《[精选]信息安全国际标准.pptx》由会员分享,可在线阅读,更多相关《[精选]信息安全国际标准.pptx(79页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Huawei Technologies Co.,LTD.Huawei Technologies Co.,LTD.信息安全国际标准培训信息安全国际标准培训华华 为为 技技 术术 有有 限限 公公 司司刘新娜刘新娜 CISSP/CISA/CCIE提纲提纲信息安全标准概述信息安全标准概述安全标准组织安全标准组织安全标准分类安全标准分类安全管理标准安全管理标准ISO17799安全技术标准安全技术标准安全产品标准安全产品标准CC安全工程标准安全工程标准SSE-CMM安全方法论安全方法论安全资格认证安全资格认证CISSP/CISA什么是信息安全?保密性 完整性 可用性 CONFIDENTIALATYINT
2、EGRITYAVAILABILITY什么是标准?标准:标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践的综合成果为基础,经有关方面协商一致,由主管部门批准,以特定的方式发布,作为共同遵守的准则和依据。强制性标准:保障人体健康、人身、财产安全的标准和法律、行政法规规定强制执行的标准;其它标准是推荐性标准。无规矩不成方圆无规矩不成方圆!提纲提纲信息安全标准概述信息安全标准概述安全标准组织安全标准组织安全标准分类安全标准分类安全管理标准安全管理标准ISO17799安全技术标准安全技术标准安全产品标准安全产品标准CC安全工程标准安全工程标准SSE-CMM安全方法论安全方法论安全资格认证安全
3、资格认证CISSP/CISA标准的来源政府组织政府组织NIST-National Institute of Standards and TechnologyNSA-National Security AgencyGAO-General Accounting OfficeBSI-British Standard Institution标准化组织标准化组织ISO/IEC JTC1 SC27 ANSI-American National Standards Institute 专业组织专业组织/行业联盟行业联盟 IEEEIETFW3CISSA-Information Systems Security
4、 AssociationITAA-Information Technology Association Of America大学大学ISO,国际标准化组织ISO是是International Organization for Standardization的简称的简称国际最大的标准化组织机构国际最大的标准化组织机构与与IEC联合成立的联合成立的JTC1/SC27 负责通负责通用信息技术安全标准的制定用信息技术安全标准的制定ISO/TC68 负责银行和金融效劳业务应负责银行和金融效劳业务应用范围内信息安全标准的制定用范围内信息安全标准的制定已发布的其他行业的重要标准已发布的其他行业的重要标准IS
5、O 9001ISO 14001IEC,国际电工 会IEC是是International Electrotechnical mission的简称的简称世界上最早的国际性电工标准化机构世界上最早的国际性电工标准化机构负责有关电工、电子领域的国际标准负责有关电工、电子领域的国际标准化工作化工作在信息安全技术标准化方面,同在信息安全技术标准化方面,同ISO联联合成立合成立JTC1在电磁兼容在电磁兼容EMC等方面成立技术等方面成立技术 会,会,制定相关国际标准制定相关国际标准ISO/IEC JTC1/SC27 JTC1Joint Technical mittee 1是ISO 及IEC的联合技术 会,SC
6、27 小组专门负责安全技术标准的制定、审核 已发布的局部标准ISO/IEC 18033 加密机制ISO/IEC 9796,14888.15964 数字签名ISO/IEC TR 13335 GMITSISO/IEC 15408 Evaluation criteria for IT SecurityISO/IEC 17799 Code of Practice for Information Security ManagementISO/IEC 21287 SSE-CMMNIST,国家标准技术协会NIST是 National Institute of Standards and Technology
7、的简称已发布的局部文献FIPSFederal Information Processing Standards Publications FIPS PUB 140-2 Security Requirements for Cryptographic ModulesFIPS PUB 180-1 Secure Hash StandardFIPS PUB 197 Advanced Encryption StandardSPSpecial Publications 800 series 是关于计算机安全的文献SP 800-12 puter Security HandbookSP 800-30 Risk
