安全評估標準規(guī)范

中國軟件評測中心副主任 相春雷

　　信息安全定義

　　我國相關(guān)立法給出的定義是：“保障計算機及其相關(guān)的和配套的設(shè)備、設(shè)施（網(wǎng)絡(luò)）的安全，運行環(huán)境的安全，保障信息安全，保障計算機功能的正常發(fā)揮，以維護計算機信息系統(tǒng)的安全”。這里面涉及了物理安全、運行安全與信息安全三個層面。

信息安全的標準

國外網(wǎng)絡(luò)安全標準與政策現(xiàn)狀

美國TCSEC（桔皮書） 歐洲ITSEC
加拿大CTCPEC
美國聯(lián)邦準則（FC）
聯(lián)合公共準則（CC）
ISO安全體系結(jié)構(gòu)標準

2001年1月1日起由公安部主持制定、國家技術(shù)標準局發(fā)布的中華人民共和國國家標準GB17895-1999《計算機信息系統(tǒng)安全保護等級劃分準則》開始實施。該準則將信息系統(tǒng)安全分為5個等級

自主保護級
系統(tǒng)審計保護級
安全標記保護級
結(jié)構(gòu)化保護級
訪問驗證保護級

信息安全管理體系

　　信息安全管理體系是系統(tǒng)的對組織敏感信息進行管理，涉及到人，程序和信息科技(IT)系統(tǒng)。例如：ISO/IEC 17799 （BS7799－1）

　　信息安全不是有一個終端防火墻，或找一個24小時提供信息安全服務(wù)的公司就可以達到的。它需要全面的綜合管理。信息安全管理體系的引入，可以協(xié)調(diào)各個方面信息管理，管理更為有效

信息安全風(fēng)險評估

　　風(fēng)險評估是信息安全管理體系（ISMS）建立的基礎(chǔ)，是組織平衡安全風(fēng)險和安全投入的依據(jù)，也是ISMS測量業(yè)績、發(fā)現(xiàn)改進機會的最重要途徑。

　　清晰地了解當前的風(fēng)險和安全現(xiàn)狀

　　明確地看到當前安全現(xiàn)狀與安全目標之間的差距

　　為下一步控制和降低安全風(fēng)險、設(shè)計解決方案和安全體系提供客觀和翔實的依據(jù)

信息安全風(fēng)險評估方法

安全工具掃描(網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)庫)
主機安全人工評估
入侵痕跡（后門）檢查
模擬黑客滲透測試
業(yè)務(wù)軟件安全評估
業(yè)務(wù)流程評估
網(wǎng)絡(luò)拓撲結(jié)構(gòu)評估
安全策略文檔分析
安全審計和顧問訪談

感謝各位領(lǐng)導(dǎo)和來賓！

標簽： 安全 標準 防火墻 美國 評測 數(shù)據(jù)庫 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全標準 信息安全

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。