信息安全国际标准概述课件

HuaweiTechnologiesCo.,LTD.信息安全国际标准培训华为技术有限公司刘新娜CISSP/CISA/CCIEHuaweiTechnologiesCo.,LTD.信息1提纲信息安全标准概述安全标准组织安全标准分类安全管理标准（ISO17799）安全技术标准安全产品标准（CC）安全工程标准（SSE-CMM）安全方法论安全资格认证（CISSP/CISA）提纲信息安全标准概述什么是信息安全？保密性

完整性可用性

CONFIDENTIALATYINTEGRITYAVAILABILITY什么是信息安全？3什么是标准？标准：标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践的综合成果为基础，经有关方面协商一致，由主管部门批准，以特定的方式发布，作为共同遵守的准则和依据。强制性标准：保障人体健康、人身、财产安全的标准和法律、行政法规规定强制执行的标准；其它标准是推荐性标准。什么是标准？标准：标准是对重复性事物和概念所做的统一规定。它4无规矩不成方圆无规矩不成方圆!无规矩不成方圆无规矩不成方圆!5提纲信息安全标准概述安全标准组织安全标准分类安全管理标准（ISO17799）安全技术标准安全产品标准（CC）安全工程标准（SSE-CMM）安全方法论安全资格认证（CISSP/CISA）提纲信息安全标准概述标准的来源政府组织NIST-NationalInstituteofStandardsandTechnologyNSA-NationalSecurityAgencyGAO-GeneralAccountingOfficeBSI-BritishStandardInstitution标准化组织ISO/IECJTC1SC27ANSI-AmericanNationalStandardsInstitute专业组织/行业联盟

IEEEIETFW3CISSA-InformationSystemsSecurityAssociationITAA-InformationTechnologyAssociationOfAmerica)大学标准的来源政府组织7ISO，国际标准化组织ISO是InternationalOrganizationforStandardization的简称国际最大的标准化组织机构与IEC联合成立的JTC1/SC27负责通用信息技术安全标准的制定ISO/TC68负责银行和金融服务业务应用范围内信息安全标准的制定已发布的其他行业的重要标准ISO9001ISO14001ISO，国际标准化组织ISO是InternationalO8IEC，国际电工委员会IEC是InternationalElectrotechnicalCommission的简称世界上最早的国际性电工标准化机构负责有关电工、电子领域的国际标准化工作在信息安全技术标准化方面，同ISO联合成立JTC1在电磁兼容EMC等方面成立技术委员会，制定相关国际标准IEC，国际电工委员会IEC是InternationalE9ISO/IECJTC1/SC27–JTC1(JointTechnicalCommittee1)是ISO及IEC的联合技术委员会,SC27小组专门负责安全技术标准的制定、审核–已发布的部分标准ISO/IEC18033加密机制ISO/IEC9796,14888.15964数字签名ISO/IECTR13335GMITSISO/IEC15408EvaluationcriteriaforITSecurityISO/IEC17799CodeofPracticeforInformationSecurityManagementISO/IEC21287SSE-CMMISO/IECJTC1/SC27–JTC1(Joint10NIST，国家标准技术协会NIST是美国NationalInstituteofStandardsandTechnology的简称已发布的部分文献FIPS（FederalInformationProcessingStandardsPublications）FIPSPUB140-2SecurityRequirementsforCryptographicModulesFIPSPUB180-1SecureHashStandardFIPSPUB197AdvancedEncryptionStandardSP（SpecialPublications800series是关于计算机安全的文献）SP800-12ComputerSecurityHandbookSP800-30RiskManagementGuideforITSystemsSP800-44GuidelinesonSecuringPublicWebServersNIST，国家标准技术协会NIST是美国NationalI11其他组织ANSI，美国国家标准协会80年代初开始数据加密标准化工作制定了三个通用的国家标准ANSIX.9系列财务服务安全标准ITU-T，国际电讯联盟前身是CCITT，单独或于ISO合作开发诸如消息处理系统、目录系统（X.400系列、X.500系列）和安全框架、安全模型等标准ITU-TX.509TheDirectory:AuthenticationFramework其他组织ANSI，美国国家标准协会12其他组织IEEE-电气电子工程师协会在信息安全方面主要是提出了LAN/WAN安全方面的标准和公钥密码标准IETF-Internet工程任务组主要提出Internet标准草案和成为RFC的协议文稿，内容广泛，也包括安全方面的建议稿，经过网上讨论修改，被大家广泛接受就成了的事实上的标准标准其他组织IEEE-电气电子工程师协会13提纲概述安全标准组织安全标准分类安全管理标准（ISO17799）安全技术标准安全产品标准（CC）安全工程标准（SSE-CMM）安全方法论安全资格认证（CISSP/CISA）提纲概述安全标准的类型安全管理框架安全技术标准安全方法论产品的安全性保证安全工程标准安全的资格认证安全标准的类型安全管理框架安全技术标准安全方法论产品的安全性15提纲概述安全标准组织安全标准分类安全管理标准（ISO17799）安全技术标准安全产品标准（CC）安全工程标准（SSE-CMM）安全方法论安全资格认证（CISSP/CISA）提纲概述安全管理框架OSI–ISO7498-2/10181开放系统互连第二部分安全体系结构，10181是7498-2的后续标准，分部分描述5类安全服务的实现GMITS,GuidelinesfortheManagementofITSecurityISO/IEC13335GuidelinesfortheManagementofITSecurity提供IT安全管理的指导BS7799AS/NZS4444ISO/IEC17799信息安全管理的即成标准提供企业开发、实施、评估有效安全建设的框架ISFSOGP

