信息安全標準上第1頁/共98頁標準基礎(chǔ)知識簡介信息安全標準化組織國外信息安全相關(guān)標準國內(nèi)信息安全相關(guān)標準本講提綱第2頁/共98頁基本概念標準化：在一定的范圍內(nèi)獲得最佳秩序，對實際的或潛在的問題制定共同的和重復(fù)使用的規(guī)則的活動。實質(zhì)：通過制定、發(fā)布和實施標準，達到統(tǒng)一。目的：獲得最佳秩序和社會效益。意義：促進和帶動產(chǎn)業(yè)發(fā)展；解決安全互聯(lián)互通。第3頁/共98頁等同采用國際標準IDT（identical）修改采用國際標準MOD（modified）非等效采用國際標準NEQ（notequivalent）——是指我國標準在技術(shù)內(nèi)容與文本結(jié)構(gòu)上均與國際標準完全相同，或者我國標準在技術(shù)內(nèi)容上可以與國際標準相同，但可以包含小的編輯性修改。是采用國際標準的基本方法之一?！侵冈试S我國標準和國際標準存在技術(shù)性差異，并對這些技術(shù)性差異進行了清楚的標示和解釋。是采用國際標準的基本方法之一?！侵肝覈鴺藴逝c相應(yīng)國際標準在技術(shù)內(nèi)容和文本結(jié)構(gòu)上均不相同，它們之間的差異也未被清楚的標示。其不屬于采用國際標準。第4頁/共98頁標準的分類從世界范圍，按標準的層次分類：國際標準：由國際標準化組織（ISO）和國際電工委員會（IEC）制定的標準。區(qū)域標準：是世界區(qū)域性標準化組織制定的標準。國家標準：在一個國家內(nèi)通用的標準。行業(yè)標準：是在某個行業(yè)或?qū)I(yè)范圍內(nèi)適用的標準。企業(yè)標準：有企業(yè)制定的標準。第5頁/共98頁我國按適用范圍分類企業(yè)標準地方標準行業(yè)標準國家標準第6頁/共98頁國家標準對需要在全國范圍內(nèi)統(tǒng)一的技術(shù)要求，應(yīng)當制定國家標準。國家標準由國家標準化管理委員會編制計劃、審批、編號、發(fā)布。國家標準代號為：GB和GB/T，其含義分別為強制性國家標準和推薦性國家標準。國家標準是四級標準體系中的主體，在全國范圍內(nèi)使用，其他各級標準不得與之相抵觸。1998年增加一種“國家標準化指導(dǎo)性技術(shù)文件”，作為國家標準的補充，其代號為GB/Z。第7頁/共98頁行業(yè)標準對沒有國家標準又需要在全國某個行業(yè)范圍內(nèi)統(tǒng)一的技術(shù)要求，可以制定行業(yè)標準。當相應(yīng)的國家標準實施后，該行業(yè)標準應(yīng)自行廢止。行業(yè)標準由行業(yè)標準歸口部門編制計劃、審批、編號、發(fā)布、管理。部分行業(yè)的行業(yè)標準代號如下：汽車——QC化工——HG電子——SJ石油化工——SH有色金屬——YS郵電通信——YD機械——JB船舶——CB電力——DL商檢——SN包裝——BB核工業(yè)——EJ第8頁/共98頁地方標準對沒有國家標準和行業(yè)標準而又需要在省、自治區(qū)、直轄市范圍內(nèi)統(tǒng)一的要求，可以制定地方標準。地方標準由省、自治區(qū)、直轄市標準化行政主管部門統(tǒng)一編制計劃、組織制定、審批、編號、發(fā)布。地方標準在本行政區(qū)域內(nèi)使用，不得與國家標準和行業(yè)標準相抵觸。國家標準、行業(yè)標準公布實施后，相應(yīng)的地方標準自行廢止。地方標準制定范圍：工業(yè)產(chǎn)品的安全、衛(wèi)生要求；藥品、獸藥、食品衛(wèi)生、環(huán)境保護、節(jié)約能源、種子等法律法規(guī)要求；其他法律法規(guī)規(guī)定的要求。第9頁/共98頁企業(yè)標準是對企業(yè)范圍內(nèi)需要協(xié)調(diào)、統(tǒng)一的技術(shù)要求、管理要求和工作要求所制定的標準。企業(yè)標準由企業(yè)制定，企業(yè)標準是企業(yè)組織生產(chǎn)、經(jīng)營活動的依據(jù)，由企業(yè)法人代表或法人代表授權(quán)的主管領(lǐng)導(dǎo)批準、發(fā)布。企業(yè)產(chǎn)品標準應(yīng)在發(fā)布后30日內(nèi)向政府備案。第10頁/共98頁按法律的約束性分類：強制性標準推薦性標準標準化指導(dǎo)性技術(shù)文件第11頁/共98頁技術(shù)標準管理標準工業(yè)標準按標準的性質(zhì)分類第12頁/共98頁按標準化的對象和作用分類：分類基礎(chǔ)標準產(chǎn)品標準方法標準安全標準衛(wèi)生標準環(huán)境保護標準第13頁/共98頁標準化三維空間國際級區(qū)域級國家級行業(yè)級地方級企業(yè)級人員服務(wù)系統(tǒng)產(chǎn)品過程術(shù)語體系、框架技術(shù)機制應(yīng)用管理YXZX軸代表標準化的對象Y軸代表標準化的內(nèi)容Z軸代表標準化的級別第14頁/共98頁八字原理我國通行“標準化八字原理”統(tǒng)一簡化協(xié)調(diào)最優(yōu)第15頁/共98頁我國標準工作歸口單位國家標準化管理委員會/全國信息安全標準化技術(shù)委員會（簡稱信息安全標委會，TC260）/全國信息技術(shù)標準化技術(shù)委員會（簡稱信標委，CITS），負責全國信息技術(shù)領(lǐng)域以及與ISO/IECJTC1相對應(yīng)的標準化工作。