卫生、环境保护、节约能源、种子等法律 法规要求； 其他法律法规规定的要求。 LOGO 企业标准企业标准 是对企业范围内需要协调、统一的技术要求、管理要求 和工作要求所制定的标准。 企业标准由企业制定，企业标准是企业组织生产、经营 活动的依据，由企业法人代表或法人代表授权的主管领 导批准、发布。 企业产品标准应在发布后30日内向政府备案。 LOGO 按法律的约束性分类： 强制性强制性 标准标准 推荐性推荐性 标准标准标准化指标准化指 导性技术导性技术 文件文件 LOGO 技术标准 管理标准 工

6、业标准 LOGO 按标准化的对象和作用分类： 分类分类 基础标准基础标准 产品标准产品标准 方法标准方法标准 安全标准安全标准 卫生标准卫生标准 环境保护标准环境保护标准 LOGO 标准化三维空间标准化三维空间 国际级 区域级 国家级 行业级 地方级 企业级 人员 服务 系统 产品 过程 术语 体系、框架 技术机制 应用 管理 Y X Z X轴代表标准化的对象 Y轴代表标准化的内容 Z轴代表标准化的级别 LOGO 八字原理八字原理 我国通行我国通行“标准化八字原理标准化八字原理” 统一统一 简化简化 协调协调 最优最优 LOGO 我国标准工作归口单位我国标准工作归口单位 国家标准化管理委员会h

7、ttp:/ 全国信息安全标准化技术委员会（简称信息安全标委会， TC260）http:/ 全国信息技术标准化技术委员会（简称信标委， CITS），负责全国信息技术领域以及与ISO/IEC JTC1 相对应的标准化工作。http:/ 全国金融标准化技术委员会（简称金标委），负责金融 系统标准化技术归口管理工作和国际标准化组织中银行 与相关金融业务标准化技术委员会的归口管理工作。 / LOGO IT标准化标准化 IT标准发展趋势 1. 标准逐步从技术驱动向市场驱动方向发展。 2. 信息技术标准化机构由分散走向联合。 3. 信息技术标准化的内容更加广泛，重点更加

8、突出， 从IT技术领域向社会各个领域渗透，涉及教育、 文化、医疗、交通、商务等广泛领域，需求大量 增加。 4. 从技术角度看，IT标准化的重点将放在网络接口、 软件接口、信息格式、安全等方面，并向着以技 术中立为前提，保证互操作为目的方向发展。 LOGO 标准基础知识简介 信息安全标准化组织 国外信息安全相关标准 国内信息安全相关标准 本 讲 提 纲 LOGO 国际信息安全标准化组织国际信息安全标准化组织 国际标准化组织（ISO） 建于1947年2月23日 2952个技术成员 工作成果发布为国际标准（IS） u由146个国家标准成员组成的世界联盟 190个技术委员会(TCs)、544个子委员会

9、(SCs)、2188个工 作组(WGs) u与安全相关机构 ISO/IEC JTC 1/SC 27：IT安全技术 ISO TC 68：金融服务 ISO TC 215：健康医疗学 LOGO 国际标准化组织（ISO） uJTC1其他分技术委员会 SC6系统间通信与信息交换 SC17识别卡和有关设备 SC18文件处理及有关通信 SC21开放系统互连，数据处理和开放式分布处理 SC22程序语言，其环境及系统软件接口，也开发相 应的安全标准 SC30开放式电子数据交换，主要开发电子数据交换 的有关安全标准 LOGO 国际电工委员会（IEC） u正式成立于1906年10月，是世界上成立最早的专 门国际标准

10、化机构。 u成立的相关技术委员会： TC56：可靠性 TC74：IT设备安全与功效 TC77：电磁兼容 TC108：音频/视频 CISPR：无线电干扰特别委员会 LOGO 国际电信联盟（ITU） u成立于1865年5月17日，其前身是国际电报和电 话咨询委员会（CCITT）。 u主要负责研究通信系统安全标准。 uITU SG17组主要研究方向： 通信安全项目 安全架构与框架 计算安全 安全管理 用于安全的生物测定 安全通信服务 LOGO Internet工程任务组（IETF） u始创于1986年，包括170多个RFC，12个工作组 u主要任务：负责互联网相关技术规范的研发和制定。 uIETF安

11、全工作小组： PGP开发规范（openpgp） 鉴别防火墙遍历（aft） 通用鉴别技术（cat） 域名服务系统安全（dnssec） IP安全协议（ipsec） 一次性口令鉴别（otp） X.509公钥基础设施（pkix） S/MIME安全电子邮件（smime） 安全Shell（secsh) 传输层安全（tls） LOGO 电气和电子工程师学会（IEEE） u1963年1月1日由美国无线电工程师协会(IRE, 创立 于1912年)和美国电气工程师协会(AIEE,创建于 1884年)合并而成。 uIEEE 802委员会，成立于1980年2月，任务是制定 局域网的国际标准（802.117）。 高层接

