信息安全技術(shù)教程清華大學(xué)出版社-第十八章.ppt

2020 1 22 第18章信息安全建設(shè)標(biāo)準(zhǔn) 18 1通用安全原則18 2安全標(biāo)準(zhǔn)18 3安全法規(guī)18 4習(xí)題 18 1通用安全原則 18 1 1通用原則18 1 2安全策略18 1 3安全管理工具18 1 4物理安全18 1 5人員安全 2020 1 22 18 1 1通用原則 特權(quán)分離原則不主張單一的人員有足夠的權(quán)限導(dǎo)致核心事件的發(fā)生最小特權(quán)原則一個(gè)人進(jìn)行控制或相應(yīng)的工作職責(zé)時(shí) 應(yīng)該只分配最低限度的權(quán)限 深度防御原則模糊安全依靠惡意入侵者不知道系統(tǒng)內(nèi)部所采用的管理安全措施這一事實(shí)來保證安全 2020 1 22 18 1 2安全策略 常見的安全策略可接受使用策略 讓策略能夠有效地限制用戶權(quán)限范圍內(nèi)的行為 同時(shí)還要求可以應(yīng)付不可預(yù)知的行為備份策略 應(yīng)付組織內(nèi)被保護(hù)的數(shù)據(jù)丟失或損壞保密策略數(shù)據(jù)管理策略 數(shù)據(jù)類型 最短保管時(shí)間 最長(zhǎng)保管時(shí)間無線設(shè)備策略 無線設(shè)備能夠給組織造成很大程度的安全威脅 所以在制定該策略時(shí)應(yīng)當(dāng)小心謹(jǐn)慎 并能夠有力地執(zhí)行下去 2020 1 22 策略執(zhí)行政策制定建立共識(shí)人員培訓(xùn) 所有被策略影響的員工提供有效的教育與訓(xùn)練 組織提供的安全培訓(xùn)應(yīng)針對(duì)不同的角色定制具體的培訓(xùn)內(nèi)容策略執(zhí)行 包含強(qiáng)制執(zhí)行規(guī)定 明確闡明違反政策行為和應(yīng)遵循的程序時(shí)候所負(fù)的責(zé)任策略維護(hù) 包含強(qiáng)制執(zhí)行規(guī)定 明確闡明違反政策行為和應(yīng)遵循的程序時(shí)候所負(fù)的責(zé)任 2020 1 22 18 1 3安全管理工具 安全校驗(yàn)表安全專家應(yīng)該審閱組織當(dāng)前存在的安全清單 確保概述的程序與組織內(nèi)的信息安全策略一致安全從業(yè)者可能希望建立自己安全校驗(yàn)表用于具體的安全目的安全矩陣 2020 1 22 18 1 4物理安全 邊界防護(hù) 訪問控制防御的方式 柵欄 運(yùn)動(dòng)檢測(cè)器 巡邏 防御的等級(jí)很大程度上取決于該設(shè)施的用途和位置信息安全領(lǐng)域的深度防御原則也可同時(shí)用于物理安全領(lǐng)域電子實(shí)體保護(hù)電子設(shè)備發(fā)出的輻射在數(shù)百米遠(yuǎn)的地方都可以被利用重新恢復(fù)出其承載的內(nèi)容 2020 1 22 18 1 5人員安全 主要措施在為員工提供就業(yè)時(shí) 應(yīng)該首先進(jìn)行背景調(diào)查對(duì)員工的行為進(jìn)行監(jiān)控強(qiáng)制假期盡可能的提供給要離開公司的員工一個(gè)友好的環(huán)境 2020 1 22 18 2安全標(biāo)準(zhǔn) 18 2 1TCSEC18 2 2ITSEC18 2 3CTCPEC18 2 4FIPS18 2 5BS7799系列 ISO IEC27000系列 18 2 6ISO IECTR13335系列18 2 7SSE CMM18 2 8ITIL和BS1500018 2 9CC18 2 10CoBIT18 2 11NISTSP800系列 2020 1 22 信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)的歷史和發(fā)展 2020 1 22 18 2 1TCSEC TCSEC TrustedComputerSystemEvaluationCriteria 可信計(jì)算機(jī)安全評(píng)價(jià)標(biāo)準(zhǔn) 標(biāo)準(zhǔn)是計(jì)算機(jī)系統(tǒng)安全評(píng)估的第一個(gè)正式標(biāo)準(zhǔn) 也稱為橘皮書 具有劃時(shí)代的意義4個(gè)安全等級(jí)D類安全等級(jí) D1級(jí)C類安全等級(jí) C1和C2級(jí)B類安全等級(jí) B1 B2和B3級(jí)A類安全等級(jí) A1級(jí) 2020 1 22 18 2 2ITSEC ITSEC InformationTechnologySecurityEvaluationCriteria 