信息安全工程1要点分析.pptVIP

linying@ 信息安全工程 林英.信息安全 课程介绍 什么是信息安全： 信息是一种资产，同其他重要的商业资产一样，它对一个组织而言具有一定价值，因而需要适当地保护。信息安全是要在很大的范围内保护信息免受各种威胁，从而确保业务的连续性、减少业务损失并且使投资和商务机会获得最大的回报。 信息可以以多种形式存在。它能被打印或者写在纸上，能够电化存储；也可以由邮局或者用电子方式发送；还可以在电影中展示或者在交谈中提到。无论以任何形式存在，或者以何种方式共享或存储， 信息都应当得到恰当的保护。 在这里，信息安全特指保护： a） 保密性：确保信息只能够由得到授权的人访问。 b） 完整性：保护信息的正确性和完整性以及信息处理方法。 c） 有效性：保证经授权的用户可以访问到信息。如果需要的话，还能够访问相关资产。 信息安全通过实施一整套的控制达到。这些控制措施可能是策略、做法、程序、组织结构或者软件功能。需要建立这些控制措施以确保实现该机构特殊的安全目标。 信息安全控制通过限制未经授权的个人访问公司的计算资源，能够降低信息泄露的潜在危险。 那么如何限制呢，采用什么手段，以及从什么方面来进行限制呢？ 这门课程就是从 规划和设计 适当安全技术的应用 已部署系统的操作和支持过程 这三方面来回答此问题的 通过对本门课程的学习，展示了建立和实施安全策略、标准、指导所涉及的最佳实践的一个从上至下的视图，同时展示了对信息和用户进行分级以便指派权限的过程。 指导思想 用信息系统安全工程（ISSE）过程控制的方法论指导信息系统安全建设 ： 信息系统安全工程（ISSE）目前是信息系统安全建设最先进的方法论，它被世界许多先进的国家采用并取得明显的效果 ； 信息系统安全工程（ISSE）是发掘用户信息保护需求，然后以经济、精确和简明的方法来设计和制造信息系统的一门技巧和科学，这些需求可能安全地抵抗所遭受的各种攻击。该方法极大的满足用户的安全需求并节省用户的费用。 安全体系总体框架 主要内容 第一部分——信息系统安全工程（ISSE） 第二部分——风险分析与需求分析 第三部分——安全体系设计 第四部分——安全技术体系 第五部分——安全管理体系 第六部分——安全运行体系 信息系统安全工程 信息系统安全工程（ISSE）是信息系统安全建设的方法论，它指导安全建设的全过程。信息系统安全工程是系统工程在安全建设的具体体现。 它的主要目的是确定安全风险，并且采用系统工程的方法使安全风险降到最低或得到有效控制。 指导思想 以满足用户安全需求为目的； 以系统风险分析为基础； 以系统工程的方法论为指导； 以技术、运行及人为要素； 安全技术以纵深防御为支撑（技术）； 以生命期支持保证运行安全（运行）； 安全管理以安全实践为基础（人）； 安全质量以测评认证为依据； 质量保证以动态安全原理（PDCA）为方法。 信息系统安全工程过程 发掘信息保护需求（发掘需求） 确定系统安全要求（确定系统要求） 设计系统安全体系结构（设计系统体系结构） 开发详细安全设计（开发详细设计） 实现系统安全（实现系统） 评估信息保护的有效性（评估有效性） 信息系统安全工程过程 发掘安全需求是基础 发掘信息保护需求是信息系统安全工程重要的一步，是完成信息系统安全工程的基础。在这一步，我们要和用户一起确定整个信息系统的安全需求。 发掘用户需求的目的 ： 帮助用户确定信息威胁 帮助用户把已经识别出来的威胁形成文件，并对这些威胁作出风险分析 帮助用户确定信息安全的保护需求 准备安全保障体系用的安全策略 发掘安全需求 要做的工作包括 ： 分析信息系统的任务和业务。 确定信息和任务的关系以及其重要性。 介定法律和法规的要求，确定设计限制，如电子政务的有关要求、国家安全管理机构的相关规定、相应的安全标准以及国际、国家的有关安全标准等；及本行业、本部门的相关规定和标准。 实施风险分析。 确定安全需求。 发掘安全需求 在进行了系统安全需求分析，通过对系统资源的调查和资源的价值的分析、对系统安全威胁以及威胁影响、威胁利用安全漏洞的分析，完成了系统风险的排序。根据排序，最终形成系统的安全策略。 确定安全要求是目标 一般情况下，安全要求是对上一步确定出的保证资产的保密性、完整性和可用性的安全需求的进一步细化，对其保障其需求提出的详细的强度、需要的安全机制等具体要求，并将其划分为三个方面的要求：安全管理要求、安全技术要求和安全运行要求。 在风险分析和需求分析这部分的安全需求报告中包括了安全需求和安全要求的确定。 安全体系是系统安全的保障 首先要考虑系统安全的各个方面，其中包括安全技术的实现、安全管理的实施、安全运行的控