第二章信息安全测评方法摘要.pptVIP

第2章 信息安全测评方法 李桂青 * 主要内容5W+H 为什么要进行信息安全测评？（why） 什么时候进行信息安全测评？（when） 哪些信息系统需要安全测评？（which） 有哪些测评队伍？（who） 信息安全测评要做什么准备工作？（what） 怎样进行信息安全测评？（how） 2.1 为何测评 卖保险 我为什么要买保险？ 2.1 为何测评 银行大楼 门开着，抽屉开着，保险柜关着（密码贴在上面），墙不堪一击 2.1 为何测评 因为要贯彻国家标准规范，保证在规划、设计、建设、运行维护和退役等不同阶段的信息系统满足统一、可靠的安全质量要求。 2.1 为何测评 2.1.1信息系统安全等级保护标准与TCSEC 安全等级---不同规模的公司的系统安全要求 根据一个信息系统受到破坏以后可能带来的严重后果，来对该信息系统进行分级保护。 2.1 为何测评 系统定级：根据一个信息系统受到破坏后可能带给个人、机构、社会以及国家安全带来的不同影响来确定的该信息系统的安全级别。 2.1 为何测评 美军计算机信息系统---C3I系统 可信计算机系统评价准则（TCSEC） 俗称-橙皮书 该准则是全球计算机系统安全评估的第一个正式标准，具有划时代的意义。 2.1 为何测评 TCSEC（P16） 将计算机信息系统的安全划分为4个等级、7个级别。 D级---D1----安全等级最低-----