电子商务安全管理第9章--信息系统安全评估.pptVIP

第9章 信息系统安全评估 9.1信息系统安全标准 9.2信息系统安全评估标准 9.3国际与国内信息系统安全测评认证  9.1信息系统安全标准 9.1.1信息系统安全标准简介 9.1.2我国的信息系统安全标准  9.1.1信息系统安全标准简介 信息系统安全标准是构建国家信息安全保护体系必须具备的技术、管理规范。国家要尽快建立自主完善的标准体系，同时要加强标准的普及使用。特别是要在主机等主要设备的操作系统和数据库安全技术、安全服务器技术和产品研发等方面实现迅速突破，为国家基础信息系统及重要信息系统提供第二级以上信息安全等级保护产品。 信息系统安全的标准化是一项艰巨、长期的基础性工作。在我国，有关主管部门十分关注信息安全标准化工作，在1984年7月组建了数据加密技术委员会，并于1997年8月改组成全国信息技术标准化委员会的信息安全技术分委员会，负责制定信息安全的国家标准，本着积极采用国际标准的原则，转化了一批国际信息安全基础技术标准。另外，公安部、安全部、国家保密局、国家密码管理委员会等相继制定、颁布了一批信息安全的行业标准，为推动信息安全技术在各行业的应用和普及发挥了积极的作用。 9.1.2 我国的信息系统安全标准 截至2002年初，我国正式颁布信息安全相关国家标准已达40多项，规定了信息安全的不同技术要求。下面分类列表说明。 1.安全技术及安全机制相关国家标准（表9-1） 表9-1 安全技术及安全机制相关国家标准 9.1.2 我国的信息系统安全标准 2.物理安全相关国家标准（表9-2） ? 表9-2 物理安全相关国家标准 9.1.2 我国的信息系统安全标准 3.信息安全评估相关国家标准（表9-3） ? 表9-3 信息安全评估相关国家标准 9.2 信息系统安全评估标准 9.2.1安全评估标准及其发展 9.2.2信息系统安全评估标准 9.2.3信息系统安全评估标准所面临的问题及改进建议  9.2.1安全评估标准及其发展 1.安全评估标准的概念 信息系统安全评估是指评估机构依据信息系统安全评估标准（或准则），采用一定的方法（方案）对信息安全产品或系统安全性进行评价。它包括对系统安全的技术和非技术环节进行测试，检查、审核等，是系统进行认证与认可的前期工作。与自评估相对，它是一种非常全面、深入、细致的评估。信息系统安全评估标准是信息系统安全评估的行动指南。 9.2.1安全评估标准及其发展 2.安全评估标准的发展 在国际上，针对信息系统安全的等级防护和评估，先后制定了多个标准，其发展过程和关系见下图（图9-1）。但是，由于标准众多，对于标准的争论从未停息过。 9.2.2 信息系统安全评估标准 1.侧重于对系统和产品的技术指标方面的标准 ??? 美国国防部于1985年公布可信的计算机系统安全评估标准（TCSEC，从橘皮书到彩虹系列），是计算机系统信息安全评估的第一个正式标准。它把计算机系统的安全分为4类、7个级别，对用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通道建立、安全检测、生命周期保障、文档写作、用户指南等内容提出了规范性要求。 ??? 法、英、荷、德欧洲四国90年代初联合发布信息技术安全评估标准（ITSEC，欧洲百皮书），它提出了信息安全的机密性、完整性、可用性的安全属性。ITSEC把可信计算机的概念提高到可信信息技术的高度上来认识，对国际信息安全的研究、实施产生了深刻的影响。 9.2.2 信息系统安全评估标准 2.偏重于安全管理方面的标准 1995年，英国贸工部根据英国国内企业对信息安全日益高涨的呼声，组织大企业的信息安全经理们，制定了世界上第一个信息安全管理体系标准BS7799-1：1995《信息安全管理实施规则》，作为工商业和大、中、小型组织实施信息安全管理的指南。 1998年，为了适应第三方认证的需要，英国又制定了第一个信息安全管理体系认证标准--?BS7799-2：1998《信息安全管理体系规范》，作为对一个组织的全面或部分信息安全管理体系进行评审认证的依据标准。 9.2.2 信息系统安全评估标准 信息系统安全管理标准发展过程如图9-2所示。 9.2.2 信息系统安全评估标准 3.我国目前的信息系统安全评估标准 ??? 我国2001年由中国信息安全产品测评认证中心牵头，将ISO/IEC 15408转化为国家标准——GB/T 18336-2001《信息技术安全性评估准则》，并直接应用于我国的信息安全测评认证工作。其中，基础性等级划分标准--《GB17859—1999计算机信息系统安全保护等级划分准则》是其他标准的基础，是信息系统安全等级保护实施指南，为等级保护的实施提供指导。 标准体系的基本思想概括为（如图9-3）：以信息安全的五个属性为基本内容，从实现信息安全的五个层面，按照信息安全五