2019信息安全国际标准PPT课件.ppt

资源描述

《2019信息安全国际标准PPT课件.ppt》由会员分享，可在线阅读，更多相关《2019信息安全国际标准PPT课件.ppt（78页珍藏版）》请在三一文库上搜索。

1、,信息安全国际标准,提纲,信息安全标准概述安全标准组织安全标准分类安全管理标准（ISO17799）安全技术标准安全产品标准（CC）安全工程标准（SSE-CMM）安全方法论安全资格认证（CISSP/CISA）,什么是信息安全？,保密性完整性可用性,CONFIDENTIALATY INTEGRITY AVAILABILITY,什么是标准？,标准：标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践的综合成果为基础，经有关方面协商一致，由主管部门批准，以特定的方式发布，作为共同遵守的准则和依据。强制性标准：保障人体健康、人身、财产安全的标准和法律、行政法规规定强制执行的

2、标准；其它标准是推荐性标准。,无规矩不成方圆,无规矩不成方圆!,提纲,信息安全标准概述安全标准组织安全标准分类安全管理标准（ISO17799）安全技术标准安全产品标准（CC）安全工程标准（SSE-CMM）安全方法论安全资格认证（CISSP/CISA）,标准的来源,政府组织 NIST-National Institute of Standards and Technology NSA-National Security Agency GAO- General Accounting Office BSI- British Standard Institution 标准化组织 ISO

3、/IEC JTC1 SC27 ANSI -American National Standards Institute 专业组织/行业联盟 IEEE IETF W3C ISSA-Information Systems Security Association ITAA-Information Technology Association Of America) 大学,ISO，国际标准化组织,ISO是International Organization for Standardization的简称国际最大的标准化组织机构与IEC联合成立的JTC1/SC27 负责通用信息技术安全标准的制定 IS

4、O/TC68 负责银行和金融服务业务应用范围内信息安全标准的制定已发布的其他行业的重要标准 ISO 9001 ISO 14001,IEC，国际电工委员会,IEC是International Electrotechnical Commission的简称世界上最早的国际性电工标准化机构负责有关电工、电子领域的国际标准化工作在信息安全技术标准化方面，同ISO联合成立JTC1 在电磁兼容EMC等方面成立技术委员会，制定相关国际标准,ISO/IEC JTC1/SC27, JTC1(Joint Technical Committee 1)是ISO 及IEC的联合技术委员会, SC27 小组专门负责

5、安全技术标准的制定、审核已发布的部分标准 ISO/IEC 18033 加密机制 ISO/IEC 9796,14888.15964 数字签名 ISO/IEC TR 13335 GMITS ISO/IEC 15408 Evaluation criteria for IT Security ISO/IEC 17799 Code of Practice for Information Security Management ISO/IEC 21287 SSE-CMM,NIST，国家标准技术协会,NIST是美国National Institute of Standards and Technology

6、的简称已发布的部分文献 FIPS（Federal Information Processing Standards Publications ） FIPS PUB 140-2 Security Requirements for Cryptographic Modules FIPS PUB 180-1 Secure Hash Standard FIPS PUB 197 Advanced Encryption Standard SP（Special Publications 800 series 是关于计算机安全的文献） SP 800-12 Computer Security Handbook

7、SP 800-30 Risk Management Guide for IT Systems SP 800-44 Guidelines on Securing Public Web Servers,其他组织,ANSI，美国国家标准协会 80年代初开始数据加密标准化工作制定了三个通用的国家标准 ANSI X.9系列财务服务安全标准 ITU-T，国际电讯联盟前身是CCITT，单独或于ISO合作开发诸如消息处理系统、目录系统（X.400系列、X.500系列）和安全框架、安全模型等标准 ITU-T X.509 The Directory: Authentication Framework,其他组织

8、,IEEE - 电气电子工程师协会在信息安全方面主要是提出了LAN/WAN安全方面的标准和公钥密码标准 IETF - Internet工程任务组主要提出Internet标准草案和成为RFC的协议文稿，内容广泛，也包括安全方面的建议稿，经过网上讨论修改，被大家广泛接受就成了的事实上的标准标准,提纲,概述安全标准组织安全标准分类安全管理标准（ISO17799）安全技术标准安全产品标准（CC）安全工程标准（SSE-CMM）安全方法论安全资格认证（CISSP/CISA）,安全标准的类型,提纲,概述安全标准组织安全标准分类安全管理标准（ISO17799）安全技术标准安全产品

