信息安全国际标准PPT课件.ppt

信息安全国际标准 提纲 信息安全标准概述安全标准组织安全标准分类安全管理标准 ISO17799 安全技术标准安全产品标准 CC 安全工程标准 SSE CMM 安全方法论安全资格认证 CISSP CISA 什么是信息安全 保密性完整性可用性 CONFIDENTIALATYINTEGRITYAVAILABILITY 什么是标准 标准 标准是对重复性事物和概念所做的统一规定 它以科学 技术和实践的综合成果为基础 经有关方面协商一致 由主管部门批准 以特定的方式发布 作为共同遵守的准则和依据 强制性标准 保障人体健康 人身 财产安全的标准和法律 行政法规规定强制执行的标准 其它标准是推荐性标准 无规矩不成方圆 无规矩不成方圆 提纲 信息安全标准概述安全标准组织安全标准分类安全管理标准 ISO17799 安全技术标准安全产品标准 CC 安全工程标准 SSE CMM 安全方法论安全资格认证 CISSP CISA 标准的来源 政府组织NIST NationalInstituteofStandardsandTechnologyNSA NationalSecurityAgencyGAO GeneralAccountingOfficeBSI BritishStandardInstitution标准化组织ISO IECJTC1SC27ANSI AmericanNationalStandardsInstitute专业组织 行业联盟IEEEIETFW3CISSA InformationSystemsSecurityAssociationITAA InformationTechnologyAssociationOfAmerica 大学 ISO 国际标准化组织 ISO是InternationalOrganizationforStandardization的简称国际最大的标准化组织机构与IEC联合成立的JTC1 SC27负责通用信息技术安全标准的制定ISO TC68负责银行和金融服务业务应用范围内信息安全标准的制定已发布的其他行业的重要标准ISO9001ISO14001 IEC 国际电工委员会 IEC是InternationalElectrotechnicalCommission的简称世界上最早的国际性电工标准化机构负责有关电工 电子领域的国际标准化工作在信息安全技术标准化方面 同ISO联合成立JTC1在电磁兼容EMC等方面成立技术委员会 制定相关国际标准 ISO IECJTC1 SC27 JTC1 JointTechnicalCommittee1 是ISO及IEC的联合技术委员会 SC27小组专门负责安全技术标准的制定 审核 已发布的部分标准ISO IEC18033加密机制ISO IEC9796 14888 15964数字签名ISO IECTR13335GMITSISO IEC15408EvaluationcriteriaforITSecurityISO IEC17799CodeofPracticeforInformationSecurityManagementISO IEC21287SSE CMM NIST 国家标准技术协会 NIST是美国NationalInstituteofStandardsandTechnology的简称已发布的部分文献FIPS FederalInformationProcessingStandardsPublications FIPSPUB140 2SecurityRequirementsforCryptographicModulesFIPSPUB180 1SecureHashStandardFIPSPUB197AdvancedEncryptionStandardSP SpecialPublications800series是关于计算机安全的文献 SP800 12ComputerSecurityHandbookSP800 30RiskManagementGuideforITSystemsSP800 44GuidelinesonSecuringPublicWebServers 其他组织 ANSI 美国国家标准协会80年代初开始数据加密标准化工作制定了三个通用的国家标准ANSIX 9系列财务服务安全标准ITU T 国际电讯联盟前身是CCITT 单独或于ISO合作开发诸如消息处理系统 目录系统 X 400系列 X 500系列 和安全框架 安全模型等标准ITU TX 509TheDirectory AuthenticationFramework 其他组织 IEEE 电气电子工程师协会在信息安全方面主要是提出了LAN WAN安全方面的标准和公钥密码标准IETF Internet工程任务组主要提出Internet标准草案和成为RFC的协议文稿 内容广泛 也包括安全方面的建议稿 经过网上讨论修改 