12、口 逻辑链路控制 CSMA/CD网 令牌总线网 令牌环网 城域网 LOGO 欧洲计算机制造商协会（ECMA） u负责适用于计算机技术的各种的标准的制定和颁布。 TC32“通信、网络和系统互连” 曾定义了开放系统应用层安全结构。 TC36“IT安全”负责信息技术设 备的安全标准。 LOGO 外国信息安全标准化组织外国信息安全标准化组织 美国 美国国家标准协会（ANSI） 国家标准与技术研究院（NIST） 美国国防部（DOD） NCITS-T4 制定IT安全技术标准 X9 制定金融业务标准 X12 制定商业交易标准 负责联邦政府非密敏感信息 其工作以NIST出版物（FIPSPUB）和NIST特别出

13、版 物（SPECPUB）等形式发布 制定了数据加密标准DES、密钥托管加密标准EES 负责涉密信息 NSA(National Security Agency，美国国家安全局) 国防部指令（DODI）（如TCSEC） LOGO 英国 BS 7799 医疗卫生信息系统安全 加拿大 计算机安全管理 日本 JIS 国家标准 JISC 工业协会标准 韩国 KISA负责 防火墙、IDS、PKI方面标准 LOGO ISO/IEC JTC1 SC27 ISO/IEC JTC1 SC27IT安全技术 其工作领域是IT安全的通用方法和技术，包括： ISO/IEC JTC1 SC27已成为信息安全领域最具 权威和得

14、到国际最广泛认可的标准化组织。 为IT安全服务识别通用要求（包括要求方法）； 开发安全技术和机制（包括注册流程以及安全组件的关系）； 开发安全指南（例如：解释文件、风险分析）； 开发管理支持文件和标准（例如：术语和安全评估准则）。 LOGO SC27的5个工作组方向： WG3 安全评估 WG1 信息安全管理体系 WG4 安全控制与服务 WG2 密码与安全机制 WG5 身份管理与隐私技术 评估评估 指南指南 技术技术 产品产品系统系统过程过程环境环境 LOGO ISO/IEC JTC1 SC27标准动态表标准动态表 标准号标准号标准名称标准名称 ISO/IEC TR 13335-3IT安全管理指

15、南-第三部分：IT安全管理技术 ISO/IEC TR 13335-4IT安全管理指南-第四部分：安全措施选择 ISO/IEC TR 13335-1信息与通信技术安全管理-第一部分：信息 与通信技术安全管理的概念和模型 ISO/IEC 27000信息安全管理体系-概念和词汇 ISO/IEC 27001信息安全管理体系-要求 ISO/IEC 27002信息安全管理实用规则 ISO/IEC 27003信息安全管理体系实现指南 ISO/IEC 27004信息安全管理测量 ISO/IEC 27005信息安全风险管理 ISO/IEC 27006信息安全管理体系审核认证机构的要求 ISO/IEC 27007

16、信息安全管理体系审核指南 ISO/IEC 7064校验字符系统 LOGO 国内信息安全标准化组织国内信息安全标准化组织 全国信息安全标准化技术委员会简称信安 标委（TC260） 2002年4月15日成立 负责组织开展国内信息安全有关的标准化工作 工作范围包括： 共76个标准（13项修订标准） 50项标准正在研制中 安全技术 安全机制 安全服务 安全管理 安全评估 LOGO TC260工作组 WG1：信息安全标准体系与协调工作组 WG2：涉密信息系统安全保密标准工作组 WG3：密码技术标准工作组 WG4：鉴别与授权工作组 WG5：信息安全评估工作组 WG7：信息安全管理工作组 LOGO 信安标委

17、工作组信安标委工作组工作任务工作任务 WG1 研究信息安全标准体系 跟踪国际标准发展动态 研究信息安全标准需求 研究并提出新工作项目及设立新工作组的建议 协调过工作组项目 WG2 研究提出涉密信息系统安全保密标准体系 制定和修改涉密信息系统安全保密标准 WG3 研究提出密码技术标准体系 研究制定密码算法、密码模块和密钥管理等相关标准 WG4 研究制定鉴别与授权标准体系 调研国内相关标准需求 研究制定鉴别与授权标准 WG5 调研测评标准现状与发展趋势 研究我国统一测评标准体系的思路和框架，提出测评标准体系 研究制定急需的测评标准 WG7 研究信息安全管理动态，调研国内管理标准需求 研究提出信息安

18、全管理标准体系 制定信息安全管理相关标准 LOGO 信安标委制定国家信息安全标准流程： 立项申请提 出草案 工作组征求 意见 评审通过形 成送审稿 秘书处网上 征求意见 评审通过形 成送批稿 主任办公会 审查 国标委批准 发布 定期复审提 出修改 LOGO 国内其他信息安全标准管理机构国内其他信息安全标准管理机构 国家保密局 行业标准化组织 负责管理、发布并强制执行国家保密标准。 国家保密标准和国家保密法规共同构成我国保密管理的 重要基础。 公安部信息系统安全标准化技术委员会 中国通信标准化协会网络与信息安全技术工作委员会 成立于1999年3月31日 负责规划和制定我国公共安全行业信息安全标准

