安全测评实践

安全测评实践2012-09-112课程内容23知识域：信息系统安全保障工作基本内容3知识子域：信息安全测评了解信息安全测评的重要性了解国内外信息安全测评概况理解信息安全产品测评方法和流程理解信息系统安全测评方法和流程了解服务商资质测评方法和流程了解信息安全人员资质测评方法和流程4信息系统安全保障评估信息系统安全保障评估——在信息系统所处的运行环境中对信息系统安全保障的具体工作和活动进行客观的评估，通过信息系统安全保障评估所搜集的客观证据，向信息系统的所有相关方提供信息系统的安全保障工作能够实现其安全保障策略，能够将其所面临的风险降低到其可接受的程度的主观信心。45信息系统安全保障评估的作用信息系统安全保障评估保障所有者信心风险产生提供需要那么最小化资产到产生信息系统安全保障技术保障管理保障工程保障人员保障产生信息系统安全保障技术保障管理保障工程保障人员保障给出证据使命到产生信息系统生命周期安全技术保障控制要求安全管理保障控制要求安全工程保障控制要求人员要求信息系统安全保障控制安全技术架构能力成熟度级要求安全管理能力成熟度级要求安全工程能力成熟度级要求能力成熟度级别56信息安全保障评估评估是信息系统安全保障的一个重要概念，系统所有者可以根据评估所得到的客观评估结果建立其主观的信心。评估对象是信息系统，不仅包含了信息技术系统，还包括同信息系统所处的运行环境相关的人和管理等领域。评估是一种动态持续的评估过程。67美国欧洲亚太国际组织中国国内外信息安全保障测评782019/10/1国防部:1997年《IT安全认证认可过程》（DITSCAP）2007年《信息保障认证和认可过程》（DIACAP）国土安全部:关键信息基础设施保护规划RAMCAP(RiskAnalysisandManagementforCriticalAssetProtection)商务部/NIST：《IT系统安全自评估指南》（SP800-26）《IT系统风险管理指南》（SP800-30）（SP800-53a）审计署/OMB：FISMA科研机构：CMUOCTAVE,SANDIARAM-*政策明确,技术实用美国—风险评估领头羊892019/10/1欧盟：CORAS安全关键系统的风险分析平台英国：COBRA，CRAMM，用例推理德国：德国联邦IT基线防护手册（ITBPM）法国:EBIOS,MEHARI瑞典:ATAM(安全架构评估),XMASS挪威:安全策略评估芬兰:安全指标评估技术创新强,未形成明确政策欧洲-积极探索创新9102019/10/1日本：政府和关键信息系统安全基线措施评估韩国：信息安全等级风险评估新加坡：信息安全风险审计和评估追随多,创新少亚太：及时跟进，确保发展10112019/10/1ISO:ISO27004信息安全管理的度量指标和测量ITU:基于通信安全架构(x.805)的风险评估ISACA：信息系统风险评估指南、安全评估之渗透测试和漏洞分析指南注重操作实用，弱化理论方法国际组织：规范标准111212《信息安全风险评估指南》-资产/威胁/脆弱性《信息系统等级保护测评指南》-安全保护基线《信息系统安全保障评估框架》-安全保障措施与能力2019/10/1我国风险评估技术情况1213我国信息安全测评认证标准认可机构测评机构认证机构被测对象（信息安全产品、信息系统）产品：GB/T18336CEM技术要求/PP等信息系统：CCISO17799SSE-CMM等国家信息安全测评认证体系要求、认证员指南检验和校准实验室的能力的通用要求（ISO/IEC17025）认证机构实施产品认证的认可基本要求（导则65）我国信息安全测评认证所使用的标准主要有三个来源：采用国家标准、在没有国家标准的情况下采用国际标准、采用认证中心管委会批准的技术要求和保护轮廓。