被大家广泛接受就成了的事实上的标准标准 提纲 概述安全标准组织安全标准分类安全管理标准 ISO17799 安全技术标准安全产品标准 CC 安全工程标准 SSE CMM 安全方法论安全资格认证 CISSP CISA 安全标准的类型 提纲 概述安全标准组织安全标准分类安全管理标准 ISO17799 安全技术标准安全产品标准 CC 安全工程标准 SSE CMM 安全方法论安全资格认证 CISSP CISA 安全管理框架 OSI ISO7498 2 10181开放系统互连第二部分安全体系结构 10181是7498 2的后续标准 分部分描述5类安全服务的实现GMITS GuidelinesfortheManagementofITSecurityISO IEC13335GuidelinesfortheManagementofITSecurity提供IT安全管理的指导BS7799AS NZS4444ISO IEC17799信息安全管理的即成标准提供企业开发 实施 评估有效安全建设的框架ISFSOGPInformationSecurityForum ISF 信息安全优秀实践标准 StandardofGoodPracticeforInformationSecurity 1998 BS7799介绍 BS7799AS NZS4444ISO IEC17799信息安全管理的即成标准提供企业开发 实施 评估有效安全建设的框架BS7799包括两部分第一部分 提供安全管理的最佳实践 等同于ISO IEC17799 2000提供10个领域的127项安全措施整套的基于业界经验的安全性最佳实践的指导第二部分ISMS规范SpecificationforISMS InformationSecurityManagementSystems 提供依据第一部分进行内部审计 外部认证的流程体系 什么是ISO17799 BS7799 关注于安全管理的框架和指导提供了10个方面36个安全目标 127项安全控制措施 建立了BestPractice指引 广泛应用于在政府 企业 金融 电信等行业 应用最广泛的安全标准 17799的十个方面 ISO17799的文档结构 分为10个领域的安全实践建议分为36个子项 共127项安全控制措施安全方针 1 组织安全 3 资产分类与控制 2 人员安全 3 物理与环境安全 3 通信与操作安全 7 访问控制 8 系统开发与维护 5 业务持续计划 1 依从 3 安全策略 控制目标 信息安全策略为信息安全提供管理指导和支持控制措施 信息安全策略文件复查和审查 组织安全 控制目标一 信息安全基础设施管理组织内部的信息安全控制目标二 第三方访问安全维护被第三方访问的基础设施和信息资产的安全控制目标三 外包当IT外包给其他组织负责时 维护信息的安全 资产分类与控制 控制目标一 资产责任保证对组织资产做适当的保护控制目标二 信息分类确保信息资产得到适当级别的保护 人员安全 控制目标一 岗位安全责任和人员录用要求控制目标二 用户培训控制目标三 对安全事件和故障的响应 物理与环境安全 控制目标一 安全区域防止非授权访问控制目标二 设备安全防止资产的丢失 破坏和损坏 防止业务活动被中断控制目标三 一般性控制防止危害或窃取信息及设施 通信和操作安全 控制目标一 操作流程和责任控制目标二 系统规划和验收控制目标三 防范恶意软件控制目标四 内务管理 备份 日志 控制目标五 网络管理控制目标六 介质处理及安全控制目标七 信息和软件的交换 访问控制 控制目标一 访问控制的业务需求控制目标二 用户访问管理控制目标三 用户责任控制目标四 网络访问控制控制目标五 操作系统访问控制控制目标六 应用系统访问控制控制目标七 监视系统访问和使用控制目标八 移动计算和通信 系统开发和维护 控制目标一 系统的安全需求控制目标二 应用系统的安全控制目标三 密码控制控制目标四 系统文件的安全控制目标五 开发和支持过程的安全 业务连续性管理 控制目标 业务连续性管理的各个方面控制措施业务连续性管理过程业务连续性和影响分析编写并实施连续性计划业务连续性计划框架测试 维护和复审业务连续性计划 符合性 控制目标一 符合法律要求控制目标二 对安全策略和技术的评审控制目标三 系统审核的考虑 BS7799第2部分 BS7799PART2是一个规范 使用该规范对组织的信息安全管理体系进行审核与认证 通过使用该规范能使组织建立信息安全管理体系 ISMS 该规范提供以下内容建立信息安全管理体系 ISMS 指导成功实施信息安全的关键因素PDCA Plan do check act 模型持续性改进改进安全管理评估业务变化 新技术 新威胁对安全管理流程的影响 PlanISMS的确立 DoISMS的运用 CheckISMS的监控 ActISMS的改善 PDCA模型 什么是ISO 7498 2 