大学精品课件：第1章 安全集成概述.pptx

1、安全集成第一章 概述内容概要 信息系统基本概念 系统集成 信息系统安全集成 法律法规及标准信息+系统信息和系统GB4894-85GB4894-85现代科学现代科学GB/T20216寄生于一定的存储和传输载体，通过一定数据形式展现寄生于一定的存储和传输载体，通过一定数据形式展现系统的基本特征有机组合整体性和独立性层次性和聚合性稳定性系统信息系统有机构成整体性和独立性层次性和聚合性稳定性信息系统由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统安全属性安全属性系统集成信息系统集成用户需求用户需求计算机硬件计算机硬件计

2、算机软件计算机软件通信技术通信技术通信产品通信产品策划设计开发实施服务保障综合的系统工程综合的系统工程信息系统信息系统安全安全集成 基本概念 安全 集成 ISCCC-SV-003信息系统安全集成服务资质认证实施规则中的定义 安全的集成 集成的安全安全安全事件事件安全安全风险风险安全安全信息系统安全优化安全加固信息系统安全安全安全集成模型安全集成本质 业务流 实体对象 安全属性集成 资源整合 管理统筹安全的集成符合性要求风险评估措施盘点措施计划措施实施监视评审改进集成的安全符合性要求风险评估集成与安全设计工程实施安全评测监视评审改进安全的集成与集成的安全相互转化相互转化补充补充法律法规及标准 国

3、际标准 信息系统安全工程 GB/T20261-2006/ISO218270:2002 GB/T20282:2006 GB/T20271:2006 TCSEC标准 CC标准第三章法律法规及标准 国际标准 信息安全管理体系相关标准 ISO/IEC27000 ISMS概述和术语 ISO/IEC27001 信息安全管理体系要求 ISO/IEC27002 信息安全管理体系实用规则 ISO/IEC27003 信息安全管理体系实施指南 ISO/IEC27004 信息安全管理度量 ISO/IEC27005 信息安全风险管理 ISO/IEC27006 ISMS认证机构的认可要求 ISO/IEC27007 信息安

4、全管理体系审核指南 ISO/IEC27008 ISMS控制措施审核员指南 ISO/IEC27010 部门间通信的信息安全管理 ISO/IEC27011 电信业信息安全管理指南27001:2005附录A（规范性附录）56789101112131415安全方针信息安全组织资产管理人力资源安全物理和环境安全通信和操作管理访问控制信息资源获取、开发和维护信息安全事件管理业务连续性管理符合性 前 中 后 硬件 软件 报告 记录 控制 域 目标 措施05 11 39 13313 14 35 114法律法规及标准 国际标准 信息系统安全工程 TCSEC标准 美国可信计算机系统评价标准 全安等级：A、B、C、

5、D四类八个级别，27准则 CC标准法律法规及标准 国际标准 信息系统安全工程 TCSEC标准 CC标准 信息技术安全评估通用准则 美、加、欧共体法律法规及标准 国内标准GB178591999 计算机信息系统安全保护等级划分准则GA/T3902002 计算机信息系统安全等级保护通用技术要求GA/T3912002 计算机信息系统安全等级保护管理要求GA1631997 计算机信息系统安全专用产品分类原则GB936188S 计算站场地安全要求GB/T220802008 信息技术 安全技术 信息安全管理体系要求GB/T220812008 信息技术 安全技术 信息安全管理实用规则法律法规及标准 法律法规（

6、1）中华人民共和国计算机信息系统安全保护条例；（2）计算机信息网络国际联网安全保护管理办法；（3）计算机信息网络国际联网管理暂行规定实施办法；（4）关于维护互联网安全的决定；（5）互联网上网服务营业场所管理条例；（6）互联网安全保护技术措施规定；（7）互联网电子邮件服务管理办法；（8）国务院关于大力推进信息化发展和切实保障信息安全的若干意见（2013）；（9）国家安全监管总局办公厅关于印发总局网络运行和信息安全保密管理办法的通知；（10）信息网络传播权保护条例（2013修订）；（11）全国人大常委会关于加强网络信息保护的决定；（12）互联网信息服务管理办法；（13）工业和信息化部关于近期部分互

7、联网站信息泄露事件的通告（2011）；（14）中华人民共和国保守国家秘密法；（15）中华人民共和国国家安全法；（16）计算机信息系统安全专用产品检测和销售许可证管理办法；法律法规及标准 法律法规（17）涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法；（18）商用密码管理条例；（19）科学技术保密规定；（20）关于禁止侵犯商业秘密行为的若干规定；（21）加强科技人员流动中技术秘密管理的若干意见；（22）计算机病毒防治管理办法；（23）计算机信息系统国际联网保密管理规定；（24）中华人民共和国电信条例；（25）联网单位安全员管理办法；（26）计算机软件保护条例；（27）信息安全产品测评认证管理办法；（28）中华人民共和国电子签名法；（29）商用密码产品销售管理规定；（30）电子认证服务密码管理办法；（31）商用密码科研管理规定；（32）商用密码产品生产管理规定；法律法规及标准 法律法规（33）电子认证服务管理办法；（34）关于加强新技术产品使用保密管理的通知；（35）商用密码产品使用管理规定；（36）信息安全等级保护管理办法；（37）境外组织和个人在华使用密码产品管理办法；（38）刑法修正案（七）关于信息安全的修订与解读；（39）通信网络安全防护管理办法；（40）中央企业商业秘密保护暂行规定