2020 1 22 第18章信息安全建設(shè)標(biāo)準(zhǔn) 18 1通用安全原則18 2安全標(biāo)準(zhǔn)18 3安全法規(guī)18 4習(xí)題 18 1通用安全原則 18 1 1通用原則18 1 2安全策略18 1 3安全管理工具18 1 4物理安全18 1 5人員安全 2020 1 22 18 1 1通用原則 特權(quán)分離原則不主張單一的人員有足夠的權(quán)限導(dǎo)致核心事件的發(fā)生最小特權(quán)原則一個人進行控制或相應(yīng)的工作職責(zé)時 應(yīng)該只分配最低限度的權(quán)限 深度防御原則模糊安全依靠惡意入侵者不知道系統(tǒng)內(nèi)部所采用的管理安全措施這一事實來保證安全 2020 1 22 18 1 2安全策略 常見的安全策略可接受使用策略 讓策略能夠有效地限制用戶權(quán)限范圍內(nèi)的行為 同時還要求可以應(yīng)付不可預(yù)知的行為備份策略 應(yīng)付組織內(nèi)被保護的數(shù)據(jù)丟失或損壞保密策略數(shù)據(jù)管理策略 數(shù)據(jù)類型 最短保管時間 最長保管時間無線設(shè)備策略 無線設(shè)備能夠給組織造成很大程度的安全威脅 所以在制定該策略時應(yīng)當(dāng)小心謹(jǐn)慎 并能夠有力地執(zhí)行下去 2020 1 22 策略執(zhí)行政策制定建立共識人員培訓(xùn) 所有被策略影響的員工提供有效的教育與訓(xùn)練 組織提供的安全培訓(xùn)應(yīng)針對不同的角色定制具體的培訓(xùn)內(nèi)容策略執(zhí)行 包含強制執(zhí)行規(guī)定 明確闡明違反政策行為和應(yīng)遵循的程序時候所負(fù)的責(zé)任策略維護 包含強制執(zhí)行規(guī)定 明確闡明違反政策行為和應(yīng)遵循的程序時候所負(fù)的責(zé)任 2020 1 22 18 1 3安全管理工具 安全校驗表安全專家應(yīng)該審閱組織當(dāng)前存在的安全清單 確保概述的程序與組織內(nèi)的信息安全策略一致安全從業(yè)者可能希望建立自己安全校驗表用于具體的安全目的安全矩陣 2020 1 22 18 1 4物理安全 邊界防護 訪問控制防御的方式 柵欄 運動檢測器 巡邏 防御的等級很大程度上取決于該設(shè)施的用途和位置信息安全領(lǐng)域的深度防御原則也可同時用于物理安全領(lǐng)域電子實體保護電子設(shè)備發(fā)出的輻射在數(shù)百米遠(yuǎn)的地方都可以被利用重新恢復(fù)出其承載的內(nèi)容 2020 1 22 18 1 5人員安全 主要措施在為員工提供就業(yè)時 應(yīng)該首先進行背景調(diào)查對員工的行為進行監(jiān)控強制假期盡可能的提供給要離開公司的員工一個友好的環(huán)境 2020 1 22 18 2安全標(biāo)準(zhǔn) 18 2 1TCSEC18 2 2ITSEC18 2 3CTCPEC18 2 4FIPS18 2 5BS7799系列 ISO IEC27000系列 18 2 6ISO IECTR13335系列18 2 7SSE CMM18 2 8ITIL和BS1500018 2 9CC18 2 10CoBIT18 2 11NISTSP800系列 2020 1 22 信息技術(shù)安全評估標(biāo)準(zhǔn)的歷史和發(fā)展 2020 1 22 18 2 1TCSEC TCSEC TrustedComputerSystemEvaluationCriteria 可信計算機安全評價標(biāo)準(zhǔn) 標(biāo)準(zhǔn)是計算機系統(tǒng)安全評估的第一個正式標(biāo)準(zhǔn) 也稱為橘皮書 具有劃時代的意義4個安全等級D類安全等級 D1級C類安全等級 C1和C2級B類安全等級 B1 B2和B3級A類安全等級 A1級 2020 1 22 18 2 2ITSEC ITSEC InformationTechnologySecurityEvaluationCriteria 標(biāo)準(zhǔn)將安全概念分為功能與評估兩部分 功能準(zhǔn)則從F1 F10共分10級 1 5級對應(yīng)于TCSEC的D到A F6至F10級分別對應(yīng)數(shù)據(jù)和程序的完整性 系統(tǒng)的可用性 數(shù)據(jù)通信的完整性 數(shù)據(jù)通信的保密性以及機密性和完整性的網(wǎng)絡(luò)安全 ITSEC把完整性 可用性與保密性作為同等重要的因素 2020 1 22 18 2 3CTCPEC CTCPEC CanadianTrustedComputerProductEvaluationCriteria 是加拿大的評價標(biāo)準(zhǔn) 專門針對政府需求而設(shè)計 功能性需求共劃分為四大類 機密性 完整性 可用性和可控性 每種安全需求又可以分成很多小類 來表示安全性上的差別 分級條數(shù)為0 5級 2020 1 22 18 2 4FIPS 聯(lián)邦信息處理標(biāo)準(zhǔn) FederalInformationProcessingStandards FIPS 是一套描述文件處理 加密算法和其他信息技術(shù)標(biāo)準(zhǔn) 在非軍用政府機構(gòu)和與這些機構(gòu)合作的政府承包商和供應(yīng)商中應(yīng)用的標(biāo)準(zhǔn) 的標(biāo)準(zhǔn) 2020 1 22 18 2 5BS7799系列 BS7799第一部分全稱是CodeofPracticeforInformationSecurity 最新版成為ISO17799 2005ISO IEC17799 2005通過層次結(jié)構(gòu)化形式提供安全策略 信息安全的組織結(jié)構(gòu) 資產(chǎn)管理 人力資源安全等11個安全管理要素 還有39個主要執(zhí)行目標(biāo)和133個具體控制措施 最佳實踐 BS7799第二部分全稱是InformationSecurityManagementSpecification 最新版成為ISO IEC27001 2005ISO IEC27001 2005詳細(xì)說明了建立 實施和維護信息安全管理體系的要求 2020 1 22 18 2 6ISO IECTR13335系列 