安全测评实践.pptVIP

安全测评实践 2012-09-11 2 课程内容 2 3 知识域：信息系统安全保障工作基本内容 3 知识子域：信息安全测评 了解信息安全测评的重要性 了解国内外信息安全测评概况 理解信息安全产品测评方法和流程 理解信息系统安全测评方法和流程 了解服务商资质测评方法和流程 了解信息安全人员资质测评方法和流程 4 信息系统安全保障评估 信息系统安全保障评估——在信息系统所处的运行环境中对信息系统安全保障的具体工作和活动进行客观的评估，通过信息系统安全保障评估所搜集的客观证据，向信息系统的所有相关方提供信息系统的安全保障工作能够实现其安全保障策略，能够将其所面临的风险降低到其可接受的程度的主观信心。 4 5 信息系统安全保障评估的作用 5 6 信息安全保障评估 评估是信息系统安全保障的一个重要概念，系统所有者可以根据评估所得到的客观评估结果建立其主观的信心。 评估对象是信息系统，不仅包含了信息技术系统，还包括同信息系统所处的运行环境相关的人和管理等领域。 评估是一种动态持续的评估过程。 6 7 美国 欧洲 亚太 国际组织 中国 国内外信息安全保障测评 7 8 2017-4-8 国防部: 1997年《IT安全认证认可过程》（DITSCAP） 2007年《信息保障认证和认可过程》（DIACAP） 国土安全部: 关键信息基础设施保护规划 RAMCAP (Risk Analysis and Management for Critical Asset Protection) 商务部/NIST： 《IT系统安全自评估指南》（SP 800-26） 《IT系统风险管理指南》（SP 800-30） （SP800-53a） 审计署/OMB： FISMA 科研机构：CMU OCTAVE,SANDIA RAM-* 政策明确,技术实用 美国—风险评估领头羊 8 9 2017-4-8 欧盟：CORAS安全关键系统的风险分析平台 英国：COBRA，CRAMM，用例推理 德国：德国联邦IT基线防护手册（ITBPM） 法国: EBIOS ,MEHARI 瑞典: ATAM(安全架构评估),XMASS 挪威: 安全策略评估 芬兰: 安全指标评估 技术创新强,未形成明确政策 欧洲-积极探索创新 9 10 2017-4-8 日本：政府和关键信息系统安全基线措 施评估 韩国：信息安全等级风险评估 新加坡：信息安全风险审计和评估 追随多,创新少 亚太：及时跟进，确保发展 10 11 2017-4-8 ISO:ISO 27004 信息安全管理的度量指标 和测量 ITU:基于通信安全架构(x.805)的风险评估 ISACA：信息系统风险评估指南、安全评估 之渗透测试和漏洞分析指南 注重操作实用，弱化理论方法 国际组织：规范标准 11 12 12 《信息安全风险评估指南》 -资产/威胁/脆弱性 《信息系统等级保护测评指南》 -安全保护基线 《信息系统安全保障评估框架》 -安全保障措施与能力 2017-4-8 我国风险评估技术情况 12 13 我国信息安全测评认证标准 我国信息安全测评认证所使用的标准主要有三个来源：采用国 家标准、在没有国家标准的情况下采用国际标准、采用认证中 心管委会批准的技术要求和保护轮廓。 13 14 国家信息安全测评主要对象 信息产品安全测评 信息系统安全测评 服务商资质测评 信息安全人员资质测评 14 15 信息安全产品测评 15 16 信息产品安全评估是测评机构对产品的安全性做出的独立评价，目的是为产品认证提供证据，增强用户对已评估产品安全的信任，向消费者提供信息技术安全产品的采购依据，从而推动信息技术安全产业的发展、提高信息技术安全科研和生产水平。 信息产品安全测评依据的标准是：CC、CEM和CNITSEC的要求 信息安全产品测评 16 17 产品认证的基本要求 产品认证属于典型完整的产品质量认证。 产品认证的基本要求是对认证申请者送达的样品进行型式试验（测试评估），同时对申请者的质量体系（即质量保证能力）进行检查、评审。这两方面都符合有关标准要求，则予以认证。认证通过后，认证中心予以发放证书。证书发放以后，认证中心再从市场和、或工厂（车间）抽样进行核查试验，即监督检验，同时对其质量体系进行监督性复查，若两方面都合格，即维持认证，否则取消认证。 17 18 根据国家标