安全测评实践

1、安全测评实践2012-09-112课程内容23知识域：信息系统安全保障工作基本内容3知识子域：信息安全测评了解信息安全测评的重要性了解国内外信息安全测评概况理解信息安全产品测评方法和流程理解信息系统安全测评方法和流程了解服务商资质测评方法和流程了解信息安全人员资质测评方法和流程4信息系统安全保障评估信息系统安全保障评估在信息系统所处的运行环境中对信息系统安全保障的具体工作和活动进行客观的评估，通过信息系统安全保障评估所搜集的客观证据，向信息系统的所有相关方提供信息系统的安全保障工作能够实现其安全保障策略，能够将其所面临的风险降低到其可接受的程度的主观信心。45信息系统安全保障评估的作用56信息

2、安全保障评估评估是信息系统安全保障的一个重要概念，系统所有者可以根据评估所得到的客观评估结果建立其主观的信心。评估对象是信息系统，不仅包含了信息技术系统，还包括同信息系统所处的运行环境相关的人和管理等领域。评估是一种动态持续的评估过程。 67美国欧洲亚太国际组织中国国内外信息安全保障测评782022/9/6国防部: 1997年IT安全认证认可过程（DITSCAP）2007年信息保障认证和认可过程（DIACAP）国土安全部: 关键信息基础设施保护规划 RAMCAP (Risk Analysis and Management for Critical Asset Protection) 商务部/N

3、IST：IT系统安全自评估指南（SP 800-26）IT系统风险管理指南（SP 800-30） （SP800-53a）审计署/OMB： FISMA科研机构：CMU OCTAVE,SANDIA RAM-* 政策明确,技术实用美国风险评估领头羊892022/9/6欧盟：CORAS安全关键系统的风险分析平台英国：COBRA，CRAMM，用例推理德国：德国联邦IT基线防护手册（ITBPM）法国: EBIOS ,MEHARI 瑞典: ATAM(安全架构评估),XMASS挪威: 安全策略评估芬兰: 安全指标评估 技术创新强,未形成明确政策欧洲-积极探索创新9102022/9/6日本：政府和关键信息系统安全

4、基线措 施评估韩国：信息安全等级风险评估新加坡：信息安全风险审计和评估 追随多,创新少亚太：及时跟进，确保发展10112022/9/6ISO:ISO 27004 信息安全管理的度量指标 和测量ITU:基于通信安全架构(x.805)的风险评估ISACA：信息系统风险评估指南、安全评估 之渗透测试和漏洞分析指南 注重操作实用，弱化理论方法国际组织：规范标准111212信息安全风险评估指南 -资产/威胁/脆弱性信息系统等级保护测评指南 -安全保护基线信息系统安全保障评估框架 -安全保障措施与能力2022/9/6我国风险评估技术情况1213我国信息安全测评认证标准 我国信息安全测评认证所使用的标准主要

5、有三个来源：采用国家标准、在没有国家标准的情况下采用国际标准、采用认证中心管委会批准的技术要求和保护轮廓。1314国家信息安全测评主要对象 信息产品安全测评 信息系统安全测评 服务商资质测评 信息安全人员资质测评1415信息安全产品测评1516信息产品安全评估是测评机构对产品的安全性做出的独立评价，目的是为产品认证提供证据，增强用户对已评估产品安全的信任，向消费者提供信息技术安全产品的采购依据，从而推动信息技术安全产业的发展、提高信息技术安全科研和生产水平。信息产品安全测评依据的标准是：CC、CEM和CNITSEC的要求信息安全产品测评1617产品认证的基本要求产品认证属于典型完整的产品质量认

6、证。产品认证的基本要求是对认证申请者送达的样品进行型式试验（测试评估），同时对申请者的质量体系（即质量保证能力）进行检查、评审。这两方面都符合有关标准要求，则予以认证。认证通过后，认证中心予以发放证书。证书发放以后，认证中心再从市场和、或工厂（车间）抽样进行核查试验，即监督检验，同时对其质量体系进行监督性复查，若两方面都合格，即维持认证，否则取消认证。1718根据国家标准GB/T 183362001，信息产品安全的测评由低到高划分为7级别，即CC的EAL1-7级。目前中国信息安全测评中心开展了14级四个级别的测评工作。5 7级三个级别的测评将视具体情况与委托方研究协商后确定 获得的级别越高，安

7、全性与可信度越高 信息安全测评级别1819准备阶段评估阶段认证阶段监督和维持阶段信息产品安全测评流程1920信息系统安全测评20电子商务系统工业控制系统电子政务系统21信息系统安全保障的评估，是从信息系统安全保障的概念出发，在信息系统的生命周期内，根据组织机构的要求在信息系统的安全技术、安全管理和安全工程领域内对信息系统的安全技术控制措施和技术架构能力、安全管理控制和管理能力以及安全工程实施控制措施和工程实施能力进行评估综合，从而最终得出信息系统在其运行环境中安全保障措施满足其安全保障要求的符合性以及信息系统安全保障能力的评估。信息系统安全保障评估的内容2122信息系统安全测评标准 信息系统安

