信息安全工程演示幻灯片.pptx

信息安全工程 培训机构培训讲师信息安全工程概述课程内容信息安全工程基础理论信息安全工程理论背景信息安全工程基础理论简介知识域知识子域知识体发掘信息保护需求ISSE过程开展详细安全设计确定系统安全要求SSE-CMM体系与原理安全工程过程安全工程能力实施系统安全设计系统安全体系结构评估信息保护的有效性课程内容安全工程能力成熟度模型信息系统安全工程生命周期信息安全工程方法知识子域信息安全工程监理模型信息安全工程监理监理阶段目标与各方职责知识域知识体知识子域学习目标了解信息安全工程的基本概念掌握系统安全工程能力成熟度模型（SSE-CMM），能应用SSE-CMM指导开展信息安全工程建设、改进安全服务质量知识域：信息安全工作理论背景知识域：信息安全工程基础知识子域： 信息安全工程概述了解信息安全工程的重要性和意义（政策要求和案例）了解信息安全工程的基本原则了解系统工程、项目管理、质量管理、能力成熟度基本概念信息安全工程概述信息安全工程是信息安全保障的重要组成部分，但是却被广泛忽视等级保护—技术、管理传统风险评估—资产\威胁\脆弱性从普通管理者的角度看信息安全状况是“重技术、轻管理”；从一般安全人员看信息安全是“重应用、轻安全”；从专业人员的角度看信息安全的状况是“重要素、轻过程”，情况更严重。信息安全工程就是要解决信息系统生命周期的“过程安全”问题信息化建设中的案例A公司开展家用电话自助刷卡支付业务用户可以通过其网站查询个人付款信息第三方安全测平发现该网站存在SQL注入漏洞，可以泄露用户交易信息信息化建设中的案例（续）当初外包开发此网站的公司已经倒闭A公司技术人员对网站系统开发情况不了解，没有能力消除该漏洞。公司董事会研究最终决定，为保护用户隐私，暂时不再为用户提供网上交易信息查询服务！需要牢记在心的原则信息安全工程是信息化建设必要的有机组成部分信息安全建设必须同信息化建设“同步规划、同步实施” “重功能、轻安全”，“先建设、后安全”都是信息化建设的大忌信息安全工程是信息安全保障工作中不可或缺的环节支撑信息安全工程的理论基础系统工程思想项目管理方法质量管理体系能力成熟度模型什么是系统工程钱学森：“系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法，是一种对所有系统都具有普遍意义的科学方法”系统工程不是基本理论，也不属于技术实现，而是一种方法论系统工程不同于一般的工程技术学科，如水利工程、机械工程等“硬”工程；系统工程偏重于工程的组织与经营管理一类“软”科学的研究一个系统的功能由要素—结构—环境组成，在要素和环境不变的情况下就要在结构上下功夫系统工程基础霍尔三维结构图 知识维（专业、行业）工程技术医学社会科学规划逻辑维（工作步骤）计划时间维（阶段、进程）系统开发制造安装运行更新系统指标设计明确问题系统综合系统分析最优化决策实施计划能力成熟度模型的概念CMM – Capability Maturity Model现代统计过程控制理论表明通过强调生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品；所有成功企业的共同特点是都具有一组严格定义、管理完善、可测可控从而高度有效的业务过程；CMM模型抽取了这样一组好的工程实践并定义了过程的“能力”；能力成熟度模型的应用SW-CMM软件能力成熟模型软件工程传统制造业SE-CMM系统工程能力成熟模型CMM能力成熟模型SSE-CMM信息系统安全工程能力成熟模型安全工程评定SSAM信息系统安全工程能力成熟性模型评估方法。。。。。。。。。。。。信息安全工程的有关标准背景知识域： 安全工程能力成熟度模型知识子域： SSE-CMM体系与原理? 了解SSE-CMM的适用范围? 了解过程、过程区和过程能力的概念? 了解域维/安全过程区与能力维/公共特征的关系? 知识子域： 安全工程过程? 了解过程类、过程区和基本实施的关系? 理解风险过程、工程过程和保证过程的含义? 了解各个安全工程过程区的含义? 知识子域： 安全工程能力? 理解能力级别、公共特征和通用实施的关系? 理解各个信息安全工程能力级别的含义 安全工程能力成熟度模型的价值SSE-CMM为信息安全工程过程改进建立一个框架模型通过SSE-CMM的学习了解信息安全工程通常要实施哪些活动？评价和改进这些过程指标是什么？什么是SSE-CMM系统安全工程能力成熟模型（Systems Security Engineering Capability Maturity Model）描述了一个组织的系统安全工程过程必须包含的基本特征这些特征是完善的安全工程保证也是系统安全工程实施的度量标准还是一个易于理解的评估系统安全工程实施的框架SSE-CMM的作用帮助获取组织（系统、产品的采购方）选择合格的投标者，以统一的标准对安全工程过程进行监管提高工程实施质量