13-CISP0401信息安全工程(知识点标注版)-v3.0教学讲义ppt课件
合集下载
《信息安全工程》课件第2章
Z
,移位密码也称为凯撒密码,这是因为
26
Julius Caesar使用了该密码当时的情形。
第2章 密码学概述
不难看出,利用K中密钥与M中消息之间的不同算术运算可 以设计不同的简单代换密码,这些密码称为单表密码 (MonoalphabeticCipher)。单表密码是指对于一个给定的加密密 钥,明文消息空间中的每一元素将被代换为密文消息空间中的 唯一元素。因此,单表密码不能抵抗频度分析攻击。
单钥体制的加密密钥和解密密钥相同,系统的安全性主要取决 于密钥的保密性,必须通过安全、可靠的途径(如信使递送)将密钥 送至接收端。单钥体制对明文消息进行加密有两种方式:一是明文 消息按字符(如二元数字)逐位地加密,称之为流密码;另一种是将明 文消息分组(含有多个字符),逐组进行加密,称之为分组密码。
考虑明文消息中的元素是Z26中的字符时的情形,令b为 一固定的正整数,它表示消息分组的大小,M=C=(Z26)b,K是所 有的置换,也就是(1,2,…,b)的所有重排。因为π∈K,[JP] 所 以置换π=(π(1),π(2),…,π(b))是一个密钥。对于明文分组 (x1,x2,…,xb)∈M,这个换位密码的加密算法是:
第2章 密码学概述
2.3 代换密码
2.3.1 简单的代换密码 【例2.3.1】简单的代换密码。令M=C=Z26,所包含元素 表示为A=0,B=1,…,Z=25。将加密算法εk(m)定义为下面的Z26 上的一个置换:
0 21
1 12
2 25
3 17
4 24
5 23
6 19
7 15
8 22
9 13
10 18
第2章 密码学概述
一个安全的认证系统应满足下述条件: (1)意定的接收者能够检验和证实消息的合法性与真实 性。 (2)消息的发送者对所发送的消息不能抵赖。 (3)除了合法的消息发送者外,其他人不能伪造合法的消 息。 (4)必要时可由第三者作出仲裁。 信息系统的安全除了上述保密性和认证性外,还有一个 重要方面就是它的完整性。完整性是指在有自然和人为干扰 的条件下,系统保持恢复消息和原来发送消息一致性的能力。
信息安全培训讲义
联在网络边界对网络流量进行恶意代码查杀 ❖ 一般和网络防病毒软件选择不同特征库产品 ❖ 经常与防火墙合并为产品进行销售 ❖ 选购时需注意吞吐量和接口 ❖ 主要品牌:、安启华 ❖ 推荐开源软件
- 34 -
防病毒网关部署
- 35 -
上网行为管理简介
❖ 根据《互联网安全保护技术措施规定》 (公安部82号令)要求上网记录必须留 存60天,
- 10 -
什么是信息安全?
是指信息网络的硬件、软件及其系统 中的数据受到保护,不受偶然的或者恶意 的原因而遭到破坏、更改、泄露,系统连 续可靠正常地运行,信息服务不中断。
- 11 -
常用信息安全技术
物理安全技术:环境安全、设备安全、介质安全; 网络安全技术:隔离、访问控制、、入侵检测等; 系统安全技术:操作系统及数据库系统的安全性; 防病毒技术:单机防病毒、网络防病毒体系; 认证授权技术:口令、令牌、生物特征、数字证书等; 应用安全技术: 安全、应用系统安全; 数据加密技术:硬件和软件加密; 灾难恢复和备份技术:数据备份。
数据
数据链路层
Data link Header DH NH TH SH PH AH
数据
Data link DT Termination
物理层
比特流
- 13 -
各层对应的攻击
物理层的攻击:该层的攻击手法是对网络硬件和基础设施进行物理破坏。例 如:对一个机房的出口线缆进行破坏,使得其无法访问外部网络。
(教办厅函[2011]83号) ❖ 《教育部办公厅关于开展信息系统安全等级保护工作的通知》 ❖ (教办厅函[2009]80号)
-8
目录
1
为什么需要信息安全?
