信息安全工程与管理(第2版)全套教学课件.pptx

信息安全工程与管理;主要内容;第1章、信息安全工程概述;本章目录;1.1信息安全的相关概念;1.1信息安全的相关概念;信息安全工程：研究如何建立能够面对错误、攻击和灾难的可靠信息系统。

与软件工程的区别：

“能提供pdf格式文档的报表输出”

“要提供pdf格式文档的防拷贝功能”

信息安全工程，需要考虑到特定信息系统的安全保护需求、可能存在的安全隐患以及相应的解决方法。;例一：银行;例二：机场;例三：家庭;在工程上，信息安全是与风险相联系的概念，通过风险管理与控制来实现。

信息安全风险是信息资源价值、系统脆弱性和系统威胁等三个变量的函数。

信息安全工程:采用SE的概念、原理、技术和方法，来研究、设计、开发、实施、管理、维护和评估信息系统的安全，是将实践流程、管理技术和当前能够得到的最好的技术方法相结合的过程。;本章目录;1.2信息安全保障体系;信息保障,强调信息安全的保护能力，同时重视提高系统的入侵检测能力、事件响应能力和快速恢复能力，关注的是信息系统整个生命周期的保护、检测、响应和恢复等安全机制，即PDRR安全模型。;深度防御的信息保障战略。;信息安全保障体系,是通过改善防御空间的同步效果、提高感知能力、加快响应速度、增强防御能力和生存能力等行为，从而提升系统整体的信息保障效能。;信息安全保障体系,由管理控制、运行控制和技术控制组合而成，包括三种基本要素：组织要素、内容要素和技术要素。;1.2信息安全保障体系;1.2信息安全保障体系;俄罗斯接入互联网时间较晚，但在国家安全观指引下，从顶层设计、重点举措和组织保障等方面展开了体系化建设，形成了比较完善的网络空间安全整体部署。

俄罗斯通过一系列国家战略规划文件和法律法规的颁布和实施，形成了具有俄罗斯特色的网络空间安全战略，反映出俄罗斯在国家层面维护信息网络安全的整体布局和基本思路。俄罗斯国家信息网络安全体系建设包括持续完善战略规划、建设主权互联网、发展信息战能力、加强网络治理、实现国产替代、开展网络外交等领域。;1.2信息安全保障体系;我国信息网络安全的顶层组织或机构;我国信息网络安全的其他国家级组织或机构（部分）;我国信息安全相关的法律法规及政策（部分）;我国信息安全保障工作存在的问题：

信息安全保障监管工作存在缺陷，组织管理与运行体制缺乏统一协调。

网络与信息系统的防护技术水平不高，依赖国外进口存在安全隐患。

全社会的信息安全意识不强，信息安全专业人才匮乏。

网上有害信息传播、病毒入侵和网络攻击日趋严重。;信息安全保障建设工作的要求：

健全国家信息网络安全法律法规和制度标准。

加强网络安全基础设施建设。

构建和完善信息安全组织管理体制。

强化国家信息安全技术防护体系。

从国家战略高度来加强网络安全宣传教育和人才培养。;本章目录;信息安全保障过程需要实施信息安全工程，这是由信息安全的特性决定的。;《新唐书·魏知古传》记载：“会造金仙、玉真观，虽盛夏，工程严促。”

《元史·韩性传》记载：“（性）所著有《读书工程》，国子监以颁示郡邑校官，为学者式。”

《古今小说·蒋兴哥重会珍珠衫》：“买卖不成，担误工程。”

十八世纪，欧洲创造了“工程”一词，其本来含义是兵器制造、军事目的的各项劳作，并扩展到许多领域，如建筑屋宇、制造机器、架桥修路等。;狭义“工程”：以某组设想的目标为依据，应用有关的科学知识和技术手段，通过一群人的有组织活动将某个（或某些）现有实体（自然的或人造的）转化为具有预期使用价值的人造产品过程。

广义“工程”：由一群人为达到某种目的，在一个较长时间周期内进行协作活动的过程。

工程是一种过程，各种工程都具有各自生命周期过程的规律。由于信息安全的特性，信息安全工程的方法是用来满足各方面的任务安全要求，与系统工程方法紧密相关。;早期的信息安全工程方法理论来自于系统工程（SE）过程的方法。;在SE基础上，美国军方提出了信息系统安全工程（ISSE），在1994年2月28日发布《信息系统安全工程手册v1.0》。

1987年，卡内基·梅隆大学软件研究所提出了软件过程能力成熟度模型（CMM），1991年推出1.0版。

1993年5月，美国家安全局采用CMM方法学，针对安全方面的特殊需求，首次提出信息安全工程能力成熟度模型（SSE-CMM）。

1996年8月，公共系统安全工程（FPSSE）CMM工作组公布SSE-CMM第1个版本，1997年4月SSE-CMM评估方法。1999年4月SSE-CMMv2.0和SSE-CMM评定方法v2.0。

2002年3月,SSE-CMMv2.0被接受为ISO/IEC21827:2002《信息技术-系统安全工程-能力成熟度模型》，在2008年10月，替换为ISO/IEC21827:2008《信息技术—系统安全工程—能力成熟度