信息安全和風(fēng)險(xiǎn)管理-CTEC7799講座.ppt

信息安全和風(fēng)險(xiǎn)管理 7799標(biāo)準(zhǔn)與實(shí)施,概述,Part I 什么是信息安全？ Part II 什么是風(fēng)險(xiǎn)和風(fēng)險(xiǎn)管理 Part III 什么是7799？ Part IV 如何獲得7799認(rèn)證？,Part I 什么是信息安全,1-1 看待信息安全的各種思路,需求 狀態(tài) 結(jié)果 功能 過程 能力,對(duì)信息安全的各種思路,需求 信息系統(tǒng)乃至信息化社會(huì)的需要 狀態(tài) 對(duì)應(yīng)于信息不安全。難于描述。 結(jié)果 對(duì)應(yīng)于人們的努力。表面看只有兩個(gè)結(jié)果：出事和不出事。,對(duì)信息安全的各種思路,功能 應(yīng)用和實(shí)現(xiàn)的各種安全功能（產(chǎn)品）。比如：訪問控制（防火墻）、審計(jì)跟蹤（IDS）等 過程 對(duì)應(yīng)于人們努力的內(nèi)容和時(shí)間。 能力 對(duì)應(yīng)于努力的綜合實(shí)力,信息安全的三個(gè)方面需求 保密性信息的機(jī)密性 完整性信息的完整性、一致性 可用性行為完整性、服務(wù)連續(xù)性,信息安全的經(jīng)典定義 需求角度,安全需求的多樣性,6項(xiàng)安全要求CIARAA (ISO13335) 保密性 Confidentiality 完整性 Integrity 可用性 Availability 可靠性 Reliability 認(rèn)證性 Authenticity 審計(jì)性 Accountability,信息安全需求的演變？,信息保密,信息保密,信息完整,信息和系統(tǒng)可用,信息保密,信息完整,信息和系統(tǒng)可用,信息和系統(tǒng)可控,信息行為不可否認(rèn),80年代的認(rèn)識(shí) 90年代的認(rèn)識(shí) 90年代后期的認(rèn)識(shí),最權(quán)威的傳統(tǒng)評(píng)估標(biāo)準(zhǔn),美國國防部在1985年公布 可信計(jì)算機(jī)安全評(píng)估準(zhǔn)則 Trusted Computer Security Evaluation Criteria (TCSEC) 為安全產(chǎn)品的測評(píng)提供準(zhǔn)則和方法 指導(dǎo)信息安全產(chǎn)品的制造和應(yīng)用,可信計(jì)算機(jī)系統(tǒng)安全等級(jí),傳統(tǒng)評(píng)估標(biāo)準(zhǔn)的演變,美國 DoD85 TESEC TCSEC網(wǎng)絡(luò)解釋（TNI 1987） TCSEC數(shù)據(jù)庫管理系統(tǒng)解釋（TDI 1991） 歐洲 ITSEC 美國、加拿大、歐洲等共同發(fā)起Common Criteria(CC),Reference Monitor,主要傳統(tǒng)安全技術(shù),操作系統(tǒng)訪問控制 網(wǎng)絡(luò)訪問控制（防火墻） 加密（對(duì)稱、非對(duì)稱） 身份認(rèn)證（口令、強(qiáng)認(rèn)證） ,VRM,TCSEC認(rèn)為，一個(gè)安全機(jī)制的三個(gè)基本要求： 不可旁路 不可篡改 足夠小，可以被證明,RM傳統(tǒng)安全理念和技術(shù)的局限,適合于主機(jī)/終端環(huán)境，對(duì)網(wǎng)絡(luò)環(huán)境難于適應(yīng) 系統(tǒng)和技術(shù)的發(fā)展太快，安全技術(shù)跟進(jìn)困難 沒有研究入侵者的特點(diǎn)和技術(shù) ,UNIX Firewall,E-Mail Server,Web Server,Router,NT,Clients & Workstations,Network,UNIX,NT,UNIX,imap,Crack,NetBus,典型的攻擊過程,1-3 P2DR安全模型,動(dòng)態(tài)安全模型 可適應(yīng)網(wǎng)絡(luò)安全模型,P2DR安全模型,動(dòng)態(tài)/可適應(yīng)安全的典范,什么是安全？,新的定義,安全及時(shí)的檢測和處理,時(shí)間,什么是安全？,Pt Dt Rt, +,P2DR安全模型,動(dòng)態(tài)模型 基于時(shí)間的模型 可以量化 可以計(jì)算,P2DR的核心問題是檢測 檢測是靜態(tài)防護(hù)轉(zhuǎn)化為動(dòng)態(tài)的關(guān)鍵 檢測是動(dòng)態(tài)響應(yīng)的依據(jù) 檢測是落實(shí)、強(qiáng)制執(zhí)行安全策略的有力工具 最重要的檢測技術(shù) 漏洞掃描 入侵檢測IDS,P2DR安全的核心,PDR理念的不足,缺少管理環(huán)節(jié)的描述和表達(dá) 因此，才有Policy環(huán)節(jié)的引入 實(shí)用的時(shí)間很難測量 時(shí)間計(jì)算的算法非常復(fù)雜和不確定,PDR的時(shí)間計(jì)算,目標(biāo),起點(diǎn),Pt(System)=Pt(A)+Pt(B)+Pt(C)+Pt(D),PDR的時(shí)間計(jì)算,Pt(System)=Minimum(Pt(Ra),Pt(Rb),Pt(Rc),Pt(Rd),Pt(Re),Ra,Rb,Rc,Rd,Re,PDR的時(shí)間計(jì)算,目標(biāo),起點(diǎn),Pt(System)=?,PDR的時(shí)間計(jì)算,目標(biāo),起點(diǎn),1-4 我們應(yīng)當(dāng)期待什么效果？