信息安全工程原理.ppt

信息安全工程原理 CISP运营中心 沈传宁 学习目标 理解信息安全建设必须同信息化建设“同步规划、同步实施”的原则 理解如何运用信息安全能力成熟度模型理论评价和改进信息安全工程能力 2 课程内容 3 知识域：安全工程理论背景 知识子域： 系统工程与项目管理基础 了解系统工程基本思想 了解项目管理基本概念和要素 知识子域：质量管理基础 了解质量管理基本概念 了解八项质量管理基本原则 知识子域：能力成熟度模型 理解“工程能力成熟度”基本思想 了解能力成熟度模型的应用范围 了解“过程能力方案”和“组织机构成熟度方案”的区别 4 从生活中的案例开始 《消防通道设计规范》规定“商住楼中住宅的疏散楼梯应独立设置” 右图是一家门市，为应付消防检查自行搭建的消防通道 5 安全工程的重要性 如果在大楼的设计和实施阶段没有考虑消防，把楼盖完了，再去设置消防通道，必然会导致成本的上升和安全性的下降 安全工程在信息化建设中的重要性有过之而无不及 6 信息化建设中的案例 A公司开展家用电话自助刷卡支付业务 用户可以通过其网站查询个人付款信息 第三方安全测评发现该网站存在SQL注入漏洞，可以泄露用户交易信息 7 信息化建设中的案例（续） 当初外包开发此网站的公司已经倒闭 A公司技术人员对网站系统开发情况不了解，没有能力消除该漏洞。公司董事会研究最终决定，为保护用户隐私，暂时不再为用户提供网上交易信息查询服务！ 8 安全工程的作用 信息系统的建设是一项系统工程，具有复杂性 信息安全问题是信息系统与生俱来的 安全工程是以最优费效比提供并满足安全需求 9 国家政策要求 《关于加强信息安全保障工作的意见》明确要求“信息安全建设是信息化的有机组成部分，必须与信息化同步规划、同步建设。各地区各部门在信息化建设中，要同步考虑信息安全建设，保证信息安全设施的运行维护费用。 ” 国家发展改革委《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》的中心思想是：电子政务工程建设项目必须同步考虑安全问题，提供安全专项资金，信息安全风险评估结论是项目验收的重要依据。 10 需要牢记在心的原则 安全工程是信息化建设必要的有机组成部分 信息安全建设必须同信息化建设“同步规划、同步实施” “重功能、轻安全”，“先建设、后安全”都是信息化建设的大忌 11 信息安全工程可以参考的理论基础 系统工程思想 项目管理方法 质量管理体系 能力成熟度模型 12 系统工程的概念 系统工程是一种方法论 钱学森：“系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法，是一种对所有系统都具有普遍意义的科学方法” 系统工程不是基本理论，也不属于技术实现，而是一种方法论 系统工程是软科学 不同于一般的工程技术学科，如水利工程、机械工程等“硬”工程；系统工程偏重于工程的组织与经营管理一类“软”科学的研究。 13 系统工程基础 霍尔三维结构图 系统指标设计 知识维（专业、行业） 逻辑维（工作步骤） 时间维（阶段、进程） 工程技术 医学 社会科学 规划 计划 系统开发 制造 安装 运行 更新 明确问题 系统综合 系统分析 决策 最优化 实施计划 14 系统工程特点 系统工程具有以下特点： 系统工程不同于一般的工程技术学科，如水利工程、机械工程等“硬”工程；系统工程偏重于工程的组织与经营管理一类“软”科学的研究。 系统工程涉及各种学科、各个领域的各种内容，因此它是跨越不同学科的综合性科学。 以整体的、综合的、关联的、科学的、实践的观点来看待研究对象 在解决一个具体项目时，它要求把项目或过程分成几大步骤，而每个步骤又按一定的程序展开。这就保证了系统思想在每个部分、每个环节上体现出来。 任何系统都是人、设备和过程的有机组合，其中人是最主要的因素。因此在应用系统工程的方法处理系统问题时，要以人为中心。 15 系统工程的思想 以人参与系统为研究对象 任何系统都是人、设备和过程的有机组合，其中人是最主要的因素。因此在应用系统工程的方法处理系统问题时，要以人为中心 全面看待系统复杂性 系统工程以整体的、综合的、关联的、科学的、实践的观点来看待研究对象,信息系统和信息安全的复杂性和动态变化性，决定了建设者不能以局部的、片面的、孤立的、主观的、教条的观点看待问题 注重系统的目的和总体发展要求 业务的发展和稳定运行才是安全工程的根本目的，要坚持“以安全保发展，以发展促安全”的原则 通过数学模型和逻辑模型来描述系统 系统工程在一个具体项目应用时，它要求把项目或过程分成几大步骤，而每个步骤又按一定的程序展开。这就保证了系统思想在每个部分、每个环节上体现出来。 16 项目管理的概念 什么是项目管理 项目的管理者，在有限的资源约束下，运用系统的观点、方法和理论，对项目涉及的全部工作进行有效地管