8、Management Guide for IT SystemsSP 800-44 Guidelines on Securing Public Web Servers其他组织ANSI,国家标准协会国家标准协会80年代初开始数据加密标准化工作制定了三个通用的国家标准ANSI X.9系列财务效劳安全标准ITU-T,国际电讯联盟,国际电讯联盟 前身是CCITT,单独或于ISO合作开发诸如消息处理系统、目录系统X.400系列、X.500系列和安全框架、安全模型等标准ITU-T X.509 The Directory:Authentication Framework其他组织IEEE-电气电子工程师协会在信
9、息安全方面主要是提出了LAN/WAN安全方面的标准和公钥密码标准IETF-Internet工程任务组 主要提出Internet标准草案和成为RFC的协议文稿,内容广泛,也包括安全方面的建议稿,经过网上讨论修改,被大家广泛接受就成了的事实上的标准标准提纲提纲概述概述安全标准组织安全标准组织安全标准分类安全标准分类安全管理标准安全管理标准ISO17799安全技术标准安全技术标准安全产品标准安全产品标准CC安全工程标准安全工程标准SSE-CMM安全方法论安全方法论安全资格认证安全资格认证CISSP/CISA安全标准的类型安全管理框架安全管理框架安全技术标准安全技术标准安全方法论安全方法论产品的安全性
10、保证产品的安全性保证安全工程标准安全工程标准安全的资格认证安全的资格认证提纲提纲概述概述安全标准组织安全标准组织安全标准分类安全标准分类安全管理标准安全管理标准ISO17799安全技术标准安全技术标准安全产品标准安全产品标准CC安全工程标准安全工程标准SSE-CMM安全方法论安全方法论安全资格认证安全资格认证CISSP/CISA安全管理框架OSI ISO 7498-2/10181开放系统互连第二局部 安全体系结构,10181是7498-2的后续标准,分局部描述5类安全效劳的实现GMITS,Guidelines for the Management of IT SecurityISO/IEC 1
11、3335 Guidelines for the Management of IT Security提供IT安全管理的指导BS 7799 AS/NZS 4444 ISO/IEC 17799信息安全管理的即成标准提供企业开发、实施、评估有效安全建设的框架ISF SOGP Information Security Forum ISF,信息安全优秀实践标准Standard of Good Practice for Information Security,1998 BS 7799介绍BS 7799 AS/NZS 4444 ISO/IEC 17799信息安全管理的即成标准提供企业开发、实施、评估有效安全
12、建设的框架BS 7799 包括两局部第一局部:提供安全管理的最正确实践,等同于 ISO/IEC 17799:2000提供10个领域的127项安全措施整套的基于业界经验的安全性最正确实践的指导第二局部ISMS标准 Specification for ISMS Information Security Management Systems提供依据第一局部进行内部审计、外部认证的流程体系什么是ISO17799/BS7799?关注于安全管理的框架和指导提供了10个方面36个安全目标,127项安全控制措施,建立了Best Practice指引;广泛应用于在政府、企业、金融、电信等行业,应用最广泛的安全标
13、准1993 1995 1993 1995 Department of Trade and Industry(UK)建立工作组进行信息系统安全研究 1995 1995 BS7799BS7799正式发布正式发布正式发布正式发布1998 BS7799:PART 21998 BS7799:PART 2ISMS ISMS 发布发布发布发布1999 BS77991999 BS7799:19991999发布发布发布发布ISO/IEC 17799:2000ISO/IEC 17799:200017799的十个方面Security Policy安全策略安全策略SecurityOrganization组织安全组织安
14、全PersonnelSecurity人员安全人员安全AssetClassificationand Control资产分类资产分类与控制与控制Physical andEnvironmentalSecurity物理与环境物理与环境安全安全Communications&OperationsManagement通信与运作通信与运作管理管理BusinessContinuityPlanning业务持续性业务持续性管理管理SystemDevelopmentandMaintenance系统开发系统开发与维护与维护AccessControl访问控制访问控制Compliance符合性符合性ISO17799 的文档
