信息安全管理详解.ppt

安全可信度级别 级别 定义 可信度级别描述 EALl 职能式测试级 表示信息保护问题得到了适当的处理； EAL2 结构式测试级 表示评价时需要得到开发人员的配合，该级提供低中级的独立安全保证； EAL3 基于方法学的测试与检查级 要求在设计阶段实施积极的安全工程思想，提供中级的独立安全保证。 EAL4 基于方法学的设计、测试与审查级 要求按照商业化开发惯例实施安全工程思想，提供中高级的独立安全保证。 EAL5 半形式化的设计与测试级 要求按照严格的商业化开发惯例，应用专业安全工程技术及思想，提供高等级的独立安全保证。 EAL6 半形式化验证的设计与测试级 通过在严格的开发环境中应用安全工程技术来获取高的安全保证，使产品能在高度危险的环境中使用。 EAL7 形式化验证的设计与测试级 目标是使产品能在极端危险的环境中使用。目前只限于可进行形式化分析的安全产品。 安全产品的开发 CC标准体现了软件工程与安全工程相结合思想。 信息安全产品必须按照软件工程和安全工程的方法进行开发才能较好地获得预期的安全可信度。 安全产品从需求分析到产品的最终实现，整个开发过程可依次分为应用环境分析、明确产品安全环境、确立安全目标、形成产品安全需求、安全产品概要设计、安全产品实现等几个阶段。 各个阶段顺序进行，前一个阶段的工作结果是后一个阶段的工作基础。有时前面阶段的工作也需要根据后面阶段工作的反馈内容进行完善拓展，形成循环往复的过程。 开发出来的产品经过安全性评价和可用性鉴定后，再投人实际使用。 产品安全性评价 CC标准在评价安全产品时，把待评价的安全产品及其相关指南文档资料作为评价对象。 定义了三种评价类型，分别为安全功能需求评价、安全保证需求评价和安全产品评价 第一项评价的目的是证明安全功能需求是完全的、一致的和技术良好的，能用作可评价的安全产品的需求表示； 第二项评价的目的是证明安全保证需求是完全的、一致的和技术良好的，可作为相应安全产品评价的基础，如果安全保证需求中含有安全功能需求一致性的声明，还要证明安全保证需求能完全满足安全功能需求。 最后一项安全产品评价的目的是要证明被评价的安全产品能够满足安全保证的安全需求。 10.3.3信息安全管理体系标准BS7799 BS7799是英国标准协会（British Standards Institute，BSI）针对信息安全管理而制定的一个标准，共分为两个部分。 第一部分BS7799-1是《信息安全管理实施细则》，也就是国际标准化组织的ISO/IEC 17799标准的部分，主要提供给负责信息安全系统开发的人员参考使用，其中分11个标题，定义了133项安全控制（最佳惯例）。 第二部分BS7799-2是《信息安全管理体系规范》（即ISO/IEC 27001），其中详细说明了建立、实施和维护信息安全管理体系的要求，可用来指导相关人员去应用ISO/IEC 17799，其最终目的是建立适合企业所需的信息安全管理体系。 信息安全管理实施细则-11个方面定义 在BS 7799-1《信息安全管理实施细则》中，从11个方面定义了133项控制措施， 这11个方面分别是： 安全策略 组织信息安全 资产管理 人力资源安全 物理和环境安全 通信和操作管理 访问控制 信息系统获取、开发和维护 信息安全事件管理 业务连续性管理 符合性 建立信息安全管理体系六个基本步骤 步骤一、定义信息安全策略 信息安全策略是组织信息安全的最高方针，需要根据组织内各个部门的实际情况，分别制订不同的信息安全策略。 步骤二、定义ISMS的范围 ISMS的范围描述了需要进行信息安全管理的领域轮廓，组织根据自己的实际情况，在整个范围或个别部门构架ISMS。 步骤三、进行信息安全风险评估 信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度，所采用的评估措施应该与组织对信息资产风险的保护需求相一致。 步骤四、信息安全风险管理 根据风险评估的结果进行相应的风险管理。 步骤五、确定控制目标和选择控制措施 控制目标的确定和控制措施的选择原则是费用不超过风险所造成的损失。 步骤六、准备信息安全适用性声明 信息安全适用性声明纪录了组织内相关的风险控制目标和针对每种风险所采取的各种控制措施。 10.3.4 中国的有关信息安全标准 1985年发布了第一个标准GB4943“信息技术设备的安全”，并于1994年发布了第一批信息安全技术标准。 截止2008年11月，国家共发布有关信息安全技术、产品、测评和管理的国家标准69项（不包括密码与必威体育官网网址标准）。 国家信息安全标准体系 GB17895-1999计算机信息系统安全保护等级划分准则 在我国众多的信息安全标准中，公安部主持制定、国家质量技术监督局发布的中华人民共和国国家标