2
什么是信息安全?
3
- 34 -
防病毒网关部署
- 35 -
上网行为管理简介
❖ 根据《互联网安全保护技术措施规定》 (公安部82号令)要求上网记录必须留 存60天,
- 10 -
什么是信息安全?
是指信息网络的硬件、软件及其系统 中的数据受到保护,不受偶然的或者恶意 的原因而遭到破坏、更改、泄露,系统连 续可靠正常地运行,信息服务不中断。
- 11 -
常用信息安全技术
物理安全技术:环境安全、设备安全、介质安全; 网络安全技术:隔离、访问控制、、入侵检测等; 系统安全技术:操作系统及数据库系统的安全性; 防病毒技术:单机防病毒、网络防病毒体系; 认证授权技术:口令、令牌、生物特征、数字证书等; 应用安全技术: 安全、应用系统安全; 数据加密技术:硬件和软件加密; 灾难恢复和备份技术:数据备份。
数据
数据链路层
Data link Header DH NH TH SH PH AH
数据
Data link DT Termination
物理层
比特流
- 13 -
各层对应的攻击
物理层的攻击:该层的攻击手法是对网络硬件和基础设施进行物理破坏。例 如:对一个机房的出口线缆进行破坏,使得其无法访问外部网络。
(教办厅函[2011]83号) ❖ 《教育部办公厅关于开展信息系统安全等级保护工作的通知》 ❖ (教办厅函[2009]80号)
-8
目录
1
为什么需要信息安全?
2
什么是信息安全?
3
信息安全 CISP0201密码学基础_v3.0 图文
密码学基础
课程内容
密码技术
密码学基础 密码学应用
密码学发展简史
密码学基本概念 对称密码算法 非对称密码算法 哈希函数、消息鉴别码 和数字签名
知识体
知识域
2
知识子域
知识子域:密码学发展简史
❖ 了解密码学的发展阶段及各阶段特点 ❖ 了解每一阶段密码应用状况
3
密码学发展
❖第一个阶段是从古代到19世纪末——古典密码 ❖第二个阶段从20世纪初到1949年——近代密码 ❖第三个阶段从C.E.Shannon(香农) 于1949年发表 的划时代论文“The Communication Theory of Secret Systems ”开始——现代密码 ❖第四个阶段从1976年W. Diffie和M. Hellman发表 论文“New Directions in Cryptography”开始——公 钥密码
16
加密 vs.解密
加密(Encryption):将明文变换为密文的过程。
▪ 把可懂的语言变换成(人类/机器)不可懂的语言。
解密(Decryption):由密文恢复出原明文的过程。
▪ 加密的逆过程,即把不可懂的语言变换成可懂的语言。
明文
密文
加密算法
密文
明文
解密算法
密
密
钥
钥
加密和解密算法的操作通常都是在一组密钥的控 制下进行的,分别称为加密密钥(Encryption Key) 和解密密钥(Decryption Key)。
(3)密码编码学是论述使明文变得不可懂的密文, 以及把已加密的消息变换成可懂形式的艺术和技巧。
13
密码分析学
(1)密码分析学是密码学的一个分支,它与另一个 分支学科——密码编码学是两个相互对立、相互依 存、相辅相成、相互促进的学科。
课程内容
密码技术
密码学基础 密码学应用
密码学发展简史
密码学基本概念 对称密码算法 非对称密码算法 哈希函数、消息鉴别码 和数字签名
知识体
知识域
2
知识子域
知识子域:密码学发展简史
❖ 了解密码学的发展阶段及各阶段特点 ❖ 了解每一阶段密码应用状况
3
密码学发展
❖第一个阶段是从古代到19世纪末——古典密码 ❖第二个阶段从20世纪初到1949年——近代密码 ❖第三个阶段从C.E.Shannon(香农) 于1949年发表 的划时代论文“The Communication Theory of Secret Systems ”开始——现代密码 ❖第四个阶段从1976年W. Diffie和M. Hellman发表 论文“New Directions in Cryptography”开始——公 钥密码
16
加密 vs.解密
加密(Encryption):将明文变换为密文的过程。