InformationSecurityForum(ISF),信息安全优秀实践标准（StandardofGoodPracticeforInformationSecurity,1998）安全管理框架OSI–ISO7498-2/1018117BS7799介绍BS7799AS/NZS4444ISO/IEC17799信息安全管理的即成标准提供企业开发、实施、评估有效安全建设的框架BS7799包括两部分第一部分:提供安全管理的最佳实践，等同于ISO/IEC17799:2000提供10个领域的127项安全措施整套的基于业界经验的安全性最佳实践的指导第二部分ISMS规范SpecificationforISMS(InformationSecurityManagementSystems)提供依据第一部分进行内部审计、外部认证的流程体系BS7799介绍BS7799AS/NZS4418什么是ISO17799/BS7799？关注于安全管理的框架和指导提供了10个方面36个安全目标，127项安全控制措施，建立了BestPractice指引；广泛应用于在政府、企业、金融、电信等行业，应用最广泛的安全标准1993–1995DepartmentofTradeandIndustry(UK)建立工作组进行信息系统安全研究1995BS7799正式发布1998BS7799:PART2ISMS发布1999BS7799：1999发布ISO/IEC17799:2000什么是ISO17799/BS7799？关注于安全管理的框架1917799的十个方面SecurityPolicy安全策略SecurityOrganization组织安全PersonnelSecurity人员安全AssetClassificationandControl资产分类与控制PhysicalandEnvironmentalSecurity物理与环境安全Communications&OperationsManagement通信与运作管理BusinessContinuityPlanning业务持续性管理SystemDevelopmentandMaintenance系统开发与维护AccessControl访问控制Compliance符合性17799的十个方面SecurityPolicy安全策略S20ISO17799的文档结构分为10个领域的安全实践建议分为36个子项，共127项安全控制措施安全方针（1）组织安全（3）资产分类与控制（2）人员安全（3）物理与环境安全（3）通信与操作安全（7）访问控制（8）系统开发与维护（5）业务持续计划（1）依从（3）ISO17799的文档结构分为10个领域的安全实践建议分为21安全策略控制目标:信息安全策略为信息安全提供管理指导和支持控制措施:信息安全策略文件复查和审查安全策略控制目标:信息安全策略22组织安全控制目标一:信息安全基础设施管理组织内部的信息安全控制目标二:第三方访问安全维护被第三方访问的基础设施和信息资产的安全控制目标三:外包当IT外包给其他组织负责时,维护信息的安全组织安全控制目标一:信息安全基础设施23资产分类与控制控制目标一:资产责任保证对组织资产做适当的保护控制目标二:信息分类确保信息资产得到适当级别的保护资产分类与控制控制目标一:资产责任24人员安全控制目标一:岗位安全责任和人员录用要求控制目标二:用户培训控制目标三:对安全事件和故障的响应人员安全控制目标一:岗位安全责任和人员录用要求25物理与环境安全控制目标一:安全区域防止非授权访问控制目标二:设备安全防止资产的丢失,破坏和损坏;防止业务活动被中断控制目标三:一般性控制防止危害或窃取信息及设施物理与环境安全控制目标一:安全区域26通信和操作安全控制目标一:操作流程和责任控制目标二:系统规划和验收控制目标三:防范恶意软件控制目标四:内务管理(备份,日志)控制目标五:网络管理控制目标六:介质处理及安全控制目标七:信息和软件的交换通信和操作安全控制目标一:操作流程和责任27访问控制控制目标一: 访问控制的业务需求控制目标二:用户访问管理控制目标三:用户责任控制目标四:网络访问控制控制目标五:操作系统访问控制控制目标六:应用系统访问控制控制目标七:监视系统访问和使用控制目标八:移动计算和通信访问控制控制目标一: 访问控制的业务需求28系统开发和维护控制目标一:系统的安全需求控制目标二:应用系统的安全控制目标三:密码控制控制目标四:系统文件的安全控制目标五:开发和支持过程的安全系统开发和维护控制目标一:系统的安全需求29业务连续性管理控制目标:业务连续性管理的各个方面控制措施业务连续性管理过程业务连续性和影响分析编写并实施连续性计划业务连续性计划框架测试,维护和复审业务连续性计划业务连续性管理控制目标:业务连续性管理的各个方面30符合性控制目标一:符合法律要求控制目标二:对安全策略和技术的评审控制目标三:系统审核的考虑符合性控制目标一:符合法律要求31BS7799第2部分BS7799PART2是一个规范。使用该规范对组织的信息安全管理体系进行审核与认证。通过使用该规范能使组织建立信息安全管理体系（ISMS）。该规范提供以下内容建立信息安全管理体系（ISMS）指导成功实施信息安全的关键因素PDCA(Plan-do-check-act)模型持续性改进改进安全管理评估业务变化、新技术、新威胁对安全管理流程的影响PlanISMS的确立DoISMS的运用CheckISMS的监控ActISMS的改善PDCA模型BS7799第2部分BS7799PART2是一个规32什么是ISO-7498-2信息处理系统开放系统互连基本参考模型第2部分:安全体系结构

Informationprocessingsystem--OpenSystemsInterconnection--BasicReferenceModel--Part2:Securityarchitecture提供安全服务与有关机制的一般描述,这些服务与机制可以为GB9387—88/ISO7498-1参考模型所配备。确定在参考模型内部可以提供这些服务与机制的位置已被接受为国标GB/T9387.2—1995什么是ISO-7498-2信息处理系统开放系统互连基本33五种安全服务认证对等实体认证数据原发认证访问控制

