資源描述:
《信息安全工程》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。
1、信息安全工程中國(guó)信息安全測(cè)評(píng)中心課程內(nèi)容2信息安全工程知識(shí)體安全工程生命周期SSE-CMM體系與原理安全工程過(guò)程安全工程能力安全工程能力知識(shí)子域發(fā)掘信息保護(hù)需求開(kāi)展詳細(xì)安全設(shè)計(jì)實(shí)施系統(tǒng)安全確定系統(tǒng)安全要求設(shè)計(jì)系統(tǒng)安全體系結(jié)構(gòu)評(píng)估信息保護(hù)的有效性知識(shí)子域知識(shí)域安全工程概述信息安全工程是信息安全保障的重要組成部分,但是卻被廣泛忽視等級(jí)保護(hù)—技術(shù)、管理傳統(tǒng)風(fēng)險(xiǎn)評(píng)估—資產(chǎn)威脅脆弱性從普通管理者的角度看信息安全狀況是“重技術(shù)、輕管理”;從一般安全人員看信息安全是“重應(yīng)用、輕安全”;從專業(yè)人員的角度看信息安全的狀況是“重要素、輕過(guò)程”,情況更嚴(yán)重。信息安全工程就是要解決信息系統(tǒng)生命周期
2、的“過(guò)程安全”問(wèn)題從生活中的案例開(kāi)始《消防通道設(shè)計(jì)規(guī)范》規(guī)定“商住樓中住宅的疏散樓梯應(yīng)獨(dú)立設(shè)置”右圖是一家門市,為應(yīng)付消防檢查自行搭建的消防通道4安全工程的重要性如果在大樓的設(shè)計(jì)和實(shí)施階段沒(méi)有考慮消防,把樓蓋完了,再去設(shè)置消防通道,必然會(huì)導(dǎo)致成本的上升和安全性的下降安全工程在信息化建設(shè)中的重要性有過(guò)之而無(wú)不及5信息化建設(shè)中的案例A公司開(kāi)展家用電話自助刷卡支付業(yè)務(wù)用戶可以通過(guò)其網(wǎng)站查詢個(gè)人付款信息第三方安全測(cè)平發(fā)現(xiàn)該網(wǎng)站存在SQL注入漏洞,可以泄露用戶交易信息6信息化建設(shè)中的案例(續(xù))當(dāng)初外包開(kāi)發(fā)此網(wǎng)站的公司已經(jīng)倒閉A公司技術(shù)人員對(duì)網(wǎng)站系統(tǒng)開(kāi)發(fā)情況不了解,沒(méi)有能力消除該漏洞。公司
3、董事會(huì)研究最終決定,為保護(hù)用戶隱私,暫時(shí)不再為用戶提供網(wǎng)上交易信息查詢服務(wù)!7國(guó)家政策要求《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》明確要求“信息安全建設(shè)是信息化的有機(jī)組成部分,必須與信息化同步規(guī)劃、同步建設(shè)。各地區(qū)各部門在信息化建設(shè)中,要同步考慮信息安全建設(shè),保證信息安全設(shè)施的運(yùn)行維護(hù)費(fèi)用?!眹?guó)家發(fā)展改革委《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》的中心思想是:電子政務(wù)工程建設(shè)項(xiàng)目必須同步考慮安全問(wèn)題,提供安全專項(xiàng)資金,信息安全風(fēng)險(xiǎn)評(píng)估結(jié)論是項(xiàng)目驗(yàn)收的重要依據(jù)。8需要牢記在心的原則安全工程是信息化建設(shè)必要的有機(jī)組成部分信息安全建設(shè)必須同信息化建設(shè)“同步規(guī)劃、同步實(shí)