9、标准（CC）安全工程标准（SSE-CMM）安全方法论安全资格认证（CISSP/CISA）,安全管理框架,OSI ISO 7498-2 /10181 开放系统互连第二部分安全体系结构，10181是7498-2的后续标准，分部分描述5类安全服务的实现 GMITS, Guidelines for the Management of IT Security ISO/IEC 13335 Guidelines for the Management of IT Security 提供IT安全管理的指导 BS 7799 AS/NZS 4444 ISO/IEC 17799 信息安全管理的即成标准提供企

10、业开发、实施、评估有效安全建设的框架 ISF SOGP Information Security Forum (ISF), 信息安全优秀实践标准（Standard of Good Practice for Information Security, 1998 ）,BS 7799介绍,BS 7799 AS/NZS 4444 ISO/IEC 17799 信息安全管理的即成标准提供企业开发、实施、评估有效安全建设的框架 BS 7799 包括两部分第一部分: 提供安全管理的最佳实践，等同于 ISO/IEC 17799:2000 提供10个领域的127项安全措施整套的基于业界经验的安全性最佳实践的

11、指导第二部分ISMS规范 Specification for ISMS (Information Security Management Systems) 提供依据第一部分进行内部审计、外部认证的流程体系,什么是ISO17799/ BS7799？,关注于安全管理的框架和指导提供了10个方面36个安全目标，127项安全控制措施，建立了Best Practice指引；广泛应用于在政府、企业、金融、电信等行业，应用最广泛的安全标准,17799的十个方面,ISO17799 的文档结构,分为10个领域的安全实践建议分为36个子项，共127项安全控制措施安全方针（1）组织安全（3）资产分类与控

12、制（2）人员安全（3）物理与环境安全（3）通信与操作安全（7）访问控制（8）系统开发与维护（5）业务持续计划（1）依从（3）,安全策略,控制目标:信息安全策略为信息安全提供管理指导和支持控制措施: 信息安全策略文件复查和审查,组织安全,控制目标一: 信息安全基础设施管理组织内部的信息安全控制目标二: 第三方访问安全维护被第三方访问的基础设施和信息资产的安全控制目标三: 外包当IT外包给其他组织负责时,维护信息的安全,资产分类与控制,控制目标一: 资产责任保证对组织资产做适当的保护控制目标二: 信息分类确保信息资产得到适当级别的保护,人员安全,控制目标一: 岗

13、位安全责任和人员录用要求控制目标二: 用户培训控制目标三: 对安全事件和故障的响应,物理与环境安全,控制目标一: 安全区域防止非授权访问控制目标二: 设备安全防止资产的丢失,破坏和损坏; 防止业务活动被中断控制目标三: 一般性控制防止危害或窃取信息及设施,通信和操作安全,控制目标一: 操作流程和责任控制目标二: 系统规划和验收控制目标三: 防范恶意软件控制目标四: 内务管理(备份,日志) 控制目标五: 网络管理控制目标六: 介质处理及安全控制目标七: 信息和软件的交换,访问控制,控制目标一: 访问控制的业务需求控制目标二: 用户访问管理控制目标三: 用户责任控制目

14、标四: 网络访问控制控制目标五: 操作系统访问控制控制目标六: 应用系统访问控制控制目标七: 监视系统访问和使用控制目标八: 移动计算和通信,系统开发和维护,控制目标一: 系统的安全需求控制目标二: 应用系统的安全控制目标三: 密码控制控制目标四: 系统文件的安全控制目标五: 开发和支持过程的安全,业务连续性管理,控制目标: 业务连续性管理的各个方面控制措施业务连续性管理过程业务连续性和影响分析编写并实施连续性计划业务连续性计划框架测试,维护和复审业务连续性计划,符合性,控制目标一: 符合法律要求控制目标二: 对安全策略和技术的评审控制目标三: 系统审核的考虑,

