精华内容
下载资源
问答
  • 以数字校园典型案例——“个人基本事项申报系统”为例,构建了基于 1C4GS 的高校管理信息系统安全应用方案,对包括透明数据加密,用户身份鉴别,表单编辑缓存在内的多种安全技术和策略进行了有机整合,实现了管理...
  • 信息安全系统安全体系

    千次阅读 2019-01-13 15:00:29
    安全机制是提供某些安全服务,利用各种安全技术和技巧,形成的一个较为完善的结构体系。安全服务是从网络中的各个层次提供信息应用系统需要的安全服务支持。网络模型、安全机制、安全服务应用到一起会产生信息系统...

    信息安全系统是基于OSI网络模型,通过安全机制和安全服务达成信息安全的系统。安全机制是提供某些安全服务,利用各种安全技术和技巧,形成的一个较为完善的结构体系。安全服务是从网络中的各个层次提供信息应用系统需要的安全服务支持。网络模型、安全机制、安全服务应用到一起会产生信息系统需要的安全空间,安全空间包括五大属性:认证、权限、完整、加密、不可否认。

    安全机制的主要内容:

    1.基础设施实体安全。机房、场地、设施、动力系统、安全预防和恢复等物理上的安全。

    2.平台安全。操作系统漏洞检测和修复、网络基础设施漏洞检测与修复、通用基础应用程序漏洞检测与修复、网络安全产品部署,这些是软件环境平台的安全。

    3.数据安全。涉及数据的物理载体、数据本身权限、数据完整可用、数据监控、数据备份存储。

    4.通信安全。涉及通信线路基础设施、网络加密、通信加密、身份鉴别、安全通道和安全协议漏洞检测等。

    5.应用安全。涉及业务的各项内容,程序安全性测试、业务交互防抵赖测试、访问控制、身份鉴别、备份恢复、数据一致性、数据保密性、数据可靠性、数据可用性等业务级别的安全机制内容。

    6.运行安全。涉及程序应用运行之后的维护安全内容,包括应急处置机制、网络安全监测、网络安全产品运行监测、定期检查评估、系统升级补丁提供、最新安全漏洞和通报、灾难恢复机制、系统改造、网络安全技术咨询等。

    7.管理安全。涉及应用使用到的各种资源,包括人员、培训、应用系统、软件、设备、文档、数据、操作、运行、机房等。

    8.授权和审计安全。授权安全是向用户和应用程序提供权限管理和授权服务,负责向业务应用系统系统授权服务管理、用户身份到应用授权的映射功能。审计安全是信息安全系统必须支持的功能特性,主要是检查网络内活动用户、侦测潜在威胁、统计日常运行状况、异常事件和突发事件的事后分析、辅助侦查取证。

    9.安全防范体系。企业信息安全资源综合管理,含六项功能:预警、保护、检测、反应、回复、反击。

    安全服务的主要内容:

    1.对等实体认证服务。交互双方的身份认证

    2.数据保密服务。

    3.数据完整性服务

    4.数据源点认证服务

    5.禁止否认服务。包括不得否认发送、不得否认接收

    6.犯罪证据提供服务

    安全技术的主要内容:

    1.加密技术

    2.数字签名技术。独有解决收发双方纠纷的能力

    3.访问控制技术

    4.数据完整性技术。包括数据单元的完整性、数据单元序列的完整性

    5.认证技术

    6.数据挖掘技术

    信息安全保障系统的三种不同系统架构:MIS+S、S-MIS、S2-MIS。

    MIS+S是基本信息保障系统,特点如下:

    1.业务应用系统基本不变

    2.硬件和软件系统通用

    3.安全设备基本不带安全密码

    S-MIS是标准信息安全保证系统,系统建立在公认的PKI/CA标准的信息安全基础设施上,特点如下:

    1.硬件和系统软件通用

    2.PKI/CA安全保障系统必须带密码

    3.业务应用系统必须根本改变

    4.主要的通用硬件和软件也要通过PKI/CA认证

    S2-MIS是超安全的信息安全保障系统,不仅系统是建立在公认的PKI/CA标准的信息安全基础设施上,而且硬件和系统软件也是使用“专用的”、“安全的”产品,特点如下:

    1.硬件和系统软件都是专用

    2.PKI/CA安全基础设施必须带密码

    3.业务应用系统必须根本改变

    4.主要的硬件和系统软件需要PKI/CA认证

    三种系统价格逐渐攀升,根据需要选择安全系统架构。

    一个成功的信息安全保障系统需要各个方面的通力合作。

    信息安全保障系统是一个在网络上,继承各种硬件、软件和密码设备,保障其他业务应用信息系统正常运行的专用信息应用系统,附带系统相关岗位、人员、策略、制度和规程的总和。
    --------------------- 
    作者:只是为了记录一刻的所得 
    来源:CSDN 
    原文:https://blog.csdn.net/seacean2000/article/details/55003542 
    版权声明:本文为博主原创文章,转载请附上博文链接!

    展开全文
  • GA∕Z 1360-2018 信息安全技术 信息安全标准体系表,包括已发布、计划制定、即将发布的标准
  • 都发布了基本要求,27000信息安全管理体系提供了14个控制域的114个控制措施,等级保护提供了技术要求和管理要求两个大类下的10个子类的安全要求;在控制措施或安全子类层面的安全要求上,都或多或少的存在共性。 ...

    一、两个信息安全标准的相同点

    1. 都是为了保护信息安全;
    2. 都采用了过程方法,前一个过程的输出作为后一个过程的输入;
    3. 都采用了PDCA的模型,实现持续安全建设;
    4. 都发布了基本要求,27000信息安全管理体系提供了14个控制域的114个控制措施,等级保护提供了技术要求和管理要求两个大类下的10个子类的安全要求;
    5. 在控制措施或安全子类层面的安全要求上,都或多或少的存在共性。

    二、两个信息安全标准的不同点

    1. 最重要的一个不同点是:立足点不同。
      • 信息安全管理体系是以组织内部业务影响为依据,自内而外的信息安全建设工作;
      • 等级保护的分级是以组织外部(国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益)影响为依据,是自外而内的信息安全建设工作;
    2. 不同点二:确定安全需求的方法不同。
      • 信息安全管理体系采用信息安全风险管理中规定的风险评估的方法确定其安全需求;
      • 等级保护制度是通过系统定级、等保安全测评、安全需求分析来确定其安全需求;
    3. 不同点三:实施流程不同。
      • ISMS实施流程分为:获得管理者对实施ISMS的批准、定义ISMS范围和方针、进行业务分析、进行风险评估、设计ISMS和实施ISMS。是一个单方向的流程,不包括评审、保持或改进ISMS的流程。详细的实施流程指导可参见ISO/IEC 27003:2010。
      • 等级保护的实施流程分为:信息系统定级、总体安全规划、安全设计与实施、安全运行与维护、信息系统终止;若信息系统在安全运行与维护过程中发生局部调整,则回到“安全设计与实施”流程;若信息系统在安全运行与维护过程中系统发生等级变更,则回到“信息系统定级”流程。
    4. 不同点四:基本要求分类不同。ISMS信息安全管理体系提供了14个控制域的114个控制措施,等级保护提供了技术要求和管理要求两个大类下的10个子类的安全要求。详见下面的附件。