/全國金融標準化技術(shù)委員會（簡稱金標委），負責金融系統(tǒng)標準化技術(shù)歸口管理工作和國際標準化組織中銀行與相關(guān)金融業(yè)務(wù)標準化技術(shù)委員會的歸口管理工作。/第16頁/共98頁IT標準化IT標準發(fā)展趨勢標準逐步從技術(shù)驅(qū)動向市場驅(qū)動方向發(fā)展。信息技術(shù)標準化機構(gòu)由分散走向聯(lián)合。信息技術(shù)標準化的內(nèi)容更加廣泛，重點更加突出，從IT技術(shù)領(lǐng)域向社會各個領(lǐng)域滲透，涉及教育、文化、醫(yī)療、交通、商務(wù)等廣泛領(lǐng)域，需求大量增加。從技術(shù)角度看，IT標準化的重點將放在網(wǎng)絡(luò)接口、軟件接口、信息格式、安全等方面，并向著以技術(shù)中立為前提，保證互操作為目的方向發(fā)展。第17頁/共98頁標準基礎(chǔ)知識簡介信息安全標準化組織國外信息安全相關(guān)標準國內(nèi)信息安全相關(guān)標準本講提綱第18頁/共98頁國際信息安全標準化組織國際標準化組織（ISO）建于1947年2月23日2952個技術(shù)成員工作成果發(fā)布為國際標準（IS）由146個國家標準成員組成的世界聯(lián)盟190個技術(shù)委員會(TCs)、544個子委員會(SCs)、2188個工作組(WGs)與安全相關(guān)機構(gòu)ISO/IECJTC1/SC27：IT安全技術(shù)ISOTC68：金融服務(wù)ISOTC215：健康醫(yī)療學(xué)第19頁/共98頁國際標準化組織（ISO）JTC1其他分技術(shù)委員會SC6——系統(tǒng)間通信與信息交換SC17——識別卡和有關(guān)設(shè)備SC18——文件處理及有關(guān)通信SC21——開放系統(tǒng)互連，數(shù)據(jù)處理和開放式分布處理SC22——程序語言，其環(huán)境及系統(tǒng)軟件接口，也開發(fā)相應(yīng)的安全標準SC30——開放式電子數(shù)據(jù)交換，主要開發(fā)電子數(shù)據(jù)交換的有關(guān)安全標準第20頁/共98頁國際電工委員會（IEC）正式成立于1906年10月，是世界上成立最早的專門國際標準化機構(gòu)。成立的相關(guān)技術(shù)委員會：TC56：可靠性TC74：IT設(shè)備安全與功效TC77：電磁兼容TC108：音頻/視頻CISPR：無線電干擾特別委員會第21頁/共98頁國際電信聯(lián)盟（ITU）成立于1865年5月17日，其前身是國際電報和電話咨詢委員會（CCITT）。主要負責研究通信系統(tǒng)安全標準。ITUSG17組主要研究方向：通信安全項目安全架構(gòu)與框架計算安全安全管理用于安全的生物測定安全通信服務(wù)第22頁/共98頁Internet工程任務(wù)組（IETF）始創(chuàng)于1986年，包括170多個RFC，12個工作組主要任務(wù)：負責互聯(lián)網(wǎng)相關(guān)技術(shù)規(guī)范的研發(fā)和制定。IETF安全工作小組：PGP開發(fā)規(guī)范（openpgp）鑒別防火墻遍歷（aft）通用鑒別技術(shù)（cat）域名服務(wù)系統(tǒng)安全（dnssec）IP安全協(xié)議（ipsec）一次性口令鑒別（otp）X.509公鑰基礎(chǔ)設(shè)施（pkix）S/MIME安全電子郵件（smime）安全Shell（secsh)傳輸層安全（tls）第23頁/共98頁電氣和電子工程師學(xué)會（IEEE）1963年1月1日由美國無線電工程師協(xié)會(IRE,創(chuàng)立于1912年)和美國電氣工程師協(xié)會(AIEE,創(chuàng)建于1884年)合并而成。IEEE802委員會，成立于1980年2月，任務(wù)是制定局域網(wǎng)的國際標準（802.1~17）。高層接口邏輯鏈路控制CSMA/CD網(wǎng)令牌總線網(wǎng)令牌環(huán)網(wǎng)城域網(wǎng)……第24頁/共98頁歐洲計算機制造商協(xié)會（ECMA）負責適用于計算機技術(shù)的各種的標準的制定和頒布。TC32——“通信、網(wǎng)絡(luò)和系統(tǒng)互連”曾定義了開放系統(tǒng)應(yīng)用層安全結(jié)構(gòu)。TC36——“IT安全”負責信息技術(shù)設(shè)備的安全標準。