9.9 元
下载资源

信息安全技术教程清华大学出版社-第十八章.ppt

上传人:xt****7 文档编号:5193977 上传时间:2020-01-22 格式:PPT 页数:25 大小:762.81KB
返回 下载 相关 举报
信息安全技术教程清华大学出版社-第十八章.ppt_第1页
第1页 / 共25页
信息安全技术教程清华大学出版社-第十八章.ppt_第2页
第2页 / 共25页
信息安全技术教程清华大学出版社-第十八章.ppt_第3页
第3页 / 共25页
点击查看更多>>
资源描述
2020 1 22 第18章信息安全建设标准 18 1通用安全原则18 2安全标准18 3安全法规18 4习题 18 1通用安全原则 18 1 1通用原则18 1 2安全策略18 1 3安全管理工具18 1 4物理安全18 1 5人员安全 2020 1 22 18 1 1通用原则 特权分离原则不主张单一的人员有足够的权限导致核心事件的发生最小特权原则一个人进行控制或相应的工作职责时 应该只分配最低限度的权限 深度防御原则模糊安全依靠恶意入侵者不知道系统内部所采用的管理安全措施这一事实来保证安全 2020 1 22 18 1 2安全策略 常见的安全策略可接受使用策略 让策略能够有效地限制用户权限范围内的行为 同时还要求可以应付不可预知的行为备份策略 应付组织内被保护的数据丢失或损坏保密策略数据管理策略 数据类型 最短保管时间 最长保管时间无线设备策略 无线设备能够给组织造成很大程度的安全威胁 所以在制定该策略时应当小心谨慎 并能够有力地执行下去 2020 1 22 策略执行政策制定建立共识人员培训 所有被策略影响的员工提供有效的教育与训练 组织提供的安全培训应针对不同的角色定制具体的培训内容策略执行 包含强制执行规定 明确阐明违反政策行为和应遵循的程序时候所负的责任策略维护 包含强制执行规定 明确阐明违反政策行为和应遵循的程序时候所负的责任 2020 1 22 18 1 3安全管理工具 安全校验表安全专家应该审阅组织当前存在的安全清单 确保概述的程序与组织内的信息安全策略一致安全从业者可能希望建立自己安全校验表用于具体的安全目的安全矩阵 2020 1 22 18 1 4物理安全 边界防护 访问控制防御的方式 栅栏 运动检测器 巡逻 防御的等级很大程度上取决于该设施的用途和位置信息安全领域的深度防御原则也可同时用于物理安全领域电子实体保护电子设备发出的辐射在数百米远的地方都可以被利用重新恢复出其承载的内容 2020 1 22 18 1 5人员安全 主要措施在为员工提供就业时 应该首先进行背景调查对员工的行为进行监控强制假期尽可能的提供给要离开公司的员工一个友好的环境 2020 1 22 18 2安全标准 18 2 1TCSEC18 2 2ITSEC18 2 3CTCPEC18 2 4FIPS18 2 5BS7799系列 ISO IEC27000系列 18 2 6ISO IECTR13335系列18 2 7SSE CMM18 2 8ITIL和BS1500018 2 9CC18 2 10CoBIT18 2 11NISTSP800系列 2020 1 22 信息技术安全评估标准的历史和发展 2020 1 22 18 2 1TCSEC TCSEC TrustedComputerSystemEvaluationCriteria 可信计算机安全评价标准 标准是计算机系统安全评估的第一个正式标准 也称为橘皮书 具有划时代的意义4个安全等级D类安全等级 D1级C类安全等级 C1和C2级B类安全等级 B1 B2和B3级A类安全等级 A1级 2020 1 22 18 2 2ITSEC ITSEC InformationTechnologySecurityEvaluationCriteria 标准将安全概念分为功能与评估两部分 功能准则从F1 F10共分10级 1 5级对应于TCSEC的D到A F6至F10级分别对应数据和程序的完整性 系统的可用性 数据通信的完整性 数据通信的保密性以及机密性和完整性的网络安全 ITSEC把完整性 可用性与保密性作为同等重要的因素 2020 1 22 18 2 3CTCPEC CTCPEC CanadianTrustedComputerProductEvaluationCriteria 是加拿大的评价标准 专门针对政府需求而设计 功能性需求共划分为四大类 机密性 完整性 可用性和可控性 每种安全需求又可以分成很多小类 来表示安全性上的差别 分级条数为0 5级 2020 1 22 18 2 4FIPS 联邦信息处理标准 FederalInformationProcessingStandards FIPS 是一套描述文件处理 加密算法和其他信息技术标准 在非军用政府机构和与这些机构合作的政府承包商和供应商中应用的标准 的标准 2020 1 22 18 2 5BS7799系列 BS7799第一部分全称是CodeofPracticeforInformationSecurity 最新版成为ISO17799 2005ISO IEC17799 2005通过层次结构化形式提供安全策略 信息安全的组织结构 资产管理 人力资源安全等11个安全管理要素 还有39个主要执行目标和133个具体控制措施 最佳实践 BS7799第二部分全称是InformationSecurityManagementSpecification 最新版成为ISO IEC27001 2005ISO IEC27001 2005详细说明了建立 