信息处理系统开放系统互连基本参考模型第2部分 安全体系结构Informationprocessingsystem OpenSystemsInterconnection BasicReferenceModel Part2 Securityarchitecture提供安全服务与有关机制的一般描述 这些服务与机制可以为GB9387 88 ISO7498 1参考模型所配备 确定在参考模型内部可以提供这些服务与机制的位置已被接受为国标GB T9387 2 1995 五种安全服务 认证对等实体认证数据原发认证访问控制数据机密性连接机密性无连接机密性选择字段机密性通信业务流机密性数据完整性带恢复的连接完整性不带恢复的连接完整性选择字段的连接完整性无连接完整性选择字段无连接完整性抗抵赖有数据原发证明的抗抵赖有交付证明的抗抵赖 八种安全机制 特定的安全机制用来实现以上安全服务加密数字签名机制访问控制机制数据完整性机制认证交换机制通信业务填充机制提供各种不同级别的保护 抵抗通信业务分析路由选择控制机制公证机制 服务与机制的关系 服务应用与OSI层的关系 安全管理 安全管理信息库 SMIB 是一个概念上的集存地 存储开放系统所需的与安全有关的全部信息 这一概念对信息的存储形式与实施方式不提出要求 SMIB能有多种实现办法 例如 a 数据表 b 文卷 c 嵌入实开放系统软件或硬件中的数据或规则 OSI安全管理的分类 系统安全管理 涉及总的OSI环境安全方面的管理 例 总体安全策略的管理 与别的OSI管理功能的相互作用 与安全服务管理和安全机制管理的交互作用 事件处理管理 安全审计管理 安全恢复管理安全服务管理 涉及特定安全服务的管理 例 指定特定服务的保护目标 指定与维护特定的安全机制 安全机制协商 本地的与远程的 调用特定的安全机制 与别的安全服务和安全机制的交互作用安全机制管理 涉及的是特定安全机制的管理 例 密钥管理 加密管理 数字签名管理 访问控制管理等等OSI管理本身的安全 所有OSI管理功能和信息自身的安全 这一类安全管理将借助OSI安全服务与机制以确保OSI管理协议与信息获得足够的保护 作为ISO7498 2的后续标准 1988年开始建立ISO IEC10181ISO IEC10181 Securityframeworksforopensystems 有七个部分第2 6部分对应ISO7498 2定义的5种服务Part1 概述Part2 认证服务架构Part3 访问控制服务架构Part4 防抵赖服务架构Part5 数据保密服务架构Part6 数据完整服务架构Part7 安全审计 报警架构 ISO IEC10181 什么是ISO13335 ISO IEC13335 即IT安全管理指南 GuidelinesfortheManagementofITSecurity GMITS 是由ISO IECJTC制定的技术报告ISO IEC13335是一个信息安全管理方面的指导性标准其目的是为有效实施IT安全管理提供建议 ISO13335 GMITS 的内容 13335 1 IT安全概念和模型包含了对IT安全和安全管理中一些基本概念和模型的解释13335 2 IT安全计划和管理建议性地介绍了IT安全管理和计划的方式和要点13335 3 IT安全管理技术描述了风险管理技术 IT安全计划的开发 实施和测试还包括策略审查 事件分析 IT安全教育等后续内容 13335 4 安全措施的选择描述了针对一个组织特定环境和安全需求可以选择的安全措施 不仅仅是技术性措施13335 5 网络安全的管理指导提供了关于网络和通信安全管理的指导性内容 该指南为识别和分析建立网络安全需求时需要考虑的通信相关因素提供支持 也包括对可能的安全措施方面的简要介绍 ISO13335vs BS7799 与BS7799相比 ISO IEC13335只是一个技术报告和指导性文件 并不是可依据的认证标准也不像BS7799那样给出一个全面而完整的信息安全管理框架但13335在信息安全尤其是IT安全的某些具体环节切入较深 对实际的工作具有较好的指导价值 从可实施性上来说要比BS7799好些另外13335对安全计划 安全策略 控制措施选择的内容的阐述要比BS7799具体很多总之 作为一个框架 总体要求和目标选择 BS7799是我们信息安全管理体系建设过程中要贯彻的指导方针 而这期间的一些具体的活动则可以参考13335 比如风险评估 提纲 概述安全标准组织安全标准分类安全管理标准 ISO17799 安全技术标准安全产品标准 CC 安全工程标准 SSE CMM 安全方法论安全资格认证 CISSP CISA 安全技术标准 ApplicationProtocols SSL S HTTP NetworkProtocols IPSec Cryptography RSA DSA ECC DES AES SHA 1 