信息安全工程培训讲义课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《信息安全工程培训讲义课件.ppt》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全工程 培训 讲义 课件
- 资源描述:
-
1、信息安全工程信息安全工程讲师姓名 机构名称版本:4.0课程内容课程内容信息安全保障信息安全保障信息安全工程信息安全工程知识域知识域知识子域知识子域知识子域:信息安全工程知识子域:信息安全工程v信息安全工程基础 理解信息安全工程的基本概念及信息安全工程的必要性;v信息安全工程理论基础 了解系统工程思想、项目管理方法、质量管理体系、能力成熟度模型等信息安全工程基础理论;理解能力成熟度模型的基本思想及相关概念;什么是安全工程什么是安全工程v采用工程的概念、原理、技术和方法,来研究、开发、实施与维护信息系统安全的过程v信息化建设活动中有关加强系统安全性活动的集合v良好安全工程的四个方面 策略 机制 保
2、证 动机为什么需要安全工程为什么需要安全工程v信息系统安全保障要素之一v解决信息系统生命周期的“过程安全”问题 信息安全是信息化的有机组成部分,必须与信息化同步规划、同步建设 信息系统的建设是一项系统工程,具有复杂性,安全工程是以最优费效比提供并满足安全需求“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。”-中华人民共和国网络安全法信息安全工程理论基础信息安全工程理论基础v系统工程v项目管理v质量管理v能力成熟度模型信息安全工程理论基础信息安全工程理论基础-系统工程系统工程v什么是系统工程 以大型复杂系统为研究对象,按一定目的进
3、行设计、开发、管理与控制,以期达到总体效果最优的理论与方法v系统工程的概念 系统工程不是基本理论,也不属于技术实现,而是一种方法论 系统工程是一门高度综合性的管理工程技术,不同于一般的工程技术学科,如水利工程、机械工程等“硬”工程;系统工程偏重于工程的组织与经营管理一类“软”科学的研究信息安全工程理论基础信息安全工程理论基础-系统工程系统工程v霍尔三维结构图 时间维 逻辑维 知识维信息安全工程理论基础信息安全工程理论基础-项目管理项目管理v什么是项目管理 项目管理者在有限的资源约束下,运用系统的观点、方法和理论,对项目涉及的全部工作进行有效管理 项目管理是系统工程思想针对具体项目的实践应用v项
4、目管理的知识领域 范围、时间、成本、质量、人力资源、沟通、风险、采购和集成v项目的过程控制 启动、计划、执行、控制和收尾信息安全工程理论基础信息安全工程理论基础-质量管理质量管理v质量管理基本概念 质量:是一组固有特性满足要求的程度 治理管理:为了实现质量目标,而进行的所有管理性质的活动v质量管理体系 指挥和控制一个组织质量相关的管理体系 国际标准ISO9000系列ISO9000ISO9000规范质量管理的四个方面规范质量管理的四个方面v机构 标准明确规定了为保证产品质量而必须建立的管理机构及职责权限v程序 对组织的产品生产必须制定规章制度、技术标准、质量手册、质量体系和操作检查程序,并使之文
5、件化v过程 质量控制是对生产的全部过程加以控制,是面的控制,不是点的控制v总结 不断地总结、评价质量管理体系,不断地改进质量管理体系,使质量管理呈螺旋式升信息安全工程理论基础信息安全工程理论基础-能力成熟度模型能力成熟度模型v能力成熟度模型(Capability Maturity Model)一种衡量工程实施能力的方法 建立在统计过程控制理论基础上的v能力成熟度模型基础 现代统计过程控制理论表明通过强调生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品;所有成功企业的共同特点是都具有一组严格定义、管理完善、可测可控从而高度有效的业务过程;CMM模型抽取了这样一组好的工程实践
6、并定义了过程的“能力”;能力成熟度模型基本思想能力成熟度模型基本思想v工程实施组织的能力成熟度等级越高,系统的风险越低vCMM为工程的过程能力提供了一个阶梯式的改进框架能力成熟模型SW-CMM软件能力成熟模型SE-CMM系统工程能力成熟模型SSE-CMM信息系统安全工程能力成熟模型软件工程传统制造业安全工程知识子域:信息安全工程知识子域:信息安全工程v信息系统安全工程 了解信息系统安全工程(ISSE)与系统工程(SE)工作内容的区别;理解确定信息保护需求、确定系统安全要求、设计系统安全架构、开发详细安全设计、实现系统安全、评估信息保护有效性这六个阶段主要工作内容。信息系统安全工程(信息系统安全
7、工程(ISSEISSE)v美国军方在20世纪90年代初发布的信息安全工程方法v通过实施系统工程过程来满足信息保护的需求v有助于开发可满足用户安全需求的系统产品和过程解决方案信息系统安全工程流程信息系统安全工程流程v将系统工程思想应用于信息安全领域,在系统生命周期的各阶段充分考虑和实施安全措施系统工程实施过程信息安全工程实施过程发掘信息保护需求发掘信息保护需求v了解组织机构的业务和使命v确定信息系统面临的风险v识别适用的保护策略合理性合理性符合性符合性安全工程建安全工程建设的需求从设的需求从哪里来?哪里来?发掘信息保护需求发掘信息保护需求-主要工作主要工作v界定范围v分析业务、使命v识别约束 法