19、和技术 规范，监督技术标准的实施。 成立于2003年12月 专门组织、研究和制定通信行业网络与信息安全相关的 技术标准和技术规范。 LOGO 标准基础知识简介 信息安全标准化组织 国外信息安全相关标准 国内信息安全相关标准 本 讲 提 纲 LOGO 国外信息安全相关标准和指南国外信息安全相关标准和指南 OECD 指南指南 GASSP 英国英国 BSI BS 7799-1 BS 7799-2 美国美国 NIST NIST SP 800-53 NIST SP 800-30 COBIT ITIL ISO/IEC 17799 ISO/IEC 27001 ISO/IEC 13335 ISO/IEC 27

20、000系列系列 CNITSEC 信息系统安全保障框架信息系统安全保障框架 管理保障部分管理保障部分 国外组织 机构指南 国外国家 标准指南 信息系统 审计领域 IT服务 管理领域 LOGO BS 7799标准标准 由英国标准协会BSI制定 BS 7799标准： BS 7799-1:1999信息安全管理实用规则 BS 7799-2:2002 信息安全管理体系规范 BS 7799-3:2002 信息安全风险评估 安全方针的制定 安全责任的归属 风险的评估 访问控制 防病毒相关策略 BS 7799广泛涵盖所有信息安全议题： LOGO BS 7799-1 是组织建立并实施信息安全管理的一个指导性准则

21、从以下10个方面定义了127 项控制措施： 安全政策 组织安全 资产分类与控制 人员安全 物理与环境安全 业务连续性管理 符合性管理 通信与操作管理 访问控制 系统开发与维护 侧重于组织整体侧重于组织整体 的管理和运营操作的管理和运营操作 与信息安全技术相与信息安全技术相 关关 LOGO BS 7799-2 引用PDCA模型，将信息安全管理体系分解成4个 子过程： 1）风险评估 3）安全管理 2）安全设计与执行 4）再评估 建立信息安全管理体系的步骤： 1）定义信息安全策略 2）定义ISMS范围 3）进行信息安全风险评估 4）信息安全风险管理 5）确定控制目标和选择控制措施 6）准备信息安全适

22、用性声明 LOGO ISO/IEC 17799标准标准 2000年12月，BS 7799-1被ISO正式批准为国 际标准，编号ISO/IEC 17799 最新版本ISO/IEC 17799:2005 提高外部风险管理要求（例如：外包、服务提供 商、第三方、业务合作伙伴或客户） 增加了服务等级协议（SLA）、审计说明 服务交付管理沿用IT服务管路标准BS 15000/ISO 20000的思想 LOGO ISO/IEC 17799:2005标准结构 前言 0引言 1范围 2术语和定义 3本标准的组织结构 4风险评估和处置 5安全策略 6信息安全的组织架构 7资产管理 8人力资源管理 9物理和坏境安

23、全 10通信和运行安全 11访问控制 12信息系统采购、开发和维护 13信息安全事故管理 14业务持续性管理 15符合性 LOGO ISO/IEC 2700X标准族标准族 ISMS要求 ISO/IEC 27001:2005 （BS 7799-2:2002) ISMS实用规则 ISO/IEC 27002:2005 （ ISO/IEC 17799) ISMS实施指南 ISO/IEC 27003 ISMS测量 ISO/IEC 27004 风险管理 ISO/IEC 27005 （ ISO/IEC 13335-3） ISMS审核和认证机构 ISO/IEC 27006:2007 ISMS概念和词汇表 IS

24、O/IEC 27000:2007（ ISO/IEC 13335-1） ISMS审核员指南 ISO/IEC 27007 特定标准和指南特定标准和指南 附录A LOGO ISO/IEC 27001:2005 2005年10月，BS 7799-2成功升级为国际标准， 编号为ISO/IEC 27001 ISO/IEC 27001是信息安全管理体系（ISMS） 的规范说明 强调风险管理的思想，指导组织建立ISMS LOGO p建立方针和目标并实现这些 目标的相互关联或相互作用 的一组要素。 p管理体系包括组织结构，策 略，规划，角色，职责，流 程，程序和资源等。 p管理的方方面面以及公司的 所有雇员，均

25、囊括在管理体 系范围内。 Quality management system (ISO 9001) Environmental management system (ISO 14001) Safety management system (OHSAS 18001) Human Food Safety management system (HACCP) IT Service Management System (ISO 20000) Information security management system (ISO 27001) 什么是管理体系？什么是管理体系？ LOGO 信息安全管理体系信

