计算机信息安全管理标准课件

1、,信息安全管理标准,1 国外信息安全管理标准,1.1 信息安全管理标准BS 7799 BS 7799分为2部分： BS 7799-1:1999信息安全管理细则（Code ofPractice for Information Security Management） BS 7799-2:2002信息安全管理体系规范（Specification for Information Security Management）,BS 7799-1共分为4层内容： 10个管理要项、 36个管理目标、 127个控制措施、 若干个控制要点，主要提供了有效地实施信息系统风险 管理的建议,1 国外信息安全管理标准,1

2、.1.1 BS 7799的内容概述 1第1部分（BS 7799-1）简介 该标准的正文规定了10大管理要项，36个执行目标，127个安全控制措施，作为组织实施信息安全管理的实用指南。 10大管理要项如表2-1所示,1 国外信息安全管理标准,10大管理要项及相应的执行目标和控制措施为： 安全策略制定信息安全策略文档，为信息安全提供 管理指导和支持。 安全策略包含1个执行目标：信息安全策略。 2个控制措施：信息安全策略文档、评审和评价。,1 国外信息安全管理标准, 组织的安全 组织的安全包含3个执行目标，10个控制措施。 执行目标为： 信息安全基础设施。对应7个控制措施：管理信息安全协调小组、信息

3、安全协调、信息安全职责的分配、信息处理设施的授权过程、专家的信息安全建议、组织之间的合作、信息安全的独立评审。 第三方访问安全。对应2个控制措施：标识第三方访问的风险、第三方合同中的安全要求。 外包。对应1个控制措施：外包合同中的安全要求。,1 国外信息安全管理标准, 资产分类与控制。 核查所有信息资产，以维护组织资产的适当保护，并做好信息分类，确保信息资产受到适当程度的保护。 资产分类与控制包含2个执行目标，3个控制措施。 执行目标为： 资产的可核查性。对应1个控制措施：资产清单。 信息分类。对应2个控制措施：分类指南、信息标识和处理。,1 国外信息安全管理标准, 人员安全。 人员安全包含3

4、个执行目标，10个控制措施。 执行目标为： 岗位设定和人力资源的安全。对应4个控制措施：在岗位职责中要包含的安全、人员筛选和策略、保密性协议、雇佣条款和条件。 用户培训。对应1个控制措施：信息安全教育和培训。 对安全事故和故障的响应。对应5个控制措施：报告安全事故、报告安全弱点、报告软件故障、从事故中学习、纪律处理。,1 国外信息安全管理标准, 物理与环境的安全。 物理与环境的安全包含3个执行目标，13个控制措施 执行目标为： 安全区域。对应5个控制措施：物理安全周边、物理入口控制、办公室以及房间和设施的安全保护、在安全区域工作、交换区域的隔离。 设备安全。对应6个控制措施：设备安置和保护、电

5、源、布缆安全、设备维护、离开建筑物的设备的安全、设备的安全处置或安全重用。 一般控制。对应2个控制措施：清理桌面和清空屏幕策略、财产的移动。,1 国外信息安全管理标准, 通信与运营管理。 通信与运营管理包含7个执行目标，24个控制措施。 执行目标为： 操作规程和职责。对应6个控制措施：文档化的操作规程、操作变更控制、事故管理规程、责任分割、开发和运行设施分离、外部设施管理。 系统规划和验收。对应2个控制措施：能力规划、系统验收。 防范恶意软件。对应1个控制措施：控制恶意软件。 内务处理。对应3个控制措施：信息备份、操作员日志、故障记录。,1 国外信息安全管理标准, 网络管理。对应1个控制措施：

