国内外信息安全标准与信息安全模型课件.pptVIP

ISO17799模型 Personal Security Comm/Ops Management Physical and Environment Security 员工聘请，知识培训，事故报告等 物理安全参数，设备保护，桌面及电脑的重要文件的保护 事故流程，职责分离，系统规划，电子邮件控制 第 * 页 。 ISO17799模型 Access Control Business Continuity Planning System Development and Maintenance 权限管理：包括应用系统，操作系统，网络 变更控制，环境划分，安全设备 商业可持续性计划及其框架，测试计划以及计划的维护和更新 Compliance 版权控制，记录和信息的保存，数据保护，公司制度的服从 第 * 页 。 ISO/IEC 27001/27002:2005?的內容 总共分成?11个领域、?39个控制目标、?133个控制措施。? 11个领域包括A.1?Security?PolicyA.2?organization?of?information?securityA.3?Asset?managementA.4?Human?resources?securityA.5?Physical?and?environmental?securityA.6?Communications?and?operations?managementA.7?Access?controlA.8?Information?systems?acquisition,?development?and?maintenanceA.9?Information?security?incident?managementA.10?Business?continuity?managementA.11?Compliance 第 * 页 。 关于ISO/IEC15408 90年代开始，由于Internet的日益普及，信息安全领域呼吁修改桔皮书，以解决商用信息系统安全问题。 1991年欧盟(European Commission) 颁布了ITSEC (Information Technology Security Evaluation Criteria,信息技术安全评估准则)。 在此基础上，美国、加拿大、英国、法国等7国组织联合研制了“信息技术评估安全公共准则”（CC：Common Criteria）。 1999年6月ISO通过了ISO/IEC 15408 安全评估准则 （ISO/IEC 15408:1999 Security Techniques—Evaluation Criteria for IT Security）。目前的最新版本于2005年发布。 ISO/IEC 15408是基于多个标准而产生的，它的演进过程如下图所示： 第 * 页 。 ISO/IEC 15408的内容 ISO/IEC 15408由以下三部分组成： 第一部分：介绍和一般模型 第二部分：安全功能需求 第三部分：安全认证需求 ISO/IEC 15408准则比以往的其他信息技术安全评估标准更加规范，采用以下方式定义： 类别（CLASS）； 认证族（ASSURANCE FAMILY）； 认证部件（ASSURANCE COMPONENT）； 认证元素（ASSURANCE ELEMENT）。 其中类别中有若干族，族中有若干部件，部件中有若干元素。 第 * 页 。 ISO/IEC 15408的特点 ISO/IEC 15408 信息技术安全评估准则中讨论的是TOE （target of evaluation), 即评估对象。该准则关注于评估对象的安全功能，安全功能执行的是安全策略。 ISO/IEC 15408 定义了安全属性，包括用户属性、客体属性、主体属性、和信息属性。 ISO/IEC 15408加强了完整性和可用性的防护措施，强调了抗抵赖性的安全要求。 ISO/IEC 15408 还定义了加密的要求，强调对用户的隐私保护。 ISO/IEC 15408还讨论了某些故障、错误和异常的安全保护问题。 第 * 页 。 ISO/IEC15408的类别 ISO/IEC 15408中，类别（class) 代表最概括的分类和定义方式。包括: 安全功能类别，共11个， 分别为安全审计、通信、加密支持、用户数据防护、标识与鉴别、安全管理、隐私、安全功能的防护、资源利用、对评估对象的访问、可信通路/通道。 安全认知类别，共8个，分别为配置管理、递交和操作、开发、指南文档、生存期支持、测试、脆弱性评估、认证维护。 评估认证级别类别，共7个，分别为评估功能测试、结构测试、方法测试和检查、半形式设计和测试、半形式验证设计和测试、形式