信息安全技术_02信息安全技术的标准化解析.ppt

信息安全技术 第 1 章 熟悉信息安全技术 1.1 信息安全技术的计算环境 1.2 信息安全技术的标准化 1.3 信息系统的物理安全 1.4 Windows系统管理与安全设置 1.2 信息安全技术的标准化 在传统工业领域中，实行标准生产的必要性及其对生产、流通、运行等方面带来的好处人们早已习以为常。然而，在我国，对于信息安全领域的标准化问题，人们的认识还很不一致。事实上，掌握信息安全的知识是必要的，树立对信息安全标准化的正确认识也同样是非常必要的。 1.2 信息安全技术的标准化 近年来，随着计算机网络的建设和应用，对网络的信息安全也提出了很高要求。与此同时，国内外的有关标准化组织对信息安全标准化工作非常重视，先后制定了不少的安全技术标准。 根据制定机构和适用范围的不同，信息安全标准可分为5个级别： 国际标准。(ISO 国际标准化组织) 国家标准。(GB 国家标准，ANSI 美国国家标准协会) 行业标准。(IEEE 美国电气和电子工程师学会，GJB 中国国家军用标准) 企业规范。 项目规范。 1.2.1 信息安全评估标准的发展 到目前为止，信息技术方面的国家标准有53个。其中，安全管理方面的主要有： GB/T19715.1-2005 信息技术安全管理指南 第1部分：信息技术安全概念和模型 (ISO/IEC13335-1:1996，IDT) GB/T19715.2-2005 信息技术安全管理指南 第2部分：管理和规划信息技术安全 (ISO/IEC13335-2:1997，IDT) GB/T19716-2005 信息安全管理实用规则 (ISO/IEC 17799:2000，MOD) GB/T20269-2006 信息系统安全管理要求 1.2.2 信息安全管理国内外标准现状 信息安全评估是信息安全生命周期中的重要环节，是对企业的网络拓扑结构、重要服务器的位置、带宽、协议、硬件、因特网接口、防火墙配置、安全管理措施及应用流程等进行全面的安全分析，并提出安全风险分析报告和改进建议书。 1.2.3 信息安全评估标准的发展 (1) 信息安全评估的作用 明确企业信息系统的安全现状。 确定企业信息系统的主要安全风险。 指导企业信息系统安全技术体系与管理体系的建设。 1.2.3 信息安全评估标准的发展 (2) 主要的信息安全评估标准 国际安全评测标准的发展与联系如图1.2所示。 1.2.3 信息安全评估标准的发展 国际安全评测标准的发展与联系 信息安全评估标准是信息安全评估的行动指南。 可信计算机系统安全评估标准 (TCSEC，从橘皮书到彩虹系列) 由美国国防部于1985年公布，是计算机系统信息安全评估的第一个正式标准。它把计算机系统的安全分为4类、7个级别，对用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通道建立、安全检测、生命周期保障、文档写作、用户指南等内容提出了规范性要求。 1.2.3 信息安全评估标准的发展 信息技术安全评估标准 (ITSEC，欧洲白皮书) 由法、英、荷、德等欧洲四国于90年代初联合发布，它提出了信息安全的安全属性： 机密性：保证未经授权的用户、实体或进程无法窃取信息； 完整性：保证没有经过授权的用户不能改变或者删除信息，从而信息在传送的过程中不会被偶然或故意破坏，保持信息的完整、统一； 可用性：指合法用户的正常请求能及时、正确、安全地得到服务或回应。 ITSEC把可信计算机的概念提高到可信信息技术的高度上来认识，对国际信息安全的研究、实施产生了深刻的影响。 1.2.3 信息安全评估标准的发展 信息技术安全评价的通用标准 (CC) 由多个国家 (美、加、英、法、德、荷) 于1996年联合提出，并逐渐形成国际标准ISO15408。 标准定义了评价信息技术产品和系统安全性的基本准则，提出了国际上公认的表述信息技术安全性的结构，即把安全要求分为规范产品和系统安全行为的功能要求以及解决如何正确有效地实施这些功能的保证要求。CC标准是第一个信息技术安全评价国际标准，它的发布对信息安全具有重要意义，是信息技术安全评价标准以及信息安全技术发展的一个重要里程碑。 1.2.3 信息安全评估标准的发展 ISO13335标准首次给出了关于IT安全的保密性、完整性、可用性、审计性、认证性、可靠性等6个方面含义，并提出了以风险为核心的安全模型。 1.2.3 信息安全评估标准的发展 企业面临着很多威胁 (包括来自内部和来自外部的威胁) ，这些威胁利用信息系统存在的各种漏洞 (如：物理环境、网络服务、主机系统、应用系统、相关人员、安全策略等) ，对信息系统进行渗透和攻击。如果渗透和攻击成功，将导致企业重要机密信息的泄露，会对资产的价值产生影响 (包括直接和间接的影响) 。 1.2.3 信息安全评估标