    附件1 ISMS的14个信息安全控制域


    附件2 ISMS的114个控制项

    ISO27001:2013 
               
      A.5信息安全方针    
      A.5.1信息安全管理指引    
      目标:提供符合有关法律法规和业务需求的信息安全管理指引和支持。    
    A.5.1.1 A.5.1.1 信息安全方针 应定义信息安全方针,信息安全方针文件应经过管理层批准,并向所有员工和相关方发布和沟通。    
    A.5.1.2 A.5.1.2 信息安全方针的评审 应定期或在发生重大的变化时评审方针文件,确保方针的持续性、稳定性、充分性和有效性。    
      A.6信息安全组织    
      A.6.1内部组织    
      目标:建立信息安全管理框架,在组织内部启动和控制信息安全实施。    
    A.6.1.1 A.6.1.1 信息安全的角色和职责 应定义和分配所有信息安全职责。    
    A.6.1.2 A.6.1.2 职责分离 有冲突的职责和责任范围应分离,以减少对组织资产未经授权访问、无意修改或误用的机会。    
    A.6.1.3 A.6.1.3 与监管机构的联系 应与相关监管机构保持适当联系。    
    A.6.1.4 A.6.1.4 与特殊利益团体的联系 与特殊利益团体、其他专业安全协会或行业协会应保持适当联系。    
    A.6.1.5 A.6.1.5 项目管理中的信息安全 实施任何项目时应考虑信息安全相关要求。    
      A.6.2移动设备和远程办公    
      目标:应确保远程办公和使用移动设备的安全性。    
    A.6.2.1 A.6.2.1 移动设备策略 应采取安全策略和配套的安全措施控制使用移动设备带来的风险。    
    A.6.2.2 A.6.2.2 远程办公 应实施安全策略和配套的安全措施以保障远程办公时信息的访问、处理和存储的安全。    
      A.7人力资源安全    
      A.7.1任用前    
      目标:确保员工、合同方人员理解他们的职责并适合他们所承担的角色。    
    A.7.1.1 A.7.1.1 人员筛选 根据相关法律、法规、道德规范,对员工、合同人员及承包商人员进行背景调查,调查应符合业务需求、访问的信息类别及已知风险。    
    A.7.1.2 A.7.1.2 任用条款和条件 与员工和承包商的合同协议应当规定他们对组织的信息安全责任。    
      A.7.2任用中    
      目标:确保员工和合同方了解并履行他们的信息安全责任。    
    A.7.2.1 A.7.2.1 管理职责 管理层应要求员工、合同方符合组织建立的信息安全策略和程序。    
    A.7.2.2 A.7.2.2 信息安全意识、教育与培训 组织内所有员工、相关合同人员及合同方人员应接受适当的意识培训,并定期更新与他们工作相关的组织策略及程序。    
    A.7.2.3 A.7.2.3 纪律处理过程 应建立并传达正式的惩戒程序,据此对违反安全策略的员工进行惩戒。    
      A.7.3任用终止和变更    
    A.7.3.1 A.7.3.1 任用终止或变更的责任 应定义信息安全责任和义务在雇用终止或变更后仍然有效,并向员工和合同方传达并执行。    
      A.8资产管理    
      A.8.1资产的责任    
      目标:确定组织资产,并确定适当的保护责任。    
    A.8.1.1 A.8.1.1 资产清单 应制定和维护信息资产和信息处理设施相关资产的资产清单。    
    A.8.1.2 A.8.1.2 资产责任人 资产清单中的资产应指定资产责任人(OWNER)。    
    A.8.1.3 A.8.1.3 资产的合理使用 应识别信息和信息处理设施相关资产的合理使用准则,形成文件并实施。    
    A.8.1.4 A.8.1.4 资产的归还 在劳动合同或协议终止后,所有员工和外部方人员应退还所有他们使用的组织资产。    
      A.8.2信息分类    
      目标:确保信息资产是按照其对组织的重要性受到适当级别的保护。    
    A.8.2.1 A.8.2.1 信息分类 应根据法规、价值、重要性和敏感性对信息进行分类,保护信息免受未授权泄露或篡改。    
    A.8.2.2 A.8.2.2 信息标识 应制定和实施合适的信息标识程序,并与组织的信息分类方案相匹配。    
    A.8.2.3 A.8.2.3 资产处理 应根据组织采用的资产分类方法制定和实施资产处理程序    
      A.8.3介质处理    
      目标:防止存储在介质上的信息被未授权泄露、修改、删除或破坏。    
    A.8.3.1 A.8.3.1 可移动介质管理 应实施移动介质的管理程序,并与组织的分类方案相匹配。    
    A.8.3.2 A.8.3.2 介质处置 当介质不再需要时,应按照正式程序进行可靠的、安全的处置。    
    A.8.3.3 A.8.3.3 物理介质传输 含有信息的介质应加以保护,防止未经授权的访问、滥用或在运输过程中的损坏。    
      A.9访问控制    
      A.9.1访问控制的业务需求    
      目标:限制对信息和信息处理设施的访问。    
    A.9.1.1 A.9.1.1 访问控制策略 应建立文件化的访问控制策略,并根据业务和安全要求对策略进行评审。    
    A.9.1.2 A.9.1.2 对网络和网络服务的访问 应只允许用户访问被明确授权使用的网络和网络服务。    
      A.9.2用户访问管理    
      目标:确保已授权用户的访问,预防对系统和服务的非授权访问。    
    A.9.2.1 A.9.2.1 用户注册和注销 应实施正式的用户注册和注销程序来分配访问权限。    
    A.9.2.2 A.9.2.2 用户访问权限提供 无论什么类型的用户,在对其授予或撤销对所有系统和服务的权限时,都应实施一个正式的用户访问配置程序。    
    A.9.2.3 A.9.2.3 特权管理 应限制及控制特权的分配及使用。    
    A.9.2.4 A.9.2.4 用户认证信息的安全管理 用户鉴别信息的权限分配应通过一个正式的管理过程进行安全控制。    
    A.9.2.5 A.9.2.5 用户访问权限的评审 资产所有者应定期审查用户访问权限。    
    A.9.2.6 A.9.2.6 撤销或调整访问权限 在跟所有员工和承包商人员的就业合同或协议终止和调整后,应相应得删除或调整其信息和信息处理设施的访问权限。    
      A.9.3用户责任    
      目标:用户应保护他们的认证信息。    
      A.9.3.1 认证信息的使用 应要求用户遵循组织的做法使用其认证信息。    
      A.9.4系统和应用访问控制    
      目标:防止对系统和应用的未授权访问。    
    A.9.4.1 A.9.4.1 信息访问限制 应基于访问控制策略限制对信息和应用系统功能的访问。    
    A.9.4.2 A.9.4.2 安全登录程序 在需要进行访问控制时,应通过安全的登录程序,控制对系统和应用的访问。    
    A.9.4.3 A.9.4.3 密码管理系统 应使用交互式口令管理系统,确保口令质量。    
    A.9.4.4 A.9.4.4 特权程序的使用 对于可以覆盖系统和应用权限控制的工具程序的使用,应限制和严格控制。    
    A.9.4.5 A.9.4.5 对程序源码的访问控制 对程序源代码的访问应进行限制。    
      A.10密码学    
      A.10.1密码控制    
      目标:确保适当和有效地使用密码来保护信息的机密性、真实性和/或完整性。    
    A.10.1.1 A.10.1.1 使用加密控制的策略 应开发和实施加密控制措施的策略以保护信息。    
    A.10.1.2 A.10.1.2 密钥管理 对加密密钥的使用、保护和有效期管理,应开发和实施一个贯穿密钥全生命周期的策略。    
      A.11物理和环境安全    
      A.11.1安全区域    
      目标:防止对组织信息和信息处理设施的未经授权物理访问、破坏和干扰。    
    A.11.1.1 A.11.1.1 物理安全边界 应定义安全边界,用来保护包含敏感或关键信息和信    
    A.11.1.2 A.11.1.2 物理进入控制 安全区域应有适当的进入控制保护,以确保只有授权    
    A.11.1.3 A.11.1.3 办公室、房间及设施和安全 应设计和实施保护办公室、房间及所及设备的物理安全。    
    A.11.1.4 A.11.1.4 防范外部和环境威胁 应设计和应用物理保护措施以应对自然灾害、恶意攻击或意外。    
    A.11.1.5 A.11.1.5 在安全区域工作 应设计和应用在安全区域工作的程序。    
    A.11.1.6 A.11.1.6 送货和装卸区 访问区域如装卸区域,及其他未经授权人员可能进入的地点应加以控制,如果可能的话,信息处理设施应隔离以防止未授权的访问。    
      A.11.2设备安全    
      目标:防止资产的遗失、损坏、偷窃或损失和组织业务中断。    
    A.11.2.1 A.11.2.1 设备安置及保护 应妥善安置及保护设备,以减少来自环境的威胁与危害,并减少未授权访问的机会。    
    A.11.2.2 A.11.2.2 支持设施 应保护设备免于电力中断及其它因支持设施失效导致的中断。    
    A.11.2.3 A.11.2.3 线缆安全 应保护传输数据或支持信息服务的电力及通讯电缆,免遭中断或破坏。    
    A.11.2.4 A.11.2.4 设备维护 应正确维护设备,以确保其持续的可用性及完整性。    
    A.11.2.5 A.11.2.5 资产转移 未经授权,不得将设备、信息及软件带离。    
    A.11.2.6 A.11.2.6 场外设备和资产安全 应对场外资产进行安全防护,考虑在组织边界之外工作的不同风险。    
    A.11.2.7 A.11.2.7 设备报废或重用 含有存储介质的所有设备在报废或重用前,应进行检查,确保任何敏感数据和授权软件被删除或被安全重写。    
    A.11.2.8 A.11.2.8 无人值守的设备 用户应确保无人值守的设备有适当的保护。    
    A.11.2.9 A.11.2.9 桌面清空及清屏策略 应采用清除桌面纸质和可移动存储介质的策略,以及清除信息处理设施屏幕的策略。    
      A.12操作安全    
      A.12.1操作程序及职责    
      目标:确保信息处理设施正确和安全的操作。    
    A.12.1.1 A.12.1.1 文件化的操作程序 应编制文件化的操作程序,并确保所有需要的用户可以获得。    
    A.12.1.2 A.12.1.2 变更管理 应控制组织、业务流程、信息处理设施和影响信息安全的系统的变更。    
    A.12.1.3 A.12.1.3 容量管理 应监控、调整资源的使用,并反映将来容量的需求以确保系统性能。    