数据机密性连接机密性无连接机密性选择字段机密性通信业务流机密性数据完整性

带恢复的连接完整性不带恢复的连接完整性选择字段的连接完整性无连接完整性选择字段无连接完整性抗抵赖

有数据原发证明的抗抵赖有交付证明的抗抵赖五种安全服务认证34八种安全机制特定的安全机制用来实现以上安全服务加密数字签名机制访问控制机制数据完整性机制认证交换机制通信业务填充机制提供各种不同级别的保护,抵抗通信业务分析路由选择控制机制公证机制八种安全机制特定的安全机制用来实现以上安全服务35服务与机制的关系机制服务加密数字签名访问控制数据完整性认证交换通信业务填充路由控制公证对等实体认证数据原发认证访问控制服务连接机密性无连接机密性选择字段机密性通信业务流机密性带恢复的连接完整性不带恢复的连接完整性选择字段连接完整性无连接完整性选择字段无连接完整性抗抵赖,带数据原发证据抗抵赖,带交付接收证据服务与机制的关系机制服务加密数字签名访问36服务应用与OSI层的关系OSI层服务物理层链路层网络层传输层会话层表示层应用层对等实体认证数据原发认证访问控制服务连接机密性无连接机密性选择字段机密性通信业务流机密性带恢复的连接完整性不带恢复的连接完整性选择字段连接完整性无连接完整性选择字段无连接完整性抗抵赖,带数据原发证据抗抵赖,带交付证据服务应用与OSI层的关系OSI层服务物理层链路层网络层传输层37安全管理安全管理信息库(SMIB)是一个概念上的集存地,存储开放系统所需的与安全有关的全部信息。这一概念对信息的存储形式与实施方式不提出要求。SMIB能有多种实现办法,例如:a)数据表;b)文卷;c)嵌入实开放系统软件或硬件中的数据或规则。OSI安全管理的分类：系统安全管理—涉及总的OSI环境安全方面的管理；例：总体安全策略的管理、与别的OSI管理功能的相互作用、与安全服务管理和安全机制管理的交互作用、事件处理管理、安全审计管理、安全恢复管理安全服务管理—涉及特定安全服务的管理；例：指定特定服务的保护目标、指定与维护特定的安全机制、安全机制协商(本地的与远程的)、调用特定的安全机制、与别的安全服务和安全机制的交互作用安全机制管理—涉及的是特定安全机制的管理。例：密钥管理、加密管理、数字签名管理、访问控制管理等等OSI管理本身的安全—所有OSI管理功能和信息自身的安全。这一类安全管理将借助OSI安全服务与机制以确保OSI管理协议与信息获得足够的保护。安全管理安全管理信息库(SMIB)是一个概念上的集存地,存38作为ISO7498-2的后续标准，1988年开始建立ISO/IEC10181ISO/IEC10181(Securityframeworksforopensystems)有七个部分第2-6部分对应ISO7498-2定义的5种服务Part1:概述Part2:认证服务架构Part3:访问控制服务架构Part4:防抵赖服务架构Part5:数据保密服务架构Part6:数据完整服务架构Part7:安全审计、报警架构ISO/IEC10181作为ISO7498-2的后续标准，1988年开始建立ISO39什么是ISO13335ISO/IEC13335，即IT安全管理指南（GuidelinesfortheManagementofITSecurity,GMITS）,是由ISO/IECJTC制定的技术报告ISO/IEC13335是一个信息安全管理方面的指导性标准其目的是为有效实施IT安全管理提供建议

什么是ISO13335ISO/IEC13335，即IT安40ISO13335(GMITS)的内容13335-1:IT安全概念和模型包含了对IT安全和安全管理中一些基本概念和模型的解释13335-2:IT安全计划和管理

建议性地介绍了IT安全管理和计划的方式和要点13335-3:IT安全管理技术描述了风险管理技术、IT安全计划的开发、实施和测试还包括策略审查、事件分析、IT安全教育等后续内容。13335-4:安全措施的选择描述了针对一个组织特定环境和安全需求可以选择的安全措施,不仅仅是技术性措施13335-5:网络安全的管理指导提供了关于网络和通信安全管理的指导性内容,该指南为识别和分析建立网络安全需求时需要考虑的通信相关因素提供支持,也包括对可能的安全措施方面的简要介绍ISO13335(GMITS)的内容13335-1:IT41ISO13335vs.BS7799与BS7799相比，ISO/IEC13335只是一个技术报告和指导性文件，并不是可依据的认证标准也不像BS7799那样给出一个全面而完整的信息安全管理框架但13335在信息安全尤其是IT安全的某些具体环节切入较深，对实际的工作具有较好的指导价值，从可实施性上来说要比BS7799好些另外13335对安全计划、安全策略、控制措施选择的内容的阐述要比BS7799具体很多总之，作为一个框架、总体要求和目标选择，BS7799是我们信息安全管理体系建设过程中要贯彻的指导方针，而这期间的一些具体的活动则可以参考13335，比如风险评估。ISO13335vs.BS7799与BS7799相比，I42提纲概述安全标准组织安全标准分类安全管理标准（ISO17799）安全技术标准安全产品标准（CC）安全工程标准（SSE-CMM）安全方法论安全资格认证（CISSP/CISA）提纲概述PKIFireWallLDAPVPNIDSAAAScannerSSO安全技术标准•ApplicationProtocols –SSL,S-HTTP•NetworkProtocols –IPSec•Cryptography–RSA,DSA,ECC–DES,AES–SHA-1–PKCSVulnerabilityCVEAuthentication–Kerberos–RADIUS–SAML•Messaging–S/MIME,OpenPGP,PEM–XMLDSIG,XMLENC•ApplicationSecurity–CORBASecurity–WS-SecurityPKIFireWallLDAPVPNIDSAAAScann44提纲概述安全标准组织安全标准分类安全管理标准（ISO17799）安全技术标准安全产品标准（CC）安全工程标准（SSE-CMM）安全方法论安全资格认证（CISSP/CISA）提纲概述产品安全性保证标准CommonCriteria(CC)–ISO/IEC15408EvaluationcriteriaforITSecurity–针对产品或组件的保证标准e.g.Firewalls,IDS,OS–定义了7个EvaluationAssuranceLevels(EAL)一级最低，七级最高1996年国际上的六个国家（美、加、英、法、德、荷）联合提出了信息技术安全评价的通用准则（CC）。CC的基础是欧州的ITSEC，美国的包括TCSEC在内的新的联邦评价标准，加拿大的CTCPEC，以及国际标准化组织ISO:SC27WG3的安全评价标准。TrustedComputerSystemEvaluationCriteria（TCSEC）TheOrangeBook分为D/C1/C2/B1/B2/B3/A1七个等级C2-部分OS有:VMS,IBMOS/400,WindowsNT,NovellNetWare4.11,Oracle7,DGAOS/VSII.