15、结构分为10个领域的安全实践建议分为36个子项,共127项安全控制措施安全方针1组织安全3资产分类与控制2人员安全3物理与环境安全3通信与操作安全7访问控制8系统开发与维护5业务持续方案1依从3安全策略控制目标:信息安全策略为信息安全提供管理指导和支持控制措施:信息安全策略文件复查和审查组织安全控制目标一:信息安全基础设施管理组织内部的信息安全控制目标二:第三方访问安全维护被第三方访问的基础设施和信息资产的安全控制目标三:外包当IT外包给其他组织负责时,维护信息的安全资产分类与控制控制目标一:资产责任保证对组织资产做适当的保护控制目标二:信息分类确保信息资产得到适当级别的保护人员安全控制目标一
16、:岗位安全责任和人员录用要求控制目标二:用户培训控制目标三:对安全事件和故障的响应物理与环境安全控制目标一:安全区域防止非授权访问控制目标二:设备安全防止资产的丧失,破坏和损坏;防止业务活动被中断控制目标三:一般性控制防止危害或窃取信息及设施通信和操作安全控制目标一:操作流程和责任控制目标二:系统规划和验收控制目标三:防范恶意软件控制目标四:内务管理备份,日志控制目标五:网络管理控制目标六:介质处理及安全控制目标七:信息和软件的交换访问控制控制目标一:访问控制的业务需求控制目标二:用户访问管理控制目标三:用户责任控制目标四:网络访问控制控制目标五:操作系统访问控制控制目标六:应用系统访问控制控
17、制目标七:监视系统访问和使用控制目标八:移动计算和通信系统开发和维护控制目标一:系统的安全需求控制目标二:应用系统的安全控制目标三:密码控制控制目标四:系统文件的安全控制目标五:开发和支持过程的安全业务连续性管理控制目标:业务连续性管理的各个方面控制措施业务连续性管理过程业务连续性和影响分析编写并实施连续性方案业务连续性方案框架测试,维护和复审业务连续性方案符合性控制目标一:符合法律要求控制目标二:对安全策略和技术的评审控制目标三:系统审核的考虑BS7799 第2局部BS 7799 PART 2 是一个标准。使用该标准对组织的信息安全管理体系进行审核与认证。通过使用该标准能使组织建立信信息安全
18、管理体系息安全管理体系ISMS。该标准提供以下内容建立信息安全管理体系ISMS指导成功实施信息安全的关键因素PDCA Plan-do-check-act模型持续性改进改进安全管理评估业务变化、新技术、新威胁对安全管理流程的影响Plan ISMS确实立Do ISMS的运用CheckISMS的监控Act ISMS的改善PDCA模型模型什么是ISO-7498-2信息处理系统 开放系统互连 基本参考模型 第2局部:安全体系结构Information processing system-Open Systems Interconnection-Basic Reference Model-Part2:Se
19、curity architecture提供安全效劳与有关机制的一般描述,这些效劳与机制可以为GB938788/ISO7498-1参考模型所配备。确定在参考模型内部可以提供这些效劳与机制的位置已被接受为国标GB/T 9387.21995五种安全效劳认证认证 对等实体认证 数据原发认证 访问控制访问控制 数据机密性数据机密性 连接机密性 无连接机密性 选择字段机密性 通信业务流机密性 数据完整性数据完整性 带恢复的连接完整性 不带恢复的连接完整性 选择字段的连接完整性 无连接完整性 选择字段无连接完整性 抗抵赖抗抵赖 有数据原发证明的抗抵赖有交付证明的抗抵赖 八种安全机制特定的安全机制用来实现以上
20、安全效劳加密 数字签名机制 访问控制机制 数据完整性机制 认证交换机制 通信业务填充机制 提供各种不同级别的保护,抵抗通信业务分析 路由选择控制机制 公证机制 效劳与机制的关系机机制制服服务务加密加密 数字数字签签名名 访问访问控制控制数据数据完整完整性性认证认证交交换换通信通信业务业务填充填充路由路由控制控制 公公证证对等实体认证数据原发认证访问控制效劳连接机密性无连接机密性选择字段机密性通信业务流机密性 带恢复的连接完整性不带恢复的连接完整性选择字段连接完整性无连接完整性选择字段无连接完整性抗抵赖,带数据原发证据抗抵赖,带交付接收证据效劳应用与OSI层的关系OSI层服务物理物理层层链链路路
21、层层网网络层络层传输层传输层会会话层话层表示表示层层应应用用层层对等实体认证数据原发认证访问控制效劳连接机密性无连接机密性选择字段机密性通信业务流机密性带恢复的连接完整性不带恢复的连接完整性选择字段连接完整性无连接完整性选择字段无连接完整性抗抵赖,带数据原发证据抗抵赖,带交付证据安全管理安全管理信息库SMIB是一个概念上的集存地,存储开放系统所需的与 安全有关的全部信息。这一概念对信息的存储形式与实施方式不提出要求。SMIB能有多种实现方法,例如:a数据表;b文卷;c嵌入实开放系统 软件或硬件中的数据或规则。OSI安全管理的分类:系统安全管理 涉及总的OSI环境安全方面的管理;例:总体安全策略
