信息安全技術教程清華大學出版社-第十八章.ppt

《信息安全技術教程清華大學出版社-第十八章.ppt》由會員分享，可在線閱讀，更多相關《信息安全技術教程清華大學出版社-第十八章.ppt（25頁珍藏版）》請在裝配圖網上搜索。

2020 1 22 第18章信息安全建設標準 18 1通用安全原則18 2安全標準18 3安全法規(guī)18 4習題 18 1通用安全原則 18 1 1通用原則18 1 2安全策略18 1 3安全管理工具18 1 4物理安全18 1 5人員安全 2020 1 22 18 1 1通用原則 特權分離原則不主張單一的人員有足夠的權限導致核心事件的發(fā)生最小特權原則一個人進行控制或相應的工作職責時 應該只分配最低限度的權限 深度防御原則模糊安全依靠惡意入侵者不知道系統(tǒng)內部所采用的管理安全措施這一事實來保證安全 2020 1 22 18 1 2安全策略 常見的安全策略可接受使用策略 讓策略能夠有效地限制用戶權限范圍內的行為 同時還要求可以應付不可預知的行為備份策略 應付組織內被保護的數據丟失或損壞保密策略數據管理策略 數據類型 最短保管時間 最長保管時間無線設備策略 無線設備能夠給組織造成很大程度的安全威脅 所以在制定該策略時應當小心謹慎 并能夠有力地執(zhí)行下去 2020 1 22 策略執(zhí)行政策制定建立共識人員培訓 所有被策略影響的員工提供有效的教育與訓練 組織提供的安全培訓應針對不同的角色定制具體的培訓內容策略執(zhí)行 包含強制執(zhí)行規(guī)定 明確闡明違反政策行為和應遵循的程序時候所負的責任策略維護 包含強制執(zhí)行規(guī)定 明確闡明違反政策行為和應遵循的程序時候所負的責任 2020 1 22 18 1 3安全管理工具 安全校驗表安全專家應該審閱組織當前存在的安全清單 確保概述的程序與組織內的信息安全策略一致安全從業(yè)者可能希望建立自己安全校驗表用于具體的安全目的安全矩陣 2020 1 22 18 1 4物理安全 邊界防護 訪問控制防御的方式 柵欄 運動檢測器 巡邏 防御的等級很大程度上取決于該設施的用途和位置信息安全領域的深度防御原則也可同時用于物理安全領域電子實體保護電子設備發(fā)出的輻射在數百米遠的地方都可以被利用重新恢復出其承載的內容 2020 1 22 18 1 5人員安全 主要措施在為員工提供就業(yè)時 應該首先進行背景調查對員工的行為進行監(jiān)控強制假期盡可能的提供給要離開公司的員工一個友好的環(huán)境 2020 1 22 18 2安全標準 18 2 1TCSEC18 2 2ITSEC18 2 3CTCPEC18 2 4FIPS18 2 5BS7799系列 ISO IEC27000系列 18 2 6ISO IECTR13335系列18 2 7SSE CMM18 2 8ITIL和BS1500018 2 9CC18 2 10CoBIT18 2 11NISTSP800系列 2020 1 22 信息技術安全評估標準的歷史和發(fā)展 2020 1 22 18 2 1TCSEC TCSEC TrustedComputerSystemEvaluationCriteria 可信計算機安全評價標準 標準是計算機系統(tǒng)安全評估的第一個正式標準 也稱為橘皮書 具有劃時代的意義4個安全等級D類安全等級 D1級C類安全等級 C1和C2級B類安全等級 B1 B2和B3級A類安全等級 A1級 2020 1 22 18 2 2ITSEC ITSEC InformationTechnologySecurityEvaluationCriteria 標準將安全概念分為功能與評估兩部分 功能準則從F1 F10共分10級 1 5級對應于TCSEC的D到A F6至F10級分別對應數據和程序的完整性 系統(tǒng)的可用性 數據通信的完整性 數據通信的保密性以及機密性和完整性的網絡安全 ITSEC把完整性 可用性與保密性作為同等重要的因素 2020 1 22 18 2 3CTCPEC CTCPEC CanadianTrustedComputerProductEvaluationCriteria 是加拿大的評價標準 專門針對政府需求而設計 功能性需求共劃分為四大類 機密性 完整性 可用性和可控性 每種安全需求又可以分成很多小類 來表示安全性上的差別 分級條數為0 5級 2020 1 22 18 2 4FIPS 聯(lián)邦信息處理標準 FederalInformationProcessingStandards FIPS 是一套描述文件處理 加密算法和其他信息技術標準 在非軍用政府機構和與這些機構合作的政府承包商和供應商中應用的標準 的標準 2020 1 22 18 2 5BS7799系列 BS7799第一部分全稱是CodeofPracticeforInformationSecurity 最新版成為ISO17799 2005ISO IEC17799 2005通過層次結構化形式提供安全策略 信息安全的組織結構 資產管理 人力資源安全等11個安全管理要素 還有39個主要執(zhí)行目標和133個具體控制措施 最佳實踐 BS7799第二部分全稱是InformationSecurityManagementSpecification 最新版成為ISO IEC27001 2005ISO IEC27001 2005詳細說明了建立 實施和維護信息安全管理體系的要求 2020 1 22 18 