freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

企業(yè)信息安全體系結(jié)構(gòu)研討(編輯修改稿)

2025-03-31 19:09 本頁面
 

【文章內(nèi)容簡介】 化組織 ?美國國家技術(shù)研究所 NIST(National Institute of Standard and Technology),NBS和 NIST 隸屬于美國商業(yè)部。他們制定的信息安全規(guī)范和標(biāo)準(zhǔn)很多,涉及方面有:訪問控制和認(rèn)證技術(shù)、評價和保障、密碼、電子商務(wù)、一般計算機(jī)安全、網(wǎng)絡(luò)安全、風(fēng)險管理、電信、聯(lián)邦信息處理標(biāo)準(zhǔn)等 . 相關(guān)的國際標(biāo)準(zhǔn)化組織 ?美國電子工業(yè)協(xié)會 EIA(Electronic Industries Association): ? 美國國防部 DOD(Department Of Defence): 相關(guān)的國際標(biāo)準(zhǔn)化組織 ?中國信息安全產(chǎn)品測評認(rèn)證中心、國家保密局、公安部計算機(jī)管理中心、國家技術(shù)監(jiān)督局等單位正在聯(lián)手合作,制定相關(guān)的電子信息安全產(chǎn)品的有關(guān)標(biāo)準(zhǔn)和規(guī)范性文件。 1 信息安全度量基準(zhǔn) ●美國是信息安全測評認(rèn)證的發(fā)源地。1985年美國國防部正式公布了可行計算機(jī)系統(tǒng)評估準(zhǔn)則( TCSEC), 即桔皮書,開始作為軍用標(biāo)準(zhǔn),后來延伸到民用。 TCSEC ●安全級別由高到低分為 A、 B、 C、 D四類,每類之下又分為 A B B BC C D七級。 歐洲評估標(biāo)準(zhǔn) ITSEC ●結(jié)合法國、英國、德國等開發(fā)成果。 ISO著手國際標(biāo)準(zhǔn) ●由于全球 IT市場發(fā)展,國際標(biāo)準(zhǔn)可以減少各國開支,推動全球信息化發(fā)展。1999年 12月 ISO正式將 ——ISO15408發(fā)布。 通用準(zhǔn)則 CC ●評估信息技術(shù)產(chǎn)品和系統(tǒng)安全特性的基礎(chǔ)準(zhǔn)則。建立信息技術(shù)安全性評估的通用準(zhǔn)則庫,就能使其評估結(jié)果能被更多人所理解和信任,并讓各種獨(dú)立的安全評估結(jié)果具有可比性,從而達(dá)到相互認(rèn)證的目的。 1991歐洲 ITSEC 1985美國 TCSEC 1990加拿大CTCPEC 1996國際 通用準(zhǔn)則 CC 1999國際標(biāo)準(zhǔn)ISO15408 1991美國聯(lián)邦 準(zhǔn)則 FC ?目前,我國共制定了 50多個與信息安全有關(guān)的標(biāo)準(zhǔn),例如: ? (1)GB 49432023 《 信息技術(shù)設(shè)備的安全 》 。 ? (2)GB 178591999 《 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 》 。 通用準(zhǔn)則的內(nèi)容分三部分 ●簡介和一般模型 ●安全功能要求 ●安全保證要求 我國也將采用這一標(biāo)準(zhǔn)對產(chǎn)品、系統(tǒng)和系統(tǒng)方案進(jìn)行測試、評估和認(rèn)可。 國際互認(rèn) ● 1999年, CC項目組成立 CC國際互認(rèn)工作組。美國 NSA和 NIST、 加拿大 CSE和英國 CESG隨后加入。目前非政府的認(rèn)證機(jī)構(gòu)也可以加入 CC認(rèn)證協(xié)定。 ISO著手國際標(biāo)準(zhǔn) ●由于全球 IT市場發(fā)展,國際標(biāo)準(zhǔn)可以減少各國開支,推動全球信息化發(fā)展。