第25頁/共98頁外國信息安全標準化組織美國美國國家標準協(xié)會（ANSI）國家標準與技術(shù)研究院（NIST）美國國防部（DOD）NCITS-T4制定IT安全技術(shù)標準X9制定金融業(yè)務(wù)標準X12制定商業(yè)交易標準負責聯(lián)邦政府非密敏感信息其工作以NIST出版物（FIPSPUB）和NIST特別出版物（SPECPUB）等形式發(fā)布制定了數(shù)據(jù)加密標準DES、密鑰托管加密標準EES負責涉密信息NSA(NationalSecurityAgency，美國國家安全局)國防部指令（DODI）（如TCSEC）第26頁/共98頁英國BS7799醫(yī)療衛(wèi)生信息系統(tǒng)安全加拿大計算機安全管理日本JIS國家標準JISC工業(yè)協(xié)會標準韓國KISA負責防火墻、IDS、PKI方面標準第27頁/共98頁ISO/IECJTC1SC27ISO/IECJTC1SC27——IT安全技術(shù)其工作領(lǐng)域是IT安全的通用方法和技術(shù)，包括：ISO/IECJTC1SC27已成為信息安全領(lǐng)域最具權(quán)威和得到國際最廣泛認可的標準化組織。為IT安全服務(wù)識別通用要求（包括要求方法）；開發(fā)安全技術(shù)和機制（包括注冊流程以及安全組件的關(guān)系）；開發(fā)安全指南（例如：解釋文件、風(fēng)險分析）；開發(fā)管理支持文件和標準（例如：術(shù)語和安全評估準則）。第28頁/共98頁SC27的5個工作組方向：WG3安全評估WG1信息安全管理體系WG4安全控制與服務(wù)WG2密碼與安全機制WG5身份管理與隱私技術(shù)評估指南技術(shù)產(chǎn)品系統(tǒng)過程環(huán)境第29頁/共98頁ISO/IECJTC1SC27標準動態(tài)表標準號標準名稱ISO/IECTR13335-3IT安全管理指南-第三部分：IT安全管理技術(shù)ISO/IECTR13335-4IT安全管理指南-第四部分：安全措施選擇ISO/IECTR13335-1信息與通信技術(shù)安全管理-第一部分：信息與通信技術(shù)安全管理的概念和模型ISO/IEC27000信息安全管理體系-概念和詞匯ISO/IEC27001信息安全管理體系-要求ISO/IEC27002信息安全管理實用規(guī)則ISO/IEC27003信息安全管理體系實現(xiàn)指南ISO/IEC27004信息安全管理測量ISO/IEC27005信息安全風(fēng)險管理ISO/IEC27006信息安全管理體系審核認證機構(gòu)的要求ISO/IEC27007信息安全管理體系審核指南ISO/IEC7064校驗字符系統(tǒng)…第30頁/共98頁國內(nèi)信息安全標準化組織全國信息安全標準化技術(shù)委員會——簡稱信安標委（TC260）2002年4月15日成立負責組織開展國內(nèi)信息安全有關(guān)的標準化工作工作范圍包括：共76個標準（13項修訂標準）50項標準正在研制中安全技術(shù)安全機制安全服務(wù)安全管理安全評估第31頁/共98頁TC260工作組WG1：信息安全標準體系與協(xié)調(diào)工作組WG2：涉密信息系統(tǒng)安全保密標準工作組WG3：密碼技術(shù)標準工作組WG4：鑒別與授權(quán)工作組WG5：信息安全評估工作組WG7：信息安全管理工作組第32頁/共98頁信安標委工作組工作任務(wù)WG1研究信息安全標準體系跟蹤國際標準發(fā)展動態(tài)研究信息安全標準需求研究并提出新工作項目及設(shè)立新工作組的建議協(xié)調(diào)過工作組項目WG2研究提出涉密信息系統(tǒng)安全保密標準體系制定和修改涉密信息系統(tǒng)安全保密標準WG3研究提出密碼技術(shù)標準體系研究制定密碼算法、密碼模塊和密鑰管理等相關(guān)標準WG4研究制定鑒別與授權(quán)標準體系調(diào)研國內(nèi)相關(guān)標準需求研究制定鑒別與授權(quán)標準WG5調(diào)研測評標準現(xiàn)狀與發(fā)展趨勢研究我國統(tǒng)一測評標準體系的思路和框架，提出測評標準體系研究制定急需的測評標準WG7研究信息安全管理動態(tài)，調(diào)研國內(nèi)管理標準需求研究提出信息安全管理標準體系制定信息安全管理相關(guān)標準第33頁/共98頁信安標委制定國家信息安全標準流程：立項申請?zhí)岢霾莅腹ぷ鹘M征求意見評審?fù)ㄟ^形成送審稿秘書處網(wǎng)上征求意見評審?fù)ㄟ^形成送批稿主任辦公會審查國標委批準發(fā)布定期復(fù)審提出修改第34頁/共98頁國內(nèi)其他信息安全標準管理機構(gòu)國家保密局行業(yè)標準化組織負責管理、發(fā)布并強制執(zhí)行國家保密標準。國家保密標準和國家保密法規(guī)共同構(gòu)成我國保密管理的重要基礎(chǔ)。公安部信息系統(tǒng)安全標準化技術(shù)委員會中國通信標準化協(xié)會網(wǎng)絡(luò)與信息安全技術(shù)工作委員會成立于1999年3月31日負責規(guī)劃和制定我國公共安全行業(yè)信息安全標準和技術(shù)規(guī)范，監(jiān)督技術(shù)標準的實施。成立于2003年12月專門組織、研究和制定通信行業(yè)網(wǎng)絡(luò)與信息安全相關(guān)的技術(shù)標準和技術(shù)規(guī)范。第35頁/共98頁標準基礎(chǔ)知識簡介信息安全標準化組織國外信息安全相關(guān)標準國內(nèi)信息安全相關(guān)標準本講提綱第36頁/共98頁國外信息安全相關(guān)標準和指南