1314国家信息安全测评主要对象信息产品安全测评信息系统安全测评服务商资质测评信息安全人员资质测评1415信息安全产品测评1516信息产品安全评估是测评机构对产品的安全性做出的独立评价，目的是为产品认证提供证据，增强用户对已评估产品安全的信任，向消费者提供信息技术安全产品的采购依据，从而推动信息技术安全产业的发展、提高信息技术安全科研和生产水平。信息产品安全测评依据的标准是：CC、CEM和CNITSEC的要求信息安全产品测评1617产品认证的基本要求产品认证属于典型完整的产品质量认证。产品认证的基本要求是对认证申请者送达的样品进行型式试验（测试评估），同时对申请者的质量体系（即质量保证能力）进行检查、评审。这两方面都符合有关标准要求，则予以认证。认证通过后，认证中心予以发放证书。证书发放以后，认证中心再从市场和、或工厂（车间）抽样进行核查试验，即监督检验，同时对其质量体系进行监督性复查，若两方面都合格，即维持认证，否则取消认证。1718根据国家标准GB/T18336－2001，信息产品安全的测评由低到高划分为7级别，即CC的EAL1-7级。目前中国信息安全测评中心开展了1~4级四个级别的测评工作。5~7级三个级别的测评将视具体情况与委托方研究协商后确定获得的级别越高，安全性与可信度越高信息安全测评级别1819产品认证申请书认证申请预审查认证受理测试评估体系审核证后监督认证决定证据审查认证维持认证证书(中文/英文)抽样检验准备阶段评估阶段认证阶段监督和维持阶段信息产品安全测评流程1920信息系统安全测评20电子商务系统工业控制系统电子政务系统21信息系统安全保障的评估，是从信息系统安全保障的概念出发，在信息系统的生命周期内，根据组织机构的要求在信息系统的安全技术、安全管理和安全工程领域内对信息系统的安全技术控制措施和技术架构能力、安全管理控制和管理能力以及安全工程实施控制措施和工程实施能力进行评估综合，从而最终得出信息系统在其运行环境中安全保障措施满足其安全保障要求的符合性以及信息系统安全保障能力的评估。信息系统安全保障评估的内容2122信息系统安全测评标准信息系统安全测评标准是GB/T20274《信息系统安全保障评估框架》，它为信息系统安全测评提供了思路框架和操作规范保证对象技术过程管理人员生命周期计划组织可用性开发采购实施交付运行维护废弃完整性机密性信息特征保障要素生命周期信息特征22232019/10/1信息安全等级保护法律政策体系242019/10/1信息安全等级保护相关标准25技术保障管理保障工程保障ISALTCML安全技术架构能力成熟度级MCML安全管理能力成熟度级TCML安全工程能力成熟度级XX信息系统安全目标（ISST）XX信息系统保护轮廓（ISPP）信息系统保障评估方法信息系统安全保障级信息系统安全保障评估ISPP评估ISST评估技术保障管理保障工程保障ISALTCML安全技术架构能力成熟度级MCML安全管理能力成熟度级TCML安全工程能力成熟度级XX信息系统安全目标（ISST）XX信息系统保护轮廓（ISPP）信息系统保障评估方法信息系统安全保障级信息系统安全保障评估ISPP评估ISST评估信息安全保障评估总体思路2526评估信息系统安全保障目标（ISST）对信息系统安全保障要求（ISPP）的符合性，即具体的信息系统安全保障措施信息系统在其运行环境下是否满足信息系统安全保障的需求对信息系统安全保障的执行能力进行评估，评估信息系统安全保障级（包括技术架构能力级、工程能力级和管理能力级的评定）符合性目标及级别目标2627信息系统安全分级分类“信息系统安全保障评估框架”信息系统安全保障级ISALTCML安全技术架构能力级MCML安全管理能力级ECML安全过程能力级信息系统安全分级分类价值信息特征•保密性•完整性•可用性信息系统使命类信息系统威胁分级+27信息系统的分级原则28信息系统的安全保障能力成熟度级管理能力成熟度等级（MCML）：MCML1、MCML2、MCML3、MCML4和MCML5工程能力成熟度等级