    A.12.1.4 A.12.1.4 开发、测试与运行环境的分离 应分离开发、测试和运行环境,以降低未授权访问或对操作环境变更的风险。    
      A.12.2防范恶意软件    
      目标:确保对信息和信息处理设施的保护,防止恶意软件。    
    A.12.2.1 A.12.2.1 控制恶意软件 应实施检测、预防和恢复措施以应对恶意软件,结合适当的用户意识程序。    
      A.12.3备份    
      目标:防止数据丢失    
    A.12.3.1 A.12.3.1 信息备份 根据既定的备份策略备份信息,软件及系统镜像,并定期测试。    
      A.12.4日志记录和监控    
      目标:记录事件和生成的证据    
    A.12.4.1 A.12.4.1 事件日志 应产生记录用户活动、意外和信息安全事件的日志,保留日志并定期评审。    
    A.12.4.2 A.12.4.2 日志信息保护 应保护日志设施和日志信息免受篡改和未授权访问。    
    A.12.4.3 A.12.4.3 管理员和操作者日志 应记录系统管理员和系统操作者的活动,进行日志保护及定期评审。    
    A.12.4.4 A.12.4.4 时钟同步 在组织内或安全域内的所有相关信息处理系统的时钟应按照一个单一的参考时间源保持同步。    
      A.12.5操作软件控制    
      目标:确保系统的完整性。    
    A.12.5.1 A.12.5.1 运营系统的软件安装 应建立程序对运营中的系统的软件安装进行控制。    
      A.12.6技术漏洞管理    
      目标:防止技术漏洞被利用    
    A.12.6.1 A.12.6.1 管理技术漏洞 应及时获得组织所使用的信息系统的技术漏洞的信息,对漏洞进行评估,并采取适当的措施去解决相关风险。    
    A.12.6.2 A.12.6.2 软件安装限制 应建立并实施用户软件安装规则。    
      A.12.7信息系统审计的考虑因素    
      目标:最小审计活动对系统运行影响。    
    A.12.7.1 A.12.7.1 信息系统审核控制 应谨慎策划对系统运行验证所涉及的审核要求和活动并获得许可,以最小化中断业务过程。    
      A.13通信安全    
      A.13.1网络安全管理    
      目标:确保网络及信息处理设施中信息的安全。    
    A.13.1.1 A.13.1.1 网络控制 应对网络进行管理和控制,以保护系统和应用程序的信息。    
    A.13.1.2 A.13.1.2 网络服务安全 应识别所有网络服务的安全机制、服务等级和管理要求,并包括在网络服务协议中,无论这种服务是由内部提供的还是外包的。    
    A.13.1.3 A.13.1.3 网络隔离 应在网络中按组(GROUP)隔离信息服务、用户和信息系统。    
      A.13.2信息传输    
      目标:应确保信息在组织内部或与外部组织之间传输的安全。    
    A.13.2.1 A.13.2.1 信息传输策略和程序 应建立正式的传输策略、程序和控制,以保护通过通讯设施传输的所有类型信息的安全。    
    A.13.2.2 A.13.2.2 信息传输协议 建立组织和外部各方之间的业务信息的安全传输协议。    
    A.13.2.3 A.13.2.3 电子消息 应适当保护电子消息的信息。?    
    A.13.2.4 A.13.2.4 保密或非扩散协议 应制定并定期评审组织的信息安全保密协议或非扩散协议(NDA),该协议应反映织对信息保护的要求。    
      A.14系统的获取、开发及维护    
      A.14.1信息系统安全需求    
      目标:确保信息安全成为信息系统生命周期的组成部分,包括向公共网络提供服务的信息系统的要求。    
    A.14.1.1 A.14.1.1 信息安全需求分析和规范 新建信息系统或改进现有信息系统应包括信息安全相关的要求。    
    A.14.1.2 A.14.1.2 公共网络应用服务的安全 应保护应用服务中通过公共网络传输的信息,以防止欺诈、合同争议、未授权的泄漏和修改。    
    A.14.1.3 A.14.1.3 保护在线交易 应保护应用服务传输中的信息,以防止不完整的传输、路由错误、未授权的消息修改、未经授权的泄漏、未授权的信息复制和重放。    
      A.14.2开发和支持过程的安全    
      目标:确保信息系统开发生命周期中设计和实施信息安全。    
    A.14.2.1 A.14.2.1 安全开发策略 应建立组织内部的软件和系统开发准则。    
    A.14.2.2 A.14.2.2 系统变更控制程序 应通过正式的变更控制程序,控制在开发生命周期中的系统变更实施。    
    A.14.2.3 A.14.2.3 操作平台变更后的技术评审 当操作平台变更后,应评审并测试关键的业务应用系统,以确保变更不会对组织的运营或安全产生负面影响。    
    A.14.2.4 A.14.2.4 软件包变更限制 不鼓励对软件包进行变更,对必要的更改需严格控制。    
    A.14.2.5 A.14.2.5 涉密系统的工程原则 应建立、记录、维护和应用安全系统的工程原则,并执行于任何信息系统。    
    A.14.2.6 A.14.2.6 开发环境安全 应在整个系统开发生命周期的系统开发和集成工作,建立并妥善保障开发环境的安全。    
    A.14.2.7 A.14.2.7 外包开发 组织应监督和监控系统外包开发的活动。    
    A.14.2.8 A.14.2.8 系统安全测试 在开发过程中,应进行安全性的测试。    
    A.14.2.9 A.14.2.9 系统验收测试 应建立新信息系统、系统升级及新版本的验收测试程序和相关标准。    
      A.14.3测试数据    
      目标:确保测试数据安全。    
    A.14.3.1 A.14.3.1 测试数据的保护 应谨慎选择测试数据,并加以保护和控制。    
      A.15供应商关系    
      A.15.1供应商关系的信息安全    
      目标:确保组织被供应商访问的信息的安全。    
    A.15.1.1 A.15.1.1 供应商关系的信息安全策略 为降低供应商使用该组织的资产相关的风险的信息安全要求应获得许可并记录。    
    A.15.1.2 A.15.1.2 在供应商协议中强调安全 与每个供应商签订的协议中应覆盖所有相关的安全要求。如可能涉及对组织的IT基础设施组件、信息的访问、处理、存储、沟通。    
    A.15.1.3 A.15.1.3 信息和通信技术的供应链 供应商协议应包括信息、通信技术服务和产品供应链的相关信息安全风险。    
      A.15.2供应商服务交付管理    
      目标:保持一致的信息安全水平,确保服务交付符合服务协议要求。    
    A.15.2.1 A.15.2.1 供应商服务的监督和评审 组织应定期监控、评审和审核供应商的服务交付。    
    A.15.2.2 A.15.2.2 供应商服务的变更管理 应管理供应商服务的变更,包括保持和改进现有信息安全策略、程序和控制措施,考虑对业务信息、系统、过程的关键性和风险的再评估。    
      A.16信息安全事件管理    
      A.16.1信息安全事件的管理和改进    
      目标:确保持续、有效地管理信息安全事件,包括对安全事件和弱点的沟通。    
    A.16.1.1 A.16.1.1 职责和程序 应建立管理职责和程序,以快速、有效和有序的响应信息安全事件。    
    A.16.1.2 A.16.1.2 报告信息安全事件 应通过适当的管理途径尽快报告信息安全事件。    
    A.16.1.3 A.16.1.3 报告信息安全弱点 应要求使用组织信息系统和服务的员工和承包商注意并报告系统或服务中任何已发现或疑似的信息安全弱点。    
    A.16.1.4 A.16.1.4 评估和决策信息安全事件 应评估信息安全事件,以决定其是否被认定为信息安全事故。    
    A.16.1.5 A.16.1.5 响应信息安全事故 应按照文件化程序响应信息安全事故。    
    A.16.1.6 A.16.1.6 从信息安全事故中学习 分析和解决信息安全事故获得的知识应用来减少未来事故的可能性或影响。    
    A.16.1.7 A.16.1.7 收集证据 组织应建立和采取程序,识别、收集、采集和保存可以作为证据的信息。    
      A.17业务连续性管理中的信息安全    
      A.17.1信息安全的连续性    
      目标:信息安全的连续性应嵌入组织的业务连续性管理体系。    
    A.17.1.1 A.17.1.1 规划信息安全的连续性 组织应确定其需求,以保证在不利情况下的信息安全和信息安全管理的连续性,如在危机或灾难时。    
    A.17.1.2 A.17.1.2 实现信息安全的连续性 组织应建立,记录,实施,维护程序和控制过程,以确保一个不利的情况过程中所需的连续性的信息安全。    
    A.17.1.3 A.17.1.3 验证,评审和评估信息安全的连续性 组织应定期验证已建立并实施的信息安全连续性控制,以确保它们是有效的,并在不利的情况下同样有效。    
      A.17.2冗余    
      目标:确保信息处理设施的可用性。    
    A.17.2.1 A.17.2.1 信息处理设施的可用性 信息处理设施应具备足够的冗余,以满足可用性要求。    
      A.18符合性    
      A.18.1法律和合同规定的符合性    
      目标:避免违反有关信息安全的法律、法规、规章或合同要求以及任何安全要求。    
    A.18.1.1 A.18.1.1 识别适用的法律法规和合同要求 应清晰规定所有相关的法律、法规和合同要求以及组织满足这些要求的方法并形成文件,并针对每个信息系统和组织进行更新。    
    A.18.1.2 A.18.1.2 知识产权 应实施适当的程序,以确保对知识产权软件产品的使用符合相关的法律、法规和合同要求。    
    A.18.1.3 A.18.1.3 保护记录 应按照法律法规、合同和业务要求,保护记录免受损坏、破坏、未授权访问和未授权发布,或伪造篡改。    
    A.18.1.4 A.18.1.4 个人信息和隐私的保护 个人身份信息和隐私的保护应满足相关法律法规的要求。    
    A.18.1.5 A.18.1.5 加密控制法规 使用加密控制应确保遵守相关的协议、法律法规。    
      A.18.2信息安全评审    
      目标:确保依照组织策略和程序实施信息安全。    
    A.18.2.1 A.18.2.1 信息安全的独立评审 应在计划的时间间隔或发生重大变化时,对组织的信息安全管理方法及其实施情况(如,信息安全控制目标、控制措施、策略、过程和程序)进行独立评审。    
    A.18.2.2 A.18.2.2 符合安全策略和标准 管理层应定期审核信息处理和程序符合他们的责任范围内适当的安全政策、标准和任何其他安全要求。    
    A.18.2.3 A.18.2.3 技术符合性评审 应定期评审信息系统与组织的信息安全策略、标准的符合程度。    