OECD指南GASSP

英國BSIBS7799-1BS7799-2

美國NISTNISTSP800-53NISTSP800-30……COBITITILISO/IEC17799ISO/IEC27001ISO/IEC13335ISO/IEC27000系列CNITSEC信息系統(tǒng)安全保障框架管理保障部分國外組織機構(gòu)指南國外國家標準指南信息系統(tǒng)審計領(lǐng)域IT服務(wù)管理領(lǐng)域第37頁/共98頁BS7799標準由英國標準協(xié)會BSI制定BS7799標準：BS7799-1:1999《信息安全管理實用規(guī)則》BS7799-2:2002《信息安全管理體系規(guī)范》BS7799-3:2002《信息安全風(fēng)險評估》安全方針的制定安全責任的歸屬風(fēng)險的評估訪問控制防病毒相關(guān)策略……BS7799廣泛涵蓋所有信息安全議題：第38頁/共98頁BS7799-1是組織建立并實施信息安全管理的一個指導(dǎo)性準則從以下10個方面定義了127項控制措施：安全政策組織安全資產(chǎn)分類與控制人員安全物理與環(huán)境安全業(yè)務(wù)連續(xù)性管理符合性管理通信與操作管理訪問控制系統(tǒng)開發(fā)與維護

側(cè)重于組織整體的管理和運營操作

與信息安全技術(shù)相關(guān)第39頁/共98頁BS7799-2引用PDCA模型，將信息安全管理體系分解成4個子過程：1）風(fēng)險評估3）安全管理

2）安全設(shè)計與執(zhí)行4）再評估建立信息安全管理體系的步驟：1）定義信息安全策略2）定義ISMS范圍3）進行信息安全風(fēng)險評估4）信息安全風(fēng)險管理5）確定控制目標和選擇控制措施6）準備信息安全適用性聲明第40頁/共98頁ISO/IEC17799標準2000年12月，BS7799-1被ISO正式批準為國際標準，編號ISO/IEC17799最新版本ISO/IEC17799:2005提高外部風(fēng)險管理要求（例如：外包、服務(wù)提供商、第三方、業(yè)務(wù)合作伙伴或客戶）增加了服務(wù)等級協(xié)議（SLA）、審計說明服務(wù)交付管理沿用IT服務(wù)管路標準BS15000/ISO20000的思想第41頁/共98頁ISO/IEC17799:2005標準結(jié)構(gòu)前言0引言1范圍2術(shù)語和定義3本標準的組織結(jié)構(gòu)4風(fēng)險評估和處置5安全策略6信息安全的組織架構(gòu)7資產(chǎn)管理8人力資源管理9物理和壞境安全10通信和運行安全11訪問控制12信息系統(tǒng)采購、開發(fā)和維護13信息安全事故管理14業(yè)務(wù)持續(xù)性管理15符合性第42頁/共98頁ISO/IEC2700X標準族ISMS要求ISO/IEC27001:2005（BS7799-2:2002)ISMS實用規(guī)則ISO/IEC27002:2005（ISO/IEC17799)ISMS實施指南ISO/IEC27003ISMS測量ISO/IEC27004

風(fēng)險管理ISO/IEC27005（ISO/IEC13335-3）ISMS審核和認證機構(gòu)ISO/IEC27006:2007ISMS概念和詞匯表ISO/IEC27000:2007（ISO/IEC13335-1）ISMS審核員指南ISO/IEC27007特定標準和指南附錄A第43頁/共98頁ISO/IEC27001:20052005年10月，BS7799-2成功升級為國際標準，編號為ISO/IEC27001ISO/IEC27001是信息安全管理體系（ISMS）的規(guī)范說明強調(diào)風(fēng)險管理的思想，指導(dǎo)組織建立ISMS第44頁/共98頁建立方針和目標并實現(xiàn)這些目標的相互關(guān)聯(lián)或相互作用的一組要素。管理體系包括組織結(jié)構(gòu)，策略，規(guī)劃，角色，職責，流程，程序和資源等。管理的方方面面以及公司的所有雇員，均囊括在管理體系范圍內(nèi)。Qualitymanagementsystem(ISO9001)Environmentalmanagementsystem(ISO14001)Safetymanagementsystem(OHSAS18001)HumanFoodSafetymanagementsystem(HACCP)ITServiceManagementSystem(ISO20000)Informationsecuritymanagementsystem(ISO27001)什么是管理體系？第45頁/共98頁信息安全管理體系(ISMS):是整個管理體系的一部分，建立在業(yè)務(wù)風(fēng)險的方法上，以：建立實施運作監(jiān)控評審維護改進信息安全。職業(yè)健康