標(biāo)準(zhǔn)將安全概念分為功能與評(píng)估兩部分 功能準(zhǔn)則從F1 F10共分10級(jí) 1 5級(jí)對(duì)應(yīng)于TCSEC的D到A F6至F10級(jí)分別對(duì)應(yīng)數(shù)據(jù)和程序的完整性 系統(tǒng)的可用性 數(shù)據(jù)通信的完整性 數(shù)據(jù)通信的保密性以及機(jī)密性和完整性的網(wǎng)絡(luò)安全 ITSEC把完整性 可用性與保密性作為同等重要的因素 2020 1 22 18 2 3CTCPEC CTCPEC CanadianTrustedComputerProductEvaluationCriteria 是加拿大的評(píng)價(jià)標(biāo)準(zhǔn) 專門針對(duì)政府需求而設(shè)計(jì) 功能性需求共劃分為四大類 機(jī)密性 完整性 可用性和可控性 每種安全需求又可以分成很多小類 來表示安全性上的差別 分級(jí)條數(shù)為0 5級(jí) 2020 1 22 18 2 4FIPS 聯(lián)邦信息處理標(biāo)準(zhǔn) FederalInformationProcessingStandards FIPS 是一套描述文件處理 加密算法和其他信息技術(shù)標(biāo)準(zhǔn) 在非軍用政府機(jī)構(gòu)和與這些機(jī)構(gòu)合作的政府承包商和供應(yīng)商中應(yīng)用的標(biāo)準(zhǔn) 的標(biāo)準(zhǔn) 2020 1 22 18 2 5BS7799系列 BS7799第一部分全稱是CodeofPracticeforInformationSecurity 最新版成為ISO17799 2005ISO IEC17799 2005通過層次結(jié)構(gòu)化形式提供安全策略 信息安全的組織結(jié)構(gòu) 資產(chǎn)管理 人力資源安全等11個(gè)安全管理要素 還有39個(gè)主要執(zhí)行目標(biāo)和133個(gè)具體控制措施 最佳實(shí)踐 BS7799第二部分全稱是InformationSecurityManagementSpecification 最新版成為ISO IEC27001 2005ISO IEC27001 2005詳細(xì)說明了建立 實(shí)施和維護(hù)信息安全管理體系的要求 2020 1 22 18 2 6ISO IECTR13335系列 五部分標(biāo)準(zhǔn)ISO IEC13335 1 1996 IT安全的概念與模型 ISO IEC13335 2 1997 IT安全管理與策劃 ISO IEC13335 3 1998 IT安全管理技術(shù) ISO IEC13335 4 2000 防護(hù)措施的選擇 ISO IEC13335 5 2001 網(wǎng)絡(luò)安全管理指南 2020 1 22 18 2 7SSE CMM SSE CMM SystemSecurityEngineeringCapabilityMaturityModel 模型是專門用于系統(tǒng)安全工程的能力成熟度模型 三個(gè)相關(guān)組織過程工程過程風(fēng)險(xiǎn)過程保證過程5個(gè)能力級(jí)別基本執(zhí)行級(jí)計(jì)劃跟蹤級(jí)充分定義級(jí)量化控制級(jí)持續(xù)改進(jìn)級(jí) 2020 1 22 18 2 8ITIL和BS15000 ITIL的全稱是信息技術(shù)基礎(chǔ)設(shè)施庫(kù) InformationTechnologyInfrastructureLibrary ITIL針對(duì)一些重要的IT實(shí)踐 詳細(xì)描述了可適用于任何組織的全面的清單 Checklists 任務(wù) Tasks 程序 Procedures 職責(zé) Responsibilities 等 服務(wù)交付 ServiceDelivery 服務(wù)支持 ServiceSupport BS15000ISO IEC20000 1ISO IEC20000 2ITIL不是一個(gè)正式標(biāo)準(zhǔn) 而是目前普遍實(shí)行的 事實(shí) 上的標(biāo)準(zhǔn) 2020 1 22 18 2 9CC 通用標(biāo)準(zhǔn)或通用準(zhǔn)則 CommonCriteria 簡(jiǎn)稱CC 是指ISO IEC15408 1999標(biāo)準(zhǔn)組成部分GB T18336 1 2001idtISO IEC15408 1 1999信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第1部分 簡(jiǎn)介和一般模型 GB T18336 2 2001idtISO IEC15408 2 