▪ 把可懂的语言变换成(人类/机器)不可懂的语言。
解密(Decryption):由密文恢复出原明文的过程。
▪ 加密的逆过程,即把不可懂的语言变换成可懂的语言。
明文
密文
加密算法
密文
明文
解密算法
密
密
钥
钥
加密和解密算法的操作通常都是在一组密钥的控 制下进行的,分别称为加密密钥(Encryption Key) 和解密密钥(Decryption Key)。
(3)密码编码学是论述使明文变得不可懂的密文, 以及把已加密的消息变换成可懂形式的艺术和技巧。
13
密码分析学
(1)密码分析学是密码学的一个分支,它与另一个 分支学科——密码编码学是两个相互对立、相互依 存、相辅相成、相互促进的学科。
《信息安全工程基础》PPT课件
精选PPT
17
信息系统分析与设计
分期分批进行系统开发 每一项目开发包括系统调查、系统开发的可
能性研究、系统逻辑模型的建立、系统设计 、系统实施、实施转换和系统评价等工作
精选PPT
18
信息系统实施
将技术设计转换为物理实现
精选PPT
19
信息系统运行与维护
项目开发完成后投入应用 信息系统实现其功能、获得效益的阶段 系统维护:纠错性维护、适应性维护、完善
第二讲 信息安全工程基础
什么是系统工程 信息系统建设的周期阶段 信息系统建设计划 软件开发工作量和时间估算 信息安全工程建设流程 安全工程的生命周期
精选PPT
1
基本概念
系统: 系统就是由相互作用和相互依赖的若干组成部
分结合成的具有特定功能的有机整体。 系统工程
系统工程是为了更好地达到系统目标,而对系统的 构成要素、组织结构、信息流动和控制机构等进行 分析与设计的技术的总称。
(5) 环境适应性。
系统是由许多特定部分组成的有机集合体,而这个集合体以外 的部分就是系统的环境。系统从环境中获取必要的物质、能量和信 息,经过系统的加工、处理和转化 ,产生新的物质、能量和信息,然后 再提供给环境。另一方面, 环境也会对系统产生干扰或限制,即约束 条件。环境特性的变化往往能够引起系统特性的变化,系统要实现 预定的目标或功能,必须能够适应外部环境的变化。研究系统时,必 须重视环境对系统的影响。
• 二次世界大战期间得到广泛发展
合理运用雷达,组成军事小组。最优爆炸深度,躲避潜艇。 兰德公司(RandCorp)
精选PPT
8
系统工程-战略部 署
运筹学- 战术安排
克敌制胜!
精选PPT
13-CISP0401信息安全工程(知识点标注版)-v3
发掘 客户需求
定义 系统要求
设计系统 体系结构
开发 详细设计
实现系统
评估有效性
17
信息系统安全工程(ISSE)过程
❖理解ISSE的含义: 将系统工程思想应用于信息 安全领域,在系统生命周期的各阶段充分考虑 和实施安全措施
❖了解系统生命周期的概念和组成阶段: 发掘信 息保护需求、确定系统安全要求、设计系统安 全体系结构、开展详细安全设计、实施系统安 全、评估信息保护的有效性
护需求
全要求
全体系结构 全设计
全
评估信息保护有效性
31
设计系统安全体系结构
❖ 该阶段的主要活动
▪ 设计并分析系统安全体系结构 ▪ 向体系结构分配安全服务 ▪ 选择安全机制类别
32
设计系统安全体系结构
❖ 根据安全需求有针对性地设计安全措施是非常必 要的
▪ 安全设计要依据安全需求 ▪ 安全设计要具备可行性和一定的前瞻性 ▪ 达到风险—需求—设计的一致性和协调性
15
能力成熟度模型的应用
CMM 能力成熟模型
软件工程
SW-CMM 软件能力成熟模型
传统制造业
SE-CMM 系统工程能力成熟模型
安全工程 。。。。。。
SSE-CMM 信息系统安全工程能力成熟模型
评定
SSAM 信息系统安全工程能力成熟性模型
评估方法
。。。。。。
16
系统工程(SE)的 一般过程
用户/用户代表
的概念 ❖ 了解能力维的组织结构,理解通用实施、公共特征、能力
级别的概念
44
安全工程能力成熟度模型的价值
❖ SSE-CMM为信息安全工程过程改进建立一个框架模 型
❖ 通过SSE-CMM的学习了解 ❖ 信息安全工程通常要实施哪些活动? ❖ 评价和改进这些过程指标是什么?
