信息安全際標(biāo)準(zhǔn)PPT課件

1、信息安全國際標(biāo)準(zhǔn),提綱,信息安全標(biāo)準(zhǔn)概述 安全標(biāo)準(zhǔn)組織 安全標(biāo)準(zhǔn)分類 安全管理標(biāo)準(zhǔn)（ISO17799） 安全技術(shù)標(biāo)準(zhǔn) 安全產(chǎn)品標(biāo)準(zhǔn)（CC） 安全工程標(biāo)準(zhǔn)（SSE-CMM） 安全方法論 安全資格認(rèn)證（CISSP/CISA,什么是信息安全,保密性 完整性 可用性,CONFIDENTIALATY INTEGRITY AVAILABILITY,什么是標(biāo)準(zhǔn),標(biāo)準(zhǔn)：標(biāo)準(zhǔn)是對重復(fù)性事物和概念所做的統(tǒng)一規(guī)定。它以科學(xué)、技術(shù)和實(shí)踐的綜合成果為基礎(chǔ)，經(jīng)有關(guān)方面協(xié)商一致，由主管部門批準(zhǔn)，以特定的方式發(fā)布，作為共同遵守的準(zhǔn)則和依據(jù)。 強(qiáng)制性標(biāo)準(zhǔn)：保障人體健康、人身、財(cái)產(chǎn)安全的標(biāo)準(zhǔn)和法律、行政法規(guī)規(guī)定強(qiáng)制執(zhí)行的標(biāo)準(zhǔn)；其

2、它標(biāo)準(zhǔn)是推薦性標(biāo)準(zhǔn),無規(guī)矩不成方圓,無規(guī)矩不成方圓,提綱,信息安全標(biāo)準(zhǔn)概述 安全標(biāo)準(zhǔn)組織 安全標(biāo)準(zhǔn)分類 安全管理標(biāo)準(zhǔn)（ISO17799） 安全技術(shù)標(biāo)準(zhǔn) 安全產(chǎn)品標(biāo)準(zhǔn)（CC） 安全工程標(biāo)準(zhǔn)（SSE-CMM） 安全方法論 安全資格認(rèn)證（CISSP/CISA,標(biāo)準(zhǔn)的來源,政府組織 NIST-National Institute of Standards and Technology NSA-National Security Agency GAO- General Accounting Office BSI- British Standard Institution 標(biāo)準(zhǔn)化組織 ISO/IEC JT

3、C1 SC27 ANSI -American National Standards Institute 專業(yè)組織/行業(yè)聯(lián)盟 IEEE IETF W3C ISSA-Information Systems Security Association ITAA-Information Technology Association Of America) 大學(xué),ISO，國際標(biāo)準(zhǔn)化組織,ISO是International Organization for Standardization的簡稱 國際最大的標(biāo)準(zhǔn)化組織機(jī)構(gòu) 與IEC聯(lián)合成立的JTC1/SC27 負(fù)責(zé)通用信息技術(shù)安全標(biāo)準(zhǔn)的制定 ISO/TC68

4、負(fù)責(zé)銀行和金融服務(wù)業(yè)務(wù)應(yīng)用范圍內(nèi)信息安全標(biāo)準(zhǔn)的制定 已發(fā)布的其他行業(yè)的重要標(biāo)準(zhǔn) ISO 9001 ISO 14001,IEC，國際電工委員會,IEC是International Electrotechnical Commission的簡稱 世界上最早的國際性電工標(biāo)準(zhǔn)化機(jī)構(gòu) 負(fù)責(zé)有關(guān)電工、電子領(lǐng)域的國際標(biāo)準(zhǔn)化工作 在信息安全技術(shù)標(biāo)準(zhǔn)化方面，同ISO聯(lián)合成立JTC1 在電磁兼容EMC等方面成立技術(shù)委員會，制定相關(guān)國際標(biāo)準(zhǔn),ISO/IEC JTC1/SC27,JTC1(Joint Technical Committee 1)是ISO 及IEC的聯(lián)合技術(shù)委員會, SC27 小組專門負(fù)責(zé)安全技術(shù)標(biāo)準(zhǔn)的制