15、BS7799 第2部分,BS 7799 PART 2 是一个规范。使用该规范对组织的信息安全管理体系进行审核与认证。通过使用该规范能使组织建立信息安全管理体系（ISMS）。该规范提供以下内容建立信息安全管理体系（ISMS）指导成功实施信息安全的关键因素 PDCA (Plan-do-check-act)模型持续性改进改进安全管理评估业务变化、新技术、新威胁对安全管理流程的影响,Plan ISMS的确立,Do ISMS的运用,Check ISMS的监控,Act ISMS的改善,PDCA 模型,什么是ISO-7498-2,信息处理系统开放系统互连基本参考模型第2部分: 安全体系结构

16、Information processing system-Open Systems Interconnection-Basic Reference Model -Part2: Security architecture 提供安全服务与有关机制的一般描述, 这些服务与机制可以为GB938788/ISO7498-1参考模型所配备。确定在参考模型内部可以提供这些服务与机制的位置已被接受为国标GB/T 9387.21995,五种安全服务,认证对等实体认证数据原发认证访问控制数据机密性连接机密性无连接机密性选择字段机密性通信业务流机密性数据完整性带恢复的连接完整性不带恢复的连接

17、完整性选择字段的连接完整性无连接完整性选择字段无连接完整性抗抵赖有数据原发证明的抗抵赖有交付证明的抗抵赖,八种安全机制,特定的安全机制用来实现以上安全服务加密数字签名机制访问控制机制数据完整性机制认证交换机制通信业务填充机制提供各种不同级别的保护, 抵抗通信业务分析路由选择控制机制公证机制,服务与机制的关系,服务应用与OSI层的关系,安全管理,安全管理信息库(SMIB)是一个概念上的集存地, 存储开放系统所需的与安全有关的全部信息。这一概念对信息的存储形式与实施方式不提出要求。SMIB能有多种实现办法, 例如: a)数据表; b)文卷; c)嵌入实开放系统软件

18、或硬件中的数据或规则。 OSI安全管理的分类：系统安全管理涉及总的OSI环境安全方面的管理；例：总体安全策略的管理、与别的OSI管理功能的相互作用、与安全服务管理和安全机制管理的交互作用、事件处理管理、安全审计管理、安全恢复管理安全服务管理涉及特定安全服务的管理；例：指定特定服务的保护目标、指定与维护特定的安全机制、安全机制协商(本地的与远程的)、调用特定的安全机制、与别的安全服务和安全机制的交互作用安全机制管理涉及的是特定安全机制的管理。例：密钥管理、加密管理、数字签名管理、访问控制管理等等 OSI管理本身的安全所有OSI管理功能和信息自身的安全。这一类安全管理将借助OSI

19、安全服务与机制以确保OSI管理协议与信息获得足够的保护。,作为ISO 7498-2的后续标准，1988年开始建立ISO/IEC 10181 ISO/IEC 10181 (Security frameworks for open systems) 有七个部分第 2-6部分对应ISO 7498-2定义的5种服务 Part 1: 概述 Part 2: 认证服务架构 Part 3: 访问控制服务架构 Part 4: 防抵赖服务架构 Part 5: 数据保密服务架构 Part 6: 数据完整服务架构 Part 7: 安全审计、报警架构,ISO/IEC 10181,什么是ISO 13335,ISO/IE

20、C 13335，即IT安全管理指南（Guidelines for the Management of IT Security, GMITS）, 是由ISO/IEC JTC制定的技术报告 ISO/IEC 13335是一个信息安全管理方面的指导性标准其目的是为有效实施IT安全管理提供建议,ISO 13335(GMITS)的内容,13335-1: IT安全概念和模型包含了对IT安全和安全管理中一些基本概念和模型的解释 13335-2: IT安全计划和管理建议性地介绍了IT安全管理和计划的方式和要点 13335-3: IT安全管理技术描述了风险管理技术、IT安全计划的开发、实施和测试还包括策略

21、审查、事件分析、IT安全教育等后续内容。 13335-4: 安全措施的选择描述了针对一个组织特定环境和安全需求可以选择的安全措施,不仅仅是技术性措施 13335-5: 网络安全的管理指导提供了关于网络和通信安全管理的指导性内容,该指南为识别和分析建立网络安全需求时需要考虑的通信相关因素提供支持,也包括对可能的安全措施方面的简要介绍,ISO13335 vs. BS7799,与BS7799相比，ISO/IEC 13335只是一个技术报告和指导性文件，并不是可依据的认证标准也不像BS7799那样给出一个全面而完整的信息安全管理框架但13335在信息安全尤其是IT安全的某些具体环节切入较深，对

