2019信息安全国际标准PPT课件.ppt
《2019信息安全国际标准PPT课件.ppt》由会员分享,可在线阅读,更多相关《2019信息安全国际标准PPT课件.ppt(78页珍藏版)》请在三一文库上搜索。
1、,信息安全国际标准,提纲,信息安全标准概述 安全标准组织 安全标准分类 安全管理标准(ISO17799) 安全技术标准 安全产品标准(CC) 安全工程标准(SSE-CMM) 安全方法论 安全资格认证(CISSP/CISA),什么是信息安全?,保密性 完整性 可用性,CONFIDENTIALATY INTEGRITY AVAILABILITY,什么是标准?,标准:标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践的综合成果为基础,经有关方面协商一致,由主管部门批准,以特定的方式发布,作为共同遵守的准则和依据。 强制性标准:保障人体健康、人身、财产安全的标准和法律、行政法规规定强制执行的
2、标准;其它标准是推荐性标准。,无规矩不成方圆,无规矩不成方圆!,提纲,信息安全标准概述 安全标准组织 安全标准分类 安全管理标准(ISO17799) 安全技术标准 安全产品标准(CC) 安全工程标准(SSE-CMM) 安全方法论 安全资格认证(CISSP/CISA),标准的来源,政府组织 NIST-National Institute of Standards and Technology NSA-National Security Agency GAO- General Accounting Office BSI- British Standard Institution 标准化组织 ISO
3、/IEC JTC1 SC27 ANSI -American National Standards Institute 专业组织/行业联盟 IEEE IETF W3C ISSA-Information Systems Security Association ITAA-Information Technology Association Of America) 大学,ISO,国际标准化组织,ISO是International Organization for Standardization的简称 国际最大的标准化组织机构 与IEC联合成立的JTC1/SC27 负责通用信息技术安全标准的制定 IS
4、O/TC68 负责银行和金融服务业务应用范围内信息安全标准的制定 已发布的其他行业的重要标准 ISO 9001 ISO 14001,IEC,国际电工委员会,IEC是International Electrotechnical Commission的简称 世界上最早的国际性电工标准化机构 负责有关电工、电子领域的国际标准化工作 在信息安全技术标准化方面,同ISO联合成立JTC1 在电磁兼容EMC等方面成立技术委员会,制定相关国际标准,ISO/IEC JTC1/SC27, JTC1(Joint Technical Committee 1)是ISO 及IEC的联合技术委员会, SC27 小组专门负责
5、安全技术标准的制定、审核 已发布的部分标准 ISO/IEC 18033 加密机制 ISO/IEC 9796,14888.15964 数字签名 ISO/IEC TR 13335 GMITS ISO/IEC 15408 Evaluation criteria for IT Security ISO/IEC 17799 Code of Practice for Information Security Management ISO/IEC 21287 SSE-CMM,NIST,国家标准技术协会,NIST是美国National Institute of Standards and Technology
6、的简称 已发布的部分文献 FIPS(Federal Information Processing Standards Publications ) FIPS PUB 140-2 Security Requirements for Cryptographic Modules FIPS PUB 180-1 Secure Hash Standard FIPS PUB 197 Advanced Encryption Standard SP(Special Publications 800 series 是关于计算机安全的文献) SP 800-12 Computer Security Handbook
7、SP 800-30 Risk Management Guide for IT Systems SP 800-44 Guidelines on Securing Public Web Servers,其他组织,ANSI,美国国家标准协会 80年代初开始数据加密标准化工作 制定了三个通用的国家标准 ANSI X.9系列财务服务安全标准 ITU-T,国际电讯联盟 前身是CCITT,单独或于ISO合作开发诸如消息处理系统、目录系统(X.400系列、X.500系列)和安全框架、安全模型等标准 ITU-T X.509 The Directory: Authentication Framework,其他组织
8、,IEEE - 电气电子工程师协会 在信息安全方面主要是提出了LAN/WAN安全方面的标准和公钥密码标准 IETF - Internet工程任务组 主要提出Internet标准草案和成为RFC的协议文稿,内容广泛,也包括安全方面的建议稿,经过网上讨论修改,被大家广泛接受就成了的事实上的标准标准,提纲,概述 安全标准组织 安全标准分类 安全管理标准(ISO17799) 安全技术标准 安全产品标准(CC) 安全工程标准(SSE-CMM) 安全方法论 安全资格认证(CISSP/CISA),安全标准的类型,提纲,概述 安全标准组织 安全标准分类 安全管理标准(ISO17799) 安全技术标准 安全产品
9、标准(CC) 安全工程标准(SSE-CMM) 安全方法论 安全资格认证(CISSP/CISA),安全管理框架,OSI ISO 7498-2 /10181 开放系统互连第二部分 安全体系结构,10181是7498-2的后续标准,分部分描述5类安全服务的实现 GMITS, Guidelines for the Management of IT Security ISO/IEC 13335 Guidelines for the Management of IT Security 提供IT安全管理的指导 BS 7799 AS/NZS 4444 ISO/IEC 17799 信息安全管理的即成标准 提供企