26、息安全管理体系(ISMS): 是整个管理体系的一部分，是整个管理体系的一部分， 建立在业务风险的方法上，建立在业务风险的方法上， 以：以： p建立建立 p实施实施 p运作运作 p监控监控 p评审评审 p维护维护 p改进改进 信息安全。信息安全。 职业健康职业健康 安全安全 IT服务服务 信息安全信息安全环境环境 管理体系管理体系 食品安全食品安全 质量质量 建设了建设了ISMS，尤其是获取了，尤其是获取了 ISO27001认证后，组织将在信息安认证后，组织将在信息安 全方面进入一个强制的良性循环。全方面进入一个强制的良性循环。 LOGO 0. 引言引言 1. 范围范围 2. 规范性应用文件规范

27、性应用文件 3. 术语和定义术语和定义 4. 信息安全管理体系信息安全管理体系(ISMS) 4.1 总要求总要求 4.2 建立和管理建立和管理ISMS 4.2.1 建立建立 ISMS 4.2.2 实施和运维实施和运维 ISMS 4.2.3 监控和评审监控和评审 ISMS 4.2.4 维护和改进维护和改进 ISMS 4.3 文件要求文件要求 5. 管理职责管理职责 6. ISMS的内部审核的内部审核 7. ISMS的管理评审的管理评审 8. ISMS 改进改进 附录附录A 控制目标和控制措施控制目标和控制措施 附录附录B OECD原则与本标准原则与本标准 附录附录C ISO9001:2000和和

28、ISO14001:2004对照对照 参考书目参考书目 SO/IEC27001:2005的结构的结构 27001辅助部分辅助部分 27001核心部分核心部分 （条款（条款4-8) 27001核心部分核心部分 27001辅助部分辅助部分 LOGO 27001的核心内容的核心内容 相关方相关方 受控的受控的 信息安信息安 全全 信息安信息安 全要求全要求 和期望和期望 相关方相关方 检查检查CheckCheck 建立建立ISMSISMS 实施和实施和 运行运行ISMSISMS 保持和保持和 改进改进ISMSISMS 监视和监视和 评审评审ISMSISMS 规划规划PlanPlan 实实 施施 DoD

29、o 处处 置置 ActAct 一个组织应在其整体业务活动和所面临风险风险的环境下建立、实施、 运行、监视、评审、保持和改进文件化的文件化的ISMSISMS。就本标准而言，使 用的过程基于图1所示的PDCAPDCA模型模型。 图1 应用于ISMS过程的PDCA模型 LOGO ISO27001所关注的领域所关注的领域 合规性（Compliance） 业务连续性管理（Business Continuity Management） 信息安全事故管理（Information Security Incident Management） 访问控制（Access Control） 人力资源安全 （Human

30、Resource Security） 物理和环境安全 （Physical and Environmental Security） 通信和操作管理 （Communications and Operations Management） 信息系统的获取、开发和维护 （Information System Acquisition, Development and Maintenance） 资产管理（Asset Management） 组织信息安全（Organization of Information Security） 安全策略（Information Security Policy） 信息安全策略

31、信息安全策略 信息安全组织信息安全组织 资产管理资产管理 人力资源的安全人力资源的安全 物理和环境安全物理和环境安全 通信和操作管理通信和操作管理 访问控制访问控制 信息系统的获取，开发和维护信息系统的获取，开发和维护 信息安全事故管理信息安全事故管理 业务连续性管理业务连续性管理 合规性合规性 LOGO ISO27001 正式的标准正式的标准 可认证的标准可认证的标准 管理体系的要求管理体系的要求 控制措施的要求控制措施的要求 ISO 17799 实施细则（一整套最佳实实施细则（一整套最佳实 践）践） 控制措施的实施建议和实控制措施的实施建议和实 施指导施指导 ISO27001的附录的附录A

32、的细的细 化与补充化与补充 ISO27001与与ISO17799（27002） 为为 设设 计计 控控 制制 措措 施施 提提 供供 实实 施施 指指 南南 ISO/IEC 17799为设计控制措施提供实施指南为设计控制措施提供实施指南 LOGO ISO/IEC 13335 ISO/IEC TR 13335系列：GMITS（IT安全管理指南） 系列标准 ISO/IEC IS 13335系列：MICTS（信息与通信技术安 全管理） ISO/IEC TR 13335-1:1996IT安全的概念与模型 ISO/IEC TR 13335-2:1997IT安全管理与策划 ISO/IEC TR 13335

33、-3:1998IT安全管理技术 ISO/IEC TR 13335-4:2000安全管理措施的选择 ISO/IEC TR 13335-5:2001网络安全管理指南 ISO/IEC 13335-1:2004 第1部分：信息与通信技术安全管理概 念和模型 ISO/IEC 13335-2 第2部分：信息与通信技术安全风险管理技术 取代ISO/IEC TR 13335-1:1996 将取代ISO/IEC TR 13335-2:1997 LOGO ISO27001 正式的标准正式的标准 可认证的标准可认证的标准 管理体系的要求管理体系的要求 控制措施的要求控制措施的要求 ISO TR 13335 风险管理

