(信息系统安全第章.pptVIP

第6章 6.1 信息系统安全测评认证 6.1.1 国际信息安全评价标准 1. DoD5200.28-M 为计算机系统定义了4种不同的运行模式。 （1）受控的安全模式 （2）自主安全模式 （3）多级安全模式 （4）强安全模式 6.1.2 中国信息安全 等级保护准则 6.1.3 信息安全测评认证体系 2. 国际互认 1995年CC项目组成立了CC国际互认工作组，并与`997年制定了过渡性互认协定。目前，参加CC互认协定（CCRA）已经有美国的NSA和NIST、加拿大的CSE、英国的CESG、德国的GISA、法国的SCSSI、新西兰的DSD，以及澳大利亚、荷兰、西班牙、意大利、挪威、芬兰、瑞典、希腊等20多个国家的政府官方组织。目前CCRA也已经允许有政府机构参与或授权的非官方组织参加。 3. 中国国家信息安全测评认证中心 6.2 信息系统安全风险评估 风险就是脆弱性和威胁的总和。一个现实的目标则是，通过对于要保护的资产以及系统受到的潜在威胁 的分析，把系统风险降低到可以接受的水平。这就是信息系统安全风险评估。 6.2.1 资产保护 1. 资产 （1）物理资源 （2）信息资源 （3）时间资源 （4）人力资源 （5）信誉（形象）资源 3. 风险与安全强度 风险是威胁和漏洞的综合结果 6.2.2 信息系统安全风险评估的基本问题 1. 信息系统安全