5、定、審核 已發(fā)布的部分標(biāo)準(zhǔn) ISO/IEC 18033 加密機(jī)制 ISO/IEC 9796,14888.15964 數(shù)字簽名 ISO/IEC TR 13335 GMITS ISO/IEC 15408 Evaluation criteria for IT Security ISO/IEC 17799 Code of Practice for Information Security Management ISO/IEC 21287 SSE-CMM,NIST，國家標(biāo)準(zhǔn)技術(shù)協(xié)會,NIST是美國National Institute of Standards and Technology的簡稱 已發(fā)布的

6、部分文獻(xiàn) FIPS（Federal Information Processing Standards Publications ） FIPS PUB 140-2 Security Requirements for Cryptographic Modules FIPS PUB 180-1 Secure Hash Standard FIPS PUB 197 Advanced Encryption Standard SP（Special Publications 800 series 是關(guān)于計(jì)算機(jī)安全的文獻(xiàn)） SP 800-12 Computer Security Handbook SP 800-3

7、0 Risk Management Guide for IT Systems SP 800-44 Guidelines on Securing Public Web Servers,其他組織,ANSI，美國國家標(biāo)準(zhǔn)協(xié)會 80年代初開始數(shù)據(jù)加密標(biāo)準(zhǔn)化工作 制定了三個(gè)通用的國家標(biāo)準(zhǔn) ANSI X.9系列財(cái)務(wù)服務(wù)安全標(biāo)準(zhǔn) ITU-T，國際電訊聯(lián)盟 前身是CCITT，單獨(dú)或于ISO合作開發(fā)諸如消息處理系統(tǒng)、目錄系統(tǒng)（X.400系列、X.500系列）和安全框架、安全模型等標(biāo)準(zhǔn) ITU-T X.509 The Directory: Authentication Framework,其他組織,IEEE -

8、電氣電子工程師協(xié)會 在信息安全方面主要是提出了LAN/WAN安全方面的標(biāo)準(zhǔn)和公鑰密碼標(biāo)準(zhǔn) IETF - Internet工程任務(wù)組 主要提出Internet標(biāo)準(zhǔn)草案和成為RFC的協(xié)議文稿，內(nèi)容廣泛，也包括安全方面的建議稿，經(jīng)過網(wǎng)上討論修改，被大家廣泛接受就成了的事實(shí)上的標(biāo)準(zhǔn)標(biāo)準(zhǔn),提綱,概述 安全標(biāo)準(zhǔn)組織 安全標(biāo)準(zhǔn)分類 安全管理標(biāo)準(zhǔn)（ISO17799） 安全技術(shù)標(biāo)準(zhǔn) 安全產(chǎn)品標(biāo)準(zhǔn)（CC） 安全工程標(biāo)準(zhǔn)（SSE-CMM） 安全方法論 安全資格認(rèn)證（CISSP/CISA,安全標(biāo)準(zhǔn)的類型,提綱,概述 安全標(biāo)準(zhǔn)組織 安全標(biāo)準(zhǔn)分類 安全管理標(biāo)準(zhǔn)（ISO17799） 安全技術(shù)標(biāo)準(zhǔn) 安全產(chǎn)品標(biāo)準(zhǔn)（CC） 安全

9、工程標(biāo)準(zhǔn)（SSE-CMM） 安全方法論 安全資格認(rèn)證（CISSP/CISA,安全管理框架,OSI ISO 7498-2 /10181 開放系統(tǒng)互連第二部分 安全體系結(jié)構(gòu)，10181是7498-2的后續(xù)標(biāo)準(zhǔn)，分部分描述5類安全服務(wù)的實(shí)現(xiàn) GMITS, Guidelines for the Management of IT Security ISO/IEC 13335 Guidelines for the Management of IT Security 提供IT安全管理的指導(dǎo) BS 7799 AS/NZS 4444 ISO/IEC 17799 信息安全管理的即成標(biāo)準(zhǔn) 提供企業(yè)開發(fā)、實(shí)施、評估有

