返回
信息安全审计培训讲义new

信息安全审计培训讲义new

ID:45120742

大小:3.23 MB

页数:186页

时间:2019-11-10

信息安全审计培训讲义new_第1页
信息安全审计培训讲义new_第2页
信息安全审计培训讲义new_第3页
信息安全审计培训讲义new_第4页
信息安全审计培训讲义new_第5页
资源描述:

《信息安全审计培训讲义new》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全审计陈越Email:creekchen@gmail.comMSN:creekchen@hotmail.comTel:13426364699工业与信息化部培训中心2信息安全与审计基础及理论知识信息安全与审计的概念、目标、范围信息安全审计/IT审计/信息系统安全审计审计应该是独立的。审计与信息安全的目标是一致的,而不是对立的。信息安全与IT审计的关系信息安全其中一项必不可少的内容是IT审计IT审计主要针对的是信息安全,也包含其他内容信息安全与IT审计有很大的重合点1.不懂信息安全如何进行IT审计2.

2、要做好IT审计必须了解信息安全3一、信息安全基础与理论1.1信息安全内容概述1.2美国标准TCSEC1.3欧洲标准ITSEC1.4CC标准1.5CC、TCSEC、ITSEC对应关系1.6CISSP介绍1.7SSE-CMM1.8BS7799/ISO7799/ISO270011.9ITIL4一、信息安全基础与理论1.10ISO154081.11ISO133351.12GB18336等级保护《商业银行信息科技风险管理指引》51.1信息安全基础-三要素信息安全内容概述计算机安全信息安全三要素Confidenti

3、alityIntegrityAvailability61.信息安全基础-北美标准TCSEC美国国防部(TrustedComputerSystemsEvaluationCriteria)安全等级A验证保护B强制保护C自主保护D无保护FC美联邦标准(FederalCriteria)CTCPEC加拿大标准(CanadianTrustedComputerProductEvaluationCriteria)71.3信息安全基础-欧洲标准ITSECInformationTechnologySecurityEvalu

4、ationCriteria英法德荷四国制定ITSEC是欧洲多国安全评价方法的综合产物,应用领域为军队、政府和商业。该标准将安全概念分为功能与评估两部分。功能准则从F1~F10共分10级。1~5级对应于TCSEC的D到A。F6至F10级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及机密性和完整性。与TCSEC不同,它并不把保密措施直接与计算机功能相联系,而是只叙述技术安全的要求,把保密作为安全增强功能。另外,TCSEC把保密作为安全的重点,而ITSEC则把完整性、可用性与

5、保密性作为同等重要的因素。ITSEC定义了从E0级(不满足品质)到E6级(形式化验证)的7个安全等级,对于每个系统,安全功能可分别定义。81.4信息安全基础-国际标准CC(CommonCriteria)美英法德荷加六国制定的共同标准包含的类FAU安全审计FCO通信FCS密码支持FDP用户数据保护FIA标识与鉴别FMT安全管理FPR隐私FPTTSF保护(固件保护,TOESecurityFunctions,TOESecurityPolicy,(TargetOfEvaluation))FRU资源利用FTATO

6、E访问FTP可信信道/路径91.5信息安全基础-国际标准CC、TCSEC、ITSEC对应关系CCTCSECITSEC-DE0EAL1--EAL2C1E1EAL3C2E2EAL4B1E3EAL5B2E4EAL6B3E5EAL7A1E6101.5信息安全基础-国际标准CC分为三个部分:第1部分"简介和一般模型",正文介绍了CC中的有关术语、基本概念和一般模型以及与评估有关的一些框架,附录部分主要介绍保护轮廓(PP)和安全目标(ST)的基本内容。第2部分"安全功能要求",按"类--子类--组件"的方式提出安全

7、功能要求,每一个类除正文以外,还有对应的提示性附录作进一步解释。第3部分“安全保证要求”,定义了评估保证级别,介绍了PP和ST的评估,并按“类--子类--组件”的方式提出安全保证要求111.5信息安全基础-国际标准CC的三个部分相互依存,缺一不可。第1部分是介绍CC的基本概念和基本原理第2部分提出了技术要求第3部分提出了非技术要求和对开发过程、工程过程的要求。这三部分的有机结合具体体现在PP和ST中,PP和ST的概念和原理由第1部分介绍,PP和ST中的安全功能要求和安全保证要求在第2、3部分选取,这些安

8、全要求的完备性和一致性,由第2、3两部分来保证。CC作为评估信息技术产品和系统安全性的世界性通用准则,是信息技术安全性评估结果国际互认的基础。121.5信息安全基础-国际标准131.7信息安全基础-SSE-CMMSSE-CMM(SystemSecurityEngineeringCapabilityMaturityModel)模型是CMM在系统安全工程这个具体领域应用而产生的一个分支,是美国国家安全局(NSA)领导开发的,是专门用于系统安全工

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。