,目前普遍應(yīng)用的信息安全技術(shù),訪問控制 操作系統(tǒng)訪問控制 網(wǎng)絡(luò)防火墻 病毒防火墻 審計(jì)跟蹤 IDS 漏洞掃描 日志分析,加密 存儲(chǔ)和備份 鑒別和認(rèn)證 PKI和CA 雙因子認(rèn)證 生物認(rèn)證 ,信息安全問題的難點(diǎn),超復(fù)雜性 牽扯很多技術(shù)環(huán)節(jié) 涉及大量的管理問題 涉及人的因素 ,工程方法,最成熟的“工程”方法,風(fēng)險(xiǎn)管理 風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)控制和監(jiān)控 信息安全管理系統(tǒng)ISMS 管理驅(qū)動(dòng)技術(shù),Part II 什么是風(fēng)險(xiǎn)和風(fēng)險(xiǎn)管理,什么是風(fēng)險(xiǎn)？,風(fēng)險(xiǎn)： 對(duì)目標(biāo)有所影響的某個(gè)事情發(fā)生的可能性。它根據(jù)后果和可能性來度量。 Risk the chance of something happening that will have an impact upon objectives. It is measured in terms of consequences and likelihood. -AS/NZS 4360:1999風(fēng)險(xiǎn)管理,什么是風(fēng)險(xiǎn),風(fēng)險(xiǎn)：指定的威脅利用單一或一群資產(chǎn)的脆弱點(diǎn)造成資產(chǎn)的損失或損壞的潛在的可能性。 Risk: the potential that a given threat will exploit vulnerabilities of an asset or group of assets to cause loss or damage to the assets. - ISO/IEC TR 13335-1:1996,ISO15408安全模型,ISO/IEC 15408-1 安全概念和關(guān)系模型,模型的對(duì)抗特性,模型的動(dòng)態(tài)性和風(fēng)險(xiǎn)性,模型的資產(chǎn)屬性,風(fēng)險(xiǎn)避免 vs 風(fēng)險(xiǎn)管理,風(fēng)險(xiǎn)避免 構(gòu)建一個(gè)一次性的防御體系。它必須足夠強(qiáng)壯以抵擋各種威脅。它可能是沒有彈性而且非常昂貴的。 風(fēng)險(xiǎn)管理 動(dòng)態(tài)的，可以持續(xù)不斷地適應(yīng)威脅的變化。構(gòu)建的防御體系僅僅采用適度的措施去保護(hù)有價(jià)值的資產(chǎn)，阻止進(jìn)一步的損失，有效地給予恢復(fù)。 只購買你需要的，而不是你可能需要的。 但是特別需要有效的管理。,風(fēng)險(xiǎn)管理的關(guān)系圖,ISO13335以風(fēng)險(xiǎn)為核心的安全模型,風(fēng)險(xiǎn),防護(hù)措施,信息資產(chǎn),威脅,漏洞,防護(hù)需求,價(jià)值,7799對(duì)信息資產(chǎn)的看法,“Information is an asset which, like other important business assets, has value to an organisation and consequently needs to be suitably protected.” “信息是一種資產(chǎn)，象其他重要的商務(wù)資產(chǎn)一樣，對(duì)組織具有價(jià)值，因此需要適當(dāng)?shù)谋Ｗo(hù)。,風(fēng)險(xiǎn)管理的核心理念,資產(chǎn)保護(hù),什么是風(fēng)險(xiǎn)管理？,對(duì)潛在機(jī)會(huì)和不利影響進(jìn)行有效管理的文化、程序和結(jié)構(gòu) 風(fēng)險(xiǎn)管理是由多個(gè)定義明確的步驟所組成的一個(gè)反復(fù)過程，這些步驟以較深入的洞察風(fēng)險(xiǎn)及其影響為更好的決策提供支持,風(fēng)險(xiǎn)管理的組成要素,建立環(huán)境,鑒別風(fēng)險(xiǎn),分析風(fēng)險(xiǎn),評(píng)價(jià)風(fēng)險(xiǎn),處理風(fēng)險(xiǎn),信 息 交 流 與 咨 詢,監(jiān)控 與審查,AS/NZS 4360,風(fēng)險(xiǎn)管理的組成要素,1、建立環(huán)境 建立在風(fēng)險(xiǎn)管理過程中將出現(xiàn)的策略、組織和風(fēng)險(xiǎn)管理的背景。應(yīng)建立對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)的推測、并規(guī)定分析的結(jié)構(gòu)。 2、鑒別風(fēng)險(xiǎn) 鑒別出會(huì)出現(xiàn)什么事，為什么會(huì)出現(xiàn)和如何出現(xiàn)，作為進(jìn)一步分析的基礎(chǔ),風(fēng)險(xiǎn)管理的組成要素,3、分析風(fēng)險(xiǎn) 確定現(xiàn)有的控制，并根據(jù)在這些控制的環(huán)境中的和可能性對(duì)風(fēng)險(xiǎn)進(jìn)行分析。這種分析應(yīng)考慮到潛在后果的范圍和這些后果發(fā)生的可能性有多大?？蓪⒑蠊涂赡苄越Y(jié)合起來得到一個(gè)估計(jì)的風(fēng)險(xiǎn)程度。 