PKCSVulnerabilityCVE Authentication Kerberos RADIUS SAML Messaging S MIME OpenPGP PEM XMLDSIG XMLENC ApplicationSecurity CORBASecurity WS Security 提纲 概述安全标准组织安全标准分类安全管理标准 ISO17799 安全技术标准安全产品标准 CC 安全工程标准 SSE CMM 安全方法论安全资格认证 CISSP CISA 产品安全性保证标准 CommonCriteria CC ISO IEC15408EvaluationcriteriaforITSecurity 针对产品或组件的保证标准e g Firewalls IDS OS 定义了7个EvaluationAssuranceLevels EAL 一级最低 七级最高1996年国际上的六个国家 美 加 英 法 德 荷 联合提出了信息技术安全评价的通用准则 CC CC的基础是欧州的ITSEC 美国的包括TCSEC在内的新的联邦评价标准 加拿大的CTCPEC 以及国际标准化组织ISO SC27WG3的安全评价标准 TrustedComputerSystemEvaluationCriteria TCSEC TheOrangeBook分为D C1 C2 B1 B2 B3 A1七个等级C2 部分OS有 VMS IBMOS 400 WindowsNT NovellNetWare4 11 Oracle7 DGAOS VSII B1 部分OS有 HP UXBLS CrayResearchTrustedUnicos8 0 DigitalSEVMS HarrisCS SX SGITrustedIRIX B2 部分OS有 HoneywellMultics CryptekVSLAN TrustedXENIXB3 仅有的OS Getronics WangFederalXTS 300A1 BoeingMLSLAN GeminiTrustedNetworkProcessor HoneywellSCOMP FIPSPUB140 2 Cryptographic模块的安全要求标准 定义了4个等级 美国TCSEC 1970年由美国国防部提出 1985年公布 主要为军用标准 延用至民用 安全级别从高到低分为A B C D四级 级下再分小级 彩虹系列桔皮书 可信计算机系统评估准则黄皮书 桔皮书的应用指南红皮书 可信网络解释紫皮书 可信数据库解释 美国TCSEC CC标准的发展历程 CC驱动因素 CC要实现的目标 成为统一的国际 通用 IT产品和系统安全标准目前 CC已经成为ISO国际标准 15408 在不同国家间达成协议 相互承认产品评估为开发者拓展国际舞台改善IT安全产品在全世界的可用性 CC的目标读者 消费者 具有IT安全功能的产品购买指南 产品开发者和集成商 具有IT安全功能的产品的开发基础 评估员 IT安全产品的评估基础 审核员 认证人员 授权人员 对他们的特定应用给予支持 CC的内容组织 CC定义了两类安全需求 CC的关键概念 评估目标 TOE IT产品或系统及其相关的管理指南和用户指南等文档 是评估的对象保护轮廓 ProtectProfilePP 满足特定消费者需求的 独立于实现的 关于某一类TOE的一组安全要求 用户提出要求 安全目标 SecurityTargetST 依赖于实现的一组安全要求和说明 作为指定TOE的评估基础 开发者给出 用户借助PP定义需求 厂商使用ST对用户需求做出响应 PP ST和TOE之间的关系 评估保证等级 CC总体结构 安全产品评估框架模型 CCvs BS7799 都是认证标准 但是对象不同 CC评估的对象是系统和产品 而7799关注的信息安全管理在依照BS7799标准来实施ISMS时 一些涉及系统和产品安全的技术要求 可以参考CC 提纲 概述安全标准组织安全标准分类安全管理标准 ISO17799 安全技术标准安全产品标准 CC 安全工程标准 SSE CMM 安全方法论安全资格认证 CISSP CISA 什么是SSE CMM SSE CMM是系统安全工程能力成熟模型 SystemsSecurityEngineeringCapabilityMaturityModel 的缩写 它描述了一个组织的安全工程过程必须包含的本质特征 这些特征是完善的安全工程保证 为安全工程的应用提供了一个衡量和改进的途径现代统计过程控制理论表明通过强调生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品SSE CMM项目的目标是促进安全工程成为一个确定的 成熟的和可度量的科目SSE CMM项目进展来自于安全工程业界 美国国防部和加拿大通讯安全机构积极参与和共同的投入 1995成立项目组 