1、信息安全工程,培训机构名称讲师姓名,版本:3.0发布日期:2014-12-1生效日期:2015-1-1,课程内容,信息安全工程基础,知识体,知识域,信息安全工程概述,信息安全工程理论基础,知识子域,信息安全工程实施,信息安全工程监理,课程内容,3,信息安全工程能力评估,知识体,知识域,SSE-CMM概述,SSE-CMM的体系结构,知识子域,信息安全工程过程,信息安全工程能力,知识域:信息安全工程概述,知识域:信息安全工程概述 知识子域:信息安全工程概念了解信息安全工程的重要性和意义了解信息安全工程的基本原则知识子域:信息安全工程理论基础了解系统工程基本思想了解项目管理基本概念和要素了解质量管理
2、基本概念理解“能力成熟度模型”基本思想,4,信息安全工程概述,信息安全工程是信息安全保障的重要组成部分,但是却被广泛忽视等级保护技术、管理传统风险评估资产威胁脆弱性从普通管理者的角度看信息安全状况是“重技术、轻管理”;从一般安全人员看信息安全是“重应用、轻安全”;从专业人员的角度看信息安全的状况是“重要素、轻过程”,情况更严重。信息安全工程就是要解决信息系统生命周期的“过程安全”问题,5,信息化建设中的案例,A公司开展家用电话自助刷卡支付业务,用户可以通过其网站查询个人付款信息,第三方安全测平发现该网站存在SQL注入漏洞,可以泄露用户交易信息,6,信息化建设中的案例(续),当初外包开发此网站的
3、公司已经倒闭,A公司技术人员对网站系统开发情况不了解,没有能力消除该漏洞。公司董事会研究最终决定,为保护用户隐私,暂时不再为用户提供网上交易信息查询服务!,7,需要牢记在心的原则,信息安全工程是信息化建设必要的有机组成部分信息安全建设必须同信息化建设“同步规划、同步实施”“重功能、轻安全”,“先建设、后安全”都是信息化建设的大忌信息安全工程是信息安全保障工作中不可或缺的环节,8,支撑信息安全工程的理论基础,系统工程思想项目管理方法质量管理体系能力成熟度模型,9,什么是系统工程,钱学森:“系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法,是一种对所有系统都具有普遍意义的科学方法”系统
4、工程不是基本理论,也不属于技术实现,而是一种方法论系统工程不同于一般的工程技术学科,如水利工程、机械工程等“硬”工程;系统工程偏重于工程的组织与经营管理一类“软”科学的研究,10,系统工程基础,霍尔三维结构图,系统指标设计,知识维(专业、行业),逻辑维(工作步骤),时间维(阶段、进程),工程技术,医学,社会科学,规划,计划,系统开发,制造,安装,运行,更新,明确问题,系统综合,系统分析,决策,最优化,实施计划,11,项目管理,所谓项目管理,就是项目的管理者,在有限的资源约束下,运用系统的观点、方法和理论,对项目涉及的全部工作进行有效地管理。项目管理是系统工程思想针对具体项目的实践应用。,12,
5、质量管理基本概念,质量质量指产品或服务,满足规定或需要的特征。它既包括有形产品也包括无形产品;既包括产品内在的特性、也包括产品外在的特性,即包括了产品的适用性和符合性的全部内涵。质量控制(QC)对生产的全部过程加以控制,是面的控制,不是点的控制。为保证产品过程或服务质量,必须采取一系列的作业、技术、组织、管理等有关活动,这些都属于质量控制的范畴 质量管理(QM)质量管理是指为了实现质量目标,而进行的所有管理性质的活动。在质量方面的指挥和控制活动,通常包括制定质量方针和质量目标以及质量策划、质量控制、质量保证和质量改进。,13,质量管理规范和主要内容,ISO9000族标准并不是产品的技术标准,而
6、是针对组织的管理结构、人员、技术能力、各项规章制度、技术文件和内部监督机制等一系列体现组织保证产品及服务质量的管理措施的标准。ISO9000族标准在以下四个方面规范质量管理机构程序过程总结,14,能力成熟度模型的概念,CMM Capability Maturity Model现代统计过程控制理论表明通过强调生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品;所有成功企业的共同特点是都具有一组严格定义、管理完善、可测可控从而高度有效的业务过程;CMM模型抽取了这样一组好的工程实践并定义了过程的“能力”;,15,能力成熟度模型的应用,CMM能力成熟模型,SW-CMM软件能力成熟模型,SE-CMM系统工程能力成熟模型,SSE-CMM信息系统安全工程能力成熟模型,SSAM信息系统安全工程能力成熟性模型评估方法,评定,软件工程,传统制造业,安全工程,。,。,16,知识体:信息安全工程基础,知识域:信息安全工程实施知识子域:发掘信息保护需求理解ISSE的本质和一般过程理解确定信息保护需求的重要决定因素及主要工作内容知识子域:定义信息系统安全要求了解定义系统安全背景环境、定义安全操作概念等定义信息系统安全要求阶段的主要信息安全工作内容知识子域:设计系统安全体系结构理解设计并分析系统安全体系结构、向体系结构分配安全服务等设计系统安全体系结构阶段的主要信息安全工作内容,17,