信息与网络安全架构与方案.pptVIP

P2DR：动态安全模型 信息安全产品的平台化战略 围绕COE所提供的关键业务的风险分析 形成对各种风险的适度控制机制 把各安全控制的功能模块融合在一个统一的管理、监控和响应的平台中 信息安全平台化战略是COE的重要组成部分 对网络安全现状作出正确判断 较为准确地估计特定网络用户的风险 建立相应的控制风险的机制,并把这些 机制容为一体形成防护体系 最大限度地提高系统的可用性,并把网 络带来的风险减低到可接受程度 网络信息安全目标 动态网络安全防护策略 网络安全策略 业务需求 威胁及风险分析 国家,行业,安全相关的法律法规 业务系统安全策略 个人安全策略 安全技术标准化策略 管理策略 风险评估与安全登记划分 计算机系统与网络安全策略 物理安全与环境保护策略 管理安全规范 教育与培训策略 标识,认证策略 信息保密与完整性策略 授权与访问控制策略 抗抵赖策略 安全审计策略 入侵监测策略 病毒防范策略 响应与恢复策略 容错与备份 用户角色,级别 用户账号及认证方式 防火墙访问控制链表 …... 局部可执行安全策略 全局自动安全策略 组织安全策略 谢谢！ 中软信息安全博士后科研工作站 马东平 博士 ___-10-23 信息与网络安全标准与规范 Version 3 Copyright ? 2001 X-Exploit Team X-Exploit Team 日程安排 ISO 15408（CC) BS7799 SSE-CMM CVE ISO15408(CC) Copyright ? 2001 X-Exploit Team X-Exploit Team ISO15408简介 ISO/IEC 15408-1999“信息技术/安全技术/信息技术安全性评估准则”（简称CC） 国际标准化组织在现有多种评估准则的基础上，统一形成的 在美国和欧洲等国分别自行推出并实践测评准则及标准的基础上，通过相互间的总结和互补发展起来的。 发展历程 1985年，美国国防部公布《可信计算机系统评估准则》（TCSEC）即桔皮书； 1989年，加拿大公布《可信计算机产品评估准则》（CTCPEC）； 1991年，欧洲公布《信息技术安全评估准则》（ITSEC）； 1993年，美国公布《美国信息技术安全联邦准则》（FC）； 1996年，六国七方（英国、加拿大、法国、德国、荷兰、美国国家安全局和美国标准技术研究所）公布《信息技术安全性通用评估准则》（版）； 1998年，六国七方公布《信息技术安全性通用评估准则》（版）； 1999年___月，ISO接受版为ISO 15408标准，并正式颁布发行。 CC vs TCSEC CC源于TCSEC，但已经完全改进了TCSEC。 TCSEC主要是针对操作系统的评估，提出的是安全功能要求，目前仍然可以用于对操作系统的评估。 随着信息技术的发展，CC全面地考虑了与信息技术安全性有关的所有因素，以“安全功能要求”和“安全保证要求”的形式提出了这些因素，这些要求也可以用来构建TCSEC的各级要求。 类—子类—组件 CC定义了作为评估信息技术产品和系统安全性的基础准则，提出了目前国际上公认的表述信息技术安全性的结构，即： 安全要求=规范产品和系统安全行为的功能要求+解决如何正确有效的实施这些功能的保证要求。 功能和保证要求又以“类——子类——组件”的结构表述，组件作为安全要求的最小构件块，可以用于“保护轮廓”、“安全目标”和“包”的构建，例如由保证组件构成典型的包——“评估保证级”。 功能组件还是连接CC与传统安全机制和服务的桥梁，以及解决CC同已有准则如TCSEC、ITSEC的协调关系，如功能组件构成TCSEC的各级要求。 CC的先进性 结构的开放性 即功能和保证要求都可以在具体的“保护轮廓”和“安全目标”中进一步细化和扩展，如可以增加“备份和恢复”方面的功能要求或一些环境安全要求。这种开放式的结构更适应信息技术和信息安全技术的发展。 表达方式的通用性 即给出通用的表达方式。如果用户、开发者、评估者、认可者等目标读者都使用CC的语言，互相之间就更容易理解沟通。例如，用户使用CC的语言表述自己的安全需求，开发者就可以更具针对性地描述产品和系统的安全性，评估者也更容易有效地进行客观评估，并确保对用户更容易理解评估结果。这种特点对规范实用方案的编写和安全性测试评估都具有重要意义。在经济全球化发展、全球信息化发展的趋势下，这种特点也是进行合格评定和评估结果国际互认的需要。 CC的先进性… 结构和表达方式的内在完备性和实用性 体现在“保护轮廓”和“安全目标”的编制上。 “保护轮廓”主要用于表达一类产品或系统的用户需求，在标准化体系中可以作为安全技术类标准对待。 内容主要包括： 对该类产品或系统的界定