网络安全测评.pptVIP

Chapter 1信息安全测评思想 Hot Tip 什么状况最危险？ 主要内容 信息安全测评的科学精神 信息安全测评是探索真理、发现真相的科学。 测评工作的前提和基础：掌握信息安全测评的理论、方法和技术，明确一名安全测评工程师应该具备的科学精神和素养！ 科学精神： 怀疑、批判、创新、求实、协作 主要内容 信息安全测评的科学方法 人类科学发展观与系统科学的关系 信息安全测评的科学方法 系统科学/系统工程方法是测评工作最主要的方法。 “系统科学”的含义： 从事测评的不是一个人，而是一个团队。对测评团队的组织和管理要有系统科学的方法，从而保证测评质量； 测评的对象往往不是一个单一的软件或硬件，而是一个复杂、庞大并且不断变化的信息系统，本身具有“自组织、自演化”的系统科学特征； 测评过程中要贯彻“人机合一”的系统科学思想。 主要内容 信息安全测评的贯标思想 贯标(Execution of Standards)：指测评人员在测评活动中自觉遵循相关标准的行为。 为了体现测评结果的客观性、科学性和公正性，所有测评工作都必须严格遵守国家有关标准规范并遵循严格的测评流程，即 “贯标”流程。 信息安全测评 “三严”要求 严肃的科学精神 指普适性的科学思想，这是任何科技工作者都应具备的； 严谨的工作作风 指系统科学方法，这是从事信息科学研究的人们应当具备的； 严格的测评流程 指“贯标流程”，这是从事信息安全测评工作所要遵循的。 信息安全测评 主要内容 信息安全标准化组织 标准化组织:制定标准规范的权威机构。 国际标准化组织 ISO (International Organization For Standardization) 成立于1947年2月23日，是世界最大的非政府性国际标准化组织。 主要工作是制定国际标准，协调世界范围内的标准化工作，组织各成员国和技术委员会进行信息交流，以及与其他国际性组织进行合作，共同研究标准化问题。 信息安全标准化组织 国际标准化组织 IEC：国际电工委员会 在信息安全标准化方面，IEC成立了涉及电信、电子系统、信息技术和电磁兼容等方面的技术委员会，并制定相关国际标准。 ITU：国际电信联盟 主要负责研究通信系统安全标准。 IETF：Internet工程任务组 主要任务是负责互联网相关技术规范的研发和制定。 信息安全标准化组织 国外标准化组织 美国、英国、德国、加拿大等国家。 NIST：美国国家标准和技术委员会 成立于1901年，该组织在信息安全方面负责为美国政府和商业机构提供信息安全管理相关的标准规范。 主要标准：NIST SP 800 信息安全标准化组织 国外标准化组织 BSI (British Standard Institute)：英国标准化协会 成立于1901年，是英国最主要的标准制定组织。 主要标准：BS 7799 BS 7799-1:1999：是组织建立并实施信息安全管理体系的一个指导性的准则； BS 7799-2:2002：以BS 7799-1:1999为指南，详细说明按照PDCA模型(Plan, Do, Check, Action，俗称“戴明环”)，建立、实施及文件化信息安全管理体系(ISMS)的要求。 信息安全标准化组织 标准化组织：制定标准规范的权威机构。 国内标准化组织 CITS：全国信息技术安全标准化技术委员会 其工作范围是负责信息和通信安全的通用框架、方法、技术和机制的标准化，归口国内外对应的标准化工作。 其技术安全包括：开放式安全体系结构、各种安全信息交换的语义规则、有关的应用程序接口和协议引用安全功能的接口以及本书所依据的各种安全测评标准等等。 小结 信息安全测评的“三严”要求 信息安全的贯标定义 信息安全测评的“蘑菇”模型 国际标准化组织与信息安全标准 国外信息化发达国家标准化组织与 信息安全标准 国内标准化组织与信息安全标准 After class… 请了解以下网站 / / / PPT总目录 Chapter 1.ppt Chapter 2.ppt Chapter 3.ppt Chapter 4.ppt Chapter 5.ppt Chapter 6.ppt Chapter 7.ppt Chapter 8.ppt Chapter 9.ppt Chapter 10.ppt Chapter 11.ppt Chapter 12.ppt Chapter 13.ppt 信息安全测评与风险评估 信息安全测评与风险评估 信息安全测评与风险评估 * 信息安全测评与风险评估 不清楚危险的状况最危险！ 信息安全测评的科学精神 信息安全标准化组织 信息安全测评的科学方法 信息安全测评的贯标思想 信息安全测评的科学精神 信息安全标准化组织 信息安全测评的科学方法 信息安全测评的贯