TopsecCertifiedSecurityProfessional天融信TCSP认证体系介绍TopsecCertifiedSecurityProfessional第一章信息安全保障体系TOPSEC天融信培训拓展部TOPSEC目录11.1信息安全概述信息安全发展回顾1.2信息安全理论及其特征1.3标准及法律法规TOPSEC软件应用平台网络平台(网络设备、网络协议、网络软件)财务软件物流软件ERP软件OA软件应用平台信息流信息流信息流Internet2.信息安全的定义机制定义鉴别访问控制审计加密防重放机密性完整性可用性抗抵赖可控性真实性责任性3.信息安全的特征信息安全的特点信息化信息安全复杂性只多不少难量化看不见摸不着通信工程综合布线机房设计信息模型网络建设应用开发物理数学通信材料计算机软件社会学网络吞吐量网络带宽利用率数据库TPC指标应用程序效率性能问题TOPSEC世纪,40-70年代搭线窃听、密码学分析加密计算机安全20世纪,70-90年代非法访问、恶意代码、脆弱口令等安全操作系统设计技术(TCB)信息系统安全20世纪,90年代后网络入侵、病毒破坏、信息对抗等防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等信息安全保障今天,······黑客、恐怖分子、信息战、自然灾难等技术安全保障体系、安全管理体系、人员意识/培训/教育、认证和认可TOPSEC信息安全理论及其特征与传统安全相比,信息安全有4个鲜明特征:系统性、动态性、无边界性和非传统性。信息安全是系统的安全信息安全是动态的安全信息安全是无边界的安全信息安全是非传统的安全TOPSEC标准和标准化的基本概念标准是为了在一定范围内获得最佳秩序,经协商一致制定并由公认机构批准,共同使用的和重复使用的一种规范性文件。对没有国家标准而又需要在全国某个行业范围内统一的技术要求,可以制定行业标准。标准化即为了在一定范围内获得最佳秩序,对现实问题或潜在问题制定共同使用和重复使用的条款的活动。标准及法律法规TOPSEC标准化的特点和原则标准化的对象可以概括为“物”、“事”、“人”三方面标准化是一个动态的概念标准化是一个相对的概念标准及法律法规标准化原则简化统一协调优化TOPSEC信息安全标准化组织标准及法律法规国际信息安全标准化组织美国信息安全标准化组织我国信息安全标准化组织国际标准化组织(ISO)国际电工委员会(IEC)国际电信联盟(ITU)Internet工程任务组(IETF)……美国国家标准化协会(ANSI)美国国家标准技术研究所(NIST)美国国防部(DOD)美国电气电工工程师协会(IEEE)信息技术安全标准化技术委员会(CITS)全国信息安全标准化技术委员会(TC260)网络与信息安全技术工作委员会TOPSEC标准及法律法规我国国家标准的类型和代码我国的国家标准分别有:GB强制性国家标准、GB/T推荐性国家标准和GB/Z国家标准化指导性技术文件。信息安全技术评估准则信息系统安全保证评估框架国际标准ISO/IEC27001和ISO/IEC27002CC标准—《信息技术安全评估通用准则》ISO/IEC15408:2005GB/T20274《信息安全技术信息系统安全保障评估框架》分为四个部分:---第1部分:简介和一般模型---第2部分:技术保障---第3部分:管理保障---第4部分:工程保障1993年BS77991995年BS7799-1:19951998年《信息安全管理体系规范》2000年ISO/IEC17799:2000《信息技术-信息安全管理实施细则》2005年ISO/IEC17799:2005《信息技术-安全技术-信息安全管理实施细则》2007年ISO/IEC27002TOPSEC标准及法律法规TOPSEC标准及法律法规我国信息安全管理重要标准1.GB/T20984《信息安全风险评估规范》2.GB/Z24364《信息安全风险管理规范》3.GB/Z20985《信息安全事件管理指南》4.GB/Z20986《信息安全事件分类分级指南》5.GB/T20988《信息系统灾难恢复规范》TOPSEC中风险评估模型-1TOPSEC中风险评估模型-2TOPSEC中风险管理步骤TOPSEC中安全事件管理过程规划和准备•制定信息安全事件管理策略,获得高级管理层的承诺•制定信息安全事件管理方案•对公司及系统/服务/网络安全进行风险分析和管理,更新策略•建立ISIRT•发布信息安全事件管理意识简报并开展培训•测试信息安全事件管理方案使用•检测并报告信息安全事态•评估并决定是否将事态归类为信息安全事件•对信息安全事件做出响应,其中包括进行法律取证分析评审•进一步进行法律取证分析•总结经验教训•确定安全的改进之处•确定信息安全事件管理方案的改进之处改进•改进安全风险分析和管理评审的结果•启动对安全的改进•改进信息安全事件管理方案TOPSEC标准及法律法规我国目前信息安全法律体系的主要特点1.信息安全法律法规体系初步形成2.与信息安全相关的司法和行政管理体系迅速完善3.目前法律规定中法律少而规章等偏多,缺乏信息安全的基本法4.相关法律规定篇幅偏小,行为规范较简单5.与信息安全相关的其他法律有待完善TOPSEC标准及法律法规我国信息安全法律体系的发展过程1991年《全国劳动管理信息计算机系统病毒防治规定》1994年2月18日《中华人民共和国计算机信息系统安全保护条例》1994年以后《计算机信息网络国际联网安全保护管理办法》(公安部)、《计算机信息系统保密管理暂行规定》(国家保密局)、《商用密码管理条例》、《金融机构计算机信息安全保护工作暂行规定》……2000年12月28日《全国人民代表大会常务委员会关于维护互联网安全的决定》2000年以后《互联网信息服务管理办法》、《计算机信息系统国际联网保密管理规定》(国家保密局)、《计算机病毒防治管理办法》(公安部)……2003年7月《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)2003年以后《电子签名法》、《电子认证服务管理办法》、《证券期货业信息安全保障管理暂行办法》、《广东省电子政务信息安全管理暂行办法》、《上海市信息系统安全测评管理办法》、《北京市信息安全服务单位资质等级评定条件(试行)》……TOPSEC建立信息安全保障体系的目的保障和促进信息化发展维护企业与公民的合法权益构建安全可信的网络信息传播秩序保护互联网知识产权TOPSEC建立信息安全保障体系的目的安全需求要保护的资源攻击者:目的、手段、后果系统所面临已知、可能威胁系统各部件的缺陷和隐患分析形成风险安全需求建立TOPSEC建立信息安全保障体系的目的平衡关系风险——安全——投资安全需求和安全策略应尽可能的制约所预见的系统风险及其变化,两个原则:将风险降低到可接受程度。威胁攻击信息系统的代价大于获得的利益。为系统提供经济、有效的安全服务,保障系统安全运行TOPSEC