第10章计算机系统安全管理案例.ppt

计算机系统安全原理与技术 计算机系统安全原理与技术 * 计算机系统安全原理与技术 * 第10章 计算机系统安全管理 * 计算机系统安全原理与技术 * 本章主要内容 计算机系统安全管理概述 信息安全标准及实施 安全管理与立法 * 计算机系统安全原理与技术 * 10.1 计算机系统安全管理概述 安全管理的目的和任务 技术产品统一协调管理，提高系统防御入侵和抗攻击能力 任务：技术、策略、制度 安全管理原则 规范、成熟、自主、均衡、应急 安全管理程序方法 基本程序和方法，并不断提升 * 计算机系统安全原理与技术 * 10.2 信息安全标准及实施 国外主要的计算机系统安全评测准则 1．可信计算机系统评估准则TCSEC(桔皮书) 桔皮书把计算机系统的安全分为A、B、C、D四个大等级七个安全级别。按照安全程度由弱到强的排列顺序是：D，C1，C2，B1，B2，B3，A。 2．信息技术安全性评估准则ITSEC 俗称“白皮书”。在吸收TCSEC成功经验的基础上，首次在评估准则中提出了信息安全的必威体育官网网址性、完整性与可用性的概念，把可信计算机的概念提高到了可信信息技术的高度。 * 计算机系统安全原理与技术 * 3．加拿大可信计算机产品评估准则CTCPEC 该标准将安全需求分为4个层次：机密性、完整性、可靠性和可说明性。 4．美国联邦准则FC 5．信息技术安全评估通用标准CC 定义了作为评估信息技术产品和系统安全性的基础准则，提出了目前国际上公认的表述信息技术安全性的结构，即把安全要求分为规范产品和系统安全行为的功能要求以及解决如何正确有效的实施这些功能的保证要求。 6．ISO/IEC 21827:2002(SSE-CMM) SSE-CMM的目的是建立和完善一套成熟的、可度量的安全工程过程。该模型定义了一个安全工程过程应有的特征，这些特征是完善的安全工程的根本保证。 * 计算机系统安全原理与技术 * 我国计算机安全等级评测标准 由公安部主持制定、国家技术标准局发布的中华人民共和国国家标准GBl7895—1999《计算机信息系统安全保护等级划分准则》已经正式颁布，并于2001年1月1日起实施。 《准则》将计算机信息系统安全保护能力划分为5个等级，计算机信息系统安全保护能力随着安全保护等级的增高，逐渐增强。 第一级：用户自主保护级。 第二级：系统审计保护级。 第三级：安全标记保护级。 第四级：结构化保护级。 第五级：访问验证保护级。 * 计算机系统安全原理与技术 * 国外计算机信息安全管理标准 1．ISO/IEC 17799:2000《信息技术 信息安全管理实用规则》 ISO/IEC 17799:2000是目前信息安全管理标准中应用最为广泛的一个，来源于英国标准局BS7799系列标准的第1部分，于2000年成功转化成ISO/IEC标准。 2．ISO/IEC TR 13335系列《信息技术 IT安全管理指南》 该系列标准的主要贡献是给出了IT安全管理的概念和模型，并提供了多种可供选择的风险评估方法。 3．信息安全管理体系(ISMS) * 计算机系统安全原理与技术 * 我国信息安全管理标准 ·ISO/IEC 17799:2000《信息技术 信息安全管理实践规范》； ·ISO/IEC TR 13335-1:1996《信息技术 IT安全管理指南第1部分：IT安全的概念和模型》； ·ISO/IEC TR 13335-2:1997《信息技术 IT安全管理指南第2部分：管理和规划IT安全》 * 计算机系统安全原理与技术 * 构建基于BS 7799/ISO 17799的信息安全管理体系 一个组织建立和实施ISMS大致包括以下三个阶段： 1．需求分析和计划 2．信息安全管理体系文件的编制 3．运行、审核和改进 * 计算机系统安全原理与技术 * 计算机信息系统安全等级保护管理要求 不仅对计算机信息系统安全的五个层面提出与安全管理有关的要求，对管理层面本身的安全也提出了相应的要求，其关系如图： * 计算机系统安全原理与技术 * 10.3 安全管理与立法 我国信息安全相关法律法规介绍 1．《中华人民共和国宪法》 2．《中华人民共和国计算机信息系统安全保护条例》 3．《计算机信息网络国际联网安全保护管理办法》 4．《中华人民共和国刑法》 5．《全国人民代表大会常务委员会关于维护互联网安全的决定》 6．《计算机病毒防治管理办法》 7．《计算机信息系统国际联网必威体育官网网址管理规定》 8．《互联网电子公告服务管理规定》 9．《中华人民共和国电子签名法》