返回
网络信息安全基础标准与评估

网络信息安全基础标准与评估

ID:43243053

大小:1.94 MB

页数:35页

时间:2019-10-07

网络信息安全基础标准与评估_第1页
网络信息安全基础标准与评估_第2页
网络信息安全基础标准与评估_第3页
网络信息安全基础标准与评估_第4页
网络信息安全基础标准与评估_第5页
资源描述:

《网络信息安全基础标准与评估》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、网络信息安全基础授课教师:张全海qhzhang@sjtu.edu.cn标准与评估3.3OSI安全体系结构、模型与标准(三)信息技术安全评估准则发展过程可信计算机系统评估准则(TCSEC)(美国国防部评估标准---橘皮书)可信网络解释(TNI)(红皮书)通用准则CC信息技术安全测评标准(ITSEC)(欧洲评估标准---白皮书)信息安全管理标准BS7799《计算机信息系统安全保护等级划分准则》标准介绍ITSEC法国、德国、荷兰和英国合作开发了一个标准文档___信息技术安全评测标准(ITSEC),于1991年由欧洲共同体委员会发布。特点:首次提出了信息安全的保密性、完整性、可用性的概念,并将安全概

2、念分为功能和评估两部分;ITSEC标准对每个系统赋予两种等级:F等级(安全功能等级),有F1-F10级;E等级(安全保证等级),定义了E0-E6共7个安全等级;ITSEC评估的是整个系统,而不只是计算平台,某个等级所需要的总体安全功能可能分布在系统的不同组成中,而不是所有组成都要重复这些安全功能.F等级:F等级从F1---F10共10级,其中前5级与TCSEC中的C1—B3的功能要求非常相似;F6对应数据和程序的完整性;F7对应系统的可用性;F8对应数据通信的完整性;F9对应数据通信的保密性;F10对应机密性和完整性的网络安全;ITSECE等级:ITSEC定义了7个评估级别,E0级:该级别表

3、示不充分的保证;E1级:该级别必须有一个安全目标和一个对产品或系统的体系结构设计的非形式化描述,功能测试用于表明安全目标是否达到;E2:除了E1级的要求外,还必须对详细的设计有非形式化的描述,必须有配置控制系统和认可的分配过程;E3:除了E2级的要求外,要评估与安全机制相对应的源代码和硬件设计图,还要评估测试这些机制的证据;E4:除了E3级的要求外,必须有支持安全目标的安全策略的基本形式模型;ITSECE5:除了E4级的要求外,在详细的设计和源代码和硬件设计图之间有紧密的对应关系;E6:除了E5级的要求外,必须正式说明安全加强功能和体系结构设计,使其与安全策略的基本形式模型一致;ITSEC标

4、准介绍信息技术安全评估准则发展过程可信计算机系统评估准则(TCSEC)(美国国防部评估标准---橘皮书)可信网络解释(TNI)(红皮书)通用准则CC信息技术安全测评标准(ITSEC)(欧洲评估标准---白皮书)信息安全管理标准BS7799《计算机信息系统安全保护等级划分准则》信息系统安全评估方法探讨信息系统安全保障模型以风险和策略为基础,包含保障要素、生命周期和安全特征三方面的模型。将风险和策略作为基础和核心,实现信息的可用性、完整性和保密性特征。安全保障的动态安全,即强调安全保障应渗入整个信息系统生命周期的全过程。安全保障是通过综合技术、管理、工程和人员的要求等措施实施来实现。管理、安全管

5、理和信息安全管理的概念关系控制风险在可以接受的程度。根据管理的原则、程序和方法,来指导和实现安全管理活动。信息安全管理的理解通过技术手段实现的安全能力是有限的,仅靠技术不能获得整体的信息安全,需要有效的安全管理来支持和补充,提高安全防护能力许多安全技术和产品远远没有达到需要的水准,核心技术和知识产权都是国外的,不能满足国家涉密信息系统或商业敏感信息系统的需求,技术落后于新的风险的出现某些安全技术和产品在指标上虽然达到了实际应用的某些安全需求,如果配置和管理不当,不能真正地实现这些安全需求信息安全管理标准从国际上看,粗略地把信息安全管理的发展进行分期,大体经历了“零星追加时期”和“标准化时期”

6、两个阶段,九十年代中期可以看作这两个阶段的分界。国际标准组织ISO在信息安全标准方面经过了三个发展阶段:数据加密期:1981年,以制定密码学及其应用的国际标准为目标信息安全期:1989年,主要标志为:要求、安全服务和指南安全技术及机制安全评估准则信息安全保障期:1996年,以风险管理为基础,调和信息安全相关标准系列信息安全管理标准BSI:英国标准协会ITIL:IT基础设施库NIST:美国国家标准和技术委员会Cobit:信息和相关技术控制目标IEC:国家电工委员会一个从技术到管理的安全认证认可框架信息安全计划机构的信息和信息系统依照保密性、完整性可用性的风险级别定义信息和信息系统的类别;影射信

7、息类型到安全类别。1.信息和信息系统分类FIPS199SP800-60将规划的安全要求和安全控制或信息和信息系统的适当保护文档化。4.安全规划SP800-18分析威胁对一个机构运营和资产的信息系统脆弱性的潜在的影响或保密性、完整性或可用性的损失的大小。2.风险评估SP800-30SP800-376.安全授权(认可)由上级机构官员基于安全控制的效力和剩余风险对处理、存储或传输信息的信息系统授权。5.确认安全控制

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。