4、評(píng)價(jià)風(fēng)險(xiǎn) 將估計(jì)的風(fēng)險(xiǎn)程度與預(yù)先建立的水準(zhǔn)進(jìn)行比較。這樣可將風(fēng)險(xiǎn)按等級(jí)排列，以便鑒別管理的有限順序。如果建立的風(fēng)險(xiǎn)程度很低，此時(shí)的風(fēng)險(xiǎn)可以列入可接受的范疇，而不作處理。,風(fēng)險(xiǎn)管理的組成要素,5、處理風(fēng)險(xiǎn) 接受并監(jiān)控低優(yōu)先級(jí)的風(fēng)險(xiǎn)。對(duì)于其他風(fēng)險(xiǎn)，則建立并實(shí)施一個(gè)特定管理計(jì)劃，其中包括考慮到資金的提供。 6、監(jiān)控和審查 對(duì)于風(fēng)險(xiǎn)管理系統(tǒng)的運(yùn)作情形以及可能影響其運(yùn)作的那些變化進(jìn)行監(jiān)控和審查 7、信息交流和咨詢 在風(fēng)險(xiǎn)管理過程的每個(gè)階段以及整個(gè)過程中，適時(shí)與內(nèi)部和外部的風(fēng)險(xiǎn)承擔(dān)者（stakeholder）進(jìn)行信息交流和咨詢。,風(fēng)險(xiǎn)管理的主要部分,風(fēng)險(xiǎn)評(píng)估 Risk Assessment 風(fēng)險(xiǎn)控制（處理） Risk Control,風(fēng)險(xiǎn)評(píng)估,風(fēng)險(xiǎn)評(píng)估報(bào)告,資產(chǎn)鑒別報(bào)告 漏洞報(bào)告 威脅報(bào)告 風(fēng)險(xiǎn)報(bào)告 Risk = f ( Asset, Vul, Threat ),風(fēng)險(xiǎn)體,安全要素關(guān)系圖,Part III 什么是7799,信息安全管理標(biāo)準(zhǔn),BS7799/ISO17799 信息安全管理綱要、指南 Part I: Code of practice for information security management 信息安全管理認(rèn)證體系 Part II: Specification for information security management,信息安全管理標(biāo)準(zhǔn)BS7799/ISO17799,英國標(biāo)準(zhǔn)BS7799是在BSI/DISC的BDD/2信息安全管理委員會(huì)指導(dǎo)下制定完成。 1993年，BS7799標(biāo)準(zhǔn)由英國貿(mào)易工業(yè)部立項(xiàng) 1995年，BS 7799-1：1995 信息安全管理實(shí)施細(xì)則 1998年，BS 7799-2：1998 信息安全管理體系規(guī)范 1999年，對(duì)BS 7799-1：1995 及BS 7799-2：1998 重新修訂發(fā)布 2000年，以標(biāo)準(zhǔn)ISO/IEC 17799發(fā)布,BS7799和ISO17799的區(qū)別,BS7799 英國標(biāo)準(zhǔn) 已被多個(gè)國家認(rèn)同（如澳大利亞等） 第二部分是可認(rèn)證標(biāo)準(zhǔn) 2002年新修訂了第2部分。新版本風(fēng)格接近ISO9000和ISO14000。,ISO17799 2000年采納了BS7799的第一部分 第二部分還在討論中,BS7799-2:2002,BS7799 / ISO 17799,安全策略 安全組織 資產(chǎn)分類及控制 人員安全 物理和環(huán)境安全,通信和運(yùn)作管理 系統(tǒng)訪問控制 系統(tǒng)開發(fā)與維護(hù) 業(yè)務(wù)連續(xù)性規(guī)劃 符合性,信息安全管理綱要 Code of practice for information security management,“Not all the controls described will be relevant to every situation, nor can they take account of local environmental or technological constraints, or be present in a form that suits every potential user in an organisation.” “不是所有描述的控制措施與所有情況有關(guān)，這些控制措施也沒有考慮地方的環(huán)境和技術(shù)限制，或以適用于任何一個(gè)組織中的潛在的使用者的形式展現(xiàn)。,BS 7799-1:2000包含： 36個(gè)控制目標(biāo)和127個(gè)控制措施,Control objectives and controls 控制目標(biāo)和控制措施,Key controls關(guān)鍵控制措施,BS 7799 identifies 8 controls as BS 7799 識(shí)別8個(gè)控制措施作為-,“guiding principles providing a good starting point for implementing information security.” “指導(dǎo)原則提供最佳的實(shí)施信息安全的起始點(diǎn)” “They are either based on essential legislative requirements or considered to be common best practice for information security.” “他們或是建立在基本的法律要求或被認(rèn)為是公認(rèn)信息安全的最佳實(shí)踐”,Intellectual property rights 知識(shí)產(chǎn)權(quán)保護(hù) Safeguarding of organisational records 保護(hù)組織的記錄 Data protection and privacy of personal information 數(shù)據(jù)保護(hù)和個(gè)人信息隱私,Controls with legislative implications 與法律有關(guān)的控制措施,Objective 目標(biāo) To avoid breaches of copyright through prevention of copying without owners consent. 防止未經(jīng)擁有者允許的復(fù)制，避免違反產(chǎn)權(quán)保護(hù) Restrictions on copying限制復(fù)制 Licence agreements許可協(xié)議 Policy compliance符合方針 Contract requirements合同要求,Intellectual property rights 知識(shí)產(chǎn)權(quán),Objective 目標(biāo) Prevention of loss, destruction and falsification of important records. 防止丟失，破壞和篡改重要的記錄 Retention保持 Storage儲(chǔ)存 Disposal處置,Safeguarding of organisational records 保護(hù)組織記錄,Objective 目標(biāo) Compliance with any data or information protection legislation in those countries where applicable. 如果適用，符合所在國家的任何信息保護(hù)法律。,Data protection and privacy of personal information數(shù)據(jù)保護(hù)和個(gè)人信息隱私,Information security policy document 信息安全方針文件 Allocation of information security responsibilities 落實(shí)信息安全責(zé)任 Information security education and training 信息安全教育與培訓(xùn) Reporting security incidents 安全事故匯報(bào) Business continuity management 業(yè)務(wù)連續(xù)性管理,Controls for common best practice 與公認(rèn)最好實(shí)踐有關(guān)的控制措施,Objective 目標(biāo) To provide management direction and support for information security. 提供管理方向和支持信息安全。,Policy Document,Information security policy document 信息安全方針文件,Objective 目標(biāo) To assign responsibilities for security so that security is effectively managed within the organisation.分配安全責(zé)任使安全在組織中得到有效管理。 Responsibilities 責(zé)任 Owners 擁有者 Roles 角色,Allocation of information security responsibilities 落實(shí)信息安全責(zé)任,Objective 目標(biāo) To ensure users are aware of information security threats and concerns and are equipped to support organisational security policy. 保證使用者明白信息安全的威脅和應(yīng)考慮的問題并準(zhǔn)備支持組織的安全方針。 Training needs and awareness 培訓(xùn)需要和基本知識(shí),Information security education and training 信息安全教育與培訓(xùn),Objective-目標(biāo) To minimize the damage from security incidents and malfunctions and to monitor and learn from such incidents.減少安全事故和故障的損失，監(jiān)控并從事故中學(xué)習(xí)。 Definition定義 Procedure 程序,Reporting security incidents 安全事故匯報(bào),Objective 目標(biāo) To counteract interruptions to business activities and to protect critical business processes from the effects of major failures or disasters。 防止業(yè)務(wù)活動(dòng)中斷和保護(hù)關(guān)鍵業(yè)務(wù)過程不受關(guān)鍵故障和災(zāi)害的影響。 Key steps to business continuity 業(yè)務(wù)連續(xù)性的關(guān)鍵步驟,Business continuity management 業(yè)務(wù)連續(xù)性管理,Overview of controls from BS7799:1999 BS7799:1999控制措施概述,(Clause numbers refer to BS 7799-1:1999) （條款號(hào)對(duì)應(yīng)于BS 7799-1:1999的條款號(hào)）,3. Security policy安全方針,3.1 Information security policy 信息安全方針,3.1 Information security policy 信息安全方針,Information security policy document Review and evaluation 信息安全方針文件評(píng)審與評(píng)估,Policy,Sdjndkjhkjhkjfdf Sdfkjflkjflkjlfklkf Edkjfjf fkflkjfl Rgjlkmblktmgl Rgl,g;ggk,gl gglklkgl Fdglgrf rerfkjhnertm5pok Fkkjj5tk55ok dfgngngg gmgmgkmgkmgg,4. Security organisation 安全組織,4.1 Information security infrastructure 信息安全基礎(chǔ)設(shè)施 4.2 Security of third party access 第三方訪問安全 4.3 Outsourcing 外包,4.1 Information security infrastructure 信息安全基礎(chǔ)設(shè)施,Management information security forum 信息安全管理委員會(huì) Information security co-ordination 信息安全協(xié)作 Allocation of information security responsibilities 落實(shí)信息安全責(zé)任 Authorisation process for information processing facilities 信息處理設(shè)施授權(quán)過程 Specialist information security advice 信息安全專家建議 Co-operation between organisations 組織間的合作 Independent review of information security 獨(dú)立評(píng)審信息安全,4.2 Security of third party access 第三方訪問安全,Identification of risks from third party access 識(shí)別第三方訪問風(fēng)險(xiǎn) Security requirements in third party contracts 第三方合同的安全要求,4.3 Outsourcing外包,Security requirements in outsourcing contracts 外包合同中的安全要求,Outsourcing Contract,5. Asset classification and control 資產(chǎn)分類和控制,5.1 Accountability for assets資產(chǎn)責(zé)任 5.2 Information classification信息分類,5.1 Accountability for assets資產(chǎn)責(zé)任,Inventory of assets 資產(chǎn)目錄,5.2 Information classification 信息分類,Classification guidelines分類指南 Information labelling and handling 信息標(biāo)簽和處理,Top Secret Secret Confidential Restricted,Restricted until 1/1/2005,“Protectively Marked”,6. Personnel security 人員安全,6.1 Security in job definition and resourcing 在工作描述和配備資源時(shí)考慮安全問題 6.2 User training 使用者培訓(xùn) 6.3 Responding to security incidents and malfunctions 響應(yīng)安全事故和故障,6.1 Security in job definition and resourcing 在工作描述和配備資源時(shí)考慮安全問題,Including security in job responsibilities 在工作責(zé)任中包括安全問題 Terms and conditions of employment 聘用條件和合同 Personnel screening and policy 人事審查和方針 Confidentiality agreements 保密協(xié)議,6.2 User training使用者培訓(xùn),Information security education and training 信息安全教育和培訓(xùn),6.3 Responding to security incidents and malfunctions 響應(yīng)信息安全事故和故障,Reporting security incidents安全事故報(bào)告 Reporting security weaknesses安全弱點(diǎn)報(bào)告 Reporting software malfunctions軟件故障報(bào)告 Learning from incidents從事故中學(xué)習(xí) Disciplinary process懲罰過程,7. Physical and environmental security 物理和環(huán)境安全,7.1 Secure areas安全區(qū)域 7.2 Equipment security設(shè)備安全 7.3 General controls一般控制措施,7.1 Secure areas 安全區(qū)域,Physical security perimeter物理安全邊界 Physical entry controls物理入口控制 Securing offices, rooms and facilities 辦公室，房間和設(shè)施保安 Working in secure areas在安全區(qū)域工作 Isolated delivery and loading areas 運(yùn)送和裝卸區(qū)域隔離,7.2 Equipment security設(shè)備安全,Equipment siting and protection設(shè)備安裝與保護(hù) Power supplies電力供應(yīng) Cabling security電纜安全 Equipment maintenance設(shè)備維護(hù) Security of equipment off-premises不在辦公場所的設(shè)備 Secure disposal or re-use of equipment 處置和重新使用設(shè)備的安全,7.3 General controls 一般控制,Clear desk and clear screen policy 桌面和屏幕清理政策 Removal of property 財(cái)產(chǎn)移動(dòng),8. Communications and operations management 通信和運(yùn)營管理,8.1 Operational procedures and responsibilities 操作程序和責(zé)任 8.2 System planning and acceptance 系統(tǒng)計(jì)劃和接收 8.3 Protection against malicious software 惡意軟件防護(hù) 8.4 Housekeeping 內(nèi)務(wù)管理 8.5 Network management 網(wǎng)絡(luò)管理 8.6 Media handling and security 媒體處理與安全 8.7 Exchanges of information and software 信息交換和軟件,8.1 Operational procedures and responsibilities 操作程序和責(zé)任,Documented operating procedures 文件化操作程序 Operational change control運(yùn)營變化控制 Incident management procedure事故管理程序 Segregation of duties責(zé)任分離 Separation of development and operational facilities 開發(fā)與運(yùn)營設(shè)備分離 External facilities management外部設(shè)備管理,8.2 System planning and acceptance 系統(tǒng)計(jì)劃和接收,Capacity planning容量計(jì)劃 System acceptance系統(tǒng)接受,2010,2001,8.3 Protection against malicious software 惡意軟件防護(hù),Controls against malicious software 對(duì)惡意軟件的控制,8.4 Housekeeping 內(nèi)務(wù)管理,Information back-up信息備份 Operator logs操作日志 Fault logging錯(cuò)誤日志,8.5 Network management網(wǎng)絡(luò)管理,Network controls 網(wǎng)絡(luò)控制,8.6 Media handling and security 媒體處理和安全,Management of removable computer media 可移動(dòng)計(jì)算機(jī)媒體（介質(zhì)）的管理 Disposal of media 媒體（介質(zhì)）處置 Information handling procedures 信息處理程序 Security of system documentation 系統(tǒng)文件安全,8.7 Exchanges of information and software 軟件和信息交換,Information and software exchange 信息和軟件交換 Security of media in transit 媒體轉(zhuǎn)換的安全 Electronic commerce security 電子商務(wù)安全 Security of electronic mail 電子郵件的安全 Security of electronic office systems 電子辦公系統(tǒng)的安全 Publicly available systems 公用系統(tǒng) Other forms of information exchange 其他形式的信息交換,9. Access control 訪問控制,9.1 Business requirements for access control訪問控制的業(yè)務(wù)要求 9.2 User access management使用者訪問管理 9.3 User responsibilities使用者責(zé)任 9.4 Network access control網(wǎng)絡(luò)訪問控制 9.5 Operating system access control操作系統(tǒng)訪問控制 9.6 Application access control應(yīng)用訪問控制 9.7 Monitoring system access and use監(jiān)控系統(tǒng)訪問和使用 9.8 Mobile computing and teleworking可移動(dòng)計(jì)算設(shè)備和網(wǎng)絡(luò),9.1 Business requirements for access control 控制訪問的業(yè)務(wù)要求,Access control policy 訪問控制策略,You are not authorised to access this system,9.2 User access management 使用者訪問管理,User registration 使用者注冊(cè) Privilege management 特權(quán)管理 User password management 使用者口令管理 Review of user access rights 評(píng)審使用者訪問權(quán),System Administrator Menu,9.3 User responsibilities使用者責(zé)任,Password use 口令使用 Unattended user equipment 無人照管的設(shè)備,9.4 Network access control 網(wǎng)絡(luò)訪問控制,Policy on use of network services 使用網(wǎng)絡(luò)服務(wù)的策略 Enforced path 強(qiáng)制路徑 User authentication for external connections 外部連接者身份認(rèn)證 Node authentication 結(jié)點(diǎn)認(rèn)證 Remote diagnostic port protection 遠(yuǎn)程診斷端口的防護(hù) Segregation in networks 網(wǎng)絡(luò)分離 Network connection control 網(wǎng)絡(luò)連接控制 Network routing control 網(wǎng)絡(luò)路由控制 Security of network services 網(wǎng)絡(luò)服務(wù)的安全,9.5 Operating system access control 操作系統(tǒng)訪問控制,Automatic terminal identification自動(dòng)終端識(shí)別 Terminal log-in procedures終端連網(wǎng)程序 User identification and authentication使用者識(shí)別和認(rèn)證 Password management system口令管理系統(tǒng) Use of system facilities系統(tǒng)設(shè)施的使用 Duress alarm to safeguard users安全裝置使用者強(qiáng)制警報(bào) Terminal time-out終端暫停 Limitation of connection time連接時(shí)間限制,9.6 Application access control 應(yīng)用訪問控制,Information access restriction 信息訪問限制 Sensitive system isolation 敏感系統(tǒng)隔離,9.7 Monitoring system access and use 監(jiān)控系統(tǒng)訪問和使用,Event logging事件日志 Monitoring system use 監(jiān)控系統(tǒng)使用 Clock synchronisation 時(shí)鐘同步,14:27,9.8 Mobile computing and teleworking 可移動(dòng)計(jì)算設(shè)備和網(wǎng)絡(luò)通信,Mobile computing 移動(dòng)計(jì)算設(shè)備 Teleworking 網(wǎng)絡(luò)通信,10. Systems development and maintenance 系統(tǒng)開發(fā)和維護(hù),10.1 Security requirements of systems系統(tǒng)的安全要求 10.2 Security in application systems應(yīng)用系統(tǒng)安全 10.3 Cryptographic controls密碼控制 10.4 Security of system files系統(tǒng)文件的安全 10.5 Security in development and support processes 開發(fā)和支持過程的安全,10.1 Security requirements of systems 系統(tǒng)的安全要求,Security requirements analysis and specification 安全要求分析和說明,Specification,;oiu;u;ppjoiu;oiuiu;iou;oiu;oiuoipoipo #po#po#po#popo#popophn ji Hhhuhiu hiuyhuy8 J ooiiuyfuytdyiuy;9uyouo;iui j;oij; Ijijweifjerhf uuhiuyrhqe wu24i5yiufu24 O#popopoppopo#o#o#o#o#o#o#hilugiuiugi Opopopopo,10.2 Security in application systems 應(yīng)用系統(tǒng)安全,Input data validation輸入數(shù)據(jù)驗(yàn)證 Control of internal processing內(nèi)部處理控制 Message authentication消息認(rèn)證 Output data validation輸出數(shù)據(jù)驗(yàn)證,10.3 Cryptographic controls 密碼控制,Policy on use of cryptographic controls 使用密碼控制策略 Encryption加密 Digital signatures 數(shù)字簽名 Non-repudiation services 不可否認(rèn)服務(wù) Key management密鑰管理,Confidential,10.4 Security of system files 系統(tǒng)文件安全,Control of operational software 操作系統(tǒng)軟件的控制 Protection of system test data 保護(hù)系統(tǒng)測試數(shù)據(jù) Access control to program source library 程序資源庫的訪問控制,10.5 Security in development and support processes 開發(fā)和支持過程的安全,Change control procedures 變化控制程序 Technical review of operating system changes 操作系統(tǒng)變化的技術(shù)評(píng)審 Restrictions on changes to software packages 軟件包變化的限制 Covert channels and Trojan code 隱蔽通道和特洛伊代碼 Outsourced software development 外包的軟件開發(fā),11. Business continuity management 業(yè)務(wù)連續(xù)性管理,11.1 Aspects of business continuity management 業(yè)務(wù)連續(xù)性管理的各方面,11.1 Aspects of business continuity management 業(yè)務(wù)連續(xù)性管理的各方面,Business continuity management process 業(yè)務(wù)連續(xù)性管理過程 Business continuity and impact analysis 業(yè)務(wù)連續(xù)性和影響分析 Writing and implementing continuity plans 書寫和實(shí)施連續(xù)性計(jì)劃 Business continuity planning framework 業(yè)務(wù)連續(xù)性框架 Testing, maintaining and re-assessing business continuity plans 測試，維護(hù)和重新評(píng)審業(yè)務(wù)連續(xù)性計(jì)劃,12. Compliance 符合,12.1 Compliance with legal requirements 符合法律要求 12.2 Reviews of security policy and technical compliance 評(píng)審安全方針和技術(shù)符合 12.3 System audit considerations 系統(tǒng)審核考慮,12.1 Compliance with legal requirements 符合法律要求,Identification of applicable legislation 識(shí)別適應(yīng)的法律 Intellectual property rights (IPR) 知識(shí)產(chǎn)權(quán) Safeguarding of organisational records 保護(hù)組織記錄 Data protection and privacy of personal information 數(shù)據(jù)保護(hù)和個(gè)人信息隱私 Prevention of misuse of information processing facilities 錯(cuò)誤使用信息的防護(hù) Regulation of cryptographic controls 密碼控制的法規(guī) Collection of evidence 收集證據(jù),12.2 Reviews of security policy and technical compliance 評(píng)審安全方針和技術(shù)符合,Compliance with security po