五部分標(biāo)準(zhǔn)ISO IEC13335 1 1996 IT安全的概念與模型 ISO IEC13335 2 1997 IT安全管理與策劃 ISO IEC13335 3 1998 IT安全管理技術(shù) ISO IEC13335 4 2000 防護措施的選擇 ISO IEC13335 5 2001 網(wǎng)絡(luò)安全管理指南 2020 1 22 18 2 7SSE CMM SSE CMM SystemSecurityEngineeringCapabilityMaturityModel 模型是專門用于系統(tǒng)安全工程的能力成熟度模型 三個相關(guān)組織過程工程過程風(fēng)險過程保證過程5個能力級別基本執(zhí)行級計劃跟蹤級充分定義級量化控制級持續(xù)改進級 2020 1 22 18 2 8ITIL和BS15000 ITIL的全稱是信息技術(shù)基礎(chǔ)設(shè)施庫 InformationTechnologyInfrastructureLibrary ITIL針對一些重要的IT實踐 詳細(xì)描述了可適用于任何組織的全面的清單 Checklists 任務(wù) Tasks 程序 Procedures 職責(zé) Responsibilities 等 服務(wù)交付 ServiceDelivery 服務(wù)支持 ServiceSupport BS15000ISO IEC20000 1ISO IEC20000 2ITIL不是一個正式標(biāo)準(zhǔn) 而是目前普遍實行的 事實 上的標(biāo)準(zhǔn) 2020 1 22 18 2 9CC 通用標(biāo)準(zhǔn)或通用準(zhǔn)則 CommonCriteria 簡稱CC 是指ISO IEC15408 1999標(biāo)準(zhǔn)組成部分GB T18336 1 2001idtISO IEC15408 1 1999信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第1部分 簡介和一般模型 GB T18336 2 2001idtISO IEC15408 2 1999信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第2部分 安全功能要求 GB T18336 3 2001idtISO IEC15408 3 1999信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第3部分 安全保證要求 2020 1 22 CC與其它標(biāo)準(zhǔn)的評測級別對應(yīng)關(guān)系圖 2020 1 22 18 2 10CoBIT CoBIT的全稱是信息和相關(guān)技術(shù)的控制目標(biāo) ControlObjectivesforInformationandrelatedTechnology 是ITGI提出的IT治理模型 ITGovernance 是一個IT控制和IT治理的框架 Framework 八個控制過程計劃和組織 Planning Organisation 采購和實施 Acquisition Implementation 交付和支持 Delivery Support 監(jiān)視和評估 Monitoring Evaluation 七個控制目標(biāo)機密性 Confidentiality 完整性 Integrity 可用性 Availability 有效性 Effectiveness 高效性 Efficiency 可靠性 Reliability 符合性 Compliance 2020 1 22 18 2 11NISTSP800系列 美國國家標(biāo)準(zhǔn)技術(shù)協(xié)會NIST發(fā)布的SpecialPublication800文檔是一系列針對信息安全技術(shù)和管理領(lǐng)域的實踐參考指南 主要文件SP800 12 計算機安全介紹 AnIntroductiontoComputerSecurity TheNISTHandbook SP800 30 IT系統(tǒng)風(fēng)險管理指南 RiskManagementGuideforInformationTechnologySystems SP800 34 IT系統(tǒng)應(yīng)急計劃指南 ContingencyPlanningGuideforInformationTechnologySystems SP800 26 IT系統(tǒng)安全自我評估指南 SecuritySelf AssessmentGuideforInformationTechnologySystems 2020 1 22 18 3安全法規(guī) 我國現(xiàn)階段的一些信息安全方面的法律法規(guī) 互聯(lián)網(wǎng)出版管理暫行規(guī)定 計算機信息系統(tǒng)保密管理暫行規(guī)定 計算機病毒防治管理辦法 計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)出入口信道管理辦法 計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法 公安部關(guān)于對與國際聯(lián)網(wǎng)的計算機信息系統(tǒng)進行備案工作的通知 計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法 中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實施辦法 中華人民共和國計算機信息系統(tǒng)安全保護條例 商用密碼管理條例 電子簽名法 2020 1 22 2020 1 22 18 4習(xí)題 一 選擇題1 常見的通用安全原則為特權(quán)分離原則 最小特權(quán)原則 深度防御原則以及下列哪一項 A 物理安全策略B 人員安全策略C 區(qū)域安全策略D 模糊安全策略2 數(shù)據(jù)管理策略不包括下列哪一項 A 最長保管時間B 最短保管時間C 數(shù)據(jù)安全D 數(shù)據(jù)類型 2020 1 22 二 問答題1 簡述最小特權(quán)原則的實施與重要性 2 簡述通用安全管理工具減輕執(zhí)行安全策略的過程 3 思考如何為一個組織或企業(yè)編寫并執(zhí)行具體的安全策略