B1-部分OS有:HP-UXBLS,CrayResearchTrustedUnicos8.0,DigitalSEVMS,HarrisCS/SX,SGITrustedIRIX.B2-部分OS有:HoneywellMultics,CryptekVSLAN,TrustedXENIX

B3-仅有的OS:Getronics/WangFederalXTS-300

A1-BoeingMLSLAN,GeminiTrustedNetworkProcessor,HoneywellSCOMP.FIPSPUB140-2–Cryptographic模块的安全要求标准–定义了4个等级。产品安全性保证标准CommonCriteria(CC)46美国TCSEC1970年由美国国防部提出。1985年公布。主要为军用标准。延用至民用。安全级别从高到低分为A、B、C、D四级，级下再分小级。彩虹系列

桔皮书：可信计算机系统评估准则 黄皮书：桔皮书的应用指南红皮书：可信网络解释紫皮书：可信数据库解释美国TCSEC1970年由美国国防部提出。1985年公布。47美国TCSECD:最小保护MinimalProtectionC1:自主安全保护DiscretionarySecurityProtectionC2:访问控制保护ControlledAccessProtectionB1:安全标签保护LabeledSecurityProtectionB2:结构化保护StructuredProtectionB3:安全域保护SecurityDomainA1:验证设计保护VerifiedDesign低保证系统高保证系统美国TCSECD:最小保护MinimalProtecti48CC标准的发展历程CC标准的发展历程49CC驱动因素CC驱动因素50CC要实现的目标成为统一的国际（通用）IT产品和系统安全标准目前，CC已经成为ISO国际标准（15408）在不同国家间达成协议，相互承认产品评估为开发者拓展国际舞台改善IT安全产品在全世界的可用性CC要实现的目标51CC的目标读者消费者-具有IT安全功能的产品购买指南产品开发者和集成商-具有IT安全功能的产品的开发基础评估员-IT安全产品的评估基础审核员,认证人员,授权人员-对他们的特定应用给予支持CC的目标读者消费者-具有IT安全功能的产品购买指南产品52CC的内容组织CC的内容组织53CC定义了两类安全需求CC定义了两类安全需求54CC的关键概念评估目标(TOE)IT产品或系统及其相关的管理指南和用户指南等文档，是评估的对象保护轮廓(ProtectProfilePP)满足特定消费者需求的、独立于实现的、关于某一类TOE的一组安全要求（用户提出要求）安全目标(SecurityTargetST)依赖于实现的一组安全要求和说明，作为指定TOE的评估基础（开发者给出）CC的关键概念评估目标(TOE)55用户借助PP定义需求用户借助PP定义需求56厂商使用ST对用户需求做出响应厂商使用ST对用户需求做出响应57PP、ST和TOE之间的关系PP、ST和TOE之间的关系58评估保证等级评估保证等级59CC总体结构CC总体结构60安全产品评估框架模型安全产品评估框架模型61CCvs.BS7799都是认证标准，但是对象不同，CC评估的对象是系统和产品，而7799关注的信息安全管理在依照BS7799标准来实施ISMS时，一些涉及系统和产品安全的技术要求，可以参考CCCCvs.BS7799都是认证标准，但是对象不同，CC评62提纲概述安全标准组织安全标准分类安全管理标准（ISO17799）安全技术标准安全产品标准（CC）安全工程标准（SSE-CMM）安全方法论安全资格认证（CISSP/CISA）提纲概述什么是SSE-CMMSSE-CMM是系统安全工程能力成熟模型（SystemsSecurityEngineeringCapabilityMaturityModel）的缩写，它描述了一个组织的安全工程过程必须包含的本质特征，这些特征是完善的安全工程保证,为安全工程的应用提供了一个衡量和改进的途径现代统计过程控制理论表明通过强调生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品SSE-CMM项目的目标是促进安全工程成为一个确定的、成熟的和可度量的科目SSE-CMM项目进展来自于安全工程业界、美国国防部和加拿大通讯安全机构积极参与和共同的投入1995成立项目组1996SSE-CMMv1正式发布1997SSE-CMM评定方法发布1999SSE-CMMv2发布2002ISO/IEC218272003SSE-CMMv3发布什么是SSE-CMMSSE-CMM是系统安全工程能力成熟模型64SSE-CMM模型结构BasePracticesGenericPracticesProcessAreasProcessCategoryProcessAreasBasePracticesDomainCommonFeaturesGenericPracticesGenericPracticesGenericPracticesGenericPracticesGenericPracticesBasePracticesBasePracticesBasePracticesBasePracticesProcessAreasProcessAreasCapability