8、律 法规 政策 合同v识别风险v记录需求v获得客户对需求的认可任务信息风险约束信息保护策略系统保护需求系统需求发掘保护需求发掘保护需求-识别风险识别风险v识别风险是发掘信息保护需求阶段工作的关键 一切工程皆有需求,需求与风险的一致性越强,则需求越准确 信息安全工程的需求应从风险评估结果分析中得出v识别风险工作方式 与客户进行沟通,并结合安全工程师专业知识 为每一个信息域指定信息受到的危害的度量准则和可能的危害事件 服务的强度要与信息威胁的等级相适应确定系统安全要求确定系统安全要求v考虑一个或多个可满足客户表达的信息保护需求,形成解决方案集v解决方案集定义以下概念:系统安全背景 安全操作概念 系
9、统安全要求(基线)系统安全背景系统安全背景v定义系统边界和与SE的接口v为目标或外部系统分配安全功能v识别目标和外部系统之间的数据流以及与这些流相关联的保护需求v信息管理需求和信息保护需求分配给目标系统和外部系统我们保障的目标是:业务安全,我们保障的目标是:业务安全,而不是简单的而不是简单的IT安全安全安全操作概念安全操作概念v用户的角度描述了系统在支持任务时将执行哪些信息管理和信息保护功能v确定任务或业务需求对其他系统及其提供的产品和服务的依赖高风险高风险低风险低风险系统安全要求系统安全要求v规定出系统必须完成的事情 明确定义功能要求(不考虑其设计或实现)包括数量(多少)、质量(多好)、覆盖
10、(多远)、时间表(何时和多长)、可用性(多久)等设计系统安全体系结构设计系统安全体系结构v完成安全功能的分析和分配v主要活动 设计并分析系统安全体系结构 向体系结构分配安全服务 选择安全机制类别24设计系统安全体系结构设计系统安全体系结构v根据安全需求有针对性地设计安全措施是非常必要的 安全设计要依据安全需求 安全设计要具备可行性和一定的前瞻性 达到风险需求设计的一致性和协调性25开发详细安全设计开发详细安全设计v做出合理的设计决策v阶段的主要活动 进行均衡取舍研究考虑优先级、成本、进度、性能以及残余安全风险 定义系统安全设计元素向系统安全设计元素分配安全机制识别备选的商用或政府所提供的现有安
11、全产品,并识别需要定制的安全产品检验并最终确定设计元素和系统接口,包括内部及外部接口制定安全规范,如编制安全编码规范等26信息安全工程实施信息安全工程实施-实现系统安全实现系统安全v使系统从设计转入运行 获取、集成、配置、测试、编制文档和培训v阶段活动 系统获取(选择特定产品集成到安全解决方案中)系统测试27风险风险需求需求设计设计实施实施评估信息保护有效性评估信息保护有效性v活动跨越了整个ISSE过程v信息安全工作需要覆盖系统全生命周期 信息安全工作不是一劳永逸的,需要在全生命周期予以重视 要与风险管理、安全保障等思想相结合,综合认识信息安全问题是覆盖全生命周期v持续的风险评估和风险控制是保
12、障系统安全的必要工作 持续的风险评估是信息安全保障的一项基础性工作 持续的风险评估为新的安全决策和需求提供重要依据28支持认证和认可的活动支持认证和认可的活动29知识子域:信息安全工程知识子域:信息安全工程v安全工程能力成熟度模型 理解安全工程能力成熟度模型及域维、能力维相关概念;掌握风险过程包括的评估威胁、评估脆弱性、评估影响及评估安全风险这四个过程区域及其基本实施;掌握工程过程包括的确定安全需求、提供安全输入、管理安全控制、监控安全态势及协调安全五个过程区域及其基本实施;掌握保证过程中验证和证实安全及建立保证论据两个过程区域及其基本实施;掌握05级不同成熟度级别的应具有的公共特征;系统安全
13、工程能力成熟度模型系统安全工程能力成熟度模型v什么是系统安全工程能力成熟模型(SSE-CMM)一种衡量SSE实施能力的方法 为信息安全工程过程改进建立一个框架模型vSSE-CM描述了一个组织的系统安全工程过程系统安全工程过程必须包含的基本特征基本特征 这些特征是完善的安全工程保证保证 也是系统安全工程实施的度量标准 还是一个易于理解的评估系统安全工程实施的框架31SSE-CMMSSE-CMM的作用的作用v获取组织(系统、产品的采购方)帮助选择合格的投标者,以统一的标准对安全工程过程进行监管提高工程实施质量,减少争议v工程组织(系统开发和集成商)通过可重复、可预测的过程减少返工、提高质量、降低成
14、本;改进安全工程实施能力;获得证明安全工程实施能力的资质v认证评估组织 获得独立于系统和产品的可重用的过程评估标准,用来确定被评估者将安全工程集成在系统工程之中,并且其系统安全工程是可信的32SSE-CMMSSE-CMM体系结构体系结构v“域维”由所有定义的安全工程过程区构成v“能力维”代表组织实施这一过程的能力能力维(Capability Dimension)域维(Domain Dimension)公共特征2.4跟踪执行PA 05评估脆弱性33域维域维-过程区域过程区域v过程区域(PA,Process Area)过程区域是过程的一种单位单位v基本实施(BP,Base Practice)过程区
展开阅读全文