CIWSecurity_第1部分_信息安全基础知识解读.ppt

国际标准ISO/IEC 为了更好的协作和共同规范信息技术领域，ISO和国际电工委员会(IEC)成立了联合技术委员会，即ISO/IEC JTC1，负责信息技术领域的标准化工作。 在ISO/IEC JTC1所发布的标准和技术报告中，目前最主要的标准是ISO/IEC 13335、ISO/IEC 17799等。 2005年，ISO/IEC改版了ISO/IEC 17799，并正式发布ISO/IEC 17799:2005。ISO/IEC 17799建立了组织机构内启动、实施、维护和改进信息安全管理的指导方针和通用原则。 ISO/IEC 13335是关于风险管理、IT安全管理的一个重要的标准系列。 美国可信计算机安全评价标准（TCSEC） TCSEC标准是计算机系统安全评估的第一个正式标准，于1970年由美国国防科学委员会提出，并于1985年12月由美国国防部公布 TCSEC将计算机系统的安全划分为4个等级、8个级别： D类安全等级：D类安全等级只包括D1一个级别。D1的安全等级最低。D1系统只为文件和用户提供安全保护。 C类安全等级：该类安全等级能够提供审慎的保护，并为用户的行动和责任提供审计能力。C类安全等级可划分为C1和C2两类。 B类安全等级：B类安全等级可分为B1、B2和B3三类。B类系统具有强制性保护功能。强制性保护意味着如果用户没有与安全等级相连，系统就不会让用户存取对象。 A类安全等级：A系统的安全级别最高。目前，A类安全等级只包含A1一个安全类别。 A1系统的显著特征是，系统的设计者必须按照一个正式的设计规范来分析系统。 英国信息安全管理标准 英国标准协会(BSI)是英国负责信息安全管理标准的机构。 BS 7799的第一部分，它已成为国际ISO/IEC 17799国际标准。 BS 15000系列标准。也成为指导ITIL的公认标准。 欧洲信息技术安全性评价准则（ITSCE） ITSCE是欧洲多国安全评价方法的综合产物，应用领域为军队、政府和商业。 该标准将安全概念分为功能与评估两部分。 功能准则从F1～F10共分10级。1～5级对应于TCSEC的D到A。F6至F10级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的必威体育官网网址性以及机密性和完整性的网络安全。 评估准则分为6级，分别是测试、配置控制和可控的分配、能访问详细设计和源码、详细的脆弱性分析、设计与源码明显对应以及设计与源码在形式上一致。 国际通用准则（CC） CC是国际标准化组织统一现有多种准则的结果，是目前最全面的评价准则。 1996年6月，CC第一版发布；1998年5月，CC第二版发布；1999年10月CC V2.1版发布，并且成为ISO标准（ISO/IEC 15408）。 CC将评估过程划分为功能和保证两部分，评估等级分为EAL1、EAL2、EAL3、EAL4、EAL5、EAL6和EAL7共七个等级。每一级均需评估7个功能类，分别是配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试和脆弱性评估。 国际安全评测标准的发展及其联系 国内信息安全标准 国内的信息安全领域的标准起步较晚，但随着2002年全国信息安全标准化技术委员会(简称信息安全标委会)的成立，信息安全相关标准的建设工作开始走向了规范化管理和发展的快车道。 现在，在信息安全标委会中，成立了信息安全标准体系与协调工作组(WG1)、鉴别与授权工作组(WG4)、信息安全评估工作组(WG5)和信息安全管理工作组(WG7)四个工作组 近年来，信息安全标委会的主要工作是： 信息安全国际标准的转化(主要是国际ISO/IEC 17799和ISO/IEC 13335的采标工作) 风险管理指南的标准化工作(主要是风险评估和风险管理指南的标准化工作) 信息系统评估的标准制定工作(主要是信息系统安全保障评估框架标准的编制工作等)。 计算机网络安全事件应急小组（CERT） 计算机网络安全应急小组（CSIRT或CERT）是专门从事计算机系统及网络安全技术研究，并接收、检查、处理相关安全事件的服务性组织的通称，是国际上公认的最专业的网络安全保障机构。 / 中国国家计算机网络应急技术处理协调中心（CNCERT/CC） 负责协调我国各计算机网络安全事件应急小组（CERT）共同处理国家公共互联网上的安全紧急事件 国际上著名的应急响应组织 美国计算机紧急事件响应小组协调中心 / 事件响应与安全组织论坛 / 亚太地区计算机应急响应组 / 欧洲计算机网络研究教育协会 http://www.terena.nl/ SANS SANS(系统管理、审核、网络、安全)是信息安全培训和认证最可靠的来源和最大的机构，它也在不断发展壮大，并且是最大的免费提供信息安全各方面研究文献资料的组织，它具有互联网业务的预警系统以及互联