信息系统安全第6章_1_.pptVIP

第6章 6.1 信息系统安全测评认证 6.1.1 国际信息安全评价标准 1. DoD5200.28-M 为计算机系统定义了4种不同的运行模式。 （1）受控的安全模式 （2）自主安全模式 （3）多级安全模式 （4）强安全模式 6.1.2 中国信息安全 等级保护准则 6.1.3 信息安全测评认证体系 2. 国际互认 1995年CC项目组成立了CC国际互认工作组，并与`997年制定了过渡性互认协定。目前，参加CC互认协定（CCRA）已经有美国的NSA和NIST、加拿大的CSE、英国的CESG、德国的GISA、法国的SCSSI、新西兰的DSD，以及澳大利亚、荷兰、西班牙、意大利、挪威、芬兰、瑞典、希腊等20多个国家的政府官方组织。目前CCRA也已经允许有政府机构参与或授权的非官方组织参加。 3. 中国国家信息安全测评认证中心 6.2 信息系统安全风险评估 风险就是脆弱性和威胁的总和。一个现实的目标则是，通过对于要保护的资产以及系统受到的潜在威胁 的分析，把系统风险降低到可以接受的水平。这就是信息系统安全风险评估。 6.2.1 资产保护 1. 资产 （1）物理资源 （2）信息资源 （3）时间资源 （4）人力资源 （5）信誉（形象）资源 3. 风险与安全强度 风险是威胁和漏洞的综合结果 6.2.2 信息系统安全风险评估的基本问题 1. 信息系统安全风险评估的目的 2. 信息系统安全风险评估时机 3. 信息系统安全风险评估参考标准 4. 信息系统安全风险评估准则 5. 信息系统安全风险评估模式 1. 信息系统安全风险评估的目的 经验： （1）不计代价，片面地追求系统安全是不切实际的； （2）不考虑风险存在的信息系统是危险的，是要付出代价，甚至是灾难性代价的； （3）所有的信息系统建设的生命周期都应当从安全风险评估开始。 2. 信息系统安全风险评估时机 （1）要设计规划或升级到新的信息系统时。 （2）给目前的信息系统增加新的应用或新的扩充（包括进行互联）时。 （3）发生一次安全事件后。 （4）组织具有结构性变动时。 （5）按照规定或某些特殊要求对信息系统的安全进行评估时。 4. 信息系统安全风险评估准则 （1）规范性原则。具有三层含义： 评估方案和实施，要根据有关标准进行。 选择的评估部门，需要被国家认可，并具有一定等级的资质。 评估过程和文档要规范。 （2）整体性原则。评估要从业务的整体需求出发，不能局限于某些局部。 （3）最小影响原则：包含如下意义： 评估要有充分的计划性，不对系统运行产生显著影响。 所使用的评估工具要经过多次使用考验，具有很好的可控性。 （4）保密性原则。包含如下方面： 对评估数据严格保密； 不得泄露参评人员资料； 不得使用评估数据对被评方造成利益损失。 5. 信息系统安全风险评估模式 （1）基线评估（baseline risk assessment） 安全基线评估就是按照标准或惯例进行评估。 国际标准和国家标准，例如BS7799-1、GB/T 18336-2001等； 行业标准或推荐，例如德国联邦安全局IT基线保护手册等； 其他类似商业目标和规模组织惯例。 6.2.3 信息系统安全风险评估过程 1. 制定项目计划 项目计划应当包括如下一些内容： （1）评估目标。进行安全风险评估的目的和期望。 （2）项目范围和边界。例如通过定义系统的连接和接口。 （3）约束条件。包括时间（是否要在非繁忙办公时间，甚至非工作时间进行）、财务预算、技术因素等。这些约束可能影响项目进度和评估的可用资源。 （4）建立资产价值（重要性或敏感度）评估标准。 （5）风险接受标准。明确组织可以接受的风险的水平或等级。 （6）确定风险评估的模式。 （7）项目进度安排。用来控制进度，监督项目过程。 2. 评估准备 （1）成立一个专门的风险评估小组，成员包括： 具有风险评估经验者。 熟悉组织运作者。 管理层、业务部门的成员。 IT系统代表。 用户代表。 外部风险评估专家。 组织的信息安全官员和安全管理人员。 组织的高层管理人员。 3. 确定资产 资产的形式包括： 各种文档。包括数据库和数据文件、系统文件、用户手册、培训资料、支持程序、应急计划等。 纸质文件。包括合同、策略方针、企业文件、重要商业结果等。 软件。应用软件、系统软件、开发工具、公用程序等。 物理资产。 4. 脆弱性（漏洞）分析 （1）脆弱性分类 技术性脆弱性 操作性脆弱性 管理性脆弱性 5. 威胁分析 （2）威胁获取途径 查看安全策略文档。 业务流程分析。 6. 现有安全控制分析 （1）安全控制措施的类型 按照性质分为： 管理性（administrative） 操作性（operational） 技术性（technical） 按照功能分为： 预