安全IT服務(wù)信息安全環(huán)境管理體系食品安全質(zhì)量建設(shè)了ISMS，尤其是獲取了ISO27001認證后，組織將在信息安全方面進入一個強制的良性循環(huán)。第46頁/共98頁0.引言1.范圍2.規(guī)范性應(yīng)用文件3.術(shù)語和定義4.信息安全管理體系(ISMS) 4.1總要求 4.2建立和管理ISMS 4.2.1建立ISMS 4.2.2實施和運維ISMS 4.2.3監(jiān)控和評審ISMS 4.2.4維護和改進ISMS 4.3文件要求5.管理職責6.ISMS的內(nèi)部審核7.ISMS的管理評審8.ISMS改進附錄A控制目標和控制措施附錄BOECD原則與本標準附錄CISO9001:2000和ISO14001:2004對照參考書目SO/IEC27001:2005的結(jié)構(gòu)27001輔助部分27001核心部分（條款4-8)27001核心部分27001輔助部分第47頁/共98頁

27001的核心內(nèi)容相關(guān)方受控的信息安全信息安全要求和期望相關(guān)方檢查Check建立ISMS實施和運行ISMS保持和改進ISMS監(jiān)視和評審ISMS規(guī)劃Plan實施Do處置Act一個組織應(yīng)在其整體業(yè)務(wù)活動和所面臨風(fēng)險的環(huán)境下建立、實施、運行、監(jiān)視、評審、保持和改進文件化的ISMS。就本標準而言，使用的過程基于圖1所示的PDCA模型。圖1應(yīng)用于ISMS過程的PDCA模型第48頁/共98頁ISO27001所關(guān)注的領(lǐng)域合規(guī)性（Compliance）業(yè)務(wù)連續(xù)性管理（BusinessContinuityManagement）信息安全事故管理（InformationSecurityIncidentManagement）訪問控制（AccessControl）人力資源安全（HumanResourceSecurity）物理和環(huán)境安全（PhysicalandEnvironmentalSecurity）通信和操作管理（CommunicationsandOperationsManagement）信息系統(tǒng)的獲取、開發(fā)和維護（InformationSystemAcquisition,DevelopmentandMaintenance）資產(chǎn)管理（AssetManagement）組織信息安全（OrganizationofInformationSecurity）安全策略（InformationSecurityPolicy）信息安全策略信息安全組織資產(chǎn)管理人力資源的安全物理和環(huán)境安全通信和操作管理訪問控制信息系統(tǒng)的獲取，開發(fā)和維護信息安全事故管理業(yè)務(wù)連續(xù)性管理合規(guī)性第49頁/共98頁ISO27001正式的標準可認證的標準管理體系的要求控制措施的要求ISO17799實施細則（一整套最佳實踐）控制措施的實施建議和實施指導(dǎo)ISO27001的附錄A的細化與補充ISO27001與ISO17799（27002）為設(shè)計控制措施提供實施指南ISO/IEC17799為設(shè)計控制措施提供實施指南第50頁/共98頁ISO/IEC13335ISO/IECTR13335系列：GMITS（IT安全管理指南）系列標準ISO/IECIS13335系列：MICTS（信息與通信技術(shù)安全管理）ISO/IECTR13335-1:1996《IT安全的概念與模型》ISO/IECTR13335-2:1997《IT安全管理與策劃》ISO/IECTR13335-3:1998《IT安全管理技術(shù)》ISO/IECTR13335-4:2000《安全管理措施的選擇》ISO/IECTR13335-5:2001《網(wǎng)絡(luò)安全管理指南》ISO/IEC13335-1:2004第1部分：信息與通信技術(shù)安全管理概念和模型ISO/IEC13335-2第2部分：信息與通信技術(shù)安全風(fēng)險管理技術(shù)取代ISO/IECTR13335-1:1996將取代ISO/IECTR13335-2:1997第51頁/共98頁ISO27001正式的標準可認證的標準管理體系的要求控制措施的要求ISOTR13335風(fēng)險管理方法論提供如何識別風(fēng)險到風(fēng)險處置對ISO27001的風(fēng)險評估方法的細化和補充ISO27001與ISO13335為風(fēng)險管理提供方法風(fēng)險評估具有不同的方法。在ISO/IECTR13335-3（IT安全管理指南：IT安全管理技術(shù)）中描述了風(fēng)險評估方法的例子第52頁/共98頁ISO13335：以風(fēng)險為核心的安全模型風(fēng)險安全措施信息資產(chǎn)威脅漏洞安全需求降低增加增加利用暴露價值擁有抗擊增加引出被滿足第53頁/共98頁資產(chǎn)（Asset）任何對組織有價值的東西[ISO/IEC27001:20053術(shù)語和定義]資產(chǎn)是企業(yè)、機構(gòu)直接賦予了價值因而需要保護的東西。信息資產(chǎn)是指組織的信息系統(tǒng)、其提供的服務(wù)以及處理的數(shù)據(jù)。資產(chǎn)的根本屬性是：價值（C、I、A值）

