返回
信息安全技术教程清华大学出版社-第十八章

信息安全技术教程清华大学出版社-第十八章

ID:39114284

大小:762.81 KB

页数:25页

时间:2019-06-25

信息安全技术教程清华大学出版社-第十八章_第1页
信息安全技术教程清华大学出版社-第十八章_第2页
信息安全技术教程清华大学出版社-第十八章_第3页
信息安全技术教程清华大学出版社-第十八章_第4页
信息安全技术教程清华大学出版社-第十八章_第5页
资源描述:

《信息安全技术教程清华大学出版社-第十八章》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、2021/7/14第18章信息安全建设标准18.1通用安全原则18.2安全标准18.3安全法规18.4习题18.1通用安全原则18.1.1通用原则18.1.2安全策略18.1.3安全管理工具18.1.4物理安全18.1.5人员安全2021/7/1418.1.1通用原则特权分离原则不主张单一的人员有足够的权限导致核心事件的发生最小特权原则一个人进行控制或相应的工作职责时,应该只分配最低限度的权限。深度防御原则模糊安全依靠恶意入侵者不知道系统内部所采用的管理安全措施这一事实来保证安全2021/7/1418.1.2安全策略常见的安全策略可接受使用策略:让策略能够有效地限制用户权限范围内的

2、行为,同时还要求可以应付不可预知的行为备份策略:应付组织内被保护的数据丢失或损坏保密策略数据管理策略:数据类型、最短保管时间、最长保管时间无线设备策略:无线设备能够给组织造成很大程度的安全威胁,所以在制定该策略时应当小心谨慎,并能够有力地执行下去2021/7/14策略执行政策制定建立共识人员培训:所有被策略影响的员工提供有效的教育与训练,组织提供的安全培训应针对不同的角色定制具体的培训内容策略执行:包含强制执行规定,明确阐明违反政策行为和应遵循的程序时候所负的责任策略维护:包含强制执行规定,明确阐明违反政策行为和应遵循的程序时候所负的责任2021/7/1418.1.3安全管理工具安

3、全校验表安全专家应该审阅组织当前存在的安全清单,确保概述的程序与组织内的信息安全策略一致安全从业者可能希望建立自己安全校验表用于具体的安全目的安全矩阵2021/7/14保密性完整性可用性非常重要XX一般重要次重要X18.1.4物理安全边界防护/访问控制防御的方式:栅栏、运动检测器、巡逻。防御的等级很大程度上取决于该设施的用途和位置信息安全领域的深度防御原则也可同时用于物理安全领域电子实体保护电子设备发出的辐射在数百米远的地方都可以被利用重新恢复出其承载的内容2021/7/1418.1.5人员安全主要措施在为员工提供就业时,应该首先进行背景调查对员工的行为进行监控强制假期尽可能的提供

4、给要离开公司的员工一个友好的环境2021/7/1418.2安全标准18.2.1TCSEC18.2.2ITSEC18.2.3CTCPEC18.2.4FIPS18.2.5BS7799系列(ISO/IEC27000系列)18.2.6ISO/IECTR13335系列18.2.7SSE-CMM18.2.8ITIL和BS1500018.2.9CC18.2.10CoBIT18.2.11NISTSP800系列2021/7/14信息技术安全评估标准的历史和发展2021/7/1418.2.1TCSECTCSEC(TrustedComputerSystemEvaluationCriteria,可信计算机

5、安全评价标准)标准是计算机系统安全评估的第一个正式标准,也称为橘皮书,具有划时代的意义4个安全等级D类安全等级:D1级C类安全等级:C1和C2级B类安全等级:B1、B2和B3级A类安全等级:A1级2021/7/1418.2.2ITSECITSEC(InformationTechnologySecurityEvaluationCriteria)标准将安全概念分为功能与评估两部分。功能准则从F1~F10共分10级。1~5级对应于TCSEC的D到A。F6至F10级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及机密性和完整性的网络安全。ITSEC把完整性、

6、可用性与保密性作为同等重要的因素2021/7/1418.2.3CTCPECCTCPEC(CanadianTrustedComputerProductEvaluationCriteria)是加拿大的评价标准,专门针对政府需求而设计。功能性需求共划分为四大类:机密性、完整性、可用性和可控性。每种安全需求又可以分成很多小类,来表示安全性上的差别,分级条数为0~5级。2021/7/1418.2.4FIPS联邦信息处理标准(FederalInformationProcessingStandards,FIPS)是一套描述文件处理、加密算法和其他信息技术标准(在非军用政府机构和与这些机构合作的政

7、府承包商和供应商中应用的标准)的标准。2021/7/1418.2.5BS7799系列BS7799第一部分全称是CodeofPracticeforInformationSecurity,最新版成为ISO17799:2005ISO/IEC17799:2005通过层次结构化形式提供安全策略、信息安全的组织结构、资产管理、人力资源安全等11个安全管理要素,还有39个主要执行目标和133个具体控制措施(最佳实践)BS7799第二部分全称是InformationSecurityM

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。