LevelCommonFeaturesCommonFeaturesCapability二维结构：Domain,CapabilityDomain包含安全工程中的实践领域，分为3个主要的Process类，22个PA，130多项BPCapability表示过程管理、衡量及制度化的能力，共分为5级，下面细分为12个CommonFeatures，以及近30个GenericPracticesSSE-CMM模型结构BasePracticesGener655级成熟能力12345非正式执行–没有控制计划并跟踪-引入了计划、跟踪和管理，周期性的评估执行的效果，并定义了改进过程；适当定义-在组织内建立并共享bestPractices量化控制-收集量化指标，进行量化管理持续改进5级成熟能力12345非正式执行–没有控制计划并跟踪-引66系统安全工程过程系统安全工程过程67风险过程风险过程68工程过程工程过程69保证过程保证过程70SSE-CMM与ISO17799的内容比较SSE-CMMISO17799PA01：管理安全性控制(4BP)Section5,PersonnelSecuritySection6,CommunicationsandoperationsManagementSection8,SystemsDevelopmentandMaintenancePA02：评估影响(6BP)IntroductionPA03：评估风险(6BP)IntroductionPA04：评估威胁(6BP)IntroductionPA05：评估脆弱性(5BP)IntroductionPA06：建立保证论据(5BP)Section10,CompliancePA07：协调安全性(4BP)Section2,SecurityOrganizationSection6,CommunicationsandoperationsManagementPA08：监视安全状态(7BP)Section10,CompliancePA09：提供安全性条件(6BP)Section1,SecurityPolicySection3,AssetClassificationandControlSection5,PhysicalandEnvironmentalSecurityPA10：特殊的安全性需求(11BP)Section1,SecurityPolicySection7,AccessControlSection8,SystemsDevelopmentandMaintenanceSection9,BusinessContinuityPlanningPA11：确认和证实（5BP）Section10,ComplianceSSE-CMM与ISO17799的内容比较SSE-CMMIS71提纲概述安全标准组织安全标准分类安全管理标准（ISO17799）安全技术标准安全产品标准（CC）安全工程标准（SSE-CMM）安全方法论安全资格认证（CISSP/CISA）提纲概述安全方法论AS/NZS4360澳洲/新西兰风险管理标准提供建立、实施风险管理过程的指导NISTSP800-30RiskManagementGuideforITSystems建立、实施风险管理过程的指导OCTAVEOperationallyCriticalThreat,Asset,andVulnerabilityEvaluation由CMU-SEI（CarnegieMellonUniversity-SoftwareEngineeringInstitute）建立的风险评估方法论安全方法论AS/NZS436073提纲概述安全标准组织安全标准分类安全管理标准（ISO17799）安全技术标准安全产品标准（CC）安全工程标准（SSE-CMM）安全方法论安全资格认证（CISSP/CISA）提纲概述安全资格认证标准：CISSP•CertifiedInformationSystemsSecurityProfessional(CISSP)–由美国(ISC)2进行认证管理–十个CommonBodyofKnowledge(CBK)•访问控制AccessControlSystems&Methodology•应用开发Applications&SystemsDevelopment•业务持续性BusinessContinuityPlanning•加密Cryptography•法律、道德、调查Law,Investigation&Ethics•操作安全OperationsSecurity•物理安全PhysicalSecurity•安全架构及模型SecurityArchitecture&Models•安全管理实践SecurityManagementPractices•网络安全Telecommunications,Network&InternetSecurity(ISC)2=InternationalInformationSystemsSecurityCertificationsConsortium安全资格认证标准：CISSP•CertifiedInf75安全资格认证标准:CISA•CertifiedInformationSystemsAuditor(CISA)由ISACA管理认证依据ControlObjectivesforInformationandrelatedTechnologies(CobiT)考试包括7个内容•IS计划、管理和组织Management,Planning&OrganizationofIS•技术结构及操作实践TechnicalInfrastructure&OperationalPractices•信息资产保护ProtectionofInformationAssets•灾难恢复及业务持续DisasterRecovery&BusinessContinuity•系统开发、实施、管理BusinessApplicationSystemDevelopment,Acquisition,Implementation,&Maintenance•商业过程评估及风险管理BusinessProcessEvaluation&RiskManagement•IS审计ISAuditProcessISACA=InformationSystemsAuditandControlAssociation安全资格认证标准:CISA•CertifiedInf76安全资格认证标准：CISM•CertifiedInformationSecurityManager(CISM)–由ISACA管理认证–面向安全管理人员–比CISSP/CISA更早的认证–包含5项内容信息安全管辖InformationSecurityGovernance风险管理RiskManagement•信息安全程序管理InformationSecurityProgrammeManagement•信息安全管理InformationSecurityManagement•安全响应管理ResponseManagementISACA=InformationSystemsAuditandControlAssociation安全资格认证标准：CISM•CertifiedInfor77信息安全国际标准概述课件78HuaweiTechnologiesCo.,LTD.信息安全国际标准培训华为技术有限公司刘新娜CISSP/CISA/CCIEHuaweiTechnologiesCo.,LTD.信息79提纲信息安全标准概述安全标准组织安全标准分类安全管理标准（ISO17799）安全技术标准安全产品标准（CC）安全工程标准（SSE-CMM）安全方法论安全资格认证（CISSP/CISA）提纲信息安全标准概述什么是信息安全？保密性

完整性可用性

CONFIDENTIALATYINTEGRITYAVAILABILITY什么是信息安全？81什么是标准？标准：标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践的综合成果为基础，经有关方面协商一致，由主管部门批准，以特定的方式发布，作为共同遵守的准则和依据。强制性标准：保障人体健康、人身、财产安全的标准和法律、行政法规规定强制执行的标准；其它标准是推荐性标准。什么是标准？标准：标准是对重复性事物和概念所做的统一规定。它82无规矩不成方圆无规矩不成方圆!无规矩不成方圆无规矩不成方圆!83提纲信息安全标准概述安全标准组织安全标准分类安全管理标准（ISO17799）安全技术标准安全产品标准（CC）安全工程标准（SSE-CMM）安全方法论安全资格认证（CISSP/CISA）提纲信息安全标准概述标准的来源政府组织NIST-NationalInstituteofStandardsandTechnologyNSA-NationalSecurityAgencyGAO-GeneralAccountingOfficeBSI-BritishStandardInstitution标准化组织ISO/IECJTC1SC27ANSI-AmericanNationalStandardsInstitute专业组织/行业联盟

