网络系统安全评估及高危漏洞.pptxVIP

广东省中小学信息网络管理员安全技术培训班 Dec 2005 许伯桐（博士） Email: burton.xu@;;;近年网络安全态势;任何组织都会遭受攻击;每年发现的漏洞数量飞速上升;发起攻击越来越容易、攻击能力越来越强;黑客的职业化之路;面临严峻的安全形势;网络安全事件造成巨大损失;网络安全事件类型;常用管理方法;;网络攻击产生原因分析 ;安全设计四步方法论;ISSF模型;安全设计和安全域/等级保护的结合(示例）;网络系统安全风险评估; 组织实现信息安全的必要的、重要的步骤;风险的四个要素：;脆弱性;风险分析矩阵—风险程度;国际上常见的风险控制流程;提供;风险评估要素关系模型;信息系统是一个巨型复杂系统（系统要素、安全要素） 信息系统受制于外部因素（物理环境、行政管理、人员） 作业连续性保证 威胁和风险在同领域内的相似性 自评估、委托评估、检察评估;风险评估的一般工作流程;;;评估工具;;信息技术安全评估准则发展过程 《可信计算机系统评估准则》TCSEC 《信息技术安全评估准则》ITSEC 通用准则CC（ISO 15408、GB/T18336) 《计算机信息系统安全保护等级划分准则》 BS7799、ISO17799 《信息技术 安全技术 信息技术安全性评估准则》 ISO13335《 IT安全管理指南》 SSE-CMM 系统安全工程能力成熟度模型 我国的信息安全标准制定情况;通用准则CC (ISO/IEC 15408、GB/T18336）;信息技术安全评估准则发展过程;CC的适用范围;CC内容;CC的关键概念;CC的关键概念;CC的关键概念;CC的关键概念;CC的关键概念;CC的关键概念;CC的先进性 ;CC的先进性…;基本原理，指明安全要求对安全目的、安全目的对安全环境是充分且必要的； 附加的补充说明信息。 “保护轮廓”编制，一方面解决了技术与真实客观需求之间的内在完备性； 另一方面用户通过分析所需要的产品和系统面临的安全问题，明确所需的安全策略，进而确定应采取的安全措施，包括技术和管理上的措施，这样就有助于提高安全保护的针对性、有效性。 “安全目标”在“保护轮廓”的基础上，通过将安全要求进一步针对性具体化，解决了要求的具体实现。常见的实用方案就可以当成“安全目标”对待。 通过“保护轮廓”和“安全目???”这两种结构，就便于将CC的安全性要求具体应用到IT产品的开发、生产、测试、评估和信息系统的集成、运行、评估、管理中。 ;CC内容之间的关系;保护轮廓与安全目标的关系;通用准则CC;通用准则CC：第一部分 介绍和通用模型;CC 第一部分内容（1）;CC 第一部分内容（2）;通用准则CC;通用准则CC;通用准则CC;通用准则CC：保护轮廓内容结构;通用准则CC;通用准则CC：安全目标ST内容结构;通用准则CC;通用准则CC;通用准则CC 第二部分：安全功能要求;通用准则CC 第二部分：安全功能要求;通用准则CC 第二部分：安全功能要求;通用准则CC 第二部分：安全功能要求;通用准则CC 第二部分：安全功能要求;安全功能需求层次关系;通用准则CC;通用准则CC：第三部分 评估方法;通用准则CC：第三部分 评估方法;通用准则CC：第三部分 评估方法;通用准则CC：第三部分 评估方法;通用准则CC：第三部分 评估方法;通用准则CC：第三部分 评估方法;通用准则CC：第三部分 评估方法;通用准则CC;AGD类：指南文档 管理员指南 用户指南 ALC类：生命周期支持 开发安全 缺陷纠正 生命周期定义 工具和技术 ATE类：测试 覆盖范围 深度 功能测试 独立性测试 AVA类：脆弱性评定 隐蔽信道分析 误用 TOE安全功能强度 脆弱性分析;通用准则CC;通用准则CC： EAL解释;通用准则CC： EAL解释;CC的EAL与其他标准等级的比较;PP基本原理;威胁举例;安全目的举例;O.SINUSE;TOE安全功能要求举例;PP示例;通用准则CC;BS7799、ISO17799 ;历史沿革;BS7799内容：总则;BS7799部分;十大管理要项 BS 7799-2:2002;十大管理要项 BS 7799-2:2002;十大管理要项 BS 7799-2:2002;BS7799与CC的比较;制订信息安全方针; 第一步 制订信息安全方针 BS7799-2对ISMS的要求： 组织应定义信息安全方针。 信息安全是指保证信息的保密性、完整性和可用性不受破坏。建立信息安全管理体系的目标是对公司的信息安全进行全面管理。 信息安全方针是由组织的最高管理者正式制订和发布的该组织的信息安全的目标和方向，用于指导信息安全管理体系的建立和实施过程。 要经最高管理者批准和发布 体现了最高管理者对信息安全的承诺与支持 要传达给组织内所有的员工 要定期和适时进行评审