CISP信息安全管理体系讲课文档
• 《信息安全的概念和模型》 • 《信息安全管理和规划》 • 《信息安全管理技术》 • 《基线方法》 • 《网络安全管理指南》
29
第29页,共111页。
2、信息安全管理的发展-2
❖BS 7799
▪ 英国标准化协会(BSI)1995年颁布了《信息安全 管理指南》(BS 7799),BS 7799分为两个部分:
25
第25页,共111页。
1、信息安全管理的作用
保险柜就一定安全吗?
❖ 如果你把钥匙落在锁眼上会怎样? ❖ 技术措施需要配合正确的使用才能发挥作
用
26
第26页,共111页。
1、信息安全管理的作用
服务器
防火墙能解决这样的问题吗?
Web服务器
内网主机
防火墙
防火墙
精心设计的网络防
Internet
御体系,因违规外
44
第44页,共111页。
1、信息安全管理体系的定义
❖ 信息安全管理体系(ISMS:Information Security Management System)是组织在整体或 特定范围内建立的信息安全方针和目标,以及完 成这些目标所用的方法和体系。它是直接 管理活 动的结果,表示为方针、原则、目标、方法、计 划、活动、程序、过程和资源的集合。
17
第17页,共111页。
(1)安全风险的基本概念
❖威胁
❖ 资威胁是可能导致信息安全事故和组织信息资产损失 的环境或事件
❖ 威胁是利用脆弱性来造成后果
❖ 威胁举例
❖ 黑客入侵和攻击 ❖ 软硬件故障
病毒和其他恶意程序 人为误操作
❖ 盗窃
网络监听
❖ 供电故障
后门
❖ 未授权访问…… 自然灾害如:地震、火灾
29
第29页,共111页。
2、信息安全管理的发展-2
❖BS 7799
▪ 英国标准化协会(BSI)1995年颁布了《信息安全 管理指南》(BS 7799),BS 7799分为两个部分:
25
第25页,共111页。
1、信息安全管理的作用
保险柜就一定安全吗?
❖ 如果你把钥匙落在锁眼上会怎样? ❖ 技术措施需要配合正确的使用才能发挥作
用
26
第26页,共111页。
1、信息安全管理的作用
服务器
防火墙能解决这样的问题吗?
Web服务器
内网主机
防火墙
防火墙
精心设计的网络防
Internet
御体系,因违规外
44
第44页,共111页。
1、信息安全管理体系的定义
❖ 信息安全管理体系(ISMS:Information Security Management System)是组织在整体或 特定范围内建立的信息安全方针和目标,以及完 成这些目标所用的方法和体系。它是直接 管理活 动的结果,表示为方针、原则、目标、方法、计 划、活动、程序、过程和资源的集合。
17
第17页,共111页。
(1)安全风险的基本概念
❖威胁
❖ 资威胁是可能导致信息安全事故和组织信息资产损失 的环境或事件
❖ 威胁是利用脆弱性来造成后果
❖ 威胁举例
❖ 黑客入侵和攻击 ❖ 软硬件故障
病毒和其他恶意程序 人为误操作
❖ 盗窃
网络监听
❖ 供电故障
后门
❖ 未授权访问…… 自然灾害如:地震、火灾
《CISM培训课件》——信息安全工程
信息安全合规性的管理
合规性定义
信息安全合规性是指企业或组织在信息安 全方面符合国家、行业和组织制定的信息 安全标准。
管理方法
为了实现信息安全合规性,需要进行有效 的合规性管理。合规性管理包括合规性评 估、风险评估、安全审计等方面。
05
信息安全风险管理
信息安全风险的概念与特点
信息安全风险是指信息系统中存在的安全威胁、漏洞或者 脆弱性等风险因素,可能导致信息泄露、系统崩溃或者业 务中断等不良后果。
置等。
信息安全应急响应技术的发展趋势
趋势一
