版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、信息安全管理(Information Security Management)信息与网络安全概论(第三版)2本章內容信息与网络安全概论(第三版)316.1 可信赖的系统信息与网络安全概论(第三版)4可信赖的系统具有以下特征:16.1 可信赖的系统(续)信息与网络安全概论(第三版)516.2 可信赖计算机系统的评估准则信息与网络安全概论(第三版)6可信赖系统评估准则的安全等级信息与网络安全概论(第三版)7可信赖系统评估准则的安全等级(续)信息与网络安全概论(第三版)8可信赖系统评估准则的安全等级(续)信息与网络安全概论(第三版)9可信赖系统评估准则的安全等级(续)信息与网络安全概论(第三版)10
2、可信赖系统评估准则的安全等级(续)信息与网络安全概论(第三版)1116.3 密码模块的安全规范FIPS140信息与网络安全概论(第三版)12FIPS140-2的安全等級信息与网络安全概论(第三版)13FIPS140-2的安全等級(续)信息与网络安全概论(第三版)14FIPS140-2的安全等級(续)信息与网络安全概论(第三版)15FIPS140-2的安全等級(续)信息与网络安全概论(第三版)16FIPS 140-2所涵盖的范围信息与网络安全概论(第三版)1716.4 信息技术安全评估共同准则信息与网络安全概论(第三版)18信息技术安全评估共同准则的发展过程 TCSEC 1985 (Orange
3、 Book) CCITSE ISO/IEC 15408 1998 CTCPEC 1993 US Federal Criteria 1993 ITSEC 1990 French Criteria 1989 German Criteria 1989 Confidence Levels 1989 信息与网络安全概论(第三版)19TCSEC、ITSEC及CCITSE安全等级的对应TCSECITSECCCITSED-最低安全防护E-EAL1-功能性测试C1-任意安全防护E1EAL2-结构性测试C2-控制访问防护F1、F2、E3EAL3-系统化测试及检查B1-安全防护标示F3、E3EAL4-系统化设计、测
4、试及审查B2-结构化防护F4、E4EAL5-半正规化设计和测试B3-划分安全范围F5、E5EAL6-半正规化查证设计和测试A1-验证防护F6、E6EAL7-正规化查证设计和测试信息与网络安全概论(第三版)20CCITSE所提出的7种评估保证等级信息与网络安全概论(第三版)21CCITSE所提出的7种评估保证等级(续)信息与网络安全概论(第三版)22共同准则內容信息与网络安全概论(第三版)23共同准则內容(续)共同准则内容所划分的3部分为:信息与网络安全概论(第三版)24评估目标(TOE)的研发模式 安全需求Security Requirements 功能规格Functional Specifi
5、cation 高层设计 High-level Design 源代码/硬件描述Source code/ Hardware Drawings 实现 Implementation 设计与实现细化 对应分析和整合测试 信息与网络安全概论(第三版)25评估目标(TOE)被评估的过程 安全需求 Security Requirements (PP and ST) 评估目标及评估证据 TOE and Evaluation Evidence 评估结果 Evaluation Results 评估方案 Evaluation Scheme 评估方法 Evaluation Methodology 评估准则 Evalua
6、tion Criteria 发展 TOE 评估 TOE 执行 TOE 回馈Feedback 信息与网络安全概论(第三版)26功能元件、属别及类别的阶层式架构图 类别名称 类别简介 功能类别(Functional Class) 属别名称 属别行为 功能属别(Functional Family) 元件等 管理 审核 功能元件(Functional Component) 元件识别 相依性 功能元素 信息与网络安全概论(第三版)27保证元件、属别及类别的阶层式架构图 保证属别(Assurance Family) 保证元件(Assurance Component) 元件识别 相依性 保证元素 类别名称
7、保证类别(Assurance Class) 类别简介 属别名称 属别目的 元件等级 应用注释 目的 应用注释 信息与网络安全概论(第三版)28不同用户所关注的共同准则消 费 者研 发 者评 估 者简介及一般模型作为背景数据及参考用途,为PP的引导结构作为TOE研发需求及阐述安全规格的背景数据及参考文件作为背景数据及参考用途,为PP及ST的引导结构安全功能需求作为阐述安全功能需求的引导及参考文件作为TOE叙述功能需求及阐述功能规格的参考文件作为判定TOE是否有效地符合声明安全功能时所使用的评估准则强制性描述安全保证需求作为决定所需保证等级的引导文件作为TOE叙述保证需求及决定保证方法的参考文件作
8、为判定TOE保证等级和评估PP及ST时所使用的评估准则强制性描述信息与网络安全概论(第三版)2916.5 信息安全管理作业要点BS7799 OCED 信息系统指导方针 1990 UK DTI 信息安全管理实施准则 1993 UK BSI 信息安全管理实施准则 BS7799- 1995 ISO ISO/IEC 177992005 2005 UK BSI 信息安全管理系统规范 BS7799-2002 2002 UK BSI 信息安全管理系统规范 BS7799- 1998 ISO ISO/IEC 17799 2000 BS7799系列标准的发展历程 信息与网络安全概论(第三版)30BS7799的导入
9、在导入BS7799时,首先要界定执行范围,并评估执行范围内的资产,评估的准则主要有以下3项:信息与网络安全概论(第三版)31风险计算公式依据这3个准则来评估执行范围内的资产可能会面临的威胁,并预估可能发生的几率,进而算出其风险的高低。风险=价值威胁弱点发生的几率 信息与网络安全概论(第三版)32风险管理信息与网络安全概论(第三版)33建立ISMS的6个步骤 (1) (2) (3) (4) (5) (6) 威胁及弱点攻击 风险管理的目标 可接受的风险程度 BS7799 控制目标 不在BS7799 的额外控制目标 制订信息安全策略 定义 ISMS 的范围 进行风险评估 进行风险管理 选择欲执行的控制目标与实行 制订适用性声明 信息安全策略
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 微信ibeacon蓝牙摇一摇周边商场超市应用案例
- 《钢材知识专业培训》课件
- 张志敏英语课件Icanrunfa
- 福建省福州鼓楼区2025届高考仿真卷语文试题含解析
- 湖北省葛洲坝中学2025届高三第二次调研数学试卷含解析
- 上海市戏剧学院附中2025届高考冲刺模拟语文试题含解析
- 2025届浙江省“六市六校”联盟高三3月份模拟考试数学试题含解析
- 2025届黑龙江省佳木斯中学高三第六次模拟考试数学试卷含解析
- 2025届安徽省屯溪第一中学高三冲刺模拟英语试卷含解析
- 2025届广东省河源市连平县连平中学高考语文三模试卷含解析
- 毛概课件第六章
- 知识图谱构建实践建设方案
- 2024年度跨国业务代理合同3篇
- 内科危重患者的护理
- 【MOOC】城市生态学-华东师范大学 中国大学慕课MOOC答案
- 纪念抗日救亡一二九运动弘扬爱国精神宣传课件
- 期末试题-2024-2025学年六年级上册语文统编版
- 【MOOC】寄生人体的恶魔-医学寄生虫学-南方医科大学 中国大学慕课MOOC答案
- 国家开放大学2024年12月《思想道德与法治试卷2-版本1》大作业参考答案
- 铸牢中华民族共同体意识-形考任务2-国开(NMG)-参考资料
- 2024年国家开放大学期末考试《律师实务》机考题库(课程代码:55742)
评论
0/150
提交评论