网络与g信息安全基础培训.pptxVIP

网络与信息安全基础培训安全工程大纲安全工程基础安全工程能力成熟度信息系统安全工程过程（ISSE）信息系统生命周期管理安全工程基础安全工程概述信息安全工程是信息安全保障的重要组成部分，但是却被广泛忽视等级保护—技术、管理传统风险评估—资产\威胁\脆弱性从普通管理者的角度看信息安全状况是“重技术、轻管理”；从一般安全人员看信息安全是“重应用、轻安全”；从专业人员的角度看信息安全的状况是“重要素、轻过程”，情况更严重。信息安全工程就是要解决信息系统生命周期的“过程安全”问题案例A公司开展家用电话自助刷卡支付业务用户可以通过其网站查询个人付款信息第三方安全测平发现该网站存在SQL注入漏洞，可以泄露用户交易信息当初外包开发此网站的公司已经倒闭A公司技术人员对网站系统开发情况不了解，没有能力消除该漏洞。公司董事会研究最终决定，为保护用户隐私，暂时不再为用户提供网上交易信息查询服务！支撑信息安全工程的基础系统工程思想项目管理方法质量管理体系能力成熟度模型系统工程钱学森：“系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法，是一种对所有系统都具有普遍意义的科学方法”系统工程不是基本理论，也不属于技术实现，而是一种方法论系统工程不同于一般的工程技术学科，如水利工程、机械工程等“硬”工程；系统工程偏重于工程的组织与经营管理一类“软”科学的研究一个系统的功能由要素—结构—环境组成，在要素和环境