技术手段越来越多样化。随着技术的不断发展,信息安全应急响应技术手段越来越多样化 ,包括入侵检测与防御技术、安全事件管理与处置技术、漏洞扫描与修复技术等。
趋势二
大数据分析与人工智能的应用。大数据分析与人工智能的应用已经成为当前信息安全应急 响应的重要趋势之一。通过大数据分析和人工智能技术,可以对海量的安全事件数据进行 快速分析、挖掘和处理,提高应急响应的速度和效率。
信息安全特点
03
04
05
综合性:信息安全涵盖 了技术、管理、法律和 政策等多个方面,需要 综合运用多种手段进行 防护。
动态性:信息安全威胁 不断演变,需要持续关 注和应对。
整体性:信息安全需要 从系统、网络和组织等 多个层面进行整体规划 和实施。
信息安全的必要性
1 2 3
信息安全的国家安全层面
信息安全是国家安全的重要组成部分,保护国 家信息安全对于维护国家政治、经济、文化等 方面的安全具有重要意义。
在系统实施阶段,需 要按照设计要求进行 具体的安全防护措施 的实施,包括安全设 备的配置、安全协议 的实现等。
在系统检测和维护阶 段,需要对系统进行 定期的安全检测和维 护,及时发现和修复 安全漏洞,确保系统 的安全性得到持续的 保障。
网络信息安全知识培训ppt课件ppt
网络攻击类型
主动攻击:攻击者通过各种手段对目标进行主动攻击,例如渗透、篡改、窃取等。
被动攻击:攻击者通过监听、拦截等方式获取目标信息,但不会对目标进行修改或破 坏。
分布式拒绝服务攻击:攻击者利用网络中的多个节点向目标发送大量无效请求,导致 目标无法正常响应。
社交工程攻击:攻击者利用人类的心理和社会行为特征,通过欺骗、诱导等方式获取 目标信息或权限。
《网络安全法》
《互联网信息服务管理办法》 《个人信息安全保护法》
网络道德规范的重要性
遵守法律法规,保 护网络安全
维护网络秩序,促 进和谐发展
尊重他人隐私,避 免网络欺诈
增强自律意识,树 立良好形象
网络道德规范的内容
尊重他人,保护他人隐私 不传播病毒、恶意软件和色情内容 不进行网络欺诈和黑客攻击 不侵犯他人知识产权和版权 遵守网络礼仪和规则,维护网络秩序
应用场景:防火墙广泛应用于各种规模的企业、机构和家庭网络中,可以有效地保护内部网络的数据安全,防止未经 授权的访问和数据泄露。
密码学基础知识
密码学的基本概念
密码学是研究如何保护信息安 全的学问
密码学涉及加密、解密、密钥 管理等
密码学的基本目的是确保信息 的机密性、完整性和可用性
密码学的发展历程包括了古典 密码、近代密码和现代密码三 个阶段
数据备份与恢复
数据备份的意义
保护数据安全,避免数据丢失或损坏 确保业务连续性,减少停机时间 合规性要求,满足监管机构对数据备份的规定 提高员工对数据备份的重视程度,降低人为因素导致的数据丢失风险
数据备份的方法
完全备份 增量备份 差异备份 镜像备份
数据恢复的方法
直接恢复:从 备份中直接恢
复数据。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
❖ ISO9000族标准在以下四个方面规范质量管理
▪ 机构 ▪ 程序 ▪ 过程 ▪ 总结
14
能力成熟度模型的概念
❖CMM – Capability Maturity Model
▪ 现代统计过程控制理论表明通过强调生产过程的高 质量和在过程中组织实施的成熟性可以低成本地生 产出高质量产品;
▪ 所有成功企业的共同特点是都具有一组严格定义、 管理完善、可测可控从而高度有效的业务过程;
13-CISP0401信息安全工程 (知识点标注版)-v3.0
课程内容
信息安全 工程概述
信息安全 工程基础