（PCML）：PCML1、PCML2、PCML3、PCML4和PCML5技术体系架构成熟度级别（TCML）：TCML1、TCML2、TCML3、TCML4、TCML52829评估对象评估实施评估结果评估规范、准则评估方法、工具评估预案、组织安全要求安全风险信息系统安全保护等级划分等级认证信息系统安全保障评估总体框架2930信息系统安全保障等级评估规范的建立安全环境安全目标安全需求评估规范ISPP/ISST物理环境假设威胁系统使命受保护资产组织管理管理技术工程服务3031服务商资质测评31信息安全服务是指信息安全工程的设计、实施、测试、运行和维护，以及相关的咨询和培训活动。集成商开发商运维商32信息安全服务资质测评信息安全服务资质测评是对信息安全服务商的技术、资源、管理等方面的能力和稳定性、可靠性进行评估目前中国信息安全测评中心开展的信息安全服务资质评估包括3个类别信息安全工程类信息安全开发类信息系统灾难恢复类32服务资质测评的作用对安全服务提供方：•获得自身安全服务能力的认可•获得自身安全服务能力规范和提高（可重复、可预测的过程和实施减少返工）•提高组织的市场竞争力（知名度）•对安全服务需求方：•可获得选择服务商的第三方保证•提供有能力、有保障的服务商的范围（选择依据）•对社会和行业：•规范和指导整个社会和信息安全服务行业的行为•搭建起信息安全服务领域科学的、规范的发展框架33服务资质测评的程序申请委托人申请书形式化审查受理决定评审决定静态评估现场审核专家组评审认证决定证后监督公告发证备案限期整改抽样检查不予认证不予受理3435基本资格独立实体——本身合法遵守国家有关法规——行为合法基本能力组织机构外部协作人员素质资产规模设施环境业绩信息安全服务资质评估主要内容3536安全工程过程能力级别是评定信息系统安全服务组织资质的主要依据，标志着服务组织提供给客户的安全服务专业水平和质量保证程度。信息系统工程的过程能力级别按成熟性排序，表示依次增加的组织能力。《信息系统安全服务资质评估准则》将信息系统安全服务组织的工程能力分为五个级别：一级：基本执行级二级：计划跟踪级三级：充分定义级四级：量化控制级五级：连续改进级信息安全服务资质评估主要内容3637项目和组织过程能力包括：1、质量保证；2、管理配置；3、管理项目风险；4、监控技术活动；5、规划技术活动；6、管理系统工程支持环境；7、提供不短发展的技能和知识；8、与供应商协调。信息安全服务资质评估主要内容3738CISECISO信息安全人员资质测评38CISM39概述“注册信息安全专业人员”(CertifiedInformationSecurityEngineer，简称CISP)是一种特殊专业岗位人员，其所具备的专业资质和能力，系经国家认证和认可。CISP的基本职能是对信息系统的安全提供技术保障。申请CISP认证的境内人员必须具备相关的教育和工作经历，通过信息安全专业人员培训及考试，提交申请，并由认证中心认证。CISP证书在有效期内实行年度确认制度，在有效期结束进行复查换证。3940CISPCISP分为根据实际岗位工作需要，分为两个基础类别:注册信息安全工程师（CISE）,适合从事信息安全技术领域的工作；注册信息安全管理人员（CISO）,适合信息安全管理领域的工作；在两个基础类别之上还有两个扩展类别：注册信息安全专业人员-审计师（CISP-AUIT（原CISA）），适合从事信息安全审计工作。注册信息安全专业人员-灾难恢复工程师（CISP-DRP），适合从事信息系统灾难恢复工作。4041安全意识安全基础和安全文化信息安全专业人员（信息安全相关的岗位和职责）计划组织开发采购实施交付运行维护废弃信息安全从业人员（信息系统相关的岗位和职责）所有员工注册信息安全员（CISM）信息安全保障专家注册信息安全专业人员（CISP）培训意识信息安全人才知识体系战略4142CISP的知识体系架构4