6、网络控制。 媒体处理和安全。对应4个控制措施：可移动的计算机媒体的管理、媒体的处置、信息处理规程、系统文档的安全。 信息和软件的交换。对应7个控制措施：信息和软件交换协议、运输中的媒体安全；电子商务安全、电子邮件安全、电子办公系统的安全、公开可用系统、信息交换的其他形式。,1 国外信息安全管理标准, 访问控制。 访问控制包含8个执行目标，31个控制措施。 执行目标为： 访问控制的业务要求。对应1个控制措施：访问控制策略。 用户访问管理。对应4个控制措施：用户注册、特权管理、用户口令管理、用户访问权利的评审。 用户职责。对应2个控制措施：口令使用、无人值守的用户设备。 网络访问控制。对应9个控制

7、措施：使用网络服务的策略、强制路径、外部连接的用户鉴别、结点鉴别、远程诊断端口保护、网络分离、网络连接控制、网络路由选择控制、网络服务的安全。,1 国外信息安全管理标准, 操作系统访问控制。对应8个控制措施：自动化终端标识、终端登录规程、用户标识和鉴别、口令管理系统、系统实用程序的使用、保护用户的强制报警、终端超时、连接时间的限制。 应用访问控制。对应2个控制措施：信息访问限制、敏感系统隔离。 对系统访问和使用的监督。对应3个控制措施：事件记录、对系统使用的监督、时钟同步。 移动计算和远程工作。对应2个控制措施：移动计算、远程工作。,1 国外信息安全管理标准, 系统开发与维护。 系统开发与维护

8、包含5个执行目标，18个控制措施。 执行目标为： 系统的安全要求。对应1个控制措施：安全要求分析和规范。 应用系统的安全。对应4个控制措施：输入数据的确认、内部处理的控制、报文鉴别、输出数据确认。 密码控制。对应5个控制措施：使用密码控制的策略、加密、数字签名、抗抵赖服务、密钥管理。 系统文件的安全。对应3个控制措施：运行软件的控制、系统测试数据的保护、源程序库的访问控制。 开发和支持过程的安全。对应5个控制措施：变更控制规程、操作系统变更的技术评审、软件包变更的限制、隐蔽信道和特洛伊代码、外包软件开发。,1 国外信息安全管理标准, 业务连续性管理 目的为了减少业务活动的中断，使关键业务过程免

9、受主要故障或天灾的影响。 业务连续性管理包含1个执行目标，5个控制措施。 执行目标为： 业务连续性管理的各方面。对应5个控制措施：业务连续性管理过程、业务连续性和影响分析、制定和实施连续性计划、业务连续性计划框架、检验以及维护和重新评估业务连续性计划。,1 国外信息安全管理标准, 符合性。 符合性包含3个执行目标，11个控制措施。 信息系统的设计、操作、使用和管理要符合法律要求，避免 任何犯罪、违反民法、违背法规、规章或合约义务以及任何安全 要求；定期审查安全政策和技术符合性，确保系统符合组织安全 政策和标准；还要控制系统审核，使系统审核过程的效力最大化、 干扰最小化。,1 国外信息安全管理标

10、准,执行目标为： 符合法律要求。对应7个控制措施：可用法律的标识、知识产权、 保护组织的记录、个人信息的数据保护和隐私、防止滥用信息处理设施、 遵循密码控制的规章、证据的收集。 安全策略和技术符合性的评审。对应2个控制措施：符合安全策 略、技术符合性检验。 系统审核考虑。对应2个控制措施：系统审核控制、系统审核工具 的保护。,1 国外信息安全管理标准,2第2部分（BS 7799-2）简介 BS 7799-2:2002标准 详细说明了建立、实施和维护信息安全管理体系（ISMS） 的要求，指出实施组织需要通过风险评估来鉴定最适宜的控制 对象，并对自己的需求采取适当的控制。 本部分提出了应该如何建立

11、信息安全管理体系（ISMS）的步骤，如图2-1所示。,1 国外信息安全管理标准, 定义信息安全管理策略 信息安全管理策略是组织信息安全的最高方针，需要根据组织内各个部门的实际情况，分别制订不同的信息安全管理策略。 定义ISMS的范围 在本阶段，应将组织划分成不同的信息安全控制领域，以易于组织对有不同需求的领域进行适当的信息安全管理。,1 国外信息安全管理标准, 进行信息安全风险评估 风险评估主要对ISMS范围内的信息资产进行鉴定和估价，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的安全控制措施进行鉴定。 风险评估主要依赖于业务信息和系统的性质、使用信息的业务目的、所采用的