4、施”“重功能、輕安全”,“先建設(shè)、后安全”都是信息化建設(shè)的大忌信息安全工程是信息安全保障工作中不可或缺的環(huán)節(jié)9安全工程能力成熟度模型(SSE-CMM)SSE-CMM體系與原理了解SSE-CMM的適用范圍;了解域維與能力維的關(guān)系。安全工程能力評(píng)價(jià)理解各個(gè)信息安全工程能力級(jí)別的含義。10為什么要學(xué)習(xí)安全工程能力成熟度模型SSE-CMM為信息安全工程過(guò)程改進(jìn)建立一個(gè)框架模型通過(guò)SSE-CMM的學(xué)習(xí)了解信息安全工程中通常要實(shí)施的活動(dòng)有哪些,即信息安全工程中包括的過(guò)程有哪些評(píng)價(jià)和改進(jìn)這些過(guò)程的指標(biāo)是什么,即實(shí)施信息安全工程應(yīng)當(dāng)追求的過(guò)程能力11什么是系統(tǒng)安全工程系統(tǒng)安全工程尚不存在統(tǒng)一的
5、定義系統(tǒng)安全工程的主要目標(biāo)是:獲得對(duì)企業(yè)安全風(fēng)險(xiǎn)的理解根據(jù)已識(shí)別的風(fēng)險(xiǎn)確定安全需求將安全需求轉(zhuǎn)換成指導(dǎo)系統(tǒng)開(kāi)發(fā)、集成和維護(hù)的指導(dǎo)原則通過(guò)正確有效的安全控制措施建立信息和保證判斷系統(tǒng)的殘留風(fēng)險(xiǎn)是否可以接受注意:不能將系統(tǒng)安全工程理解為專門針對(duì)安全作的一個(gè)項(xiàng)目,系統(tǒng)安全工程是系統(tǒng)建設(shè)活動(dòng)中有關(guān)加強(qiáng)系統(tǒng)安全性的活動(dòng)的集合,是系統(tǒng)獲取開(kāi)發(fā)活動(dòng)的子集12什么是SSE-CMM系統(tǒng)安全工程能力成熟模型(SystemsSecurityEngineeringCapabilityMaturityModel)描述了一個(gè)組織的系統(tǒng)安全工程過(guò)程必須包含的基本特征這些特征是完善的安全工程保證也是系統(tǒng)安全工
6、程實(shí)施的度量標(biāo)準(zhǔn)同時(shí)還是一個(gè)評(píng)估系統(tǒng)安全工程實(shí)施的框架13SSE-CMM的作用幫助獲取組織(系統(tǒng)、產(chǎn)品的采購(gòu)方)選擇合格的投標(biāo)者,以統(tǒng)一的標(biāo)準(zhǔn)對(duì)安全工程過(guò)程進(jìn)行監(jiān)管提高工程實(shí)施質(zhì)量,減少爭(zhēng)議幫助工程組織(系統(tǒng)開(kāi)發(fā)和集成商)通過(guò)可重復(fù)、可預(yù)測(cè)的過(guò)程減少返工、提高質(zhì)量、降低成本;改進(jìn)安全工程實(shí)施能力;獲得證明安全工程實(shí)施能力的資質(zhì)幫助認(rèn)證評(píng)估組織獲得獨(dú)立于系統(tǒng)和產(chǎn)品的可重用的過(guò)程評(píng)估標(biāo)準(zhǔn)用來(lái)確定被評(píng)估者將安全工程集成在系統(tǒng)工程之中,并且其系統(tǒng)安全工程是可信的14SSE-CMM覆蓋范圍SSE-CMM涉及到可信產(chǎn)品或者系統(tǒng)整個(gè)生命周期的安全工程活動(dòng),其中包括概念定義、需求分析、設(shè)計(jì)、開(kāi)
7、發(fā)、集成、安裝、運(yùn)行、維護(hù)和終止。覆蓋整個(gè)組織的活動(dòng),包括管理、組織和工程活動(dòng)等,而不僅僅是系統(tǒng)安全的工程活動(dòng);它不是孤立了工程,而是與其它工程并行且相互作用,包括企業(yè)工程、軟件工程、硬件工程、基建工程、人力資源工程、通信工程、測(cè)試工程、系統(tǒng)管理等;與其它組織的相互作用,涉及開(kāi)發(fā)者、產(chǎn)品供應(yīng)商、集成商、采購(gòu)者、安全評(píng)估組織、資質(zhì)評(píng)估認(rèn)證組織、咨詢服務(wù)商等;SSE-CMM可應(yīng)用于所有類型和大小的安全工程機(jī)構(gòu),如商務(wù)機(jī)構(gòu)、政府機(jī)構(gòu)和學(xué)術(shù)機(jī)構(gòu)。15SSE-CMM歷史1993年4月美國(guó)國(guó)家安全局(N