直播:2007中国网络主管论坛(2)
2018-06-11 来源:
安全评估标准规范
中国软件评测中心副主任 相春雷
信息安全定义
我国相关立法给出的定义是:“保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”。这里面涉及了物理安全、运行安全与信息安全三个层面。
信息安全的标准
国外网络安全标准与政策现状
美国TCSEC(桔皮书) 欧洲ITSEC
加拿大CTCPEC
美国联邦准则(FC)
联合公共准则(CC)
ISO安全体系结构标准
2001年1月1日起由公安部主持制定、国家技术标准局发布的中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》开始实施。该准则将信息系统安全分为5个等级
自主保护级
系统审计保护级
安全标记保护级
结构化保护级
访问验证保护级
信息安全管理体系
信息安全管理体系是系统的对组织敏感信息进行管理,涉及到人,程序和信息科技(IT)系统。例如:ISO/IEC 17799 (BS7799-1)
信息安全不是有一个终端防火墙,或找一个24小时提供信息安全服务的公司就可以达到的。它需要全面的综合管理。信息安全管理体系的引入,可以协调各个方面信息管理,管理更为有效
信息安全风险评估
风险评估是信息安全管理体系(ISMS)建立的基础,是组织平衡安全风险和安全投入的依据,也是ISMS测量业绩、发现改进机会的最重要途径。
清晰地了解当前的风险和安全现状
明确地看到当前安全现状与安全目标之间的差距
为下一步控制和降低安全风险、设计解决方案和安全体系提供客观和翔实的依据
信息安全风险评估方法
安全工具扫描(网络、系统、数据库)
主机安全人工评估
入侵痕迹(后门)检查
模拟黑客渗透测试
业务软件安全评估
业务流程评估
网络拓扑结构评估
安全策略文档分析
安全审计和顾问访谈
感谢各位领导和来宾!
标签: 安全 标准 防火墙 美国 评测 数据库 网络 网络安全 网络安全标准 信息安全
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。
上一篇:2007中国网络主管论坛盛大开幕