12、系统环境等因素，组织在进行信息资产风险评估时，需要将直接后果和潜在后果一并考虑。, 信息安全风险管理 根据风险评估的结果进行相应的风险管理。信息安全风险管理主要包括以下几种措施：降低风险、避免风险、转移风险、接受风险。 确定执行目标和选择控制措施 执行目标的确定和控制措施的选择原则是费用不超过风险所造成的损失。 准备信息安全适用性声明 信息安全适用性声明记录了组织内相关的风险执行目标和针对每种风险所采取的各种控制措施。,1 国外信息安全管理标准,BS 7799-2:2002标准 在介绍信息安全管理体系的建立、实施和改进的过程中引用了PDCA (Plan-Do-Check-Action，计划-实

13、施-检查-改进)模型， 按照PDCA模型将信息安全管理体系分解成风险评估、安全 设计与执行、安全管理和再评估4个子过程，特别介绍了基于P DCA模型的过程管理方法，如图2-2所示。组织通过持续地执行 这些过程而使自身的信息安全水平得到不断的提高。,1 国外信息安全管理标准,PDCA模型的主要过程如下： 计划（Plan）： 定义信息安全管理体系的范围，鉴别和评估业务风险。 实施（Do）： 实施统一的风险治理活动以及适当的控制。 检查（Check）： 监控控制的绩效，审查变化中环境的风险水平，执行内 部信息安全管理体系审计。 改进（Action）： 在信息安全管理体系过程方面实行改进，并对控制进行

14、 必要的改进，以满足环境的变化。,1.1.2 BS 7799的不足 1在BS 7799的十大核心领域中，没有一个控制项目具有任何程度的权重。这意味着若有两个不同的认证人员，对风险级别可能就会给出不同的度量与分类。 2许多安全管理文档中列出的大量有用的安全管理信息均未包含在ISO/IEC 17799 之中，作为国际标准，这种不全面导致了它不能被完全接受。 3BS 7799在标准的内容上更偏重于信息安全中的管理部分，在技术方面的评估则显得不足，所以它在信息系统中风险评估的技术指导还不全面、不精确。 4BS 7799对标准中每个安全要素风险事件发生的危害程度分析不足。 5尽管BS 7799没有如何对

15、该标准进行实施的说明。,1 国外信息安全管理标准,1.1.3 BS 7799信息安全管理标准开展的现状 BS 7799-1在转换成ISO/IEC 17799的过程中受到了包括美国等很多 发达国家的反对，截至目前全球已有41个国家和地区的878个组织获得了 BS 7799-2的认证。 我国政府主管部门以及各行各业已经认识到了信息安全的重要性。 2002年4月，我国成立了“全国信息安全标准化技术委员会（TC260）”， 该标委会是在信息安全的专业领域内，从事信息安全标准化工作的技术工作组织。 信息安全标委会设置了10个工作组，其中信息安全管理（含工程与开 发）工作组（WG7）负责对信息安全的行政、

16、技术、人员等管理提出规范要求及指 导指南，它包括信息安全管理指南、信息安全管理实施规范、人员培训教育及录用 要求、信息安全社会化服务管理规范、信息安全保险业务规范框架和安全策略要求 与指南。,1 国外信息安全管理标准,1.2 ISO/IEC 13335 ISO/IEC 13335信息技术 信息技术安全管理指南 （Information Technology Guidelines for the management of IT Security （GMITS） 是一个关于 IT 安全管理的指南，这个标准的主要目的就是要给出如何有效地实施IT安全管理的建议和指南。它提出了以风险为核心的安全模型，