風(fēng)險安全措施信息資產(chǎn)威脅漏洞安全需求降低增加增加利用暴露價值擁有抗擊增加引出被滿足第54頁/共98頁漏洞（Vulnerability）脆弱性是資產(chǎn)本身存在的，它可以被威脅利用、引起資產(chǎn)或商業(yè)目標的損害。脆弱性包括物理環(huán)境、組織、過程、人員、管理、配置、硬件、軟件和信息等各種資產(chǎn)的脆弱性。脆弱性的根本屬性是：嚴重程度（脆弱性被利用后對資產(chǎn)的損害程度、脆弱性被利用的難易程度）風(fēng)險安全措施信息資產(chǎn)威脅漏洞安全需求降低增加增加利用暴露價值擁有抗擊增加引出被滿足第55頁/共98頁威脅（Threat）威脅是對組織的資產(chǎn)引起不期望事件而造成的損害的潛在可能性。威脅可以分為人為威脅（故意、非故意）和非人為威脅（環(huán)境、故障）2種。

威脅的根本屬性是：出現(xiàn)的頻率（還包括威脅的能力，威脅的決心。）風(fēng)險安全措施信息資產(chǎn)威脅漏洞安全需求降低增加增加利用暴露價值擁有抗擊增加引出被滿足第56頁/共98頁風(fēng)險評估實施流程圖第57頁/共98頁美國國家標準與技術(shù)委員會NIST美國NIST相關(guān)管理標準指南NISTSP800系列中信息安全管理相關(guān)文件：NISTSP800系列是NIST根據(jù)美國聯(lián)邦信息安全管理法案（FISMA2002）所賦予的法定職責所開發(fā)的系列文件。NISTSP800-53：聯(lián)邦信息系統(tǒng)推薦安全控制NISTSP800-18：開發(fā)IT系統(tǒng)安全計劃指南NISTSP800-30：IT系統(tǒng)風(fēng)險管理指南NISTSP800-34：IT系統(tǒng)業(yè)務(wù)持續(xù)性規(guī)劃指南NISTSP800-50：建立信息安全意識和培訓(xùn)管理……第58頁/共98頁系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）1993年4月美國國家安全局（NSA）開始醞釀1996年10月發(fā)布SSE-CMM的1.0版本1999年4月完成SSE-CMM的2.0版本2002年成為國際標準ISO/IEC21827:2002《信息技術(shù)系統(tǒng)安全工程能力成熟度模型》2003年6月由國際系統(tǒng)安全工程協(xié)會（ISSEA）更新為3.0版本2008年10月，ISO基于SSE-CMM3.0發(fā)布了ISO/IEC21827:2008第59頁/共98頁SSE-CMM定義描述了一個組織的安全工程過程必須包含的本質(zhì)特征，這些特征是完善的安全工程保證。現(xiàn)代統(tǒng)計過程控制理論表明通過強調(diào)生產(chǎn)過程的高質(zhì)量和在過程中組織實施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品。SSE-CMM項目目標是促進安全工程成為一個確定的、成熟的和可度量的科目。通過區(qū)分投標者的能力級別和相關(guān)計劃風(fēng)險來選擇合格的安全工程提供商；工程組把投資集中在安全工程工具、培訓(xùn)、過程定義、管理實施和改進上；基于能力的保證，也就是說，信賴是基于對工程組織安全工程實踐和過程成熟的信心。理論基礎(chǔ)目的第60頁/共98頁SSE-CMM體系結(jié)構(gòu)SSE-CMM包括兩維：“域”和“能力”第61頁/共98頁基本實施及過程域SSE-CMM包含61個基本實施過程，其被歸入11個安全工程過程域（PA）PA01—管理安全控制PA02—評估影響PA03—評估安全風(fēng)險PA04—評估威脅PA05—評估脆弱性PA06—建立安全論據(jù)PA07—協(xié)調(diào)安全PA08—監(jiān)視安全態(tài)勢PA09—提供安全輸入PA10—確定安全需求PA11—驗證與確認安全第62頁/共98頁通用實施與公共特征通用實施是應(yīng)用于所有過程域中的活動。其針對的是過程的管理、測量和制度化。通用實施被歸入12個不同的邏輯域，稱為“公共特征”。12個公共特征被分為5個能力級別，代表了依次增長的安全功能能力。第63頁/共98頁通用實施、公共特征、能力級別的關(guān)系以實施或制度化為手段來提高工程過程的實施能力通用實施的集合，每一集合中的公共特征面向的是同一類過程的管理和制度化問題若干個公共特征的組合，顯示了安全工程過程的實施能力級別第64頁/共98頁SSE-CMM五個能力級別SSE-CMM五個能力級別及其包含的公共特征第65頁/共98頁安全工程過程安全工程過程的三個主要部分第66頁/共98頁風(fēng)險過程

PA04：評估威脅

PA05：評估脆弱性

PA02：評估影響威脅信息脆弱性信息影響信息

PA03：評估安全風(fēng)險風(fēng)險信息SSE-CMM中與風(fēng)險相關(guān)的過程域第67頁/共98頁工程過程

PA10：確定安全需求

PA01：管理安全控制

PA09：提供安全輸入風(fēng)險信息要求、政策等解決方案、指導(dǎo)等

PA08：監(jiān)視安全態(tài)勢配置信息SSE-CMM中與工程相關(guān)的過程域

PA07：協(xié)調(diào)安全第68頁/共98頁保證過程

PA11：檢驗與確認安全檢驗與確認后的證據(jù)證據(jù)