信息安全 工程实施
知体
信息安全 工程监理
知识域
信息安全工程概念
信息安全工程理论基础 发掘信息保护需求 定义信息系统安全要求 设计系统安全体系结构 开发详细安全设计 实现系统安全 评估信息保护的有效性 支持认证和认可 信息安全工程监理概述 信息安全工程监理过程
明系 系 系 最 决 实
确统 统 统 优 策 施
问指 综 分 化
计
题标 合 析
划
设
计
更新
11
项目管理
❖ 所谓项目管理,就是项目的管理者,在有限的资 源约束下,运用系统的观点、方法和理论,对项 目涉及的全部工作进行有效地管理。
❖ 项目管理是系统工程思想针对具体项目的实践应 用。
12
质量管理基本概念
全
评估信息保护有效性
20
发掘信息保护需求
❖ 本阶段主要活动
▪ 分析组织的使命和业务 ▪ 评估信息安全风险 ▪ 识别安全服务、安全管理角色、职责及设计约束
21
发掘信息保护需求
❖ 发掘信息保护需求主体
22
发掘信息保护需求
CSDN5名作案者被拘,同时给予 CSDN行政警告处罚,这是落实等级 保护制度以来的首例“罚单”。 按照等保要求建设就会不出问题吗?
❖ 质量管理(QM)
▪ 质量管理是指为了实现质量目标,而进行的所有管理性质的 活动。 在质量方面的指挥和控制活动,通常包括制定质量 方针和质量目标以及质量策划、质量控制、质量保证和质量 改进。
13
质量管理规范和主要内容
❖ ISO9000族标准并不是产品的技术标准,而是针对 组织的管理结构、人员、技术能力、各项规章制 度、技术文件和内部监督机制等一系列体现组织 保证产品及服务质量的管理措施的标准。
23
发掘信息保护需求
❖ 上述信息系统在政策合规性方面的要求并不高,但 是其安全事件却产生了较大影响
❖ 上述事件都是由于没有有效识别自身业务的安全风 险(如个人隐私保护),没有提出安全目标、没有 制定安全基线,导致没有实施原本必要的安全措施 而产生的。
24
信息系统安全工程ISSE
发掘信息保 确定系统安 设计系统安 开展详细安 实施系统安
知识子域
课程内容
信息安全工程 能力评估
知识体
SSE-CMM 概述
信息安全 工程过程
信息安全 工程能力
知识域 3
SSE-CMM概念及作用
SSE-CMM的体系结构 风险过程领域 工程过程领域 保证过程领域 未实施级 非正式执行级 计划和跟踪级 充分定义级 量化控制级 持续改进级
知识子域
信息化建设中的案例(续)
18
信息系统安全工程实施过程
信息系统安全工程师、系统工程师、用户/用户代表
发掘信息 保护需求
确定系统 安全要求
设计系统 安全体系
结构
开发详细 安全设计
实现系统 安全
评估信息保护有效性
支持认证和认可
19
信息系统安全工程ISSE
发掘信息保 确定系统安 设计系统安 开展详细安 实施系统安
护需求
全要求
全体系结构 全设计
❖ 质量
▪ 质量指产品或服务,满足规定或需要的特征。它既包括有形 产品也包括无形产品;既包括产品内在的特性、也包括产品 外在的特性,即包括了产品的适用性和符合性的全部内涵。
❖ 质量控制(QC)
▪ 对生产的全部过程加以控制,是面的控制,不是点的控制。 为保证产品过程或服务质量,必须采取一系列的作业、技术 、组织、管理等有关活动,这些都属于质量控制的范畴
步实施” ❖ “重功能、轻安全”,“先建设、后安全”都是
信息化建设的大忌 ❖ 信息安全工程是信息安全保障工作中不可或缺的
环节
8
支撑信息安全工程的理论基础
❖ 系统工程思想 ❖ 项目管理方法 ❖ 质量管理体系 ❖ 能力成熟度模型
9
什么是系统工程
❖ 钱学森:“系统工程是组织管理系统规划、研究 、制造、试验、使用的科学方法,是一种对所有 系统都具有普遍意义的科学方法”