34、方法论风险管理方法论 提供如何识别风险到风险提供如何识别风险到风险 处置处置 对对ISO27001的风险评估的风险评估 方法的细化和补充方法的细化和补充 ISO27001与与ISO13335 为为 风风 险险 管管 理理 提提 供供 方方 法法 风险评估具有不同的方法。在ISO/IEC TR 13335-3（IT安全管理指南： IT安全管理技术）中描述了风险评估方法的例子 LOGO ISO13335：以风险为核心的安全模型：以风险为核心的安全模型 风险风险安全措施安全措施信息资产信息资产 威胁威胁漏洞漏洞 安全需求安全需求 降 低 增加增 加 利用 暴露 价值价值 拥有 抗击 增加 引出 被满

35、足 LOGO 资产资产（Asset） q 任何对组织有价值的东西任何对组织有价值的东西ISO/IEC27001:2005 3 术语和定义术语和定义 q 资产是企业、机构直接赋予了价值因而需要保护的东西资产是企业、机构直接赋予了价值因而需要保护的东西。 q 信息资产是指组织的信息系统、其提供的服务以及处理的数据。信息资产是指组织的信息系统、其提供的服务以及处理的数据。 资产的根本属性是：资产的根本属性是：价值价值（C C、I I、A A值）值） 风险风险安全措施安全措施信息资产信息资产 威胁威胁漏洞漏洞 安全需求安全需求 降 低 增 加 增 加 利 用 暴 露 价值价值 拥有 抗 击 增 加 引

36、出 被满足 LOGO 漏洞漏洞（Vulnerability） q 脆弱性是资产本身存在的，它可以被威胁利用、引起资产或商业脆弱性是资产本身存在的，它可以被威胁利用、引起资产或商业 目标的损害目标的损害。 q 脆弱性包括物理环境、组织、过程、人员、管理、配置、硬件、脆弱性包括物理环境、组织、过程、人员、管理、配置、硬件、 软件和信息等各种资产的脆弱性。软件和信息等各种资产的脆弱性。 q 脆弱性的根本属性是：脆弱性的根本属性是：严重程度严重程度（脆弱性被利用后对（脆弱性被利用后对 资产的损害程度、脆弱性被利用的难易程度）资产的损害程度、脆弱性被利用的难易程度） 风险风险安全措施安全措施信息资产信息

37、资产 威胁威胁漏洞漏洞 安全需求安全需求 降 低 增 加 增 加 利 用 暴 露 价值价值 拥有 抗 击 增 加 引出 被满足 LOGO 威胁威胁（Threat） q 威胁是对组织的资产引起不期望事件而造成的损害的潜在可能性。威胁是对组织的资产引起不期望事件而造成的损害的潜在可能性。 q 威胁可以分为人为威胁（故意、非故意）和非人为威胁（环境、威胁可以分为人为威胁（故意、非故意）和非人为威胁（环境、 故障）故障）2种。种。 q 威胁的根本属性是：威胁的根本属性是：出现的频率出现的频率（还包括威胁的能（还包括威胁的能 力，威胁的决心。）力，威胁的决心。） 风险风险安全措施安全措施信息资产信息资产

38、 威胁威胁漏洞漏洞 安全需求安全需求 降 低 增 加 增 加 利 用 暴 露 价值价值 拥有 抗 击 增 加 引出 被满足 LOGO 风险评估实施流程图风险评估实施流程图 LOGO 美国国家标准与技术委员会美国国家标准与技术委员会NIST 美国NIST相关管理标准指南 NIST SP 800系列中信息安全管理相关文件： NIST SP 800系列是NIST根据美国联邦信息安全管理法案 （FISMA 2002）所赋予的法定职责所开发的系列文件。 NIST SP 800-53：联邦信息系统推荐安全控制 NIST SP 800-18：开发IT系统安全计划指南 NIST SP 800-30：IT系统风

39、险管理指南 NIST SP 800-34：IT系统业务持续性规划指南 NIST SP 800-50：建立信息安全意识和培训管理 LOGO 系统安全工程系统安全工程-能力成熟度模型（能力成熟度模型（SSE-CMM） 1993年4月美国国家安全局（NSA）开始酝酿 1996年10月发布SSE-CMM的1.0版本 1999年4月完成SSE-CMM的2.0版本 2002年成为国际标准ISO/IEC 21827:2002 信息技术 系统安全工程 能力成熟度模型 2003年6月由国际系统安全工程协会（ISSEA） 更新为3.0版本 2008年10月，ISO基于SSE-CMM 3.0发布了 ISO/IEC