17、阐述了信息安全评估的思路，对信息安全评估工作具有指导意义。,1 国外信息安全管理标准,1.2.1 ISO/IEC 13335标准的内容 ISO/IEC 13335标准由5部分组成。 ISO/IEC 13335-1：信息技术安全概念和模型（Concepts and Models of IT Security）。 ISO/IEC 13335-2：管理和计划信息技术安全（Managing and Planning IT Security）。 ISO/IEC 13335-3：信息技术管理技术（Techniques for the Management of IT Security）。 ISO/IEC

18、13335-4：防护措施的选择（Selection of Safeguards）。 ISO/IEC 13335-5：网络安全管理指南（Management Guidance on Network Security）。,1 国外信息安全管理标准,1.2.2 ISO/IEC 13335不同的信息安全概念 1保密性使 信息不泄露给未授权的个人、实体、过程或不使信息为其利用的特性。 2完整性 包含数据完整性的内涵，即保证数据不被非法地改动和销毁；同样还包含系统完整性的内涵，即保证系统以无害的方式按照预定的功能运行，不受有意的或者意外的非法操作所破坏。 3可用性 保证授权实体在需要时可以正常地访问和使用

19、系统。 4可核查性 确保一个实体的访问动作可以被唯一的区别、跟踪和记录。 5真实性 确认和识别一个主体或资源就是其所声称的，被认证的可以是用户、进程、系统和信息等。 6可靠性 保证预期的行为和结果的一致性。,1 国外信息安全管理标准,1.2.3 ISO/IEC 13335独特的安全要素 1. 资产Asset是对组织具有价值的信息或资源。 2威胁Threat是可能对资产造成损害的潜在原因。 3脆弱性Vulnerability）（也称为漏洞）是可能被威胁利用，对资产造成损害的薄弱环节。 4影响Impact）是故意或意外引起的、影响资产的不希望事故的后果。 5风险Risk）是某种威胁利用脆弱性直接或

20、间接引起组织资产丢失或损坏的可能性。 6防护措施Safeguards）是我们为了降低风险所采用的解决办法。 7残留风险Residual Risk）：采取了安全措施后，仍然可能存在的风险。 8约束Constraints）是一些组织实施安全管理时不得不受到环境的影,1 国外信息安全管理标准,1.2.4 ISO/IEC 13335 IT安全管理 IT安全管理包括如下活动： 1制定IT安全策略。 2标识在组织中的角色和职责。 3风险管理，包括如下内容的标识和评估：受保护的资产、威胁、脆弱性、影响、风险、防护措施、残留风险、约束。 4配置管理。 5变更管理。 6应急计划和灾难恢复计划。 7防护措施的选择

21、和实施。 8安全意识。 9还包括：维护、安全审核、监督、评审、事故处理。,1 国外信息安全管理标准,1.2.5 风险管理关系模型 对上面的一些安全管理要素，ISO/IEC 13335给出了一个与风险管理有关的安全要素之间的关系模型，如图2-3所示。,1 国外信息安全管理标准,从图2-3中可以看出，威胁对脆弱性加以利用，暴露了具有价值的资产，从而造成负面影响，由此导致风险。 正是由于风险的存在，我们才提出了防护需求；为了实现需求，必须采取防护措施，以便防范威胁并减少风险。风险管理的整个过程就是在这些要素间相互制约相互作用的关系中得以发展。,1 国外信息安全管理标准,1.2.6 ISO/IEC 1

22、3335在BS7799基础上的改进 ISO/IEC 13335和BS 7799（ISO/IEC 17799）比较起来对安全管理的过程描述得更加细致，而且有多种角度的模型和阐述。ISO/IEC 13335有几个方面比较突出： 1对安全的概念和模型的描述非常独特，具有很大的借鉴意义。 2对安全管理过程的描述非常细致，而且完全可操作。 3对安全管理过程中的最关键环节风险分析和管理有非常细致的描述。 4在标准的第四部分，有比较完整的针对6种安全需求的防护措施的介绍。 5这个标准是一个开发的标准，标准还在不断的增加和改进中。,1 国外信息安全管理标准,1.3 ISO/IEC 27001：2005 ISO

