返回
电子商务安全管理秦成德第9章--信息系统安全评估新

电子商务安全管理秦成德第9章--信息系统安全评估新

ID:44169106

大小:3.85 MB

页数:55页

时间:2019-10-19

电子商务安全管理秦成德第9章--信息系统安全评估新_第1页
电子商务安全管理秦成德第9章--信息系统安全评估新_第2页
电子商务安全管理秦成德第9章--信息系统安全评估新_第3页
电子商务安全管理秦成德第9章--信息系统安全评估新_第4页
电子商务安全管理秦成德第9章--信息系统安全评估新_第5页
资源描述:

《电子商务安全管理秦成德第9章--信息系统安全评估新》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第9章信息系统安全评估9.1信息系统安全标准9.2信息系统安全评估标准9.3国际与国内信息系统安全测评认证2021/8/2619.1信息系统安全标准9.1.1信息系统安全标准简介9.1.2我国的信息系统安全标准2021/8/2629.1.1信息系统安全标准简介信息系统安全标准是构建国家信息安全保护体系必须具备的技术、管理规范。国家要尽快建立自主完善的标准体系,同时要加强标准的普及使用。特别是要在主机等主要设备的操作系统和数据库安全技术、安全服务器技术和产品研发等方面实现迅速突破,为国家基础信息系统及重要信息系统提供第二级以上信息安全等级保护产品。信息系统安全的标准化是一项艰巨、长期的基础性工

2、作。在我国,有关主管部门十分关注信息安全标准化工作,在1984年7月组建了数据加密技术委员会,并于1997年8月改组成全国信息技术标准化委员会的信息安全技术分委员会,负责制定信息安全的国家标准,本着积极采用国际标准的原则,转化了一批国际信息安全基础技术标准。另外,公安部、安全部、国家保密局、国家密码管理委员会等相继制定、颁布了一批信息安全的行业标准,为推动信息安全技术在各行业的应用和普及发挥了积极的作用。2021/8/2639.1.2我国的信息系统安全标准截至2002年初,我国正式颁布信息安全相关国家标准已达40多项,规定了信息安全的不同技术要求。下面分类列表说明。1.安全技术及安全机制相关

3、国家标准(表9-1)表9-1安全技术及安全机制相关国家标准2021/8/2649.1.2我国的信息系统安全标准2.物理安全相关国家标准(表9-2)表9-2物理安全相关国家标准2021/8/2659.1.2我国的信息系统安全标准3.信息安全评估相关国家标准(表9-3)表9-3信息安全评估相关国家标准2021/8/2669.2信息系统安全评估标准9.2.1安全评估标准及其发展9.2.2信息系统安全评估标准9.2.3信息系统安全评估标准所面临的问题及改进建议2021/8/2679.2.1安全评估标准及其发展1.安全评估标准的概念信息系统安全评估是指评估机构依据信息系统安全评估标准(或准则),采用一

4、定的方法(方案)对信息安全产品或系统安全性进行评价。它包括对系统安全的技术和非技术环节进行测试,检查、审核等,是系统进行认证与认可的前期工作。与自评估相对,它是一种非常全面、深入、细致的评估。信息系统安全评估标准是信息系统安全评估的行动指南。2021/8/2689.2.1安全评估标准及其发展2.安全评估标准的发展在国际上,针对信息系统安全的等级防护和评估,先后制定了多个标准,其发展过程和关系见下图(图9-1)。但是,由于标准众多,对于标准的争论从未停息过。2021/8/2699.2.2信息系统安全评估标准1.侧重于对系统和产品的技术指标方面的标准美国国防部于1985年公布可信的计算机系统安全

5、评估标准(TCSEC,从橘皮书到彩虹系列),是计算机系统信息安全评估的第一个正式标准。它把计算机系统的安全分为4类、7个级别,对用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通道建立、安全检测、生命周期保障、文档写作、用户指南等内容提出了规范性要求。法、英、荷、德欧洲四国90年代初联合发布信息技术安全评估标准(ITSEC,欧洲百皮书),它提出了信息安全的机密性、完整性、可用性的安全属性。ITSEC把可信计算机的概念提高到可信信息技术的高度上来认识,对国际信息安全的研究、实施产生了深刻的影响。2021/8/26109.2.2信息系统安全评估标准2.偏重于安全管理方面的标准1995年

6、,英国贸工部根据英国国内企业对信息安全日益高涨的呼声,组织大企业的信息安全经理们,制定了世界上第一个信息安全管理体系标准BS7799-1:1995《信息安全管理实施规则》,作为工商业和大、中、小型组织实施信息安全管理的指南。1998年,为了适应第三方认证的需要,英国又制定了第一个信息安全管理体系认证标准-- BS7799-2:1998《信息安全管理体系规范》,作为对一个组织的全面或部分信息安全管理体系进行评审认证的依据标准。2021/8/26119.2.2信息系统安全评估标准信息系统安全管理标准发展过程如图9-2所示。2021/8/26129.2.2信息系统安全评估标准3.我国目前的信息系统

7、安全评估标准我国2001年由中国信息安全产品测评认证中心牵头,将ISO/IEC15408转化为国家标准——GB/T18336-2001《信息技术安全性评估准则》,并直接应用于我国的信息安全测评认证工作。其中,基础性等级划分标准--《GB17859—1999计算机信息系统安全保护等级划分准则》是其他标准的基础,是信息系统安全等级保护实施指南,为等级保护的实施提供指导。标准体系的基本思想概括为(如图9-3):以信

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。