22、的管理、与别的OSI管理功能的相互作用、与安全效劳管理和安全机制管理的交互作用、事件处理管理、安全审计管理、安全恢复管理安全效劳管理 涉及特定安全效劳的管理;例:指定特定效劳的保护目标、指定与维护特定的安全机制、安全机制协商本地的与远程的、调用特定的安全机制、与别的安全效劳和安全机制的交互作用 安全机制管理 涉及的是特定安全机制的管理。例:密钥管理、加密管理、数字签名管理、访问控制管理等等OSI管理本身的安全 所有OSI管理功能和信息自身的安全。这一类安全管理将借助OSI安全效劳与机制以确保OSI管理协议与信息获得足够的保护。作为ISO 7498-2的后续标准,1988年开始建立ISO/IEC
23、 10181ISO/IEC 10181 Security frameworks for open systems 有七个局部第 2-6局部对应ISO 7498-2定义的5种效劳Part 1:概述Part 2:认证效劳架构Part 3:访问控制效劳架构Part 4:防抵赖效劳架构Part 5:数据保密效劳架构Part 6:数据完整效劳架构Part 7:安全审计、报警架构ISO/IEC 10181什么是ISO 13335ISO/IEC 13335,即,即IT安全管理指南安全管理指南Guidelines for the Management of IT Security,GMITS,是由是由ISO/
24、IEC JTC制定的技术报告制定的技术报告ISO/IEC 13335是一个信息安全管理方是一个信息安全管理方面的指导性标准面的指导性标准其目的是为有效实施其目的是为有效实施IT安全管理提供建安全管理提供建议议 ISO 13335GMITS的内容13335-1:IT安全概念和模型安全概念和模型包含了对IT安全和安全管理中一些基本概念和模型的解释13335-2:IT安全方案和管理安全方案和管理建议性地介绍了IT安全管理和方案的方式和要点 13335-3:IT安全管理技术安全管理技术描述了风险管理技术、IT安全方案的开发、实施和测试还包括策略审查、事件分析、IT安全教育等后续内容。13335-4:安
25、全措施的选择安全措施的选择描述了针对一个组织特定环境和安全需求可以选择的安全措施,不仅仅是技术性措施13335-5:网络安全的管理指导网络安全的管理指导提供了关于网络和通信安全管理的指导性内容,该指南为识别和分析建立网络安全需求时需要考虑的通信相关因素提供支持,也包括对可能的安全措施方面的简要介绍ISO13335 vs.BS7799与BS7799相比,ISO/IEC 13335只是一个技术报告和指导性文件,并不是可依据的认证标准也不像BS7799那样给出一个全面而完整的信息安全管理框架但13335在信息安全尤其是IT安全的某些具体环节切入较深,对实际的工作具有较好的指导价值,从可实施性上来说要
26、比BS7799好些另外13335对安全方案、安全策略、控制措施选择的内容的阐述要比BS7799具体很多总之,作为一个框架、总体要求和目标选择,总之,作为一个框架、总体要求和目标选择,BS7799是我们信息安全管理体系建设过程中要贯是我们信息安全管理体系建设过程中要贯彻的指导方针,而这期间的一些具体的活动则可以彻的指导方针,而这期间的一些具体的活动则可以参考参考13335,比方风险评估。,比方风险评估。提纲提纲概述概述安全标准组织安全标准组织安全标准分类安全标准分类安全管理标准安全管理标准ISO17799安全技术标准安全技术标准安全产品标准安全产品标准CC安全工程标准安全工程标准SSE-CMM安
27、全方法论安全方法论安全资格认证安全资格认证CISSP/CISAPKIFireWallLDAPVPN IDSAAAScannerSSO安全技术标准 Application Protocols SSL,S-Network Protocols IPSec Cryptography RSA,DSA,ECC DES,AES SHA-1 PKCSVulnerabilityCVE Authentication Kerberos RADIUS SAML Messaging S/MIME,OpenPGP,PEM XMLDSIG,XMLENC Application Security CORBA Security
28、 WS-Security提纲提纲概述概述安全标准组织安全标准组织安全标准分类安全标准分类安全管理标准安全管理标准ISO17799安全技术标准安全技术标准安全产品标准安全产品标准CC安全工程标准安全工程标准SSE-CMM安全方法论安全方法论安全资格认证安全资格认证CISSP/CISA 产品安全性保证标准 mon Criteria CC ISO/IEC 15408 Evaluation criteria for IT Security 针对产品或组件的保证标准e.g.Firewalls,IDS,OS 定义了7个 Evaluation Assurance Levels EAL 一级最低,七级最高19