22、实际的工作具有较好的指导价值，从可实施性上来说要比BS7799好些另外13335对安全计划、安全策略、控制措施选择的内容的阐述要比BS7799具体很多总之，作为一个框架、总体要求和目标选择，BS7799是我们信息安全管理体系建设过程中要贯彻的指导方针，而这期间的一些具体的活动则可以参考13335，比如风险评估。,提纲,概述安全标准组织安全标准分类安全管理标准（ISO17799）安全技术标准安全产品标准（CC）安全工程标准（SSE-CMM）安全方法论安全资格认证（CISSP/CISA）,安全技术标准, Application Protocols SSL, S-HTTP Net

23、work Protocols IPSec Cryptography RSA, DSA, ECC DES, AES SHA-1 PKCS Vulnerability CVE,Authentication Kerberos RADIUS SAML Messaging S/MIME, OpenPGP, PEM XMLDSIG, XMLENC Application Security CORBA Security WS-Security,提纲,概述安全标准组织安全标准分类安全管理标准（ISO17799）安全技术标准安全产品标准（CC）安全工程标准（SSE-CMM）安全方法论安全资格认证

24、（CISSP/CISA）,产品安全性保证标准,Common Criteria (CC) ISO/IEC 15408 Evaluation criteria for IT Security 针对产品或组件的保证标准e.g. Firewalls, IDS, OS 定义了7个 Evaluation Assurance Levels (EAL) 一级最低，七级最高 1996年国际上的六个国家（美、加、英、法、德、荷）联合提出了信息技术安全评价的通用准则（CC）。CC的基础是欧州的ITSEC，美国的包括 TCSEC 在内的新的联邦评价标准，加拿大的 CTCPEC，以及国际标准化组织ISO :SC27

25、 WG3 的安全评价标准。 Trusted Computer System Evaluation Criteria （TCSEC） The Orange Book 分为D/C1/C2/B1/B2/B3/A1七个等级 C2-部分OS有: VMS, IBM OS/400, Windows NT, Novell NetWare 4.11, Oracle 7, DG AOS/VS II. B1-部分OS有: HP-UX BLS, Cray Research Trusted Unicos 8.0, Digital SEVMS, Harris CS/SX, SGI Trusted IRIX. B2-部分O

26、S有: Honeywell Multics, Cryptek VSLAN, Trusted XENIX B3-仅有的OS:Getronics/Wang Federal XTS-300 A1-Boeing MLS LAN, Gemini Trusted Network Processor, Honeywell SCOMP. FIPS PUB 140-2 Cryptographic模块的安全要求标准定义了4个等级。,美国TCSEC,1970年由美国国防部提出。1985年公布。主要为军用标准。延用至民用。安全级别从高到低分为A、B、C、D四级，级下再分小级。彩虹系列桔皮书：可信计算机系统评

27、估准则黄皮书：桔皮书的应用指南红皮书：可信网络解释紫皮书：可信数据库解释,美国TCSEC,CC标准的发展历程,CC驱动因素,CC要实现的目标,成为统一的国际（通用）IT产品和系统安全标准目前， CC已经成为ISO国际标准（15408）在不同国家间达成协议，相互承认产品评估为开发者拓展国际舞台改善IT安全产品在全世界的可用性,CC的目标读者,消费者 - 具有IT安全功能的产品购买指南,产品开发者和集成商 - 具有IT安全功能的产品的开发基础,评估员 - IT安全产品的评估基础,审核员, 认证人员, 授权人员 - 对他们的特定应用给予支持,CC的内容组织,CC定义了两类安全需求,CC

28、的关键概念,评估目标 (TOE) IT产品或系统及其相关的管理指南和用户指南等文档，是评估的对象保护轮廓 (Protect Profile PP) 满足特定消费者需求的、独立于实现的、关于某一类TOE的一组安全要求（用户提出要求）安全目标 (Security Target ST) 依赖于实现的一组安全要求和说明，作为指定TOE的评估基础（开发者给出）,用户借助PP定义需求,厂商使用ST对用户需求做出响应,PP、ST和TOE之间的关系,评估保证等级,CC总体结构,安全产品评估框架模型,CC vs. BS7799,都是认证标准，但是对象不同，CC评估的对象是系统和产品，而7799关注的信息安全

