信息安全标准化培训课件.ppt

1、信息安全标准化培训信息安全标准化培训 针对信息安全历史发展阶段中的阶段的各种概念以及概念子内涵进行分析和甄别。60年代，COMSEC，叫SECRET阶段，这个阶段的思路是加密和隔离。名词：safety同期并行的计算机SECRET：秘密地做秘密地做敌人发方收方TRUST：可靠地做可靠地做80年代，美国国防部在计算机保密模型基础上，制定了可信的计算机安全评测准则TCSEC，其后又制定了关于网络系统、数据库等方面的系统安全解释，将计算机按从低到高分为D、C1、C2、B1、B2、B、A1、超A1等8级，将信息安全定义为：提高使用系统的安全特性，仅使被授权的主体以该主体的名义访问客体信息，实施客体信息，

2、实施主题对客体的读、写、创建和删除的操作。这一阶段可以叫：TRUST时代，其主要思路和原则是基于设备和基础设施的价值保护。同期计算机名词：dependability90年代初，英、法、德、荷四国联合提出包括可靠性、完整性、可用性概念的信息技术安全评价准则ITSEC，其主要思路信息价值的保护。在此，计算机网络名词：survivability借用survivability 网络的理念，对动态的信息安全方法进行分析，信息是为业务服务、安全是为信息服务，90年代末期开始，信息安全的survivability 被广泛重视和研究resistance,recognition,and recovery，思路是

3、基于风险的动态价值保护借用survivability 网络的理念，对动态的信息安全方法进行分析，信息是为业务服务、安全是为信息服务，90年代末期开始，信息安全的survivability 被广泛重视和研究resistance,recognition,and recovery 思路是基于安全管理实践过程的价值防卫体系。近年，六国七方（美国国家安全局、加、英、法、德、荷）共同提出CC，也就是ISO15408，突出保护轮廓，将评估标准分为“功能”和“保证”两部分，并引进“PACKAGE”概念，定义7个安全保证级别，从EAL1到EAL7，每一级别均评估7个功能类：配置管理、分发和操作、开发过程、指导文

4、献、生命期的技术支持、测试、脆弱性评估。对信息安全的定义为安全策略、安全功能、安全检测、安全恢复、安全评测概念的总称，其思路为结合动态过程和类别的整体价值保护框架。美国DOD，IATF信息保障依赖于人人、操作操作和技术技术来实现一个组织的职能/业务运作，稳健的信息保障状态意味着信息保障的政策、步骤、技术和机制在整个组织的信息基础设施的所有层面上都得到了实施。IATF定义了对一个系统进行信息保障的过程以及该系统中硬件和软件部件的安全需求。遵循这些原则，就可以对信息基础设施做到多层的防护，这称为“深度保卫战略”（Defense-in-Depth Strategy）。深度保卫战略的四个主要技术焦点领

5、域分别为：保卫网络和基础设施、保卫边界、保卫计算环境以及为基础设施提供支持。它已经得到了广泛的采纳，比如，在美国国防部（DoD）内，全球信息网（GIG）IA政策和实施指南就是围绕深度保卫战略而建的，这一部级的政策文档把IATF引做其技术解决方案的信息源以及国防部IA实施的指南。PROTECTDETECTREACTRESTORE信息安全与计算机技术的并行融合发展：Secrettrustsecuritysurvivabilitysafeguard protect frameworkassurancedependabilitySafetysurvivabilityassurance计算机技术信息安全

6、的发展秘密地做威胁对策可靠地做安全地做有效地做系统地做全面地做立体地做Secrettrustsecuritysurvivabilitysafeguardframeworkassurance价值保护 assurance Protect framesafeguard survivability securitytrust安全过程secret安全功能安全因素TCSECITSEC13335BSIGAOCCOCTAVEISO17799SSE-CMM 国际相关标准介绍国际相关标准介绍公安部等级17859系列国家测评中心测评工具BMZ系列指南和测评工具电子政务系列标准GB18336北京市地方标准上海市地方标

