信息系统安全第6章节1.pptVIP

第6章 信息系统安全管理 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 6.1 信息系统安全测评认证 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 6.1.1 国际信息安全评价标准 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 1. DoD5200.28-M 为计算机系统定义了4种不同的运行模式。 （1）受控的安全模式 （2）自主安全模式 （3）多级安全模式 （4）强安全模式 2. TCSEC TCSEC把计算机系统的安全分为4等7级： （1）D等（含1级） （2）C等（含2级） （3）B等（含3级） （4）A等（只含1级）——最高安全级别 6. 国际通用准则CC2. 安全保证要求为7个评估保证级别： EAL1：功能测试 EAL2：结构测试 EAL3：系统测试和检查 EAL4：系统设计、测试和复查 EAL5：半形式化设计和测试 EAL6：半形式化验证的设计和测试 EAL7：集成化验证的设计和测试 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 6.1.2 中国信息安全 等级保护准则 第一级 用户自主保护级 第二级 系统审计保护级 第三级 安全标记保护级 第四级 结构化保护级 第无级 访问验证保护级 自主访问控制 ● ● ● ● ● 身份鉴别 ● ● ● ● ● 数据完整性 ● ● ● ● ● 客体重用 ● ● ● ● 审计 ● ● ● ● 强制访问控制 ● ● ● 标记 ● ● ● 隐藏信道分析 ● ● 可信路径 ● ● 可信恢复 ● Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 6.1.3 信息安全测评认证体系 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 2. 国际互认 1995年CC项目组成立了CC国际互认工作组，并与`997年制定了过渡性互认协定。目前，参加CC互认协定（CCRA）已经有美国的NSA和NIST、加拿大的CSE、英国的CESG、德国的GISA、法国的SCSSI、新西兰的DSD，以及澳大利亚、荷兰、西班牙、意大利、挪威、芬兰、瑞典、希腊等20多个国家的政府官方组织。目前CCRA也已经允许有政府机构参与或授权的非官方组织参加。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 3. 中国国家信息安全测评认证中心 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 6.2 信息系统安全风险评估 风险就是脆弱性和威胁的总和。一个现实的目标则是，通过对于要保护的资产以及系统受到的潜在威胁 的分析，把系统风险降低到可以接受的水平。这就是信息系统安全风险评估。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 6.2.1 资产保护 1. 资产 （1）物理资源 （2）信息资源 （3）时间资源 （4）人力资源 （5）信誉（形象）资源 2. 资产损失 （1）一时性损失。如系统死机、人员不能工作、处理时间拖延等。 （2）长期恢复损失。如信息资源的重新配置等，需要一定的