40、21827:2008 LOGO SSE-CMM 定义 描述了一个组织的安全工程过程安全工程过程必须包含的本质特征，这些 特征是完善的安全工程保证。 现代统计过程控制理论现代统计过程控制理论表明通过强调生产过程的高质量和在 过程中组织实施的成熟性可以低成本地生产出高质量产品。 SSE-CMM项目目标是促进安全工程成为一个确定的、成熟 的和可度量的科目。 通过区分投标者的能力级别和相关计划风险来选择合格的安全选择合格的安全 工程提供商工程提供商； 工程组把投资投资集中在安全工程工具、培训、过程定义、管理实 施和改进上； 基于能力的保证基于能力的保证，也就是说，信赖是基于对工程组织安全工程 实践和过

41、程成熟的信心。 理论基础 目的 LOGO SSE-CMM体系结构体系结构 SSE-CMM包括两维：“域”和“能力” LOGO 基本实施及过程域基本实施及过程域 SSE-CMM包含61个基本实施过程，其被归入 11个安全工程过程域（PA） PA01管理安全控制 PA02评估影响 PA03评估安全风险 PA04评估威胁 PA05评估脆弱性 PA06建立安全论据 PA07协调安全 PA08监视安全态势 PA09提供安全输入 PA10确定安全需求 PA11验证与确认安全 LOGO 通用实施与公共特征通用实施与公共特征 通用实施是应用于所有过程域中的活动。其针 对的是过程的管理、测量和制度化。 通用实施

42、被归入12个不同的逻辑域，称为“公公 共特征共特征”。 12个公共特征被分为5个能力级别能力级别，代表了依 次增长的安全功能能力。 LOGO 通用实施、公共特征、能力级别的关系 以实施或制度化为手段来提高工程过 程的实施能力 通用实施的集合，每一集合中的公共 特征面向的是同一类过程的管理和制 度化问题 若干个公共特征的组合，显示了安全 工程过程的实施能力级别 LOGO SSE-CMM五个能力级别 SSE-CMM五个能力级别及其包含的公共特征 LOGO 安全工程过程安全工程过程 安全工程过程的三个主要部分 LOGO 风险过程风险过程 PA04：评估威胁 PA05：评估脆弱性 PA02：评估影响

43、威胁信息 脆弱性信息 影响信息 PA03：评估 安全风险 风险信息 SSE-CMM中与风险相关的过程域 LOGO 工程过程工程过程 PA10：确定安全 需求 PA01：管理安全 控制 PA09：提供安全 输入 风险信息 要求、 政策等 解决方案、指导等 PA08：监视安全 态势 配置 信息 SSE-CMM中与工程相关的过程域 PA07：协调安全 LOGO 保证过程保证过程 PA11：检验与 确认安全 检验与确认 后的证据 证据 PA06：建立 安全论据 保证论据 SSE-CMM中与保证相关的过程域 其他的PA LOGO 信息及相关技术控制目标（信息及相关技术控制目标（COBIT） 由信息系统审

44、计和控制协会（ISACF）于1996 年发布 国际通用的信息系统审计信息系统审计标准，为信息系统审 计和治理提供一整套的控制目标、管理措施、 审计指南等。 把IT划分为4个域，并进一步细分为34个流程： 规划与组织（PO） 获取与实施（AI） 交付与支持（DS） 监控（M） 评估风险 确保持续的服务 保证系统安全 安全审计 LOGO IT治理治理 信息信息 监控监控 IT资源资源 交付与支持交付与支持 获得与实施获得与实施 规划与组织规划与组织 COBIT 组织战略目标组织战略目标 COBIT模型 LOGO COBIT的的4个域，个域，34个个IT处理流程处理流程 1 规划与组织规划与组织PO

45、 PO1 制定IT战略规划 PO2 确定信息体系结构 PO3 确定技术方向 PO4 定义IT组织与关系 PO5 管理IT资产 PO6 沟通管理目标与方向 PO7人力资源管理 PO8 确保符合外部需求 PO9 风险评估 PO10 项目管理 PO11 质量管理 2 获取与实施获取与实施AI AI1 确定自动化解决方案 AI2 获取并维护应用软件 AI3 获取并维护技术基础设施 AI4 程序开发与维护 AI5 系统安装与鉴定 AI6 变更管理 3 交付与支持交付与支持DS DS1 定义并管理服务水平 DS2 管理第三方服务 DS3 性能管理与容量管理 DS4 确保服务的连续性 DS5 确保系统安全

46、DS6 确定并分配成本 DS7 教育并培训用户 DS8 为客户提供帮助和建议 DS9 配置管理 DS10 问题管理和突发事件管理 DS11 数据管理 DS12 设施管理 DS13 操作管理 4 监控监控M MI 过程监控 M2 评价内部控制的适当性 M3 确保独立性鉴定 M4 提供独立性审计 LOGO COBIT产品家族分类： 执行概要 高级控制目标框架 实施工具集 管理指南 具体控制目标 审计指南 关键成功因素、关键目标指标与关键绩效指标 成熟度模型 LOGO 信息技术基础设施库（信息技术基础设施库（ITIL） 由英国政府的中央计算机和通信机构（CCTA） 制定，由英国商务部（OGC）负责维