    附件3  等级保护安全要求

    5.1  技术要求
    5.1.1  物理安全
    5.1.1.1  物理访问控制(G1)
    5.1.1.2  防盗窃和防破坏(G1)
    5.1.1.3  防雷击(G1)
    5.1.1.4  防火(G1)
    5.1.1.5  防水和防潮(G1)
    5.1.1.6  温湿度控制(G1)
    5.1.1.7  电力供应(A1)
    5.1.2  网络安全
    5.1.2.1  结构安全(G1)
    5.1.2.2  访问控制(G1)
    5.1.2.3  网络设备防护(G1)
    5.1.3  主机安全
    5.1.3.1  身份鉴别(S1)
    5.1.3.2  访问控制(S1)
    5.1.3.3  入侵防范(G1)
    5.1.3.4  恶意代码防范(G1)
    5.1.4  应用安全
    5.1.4.1  身份鉴别(S1)
    5.1.4.2  访问控制(S1)
    5.1.4.3  通信完整性(S1)
    5.1.4.4  软件容错(A1)
    5.1.5  数据安全及备份恢复
    5.1.5.1  数据完整性(S1)
    5.1.5.2  备份和恢复(A1)
    5.2  管理要求
    5.2.1  安全管理制度
    5.2.1.1  管理制度(G1)
    5.2.1.2  制定和发布(G1)
    5.2.2  安全管理机构
    5.2.2.1  岗位设置(G1)
    5.2.2.2  人员配备(G1)
    5.2.2.3  授权和审批(G1)
    5.2.2.4  沟通和合作(G1)
    5.2.3  人员安全管理
    5.2.3.1  人员录用(G1)
    5.2.3.2  人员离岗(G1)
    5.2.3.3  安全意识教育和培训(G1)
    5.2.3.4  外部人员访问管理(G1)
    5.2.4  系统建设管理
    5.2.4.1  系统定级(G1)
    5.2.4.2  安全方案设计(G1)
    5.2.4.3  产品采购和使用(G1)
    5.2.4.4  自行软件开发(G1)
    5.2.4.5  外包软件开发(G1)
    5.2.4.6  工程实施(G1)
    5.2.4.7  测试验收(G1)
    5.2.4.8  系统交付(G1)
    5.2.4.9  安全服务商选择(G1)
    5.2.5  系统运维管理
    5.2.5.1  环境管理(G1)
    5.2.5.2  资产管理(G1)
    5.2.5.3  介质管理(G1)
    5.2.5.4  设备管理(G1)
    5.2.5.5  网络安全管理(G1)
    5.2.5.6  系统安全管理(G1)
    5.2.5.7  恶意代码防范管理(G1)
    5.2.5.8  备份与恢复管理(G1)
    5.2.5.9  安全事件处置(G1)
    展开全文
  • 一、安全扫描技术1.1 安全扫描技术概念1、安全扫描技术指手工或使用特定的软件工具(安全扫描器),对系统脆弱性进行评估,寻找可能对系统造成损害的安全漏洞。2、安全扫描技术分为系统扫描和网络扫描两大类。 (1)...