1999年 12月 ISO正式將 ——ISO15408發(fā)布。 2 國家信息安全 測評認(rèn)證體系 ●組織結(jié)構(gòu):專門的測評認(rèn)證機(jī)構(gòu)(國家安全或情報部門控制),管理多個 CC評估 /測試實(shí)驗室。 國家標(biāo)準(zhǔn)化部門 國家安全 /情報部門 政府授權(quán)的認(rèn)證機(jī)構(gòu) CC評估 /測試實(shí)驗室 監(jiān)管 授權(quán) 提交 報告 技術(shù) 監(jiān)督 信息安全測評認(rèn)證體系 ●目前基于 CC的信息安全測評體系一般具有下圖所示的形式。 測評認(rèn)證 機(jī)構(gòu) CC及其通用 評估方法 政府授權(quán)的認(rèn)證機(jī)構(gòu) CC評估 /測試實(shí)驗室 ISO導(dǎo)則 25要求 IT產(chǎn)品 評估結(jié)果 技術(shù) 監(jiān)督 實(shí)驗室 認(rèn)證報告 產(chǎn)品 實(shí)驗室認(rèn)可機(jī)構(gòu) 評估發(fā)起者 技術(shù)支持 方案需求 3 中國信息安全測評認(rèn)證中心 ●國家技術(shù)監(jiān)督局 1999年 2號公告發(fā)布,開展以下四種認(rèn)證業(yè)務(wù): 1)產(chǎn)品信號認(rèn)證:認(rèn)證的基礎(chǔ)形式。 2)產(chǎn)品認(rèn)證:從產(chǎn)品檢驗到質(zhì)量保證 3)信息系統(tǒng)安全認(rèn)證:對網(wǎng)絡(luò)運(yùn)行安全、管理安全和控制安全的綜合認(rèn)證 4)信息安全服務(wù)認(rèn)證:對服務(wù)提供者的實(shí)力、服務(wù)能力、資質(zhì)條件認(rèn)證 攻擊評估 ?在對攻擊事件進(jìn)行評估時, Sean convery提供了一個很好的評估方案,該方案從四個方面定義了攻擊類型的評估。 ? 1.檢測難度 檢測難度是指網(wǎng)管員是否能夠檢測到這些攻擊的近似難度。例如有些端口掃描器掃描頻率過高將會被很多 IDS檢測到,而 SQL注入等則相對難以察覺。 攻擊評估 ?2.攻擊難度 ? 攻擊難度是指可以在公共場合隨意使用的攻擊相對來說攻擊難度較低采用一些 0 day漏洞的腳本攻擊難度也非常低,而像精妙構(gòu)造 SQL語句則成為難度較高的一種攻擊方式。 攻擊評估 ? 3.頻度 頻度是指攻擊的頻率。端口掃描幾乎每天都會發(fā)生,而 SQL注入、 ARP欺騙等發(fā)生的頻率則相對低得多。 ? 4.影響 要評估網(wǎng)絡(luò)安全問題爆發(fā)后產(chǎn)生的影響。DDoS攻擊可能對電子商務(wù)、政務(wù)系統(tǒng)等帶來極大的影響和經(jīng)濟(jì)損失,而對于國防、軍事等重要系統(tǒng),它的影響則來自數(shù)據(jù)的丟失和機(jī)密的泄露等。 攻擊評估 ?通過對以上四方面按 5分制打分后,可以通過如下公式計算出總體評價: 總體評價 =檢測難度 +攻擊難度 2+頻度 3+影響 4 如果總體評價低于 10,則可以不用過多擔(dān)心這類威脅;如果總體評價高于 35則需要關(guān)注這類攻擊;如果高于 40,則屬于高危漏洞,需要及時彌補(bǔ)。 Sean ConveFy對常見攻擊作了如表所示的評價。 攻擊評估 攻擊類型 檢測難度 攻擊難度 頻度 影響 總體評價 緩沖溢出 4 3 5 5 45 身份欺騙 4 3 4 5 42 撥號式掃描 5 4 3 5 42 病毒蠕蟲木馬 3 4 5 4 42 直接訪問 2 5 5 3 39 遠(yuǎn)程控制 4 4 3 4 37 刺探、掃描 4 5 5 2 37 Rootkit 4 2 4 4 36 攻擊評估 攻擊類型 檢測難度 攻擊難度 頻度 影響 總體評價 監(jiān)聽 5 5 3 3 36 TCP欺騙 5 1 1 5 30 應(yīng)用程序泛洪 3 5
點(diǎn)擊復(fù)制文檔內(nèi)容
教學(xué)課件相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號-1