47、护，主要 适用于IT服务管理（ITSM） ITIL核心内容：服务支持和服务交付 服务支持（服务支持（Service Support) 服务支付（服务支付（Service Delivery） 服务台 事故管理 问题管理 配置管理 变更管理 发布管理 服务级别管理 成本管理 持续性管理 可用性管理 容量管理 LOGO ITIL整体架构 ITIL的架构模型 LOGO 标准基础知识简介 信息安全标准化组织 国外信息安全相关标准 国内信息安全相关标准 本 讲 提 纲 LOGO 信息安全技术标准体系信息安全技术标准体系 管理标准管理标准 基础标准基础标准 安安 全全 术术 语语 技术与机制标准技术与机制标

48、准 体体 系系 与与 模模 型型 保保 密密 技技 术术 密密 码码 技技 术术 标标 识识 与与 鉴鉴 别别 系系 统统 评评 估估 产产 品品 评评 估估 评评 估估 基基 础础 工工 程程 与与 服服 务务 管管 理理 方方 法法 管管 理理 基基 础础 物物 理理 安安 全全 管管 理理 技技 术术 管管 理理 要要 素素 测评标准测评标准 授授 权权 与与 访访 问问 控控 制制 LOGO 国内信息安全相关标准国内信息安全相关标准 1995年发布了1项 1999年发布了3项 2000年发布了1项 2002年发布了2项 2005年发布了8项 2006年发布了18项 2007年发布了14

49、项 2008年发布了20项 2009年发布了3项 LOGO 国家信息安全标准化工作成果国家信息安全标准化工作成果 完成标准制定完成标准制定正在制定的标准正在制定的标准 信息安全等级保护92 网络信任体系建设3019 网络安全产品测评2617 信息安全管理标准104 其他应用安全标准18 合计7650 信息安全标准分布情况 LOGO 1999年发布的信息安全国标 BG 17859-1999 计算机信息系统安全保护等级划分准则 GB/T 17901.1-19 99 信息技术 安全技术 密钥管理 第1部 分：框架 GB/T 17902.1-1999 信息技术 安全技术 带附录的数字签 名 第1部分：

50、框架 1995年发布的信息安全国标 GB 15851-1995 信息技术 安全技术 带消息恢复的数字签 名方案 LOGO 2000年发布的信息安全国标 GB/T 18238.1-2000 信息技术 安全技术 散列函数 第1 部分：概述 2002年发布的信息安全国标 GB/T 18238.2-2002信息技术 安全技术 散列函数 第2 部分:采用n位块密码的散列函数 GB/T 18238.3-2002信息技术 安全技术 散列函数 第3 部分:专用散列函数 LOGO 2005年发布的信息安全国标 GB/T 19713-2005信息技术 安全技术 公钥基础设施 在线证书 状态协议 GB/T 1971

51、4-2005信息技术 安全技术 公钥基础设施 证书管理 协议 GB/Z 19717-2005基于多用途互联网邮件扩展（MIME）的安 全报文交换 GB/T 19771-2005信息技术 安全技术 公钥基础设施 PKI 组件 最小互操作规范 GB/T 20008-2005信息安全技术 操作系统安全评估准则 GB/T 20009-2005信息安全技术 数据库管理系统安全评估准则 GB/T 20010-2005信息安全技术 包过滤防火墙评估准则 GB/T 20011-2005信息安全技术 路由器安全评估准则 LOGO 2006年发布的信息安全国标 GB/T 20269-2006信息安全技术 信息系统

52、安全管理要求 GB/T 20270-2006信息安全技术 网络基础安全技术要求 GB/T 20271-2006信息安全技术 信息系统通用安全技术要 求 GB/T 20272-2006信息安全技术 操作系统安全技术要求 GB/T 20273-2006信息安全技术 数据库管理系统安全技术 要求 GB/T 20274.1-2006信息安全技术 信息系统安全保障评估 框架 第一部分：简介和一般模型 LOGO 2006年发布的信息安全国标（续） GB/T 20275-2006信息安全技术 入侵检测系统技术要求和测试 评价方法 GB/T 20276-2006信息安全技术 智能卡嵌入式软件安全技术要 求（E

53、AL4增强级） GB/T 20277-2006信息安全技术 网络和终端设备隔离部件测试 评价方法 GB/T 20278-2006信息安全技术 网络脆弱性扫描产品技术要求 GB/T 20279-2006信息安全技术 网络和终端设备隔离部件安全 技术要求 GB/T 20280-2006信息安全技术 网络脆弱性扫描产品测试评价 方法 LOGO 2006年发布的信息安全国标（续） GB/T 20281-2006信息安全技术 防火墙技术要求和测试评价 方法 GB/T 20282-2006信息安全技术 信息系统安全工程管理要求 GB/Z 20283-2006信息安全技术 保护轮廓和安全目标的产生 指南 G