7、准 国内相关标准介绍国内相关标准介绍公安部等级信息系统安全工程管理指南：公安部等级信息系统安全工程管理指南：上海市国家保密局涉密计算机测评工具的开发：上海市国家保密局涉密计算机测评工具的开发：国家保密局涉密计算机测评细则：国家保密局涉密计算机测评细则：上海市通用信息系统信息安全指南：上海市通用信息系统信息安全指南：北京市党政信息系统测评指南北京市党政信息系统测评指南：国家电子政务标准化委员会信息安全总体组国家电子政务标准化委员会信息安全总体组：上海市信息安全工程管理标准：上海市信息安全工程管理标准：国家电子政务信息安全标准化委员会管理组国家电子政务信息安全标准化委员会管理组：国家电子政务标准化

8、委员会信息安全测评组国家电子政务标准化委员会信息安全测评组：我公司参与的标准我公司参与的标准公安部等级信息系统安全工程管理指南：公安部等级信息系统安全工程管理指南：该指南是公安部等级安全保护系列标准之一，该项目以信息产业部电子30研究所名义承担，为期一年。我们作为指南的起草单位对信息安全工程管理过程中实施（安全工程实施、项目实施）和保障（组织保障、资格保障）进行了系统地阐述，既采用了国际上比较主流和先进的SSE-CMM的主要思想，又根据国内实际安全工程管理特点进行了重大的调整。该指南从国内信息安全工程管理的实际情况出发整合了国际标准、国内情况、安全工程经验、专家意见，最后于2002年11月通过

9、了公安部信息安全标准化委员会的评审。评审认为该指南难度较大，对于国内信息安全工程实施管理具有很强的操作指导意义。目前该标准正在进行最后的必要手续，将要成为公安部正是标准。国家保密局涉密计算机测评细则：国家保密局技术处于国家保密局涉密计算机测评细则：国家保密局技术处于2002年年5月月给成都三零盛安设立科研课题，适应于目前全国快速发展的电子政务的要求，需要对进行可操作化的细化工作。该工作意义重大，经过几个月的努力，对指南中的基本要求和一般要求进行了全面的细化。通过对北京和上海几个公务往项目的实际应用和改进，最后此成果被国家保密局采用并下发各地保密局征询意见和实际使用。上海市国家保密局涉密计算机测

10、评工具的开发：在前期科研课题的成果鼓舞下，国家保密局继续在上海进行测评工具课题的深入研究，由上海市国家保密局牵头，以上海公务网验收为对象，上海科委提供经费支持，上海交通大学、三零盛安上海子公司共同进行了测评工具的开发，我们主要进行了测评细则工具化研究和测评自动软件的编制，12月27号由国家保密局对此项目进行了鉴定。北京市党政信息系统测评指南北京市党政信息系统测评指南：由北京市信息办委托，北京市信息安全测评中心承担，30所、中科院计算所共同编制，30所作为执笔人进行的这个指南是对通用党政信息系统信息安全测评的标准，这个标准针对党政信息系统的5类威胁，该标准融合CC和ISO17799的主要思想和基

11、本做法，对技术、管理、功能等方面对测评进行了规范，并且编制了非常细化的测评表格工具。应用这个工具，北京信息办对4个党政信息系统的实际情况进行了成功的测评。该指南目前正在征求意见。上海市通用信息系统信息安全指南：上海市通用信息系统信息安全指南：由上海市信息安全测评认证中心牵头的整个标准是由包括我们在内的四家单位共同协助完成的，该指南分为阿A 类和B类，该指南已经正式颁布并且已经测评超过50家。上海市信息安全工程管理标准：上海市信息安全工程管理标准：由上海市技术监督局进行的科研招标系列课题，我单位获得该次标准招标最高资助额度20万，该项目明年完成 国家电子政务标准化委员会信息安全总体国家电子政务标准化委员会信息安全总体组组：作为主要起草人，我们参与了总体组的工作，目前总体标准框架已经完成，正在进行报批和征求意见。国家电子政务信息安全标准化委员会管理组国家电子政务信息安全标准化委员会管理组：作为主要起草人，我们协助电子4所参与了信息安全管理标准的编写的工作，目前已经完成ISO17799的中文版，正在进行征求意见稿。国家电子政务标准化委员会信息安全测评组国家电子政务标准化委员会信息安全测评组：该组进展比较缓慢，仅近一般性参与。国家电子政务标准化委员会信息安全风险评估组国家电子政务标准化委员会信息安全风险评估组：该组进展比较缓慢，仅近一般性参与。