直播：2007中国网络主管论坛(2)

安全评估标准规范

中国软件评测中心副主任 相春雷

　　信息安全定义

　　我国相关立法给出的定义是：“保障计算机及其相关的和配套的设备、设施（网络）的安全，运行环境的安全，保障信息安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全”。这里面涉及了物理安全、运行安全与信息安全三个层面。

信息安全的标准

国外网络安全标准与政策现状

美国TCSEC（桔皮书） 欧洲ITSEC
加拿大CTCPEC
美国联邦准则（FC）
联合公共准则（CC）
ISO安全体系结构标准

2001年1月1日起由公安部主持制定、国家技术标准局发布的中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》开始实施。该准则将信息系统安全分为5个等级

自主保护级
系统审计保护级
安全标记保护级
结构化保护级
访问验证保护级

信息安全管理体系

　　信息安全管理体系是系统的对组织敏感信息进行管理，涉及到人，程序和信息科技(IT)系统。例如：ISO/IEC 17799 （BS7799－1）

　　信息安全不是有一个终端防火墙，或找一个24小时提供信息安全服务的公司就可以达到的。它需要全面的综合管理。信息安全管理体系的引入，可以协调各个方面信息管理，管理更为有效

信息安全风险评估

　　风险评估是信息安全管理体系（ISMS）建立的基础，是组织平衡安全风险和安全投入的依据，也是ISMS测量业绩、发现改进机会的最重要途径。

　　清晰地了解当前的风险和安全现状

　　明确地看到当前安全现状与安全目标之间的差距

　　为下一步控制和降低安全风险、设计解决方案和安全体系提供客观和翔实的依据

信息安全风险评估方法

安全工具扫描(网络、系统、数据库)
主机安全人工评估
入侵痕迹（后门）检查
模拟黑客渗透测试
业务软件安全评估
业务流程评估
网络拓扑结构评估
安全策略文档分析
安全审计和顾问访谈

感谢各位领导和来宾！

标签： 安全 标准 防火墙 美国 评测 数据库 网络 网络安全 网络安全标准 信息安全

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。