信息安全管理普通高等教育“十一五”国家级规划教材张红旗王新昌杨英杰唐慧林2第3次课-信息安全管理体系2上课用课件.ppt

信 息 安 全 管 理 Information security management 本节内容 信息安全技术和管理概念在发展深化，从信息必威体育官网网址阶段（60、70年代）、信息安全保护阶段（80、90年代）发展到信息保障阶段（90年未，IATF发布）。 信息安全测评也得到同步发展，从80、90年代关注信息安全产品的质量保证和安全评测发展到信息系统的整体安全测试评估和研究上来，从只重技术到技术、管理并重的全面测评。 在我国，1994年， 《中华人民共和国计算机信息系统安全保护条例》的发布，开始关注信息系统的安全和测评。 03年和04年，中央办公厅、国务院办公厅27号文、四部委66号文进一步规定： 信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准，确定其信息和信息系统的安全保护等级；进行安全规划设计、安全建设施工；定期进行安全状况检测评估。 国家指定信息安全监管职能部门按照等级保护的管理规范和技术标准的要求，对信息和信息系统的安全等级保护状况进行监督检查。 测评是ISSE的重要环节，测评活 动跨越整个ISSE过程，为信息系 统提供安全保证。 对信息系统实施等级保护的过程也是一个工程过程， 应对其各个实施过程进行测评，以提供等级保护安全保证。 确保信息系统安全等级保护标准在信息系统中得到合理的应用，促使信息系统达到应有安全防护能力 。 等级测评 assessment for classified security protection 具有相关资质的、独立的第三方测评服务机构，对信息系统的等级保护落实情况与信息安全等级保护相关标准要求之间的符合程度的测试评定。 主体：测评服务机构 对象：信息系统（被测系统） 工作内容：等级保护标准要求的符合性评定 方式： assessment 涉及到标准： 《信息系统安全等级保护基本要求》 解决测评的目标和内容 《信息系统安全等级保护测评准则》 解决测评的方法、实施过程和判定要求 《信息系统安全等级保护测评指南》 解决测评的程序流程和过程要求 测评单元 assessment unit 等级测评的最小工作单位，由测评项、测评方法、测评对象、测评实施和结果判定组成。 测评强度 assessment intensity 测评的广度和深度，体现测评工作的努力程度。 访谈 interview 测评人员通过与信息系统用户（个人/群体）进行交流、讨论等活动，以获取证据证明信息系统安全保障措施是否有效的一种方法。 检查 examine 测评人员通过对测评对象进行观察、查验、分析等活动，以获取证据证明信息系统安全保证措施是否有效的一种方法。 测试 test 测评人员通过对测评对象按照预定的方法/工具使其产生特定的行为等活动，查看输出结果与预期结果的差异，以获取证据证明信息系统安全保证措施是否有效的一种方法。 三种基本测评方法： 访谈Interview 检查Examine 测试Test 一种测评技巧： 抽样是取出一部分产品或者部件作为其整体的代表性样品进行检测或校准的一种方法。 访谈的对象是人员。 典型的访谈包括：访谈信息安全主管、信息系统安全管理员、系统管理员、网络管理员、人力资源管理员、设备管理员和用户等。 工具：管理核查表（checklist）。 适用情况： 对技术要求，使用‘访谈’方法进行测评的目的是为了了解信息系统的全局性(包括局部，但不是细节)、方向/策略性和过程性信息，一般不涉及到具体的实现细节和具体技术措施。 对管理要求，访谈的内容应该较为详细和明确的。 检查包括：评审、核查、审查、观察、研究和分析等方式。 检查对象包括文档、机制、设备等。 工具：技术核查表（checklist）。 适用情况： 对技术要求，‘检查’的内容应该是具体的、较为详细的机制配置和运行实现 。 对管理要求，‘检查’方法主要用于规范性要求（检查文档）。 测试包括：功能/性能测试、渗透测试等。 测评对象包括机制和设备等。 测试一般需要借助特定工具。 扫描检测工具 网络协议分析仪 攻击工具 渗透工具 适用情况： 对技术要求，‘测试’的目的是验证信息系统当前的、具体的安全机制或运行的有效性或安全强度。 对管理要求，一般不采用测试技术。 对信息系统的要求：安全等级级别越高，基本要求强度越强，体现为安全控制点越多，安全控制要求越细。 对信息系统的测评：安全等级级别越高，测评强度越强，测评强度体现测评工作的努力程度，反映出测评的广度和深度。 测评强度体现测评工作的努力程度，反映出测评的广度和深度。 测评广度越大，范围越大，包含的测评对象就越多，就需要更大的努力。 测评的深度越深，越需要在细节上展开，就越需要更大的努力。 越大的努力程度就越能为测评提供更好的保证，体现测评强度越强。