23、/IEC 27001:2005信息技术-安全技术-信息安全管理体系-要求是有关信息安全管理的国际标准，源于英国BS7799标准。BS7799-2:2002经修订后，于2005年10月15日作为国际标准ISO/IEC 27001:2005正式发布。这个标准可用于组织的信息安全管理体系的建立和实施，保障组织的信息安全，采用PDCA过程方法，基于风险评估的风险管理理念，全面系统地持续改进组织的安全管理。,1 国外信息安全管理标准,1.3.1 ISO/IEC 27001：2005标准的内容 第一部分简介，介绍了本标准的总则、过程方法、与其它管理体系的兼容性； 第二部分范围，介绍了本标准的应用范围； 第

24、三部分引用标准，对引用标准作了说明； 第四部分术语和定义，介绍了标准中使用的名词和定义； 第五部分信息安全管理体系；,1 国外信息安全管理标准,第六部分管理职责，介绍了管理层应提供的承诺和资源的管理； 第七部分信息安全管理体系内部审核，介绍了审核内容及要求； 第八部分信息安全管理体系管理评审，介绍了评审的总则和评审的输入输出； 第九部分ISMS改进，介绍了持续改进、纠正和预防措施。 附录A介绍了控制目标和控制措施；附录B介绍了OECD 准则和本国际标准； 附录C介绍了本标准与ISO9001:200、ISO14001：2004 标准的对应关系。,1.3.2 ISO/IEC 27001：2005的

25、特点 ISO/IEC 27001:2005标准的特点是基于组织的信息资产风险评估，它适用于所有类型的组织，而不管组织的性质和规模如何。 1信息资产 是对组织具有价值、以任何方式存储的信息。通常系统(如信息系统和数据库等) 可作为信息资产。 2安全风险,1 国外信息安全管理标准,3风险评估与处理其主要过程是： (1)制定组织的信息安全管理体系（ISMS）方针和风险接受准则； (2)定义组织的风险评估方法； (3)识别要保护的信息资产，并进行登记； (4)识别安全风险，包括识别资产所面临的威胁、组织的弱点和造成的影响等； (5)对照组织的风险接受准则，评价和确定已估算风险的严重性，以及可否接受；

26、(6)形成风险评估报告； (7)制定风险处理计划，选择风险控制措施(标准明确规定了4种风险处理方法，即采用适当的控制措施、接受风险、避免风险和转移风险)； (8)执行风险处理，将风险降低到可接受的级别。,1.3.3 ISO/IEC 27001：2005的要求 ISOIEC 27001：2005标准的要求就是过程要求。 过程是指使用资源把输入转为输出的一组活动。ISOIEC 27001：2005标准第五部分第九部分规定了一组信息安全管理体系（ISMS）过程，要求组织使用“过程方法”管理和控制其信息安全管理体系（ISMS）过程，即： (1)组织必须对应第五部分第九部分的相应要求，建立其实际的信息安

27、全管理体系（ISMS）过程； (2)组织的信息安全管理体系（ISMS）需按“过程方法”进行管理和控制。 通常，一个过程的输出便是另一个过程的输入。通过这些输出和输入，把各个信息安全管理体系（ISMS）过程“粘”在一起，形成一个相互依赖的统一整体。,1 国外信息安全管理标准,1.4 CC准则 CC（Common Criteria，通用准则）是目前国际上最通行的信息技术产品与系统安全性评估准则，也是信息技术安全性评估结果国际互认的基础，它是若干标准的综合，和ISO/IEC 15408 信息技术安全性评估准则、GB/T 18336信息技术安全技术信息技术安全评估准则是同一个标准，CC是最早的称谓，I