PA06：建立安全論據(jù)保證論據(jù)SSE-CMM中與保證相關(guān)的過程域

其他的PA第69頁/共98頁信息及相關(guān)技術(shù)控制目標（COBIT）由信息系統(tǒng)審計和控制協(xié)會（ISACF）于1996年發(fā)布國際通用的信息系統(tǒng)審計標準，為信息系統(tǒng)審計和治理提供一整套的控制目標、管理措施、審計指南等。把IT劃分為4個域，并進一步細分為34個流程：規(guī)劃與組織（PO）獲取與實施（AI）交付與支持（DS）監(jiān)控（M）評估風(fēng)險確保持續(xù)的服務(wù)保證系統(tǒng)安全安全審計第70頁/共98頁

IT治理

信息

監(jiān)控IT資源

交付與支持

獲得與實施

規(guī)劃與組織

COBIT

組織戰(zhàn)略目標COBIT模型第71頁/共98頁COBIT的4個域，34個IT處理流程1規(guī)劃與組織POPO1制定IT戰(zhàn)略規(guī)劃PO2確定信息體系結(jié)構(gòu)PO3確定技術(shù)方向PO4定義IT組織與關(guān)系PO5管理IT資產(chǎn)PO6溝通管理目標與方向PO7人力資源管理PO8確保符合外部需求PO9

風(fēng)險評估PO10項目管理PO11質(zhì)量管理2獲取與實施AIAI1

確定自動化解決方案AI2獲取并維護應(yīng)用軟件AI3獲取并維護技術(shù)基礎(chǔ)設(shè)施AI4程序開發(fā)與維護AI5系統(tǒng)安裝與鑒定AI6變更管理

3交付與支持DSDS1定義并管理服務(wù)水平DS2

管理第三方服務(wù)DS3性能管理與容量管理DS4確保服務(wù)的連續(xù)性DS5確保系統(tǒng)安全DS6確定并分配成本DS7教育并培訓(xùn)用戶DS8為客戶提供幫助和建議DS9配置管理DS10問題管理和突發(fā)事件管理DS11數(shù)據(jù)管理DS12設(shè)施管理DS13操作管理4監(jiān)控MMI過程監(jiān)控M2評價內(nèi)部控制的適當性M3確保獨立性鑒定M4提供獨立性審計第72頁/共98頁COBIT產(chǎn)品家族分類：

執(zhí)行概要

高級控制目標框架

實施工具集

管理指南

具體控制目標

審計指南

關(guān)鍵成功因素、關(guān)鍵目標指標與關(guān)鍵績效指標

成熟度模型第73頁/共98頁信息技術(shù)基礎(chǔ)設(shè)施庫（ITIL）由英國政府的中央計算機和通信機構(gòu)（CCTA）制定，由英國商務(wù)部（OGC）負責維護，主要適用于IT服務(wù)管理（ITSM）ITIL核心內(nèi)容：服務(wù)支持和服務(wù)交付服務(wù)支持（ServiceSupport)服務(wù)支付（ServiceDelivery）服務(wù)臺事故管理問題管理配置管理變更管理發(fā)布管理服務(wù)級別管理成本管理持續(xù)性管理可用性管理容量管理第74頁/共98頁ITIL整體架構(gòu)ITIL的架構(gòu)模型第75頁/共98頁標準基礎(chǔ)知識簡介信息安全標準化組織國外信息安全相關(guān)標準國內(nèi)信息安全相關(guān)標準本講提綱第76頁/共98頁