10、业开发、实施、评估有效安全建设的框架 ISF SOGP Information Security Forum (ISF), 信息安全优秀实践标准(Standard of Good Practice for Information Security, 1998 ),BS 7799介绍,BS 7799 AS/NZS 4444 ISO/IEC 17799 信息安全管理的即成标准 提供企业开发、实施、评估有效安全建设的框架 BS 7799 包括两部分 第一部分: 提供安全管理的最佳实践,等同于 ISO/IEC 17799:2000 提供10个领域的127项安全措施 整套的基于业界经验的安全性最佳实践的
11、指导 第二部分ISMS规范 Specification for ISMS (Information Security Management Systems) 提供依据第一部分进行内部审计、外部认证的流程体系,什么是ISO17799/ BS7799?,关注于安全管理的框架和指导 提供了10个方面36个安全目标,127项安全控制措施,建立了Best Practice指引; 广泛应用于在政府、企业、金融、电信等行业,应用最广泛的安全标准,17799的十个方面,ISO17799 的文档结构,分为10个领域的安全实践建议分为36个子项,共127项安全控制措施 安全方针(1) 组织安全(3) 资产分类与控
12、制(2) 人员安全(3) 物理与环境安全(3) 通信与操作安全(7) 访问控制(8) 系统开发与维护(5) 业务持续计划(1) 依从(3),安全策略,控制目标:信息安全策略 为信息安全提供管理指导和支持 控制措施: 信息安全策略文件 复查和审查,组织安全,控制目标一: 信息安全基础设施 管理组织内部的信息安全 控制目标二: 第三方访问安全 维护被第三方访问的基础设施和信息资产的安全 控制目标三: 外包 当IT外包给其他组织负责时,维护信息的安全,资产分类与控制,控制目标一: 资产责任 保证对组织资产做适当的保护 控制目标二: 信息分类 确保信息资产得到适当级别的保护,人员安全,控制目标一: 岗
13、位安全责任和人员录用要求 控制目标二: 用户培训 控制目标三: 对安全事件和故障的响应,物理与环境安全,控制目标一: 安全区域 防止非授权访问 控制目标二: 设备安全 防止资产的丢失,破坏和损坏; 防止业务活动被中断 控制目标三: 一般性控制 防止危害或窃取信息及设施,通信和操作安全,控制目标一: 操作流程和责任 控制目标二: 系统规划和验收 控制目标三: 防范恶意软件 控制目标四: 内务管理(备份,日志) 控制目标五: 网络管理 控制目标六: 介质处理及安全 控制目标七: 信息和软件的交换,访问控制,控制目标一: 访问控制的业务需求 控制目标二: 用户访问管理 控制目标三: 用户责任 控制目
14、标四: 网络访问控制 控制目标五: 操作系统访问控制 控制目标六: 应用系统访问控制 控制目标七: 监视系统访问和使用 控制目标八: 移动计算和通信,系统开发和维护,控制目标一: 系统的安全需求 控制目标二: 应用系统的安全 控制目标三: 密码控制 控制目标四: 系统文件的安全 控制目标五: 开发和支持过程的安全,业务连续性管理,控制目标: 业务连续性管理的各个方面 控制措施 业务连续性管理过程 业务连续性和影响分析 编写并实施连续性计划 业务连续性计划框架 测试,维护和复审业务连续性计划,符合性,控制目标一: 符合法律要求 控制目标二: 对安全策略和技术的评审 控制目标三: 系统审核的考虑,
15、BS7799 第2部分,BS 7799 PART 2 是一个规范。使用该规范对组织的信息安全管理体系进行审核与认证。通过使用该规范能使组织建立信息安全管理体系(ISMS)。该规范提供以下内容 建立信息安全管理体系(ISMS)指导 成功实施信息安全的关键因素 PDCA (Plan-do-check-act)模型 持续性改进 改进安全管理 评估业务变化、新技术、新威胁对安全管理流程的影响,Plan ISMS的确立,Do ISMS的运用,Check ISMS的监控,Act ISMS的改善,PDCA 模型,什么是ISO-7498-2,信息处理系统 开放系统互连 基本参考模型 第2部分: 安全体系结构
16、Information processing system-Open Systems Interconnection-Basic Reference Model -Part2: Security architecture 提供安全服务与有关机制的一般描述, 这些服务与机制可以为GB938788/ISO7498-1参考模型所配备。确定在参考模型内部可以提供这些服务与机制的位置 已被接受为国标GB/T 9387.21995,五种安全服务,认证 对等实体认证 数据原发认证 访问控制 数据机密性 连接机密性 无连接机密性 选择字段机密性 通信业务流机密性 数据完整性 带恢复的连接完整性 不带恢复的连接
17、完整性 选择字段的连接完整性 无连接完整性 选择字段无连接完整性 抗抵赖 有数据原发证明的抗抵赖 有交付证明的抗抵赖,八种安全机制,特定的安全机制用来实现以上安全服务 加密 数字签名机制 访问控制机制 数据完整性机制 认证交换机制 通信业务填充机制 提供各种不同级别的保护, 抵抗通信业务分析 路由选择控制机制 公证机制,服务与机制的关系,服务应用与OSI层的关系,安全管理,安全管理信息库(SMIB)是一个概念上的集存地, 存储开放系统所需的与 安全有关的全部信息。这一概念对信息的存储形式与实施方式不提出要求。SMIB能有多种实现办法, 例如: a)数据表; b)文卷; c)嵌入实开放系统 软件
18、或硬件中的数据或规则。 OSI安全管理的分类 : 系统安全管理 涉及总的OSI环境安全方面的管理;例:总体安全策略的管理、与别的OSI管理功能的相互作用、与安全服务管理和安全机制管理的交互作用、事件处理管理、安全审计管理、安全恢复管理 安全服务管理 涉及特定安全服务的管理;例:指定特定服务的保护目标、指定与维护特定的安全机制、安全机制协商(本地的与远程的)、调用特定的安全机制、与别的安全服务和安全机制的交互作用 安全机制管理 涉及的是特定安全机制的管理。例:密钥管理、加密管理、数字签名管理、访问控制管理等等 OSI管理本身的安全 所有OSI管理功能和信息自身的安全 。这一类安全管理将借助OSI
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2019 信息 安全 国际标准 PPT 课件
链接地址:https://www.31doc.com/p-2852667.html