    一、安全扫描技术

    1.1 安全扫描技术概念

    1、安全扫描技术指手工或使用特定的软件工具(安全扫描器),对系统脆弱性进行评估,寻找可能对系统造成损害的安全漏洞。

    2、安全扫描技术分为系统扫描和网络扫描两大类。
    (1)系统扫描:侧重于主机系统的平台安全性及基于此平台应用系统的安全。扫描器与待查系统处于同一结点,进行自身检查。
    (2)网络扫描:侧重于系统提供的网络应用和服务及相关的协议分析。扫描器与待查系统处于不同结点,通过网络远程探测目标结点,寻找安全漏洞。

    3、安全扫描的目的:通过特定的手段和方法发现系统或网络存在的隐患,及时修补漏洞或利用漏洞攻击敌方。

    4、安全扫描技术可以有效地提高安全性:
    (1)提前告警存在的漏洞,从而预防入侵和误用。
    (2)检查系统中由于入侵或误操作产生的新漏洞。

    1.2 安全扫描技术分析

    1、扫描器工作流程:
    (1)发现目标主机或网络。
    (2)发现目标后,进一步发现目标系统类型及配置等信息,包括确认目标主机操作系统类型、运行的服务及服务软件版本等。如果目标是一个网络,还可以进一步发现该网络的拓扑结构、路由设置及网络主机等。
    (3)测试哪些服务具有安全漏洞。

    2、端口扫描技术:
    (1)根据扫描方法不同,端口扫描技术可分为:全开扫描、半开扫描、秘密扫描和区段扫描。
    (2)这几种扫描方法都可以用来查找服务器打开的端口,从而发现服务器对外开放的服务。
    (3)能否成功还受限于远程目标网络的拓扑结构、IDS、日志机制等配置。

    3、全开扫描:
    (1)通过与目标主机建立标准的TCP连接(3次握手),检查目标主机相应端口是否打开。
    (2)优点:快速、准确、不需要特殊权限。
    (3)缺点:很容易被检测到。

    4、半开扫描:(SYN扫描)
    (1)“半开”含义:client端在TCP三次握手尚未完成就单方面终止连接过程。
    (2)由于完整连接尚未建立,通常不会被server方记录下来。同时也可避开部分IDS的监测。

    5、秘密扫描:
    (1)秘密扫描意指可以避开IDS和系统日志记录的扫描。满足要求的扫描技术有很多,以SYN|ACK扫描为例说明。
    (2)SYN|ACK扫描省掉了三次握手的第一步,直接发送SYN|ACK包到server端,根据server 的应答推测端口是否打开。

    6、系统类型测试技术:
    (1)由于许多安全漏洞都与操作系统密切相关,所以探测系统类型对于攻击者很重要。
    (2)攻击者先收集目标系统的信息并存储,当某一系统的新漏洞被发现,就可在存储的信息中查找,并对匹配的系统进行攻击。
    (3)检测系统类型主要有三种方法:系统旗标、DNS信息、TCP/IP堆栈指纹。

    7、系统旗标:利用系统服务给出的信息,如:telnet、ftp、www、mail等。最简单的检测方法就是直接登录该系统提供的服务。

    8、DNS信息:主机信息有时可能通过DNS记录泄露。

    9、TCP/IP堆栈指纹:操作系统在实现TCP/IP协议时的一些特有的实现特征,处在系统底层,修改困难。

    二、病毒防治技术

    2.1 病毒的概念与起源

    1、具有传染和破坏的特征,与生物医学上的”病毒”在很多方面都很相似,习惯上将这些“具有特殊功能的程序”称为”计算机病毒”。

    2、从广义上讲,凡能够引起计算机故障、破坏或窃取计算机数据、非法控制他人计算机的程序统称为计算机病毒。

    2.2 病毒的主要特征

    1、传染性
    (1)这是病毒的基本特征。计算机病毒会通过各种渠道从已被 感染的计算机扩散到未被感染的计算机。
    (2)计算机病毒程序代码一旦进入计算机并得以执行,会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。
    (3)正常的计算机程序一般是不会将自身的代码强行连接到其它程序之上的。是否具有传染性是判别一个程序是否为计算机病毒的重要条件。

    2、隐蔽性
    (1)病毒程序都具有很高编程技巧、短小精悍。通常附在正常程序中或磁盘较隐蔽的地方,用户很难发现它的存在。
    (2)如果不经过代码分析,病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下,受到感染的计算机系统通常仍能正常运行,用户不会感到异常。
    (3)现在的计算机病毒一般都具有很强的反侦察能力。
    (4)计算机病毒一旦被发现会迅速出现变种。

    3、潜伏性:
    大部分病毒感染系统之后一般不会马上发作,长期隐藏在系统中悄悄地进行繁殖和扩散,只有在满足特定条件时才启动其表现(破坏)模块。

    4、破坏性(表现性):
    任何病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率,占用系统资源,重者可导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。

    5、不可预见性:
    从病毒的检测来看,不同种类的病毒,代码千差万别,甚至某些正常程序也借鉴病毒的技术。

    6、触发性:
    满足传染触发条件时,病毒的传染模块会被激活,实施传染操作。满足表现触发条件时,病毒的表现模块会被激活,实施表现或破坏操作。

    7、针对性:
    有一定的环境要求,并不一定对任何系统都能感染。

    2.3 病毒的一般结构与作用机理

    1、病毒的一般结构:
    (1)计算机病毒代码的结构一般包括三大功能模块,即引导模块传染模块破坏(表现)模块。其中,后两个模块各包含一段触发条件检查代码,分别检查是否满足传染触发条件和表现触发条件。
    (2)引导模块将病毒由外存引入内存,使后两个模块处于活动状态。传染模块用来将病毒传染到其它对象上去。破坏模块实施病毒的破坏作用。

    2、病毒的作用机理:
    (1)计算机病毒有两种状态,静态和动态。
    (2)静态病毒是指存储介质(如U盘、硬盘)上的计算机病毒,它没有被加载状态,不能执行病毒的传染和破坏功能。
    (3)动态病毒是指已进入内存,正处于运行状态,它时刻监视系统的运行状态,一旦传染条件满足,即调用传染代码和破坏代码.使病毒得以扩散。
    (4)计算机病毒的工作流程如图下所示。病毒通过第一次非授权加栽,引导模块被执行,病毒由静态变为动态。

    3、病毒工作流程

    2.4 蠕虫病毒

    1、蠕虫病毒:是一种通过网络传播的恶性病毒,除具有病毒的一般共性外,还具有自己的特征,下表列出了蠕虫病毒与普通病毒的主要区别。

    2、蠕虫病毒的传播途径:
    (1)操作系统和系统软件的漏洞:网络共享、域名解析、IE、RPC、IIS、SQL Server等。
    (2)应用软件的漏洞:Office、Adobe Reader、QQ、MSN
    (3)电子邮件:钓鱼邮件、邮件客户端软件。

