信息安全国际标准

HuaweiTechnologiesCo.,LTD.信息安全国际标准培训华为技术有限公司刘新娜CISSP/CISA/CCIE2华为技术提纲信息安全标准概述安全标准组织安全标准分类安全管理标准（ISO17799）安全技术标准安全产品标准（CC）安全工程标准（SSE-CMM）安全方法论安全资格认证（CISSP/CISA）什么是信息安全？保密性完整性可用性CONFIDENTIALATYINTEGRITYAVAILABILITY什么是标准？•标准：标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践的综合成果为基础，经有关方面协商一致，由主管部门批准，以特定的方式发布，作为共同遵守的准则和依据。•强制性标准：保障人体健康、人身、财产安全的标准和法律、行政法规规定强制执行的标准；其它标准是推荐性标准。无规矩不成方圆•无规矩不成方圆!6华为技术提纲信息安全标准概述安全标准组织安全标准分类安全管理标准（ISO17799）安全技术标准安全产品标准（CC）安全工程标准（SSE-CMM）安全方法论安全资格认证（CISSP/CISA）标准的来源•政府组织–NIST-NationalInstituteofStandardsandTechnology–NSA-NationalSecurityAgency–GAO-GeneralAccountingOffice–BSI-BritishStandardInstitution•标准化组织–ISO/IECJTC1SC27–ANSI-AmericanNationalStandardsInstitute•专业组织/行业联盟–IEEE–IETF–W3C–ISSA-InformationSystemsSecurityAssociation–ITAA-InformationTechnologyAssociationOfAmerica)•大学ISO，国际标准化组织•ISO是InternationalOrganizationforStandardization的简称•国际最大的标准化组织机构•与IEC联合成立的JTC1/SC27负责通用信息技术安全标准的制定•ISO/TC68负责银行和金融服务业务应用范围内信息安全标准的制定•已发布的其他行业的重要标准–ISO9001–ISO14001IEC，国际电工委员会•IEC是InternationalElectrotechnicalCommission的简称•世界上最早的国际性电工标准化机构•负责有关电工、电子领域的国际标准化工作•在信息安全技术标准化方面，同ISO联合成立JTC1•在电磁兼容EMC等方面成立技术委员会，制定相关国际标准ISO/IECJTC1/SC27–JTC1(JointTechnicalCommittee1)是ISO及IEC的联合技术委员会,SC27小组专门负责安全技术标准的制定、审核–已发布的部分标准•ISO/IEC18033加密机制•ISO/IEC9796,14888.15964数字签名•ISO/IECTR13335GMITS•ISO/IEC15408EvaluationcriteriaforITSecurity•ISO/IEC17799CodeofPracticeforInformationSecurityManagement•ISO/IEC21287SSE-CMMNIST，国家标准技术协会•NIST是美国NationalInstituteofStandardsandTechnology的简称•已发布的部分文献•FIPS（FederalInformationProcessingStandardsPublications）–FIPSPUB140-2SecurityRequirementsforCryptographicModules–FIPSPUB180-1SecureHashStandard–FIPSPUB197AdvancedEncryptionStandard•SP（SpecialPublications800series是关于计算机安全的文献）–SP800-12ComputerSecurityHandbook–SP800-30RiskManagementGuideforITSystems–SP800-44GuidelinesonSecuringPublicWebServers其他组织•ANSI，美国国家标准协会–80年代初开始数据加密标准化工作–制定了三个通用的国家标准•ANSIX.9系列财务服务安全标准•ITU-T，国际电讯联盟–前身是CCITT，单独或于ISO合作开发诸如消息处理系统、目录系统（X.400系列、X.500系列）和安全框架、安全模型等标准•ITU-TX.509TheDirectory:AuthenticationFramework其他组织•IEEE-电气电子工程师协会–在信息安全方面主要是提出了LAN/WAN安全方面的标准和公钥密码标准•IETF-Internet工程任务组–主要提出Internet标准草案和成为RFC的协议文稿，内容广泛，也包括安全方面的建议稿，经过网上讨论修改，被大家广泛接受就成了的事实上的标准标准14华为技术提纲概述安全标准组织安全标准分类安全管理标准（ISO17799）安全技术标准安全产品标准（CC）安全工程标准（SSE-CMM）安全方法论安全资格认证（CISSP/CISA）安全标准的类型•安全管理框架•安全技术标准•安全方法论•产品的安全性保证•安全工程标准•安全的资格认证16华为技术提纲概述安全标准组织安全标准分类安全管理标准（ISO17799）安全技术标准安全产品标准（CC）安全工程标准（SSE-CMM）安全方法论安全资格认证（CISSP/CISA）安全管理框架•OSI–ISO7498-2/10181–开放系统互连第二部分安全体系结构，10181是7498-2的后续标准，分部分描述5类安全服务的实现•GMITS,GuidelinesfortheManagementofITSecurity–ISO/IEC13335GuidelinesfortheManagementofITSecurity–提供IT安全管理的指导•BS7799AS/NZS4444ISO/IEC17799–信息安全管理的即成标准–提供企业开发、实施、评估有效安全建设的框架•ISFSOGP–InformationSecurityForum(ISF),信息安全优秀实践标准（StandardofGoodPracticeforInformationSecurity,1998）BS7799介绍•BS7799AS/NZS4444ISO/IEC17799–信息安全管理的即成标准–提供企业开发、实施、评估有效安全建设的框架–BS7799包括两部分•第一部分:提供安全管理的最佳实践，等同于ISO/IEC17799:2000–提供10个领域的127项安全措施–整套的基于业界经验的安全性最佳实践的指导•第二部分ISMS规范SpecificationforISMS(InformationSecurityManagementSystems)–提供依据第一部分进行内部审计、外部认证的流程体系什么是ISO17799/BS7799？•关注于安全管理的框架和指导•提供了10个方面36个安全目标，127项安全控制措施，建立了BestPractice指引；•广泛应用于在政府、企业、金融、电信等行业，应用最广泛的安全标准1993–1995DepartmentofTradeandIndustry(UK)建立工作组进行信息系统安全研究1995BS7799正式发布1998BS7799:PART2ISMS发布1999BS7799：1999发布ISO/IEC17799:200017799的十个方面SecurityPolicy安全策略SecurityOrganization组织安全PersonnelSecurity人员安全AssetClassificationandControl资产分类与控制PhysicalandEnvironmentalSecurity物理与环境安全Communications&OperationsManagement通信与运作管理BusinessContinuityPlanning业务持续性管理SystemDevelopmentandMaintenance系统开发与维护AccessControl访问控制Compliance符合性ISO17799的文档结构•分为10个领域的安全实践建议分为36个子项，共127项安全控制措施–安全方针（1）–组织安全（3）–资产分类与控制（2）–人员安全（3）–物理与环境安全（3）–通信与操作安全（7）–访问控制（8）–系统开发与维护（5）–业务持续计划（1）–依从（3）安全策略•控制目标:信息安全策略–为信息安全提供管理指导和支持•控制措施:–信息安全策略文件–复查和审查组织安全•控制目标一:信息安全基础设施–管理组织内部的信息安全•控制目标二:第三方访问安全–维护被第三方访问的基础设施和信息资产的安全•控制目标三:外包–当IT外包给其他组织负责时,维护信息的安全资产分类与控制•控制目标一:资产责任–保证对组织资产做适当的保护•控制目标二:信息分类–确保信息资产得到适当级别的保护人员安全•控制目标一:岗位安全责任和人员录用要求•控制目标二:用户培训•控制目标三:对安全事件和故障的响应物理与环境安全•控制目标一:安全区域–防止非授权访问•控制目标二:设备安全–防止资产的丢失,破坏和损坏;防止业务活动被中断•控制目标三:一般性控制–防止危害或窃取信息及设施通信和操作安全•控制目标一:操作流程和责任•控制目标二:系统规划和验收•控制目标三:防范恶意软件•控制目标四:内务管理(备份,日志)•控制目标五:网络管理•控制目标六:介质处理及安全•控制目标七:信息和软件的交换访问控制•控制目标一:访问控制的业务需求•控制目标二:用户访问管理•控制目标三:用户责任•控制目标四:网络访问控制•控制目标五:操作系统访问控制•控制目标六:应用系统访问控制•控制目标七:监视系统访问和使用•控制目标八:移动计算和通信系统开发和维护•控制目标一:系统的安全需求•控制目标二:应用系统的安全•控制目标三:密码控制•控制目标四:系统文件的安全•控制目标五:开发和支持过程的安全业务连续性管理•控制目标:业务连续性管理的各个方面•控制措施–业务连续性管理过程–业务连续性和影响分析–编写并实施连续性计划–业务连续性计划框架–测试,维护和复审业务连续性计划符合性•控制目标一:符合法律要求•控制目标二:对安全策略和技术的评审•控制目标三:系统审核的考虑BS7799第2部分•BS7799PART2是一个规范。使用该规范对组织的信息安全管理体系进行审核与认证。通过使用该规范能使组织建立信息安全管理体系（ISMS）。该规范提供以下内容•建立信息安全管理体系（ISMS）指导•成功实施信息安全的关键因素•PDCA(Plan-do-check-act)模型•持续性改进–改进安全管理–评估业务变化、新技术、新威胁对安全管理流程的影响PlanISMS的确立DoISMS的运用CheckISMS的监控ActISMS的改善PDCA模型什么是ISO-7498-2•信息处理系统开放系统互连基本参考模型第2部分:安全体系结构Informationprocessingsystem--OpenSystemsInterconnection--BasicReferenceModel--Part2:Securityarchitecture•提供安全服务与有关机制的一般描述,这些服务与机制可以为GB9387—88/ISO7498-1参考模型所配备。确定在参考模型内部可以提供这些服务与机制的位置•已被接受为国标GB/T9387.2—1995五种安全服务•认证–对等实体认证–数据原发认证•访问控制•数据机密性–连接机密性–无连接机密