安全测评实践课件.pptxVIP

安全测评实践2012-09-11

课程内容2

知识域：信息系统安全保障工作基本内容v知识子域：信息安全测评.了解信息安全测评的重要性.了解国内外信息安全测评概况.理解信息安全产品测评方法和流程.理解信息系统安全测评方法和流程.了解服务商资质测评方法和流程.了解信息安全人员资质测评方法和流程3

信息系统安全保障评估v信息系统安全保障评估——在信息系统所处的运行环境中对信息系统安全保障的具体工作和活动进行客观的评估，通过信息系统安全保障评估所搜集的客观证据，向信息系统的所有相关方提供信息系统的安全保障工作能够实现其安全保障策略，能够将其所面临的风险降低到其可接受的程度的主观信心。4

信息系统安全保障评估的作用5

信息安全保障评估v评估是信息系统安全保障的一个重要概念，系统所有者可以根据评估所得到的客观评估结果建立其主观的信心。v评估对象是信息系统，不仅包含了信息技术系统，还包括同信息系统所处的运行环境相关的人和管理等领域。v评估是一种动态持续的评估过程。6

国内外信息安全保障测评v美国v欧洲v亚太v国际组织v中国7

美国—风险评估领头羊v国防部:.1997年《IT安全认证认可过程》（DITSCAP）.2007年《信息保障认证和认可过程》（DIACAP）v国土安全部:.关键信息基础设施保护规划RAMCAP(RiskAnalysisandManagementforCriticalAssetProtection)v商务部/NIST：.《IT系统安全自评估指南》（SP800-26）.《IT系统风险管理指南》（SP800-30）（SP800-53a）v审计署/OMB：FISMAv科研机构：CMUOCTAVE,SANDIARAM-*政策明确,技术实用8

欧洲-积极探索创新v欧盟：CORAS安全关键系统的风险分析平台v英国：COBRA，CRAMM，用例推理v德国：德国联邦IT基线防护手册（ITBPM）v法国:EBIOS,MEHARIv瑞典:ATAM(安全架构评估),XMASSv挪威:安全策略评估v芬兰:安全指标评估技术创新强,未形成明确政策9

亚太：及时跟进，确保发展v日本：政府和关键信息系统安全基线措施评估v韩国：信息安全等级风险评估v新加坡：信息安全风险审计和评估追随多,创新少10

国际组织：规范标准vISO:ISO27004信息安全管理的度量指标和测量vITU:基于通信安全架构(x.805)的风险评估vISACA：信息系统风险评估指南、安全评估之渗透测试和漏洞分析指南注重操作实用，弱化理论方法11

我国风险评估技术情况v《信息安全风险评估指南》-资产/威胁/脆弱性v《信息系统等级保护测评指南》-安全保护基线v《信息系统安全保障评估框架》-安全保障措施与能力12

我国信息安全测评认证标准我国信息安全测评认证所使用的标准主要有三个来源：采用国家标准、在没有国家标准的情况下采用国际标准、采用认证中心管委会批准的技术要求和保护轮廓。13

国家信息安全测评主要对象v信息产品安全测评v信息系统安全测评v服务商资质测评v信息安全人员资质测评14

信息安全产品测评15

信息安全产品测评v信息产品安全评估是测评机构对产品的安全性做出的独立评价，目的是为产品认证提供证据，增强用户对已评估产品安全的信任，向消费者提供信息技术安全产品的采购依据，从而推动信息技术安全产业的发展、提高信息技术安全科研和生产水平。信息产品安全测评依据的标准是：CC、CEM和CNITSEC的要求16

产品认证的基本要求v产品认证属于典型完整的产品质量认证。v产品认证的基本要求是对认证申请者送达的样品进行型式试验（测试评估），同时对申请者的质量体系（即质量保证能力）进行检查、评审。这两方面都符合有关标准要求，则予以认证。认证通过后，认证中心予以发放证书。证书发放以后，认证中心再从市场和、或工厂（车间）抽样进行核查试验，即监督检验，同时对其质量体系进行监督性复查，若两方面都合格，即维持认证，否则取消认证。17

信息安全测评级别v根据国家标准GB/T18336－2001，信息产品安全的测评由低到高划分为7级别，即CC的EAL1-7级。v目前中国信息安全测评中心开展了1~4级四个级别的测评工作。5~7级三个级别的测评将视具体情况与委托方研究协商后确定18

信息产品安全测评流程准备阶段评估阶段认证阶段监督和维持阶段19

信息系统安全测评电子政务系统工业控制系统20

信息系统安全保障评估的内容v信息系统安全保障的评估，是从信息系统安全保障的概念出发，在信息系统的生命周期内，根据组织机构的要求在信息系统的安全技术、安全管理和安全工程领域内对信息系统的安全技术控制措施和技术架构能力、安全管