    3、蠕虫病毒的危害:
    (1)蠕虫大量且快速的复制会占用大量网络带宽,造成网络拥塞甚至瘫痪。
    (2)感染主机的系统管理员权限将被窃取。

    4、蠕虫病毒的一般结构:
    (1)传播模块:负责蠕虫的传播。
    (2)隐藏模块:侵入主机后,隐藏蠕虫程序,防止被用户发现。有些会主动攻击安全系统。
    (3)目的功能模块:实现对计算机的控制、监视、窃取和破坏等功能。

    5、蠕虫病毒的传播过程:
    传播模块:由扫描模块、攻击模块和复制模块组成。
    (1)扫描模块:探测存在漏洞的主机。当向某主机发探测信息并成功收到反馈后,就得到一个可传播对象。
    (2)攻击模块:按漏洞攻击步骤自动攻击找到的对象,取得该主机的权限,获得一个shell。
    (3)复制模块:通过主机间的交互复制蠕虫程序并修改注册表得以启动。

    6、蠕虫病毒防治
    (1)正确配置操作系统和系统软件。
    (2)经常进行操作系统和系统软件的升级。
    (3)使用正版杀毒软件并保持病毒库最新。
    (4)不要打开不明身份的邮件。
    (5)留意权威网站的安全公告。

    三、黑客攻击方法与防范

    3.1 黑客攻击套路

    1、确定攻击目标:
    (1)使用Google搜索漏洞信息:操作系统漏洞、Web服务器漏洞、数据库漏洞、开发工具漏洞等。
    (2)使用Google搜索敏感信息:口令文件、财务信息、安全工具扫描报告等。

    2、收集目标信息:
    (1)通过公开渠道、各种工具和技巧,黑客可以获得目标的详细资料,特别是关于安全防御体系的信息。
    (2)互联网信息:域名及IP地址块、可直接访问的IP、操作系统类型、系统上运行的TCP和UDP服务、访问控制等。
    (3)内部网信息:内网结构、组网协议、IP地址块、VPN协议、身份认证方法等。

    3、寻找目标漏洞:
    (1)使用工具进行端口扫描:确定目标系统上有哪些端口处于LISTENING状态。
    (2)使用工具进行端口服务扫描:确定目标系统上开启了哪些服务。
    (3)使用工具探查操作系统细节:版本号、提供的各种服务名称等。

    4、进行攻击:
    系统攻击、网络攻击、软件攻击。

    3.2 黑客攻击手段及防范措施

    1、系统攻击:取得合法身份前的攻击手段

    2、网络攻击:
    (1)攻击网络设备。
    (2)无线攻击
    (3)攻击防火墙
    (4)拒绝服务攻击

    3、软件攻击
    (1)缓冲区溢出攻击
    (2)Web攻击
    (3)攻击互联网用户

    四、安全审计

    1、从抽象意义上讲,计算机安全审计与传统金融和管理审计的过程完全相同,即产生、记录并检查按时间顺序排列的系统事件的过程。

    2、计算机安全审计:通过一定的策略,利用记录和分析历史操作事件,发现系统的漏洞并改进系统性能和安全性。

    3、安全审计的目标:
    (1)对潜在的攻击者起到震慑和告警作用。
    (2)对已发生的系统破坏行为,提供有效的追究责任的证据。
    (3)为系统管理员提供有价值的系统使用日志,帮助管理员及时发现入侵行为或潜在的系统漏洞。

    4、安全审计的组成:审计是通过对所关心的事件进行记录和分析来实现的,因此审计过程应包括审计发生器日志记录器日志分析器报告机制等部分。

    5、审计发生器:在信息系统中各事件发生时,将这些事件的关键要素进行抽取并形成可记录的素材。

    6、日志记录器:将审计发生器抽取的事件素材记录到制定位置上从而形成日志文件。

    7、日志分析器:根据审计策略和规则对已形成的日志文件进行分析,得出某种事件发生的事实和规律,并形成日志审计分析报告。

    8、对于一个事件,日志应包括事件发生的时间引发事件的用户事件类型事件成败等。

    五、访问控制技术

    1、访问控制(Access Control):规范用户的访问行为。解决是否可以访问,如何访问的问题。

    2、访问控制构成要素:
    (1)主体:提出访问请求,如用户或其启动的进程、服务等。
    (2)客体:被访问对象,如信息、文件等集合体或网络设备等。
    (3)控制策略:主体对客体访问规则的集合,体现了授权。

    3、访问控制的主要功能:
    (1)保证合法主体访问受保护的网络资源
    (2)防止非法主体进入受保护网络资源
    (3)防止合法主体对受保护网络资源进行非授权访问。

    4、访问控制的内容:
    (1)认证:主客体之间进行身份鉴别,确定主体是谁。
    (2)控制策略:通过合理设定控制规则,确保用户对信息资源在授权范围内的合法使用,同时防止非法用户侵权进入系统。还要防止合法用户的越权行为。
    (3)安全审计:系统自动根据用户访问权限,对计算机网络环境下的有关活动进行系统、独立地检查验证,并做出相应评价与审计。

    5、访问控制的类型
    (1)自主访问控制(DAC):一种接入控制服务,通过执行系统实体到系统资源的接入授权,用户有权对其创建的文件、数据表等对象进行访问,并可将其访问权授予其他用户或收回。允许访问对象的属主制定针对该对象的访问控制略,通常,通过访问控制列表来限定针对客体可执行的操作。
    (2)强制访问控制(MAC):指系统强制主体服从访问控制策略。由系统对用户所创建的对象,按照既定规则进行访问控制。
    (3)基于角色的访问控制(RBAC):通过对角色访问进行控制,使权限与角色相关联,用户通过成为适当角色成员而得到角色的权限。

    6、RBAC支持的三个著名安全原则:
    (1)最小权限原则:将角色配成完成任务所需的最小权限集。
    (2)责任分离原则:让独立、互斥的角色协同完成特定任务。
    (3)数据抽象原则:通过权限的抽象控制一些操作,如财务上的借、贷等抽象权限,非操作系统提供的典型权限。

    7、访问控制实现机制
    (1)访问控制列表(ACL):
    以文件为中心建立访问权限表,表中记载了可访问该文件的用户名和权限。利用ACL,容易判断出对特定客体的授权访问,可访问的主体和访问权限等。
    (2)能力关系表:
    以用户为中心建立访问权限表。与ACL相反,表中规定了用户可访问的文件名及权限,利用此表可方便地查询一个主体的所有授权。

    六、防火墙技术

    1、防火墙从本质上讲是一种访问控制系统,除了可以用来保护与互连网相连的内部网外,还可以用于保护其他网络对象,如子网或主机。

    2、防火墙示意图

    3、防火墙定义:防火墙是一个或一组实施访问控制策略的系统。当用户决定需要使用何种水平的安全连接时,由防火墙来保证不允许出现其他超出此范围的访问行为。防火墙用来保证所有用户都遵守访问控制策略。

    4、防火墙的目的是控制网络传输,这一点与其他网络设备一致。但与其他设备不同的是:防火墙必须考虑到不是所有的分组数据都是表里如一。

    5、防火墙的设计目标:
    (1)所有内外网之间的通信量都必须经过防火墙,即从物理上阻塞所有不经过防火墙的网络访问通道,有不同的配置方法可实现这一目标。
    (2)只有被认可的通信量,通过本地安全策略进行定义后,才允许通过防火墙。
    (3)防火墙对渗透应是免疫的。防火墙自身的安全性能和运行平台的安全性。

