3.2信息安全标准-信息安全详解.pptVIP

* 五个等级保护能力比较 编号 保护能力项目 第一级 第二级 第三级 第四级 第五级 1 自主访问控制 √ √ √ √ √ 2 强制访问控制 √ √ √ 3 标记 √ √ √ 4 身份鉴别 √ √ √ √ √ 5 客体重用 √ √ √ √ 6 审计 √ √ √ √ 7 数据完整性 √ √ √ √ √ 8 隐蔽信道分析 √ √ 9 可信路径 √ √ 10 可信恢复 √ * GA/T391-2002《计算机信息系统安全等级保护管理要求》 信息系统安全管理，是对一个组织或机构中信息系统的生命周期全过程实施符合安全等级责任要求的科学管理 落实安全组织及安全管理人员，明确角色与职责，制定安全规划 开发安全策略 实施风险管理 制定业务持续性计划和灾难恢复计划 选择与实施安全措施 保证配置、变更的正确与安全 进行安全审计 保证维护支持 进行监控、检查，处理安全事件 安全意识与安全教育 人员安全管理等 * 主要安全要素 * 信息系统安全管理的基本原则 总原则 主要领导人负责原则 规范定级原则 依法行政原则 以人为本原则 适度安全原则 全面防范、突出重点原则 系统、动态原则 控制社会影响原则 主要安全管理策略 * 信息系统安全管理的基本原则 总原则 主要安全管理策略 分权制衡 最小特权 选用成熟技术 普遍参与 * 5 信息安全国际标准 国际上比较有影响的信息安全标准体系主要有： ISO/IEC的国际标准13335、17799、27001系列 美国国家标准和技术委员会（NIST）的特别出版物系列 英国标准协会（BSI）的7799系列 * 国际标准ISO/IEC是国际上最权威的由国际标准化组织（ ISO）和国际电工委员会（IEC）所制定的国际标准 ISO和IEC是世界范围的标准化组织，它由各个国家和地区的成员组成，各国的相关标准化组织都是其成员，他们通过各技术委员会，参与相关标准的制定 * ISO/IEC联合技术委员会JTC1子委员会27（ISO/IEC JTC1 SC27）是信息安全领域最权威和国际认可的标准化组织 ISO/IEC JTC1 SC27发布的目前最主要的标准是 ISO/IEC 13335 ISO/IEC 17799:2005 ISO/IEC 27001:2005 * BS 7799受到广泛认可 它的第一部分已成为国际标准 ISO/IEC 17799:2005 它的第二部分成为国际标准 ISO/IEC 27001:2005 * BS 7799《信息安全管理标准》 BS 7799是英国标准协会针对信息安全管理而制定的标准 第一部分：是信息安全管理实践规范 Code of Practice for Information Security Management 主要供负责信息安全系统开发的人员作为参考使用 第二部分：是建立信息安全管理体系的规范 Specification for Information Security Management Systems 可用来指导相关人员应用第一部分，最终目的是建立适合企业需要的信息安全管理体系 * 国际标准ISO/IEC 17799:2005 国际标准ISO/IEC 17799:2005《信息技术－安全技术－信息安全管理实践规范》 描述了信息安全管理领域的最佳惯例，由11个独立的部分组成 安全方针 信息安全组织 资产管理 人力资源安全 物理与环境安全 通信和运作管理 访问控制 信息系统的获取、开发及维护 信息安全事故管理 业务连续性管理 符合性 * 上述11个方面，除了三个与技术密切相关之外，其他方面更侧重于组织整体的管理和运营操作 体现了信息安全“三分技术，七分管理”、“管理与技术并重”的理念 * 国际标准ISO/IEC 27001:2005 国际标准ISO/IEC 27001:2005《信息技术－安全技术－信息安全管理体系要求》 是一个系统化、程序化和文档化的管理体系，其中，技术措施只是作为依据安全需求有选择有侧重地实现安全目标的手段而已 信息安全管理认证的国际标准 * 本模块要求 了解信息安全国家标准和国际标准 * 信息安全标准 信息安全（模块3－信息安全法律法规与标准） * 内容提要 1、标准的定义 2、标准的分级 3、标准的分类 4、与计算机信息系统安全等级保护相关的标准 5、信息安全国际标准 * 1 标准的定义 国际标准化组织定义：由有关各方根据科学技术成就与先进经验，共同合作起草，一致或基本上同意的技术规范或其他公开文件，其目的在于促进最佳的公共利益，并由标准化团体批准 我国定义：标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践经验的综合成果为基础，经有关方面协调一致，由主管机构批准，以特定形