10、效安全建設(shè)的框架 ISF SOGP Information Security Forum (ISF), 信息安全優(yōu)秀實(shí)踐標(biāo)準(zhǔn)（Standard of Good Practice for Information Security, 1998,BS 7799介紹,BS 7799 AS/NZS 4444 ISO/IEC 17799 信息安全管理的即成標(biāo)準(zhǔn) 提供企業(yè)開發(fā)、實(shí)施、評估有效安全建設(shè)的框架 BS 7799 包括兩部分 第一部分: 提供安全管理的最佳實(shí)踐，等同于 ISO/IEC 17799:2000 提供10個(gè)領(lǐng)域的127項(xiàng)安全措施 整套的基于業(yè)界經(jīng)驗(yàn)的安全性最佳實(shí)踐的指導(dǎo) 第二部分ISMS規(guī)

11、范 Specification for ISMS (Information Security Management Systems) 提供依據(jù)第一部分進(jìn)行內(nèi)部審計(jì)、外部認(rèn)證的流程體系,什么是ISO17799/ BS7799,關(guān)注于安全管理的框架和指導(dǎo) 提供了10個(gè)方面36個(gè)安全目標(biāo)，127項(xiàng)安全控制措施，建立了Best Practice指引； 廣泛應(yīng)用于在政府、企業(yè)、金融、電信等行業(yè)，應(yīng)用最廣泛的安全標(biāo)準(zhǔn),17799的十個(gè)方面,ISO17799 的文檔結(jié)構(gòu),分為10個(gè)領(lǐng)域的安全實(shí)踐建議分為36個(gè)子項(xiàng)，共127項(xiàng)安全控制措施 安全方針（1） 組織安全（3） 資產(chǎn)分類與控制（2） 人員安全（3）

12、物理與環(huán)境安全（3） 通信與操作安全（7） 訪問控制（8） 系統(tǒng)開發(fā)與維護(hù)（5） 業(yè)務(wù)持續(xù)計(jì)劃（1） 依從（3,安全策略,控制目標(biāo):信息安全策略 為信息安全提供管理指導(dǎo)和支持 控制措施: 信息安全策略文件 復(fù)查和審查,組織安全,控制目標(biāo)一: 信息安全基礎(chǔ)設(shè)施 管理組織內(nèi)部的信息安全 控制目標(biāo)二: 第三方訪問安全 維護(hù)被第三方訪問的基礎(chǔ)設(shè)施和信息資產(chǎn)的安全 控制目標(biāo)三: 外包 當(dāng)IT外包給其他組織負(fù)責(zé)時(shí),維護(hù)信息的安全,資產(chǎn)分類與控制,控制目標(biāo)一: 資產(chǎn)責(zé)任 保證對組織資產(chǎn)做適當(dāng)?shù)谋Ｗo(hù) 控制目標(biāo)二: 信息分類 確保信息資產(chǎn)得到適當(dāng)級別的保護(hù),人員安全,控制目標(biāo)一: 崗位安全責(zé)任和人員錄用要求 控

13、制目標(biāo)二: 用戶培訓(xùn) 控制目標(biāo)三: 對安全事件和故障的響應(yīng),物理與環(huán)境安全,控制目標(biāo)一: 安全區(qū)域 防止非授權(quán)訪問 控制目標(biāo)二: 設(shè)備安全 防止資產(chǎn)的丟失,破壞和損壞; 防止業(yè)務(wù)活動被中斷 控制目標(biāo)三: 一般性控制 防止危害或竊取信息及設(shè)施,通信和操作安全,控制目標(biāo)一: 操作流程和責(zé)任 控制目標(biāo)二: 系統(tǒng)規(guī)劃和驗(yàn)收 控制目標(biāo)三: 防范惡意軟件 控制目標(biāo)四: 內(nèi)務(wù)管理(備份,日志) 控制目標(biāo)五: 網(wǎng)絡(luò)管理 控制目標(biāo)六: 介質(zhì)處理及安全 控制目標(biāo)七: 信息和軟件的交換,訪問控制,控制目標(biāo)一: 訪問控制的業(yè)務(wù)需求 控制目標(biāo)二: 用戶訪問管理 控制目標(biāo)三: 用戶責(zé)任 控制目標(biāo)四: 網(wǎng)絡(luò)訪問控制 控制目