    6、防火墙使用的通用技术:
    (1)服务控制:确定可访问的Internet服务的类型,入站的或出站的。防火墙可以根据IP地址和TCP端口号对通信量进行过滤。
    (2)方向控制:确定特定的服务请求可以发起并允许通过防火墙的流动方向。
    (3)行为控制:控制怎样使用特定的服务。如防火墙可以使得外部只能访问一个本地WWW服务器的一部分信息。
    (4)用户控制:根据赋予某个用户访问服务的权限来控制对一个服务的访问。这个特征典型地应用于防火墙边界以内的用户(本地用户),也可以应用于来自外部用户的进入通信量;后一种情况要求某种类型的安全鉴别技术。

    7、防火墙的主要功能:
    (1)防火墙定义了单个阻塞点,将未授权的用户隔离在被保护的网络之外,禁止潜在的易受攻击的服务进入或离开网络。
    (2)防火墙提供了监视与安全有关事件的场所。在防火墙系统中可以实现审计和告警。
    (3)防火墙是一些与安全无关的Internet功能的方便的平台。如:网络地址转换。
    (4)防火墙可以用作VPN的平台。

    8、防火墙的局限性:
    (1)防火墙不能对绕过防火墙的攻击提供保护。
    (2)防火墙不能对内部的威胁提供支持,例如心怀不满的雇员或不自觉地与外部攻击者合作的雇员。
    (3)防火墙不能对病毒感染的程序或文件的传输提供保护。由于边界内部支持的操作系统和应用程序的不同性,采用防火墙来扫描所有进入的文件、电子邮件和报文来查找病毒是不现实的。

    9、防火墙一般结构

    展开全文
  • 中国信息安全技术标准体系框架

    万次阅读 2017-07-09 10:50:29
    本文部分内容来自《中国电子...信息技术安全标准化技术委员会(CITS) 成立于1984年,在国家标准化管理委员会和信息产业部的共同领导下负责全国信息技术领域以及ISO/IEC JTC1相对应的标准化工作,是国内最大的标准化

    本文部分内容来自《中国电子技术标准化研究院》

    一、一些标准化组织

    1、国际组织

    • ISO(国际标准化组织)
    • IEC(国际电工委员会)
    • ITU(国际电信联盟)
    • IETF(Internet 工程任务组)

    2、国际组织

    • 信息技术安全标准化技术委员会(CITS)
      成立于1984年,在国家标准化管理委员会和信息产业部的共同领导下负责全国信息技术领域以及ISO/IEC JTC1相对应的标准化工作,是国内最大的标准化技术委员会。
      CITS主要负责信息安全的通用框架、方法、技术和机制的标准化及归口国内外对应的标准化工作,其中技术安全包括开放式安全体系结构、各种安全信息交换的语义规则、有关的应用程序接口和协议引用安全功能的接口等。

    • 中国通信标准化协会(CCSA)下辖的网络与信息安全技术工作委员会
      成立于2002年12月18日,是国内企事业单位自愿联合组织起来经业务主管部门批准的开展通信技术领域标准化活动的组织。下设了有线网络信息安全、无线网络信息安全、安全管理和安全基础设施4个工作组负责研究一下网络通信安全标准。

    二、我国信息安全标准发展历程

    • 1984.7 全国信息技术标准化委员会组建数据加密标准化分技术委员会,1985年发布了第一个有关信息安全方面的标准
    • 1997年8月改组成全国信息技术标准化技术委员会信息安全分技术委员会
    • 我国信息安全技术标准系统编号主要有:GB、GB/T 、GJB、BMB、GA、YD等。
    • 2002年4月15日成立全国信息安全标准化技术委员会(简称信安标委,委员会编号为TC260)

    网址:http://www.tc260.org.cn/
    全国信安标委机构设置:
    这里写图片描述

    三、信息安全技术标准体系框架

    1. 基础标准

    • 安全术语
    • 涉密基础
    • 测评基础
    • 管理基础
    • 物理安全
    • 安全模型
    • 安全体系结构

    2. 技术与机制标准

    • 密码技术
    • 安全标识
    • 鉴别机制
    • 授权机制
    • 电子签名
    • 公钥基础设施
    • 通信安全技术
    • 涉密系统通用技术要求

    3. 管理与服务标准

    • 涉密服务
    • 密码管理
    • 安全控制与服务
    • 网络安全管理
    • 行业/领域安全管理

    4. 测评标准

    • 密码产品
    • 通用产品
    • 安全保密产品
    • 通用系统
    • 涉密信息系统
    • 通信安全
    • 政府安全检查
    • 安全能力评估

    四、通用产品安全标准

    序号标准名称状态
    1信息技术 安全技术 信息技术安全性评估准则GB/T 18336-2015
    2信息安全技术 信息技术产品供应方行为安全准则GB/T 32921-2016
    3信息安全技术 信息系统安全等级保护基本要求GB/T 22239-2008
    4信息安全技术 网络产品和服务安全通用要求草案
    5信息安全技术 网络智能家用电器信息技术安全框架与测评指南研究项目
    6信息安全技术 重点场所的智能联网设备的安全要求草案

    五、 物联网安全标准

    序号标准名称状态
    1信息安全技术 智能卡通用安全检测指南GB/T 31507-2015
    2信息安全技术 射频识别(RFID)系统通用安全技术要求送审稿
    3信息安全技术 物联网感知层接入通信网的安全要求草案
    4信息安全技术 物联网信息安全参考模型及通用要求征求意见稿
    5信息安全技术 物联网感知设备安全技术要求征求意见稿
    6信息安全技术 物联网感知层网关安全技术要求征求意见稿
    7信息安全技术 物联网数据传输安全技术要求草案

    六、我国大数据安全标准化

    • 2016年4月,全国信安标委成立大数据安全标准化工作组,组长:王建民、陈兴蜀
    • 发布大数据安全标准化体系

    大数据安全标准

    1. 基础标准

    • 概念和框架->大数据安全参考架构
    • 角色和模型->大数据安全管理指南

    2. 平台和技术

    • 系统平台安全->大数据基础平台安全要求
    • 平台安全运维
    • 安全相关技术
    • -

    3. 数据安全

    • 个人信息安全->个人信息安全规范、个人信息去标识化指南->个人信息影响评估指南
    • 重要数据安全
    • 数据跨境安全

    4. 服务安全

    • 服务安全能力->大数据服务安全能力要求、大数据安全能力成熟度模型
    • 交易服务安全->大数据交易服务安全要求

    5.行业应用类

    • 安全大数据
    • 政务大数据安全
    • 健康医疗大数据安全
    • 其它行业大数据安全

    七、个人信息保护安全国家标准

    • 已发布标准:GB/Z 28828-2012《信息安全技术 公共及商用服务信息系统个人信息保护指南》

    八、 其它智能家电相关国家标准

    鉴别

    编号内容
    GB/T 31504-2015《信息安全技术 鉴别与授权 数字身份信息服务框架规范》
    GB/T 30275-2013《信息安全技术 鉴别与授权 认证中间件框架与接口规范》
    GB/T 15852.1-2008《信息技术 安全技术 消息鉴别码 第1部分:采用分组密码的机制》
    GB/T 15843《信息技术 安全技术 实体鉴别》共5部分
    GB/T 28455-2012《信息安全技术 引入可信第三方的实体鉴别及接入架构规范》
    GB/T 29242-2012《信息安全技术 鉴别与授权 安全断言标记语言》

    安全机制

    编号内容
    GB/T 17903《信息技术 安全技术搞抵赖》共3部分
    GB/T 20520-2006《信息安全技术 公钥基础设施 时间戳规范》
    GB/T 25062-2010《信息安全技术 鉴别与授权 基于角色的访问控制模型与管理规范》

