电子商务安全管理秦成德第9章—信息系统安全评估新.ppt

* * 9.3.3测评认证的方法与流程 1.美国的测评认证过程 为了对联邦政府行政部门中的资讯技术(Information Technology，简称IT)系统进行验证和认证(Certification and Accreditation，简称CA)，美国国家标准与技术研究院(National Institute of Standards and Technology，简称NIST)于1983年9月制定并颁布了第102号联邦资讯处理标准(Federal Information Process Standard，简称FIPS 102)。FIPS 102中指出：信息系统的安全测评认证应经过6个基本阶段：计划、数据收集、基本评估、详细评估、认证报告和认可。 9.3.3测评认证的方法与流程 2.我国的测评认证过程 （1）五个步骤 第一步：方案评审。 第二步：技术文档审查。 第三步：现场管理核查。包括：安全管理核查；关键商业应用程序核查；信息处理核查；通讯网络核查；系统开发规范核查。 第四步：安全测试与评估。 第五步：发布认证。 （2）依据的标准 依据的测评标准主要有：ISO 17799；ISO 13335；ISO 15408；信息系统通用评估准则（内部试用)；NIST SP 800-42等。 在线教务辅导网： 更多课程配套课件资源请访问在线教务辅导网 馋死 PPT研究院 POWERPOINT ACADEMY * 第9章 信息系统安全评估 9.1信息系统安全标准 9.2信息系统安全评估标准 9.3国际与国内信息系统安全测评认证  9.1信息系统安全标准 9.1.1信息系统安全标准简介 9.1.2我国的信息系统安全标准  9.1.1信息系统安全标准简介 信息系统安全标准是构建国家信息安全保护体系必须具备的技术、管理规范。国家要尽快建立自主完善的标准体系，同时要加强标准的普及使用。特别是要在主机等主要设备的操作系统和数据库安全技术、安全服务器技术和产品研发等方面实现迅速突破，为国家基础信息系统及重要信息系统提供第二级以上信息安全等级保护产品。 信息系统安全的标准化是一项艰巨、长期的基础性工作。在我国，有关主管部门十分关注信息安全标准化工作，在1984年7月组建了数据加密技术委员会，并于1997年8月改组成全国信息技术标准化委员会的信息安全技术分委员会，负责制定信息安全的国家标准，本着积极采用国际标准的原则，转化了一批国际信息安全基础技术标准。另外，公安部、安全部、国家必威体育官网网址局、国家密码管理委员会等相继制定、颁布了一批信息安全的行业标准，为推动信息安全技术在各行业的应用和普及发挥了积极的作用。 9.1.2 我国的信息系统安全标准 截至2002年初，我国正式颁布信息安全相关国家标准已达40多项，规定了信息安全的不同技术要求。下面分类列表说明。 1.安全技术及安全机制相关国家标准（表9-1） 表9-1 安全技术及安全机制相关国家标准 9.1.2 我国的信息系统安全标准 2.物理安全相关国家标准（表9-2） ? 表9-2 物理安全相关国家标准 9.1.2 我国的信息系统安全标准 3.信息安全评估相关国家标准（表9-3） ? 表9-3 信息安全评估相关国家标准 9.2 信息系统安全评估标准 9.2.1安全评估标准及其发展 9.2.2信息系统安全评估标准 9.2.3信息系统安全评估标准所面临的问题及改进建议  9.2.1安全评估标准及其发展 1.安全评估标准的概念 信息系统安全评估是指评估机构依据信息系统安全评估标准（或准则），采用一定的方法（方案）对信息安全产品或系统安全性进行评价。它包括对系统安全的技术和非技术环节进行测试，检查、审核等，是系统进行认证与认可的前期工作。与自评估相对，它是一种非常全面、深入、细致的评估。信息系统安全评估标准是信息系统安全评估的行动指南。 9.2.1安全评估标准及其发展 2.安全评估标准的发展 在国际上，针对信息系统安全的等级防护和评估，先后制定了多个标准，其发展过程和关系见下图（图9-1）。但是，由于标准众多，对于标准的争论从未停息过。 9.2.2 信息系统安全评估标准 1.侧重于对系统和产品的技术指标方面的标准 ??? 美国国防部于1985年公布可信的计算机系统安全评估标准（TCSEC，从橘皮书到彩虹系列），是计算机系统信息安全评估的第一个正式标准。它把计算机系统的安全分为4类、7个级别，对用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通道建立、安全检测、生命周期保障、文档写作、用户指南等内容提出了规范性要求。 ??? 法、英、荷、德欧洲四国90年代初联合发布信息技术安全评估标准（ITSEC，欧洲百皮书），它提出了信息安全的机密性、完整性、可用性的安全属性。ITSE