信息安全工程教学全套课件 05 体系结构与应用.ppt

《信息安全工程教学全套课件 05 体系结构与应用.ppt》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、1体系结构与应用域维过程区过程区格式能力维及其级别能力级别格式应用2基本实施SSE-CMM包含了60个基本实施(BP:BasePractice)，这60个基本实施被归为了11类，它们涵盖了所有主要的安全工程域。一个基本实施：应用于整个企业生命期和其它BP互相不覆盖不简单地反映新型技术不指定特定的方法或工具3过程区60个基本实施被归为的11类，称为过程区。有许多方式将安全工程范畴划分为过程区。一种做法是将真实世界模型化，创建匹配安全工程服务的过程区。另一个是概念域的方法，这些概念域形成了基础的安全工程建设模块

2、。每一个过程区包括一组表示一个成功执行过程区的目标。每一个过程区也包括一组集成的“基本实施”。4过程区过程区汇集了一个域中的相关活动与有价值的安全工程服务相关可在整个组织生命周期中应用能在多个组织和多类产品范围内实现能作为一个独立的过程加以改进能够被感兴趣的组织加以改进包括了所有需要满足过程区目标的基本实施511个过程区PA01管理安全控制PA02评估影响PA03评估安全风险PA04评估威胁PA05评估脆弱性PA06建立安全论据PA07协调安全性PA08监视安全态势PA09提供安全输入PA10确定安全需求P

3、A11验证与确认安全6其它过程区PA12确保质量PA13管理配置PA14管理项目风险PA15监视和控制技术工作PA16规划技术工作PA17定义机构的系统工程过程PA18改善机构的系统工程过程PA19管理产品线发展PA20管理系统工程支持环境PA21提供不断发展的技能和知识PA22与提供商相协调这些过程区不是与安全直接相关的，但是它们也会对安全造成影响。7过程区与基本实施的关系过程区…….基本实施01.02过程区02基本实施01.01安全机构安全项目安全工程过程区01过程区基本实施……8体系结构与应用域维过程

4、区过程区格式能力维及其级别能力级别格式应用9过程区描述格式PA01——过程区名概述——对该过程域的概括介绍目标——实施该过程区期望达到的目标基本实施列表——说明每一个基本过程的序号和名称过程区注解——对该过程区的其它说明BP.01.01——基本实施名描述性名字——对该基本实施的一句描述描述——对该基本实施的概括工作成果示例——列出了所有可能的输出注解——关于该基本实施的任何其它的注解BP.01.02……10概述目标过程区注解过程区举例（PA05评估脆弱性）评估安全脆弱性的目的在于标识和描述系统的安全脆弱性。

5、本过程域包括分析系统资产、定义具体的脆弱性以及对整个系统的脆弱性进行评估。就本模型的用途而言，“脆弱性”指的是可被用来完成不期望行为的系统的某些特征、安全弱点、漏洞或易被威胁所攻击的系统实施的缺陷。本过程区中的活动可在系统生命周期内的任何时间进行，以支持在已知环境系统的开发、维护和运行决策。获得对一给定环境中系统安全脆弱性的理解。本过程区涉及到的分析和实施通常是“书面研究”，而通过主动式工具和技术来查找系统脆弱性则是另一种补充方法。主动性分析技术有时称之为渗透性测试，在测试中，安全工程师将尝试是否能够绕过系

6、统的安全机制。安全工程师一般要在常规用户的约束条件下展开渗透性攻击，但他们可以使用全部的设计和实施文档。这种渗透性测试也不能无止境地进行下去，它必然要受到时间和成本的制约。本过程区产生的威胁信息可以与PA04（评估威胁）中得到的威胁信息、PA02（评估影响）中得到的影响信息一起协作，为PA03（评估安全风险）提供输入。虽然这些涉及威胁、脆弱性和影响信息的收集活动是分散在不同的过程区之中的，但他们之间的互依赖性很强。他们的目的是为风险管理寻求充分的信息，以指导安全措施的实施。因此，在一定程度上，脆弱性评估过程

7、要得到威胁和影响评估的指导。由于脆弱性可能会变化，因此必须定期地对其进行监视，以确保本过程区中获得的对脆弱性的理解始终正确。11过程区举例（续）基本实施清单BP05.01选择在一给定环境中对系统脆弱性进行标识和描述的方法、技术和标准。BP05.02标识系统安全脆弱性。BP05.03收集与脆弱性属性有关的数据。BP05.04评估系统脆弱性，并将特定脆弱性以及各种特定脆弱性的组合进行综合。BP05.05监视脆弱性及其特征的变化。12过程区举例（续）BP05.01选择脆弱性分析方法选择在一给定环境中对系统脆弱性进

8、行标识和描述的方法、技术和标准。描述本基本实施包括定义系统的脆弱性分析方法，以对安全脆弱性进行标识和描述。其中还要包括脆弱性的分类和优先级排序方案，根据威胁及其可能性、系统的运行功能、安全需求或以其他感兴趣的内容为基础来完成脆弱性的分类和排序。还要标识出这些分析方法的深度和广度，以使安全工程师和客户判断出待分析的目标系统及分析的全面性。脆弱性分析应该在预定的专门时间内展开，并在一个已知框架和清晰记录的配置内完成。