IEEEIETFW3CISSA-InformationSystemsSecurityAssociationITAA-InformationTechnologyAssociationOfAmerica)大学标准的来源政府组织85ISO，国际标准化组织ISO是InternationalOrganizationforStandardization的简称国际最大的标准化组织机构与IEC联合成立的JTC1/SC27负责通用信息技术安全标准的制定ISO/TC68负责银行和金融服务业务应用范围内信息安全标准的制定已发布的其他行业的重要标准ISO9001ISO14001ISO，国际标准化组织ISO是InternationalO86IEC，国际电工委员会IEC是InternationalElectrotechnicalCommission的简称世界上最早的国际性电工标准化机构负责有关电工、电子领域的国际标准化工作在信息安全技术标准化方面，同ISO联合成立JTC1在电磁兼容EMC等方面成立技术委员会，制定相关国际标准IEC，国际电工委员会IEC是InternationalE87ISO/IECJTC1/SC27–JTC1(JointTechnicalCommittee1)是ISO及IEC的联合技术委员会,SC27小组专门负责安全技术标准的制定、审核–已发布的部分标准ISO/IEC18033加密机制ISO/IEC9796,14888.15964数字签名ISO/IECTR13335GMITSISO/IEC15408EvaluationcriteriaforITSecurityISO/IEC17799CodeofPracticeforInformationSecurityManagementISO/IEC21287SSE-CMMISO/IECJTC1/SC27–JTC1(Joint88NIST，国家标准技术协会NIST是美国NationalInstituteofStandardsandTechnology的简称已发布的部分文献FIPS（FederalInformationProcessingStandardsPublications）FIPSPUB140-2SecurityRequirementsforCryptographicModulesFIPSPUB180-1SecureHashStandardFIPSPUB197AdvancedEncryptionStandardSP（SpecialPublications800series是关于计算机安全的文献）SP800-12ComputerSecurityHandbookSP800-30RiskManagementGuideforITSystemsSP800-44GuidelinesonSecuringPublicWebServersNIST，国家标准技术协会NIST是美国NationalI89其他组织ANSI，美国国家标准协会80年代初开始数据加密标准化工作制定了三个通用的国家标准ANSIX.9系列财务服务安全标准ITU-T，国际电讯联盟前身是CCITT，单独或于ISO合作开发诸如消息处理系统、目录系统（X.400系列、X.500系列）和安全框架、安全模型等标准ITU-TX.509TheDirectory:AuthenticationFramework其他组织ANSI，美国国家标准协会90其他组织IEEE-电气电子工程师协会在信息安全方面主要是提出了LAN/WAN安全方面的标准和公钥密码标准IETF-Internet工程任务组主要提出Internet标准草案和成为RFC的协议文稿，内容广泛，也包括安全方面的建议稿，经过网上讨论修改，被大家广泛接受就成了的事实上的标准标准其他组织IEEE-电气电子工程师协会91提纲概述安全标准组织安全标准分类安全管理标准（ISO17799）安全技术标准安全产品标准（CC）安全工程标准（SSE-CMM）安全方法论安全资格认证（CISSP/CISA）提纲概述安全标准的类型安全管理框架安全技术标准安全方法论产品的安全性保证安全工程标准安全的资格认证安全标准的类型安全管理框架安全技术标准安全方法论产品的安全性93提纲概述安全标准组织安全标准分类安全管理标准（ISO17799）安全技术标准安全产品标准（CC）安全工程标准（SSE-CMM）安全方法论安全资格认证（CISSP/CISA）提纲概述安全管理框架OSI–ISO7498-2/10181开放系统互连第二部分安全体系结构，10181是7498-2的后续标准，分部分描述5类安全服务的实现GMITS,GuidelinesfortheManagementofITSecurityISO/IEC13335GuidelinesfortheManagementofITSecurity提供IT安全管理的指导BS7799AS/NZS4444ISO/IEC17799信息安全管理的即成标准提供企业开发、实施、评估有效安全建设的框架ISFSOGP

InformationSecurityForum(ISF),信息安全优秀实践标准（StandardofGoodPracticeforInformationSecurity,1998）安全管理框架OSI–ISO7498-2/1018195BS7799介绍BS7799AS/NZS4444ISO/IEC17799信息安全管理的即成标准提供企业开发、实施、评估有效安全建设的框架BS7799包括两部分第一部分:提供安全管理的最佳实践，等同于ISO/IEC17799:2000提供10个领域的127项安全措施整套的基于业界经验的安全性最佳实践的指导第二部分ISMS规范SpecificationforISMS(InformationSecurityManagementSystems)提供依据第一部分进行内部审计、外部认证的流程体系BS7799介绍BS7799AS/NZS4496什么是ISO17799/BS7799？关注于安全管理的框架和指导提供了10个方面36个安全目标，127项安全控制措施，建立了BestPractice指引；广泛应用于在政府、企业、金融、电信等行业，应用最广泛的安全标准1993–1995DepartmentofTradeandIndustry(UK)建立工作组进行信息系统安全研究1995BS7799正式发布1998BS7799:PART2ISMS发布1999BS7799：1999发布ISO/IEC17799:2000什么是ISO17799/BS7799？关注于安全管理的框架9717799的十个方面SecurityPolicy安全策略SecurityOrganization组织安全PersonnelSecurity人员安全AssetClassificationandControl资产分类与控制PhysicalandEnvironmentalSecurity物理与环境安全Communications&OperationsManagement通信与运作管理BusinessContinuityPlanning业务持续性管理SystemDevelopmentandMaintenance系统开发与维护AccessControl访问控制Compliance符合性17799的十个方面SecurityPolicy安全策略S98ISO17799的文档结构分为10个领域的安全实践建议分为36个子项，共127项安全控制措施安全方针（1）组织安全（3）资产分类与控制（2）人员安全（3）物理与环境安全（3）通信与操作安全（7）访问控制（8）系统开发与维护（5）业务持续计划（1）依从（3）ISO17799的文档结构分为10个领域的安全实践建议分为99安全策略控制目标:信息安全策略为信息安全提供管理指导和支持控制措施:信息安全策略文件复查和审查安全策略控制目标:信息安全策略100组织安全控制目标一:信息安全基础设施管理组织内部的信息安全控制目标二:第三方访问安全维护被第三方访问的基础设施和信息资产的安全控制目标三:外包当IT外包给其他组织负责时,维护信息的安全组织安全控制目标一:信息安全基础设施101资产分类与控制控制目标一:资产责任保证对组织资产做适当的保护控制目标二:信息分类确保信息资产得到适当级别的保护资产分类与控制控制目标一:资产责任102人员安全控制目标一:岗位安全责任和人员录用要求控制目标二:用户培训控制目标三:对安全事件和故障的响应人员安全控制目标一:岗位安全责任和人员录用要求103物理与环境安全控制目标一:安全区域防止非授权访问控制目标二:设备安全防止资产的丢失,破坏和损坏;防止业务活动被中断控制目标三:一般性控制防止危害或窃取信息及设施物理与环境安全控制目标一:安全区域104通信和操作安全控制目标一:操作流程和责任控制目标二:系统规划和验收控制目标三:防范恶意软件控制目标四:内务管理(备份,日志)控制目标五:网络管理控制目标六:介质处理及安全控制目标七:信息和软件的交换通信和操作安全控制目标一:操作流程和责任105访问控制控制目标一: 访问控制的业务需求控制目标二:用户访问管理控制目标三:用户责任控制目标四:网络访问控制控制目标五:操作系统访问控制控制目标六:应用系统访问控制控制目标七:监视系统访问和使用控制目标八:移动计算和通信访问控制控制目标一: 访问控制的业务需求106系统开发和维护控制目标一:系统的安全需求控制目标二:应用系统的安全控制目标三:密码控制控制目标四:系统文件的安全控制目标五:开发和支持过程的安全系统开发和维护控制目标一:系统的安全需求107业务连续性管理控制目标:业务连续性管理的各个方面控制措施业务连续性管理过程业务连续性和影响分析编写并实施连续性计划业务连续性计划框架测试,维护和复审业务连续性计划业务连续性管理控制目标:业务连续性管理的各个方面108符合性控制目标一:符合法律要求控制目标二:对安全策略和技术的评审控制目标三:系统审核的考虑符合性控制目标一:符合法律要求109BS7799第2部分BS7799PART2是一个规范。使用该规范对组织的信息安全管理体系进行审核与认证。通过使用该规范能使组织建立信息安全管理体系（ISMS）。该规范提供以下内容建立信息安全管理体系（ISMS）指导成功实施信息安全的关键因素PDCA(Plan-do-check-act)模型持续性改进改进安全管理评估业务变化、新技术、新威胁对安全管理流程的影响PlanISMS的确立DoISMS的运用CheckISMS的监控ActISMS的改善PDCA模型BS7799第2部分BS7799PART2是一个规110什么是ISO-7498-2信息处理系统开放系统互连基本参考模型第2部分:安全体系结构