1999信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第2部分 安全功能要求 GB T18336 3 2001idtISO IEC15408 3 1999信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第3部分 安全保證要求 2020 1 22 CC與其它標(biāo)準(zhǔn)的評(píng)測(cè)級(jí)別對(duì)應(yīng)關(guān)系圖 2020 1 22 18 2 10CoBIT CoBIT的全稱是信息和相關(guān)技術(shù)的控制目標(biāo) ControlObjectivesforInformationandrelatedTechnology 是ITGI提出的IT治理模型 ITGovernance 是一個(gè)IT控制和IT治理的框架 Framework 八個(gè)控制過程計(jì)劃和組織 Planning Organisation 采購(gòu)和實(shí)施 Acquisition Implementation 交付和支持 Delivery Support 監(jiān)視和評(píng)估 Monitoring Evaluation 七個(gè)控制目標(biāo)機(jī)密性 Confidentiality 完整性 Integrity 可用性 Availability 有效性 Effectiveness 高效性 Efficiency 可靠性 Reliability 符合性 Compliance 2020 1 22 18 2 11NISTSP800系列 美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)協(xié)會(huì)NIST發(fā)布的SpecialPublication800文檔是一系列針對(duì)信息安全技術(shù)和管理領(lǐng)域的實(shí)踐參考指南 主要文件SP800 12 計(jì)算機(jī)安全介紹 AnIntroductiontoComputerSecurity TheNISTHandbook SP800 30 IT系統(tǒng)風(fēng)險(xiǎn)管理指南 RiskManagementGuideforInformationTechnologySystems SP800 34 IT系統(tǒng)應(yīng)急計(jì)劃指南 ContingencyPlanningGuideforInformationTechnologySystems SP800 26 IT系統(tǒng)安全自我評(píng)估指南 SecuritySelf AssessmentGuideforInformationTechnologySystems 2020 1 22 18 3安全法規(guī) 我國(guó)現(xiàn)階段的一些信息安全方面的法律法規(guī) 互聯(lián)網(wǎng)出版管理暫行規(guī)定 計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定 計(jì)算機(jī)病毒防治管理辦法 計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)出入口信道管理辦法 計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法 公安部關(guān)于對(duì)與國(guó)際聯(lián)網(wǎng)的計(jì)算機(jī)信息系統(tǒng)進(jìn)行備案工作的通知 計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測(cè)和銷售許可證管理辦法 中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法 中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 商用密碼管理?xiàng)l例 電子簽名法 2020 1 22 2020 1 22 18 4習(xí)題 一 選擇題1 常見的通用安全原則為特權(quán)分離原則 最小特權(quán)原則 深度防御原則以及下列哪一項(xiàng) A 物理安全策略B 人員安全策略C 區(qū)域安全策略D 模糊安全策略2 數(shù)據(jù)管理策略不包括下列哪一項(xiàng) A 最長(zhǎng)保管時(shí)間B 最短保管時(shí)間C 數(shù)據(jù)安全D 數(shù)據(jù)類型 2020 1 22 二 問答題1 簡(jiǎn)述最小特權(quán)原則的實(shí)施與重要性 2 簡(jiǎn)述通用安全管理工具減輕執(zhí)行安全策略的過程 3 思考如何為一個(gè)組織或企業(yè)編寫并執(zhí)行具體的安全策略