实施和维护信息安全管理体系的要求 2020 1 22 18 2 6ISO IECTR13335系列 五部分标准ISO IEC13335 1 1996 IT安全的概念与模型 ISO IEC13335 2 1997 IT安全管理与策划 ISO IEC13335 3 1998 IT安全管理技术 ISO IEC13335 4 2000 防护措施的选择 ISO IEC13335 5 2001 网络安全管理指南 2020 1 22 18 2 7SSE CMM SSE CMM SystemSecurityEngineeringCapabilityMaturityModel 模型是专门用于系统安全工程的能力成熟度模型 三个相关组织过程工程过程风险过程保证过程5个能力级别基本执行级计划跟踪级充分定义级量化控制级持续改进级 2020 1 22 18 2 8ITIL和BS15000 ITIL的全称是信息技术基础设施库 InformationTechnologyInfrastructureLibrary ITIL针对一些重要的IT实践 详细描述了可适用于任何组织的全面的清单 Checklists 任务 Tasks 程序 Procedures 职责 Responsibilities 等 服务交付 ServiceDelivery 服务支持 ServiceSupport BS15000ISO IEC20000 1ISO IEC20000 2ITIL不是一个正式标准 而是目前普遍实行的 事实 上的标准 2020 1 22 18 2 9CC 通用标准或通用准则 CommonCriteria 简称CC 是指ISO IEC15408 1999标准组成部分GB T18336 1 2001idtISO IEC15408 1 1999信息技术安全技术信息技术安全性评估准则第1部分 简介和一般模型 GB T18336 2 2001idtISO IEC15408 2 1999信息技术安全技术信息技术安全性评估准则第2部分 安全功能要求 GB T18336 3 2001idtISO IEC15408 3 1999信息技术安全技术信息技术安全性评估准则第3部分 安全保证要求 2020 1 22 CC与其它标准的评测级别对应关系图 2020 1 22 18 2 10CoBIT CoBIT的全称是信息和相关技术的控制目标 ControlObjectivesforInformationandrelatedTechnology 是ITGI提出的IT治理模型 ITGovernance 是一个IT控制和IT治理的框架 Framework 八个控制过程计划和组织 Planning Organisation 采购和实施 Acquisition Implementation 交付和支持 Delivery Support 监视和评估 Monitoring Evaluation 七个控制目标机密性 Confidentiality 完整性 Integrity 可用性 Availability 有效性 Effectiveness 高效性 Efficiency 可靠性 Reliability 符合性 Compliance 2020 1 22 18 2 11NISTSP800系列 美国国家标准技术协会NIST发布的SpecialPublication800文档是一系列针对信息安全技术和管理领域的实践参考指南 主要文件SP800 12 计算机安全介绍 AnIntroductiontoComputerSecurity TheNISTHandbook SP800 30 IT系统风险管理指南 RiskManagementGuideforInformationTechnologySystems SP800 34 IT系统应急计划指南 ContingencyPlanningGuideforInformationTechnologySystems SP800 26 IT系统安全自我评估指南 SecuritySelf AssessmentGuideforInformationTechnologySystems 2020 1 22 18 3安全法规 我国现阶段的一些信息安全方面的法律法规 互联网出版管理暂行规定 计算机信息系统保密管理暂行规定 计算机病毒防治管理办法 计算机信息网络国际联网出入口信道管理办法 计算机信息网络国际联网安全保护管理办法 公安部关于对与国际联网的计算机信息系统进行备案工作的通知 计算机信息系统安全专用产品检测和销售许可证管理办法 中华人民共和国计算机信息网络国际联网管理暂行规定实施办法 中华人民共和国计算机信息系统安全保护条例 商用密码管理条例 电子签名法 2020 1 22 2020 1 22 18 4习题 一 选择题1 常见的通用安全原则为特权分离原则 最小特权原则 深度防御原则以及下列哪一项 A 物理安全策略B 人员安全策略C 区域安全策略D 模糊安全策略2 数据管理策略不包括下列哪一项 A 最长保管时间B 最短保管时间C 数据安全D 数据类型 2020 1 22 二 问答题1 简述最小特权原则的实施与重要性 2 简述通用安全管理工具减轻执行安全策略的过程 3 思考如何为一个组织或企业编写并执行具体的安全策略
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 图纸专区 > 课件教案


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!