Informationprocessingsystem--OpenSystemsInterconnection--BasicReferenceModel--Part2:Securityarchitecture提供安全服务与有关机制的一般描述,这些服务与机制可以为GB9387—88/ISO7498-1参考模型所配备。确定在参考模型内部可以提供这些服务与机制的位置已被接受为国标GB/T9387.2—1995什么是ISO-7498-2信息处理系统开放系统互连基本111五种安全服务认证对等实体认证数据原发认证访问控制

数据机密性连接机密性无连接机密性选择字段机密性通信业务流机密性数据完整性

带恢复的连接完整性不带恢复的连接完整性选择字段的连接完整性无连接完整性选择字段无连接完整性抗抵赖

有数据原发证明的抗抵赖有交付证明的抗抵赖五种安全服务认证112八种安全机制特定的安全机制用来实现以上安全服务加密数字签名机制访问控制机制数据完整性机制认证交换机制通信业务填充机制提供各种不同级别的保护,抵抗通信业务分析路由选择控制机制公证机制八种安全机制特定的安全机制用来实现以上安全服务113服务与机制的关系机制服务加密数字签名访问控制数据完整性认证交换通信业务填充路由控制公证对等实体认证数据原发认证访问控制服务连接机密性无连接机密性选择字段机密性通信业务流机密性带恢复的连接完整性不带恢复的连接完整性选择字段连接完整性无连接完整性选择字段无连接完整性抗抵赖,带数据原发证据抗抵赖,带交付接收证据服务与机制的关系机制服务加密数字签名访问114服务应用与OSI层的关系OSI层服务物理层链路层网络层传输层会话层表示层应用层对等实体认证数据原发认证访问控制服务连接机密性无连接机密性选择字段机密性通信业务流机密性带恢复的连接完整性不带恢复的连接完整性选择字段连接完整性无连接完整性选择字段无连接完整性抗抵赖,带数据原发证据抗抵赖,带交付证据服务应用与OSI层的关系OSI层服务物理层链路层网络层传输层115安全管理安全管理信息库(SMIB)是一个概念上的集存地,存储开放系统所需的与安全有关的全部信息。这一概念对信息的存储形式与实施方式不提出要求。SMIB能有多种实现办法,例如:a)数据表;b)文卷;c)嵌入实开放系统软件或硬件中的数据或规则。OSI安全管理的分类：系统安全管理—涉及总的OSI环境安全方面的管理；例：总体安全策略的管理、与别的OSI管理功能的相互作用、与安全服务管理和安全机制管理的交互作用、事件处理管理、安全审计管理、安全恢复管理安全服务管理—涉及特定安全服务的管理；例：指定特定服务的保护目标、指定与维护特定的安全机制、安全机制协商(本地的与远程的)、调用特定的安全机制、与别的安全服务和安全机制的交互作用安全机制管理—涉及的是特定安全机制的管理。例：密钥管理、加密管理、数字签名管理、访问控制管理等等OSI管理本身的安全—所有OSI管理功能和信息自身的安全。这一类安全管理将借助OSI安全服务与机制以确保OSI管理协议与信息获得足够的保护。安全管理安全管理信息库(SMIB)是一个概念上的集存地,存116作为ISO7498-2的后续标准，1988年开始建立ISO/IEC10181ISO/IEC10181(Securityframeworksforopensystems)有七个部分第2-6部分对应ISO7498-2定义的5种服务Part1:概述Part2:认证服务架构Part3:访问控制服务架构Part4:防抵赖服务架构Part5:数据保密服务架构Part6:数据完整服务架构Part7:安全审计、报警架构ISO/IEC10181作为ISO7498-2的后续标准，1988年开始建立ISO117什么是ISO13335ISO/IEC13335，即IT安全管理指南（GuidelinesfortheManagementofITSecurity,GMITS）,是由ISO/IECJTC制定的技术报告ISO/IEC13335是一个信息安全管理方面的指导性标准其目的是为有效实施IT安全管理提供建议