29、96年国际上的六个国家美、加、英、法、德、荷联合提出了信息技术安全评价的通用准则CC。CC的基础是欧州的ITSEC,的包括 TCSEC 在内的新 的联邦评价标准,加拿大的 CTCPEC,以及 国际标准化组织ISO:SC27 WG3 的安全评价标准。Trusted puter System Evaluation Criteria TCSECThe Orange Book分为D/C1/C2/B1/B2/B3/A1七个等级C2-局部OS有:VMS,IBM OS/400,Windows NT,Novell NetWare 4.11,Oracle 7,DG AOS/VS II.B1-局部OS有:HP-U
30、X BLS,Cray Research Trusted Unicos 8.0,Digital SEVMS,Harris CS/SX,SGI Trusted IRIX.B2-局部OS有:Honeywell Multics,Cryptek VSLAN,Trusted XENIX B3-仅有的OS:Getronics/Wang Federal XTS-300 A1-Boeing MLS LAN,Gemini Trusted Network Processor,Honeywell S P.FIPS PUB 140-2 Cryptographic模块的安全要求标准 定义了4个等级。TCSEC1970年由
31、年由 国防部提出。国防部提出。1985年公布。年公布。主要为主要为 用标准。延用至民用。用标准。延用至民用。安全级别从高到低分为安全级别从高到低分为A、B、C、D四级,级下再分小级。四级,级下再分小级。彩虹系列彩虹系列 桔皮书:可信计算机系统评估准则桔皮书:可信计算机系统评估准则黄皮书:桔皮书的应用指南黄皮书:桔皮书的应用指南 红皮书:可信网络解释红皮书:可信网络解释 紫皮书:可信数据库解释紫皮书:可信数据库解释 TCSECqD:最小保护Minimal ProtectionqC1:自主安全保护Discretionary Security ProtectionqC2:访问控制保护Controll
32、ed Access ProtectionqB1:安全标签保护Labeled Security ProtectionqB2:结构化保护Structured ProtectionqB3:安全域保护Security DomainqA1:验证设计保护Verified Design低保证系统高保证系统CC标准的开展历程CC驱动因素CC要实现的目标成为统一的国际通用IT产品和系统安全标准目前,CC已经成为ISO国际标准15408在不同国家间达成协议,相互成认产品评估为开发者拓展国际舞台改善IT安全产品在全世界的可用性CC的目标读者消费者消费者-具有IT安全功能的产品购置指南购置指南产品开发者和集成商产品开
33、发者和集成商-具有IT安全功能的产品的开发基础开发基础评估员评估员-IT安全产品的评估基础评估基础审核员审核员,认证人员认证人员,授权人员授权人员-对他们的特定应特定应用用给予支持CC的内容组织CC定义了两类安全需求CC的关键概念评估目标评估目标 TOEIT产品或系统及其相关的管理指南和用户指南等文档,是评估的对象保护轮廓保护轮廓 Protect Profile PP满足特定消费者需求的、独立于实现的、关于某一类TOE的一组安全要求用户提出要求用户提出要求安全目标安全目标 Security Target ST依赖于实现的一组安全要求和说明,作为指定TOE的评估基础开发者给出开发者给出用户借助P
34、P定义需求厂商使用ST对用户需求做出响应PP、ST和TOE之间的关系评估保证等级CC总体结构安全产品评估框架模型CC vs.BS7799都是认证标准,但是对象不同,CC评估的对象是系统和产品,而7799关注的信息安全管理在依照BS7799标准来实施ISMS时,一些涉及系统和产品安全的技术要求,可以参考CC提纲提纲概述概述安全标准组织安全标准组织安全标准分类安全标准分类安全管理标准安全管理标准ISO17799安全技术标准安全技术标准安全产品标准安全产品标准CC安全工程标准安全工程标准SSE-CMM安全方法论安全方法论安全资格认证安全资格认证CISSP/CISA什么是SSE-CMMSSE-CMM是
35、系统安全工程能力成熟模型Systems Security Engineering Capability Maturity Model的缩写,它描述了一个组织的安全工程过程必须包含的本质特征,这些特征是完善的安全工程保证,为安全工程的应用提供了一个衡量和改进的途径 现代统计过程控制理论说明通过强调生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品SSE-CMM工程的目标是促进安全工程成为一个确定的、成熟的和可度量的科目 SSE-CMM工程进展来自于安全工程业界、国防部和加拿大通讯安全机构积极参与和共同的投入1995 1995 成立工程组成立工程组成立工程组成立工程组1996
36、1996 SSE-CMMv1SSE-CMMv1正式发布正式发布正式发布正式发布1997 SSE-CMM1997 SSE-CMM评定方法发布评定方法发布评定方法发布评定方法发布1999 SSE-CMMv21999 SSE-CMMv2发布发布发布发布2002 ISO/IEC 218272002 ISO/IEC 218272003 2003 SSE-CMMv3SSE-CMMv3发布发布发布发布SSE-CMM模型结构Base PracticesGenericPracticesProcess AreasProcess CategoryProcess AreasBase PracticesDomainCo
