温州信息安全测评中心.pptVIP

温州市继续教育院

-信息安全继续教育培训

;议程;标准化基础;标准化基础;标准化基础;国家标准：对需要在全国范围内统一的技术要求(含标准样品的制作）。GB/TXXXX.X-200XGBXXXX-200X

行业标准：需要在全国某个行业范围内统一的技术要求。GA,SJ

地方标准：需要在省、自治区、直辖市范围内统一的工业产品的安全、卫生要求。DBXX/TXXX-200XDBXX/XXX-200X

企业标准：对企业范围内需要统一的技术要求、管理要求和工作要求。QXXX-XXX-200X;标准化三维空间

;“我国标准化八字原理*”

;IT标准发展趋势*;信息安全标准化组织;信息安全标准化组织（续）;信息安全标准化组织（续）;信息安全标准化组织（续）;信息安全标准化组织（续）;信息安全标准化组织（续）;信息安全标准化组织（续）;标准的起源：基于OSI七层协议的安全体系结构; 安全服务是由安全机制来实现的。一个安全服务可以由一个或几个安全机制来实现；同样，一个安全机制也可用于实现不同的安全服务中。;信息安全标准的起源：五种安全服务;信息安全的起源：OSI和安全服务之间的关系;信息安全的起源：安全服务和安全机制之间的关系;议程;国际信息安全类标准概述

;美国TCSEC;美国TCSEC;D:最低防护级别;C1:自主安全保护;C2:访问控制保护-商业系统的最高级别;TCSEC的缺陷;欧洲多国安全评价方法的综合产物，军用，政府用和商用。

以超越TCSEC为目的，将安全概念分为功能与功能评估两部分。

功能准则在测定上分10级。1－5级对应于TCSEC的C1

到B3。6－10级加上了以下概念：

F-IN：数据和程序的完整性F-AV：系统可用性

F-DI：数据通信完整性F-DC：数据通信保密性

F-DX包括机密性和完整性的网络安全

评估准则分为6级：

E1：测试

E2：配置控制和可控的分配

E3：能访问详细设计和源码

E4：详细的脆弱性分析

E5：设计与源码明显对应

E6：设计与源码在形式上一致。;与TCSEC的不同;3.通用准则（CC）;通用准则（CC）（续）;CC-1（GB/T18336.1）：

简介和一般模型

保护轮廓规范

安全目标规范;用户-甲方;本标准定义作为评估信息技术产??和系统安全特性的基础准则

不包括属于行政性管理安全措施的评估准则；不包括物理安全方面（诸如电磁辐射控制）的评估准则；不包括密码算法固有质量评价准则;CC的关键概念*（1）;关键概念*（2）;ISO13335;ISO13335组成;ISO13335风险管理模型;ISO13335的特点;IATF—信息保障技术架构（NSA）;IATF—信息保障技术架构（NSA）;IATF—信息保障技术架构（NSA）;BS7799概述;BS7799的发展历程;BS7799-I的十大控制项;BS7799-I的控制子项—举例;BS7799-I的配套标准（1）;信息安全管理标准族-27000系列;PDCA概述—最佳实践，持续改进和完善（戴明环）

;BS7799和PDCA的关系描述;Cobit概述;ITIL概述;ITIL概述;ITIL概述;ITIL概述;议程;3等级保护系列标准;2003年9月

中办国办颁发

《关于加强信息安全保障工作的意见》

（中办发[2003]27号）;2007年7月16日四部门会签

公信安[2007]861号文件：四部门下发《关于开展全国重要信息系统安全等级保护定级工作的通知》;等级保护标准的体系结构;信息系统的等级保护实施过程的详细活动;

一、等级保护是什么;等级保护是什么;等级保护是什么;等级保护做什么;等级保护做什么;等级保护做什么;等级保护做什么;等级保护做什么;三、等级保护如何实施;等级保护如何实施;等级保护如何实施;等级保护如何实施;等级保护如何实施;等级保护如何实施;等级保护如何实施;等级保护如何实施;开展“安全等级防护工作”的关键;定级的主要因素和方法;议程;我国信息安全的法制建设;信息安全法律法规学习方法;美国信息安全法律法规近况;美国信息安全法律法规近况;我国国家法律结构(一);国家法律结构(二);国家法律(1);国家法律(2);行政法规(一);行政法规(二);部门规章及规范性文件;部门规章及规范性文件;部门规章及规范性文件;部门规章及规范性文件;部门规章及规范性文件;部门规章及规范性文件;部门规章及规范性文件;部门规章及规范性文件;部门规章及规范性文件;部门规章及规范性文件;部