8、全测评标准是GB/T20274 信息系统安全保障评估框架，它为信息系统安全测评提供了思路框架和操作规范保障要素生命周期信息特征22232022/9/6信息安全等级保护法律政策体系242022/9/6信息安全等级保护相关标准25信息安全保障评估总体思路2526评估信息系统安全保障目标（ISST）对信息系统安全保障要求（ISPP）的符合性，即具体的信息系统安全保障措施信息系统在其运行环境下是否满足信息系统安全保障的需求对信息系统安全保障的执行能力进行评估，评估信息系统安全保障级（包括技术架构能力级、工程能力级和管理能力级的评定）符合性目标及级别目标2627信息系统安全分级分类“信息系统安全保障评估

9、框架”信息系统安全保障级ISALTCML安全技术架构能力级MCML安全管理能力级ECML安全过程能力级信息系统安全分级分类价值信息特征保密性完整性可用性信息系统使命类信息系统威胁分级+27信息系统的分级原则28信息系统的安全保障能力成熟度级管理能力成熟度等级（MCML）： MCML1、MCML2、MCML3、MCML4和 MCML5工程能力成熟度等级（PCML）： PCML1、PCML2、PCML3、PCML4和 PCML5技术体系架构成熟度级别（TCML） ： TCML1、TCML2、TCML3、TCML4、 TCML52829评估对象评估实施评估结果评估规范、准则评估方法、工具评估预案、组

10、织安全要求安全风险信息系统安全保护等级划分等级认证信息系统安全保障评估总体框架2930信息系统安全保障等级评估规范的建立 安全环境 安全目标 安全需求 评估规范ISPP/ ISST物理环境假 设威 胁系统使命受保护资产组织管理管 理技 术工 程服 务3031服务商资质测评31信息安全服务是指信息安全工程的设计、实施、测试、运行和维护，以及相关的咨询和培训活动。集成商开发商运维商32信息安全服务资质测评信息安全服务资质测评是对信息安全服务商的技术、资源、管理等方面的能力和稳定性、可靠性进行评估目前中国信息安全测评中心开展的信息安全服务资质评估包括3个类别信息安全工程类信息安全开发类信息系统灾难恢

11、复类32服务资质测评的作用对安全服务提供方：获得自身安全服务能力的认可获得自身安全服务能力规范和提高（可重复、可预测的过程和实施减少返工）提高组织的市场竞争力（知名度） 对安全服务需求方：可获得选择服务商的第三方保证提供有能力、有保障的服务商的范围（选择依据） 对社会和行业：规范和指导整个社会和信息安全服务行业的行为搭建起信息安全服务领域科学的、规范的发展框架33服务资质测评的程序3435基本资格独立实体本身合法遵守国家有关法规行为合法基本能力组织机构外部协作人员素质资产规模设施环境业绩信息安全服务资质评估主要内容3536安全工程过程能力级别是评定信息系统安全服务组织资质的主要依据，标志着服务

12、组织提供给客户的安全服务专业水平和质量保证程度。信息系统工程的过程能力级别按成熟性排序，表示依次增加的组织能力。信息系统安全服务资质评估准则将信息系统安全服务组织的工程能力分为五个级别：一级：基本执行级二级：计划跟踪级三级：充分定义级四级：量化控制级五级：连续改进级信息安全服务资质评估主要内容3637项目和组织过程能力包括：1、质量保证；2、管理配置；3、管理项目风险；4、监控技术活动；5、规划技术活动；6、管理系统工程支持环境；7、提供不短发展的技能和知识；8、与供应商协调。信息安全服务资质评估主要内容3738CISECISO信息安全人员资质测评38CISM39概述“注册信息安全专业人员”(

13、Certified Information Security Engineer，简称CISP)是一种特殊专业岗位人员，其所具备的专业资质和能力，系经国家认证和认可。CISP的基本职能是对信息系统的安全提供技术保障。申请CISP认证的境内人员必须具备相关的教育和工作经历，通过信息安全专业人员培训及考试，提交申请，并由认证中心认证。CISP证书在有效期内实行年度确认制度，在有效期结束进行复查换证。3940CISPCISP分为根据实际岗位工作需要，分为两个基础类别: 注册信息安全工程师（CISE）,适合从事信息安全技术领域的工作； 注册信息安全管理人员（CISO）,适合信息安全管理领域的工作；在两个

14、基础类别之上还有两个扩展类别： 注册信息安全专业人员-审计师（CISP-AUIT（原CISA），适合从事信息安全审计工作。注册信息安全专业人员-灾难恢复工程师（CISP-DRP），适合从事信息系统灾难恢复工作。4041信息安全人才知识体系战略4142CISP的知识体系架构42注册信息安全专业人员（CISP）知识体系结构安全体系模型信息安全保障框架信息安全测试评估计算机架构与安全模型安全管理安全管理体系风险管理安全管理措施安全技术安全工程密码技术网络安全系统安全应用安全安全攻防安全工程理论安全标准法规信息安全法规与政策信息安全标准道德规范安全工程实践43CISP资质认证流程申请阶段评估阶段认证阶段监督阶段4344知识域：信息系统安全保障工作基本内容44知识子域：信息安全监控与维护理解在系统生命周期中持续提高信息系统安全保障能力的意义理解信息系统安全监控与维护的主要原则45为什么投入钱、投入人，信息安全问题还是层出不穷？因为风险是动态变化的，信息系统安全保障需要覆盖信息系统的整个生命周期，形成持续改进的信息系统安全保障能力（技术/管理