▪ CMM模型抽取了这样一组好的工程实践并定义了过 程的“能力”;
15
能力成熟度模型的应用
CMM 能力成熟模型
软件工程
SW-CMM 软件能力成熟模型
传统制造业
SE-CMM 系统工程能力成熟模型
安全工程 。。。。。。
SSE-CMM 信息系统安全工程能力成熟模型
评定
SSAM 信息系统安全工程能力成熟性模型
评估方法
。。。。。。
16
系统工程(SE)的 一般过程
用户/用户代表
发掘 客户需求
定义 系统要求
设计系统 体系结构
开发 详细设计
实现系统
评估有效性
17
信息系统安全工程(ISSE)过程
❖ 理解ISSE的含义:将系统工程思想应用于信息 安全领域,在系统生命周期的各阶段充分考虑 和实施安全措施
❖ 了解系统生命周期的概念和组成阶段:发掘信 息保护需求、确定系统安全要求、设计系统安 全体系结构、开展详细安全设计、实施系统安 全、评估信息保护的有效性
❖ 系统工程不是基本理论,也不属于技术实现,而 是一种方法论
❖ 系统工程不同于一般的工程技术学科,如水利工 程、机械工程等“硬”工程;系统工程偏重于工 程的组织与经营管理一类“软”科学的研究
10
系统工程基础
知
识 维
工程技术
(
专 业
医学
、
行
社会科学
业
)
逻辑维(工作步骤)
规划 计划
系统开发 制造
安装 运行
护需求
全要求
全体系结构 全设计
全
评估信息保护有效性
25
确定系统安全要求
❖ 本阶段主要活动
▪ 定义系统安全背景环境 ▪ 定义安全操作概念 ▪ 定义系统安全要求基线
❖ 当初外包开发此网站的公司 已经倒闭
❖ A公司技术人员对网站系统 开发情况不了解,没有能力 消除该漏洞。公司董事会研 究最终决定,为保护用户隐 私,暂时不再为用户提供网 上交易信息查询服务!
7
需要牢记在心的原则
❖ 信息安全工程是信息化建设必要的有机组成部分 ❖ 信息安全建设必须同信息化建设“同步规划、同
▪ 机构 ▪ 程序 ▪ 过程 ▪ 总结
14
能力成熟度模型的概念
❖CMM – Capability Maturity Model
▪ 现代统计过程控制理论表明通过强调生产过程的高 质量和在过程中组织实施的成熟性可以低成本地生 产出高质量产品;
▪ 所有成功企业的共同特点是都具有一组严格定义、 管理完善、可测可控从而高度有效的业务过程;
13-CISP0401信息安全工程 (知识点标注版)-v3.0
课程内容
信息安全 工程概述
信息安全 工程基础
信息安全 工程实施
知体
信息安全 工程监理
知识域
信息安全工程概念
信息安全工程理论基础 发掘信息保护需求 定义信息系统安全要求 设计系统安全体系结构 开发详细安全设计 实现系统安全 评估信息保护的有效性 支持认证和认可 信息安全工程监理概述 信息安全工程监理过程
明系 系 系 最 决 实
确统 统 统 优 策 施
问指 综 分 化
计
题标 合 析
划
设
计
更新
11
项目管理
❖ 所谓项目管理,就是项目的管理者,在有限的资 源约束下,运用系统的观点、方法和理论,对项 目涉及的全部工作进行有效地管理。
❖ 项目管理是系统工程思想针对具体项目的实践应 用。
12
质量管理基本概念
全
评估信息保护有效性
20
发掘信息保护需求
❖ 本阶段主要活动
▪ 分析组织的使命和业务 ▪ 评估信息安全风险 ▪ 识别安全服务、安全管理角色、职责及设计约束
21
发掘信息保护需求
❖ 发掘信息保护需求主体
22
发掘信息保护需求
CSDN5名作案者被拘,同时给予 CSDN行政警告处罚,这是落实等级 保护制度以来的首例“罚单”。 按照等保要求建设就会不出问题吗?