28、SO/IEC 15408是正式的ISO标准，GB/T 18336是我国等同采用ISO/IEC 15408之后的国家标准。 CC定义了一套能满足各种需求的IT安全准则，将评估过程分为“功能”和“保证”两部分，CC由3部分组成。,1 国外信息安全管理标准,第1部分 简介和一般模型： 正文介绍了CC中的有关术语、基本概念、一般模型、以及与评估有关的一些框架， 附录部分主要介绍安全保护框架（PP）和安全目标（ST）的基本内容。,1 国外信息安全管理标准,第2部分 安全功能要求：采取分类分级的结构，按“类族组件元素”的方式提出了安全功能的要求，CC准则中定义了11个安全功能大类： 1安全审计类； 2通信

29、类（主要是身份真实性和抗抵赖性）； 3密码支持类； 4用户数据保护类； 5标识和鉴别类； 6安全管理类； 7隐密类（保护用户隐私）； 8TSF保护类（TOE自身安全保护）； 9资源利用类（从资源管理角度确保TSF安全）； 10TOE访问类（从TOE访问控制角度确保安全性）； 11可信路径/信道类。,1 国外信息安全管理标准,前7类的安全功能是提供给信息系统使用的， 后4类的安全功能是为确保安全功能模快（TSF）自身安全而设置的。 在上述大类中，每一类再细分族、组件、元素。,第3部分 安全保障要求 其文档结构体系与第2部分类似， 也分为“类族组件元素”，安全保障要求中定义了10个大类的安全保障：

30、 1配置管理类； 2分发和操作类； 3开发类； 4指导性文档类； 5生命周期支持类； 6测试类； 7脆弱性评定类； 8PP-Evaluation; 9ST-Evaluation; 10保证的维护类。,1 国外信息安全管理标准,按照上述8类安全保证要求不断递增的次序，CC将TOE（测评对象）的安全保证级分为7级： 第一级：功能测试级； 第二级：结构测试级； 第三级：系统测试和检查级； 第四级：系统设计、测试和复查级； 第五级：半形式化设计和测试级； 第六级：半形式化验证的设计和测试级； 第七级：形式化验证的设计和测试级。,1 国外信息安全管理标准,CC标准 一方面可以支持产品(最终已在系统中安装

31、的产品)中安全特征的技术性要求评估， 另一方面描述了用户对安全性的技术需求. 然而，CC没有包括对物理安全、行政管理措施、密码机制等方面的评估，且未能体现动态的安全要求。 因此，CC标准主要还是一套技术性标准。,1 国外信息安全管理标准,CC标准的核心思想体现在两方面： 一是信息安全技术本身和对信息安全技术的保证承诺之间独立。也就是说，相同的安全功能可以有不同的安全可信度； 二是内含了安全工程的思想，即通过对信息安全产品的开发、评价、使用全过程的各个环节实施安全工程来确保系统或产品的安全性。,2 我国的信息安全管理标准,2.1 我国的信息安全管理标准概述 信息安全标准是我国信息安全保障体系的重

32、要组成部分，是政府进行宏观管理的重要依据。 我国信息安全标准化工作，虽然起步较晚，但是近年来发展较快，入世后标准化工作在公开性、透明度等方面更加取得实质性进展。 我国对安全技术的标准化工作一直非常重视，于2002年单独成立“全国信息安全”标准化技术委员会，该标准化技术委员会已制定了信息技术方面的国家标准53个。,安全管理方面的国家标准主要如下： GB/T 19715.1-2005信息技术信息技术安全管理指南第1部分：信息技术安全概念和模型（ISO/IEC 13335-1：1996，IDT） GB/T 19715.2-2005信息技术信息技术安全管理指南第2部分：管理和规划信息技术安全（ISO/IEC 13335-2：1997，IDT） GB/T 19716-2005信息技术信息安全管理实用规则（ISO/IEC 17799：2000，MOD）,2.2 GB/T 19715标准 GB/T 19715标准在正文前设立了“前言”和“引言”。“前言”介绍了GB/T 19715信息技术信息技术安全管理指南分为五部分： 第1部分：信息技术安全概念模型； 第2部分：管理规划信息技术安全； 第3部分：信息技术安全管理技术； 第