1996SSE CMMv1正式发布 1997SSE CMM评定方法发布 1999SSE CMMv2发布 2002ISO IEC21827 2003SSE CMMv3发布 SSE CMM模型结构 二维结构 Domain CapabilityDomain包含安全工程中的实践领域 分为3个主要的Process类 22个PA 130多项BPCapability表示过程管理 衡量及制度化的能力 共分为5级 下面细分为12个CommonFeatures 以及近30个GenericPractices 5级成熟能力 系统安全工程过程 风险过程 工程过程 保证过程 SSE CMM与ISO17799的内容比较 提纲 概述安全标准组织安全标准分类安全管理标准 ISO17799 安全技术标准安全产品标准 CC 安全工程标准 SSE CMM 安全方法论安全资格认证 CISSP CISA 安全方法论 AS NZS4360澳洲 新西兰风险管理标准提供建立 实施风险管理过程的指导NISTSP800 30RiskManagementGuideforITSystems建立 实施风险管理过程的指导OCTAVEOperationallyCriticalThreat Asset andVulnerabilityEvaluation由CMU SEI CarnegieMellonUniversity SoftwareEngineeringInstitute 建立的风险评估方法论 提纲 概述安全标准组织安全标准分类安全管理标准 ISO17799 安全技术标准安全产品标准 CC 安全工程标准 SSE CMM 安全方法论安全资格认证 CISSP CISA 安全资格认证标准 CISSP CertifiedInformationSystemsSecurityProfessional CISSP 由美国 ISC 2进行认证管理 十个CommonBodyofKnowledge CBK 访问控制AccessControlSystems Methodology 应用开发Applications SystemsDevelopment 业务持续性BusinessContinuityPlanning 加密Cryptography 法律 道德 调查Law Investigation Ethics 操作安全OperationsSecurity 物理安全PhysicalSecurity 安全架构及模型SecurityArchitecture Models 安全管理实践SecurityManagementPractices 网络安全Telecommunications Network InternetSecurity ISC 2 InternationalInformationSystemsSecurityCertificationsConsortium 安全资格认证标准 CISA CertifiedInformationSystemsAuditor CISA 由ISACA管理认证依据ControlObjectivesforInformationandrelatedTechnologies CobiT 考试包括7个内容 IS计划 管理和组织Management Planning OrganizationofIS 技术结构及操作实践TechnicalInfrastructure OperationalPractices 信息资产保护ProtectionofInformationAssets 灾难恢复及业务持续DisasterRecovery BusinessContinuity 系统开发 实施 管理BusinessApplicationSystemDevelopment Acquisition Implementation Maintenance 商业过程评估及风险管理BusinessProcessEvaluation RiskManagement IS审计ISAuditProcess ISACA InformationSystemsAuditandControlAssociation 安全资格认证标准 CISM CertifiedInformationSecurityManager CISM 由ISACA管理认证 面向安全管理人员 比CISSP CISA更早的认证 包含5项内容信息安全管辖InformationSecurityGovernance风险管理RiskManagement 信息安全程序管理InformationSecurityProgrammeManagement 信息安全管理InformationSecurityManagement 安全响应管理ResponseManagement ISACA InformationSystemsAuditandControlAssociation