信息安全工程

信息安全工程

ID:41298704

大小:3.58 MB

页数:100页

时间:2019-08-21

信息安全工程_第1页
信息安全工程_第2页
信息安全工程_第3页
信息安全工程_第4页
信息安全工程_第5页
资源描述:

《信息安全工程》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全工程中国信息安全测评中心课程内容2信息安全工程知识体安全工程生命周期SSE-CMM体系与原理安全工程过程安全工程能力安全工程能力知识子域发掘信息保护需求开展详细安全设计实施系统安全确定系统安全要求设计系统安全体系结构评估信息保护的有效性知识子域知识域安全工程概述信息安全工程是信息安全保障的重要组成部分,但是却被广泛忽视等级保护—技术、管理传统风险评估—资产威胁脆弱性从普通管理者的角度看信息安全状况是“重技术、轻管理”;从一般安全人员看信息安全是“重应用、轻安全”;从专业人员的角度看信息安全的状况是“重要素、轻过程”,情况更严重。信息安全工程就是要解决信息系统生命周期

2、的“过程安全”问题从生活中的案例开始《消防通道设计规范》规定“商住楼中住宅的疏散楼梯应独立设置”右图是一家门市,为应付消防检查自行搭建的消防通道4安全工程的重要性如果在大楼的设计和实施阶段没有考虑消防,把楼盖完了,再去设置消防通道,必然会导致成本的上升和安全性的下降安全工程在信息化建设中的重要性有过之而无不及5信息化建设中的案例A公司开展家用电话自助刷卡支付业务用户可以通过其网站查询个人付款信息第三方安全测平发现该网站存在SQL注入漏洞,可以泄露用户交易信息6信息化建设中的案例(续)当初外包开发此网站的公司已经倒闭A公司技术人员对网站系统开发情况不了解,没有能力消除该漏洞。公司

3、董事会研究最终决定,为保护用户隐私,暂时不再为用户提供网上交易信息查询服务!7国家政策要求《关于加强信息安全保障工作的意见》明确要求“信息安全建设是信息化的有机组成部分,必须与信息化同步规划、同步建设。各地区各部门在信息化建设中,要同步考虑信息安全建设,保证信息安全设施的运行维护费用。”国家发展改革委《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》的中心思想是:电子政务工程建设项目必须同步考虑安全问题,提供安全专项资金,信息安全风险评估结论是项目验收的重要依据。8需要牢记在心的原则安全工程是信息化建设必要的有机组成部分信息安全建设必须同信息化建设“同步规划、同步实

4、施”“重功能、轻安全”,“先建设、后安全”都是信息化建设的大忌信息安全工程是信息安全保障工作中不可或缺的环节9安全工程能力成熟度模型(SSE-CMM)SSE-CMM体系与原理了解SSE-CMM的适用范围;了解域维与能力维的关系。安全工程能力评价理解各个信息安全工程能力级别的含义。10为什么要学习安全工程能力成熟度模型SSE-CMM为信息安全工程过程改进建立一个框架模型通过SSE-CMM的学习了解信息安全工程中通常要实施的活动有哪些,即信息安全工程中包括的过程有哪些评价和改进这些过程的指标是什么,即实施信息安全工程应当追求的过程能力11什么是系统安全工程系统安全工程尚不存在统一的

5、定义系统安全工程的主要目标是:获得对企业安全风险的理解根据已识别的风险确定安全需求将安全需求转换成指导系统开发、集成和维护的指导原则通过正确有效的安全控制措施建立信息和保证判断系统的残留风险是否可以接受注意:不能将系统安全工程理解为专门针对安全作的一个项目,系统安全工程是系统建设活动中有关加强系统安全性的活动的集合,是系统获取开发活动的子集12什么是SSE-CMM系统安全工程能力成熟模型(SystemsSecurityEngineeringCapabilityMaturityModel)描述了一个组织的系统安全工程过程必须包含的基本特征这些特征是完善的安全工程保证也是系统安全工

6、程实施的度量标准同时还是一个评估系统安全工程实施的框架13SSE-CMM的作用帮助获取组织(系统、产品的采购方)选择合格的投标者,以统一的标准对安全工程过程进行监管提高工程实施质量,减少争议帮助工程组织(系统开发和集成商)通过可重复、可预测的过程减少返工、提高质量、降低成本;改进安全工程实施能力;获得证明安全工程实施能力的资质帮助认证评估组织获得独立于系统和产品的可重用的过程评估标准用来确定被评估者将安全工程集成在系统工程之中,并且其系统安全工程是可信的14SSE-CMM覆盖范围SSE-CMM涉及到可信产品或者系统整个生命周期的安全工程活动,其中包括概念定义、需求分析、设计、开

7、发、集成、安装、运行、维护和终止。覆盖整个组织的活动,包括管理、组织和工程活动等,而不仅仅是系统安全的工程活动;它不是孤立了工程,而是与其它工程并行且相互作用,包括企业工程、软件工程、硬件工程、基建工程、人力资源工程、通信工程、测试工程、系统管理等;与其它组织的相互作用,涉及开发者、产品供应商、集成商、采购者、安全评估组织、资质评估认证组织、咨询服务商等;SSE-CMM可应用于所有类型和大小的安全工程机构,如商务机构、政府机构和学术机构。15SSE-CMM历史1993年4月美国国家安全局(N

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。