返回
cisp授课-培训串讲new

cisp授课-培训串讲new

ID:34408554

大小:3.08 MB

页数:84页

时间:2019-03-05

cisp授课-培训串讲new_第1页
cisp授课-培训串讲new_第2页
cisp授课-培训串讲new_第3页
cisp授课-培训串讲new_第4页
cisp授课-培训串讲new_第5页
资源描述:

《cisp授课-培训串讲new》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、中国信息安全产品测评认证中心汪洋010-68428899-8042cnitsecwy@gmail.com目录第一节概念与发展第七节信息安全模型第二节法律法规标准第八节密码第三节工程、风险与第九节编程安全管理第十节攻击与防范第四节系统安全第十一节备份与恢复第五节网络安全第六节物理安全信息系统存在的意义信息系统是与信息加工,信息传递,信息存贮以及信息利用等有关的系统。信息系统促进了业务的发展信息系统面临各种各样的安全风险怎样才算安全:信息安全三要素世上没有100%的安全合理的投资+可接受的风险=安全信息安全

2、铁三角:完整性、保密性、可用性DoS攻击?信息安全发展简史COMSEC通信保密:1949年Shannon发表COMPUSEC的《保密通信的信息理论》计算机安全(INFOSEC):美国八十年代初发布INFOSEC的橘皮书——可信计算机评估准则(TCSEC)网络安全(NETSEC):美国八十年代末出现的“莫里斯”蠕虫事件NETSECIA关于CNITSEC随着全球信息化的发展,信息安全成了网络时代的热点,为了保证我国信息产业的发展与安全,必须加强对信息安全产品、系统、服务的测评认证,中国信息安全产品测评认证中心正是由国家授权从事测评认证的

3、国家级测评认证实体机构。其中,测评与认证是两个不同概念,信息安全产品或系统认证需经过申请、测试、评估,认证一系列环节认证公告将在一些媒体上定期发布,只有通过认证的产品才会向公告,测试中或没有通过测试的产品不再公告之列对信息安全产品的测评认证制度是我国按照WTO规则建立的技术壁垒的管理体制我国的信息安全法律与国标当前我国现有的信息安全法律《中华人民共和国保守国家秘密法》其中规定:国家秘密的级别分为:绝密、机密、秘密三个级别在信息安全领域,与信息安全技术相关较密切的标准是GB/T18336我国推荐的标准是GB/T18020-1

4、999应用级防火墙安全技术要求对待屡犯不改的恶员工该怎么做?为了保护企业的知识产权和其它资产,当终止与员工的聘用关系时最好的办法是进行离职谈话,让员工签署保密协议,禁止员工账号,更改密码关于TCSEC可信计算机安全评估准则(TCSEC)与桔皮书有关ITSEC中的F1-F5对应TCSEC中C1到B3在桔皮书(theOrangeBook)中,B2级是第一个要求使用安全标签(securitylabel)的级别在橙皮书的概念中,信任是存在于操作系统中关于CCCC将评估过程划分为功能和保证两部分,评估等级分为EAL1、EAL2、EA

5、L3、EAL4、EAL5、EAL6和EAL7共七个等级。每一级均需评估7个功能类,分别是配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试和脆弱性评估。CC中安全功能/保证要求的三层结构是(按照由大到小的顺序):类、子类、组件我国的信息安全制度制定目前,我国信息安全管理格局是一个多方“齐抓共管”的体制,多头管理现状决定法出多门《计算机信息系统国际联网保密管理规定》是由国家保密局所制定的规章制度。其它标准和作用在层的方式当中,OSI参考模型描述了计算机通信服务和协议ISO9000标准系列着重于加工处理过程在信息

6、安全策略体系中,标准(Standard)属于计算机和信息安全的强制性规则数字证书在InternationalTelecommunicationsUnion(ITU)的X.509中定义的同样的X.400定义了电子邮件的加密什么是风险管理?风险就是威胁和漏洞风险分析的目的:识别资产、脆弱性并计算潜在的风险信息安全风险管理是基于可接受的成本,对影响信息系统的安全风险进行识别、控制、减少或消除的过程组织应依据信息安全方针和组织要求的安全保证程度来确定需要管理的信息安全风险风险越大,越需要保护风险管理的4个控制方法有:减低风险/转

7、嫁风险/规避风险/接受风险风险评估以后:软硬信息要管理、发生重大变化再风险评估、小变动严管理软件的供应商或是制造商可以在他们自己的产品中或是客户的计算机系统上安装一个“后门”程序。软件中止和黑客入侵是这种情况面临的最主要风险在执行风险分析的时候,预期年度损失(ALE)的计算是:单次预期损失乘以发生频率从风险的观点来看,一个具有任务紧急性,核心功能性的计算机应用程序系统的开发和维护项目应该:内部实现从风险分析的观点来看,计算机系统的最主要弱点是系统输入输出关于企业中的安全管理在许多组织机构中,产生总体安全性问题的主要原因是缺少

8、安全性管理体系当中要有明确的分工和职责(决策者、计算机操作员、数据库管理员):信息系统规划、信息系统管理、信息系统安全?时刻注意用户的行为:当前的员工给公司带来了最大的安全风险盗打电话屡禁不止,落

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。