37、mmonFeaturesGenericPracticesGenericPracticesGenericPracticesGenericPracticesGenericPracticesBase PracticesBase PracticesBase PracticesBase PracticesProcess AreasProcess AreasCapabilityLevelCommonFeaturesCommonFeaturesCapability二维结构:Domain,CapabilityDomain 包含安全工程中的实践领域,分为3个主要的Process 类,22个PA,130多项BPC
38、apability 表示过程管理、衡量及制度化的能力,共分为5级,下面细分为12个 mon Features,以及近30个Generic Practices5级成熟能力12345非正式执行 没有控制计划并跟踪-引入了计划、跟踪和管理,周期性的评估执行的效果,并定义了改进过程;周期性的评估执行的效果,并定义了改进过程;适当定义-在组织内建立并共享 bestPractices量化控制-收集量化指标,进行量化管理持续改进系统安全工程过程风险过程工程过程保证过程SSE-CMM与ISO17799的内容比较SSE-CMMISO17799PA01:管理安全性控制4BPSection 5,Personnel
39、SecuritySection 6,munications and operationsManagementSection 8,Systems Development andMaintenancePA02:评估影响6BPIntroductionPA03:评估风险6BPIntroductionPA04:评估威胁6BPIntroductionPA05:评估脆弱性5BPIntroductionPA06:建立保证论据5BPSection 10,pliancePA07:协调安全性4BPSection 2,Security OrganizationSection 6,munications and ope
40、rationsManagementPA08:监视安全状态7BPSection 10,pliancePA09:提供安全性条件6BPSection 1,Security PolicySection 3,Asset Classification and ControlSection 5,Physical and Environmental SecurityPA10:特殊的安全性需求11BPSection 1,Security PolicySection 7,Access ControlSection 8,Systems Development andMaintenanceSection 9,Busi
41、ness Continuity PlanningPA11:确认和证实5BPSection 10,pliance提纲提纲概述概述安全标准组织安全标准组织安全标准分类安全标准分类安全管理标准安全管理标准ISO17799安全技术标准安全技术标准安全产品标准安全产品标准CC安全工程标准安全工程标准SSE-CMM安全方法论安全方法论安全资格认证安全资格认证CISSP/CISA安全方法论AS/NZS 4360澳洲/新西兰风险管理标准提供建立、实施风险管理过程的指导NIST SP 800-30Risk Management Guide for IT Systems建立、实施风险管理过程的指导OCTAVEOp
42、erationally Critical Threat,Asset,and Vulnerability Evaluation由CMU-SEICarnegie Mellon University-Software Engineering Institute建立的风险评估方法论提纲提纲概述概述安全标准组织安全标准组织安全标准分类安全标准分类安全管理标准安全管理标准ISO17799安全技术标准安全技术标准安全产品标准安全产品标准CC安全工程标准安全工程标准SSE-CMM安全方法论安全方法论安全资格认证安全资格认证CISSP/CISA 安全资格认证标准:CISSP Certified Informat
43、ion Systems Security Professional CISSP 由 ISC2进行认证管理 十个 mon Body of Knowledge CBK 访问控制Access Control Systems&Methodology 应用开发Applications&Systems Development 业务持续性Business Continuity Planning 加密Cryptography 法律、道德、调查Law,Investigation&Ethics 操作安全Operations Security 物理安全Physical Security 安全架构及模型Securit