29、管理在依照BS7799标准来实施ISMS时，一些涉及系统和产品安全的技术要求，可以参考CC,提纲,概述安全标准组织安全标准分类安全管理标准（ISO17799）安全技术标准安全产品标准（CC）安全工程标准（SSE-CMM）安全方法论安全资格认证（CISSP/CISA）,什么是SSE-CMM,SSE-CMM是系统安全工程能力成熟模型（Systems Security Engineering Capability Maturity Model）的缩写，它描述了一个组织的安全工程过程必须包含的本质特征，这些特征是完善的安全工程保证,为安全工程的应用提供了一个衡量和改进的途径现代统计

30、过程控制理论表明通过强调生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品 SSE-CMM项目的目标是促进安全工程成为一个确定的、成熟的和可度量的科目 SSE-CMM项目进展来自于安全工程业界、美国国防部和加拿大通讯安全机构积极参与和共同的投入,1995 成立项目组,1996 SSE-CMMv1正式发布,1997 SSE-CMM评定方法发布,1999 SSE-CMMv2发布,2002 ISO/IEC 21827,2003 SSE-CMMv3发布,SSE-CMM模型结构,二维结构：Domain, Capability Domain 包含安全工程中的实践领域，分为3个主要的P

31、rocess 类，22个PA，130多项BP Capability 表示过程管理、衡量及制度化的能力，共分为5级，下面细分为12个Common Features，以及近30个Generic Practices,5级成熟能力,系统安全工程过程,风险过程,工程过程,保证过程,SSE-CMM与ISO17799的内容比较,提纲,概述安全标准组织安全标准分类安全管理标准（ISO17799）安全技术标准安全产品标准（CC）安全工程标准（SSE-CMM）安全方法论安全资格认证（CISSP/CISA）,安全方法论,AS/NZS 4360 澳洲/新西兰风险管理标准提供建立、实施风险管理过程的指

32、导 NIST SP 800-30 Risk Management Guide for IT Systems 建立、实施风险管理过程的指导 OCTAVE Operationally Critical Threat, Asset, and Vulnerability Evaluation 由CMU-SEI（Carnegie Mellon University-Software Engineering Institute）建立的风险评估方法论,提纲,概述安全标准组织安全标准分类安全管理标准（ISO17799）安全技术标准安全产品标准（CC）安全工程标准（SSE-CMM）安全方法论安全

33、资格认证（CISSP/CISA）,安全资格认证标准：CISSP, Certified Information Systems Security Professional (CISSP) 由美国 (ISC)2进行认证管理十个 Common Body of Knowledge (CBK) 访问控制Access Control Systems & Methodology 应用开发Applications & Systems Development 业务持续性Business Continuity Planning 加密Cryptography 法律、道德、调查Law, Investigation

34、& Ethics 操作安全Operations Security 物理安全Physical Security 安全架构及模型Security Architecture & Models 安全管理实践Security Management Practices 网络安全Telecommunications, Network & Internet Security,(ISC)2 = International Information Systems Security Certifications Consortium,安全资格认证标准: CISA, Certified Information Sys

35、tems Auditor (CISA) 由 ISACA管理认证依据Control Objectives for Information and related Technologies (CobiT) 考试包括7个内容 IS计划、管理和组织Management, Planning & Organization of IS 技术结构及操作实践Technical Infrastructure & Operational Practices 信息资产保护Protection of Information Assets 灾难恢复及业务持续Disaster Recovery & Business Co

36、ntinuity 系统开发、实施、管理Business Application System Development, Acquisition, Implementation, & Maintenance 商业过程评估及风险管理Business Process Evaluation & Risk Management IS审计IS Audit Process,ISACA = Information Systems Audit and Control Association,安全资格认证标准：CISM, Certified Information Security Manager (CISM) 由 ISACA管理认证面向安全管理人员比CISSP/CISA更早的认证包含5项内容信息安全管辖 Information Security Governance 风险管理 Risk Management 信息安全程序管理 Information Security Programme Management 信息安全管理 Information Security Management 安全响应管理Response Management,ISACA = Information Systems Audit and Control Association,

展开阅读全文