2 6ISO IECTR13335系列 五部分標準ISO IEC13335 1 1996 IT安全的概念與模型 ISO IEC13335 2 1997 IT安全管理與策劃 ISO IEC13335 3 1998 IT安全管理技術 ISO IEC13335 4 2000 防護措施的選擇 ISO IEC13335 5 2001 網絡安全管理指南 2020 1 22 18 2 7SSE CMM SSE CMM SystemSecurityEngineeringCapabilityMaturityModel 模型是專門用于系統(tǒng)安全工程的能力成熟度模型 三個相關組織過程工程過程風險過程保證過程5個能力級別基本執(zhí)行級計劃跟蹤級充分定義級量化控制級持續(xù)改進級 2020 1 22 18 2 8ITIL和BS15000 ITIL的全稱是信息技術基礎設施庫 InformationTechnologyInfrastructureLibrary ITIL針對一些重要的IT實踐 詳細描述了可適用于任何組織的全面的清單 Checklists 任務 Tasks 程序 Procedures 職責 Responsibilities 等 服務交付 ServiceDelivery 服務支持 ServiceSupport BS15000ISO IEC20000 1ISO IEC20000 2ITIL不是一個正式標準 而是目前普遍實行的 事實 上的標準 2020 1 22 18 2 9CC 通用標準或通用準則 CommonCriteria 簡稱CC 是指ISO IEC15408 1999標準組成部分GB T18336 1 2001idtISO IEC15408 1 1999信息技術安全技術信息技術安全性評估準則第1部分 簡介和一般模型 GB T18336 2 2001idtISO IEC15408 2 1999信息技術安全技術信息技術安全性評估準則第2部分 安全功能要求 GB T18336 3 2001idtISO IEC15408 3 1999信息技術安全技術信息技術安全性評估準則第3部分 安全保證要求 2020 1 22 CC與其它標準的評測級別對應關系圖 2020 1 22 18 2 10CoBIT CoBIT的全稱是信息和相關技術的控制目標 ControlObjectivesforInformationandrelatedTechnology 是ITGI提出的IT治理模型 ITGovernance 是一個IT控制和IT治理的框架 Framework 八個控制過程計劃和組織 Planning Organisation 采購和實施 Acquisition Implementation 交付和支持 Delivery Support 監(jiān)視和評估 Monitoring Evaluation 七個控制目標機密性 Confidentiality 完整性 Integrity 可用性 Availability 有效性 Effectiveness 高效性 Efficiency 可靠性 Reliability 符合性 Compliance 2020 1 22 18 2 11NISTSP800系列 美國國家標準技術協(xié)會NIST發(fā)布的SpecialPublication800文檔是一系列針對信息安全技術和管理領域的實踐參考指南 主要文件SP800 12 計算機安全介紹 AnIntroductiontoComputerSecurity TheNISTHandbook SP800 30 IT系統(tǒng)風險管理指南 RiskManagementGuideforInformationTechnologySystems SP800 34 IT系統(tǒng)應急計劃指南 ContingencyPlanningGuideforInformationTechnologySystems SP800 26 IT系統(tǒng)安全自我評估指南 SecuritySelf AssessmentGuideforInformationTechnologySystems 2020 1 22 18 3安全法規(guī) 我國現(xiàn)階段的一些信息安全方面的法律法規(guī) 互聯(lián)網出版管理暫行規(guī)定 計算機信息系統(tǒng)保密管理暫行規(guī)定 計算機病毒防治管理辦法 計算機信息網絡國際聯(lián)網出入口信道管理辦法 計算機信息網絡國際聯(lián)網安全保護管理辦法 公安部關于對與國際聯(lián)網的計算機信息系統(tǒng)進行備案工作的通知 計算機信息系統(tǒng)安全專用產品檢測和銷售許可證管理辦法 中華人民共和國計算機信息網絡國際聯(lián)網管理暫行規(guī)定實施辦法 中華人民共和國計算機信息系統(tǒng)安全保護條例 商用密碼管理條例 電子簽名法 2020 1 22 2020 1 22 18 4習題 一 選擇題1 常見的通用安全原則為特權分離原則 最小特權原則 深度防御原則以及下列哪一項 A 物理安全策略B 人員安全策略C 區(qū)域安全策略D 模糊安全策略2 數據管理策略不包括下列哪一項 A 最長保管時間B 最短保管時間C 數據安全D 數據類型 2020 1 22 二 問答題1 簡述最小特權原則的實施與重要性 2 簡述通用安全管理工具減輕執(zhí)行安全策略的過程 3 思考如何為一個組織或企業(yè)編寫并執(zhí)行具體的安全策略