    九、 密码标准

    GB/T29829-2013

    十、 信息安全评估标准

    • 《智能家用电器信息安全技术框架与测评指南》
    • GB4706.1 (IEC60335-1)家用和类似用途电器安全最新标准提案,《61_5073ea_DC》
    • GB/T 18336 (ISO/IEC 15408) 信息技术安全评估准则
    • GB/T 22080(ISO/IEC 27001)信息安全管理体系要求

    参考:
    http://www.docin.com/p-1352316721.html

    展开全文
  • 网络信息系统技术安全与防范

    千次阅读 2014-01-18 17:51:48
    网络信息系统技术安全与防范 作者 ××× 摘要:随着信息产业的高速发展,众多企业、单位都利用互联网建立了自己的信息系统,以充分利用各类信息资源。但是我们在享受信息产业发展带给我们便利的同时,也面临着...
  • 云计算架构以其强大的信息处理能力、按需弹性的...在此基础上,提出了军事云信息安全保障体系构建的目标,构建了军事云信息安全保障体系架构,并对其包含的主要模块进行了深入分析,最后给出了需要解决的关键技术问题。
  • 信息安全体系结构

    千次阅读 2020-03-16 16:04:33
    全功能定义、设计、实施和验证的基础,该体系结构应该在反映整个信息系统安全策略的基 础上,描述该系统安全组件及其相关组件相互间的逻辑关系和功能分配。这种描述的合理性 和准确性将直接关系信息系统安全策略的实现...
  • 安全体系结构与技术的研究-安全体系结构理论,主要研究如何利用形式化的数学描述和分析方法建立信息系统安全体系结构模型。 安全协议理论与技术的研究-众所周知,TCP/IP协议以及基于TCP/IP的HTTP,FTP等都存在着不...
  • 信息系统安全 总结提纲

    千次阅读 2020-12-29 00:04:22
    信息系统安全期末复习信息系统概论什么是信息系统信息系统安全与信息安全的区别信息系统的例子信息系统发展趋势信息系统的架构边缘计算和云计算互相协同如何解决秒杀技术瓶颈为什么存在架构的复杂性问题如何度量信息...
  • 文章主要对视频监控系统安全测评体系进行探索,包括对测评平台和测评能力建设以及测评方法和测评指标规范设计等内容进行研究,并在此基础上进一步在安全防护层面提出一些建议。文章提出的安全测评体系具备实际参考...
  • (2) 安全技术体系 根据网络特殊需求和业务流程制定网络安全及安全加固方案,对信息系统内的操作系统、数据库、安全设备以及中间件的安全配置策略进行加强,降低恶意攻击者利用安全漏洞威胁系统安全运行的几率,...
  • 信息安全管理体系ISO27001

    千次阅读 2019-06-21 23:27:15
    信息安全ISO27001等ISO27000系列包含下列标准 ISO27000系列包含下列标准 ISO 27000 原理与术语Principles and vocabulary ... ISO 27002 信息技术—安全技术信息安全管理实践规范 (ISO/IEC 17799:2005) ...
  • 信息安全保障体系规划方案

    万次阅读 多人点赞 2018-06-21 17:04:59
    本文内容为信息安全技术体系、运维体系、管理体系的评估和规划,是信息安全保障体系的主体。一、 概述1.1引言本文基于对XX公司信息安全风险评估总体规划的分析,提出XX公司信息安全技术工作的总体规划、目标以及基本...
  • 随着云计算应用越来越广泛,政务、通信、金融、电子商务等越来越多的领域开始使用云计算,云计算服务正稳步成为IT基础服务和信息技术关键基础设施。云计算从2008年至今,经历了技术储备期、服务发展期,基于其独特的...
  • 《计算机信息系统安全保护等级划分准则》(GB17859-1999)是建立安全等级保护制度,实施安全等级管理的重要基础性标准,他讲计算机信息系统分为5个安全等级。
  • P2P公司信息安全管控体系建设

    千次阅读 2017-03-22 13:43:45
    P2P公司信息安全管控体系建设互联网金融,受银监会监管,本身还是金融,所以相比于传统金融企业在服务上更加开放与多样,但相对于视频直播、电商等互联网公司来看,面临的互联网压力又没有那么大。所以在这样的平台...
  • 大数据安全体系介绍之技术体系

    千次阅读 2020-02-01 16:30:42
    计算机行业的安全是一个由来已久概念,我们比较认可雷万云博士对于信息安全发展阶段的划分,认为截止到目前,信息安全大致经历了5个时期。 第一个时期是通信安全时期,其主要标志是1949年香农发表的《保密通信的...
  • 信息系统安全等级保护(简称“等保”) 随着2017年网络安全法的施行,等级保护制度上升为法律。 【法规要求】 《中华人民共和国网络安全法》在2017年6月1日施行,作为网络安全基础性法律,在第21条明确规定了...
  • 全国计算机信息安全技术

    千次阅读 2019-06-11 21:31:45
    考试大纲  基本要求  1. 了解信息安全保障工作的总体思路和基本实践方法  2. 掌握信息安全技术的基本概念... 了解信息系统安全设施部署与管理基本技术  6. 了解信息安全风险评估和等级保护原理与方法  7....
  • 本文概述计算机网络信息系统安全的概念目标及发展趋势对当前计算机网络信息系统存在的安全问题进行分析给出了计算机信息网络系统安全防护方面的摘要网络安全防护体系包括网络安全评估安全防护以及网络安全服务本文...
  • ISO27001信息安全管理体系

    万次阅读 2018-11-05 18:59:00
    初入甲方,刚开始接触的应该就是ISO27001信息安全管理体系,你拿到的应该就是一整套安全管理类的文档。在甲方,稍微有点规模的公司很注重制度和流程,岗位职责分工明细,那么这些安全管理制度,就是你所能掌控的...
  • 【信息系统项目管理师】第二十二章 信息系统安全管理(考点汇总篇) 考点分析与预测 信息安全为高级科目独有的章节,在第三版教材中有66页的内容。需要掌握的知识点非常多,且知识点非常散,在考试中上午一般考察4...
  • 信息安全体系就是为了从管理技术上保证安全策略得以完整准确地实现包括 技术体系 组织体系 管理体系 ;体系结构释义 ;技术体系结构概述 ;技术体系结构概述;计算机系统平台安全体系;网络通信平台安全体系;安全机制 ;...
  • 为了准确地对舰载机系统进行安全分析,确定客观的安全评价指标,文章选择“人、机、环境、管理”4个方面共29个评价指标,这些指标基本涵盖了舰载机系统安全评价所包含的有效信息。利用模糊聚类的方法再对该指标...
  • 对此提出了一种基于信息融合技术的附网存储安全体系,利用D-S证据理论融合了两种不同的入侵检测技术包括基于主机系统调用的入侵检测和基于存储的入侵检测技术。实验结果表明:该安全体系可以更加有效地防范入侵...
  • ISO27000信息安全管理体系

    千次阅读 2019-07-11 11:33:23
    一、什么是ISMS认证 1、所谓认证...认证的方法包括对产品的特性的抽样检验和对组织体系的审核与评定;认证的证明方式是认证证书与认证标志。通过认证活动,组织可以对外提供某种信任与保证,如产品质量保证...
  • 了解信息安全管理体系的基本思路

    千次阅读 2018-03-26 10:34:39
    为便于信息安全管理体系的理解与应用,现结合ISO/IEC27001:2016、GB/T22080-2016/ISO/IEC27001:2013及GB/T22081-2016/ISO/IEC27002:2013的相关要求,进行管理基本思路的整理,供参考。1 信息也是资产,值得或...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 155,709
精华内容 62,283
关键字:

信息系统安全技术体系包括