什么是ISO13335ISO/IEC13335，即IT安118ISO13335(GMITS)的内容13335-1:IT安全概念和模型包含了对IT安全和安全管理中一些基本概念和模型的解释13335-2:IT安全计划和管理

建议性地介绍了IT安全管理和计划的方式和要点13335-3:IT安全管理技术描述了风险管理技术、IT安全计划的开发、实施和测试还包括策略审查、事件分析、IT安全教育等后续内容。13335-4:安全措施的选择描述了针对一个组织特定环境和安全需求可以选择的安全措施,不仅仅是技术性措施13335-5:网络安全的管理指导提供了关于网络和通信安全管理的指导性内容,该指南为识别和分析建立网络安全需求时需要考虑的通信相关因素提供支持,也包括对可能的安全措施方面的简要介绍ISO13335(GMITS)的内容13335-1:IT119ISO13335vs.BS7799与BS7799相比，ISO/IEC13335只是一个技术报告和指导性文件，并不是可依据的认证标准也不像BS7799那样给出一个全面而完整的信息安全管理框架但13335在信息安全尤其是IT安全的某些具体环节切入较深，对实际的工作具有较好的指导价值，从可实施性上来说要比BS7799好些另外13335对安全计划、安全策略、控制措施选择的内容的阐述要比BS7799具体很多总之，作为一个框架、总体要求和目标选择，BS7799是我们信息安全管理体系建设过程中要贯彻的指导方针，而这期间的一些具体的活动则可以参考13335，比如风险评估。ISO13335vs.BS7799与BS7799相比，I120提纲概述安全标准组织安全标准分类安全管理标准（ISO17799）安全技术标准安全产品标准（CC）安全工程标准（SSE-CMM）安全方法论安全资格认证（CISSP/CISA）提纲概述PKIFireWallLDAPVPNIDSAAAScannerSSO安全技术标准•ApplicationProtocols –SSL,S-HTTP•NetworkProtocols –IPSec•Cryptography–RSA,DSA,ECC–DES,AES–SHA-1–PKCSVulnerabilityCVEAuthentication–Kerberos–RADIUS–SAML•Messaging–S/MIME,OpenPGP,PEM–XMLDSIG,XMLENC•ApplicationSecurity–CORBASecurity–WS-SecurityPKIFireWallLDAPVPNIDSAAAScann122提纲概述安全标准组织安全标准分类安全管理标准（ISO17799）安全技术标准安全产品标准（CC）安全工程标准（SSE-CMM）安全方法论安全资格认证（CISSP/CISA）提纲概述产品安全性保证标准CommonCriteria(CC)–ISO/IEC15408EvaluationcriteriaforITSecurity–针对产品或组件的保证标准e.g.Firewalls,IDS,OS–定义了7个EvaluationAssuranceLevels(EAL)一级最低，七级最高1996年国际上的六个国家（美、加、英、法、德、荷）联合提出了信息技术安全评价的通用准则（CC）。CC的基础是欧州的ITSEC，美国的包括TCSEC在内的新的联邦评价标准，加拿大的CTCPEC，以及国际标准化组织ISO:SC27WG3的安全评价标准。TrustedComputerSystemEvaluationCriteria（TCSEC）TheOrangeBook分为D/C1/C2/B1/B2/B3/A1七个等级C2-部分OS有:VMS,IBMOS/400,WindowsNT,NovellNetWare4.11,Oracle7,DGAOS/VSII.

B1-部分OS有:HP-UXBLS,CrayResearchTrustedUnicos8.0,DigitalSEVMS,HarrisCS/SX,SGITrustedIRIX.B2-部分OS有:HoneywellMultics,CryptekVSLAN,TrustedXENIX

B3-仅有的OS:Getronics/WangFederalXTS-300

A1-BoeingMLSLAN,GeminiTrustedNetworkProcessor,HoneywellSCOMP.FIPSPUB140-2–Cryptographic模块的安全要求标准–定义了4个等级。产品安全性保证标准CommonCriteria(CC)124美国TCSEC1970年由美国国防部提出。1985年公布。主要为军用标准。延用至民用。安全级别从高到低分为A、B、C、D四级，级下再分小级。彩虹系列

桔皮书：可信计算机系统评估准则 黄皮书：桔皮书的应用指南红皮书：可信网络解释紫皮书：可信数据库解释美国TCSEC1970年由美国国防部提出。1985年公布。125美国TCSECD:最小保护MinimalProtectionC1:自主安全保护DiscretionarySecurityProtectionC2:访问控制保护ControlledAccessProtectionB1:安全标签保护LabeledSecurityProtectionB2:结构化保护StructuredProtectionB3:安全域保护SecurityDomainA1:验证设计保护VerifiedDesign低保证系统高保证系统美国TCSECD:最小保护MinimalProtecti126CC标准的发展历程CC标准的发展历程127CC驱动因素CC驱动因素128CC要实现的目标成为统一的国际（通用）IT产品和系统安全标准目前，CC已经成为ISO国际标准（15408）在不同国家间达成协议，相互承认产品评估为开发者拓展国际舞台改善IT安全产品在全世界的可用性CC要实现的目标129CC的目标读者消费者-具有IT安全功能的产品购买指南产品开发者和集成商-具有IT安全功能的产品的开发基础评估员-IT安全产品的评估基础审核员,认证人员,授权人员-对他们的特定应用给予支持CC的目标读者消费者-具有IT安全功能的产品购买指南产品130CC的内容组织CC的内容组织131CC定义了两类安全需求CC定义了两类安全需求132CC的关键概念评估目标(TOE)IT产品或系统