信息安全技術(shù)標準體系管理標準基礎(chǔ)標準安全術(shù)語技術(shù)與機制標準體系與模型保密技術(shù)密碼技術(shù)標識與鑒別系統(tǒng)評估產(chǎn)品評估評估基礎(chǔ)工程與服務(wù)管理方法管理基礎(chǔ)物理安全管理技術(shù)管理要素測評標準授權(quán)與訪問控制第77頁/共98頁國內(nèi)信息安全相關(guān)標準1995年發(fā)布了1項1999年發(fā)布了3項2000年發(fā)布了1項2002年發(fā)布了2項2005年發(fā)布了8項2006年發(fā)布了18項2007年發(fā)布了14項2008年發(fā)布了20項2009年發(fā)布了3項……第78頁/共98頁國家信息安全標準化工作成果完成標準制定正在制定的標準信息安全等級保護92網(wǎng)絡(luò)信任體系建設(shè)3019網(wǎng)絡(luò)安全產(chǎn)品測評2617信息安全管理標準104其他應(yīng)用安全標準18合計7650信息安全標準分布情況第79頁/共98頁1999年發(fā)布的信息安全國標BG17859-1999計算機信息系統(tǒng)安全保護等級劃分準則GB/T17901.1-1999信息技術(shù)安全技術(shù)密鑰管理第1部分：框架GB/T17902.1-1999信息技術(shù)安全技術(shù)帶附錄的數(shù)字簽名第1部分：框架1995年發(fā)布的信息安全國標GB15851-1995信息技術(shù)安全技術(shù)帶消息恢復(fù)的數(shù)字簽名方案第80頁/共98頁2000年發(fā)布的信息安全國標GB/T18238.1-2000信息技術(shù)安全技術(shù)散列函數(shù)第1部分：概述2002年發(fā)布的信息安全國標GB/T18238.2-2002信息技術(shù)安全技術(shù)散列函數(shù)第2部分:采用n位塊密碼的散列函數(shù)GB/T18238.3-2002信息技術(shù)安全技術(shù)散列函數(shù)第3部分:專用散列函數(shù)第81頁/共98頁2005年發(fā)布的信息安全國標GB/T19713-2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施在線證書狀態(tài)協(xié)議GB/T19714-2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施證書管理協(xié)議GB/Z19717-2005基于多用途互聯(lián)網(wǎng)郵件擴展（MIME）的安全報文交換GB/T19771-2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施PKI組件最小互操作規(guī)范GB/T20008-2005信息安全技術(shù)操作系統(tǒng)安全評估準則GB/T20009-2005信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全評估準則GB/T20010-2005信息安全技術(shù)包過濾防火墻評估準則GB/T20011-2005信息安全技術(shù)路由器安全評估準則第82頁/共98頁2006年發(fā)布的信息安全國標GB/T20269-2006信息安全技術(shù)信息系統(tǒng)安全管理要求GB/T20270-2006信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求GB/T20272-2006信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求GB/T20273-2006信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求GB/T20274.1-2006信息安全技術(shù)信息系統(tǒng)安全保障評估框架第一部分：簡介和一般模型第83頁/共98頁2006年發(fā)布的信息安全國標（續(xù)）GB/T20275-2006信息安全技術(shù)入侵檢測系統(tǒng)技術(shù)要求和測試評價方法GB/T20276-2006信息安全技術(shù)智能卡嵌入式軟件安全技術(shù)要求（EAL4增強級）GB/T20277-2006信息安全技術(shù)網(wǎng)絡(luò)和終端設(shè)備隔離部件測試評價方法GB/T20278-2006信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求GB/T20279-2006信息安全技術(shù)網(wǎng)絡(luò)和終端設(shè)備隔離部件安全技術(shù)要求GB/T20280-2006信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測試評價方法第84頁/共98頁2006年發(fā)布的信息安全國標（續(xù)）GB/T20281-2006信息安全技術(shù)防火墻技術(shù)要求和測試評價方法GB/T20282-2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求GB/Z20283-2006信息安全技術(shù)保護輪廓和安全目標的產(chǎn)生指南GB/T20518-2006信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式GB/T20519-2006信息安全技術(shù)公鑰基礎(chǔ)設(shè)施特定權(quán)限管理中心技術(shù)規(guī)范GB/T20520-2006信息安全技術(shù)公鑰基礎(chǔ)設(shè)施時間戳規(guī)范第85頁/共98頁2007年發(fā)布的信息安全國標GB/T18018-2007信息安全技術(shù)路由器安全技術(shù)要求GB/T20945-2007信息安全技術(shù)信息系統(tǒng)安全審計產(chǎn)品技術(shù)要求和測試評價方法GB/T20979-2007信息安全技術(shù)虹膜識別系統(tǒng)技術(shù)要求GB/T20983-2007信息安全技術(shù)網(wǎng)上銀行系統(tǒng)信息安全保障評估準則GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范GB/Z20985-2007信息技術(shù)安全技術(shù)信息安全事件管理指南GB/Z20986-2007信息安全技術(shù)信息安全事件分類分級指南第86頁/共98頁2007年發(fā)布的信息安全國標（續(xù)）GB/T20987-2007信息安全技術(shù)網(wǎng)上證券交易系統(tǒng)信息安全保障評估準則GB/T20988-2007信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范GB/T21028-2007信息安全技術(shù)服務(wù)器安全技術(shù)要求GB/T21050-2007信息安全技術(shù)網(wǎng)絡(luò)交換機安全技術(shù)要求（評估保證級3）GB/T21052-2007信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求GB/T21053-2007信息安全技術(shù)公鑰基礎(chǔ)設(shè)施PKI系統(tǒng)安全等級保護技術(shù)要求GB/T21054-2007信息安全技術(shù)公鑰基礎(chǔ)設(shè)施PKI系統(tǒng)安全等級保護評估準則第87頁/共98頁2008年發(fā)布的信息安全國標GB/T17964-2008信息安全技術(shù)分組密碼算法的工作模式GB/T22080-2008信息技術(shù)安全技術(shù)信息安全管理體系要求GB/T22081-2008信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則GB/T22186-2008信息安全技術(shù)具有中央處理器的集成電路（IC）卡芯片安全技術(shù)要求(評估保證級4增強級)GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求GB/T22240-2008信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南第88頁/共98頁2008年發(fā)布的信息安全國標（續(xù)）GB/T15843.1-2008信息技術(shù)安全技術(shù)實體鑒別第1部分:概述GB/T15843.2-2008信息技術(shù)安全技術(shù)實體鑒別第2部分:采用對稱加密算法的機制GB/T15843.3-2008信息技術(shù)安全技術(shù)實體鑒別第3部分: