信息安全技术教程清华大学出版社-第十八章专用课件.pptVIP

CC与其它标准的评测级别对应关系图 * 18.2.10 CoBIT CoBIT的全称是信息和相关技术的控制目标（Control Objectives for Information and related Technology），是ITGI提出的IT治理模型（IT Governance)，是一个IT控制和IT治理的框架（Framework）。 八个控制过程 计划和组织（Planning Organisation）、采购和实施（Acquisition Implementation）、交付和支持（Delivery Support）、监视和评估（Monitoring Evaluation） 七个控制目标 机密性（Confidentiality）、完整性（Integrity）、可用性（Availability）、有效性（Effectiveness）、高效性（Efficiency）、可靠性（Reliability）、符合性（Compliance） * 18.2.11 NIST SP800系列 美国国家标准技术协会NIST发布的Special Publication 800 文档是一系列针对信息安全技术和管理领域的实践参考指南。 主要文件 SP 800-12：计算机安全介绍（An Introduction to Computer Security: The NIST Handbook） SP 800-30 ： IT 系统风险管理指南（Risk Management Guide for Information Technology Systems） SP 800-34：IT 系统应急计划指南（Contingency Planning Guide for Information Technology Systems） SP 800-26 ： IT 系统安全自我评估指南（ Security Self-Assessment Guide for Information Technology Systems） * 18.3 安全法规 我国现阶段的一些信息安全方面的法律法规 《互联网出版管理暂行规定》 《计算机信息系统保密管理暂行规定》 《计算机病毒防治管理办法》 《计算机信息网络国际联网出入口信道管理办法》 《计算机信息网络国际联网安全保护管理办法》 《公安部关于对与国际联网的计算机信息系统进行备案工作的通知》 《计算机信息系统安全专用产品检测和销售许可证管理办法》 《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》 《中华人民共和国计算机信息系统安全保护条例》 《商用密码管理条例》 《电子签名法》 * * 18.4 习题 一、选择题 1. 常见的通用安全原则为特权分离原则，最小特权原则，深度防御原则以及下列哪一项？ A. 物理安全策略 B. 人员安全策略 C. 区域安全策略 D. 模糊安全策略 2. 数据管理策略不包括下列哪一项？ A. 最长保管时间 B. 最短保管时间 C. 数据安全 D. 数据类型 * 二、问答题 1. 简述最小特权原则的实施与重要性。 2. 简述通用安全管理工具减轻执行安全策略的过程。 3. 思考如何为一个组织或企业编写并执行具体的安全策略？ * * 第18章 信息安全建设标准 18.1 通用安全原则 18.2 安全标准 18.3 安全法规 18.4 习题 18.1 通用安全原则 18.1.1 通用原则 18.1.2 安全策略 18.1.3 安全管理工具 18.1.4 物理安全 18.1.5 人员安全 * 18.1.1 通用原则 特权分离原则 不主张单一的人员有足够的权限导致核心事件的发生 最小特权原则 一个人进行控制或相应的工作职责时，应该只分配最低限度的权限。 深度防御原则 模糊安全 依靠恶意入侵者不知道系统内部所采用的管理安全措施这一事实来保证安全 * 18.1.2 安全策略 常见的安全策略 可接受使用策略：让策略能够有效地限制用户权限范围内的行为，同时还要求可以应付不可预知的行为 备份策略：应付组织内被保护的数据丢失或损坏 保密策略 数据管理策略：数据类型、最短保管时间、最长保管时间 无线设备策略：无线设备能够给组织造成很大程度的安全威胁，所以在制定该策略时应当小心谨慎，并能够有力地执行下去 * 策略执行 政策制定 建立共识 人员培训：所有被策略影响的员工提供有效的教育与训练，组织提供的安全培训应针对不同的角色定制具体的培训内容 策略执行：包含强制执行规定，明确阐明违反政策行为和应遵循的程序时候所负的责任 策略维护：包含强制执行规定，明确阐明违反政策行为和应遵循的程序时候所负的责任 * 18.1.3 安全管理工具 安全校验表 安全专家应该审阅组织当前存在的安全清单，确保