14、標(biāo)五: 操作系統(tǒng)訪問控制 控制目標(biāo)六: 應(yīng)用系統(tǒng)訪問控制 控制目標(biāo)七: 監(jiān)視系統(tǒng)訪問和使用 控制目標(biāo)八: 移動計(jì)算和通信,系統(tǒng)開發(fā)和維護(hù),控制目標(biāo)一: 系統(tǒng)的安全需求 控制目標(biāo)二: 應(yīng)用系統(tǒng)的安全 控制目標(biāo)三: 密碼控制 控制目標(biāo)四: 系統(tǒng)文件的安全 控制目標(biāo)五: 開發(fā)和支持過程的安全,業(yè)務(wù)連續(xù)性管理,控制目標(biāo): 業(yè)務(wù)連續(xù)性管理的各個(gè)方面 控制措施 業(yè)務(wù)連續(xù)性管理過程 業(yè)務(wù)連續(xù)性和影響分析 編寫并實(shí)施連續(xù)性計(jì)劃 業(yè)務(wù)連續(xù)性計(jì)劃框架 測試,維護(hù)和復(fù)審業(yè)務(wù)連續(xù)性計(jì)劃,符合性,控制目標(biāo)一: 符合法律要求 控制目標(biāo)二: 對安全策略和技術(shù)的評審 控制目標(biāo)三: 系統(tǒng)審核的考慮,BS7799 第2部分,BS

15、 7799 PART 2 是一個(gè)規(guī)范。使用該規(guī)范對組織的信息安全管理體系進(jìn)行審核與認(rèn)證。通過使用該規(guī)范能使組織建立信息安全管理體系（ISMS）。該規(guī)范提供以下內(nèi)容 建立信息安全管理體系（ISMS）指導(dǎo) 成功實(shí)施信息安全的關(guān)鍵因素 PDCA (Plan-do-check-act)模型 持續(xù)性改進(jìn) 改進(jìn)安全管理 評估業(yè)務(wù)變化、新技術(shù)、新威脅對安全管理流程的影響,Plan ISMS的確立,Do ISMS的運(yùn)用,Check ISMS的監(jiān)控,Act ISMS的改善,PDCA 模型,什么是ISO-7498-2,信息處理系統(tǒng) 開放系統(tǒng)互連 基本參考模型 第2部分: 安全體系結(jié)構(gòu)Information pro

16、cessing system-Open Systems Interconnection-Basic Reference Model -Part2: Security architecture 提供安全服務(wù)與有關(guān)機(jī)制的一般描述, 這些服務(wù)與機(jī)制可以為GB938788/ISO7498-1參考模型所配備。確定在參考模型內(nèi)部可以提供這些服務(wù)與機(jī)制的位置 已被接受為國標(biāo)GB/T 9387.21995,五種安全服務(wù),認(rèn)證 對等實(shí)體認(rèn)證 數(shù)據(jù)原發(fā)認(rèn)證 訪問控制 數(shù)據(jù)機(jī)密性 連接機(jī)密性 無連接機(jī)密性 選擇字段機(jī)密性 通信業(yè)務(wù)流機(jī)密性 數(shù)據(jù)完整性 帶恢復(fù)的連接完整性 不帶恢復(fù)的連接完整性 選擇字段的連接完整性

17、無連接完整性 選擇字段無連接完整性 抗抵賴 有數(shù)據(jù)原發(fā)證明的抗抵賴 有交付證明的抗抵賴,八種安全機(jī)制,特定的安全機(jī)制用來實(shí)現(xiàn)以上安全服務(wù) 加密 數(shù)字簽名機(jī)制 訪問控制機(jī)制 數(shù)據(jù)完整性機(jī)制 認(rèn)證交換機(jī)制 通信業(yè)務(wù)填充機(jī)制 提供各種不同級別的保護(hù), 抵抗通信業(yè)務(wù)分析 路由選擇控制機(jī)制 公證機(jī)制,服務(wù)與機(jī)制的關(guān)系,服務(wù)應(yīng)用與OSI層的關(guān)系,安全管理,安全管理信息庫(SMIB)是一個(gè)概念上的集存地, 存儲開放系統(tǒng)所需的與 安全有關(guān)的全部信息。這一概念對信息的存儲形式與實(shí)施方式不提出要求。SMIB能有多種實(shí)現(xiàn)辦法, 例如: a)數(shù)據(jù)表; b)文卷; c)嵌入實(shí)開放系統(tǒng) 軟件或硬件中的數(shù)據(jù)或規(guī)則。 OSI

18、安全管理的分類 ： 系統(tǒng)安全管理 涉及總的OSI環(huán)境安全方面的管理；例：總體安全策略的管理、與別的OSI管理功能的相互作用、與安全服務(wù)管理和安全機(jī)制管理的交互作用、事件處理管理、安全審計(jì)管理、安全恢復(fù)管理 安全服務(wù)管理 涉及特定安全服務(wù)的管理；例：指定特定服務(wù)的保護(hù)目標(biāo)、指定與維護(hù)特定的安全機(jī)制、安全機(jī)制協(xié)商(本地的與遠(yuǎn)程的)、調(diào)用特定的安全機(jī)制、與別的安全服務(wù)和安全機(jī)制的交互作用 安全機(jī)制管理 涉及的是特定安全機(jī)制的管理。例：密鑰管理、加密管理、數(shù)字簽名管理、訪問控制管理等等 OSI管理本身的安全 所有OSI管理功能和信息自身的安全 。這一類安全管理將借助OSI安全服務(wù)與機(jī)制以確保OSI管理

19、協(xié)議與信息獲得足夠的保護(hù),作為ISO 7498-2的后續(xù)標(biāo)準(zhǔn)，1988年開始建立ISO/IEC 10181 ISO/IEC 10181 (Security frameworks for open systems) 有七個(gè)部分 第 2-6部分對應(yīng)ISO 7498-2定義的5種服務(wù) Part 1: 概述 Part 2: 認(rèn)證服務(wù)架構(gòu) Part 3: 訪問控制服務(wù)架構(gòu) Part 4: 防抵賴服務(wù)架構(gòu) Part 5: 數(shù)據(jù)保密服務(wù)架構(gòu) Part 6: 數(shù)據(jù)完整服務(wù)架構(gòu) Part 7: 安全審計(jì)、報(bào)警架構(gòu),ISO/IEC 10181,什么是ISO 13335,ISO/IEC 13335，即IT安全管理指

20、南（Guidelines for the Management of IT Security, GMITS）, 是由ISO/IEC JTC制定的技術(shù)報(bào)告 ISO/IEC 13335是一個(gè)信息安全管理方面的指導(dǎo)性標(biāo)準(zhǔn) 其目的是為有效實(shí)施IT安全管理提供建議,ISO 13335(GMITS)的內(nèi)容,13335-1: IT安全概念和模型 包含了對IT安全和安全管理中一些基本概念和模型的解釋 13335-2: IT安全計(jì)劃和管理 建議性地介紹了IT安全管理和計(jì)劃的方式和要點(diǎn) 13335-3: IT安全管理技術(shù) 描述了風(fēng)險(xiǎn)管理技術(shù)、IT安全計(jì)劃的開發(fā)、實(shí)施和測試還包括策略審查、事件分析、IT安全教育等后

21、續(xù)內(nèi)容。 13335-4: 安全措施的選擇 描述了針對一個(gè)組織特定環(huán)境和安全需求可以選擇的安全措施,不僅僅是技術(shù)性措施 13335-5: 網(wǎng)絡(luò)安全的管理指導(dǎo) 提供了關(guān)于網(wǎng)絡(luò)和通信安全管理的指導(dǎo)性內(nèi)容,該指南為識別和分析建立網(wǎng)絡(luò)安全需求時(shí)需要考慮的通信相關(guān)因素提供支持,也包括對可能的安全措施方面的簡要介紹,ISO13335 vs. BS7799,與BS7799相比，ISO/IEC 13335只是一個(gè)技術(shù)報(bào)告和指導(dǎo)性文件，并不是可依據(jù)的認(rèn)證標(biāo)準(zhǔn) 也不像BS7799那樣給出一個(gè)全面而完整的信息安全管理框架 但13335在信息安全尤其是IT安全的某些具體環(huán)節(jié)切入較深，對實(shí)際的工作具有較好的指導(dǎo)價(jià)值，從

22、可實(shí)施性上來說要比BS7799好些 另外13335對安全計(jì)劃、安全策略、控制措施選擇的內(nèi)容的闡述要比BS7799具體很多 總之，作為一個(gè)框架、總體要求和目標(biāo)選擇，BS7799是我們信息安全管理體系建設(shè)過程中要貫徹的指導(dǎo)方針，而這期間的一些具體的活動則可以參考13335，比如風(fēng)險(xiǎn)評估,提綱,概述 安全標(biāo)準(zhǔn)組織 安全標(biāo)準(zhǔn)分類 安全管理標(biāo)準(zhǔn)（ISO17799） 安全技術(shù)標(biāo)準(zhǔn) 安全產(chǎn)品標(biāo)準(zhǔn)（CC） 安全工程標(biāo)準(zhǔn)（SSE-CMM） 安全方法論 安全資格認(rèn)證（CISSP/CISA,安全技術(shù)標(biāo)準(zhǔn),Application Protocols SSL, S-HTTP Network Protocols IPSe

23、c Cryptography RSA, DSA, ECC DES, AES SHA-1 PKCS Vulnerability CVE,Authentication Kerberos RADIUS SAML Messaging S/MIME, OpenPGP, PEM XMLDSIG, XMLENC Application Security CORBA Security WS-Security,提綱,概述 安全標(biāo)準(zhǔn)組織 安全標(biāo)準(zhǔn)分類 安全管理標(biāo)準(zhǔn)（ISO17799） 安全技術(shù)標(biāo)準(zhǔn) 安全產(chǎn)品標(biāo)準(zhǔn)（CC） 安全工程標(biāo)準(zhǔn)（SSE-CMM） 安全方法論 安全資格認(rèn)證（CISSP/CISA,產(chǎn)品安全性保證

24、標(biāo)準(zhǔn),Common Criteria (CC) ISO/IEC 15408 Evaluation criteria for IT Security 針對產(chǎn)品或組件的保證標(biāo)準(zhǔn)e.g. Firewalls, IDS, OS 定義了7個(gè) Evaluation Assurance Levels (EAL) 一級最低，七級最高 1996年國際上的六個(gè)國家（美、加、英、法、德、荷）聯(lián)合提出了信息技術(shù)安全評價(jià)的通用準(zhǔn)則（CC）。CC的基礎(chǔ)是歐州的ITSEC，美國的包括 TCSEC 在內(nèi)的新 的聯(lián)邦評價(jià)標(biāo)準(zhǔn)，加拿大的 CTCPEC，以及 國際標(biāo)準(zhǔn)化組織ISO :SC27 WG3 的安全評價(jià)標(biāo)準(zhǔn)。 Truste

25、d Computer System Evaluation Criteria （TCSEC） The Orange Book 分為D/C1/C2/B1/B2/B3/A1七個(gè)等級 C2-部分OS有: VMS, IBM OS/400, Windows NT, Novell NetWare 4.11, Oracle 7, DG AOS/VS II. B1-部分OS有: HP-UX BLS, Cray Research Trusted Unicos 8.0, Digital SEVMS, Harris CS/SX, SGI Trusted IRIX. B2-部分OS有: Honeywell Multic

26、s, Cryptek VSLAN, Trusted XENIX B3-僅有的OS:Getronics/Wang Federal XTS-300 A1-Boeing MLS LAN, Gemini Trusted Network Processor, Honeywell SCOMP. FIPS PUB 140-2 Cryptographic模塊的安全要求標(biāo)準(zhǔn) 定義了4個(gè)等級,美國TCSEC,1970年由美國國防部提出。1985年公布。 主要為軍用標(biāo)準(zhǔn)。延用至民用。 安全級別從高到低分為A、B、C、D四級，級下再分小級。 彩虹系列 桔皮書：可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則 黃皮書：桔皮書的應(yīng)用指南 紅皮書：

27、可信網(wǎng)絡(luò)解釋 紫皮書：可信數(shù)據(jù)庫解釋,美國TCSEC,CC標(biāo)準(zhǔn)的發(fā)展歷程,CC驅(qū)動因素,CC要實(shí)現(xiàn)的目標(biāo),成為統(tǒng)一的國際（通用）IT產(chǎn)品和系統(tǒng)安全標(biāo)準(zhǔn) 目前， CC已經(jīng)成為ISO國際標(biāo)準(zhǔn)（15408） 在不同國家間達(dá)成協(xié)議，相互承認(rèn)產(chǎn)品評估 為開發(fā)者拓展國際舞臺 改善IT安全產(chǎn)品在全世界的可用性,CC的目標(biāo)讀者,消費(fèi)者 - 具有IT安全功能的產(chǎn)品購買指南,產(chǎn)品開發(fā)者和集成商 - 具有IT安全功能的產(chǎn)品的開發(fā)基礎(chǔ),評估員 - IT安全產(chǎn)品的評估基礎(chǔ),審核員, 認(rèn)證人員, 授權(quán)人員 - 對他們的特定應(yīng)用給予支持,CC的內(nèi)容組織,CC定義了兩類安全需求,CC的關(guān)鍵概念,評估目標(biāo) (TOE) IT產(chǎn)品

28、或系統(tǒng)及其相關(guān)的管理指南和用戶指南等文檔，是評估的對象 保護(hù)輪廓 (Protect Profile PP) 滿足特定消費(fèi)者需求的、獨(dú)立于實(shí)現(xiàn)的、關(guān)于某一類TOE的一組安全要求（用戶提出要求） 安全目標(biāo) (Security Target ST) 依賴于實(shí)現(xiàn)的一組安全要求和說明，作為指定TOE的評估基礎(chǔ)（開發(fā)者給出,用戶借助PP定義需求,廠商使用ST對用戶需求做出響應(yīng),PP、ST和TOE之間的關(guān)系,評估保證等級,CC總體結(jié)構(gòu),安全產(chǎn)品評估框架模型,CC vs. BS7799,都是認(rèn)證標(biāo)準(zhǔn)，但是對象不同，CC評估的對象是系統(tǒng)和產(chǎn)品，而7799關(guān)注的信息安全管理 在依照BS7799標(biāo)準(zhǔn)來實(shí)施ISMS時(shí)

29、，一些涉及系統(tǒng)和產(chǎn)品安全的技術(shù)要求，可以參考CC,提綱,概述 安全標(biāo)準(zhǔn)組織 安全標(biāo)準(zhǔn)分類 安全管理標(biāo)準(zhǔn)（ISO17799） 安全技術(shù)標(biāo)準(zhǔn) 安全產(chǎn)品標(biāo)準(zhǔn)（CC） 安全工程標(biāo)準(zhǔn)（SSE-CMM） 安全方法論 安全資格認(rèn)證（CISSP/CISA,什么是SSE-CMM,SSE-CMM是系統(tǒng)安全工程能力成熟模型（Systems Security Engineering Capability Maturity Model）的縮寫，它描述了一個(gè)組織的安全工程過程必須包含的本質(zhì)特征，這些特征是完善的安全工程保證,為安全工程的應(yīng)用提供了一個(gè)衡量和改進(jìn)的途徑 現(xiàn)代統(tǒng)計(jì)過程控制理論表明通過強(qiáng)調(diào)生產(chǎn)過程的高質(zhì)量和在過

30、程中組織實(shí)施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品 SSE-CMM項(xiàng)目的目標(biāo)是促進(jìn)安全工程成為一個(gè)確定的、成熟的和可度量的科目 SSE-CMM項(xiàng)目進(jìn)展來自于安全工程業(yè)界、美國國防部和加拿大通訊安全機(jī)構(gòu)積極參與和共同的投入,1995 成立項(xiàng)目組,1996 SSE-CMMv1正式發(fā)布,1997 SSE-CMM評定方法發(fā)布,1999 SSE-CMMv2發(fā)布,2002 ISO/IEC 21827,2003 SSE-CMMv3發(fā)布,SSE-CMM模型結(jié)構(gòu),二維結(jié)構(gòu)：Domain, Capability Domain 包含安全工程中的實(shí)踐領(lǐng)域， 分為3個(gè)主要的Process 類，22個(gè)PA，130多項(xiàng)BP

31、Capability 表示過程管理、衡量及制度化的能力，共分為5級，下面細(xì)分為12個(gè)Common Features，以及近30個(gè)Generic Practices,5級成熟能力,系統(tǒng)安全工程過程,風(fēng)險(xiǎn)過程,工程過程,保證過程,SSE-CMM與ISO17799的內(nèi)容比較,提綱,概述 安全標(biāo)準(zhǔn)組織 安全標(biāo)準(zhǔn)分類 安全管理標(biāo)準(zhǔn)（ISO17799） 安全技術(shù)標(biāo)準(zhǔn) 安全產(chǎn)品標(biāo)準(zhǔn)（CC） 安全工程標(biāo)準(zhǔn)（SSE-CMM） 安全方法論 安全資格認(rèn)證（CISSP/CISA,安全方法論,AS/NZS 4360 澳洲/新西蘭風(fēng)險(xiǎn)管理標(biāo)準(zhǔn) 提供建立、實(shí)施風(fēng)險(xiǎn)管理過程的指導(dǎo) NIST SP 800-30 Risk Ma

32、nagement Guide for IT Systems 建立、實(shí)施風(fēng)險(xiǎn)管理過程的指導(dǎo) OCTAVE Operationally Critical Threat, Asset, and Vulnerability Evaluation 由CMU-SEI（Carnegie Mellon University-Software Engineering Institute）建立的風(fēng)險(xiǎn)評估方法論,提綱,概述 安全標(biāo)準(zhǔn)組織 安全標(biāo)準(zhǔn)分類 安全管理標(biāo)準(zhǔn)（ISO17799） 安全技術(shù)標(biāo)準(zhǔn) 安全產(chǎn)品標(biāo)準(zhǔn)（CC） 安全工程標(biāo)準(zhǔn)（SSE-CMM） 安全方法論 安全資格認(rèn)證（CISSP/CISA,安全資格認(rèn)證標(biāo)準(zhǔn)

33、：CISSP,Certified Information Systems Security Professional (CISSP) 由美國 (ISC)2進(jìn)行認(rèn)證管理 十個(gè) Common Body of Knowledge (CBK) 訪問控制Access Control Systems & Methodology 應(yīng)用開發(fā)Applications & Systems Development 業(yè)務(wù)持續(xù)性Business Continuity Planning 加密Cryptography 法律、道德、調(diào)查Law, Investigation & Ethics 操作安全Operations Security 物理安全Physical Security 安全架構(gòu)及模型Security