54、B/T 20518-2006信息安全技术 公钥基础设施 数字证书格式 GB/T 20519-2006信息安全技术 公钥基础设施 特定权限管理 中心技术规范 GB/T 20520-2006信息安全技术 公钥基础设施 时间戳规范 LOGO 2007年发布的信息安全国标 GB/T 18018-2007信息安全技术 路由器安全技术要求 GB/T 20945-2007信息安全技术 信息系统安全审计产品技术要 求和测试评价方法 GB/T 20979-2007信息安全技术 虹膜识别系统技术要求 GB/T 20983-2007信息安全技术 网上银行系统信息安全保障评 估准则 GB/T 20984-2007信息

55、安全技术 信息安全风险评估规范 GB/Z 20985-2007信息技术 安全技术 信息安全事件管理指南 GB/Z 20986-2007信息安全技术 信息安全事件分类分级指南 LOGO 2007年发布的信息安全国标（续） GB/T 20987-2007信息安全技术 网上证券交易系统信息安全保 障评估准则 GB/T 20988-2007信息安全技术 信息系统灾难恢复规范 GB/T 21028-2007信息安全技术 服务器安全技术要求 GB/T 21050-2007信息安全技术 网络交换机安全技术要求（评 估保证级3） GB/T 21052-2007信息安全技术 信息系统物理安全技术要求 GB/T

56、21053-2007信息安全技术 公钥基础设施 PKI系统安全等 级保护技术要求 GB/T 21054-2007信息安全技术 公钥基础设施 PKI系统安全等 级保护评估准则 LOGO 2008年发布的信息安全国标 GB/T 17964-2008信息安全技术 分组密码算法的工作模式 GB/T 22080-2008信息技术 安全技术 信息安全管理体系 要 求 GB/T 22081-2008信息技术 安全技术 信息安全管理实用规则 GB/T 22186-2008信息安全技术 具有中央处理器的集成电路 （IC）卡芯片安全技术要求(评估保证级4增强级) GB/T 22239-2008信息安全技术 信息系

57、统安全等级保护基本 要求 GB/T 22240-2008信息安全技术 信息系统安全等级保护定级 指南 LOGO 2008年发布的信息安全国标（续） GB/T 15843.1-2008信息技术 安全技术 实体鉴别 第1部分: 概述 GB/T 15843.2-2008信息技术 安全技术 实体鉴别 第2部分: 采用 对称加密算法的机制 GB/T 15843.3-2008信息技术 安全技术 实体鉴别 第3部分: 采用 数字签名技术的机制 GB/T 15843.4-2008信息技术 安全技术 实体鉴别 第4部分: 采用 密码校验函数的机制 GB/T 15852.1-2008信息技术 安全技术 消息鉴别码

58、 第1部分： 采用分组密码的机制 GB/T 17903.1-2008信息技术 安全技术 抗抵赖 第1部分: 概述 GB/T 17903.2-2008信息技术 安全技术 抗抵赖 第2部分: 采用对 称技术的机制 LOGO 2008年发布的信息安全国标（续） GB/T 17903.3-2008信息技术 安全技术 抗抵赖 第3部分: 采用非对称技术的机制 GB/T 18336.1-2008信息技术 安全技术 信息技术安全性 评估准则 第1部分: 简介和一般模型 GB/T 18336.2-2008信息技术 安全技术 信息技术安全性 评估准则 第2部分: 安全功能要求 GB/T 18336.3-2008

59、信息技术 安全技术 信息技术安全性 评估准则 第3部分: 安全保证要求 GB/T 20274.2-2008信息安全技术 信息系统安全保障评估 框架 第2部分：技术保障 GB/T 20274.3-2008信息安全技术 信息系统安全保障评估 框架 第3部分：管理保障 GB/T 20274.4-2008信息安全技术 信息系统安全保障评估 框架 第4部分：工程保障 LOGO 2009年发布的信息安全国标 GB/Z 24294-2009信息安全技术 基于互联网电子政务信 息安全实施指南 GB/T 24363-2009信息安全技术 信息安全应急响应计划 规范 GB/Z 24364-2009信息安全技术 信

60、息安全风险管理指南 LOGO 目前我国已经正式转化的信息安全管理国际标 准有： GB/T 19716-2005 信息技术 信息安全管理实用规则（修 改采用国际标准ISO/IEC 17799：2000） GB/T 19715.1-2005 信息技术 IT安全管理指南第1部分：IT 安全概念和模型（等同采用ISO/IEC TR 13335-1：1996） GB/T 19715.2-2005 信息技术 IT安全管理指南第2部分：管 理和规划IT安全（等同采用ISO/IEC TR 13335-2：1997） GB/T 22080-2008 信息技术 安全技术 信息安全管理体系 要 求（等同采用ISO/