网络安全测评

1、2022-2-1Chapter 1Chapter 1信息安全测评思想信息安全测评思想信息安全测评与风险评估2022-2-1信息安全测评与风险评估Hot TipHot Tip什么状况最危险？什么状况最危险？不清楚危险的状况最危险！不清楚危险的状况最危险！2022-2-1信息安全测评与风险评估主要内容主要内容信息安全测评的科学精神信息安全测评的科学精神信息安全标准化组织信息安全标准化组织信息安全测评的科学方法信息安全测评的科学方法信息安全测评的贯标思想信息安全测评的贯标思想2022-2-1信息安全测评与风险评估信息安全测评的科学精神信息安全测评的科学精神v信息安全测评是探索真理、发现真相的科学。v

2、测评工作的前提和基础：掌握信息安全测评的理论、方法和技术，明确一名安全测评工程师应该具备的科学精神和素养！v科学精神：怀疑、批判、创新、求实、协作怀疑、批判、创新、求实、协作2022-2-1信息安全测评与风险评估主要内容主要内容信息安全测评的科学精神信息安全测评的科学精神信息安全标准化组织信息安全标准化组织信息安全测评的科学方法信息安全测评的科学方法信息安全测评的贯标思想信息安全测评的贯标思想2022-2-1信息安全测评与风险评估信息安全测评的科学方法信息安全测评的科学方法v人类科学发展观与系统科学的关系原始系统论系统还原论复杂系统理论“龙卷风”模型示意图 2022-2-1信息安全测评与风险评

3、估信息安全测评的科学方法信息安全测评的科学方法v系统科学/系统工程方法是测评工作最主要的方法。v“系统科学”的含义： 从事测评的不是一个人，而是一个团队。对测评团队的组织和管理要有系统科学的方法，从而保证测评质量； 测评的对象往往不是一个单一的软件或硬件，而是一个复杂、庞大并且不断变化的信息系统，本身具有“自组织、自演化”的系统科学特征； 测评过程中要贯彻“人机合一”的系统科学思想。2022-2-1信息安全测评与风险评估主要内容主要内容信息安全测评的科学精神信息安全测评的科学精神信息安全标准化组织信息安全标准化组织信息安全测评的科学方法信息安全测评的科学方法信息安全测评的贯标思想信息安全测评的

4、贯标思想2022-2-1信息安全测评与风险评估信息安全测评的贯标思想信息安全测评的贯标思想v贯标贯标(Execution of Standards)：指测评人员在测评活动中自觉遵循相关标准的行为。v为了体现测评结果的客观性、科学性和公正性，所有测评工作都必须严格遵守国家有关标准规范并遵循严格的测评流程，即 “贯标贯标”流程。2022-2-1信息安全测评与风险评估信息安全测评信息安全测评v“三严三严”要求要求 严肃的科学精神 指普适性的科学思想，这是任何科技工作者都应具备的； 严谨的工作作风 指系统科学方法，这是从事信息科学研究的人们应当具备的； 严格的测评流程 指“贯标流程”，这是从事信息安全

5、测评工作所要遵循的。2022-2-1信息安全测评与风险评估信息安全测评信息安全测评“蘑菇”模型示意图2022-2-1信息安全测评与风险评估主要内容主要内容信息安全测评的科学精神信息安全测评的科学精神信息安全标准化组织信息安全标准化组织信息安全测评的科学方法信息安全测评的科学方法信息安全测评的贯标思想信息安全测评的贯标思想2022-2-1信息安全测评与风险评估信息安全标准化组织信息安全标准化组织v标准化组织:制定标准规范的权威机构。v国际标准化组织 ISO (International Organization For Standardization) 成立于1947年2月23日，是世界最大的非

6、政府性国际标准化组织。 主要工作是制定国际标准，协调世界范围内的标准化工作，组织各成员国和技术委员会进行信息交流，以及与其他国际性组织进行合作，共同研究标准化问题。 2022-2-1信息安全测评与风险评估信息安全标准化组织信息安全标准化组织v国际标准化组织 IEC：国际电工委员会 在信息安全标准化方面，IEC成立了涉及电信、电子系统、信息技术和电磁兼容等方面的技术委员会，并制定相关国际标准。 ITU：国际电信联盟 主要负责研究通信系统安全标准。 IETF：Internet工程任务组 主要任务是负责互联网相关技术规范的研发和制定。 2022-2-1信息安全测评与风险评估信息安全标准化组织信息安全

7、标准化组织v国外标准化组织 美国、英国、德国、加拿大等国家。 NIST：美国国家标准和技术委员会 成立于1901年，该组织在信息安全方面负责为美国政府和商业机构提供信息安全管理相关的标准规范。 主要标准：NIST SP 8002022-2-1信息安全测评与风险评估信息安全标准化组织信息安全标准化组织v国外标准化组织 BSI (British Standard Institute)：英国标准化协会 成立于1901年，是英国最主要的标准制定组织。 主要标准：BS 7799BS 7799-1:1999：是组织建立并实施信息安全管理体系的一个指导性的准则；BS 7799-2:2002：以BS 7799

8、-1:1999为指南，详细说明按照PDCA模型(Plan, Do, Check, Action，俗称“戴明环”)，建立、实施及文件化信息安全管理体系(ISMS)的要求。 2022-2-1信息安全测评与风险评估信息安全标准化组织信息安全标准化组织v标准化组织：制定标准规范的权威机构。v国内标准化组织 CITS：全国信息技术安全标准化技术委员会 其工作范围是负责信息和通信安全的通用框架、方法、技术和机制的标准化，归口国内外对应的标准化工作。 其技术安全包括：开放式安全体系结构、各种安全信息交换的语义规则、有关的应用程序接口和协议引用安全功能的接口以及本书所依据的各种安全测评标准等等。 2022-2-1信息安全测评与风险评估小结小结信息安全测评的“三严”要求信息安全的贯标定义信息安全测评的“蘑菇”模型国际标准化组织与信息安全标准国外信息化发达国家标准化组织与信息安全标准国内标准化组织与信息安全标准2022-2-1信息安全测评与风险评估After classv请了解以下网站2022-2-1信息安全测评与风险评估2022-2-1信息安全测评与风险评估PPTPPT总目录总目录v Chapter 1.pptv Chapter 2.pptv Chapter 3.pptv Chapter 4.ppt