44、y Architecture&Models 安全管理实践Security Management Practices 网络安全Tele munications,Network&Internet SecurityISC2=International Information Systems Security Certifications Consortium 安全资格认证标准:CISA Certified Information Systems Auditor CISA由 ISACA管理认证依据Control Objectives for Information and related Techno
45、logies CobiT 考试包括7个内容 IS方案、管理和组织Management,Planning&Organization of IS 技术结构及操作实践Technical Infrastructure&Operational Practices 信息资产保护Protection of Information Assets 灾难恢复及业务持续Disaster Recovery&Business Continuity 系统开发、实施、管理Business Application System Development,Acquisition,Implementation,&Maintenan
46、ce 商业过程评估及风险管理Business Process Evaluation&Risk Management IS审计IS Audit ProcessISACA=Information Systems Audit and Control Association安全资格认证标准:CISM Certified Information Security Manager CISM由 ISACA管理认证 面向安全管理人员 比CISSP/CISA更早的认证 包含5项内容信息安全管辖 Information Security Governance风险管理 Risk Management 信息安全程序管
47、理 Information Security Programme Management 信息安全管理 Information Security Management 安全响应管理Response ManagementISACA=Information Systems Audit and Control Association9、静夜四无邻,荒居旧业贫。4月-234月-23Monday,April 17,202310、雨中黄叶树,灯下白头人。19:12:5719:12:5719:124/17/2023 7:12:57 PM11、以我独沈久,愧君相见频。4月-2319:12:5719:12Apr-
48、2317-Apr-2312、故人江海别,几度隔山川。19:12:5719:12:5719:12Monday,April 17,202313、乍见翻疑梦,相悲各问年。4月-234月-2319:12:5719:12:57April 17,202314、他乡生白发,旧国见青山。17 四月 20237:12:57 下午19:12:574月-2315、比不了得就不比,得不到的就不要。四月 237:12 下午4月-2319:12April 17,202316、行动出成果,工作出财富。2023/4/17 19:12:5719:12:5717 April 202317、做前,能够环视四周;做时,你只能或者最好
49、沿着以脚为起点的射线向前。7:12:57 下午7:12 下午19:12:574月-239、没有失败,只有暂时停止成功!。4月-234月-23Monday,April 17,202310、很多事情努力了未必有结果,但是不努力却什么改变也没有。19:12:5719:12:5719:124/17/2023 7:12:57 PM11、成功就是日复一日那一点点小小努力的积累。4月-2319:12:5719:12Apr-2317-Apr-2312、世间成事,不求其绝对圆满,留一份缺乏,可得无限完美。19:12:5719:12:5719:12Monday,April 17,202313、不知香积寺,数里入云
50、峰。4月-234月-2319:12:5719:12:57April 17,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。17 四月 20237:12:57 下午19:12:574月-2315、楚塞三湘接,荆门九派通。四月 237:12 下午4月-2319:12April 17,202316、少年十五二十时,步行夺得胡马骑。2023/4/17 19:12:5719:12:5717 April 202317、空山新雨后,天气晚来秋。7:12:57 下午7:12 下午19:12:574月-239、杨柳散和风,青山澹吾虑。4月-234月-23Monday,April 17,202310