❖ 质量管理(QM)
▪ 质量管理是指为了实现质量目标,而进行的所有管理性质的 活动。 在质量方面的指挥和控制活动,通常包括制定质量 方针和质量目标以及质量策划、质量控制、质量保证和质量 改进。
13
质量管理规范和主要内容
❖ ISO9000族标准并不是产品的技术标准,而是针对 组织的管理结构、人员、技术能力、各项规章制 度、技术文件和内部监督机制等一系列体现组织 保证产品及服务质量的管理措施的标准。
23
发掘信息保护需求
❖ 上述信息系统在政策合规性方面的要求并不高,但 是其安全事件却产生了较大影响
❖ 上述事件都是由于没有有效识别自身业务的安全风 险(如个人隐私保护),没有提出安全目标、没有 制定安全基线,导致没有实施原本必要的安全措施 而产生的。
24
信息系统安全工程ISSE
发掘信息保 确定系统安 设计系统安 开展详细安 实施系统安
知识子域
课程内容
信息安全工程 能力评估
知识体
SSE-CMM 概述
信息安全 工程过程
信息安全 工程能力
知识域 3
SSE-CMM概念及作用
SSE-CMM的体系结构 风险过程领域 工程过程领域 保证过程领域 未实施级 非正式执行级 计划和跟踪级 充分定义级 量化控制级 持续改进级
知识子域
信息化建设中的案例(续)
18
信息系统安全工程实施过程
信息系统安全工程师、系统工程师、用户/用户代表
发掘信息 保护需求
确定系统 安全要求
设计系统 安全体系
结构
开发详细 安全设计
实现系统 安全
评估信息保护有效性
支持认证和认可
19
信息系统安全工程ISSE
发掘信息保 确定系统安 设计系统安 开展详细安 实施系统安
护需求
全要求
全体系结构 全设计
❖ 质量
▪ 质量指产品或服务,满足规定或需要的特征。它既包括有形 产品也包括无形产品;既包括产品内在的特性、也包括产品 外在的特性,即包括了产品的适用性和符合性的全部内涵。
❖ 质量控制(QC)
▪ 对生产的全部过程加以控制,是面的控制,不是点的控制。 为保证产品过程或服务质量,必须采取一系列的作业、技术 、组织、管理等有关活动,这些都属于质量控制的范畴
步实施” ❖ “重功能、轻安全”,“先建设、后安全”都是
信息化建设的大忌 ❖ 信息安全工程是信息安全保障工作中不可或缺的
环节
8
支撑信息安全工程的理论基础
❖ 系统工程思想 ❖ 项目管理方法 ❖ 质量管理体系 ❖ 能力成熟度模型
9
什么是系统工程
❖ 钱学森:“系统工程是组织管理系统规划、研究 、制造、试验、使用的科学方法,是一种对所有 系统都具有普遍意义的科学方法”
▪ CMM模型抽取了这样一组好的工程实践并定义了过 程的“能力”;
15
能力成熟度模型的应用
CMM 能力成熟模型
软件工程
SW-CMM 软件能力成熟模型
传统制造业
SE-CMM 系统工程能力成熟模型
安全工程 。。。。。。
SSE-CMM 信息系统安全工程能力成熟模型
评定
SSAM 信息系统安全工程能力成熟性模型
评估方法
。。。。。。
16
系统工程(SE)的 一般过程
用户/用户代表
发掘 客户需求
定义 系统要求
设计系统 体系结构
开发 详细设计
实现系统
评估有效性
17
信息系统安全工程(ISSE)过程
❖ 理解ISSE的含义:将系统工程思想应用于信息 安全领域,在系统生命周期的各阶段充分考虑 和实施安全措施
❖ 了解系统生命周期的概念和组成阶段:发掘信 息保护需求、确定系统安全要求、设计系统安 全体系结构、开展详细安全设计、实施系统安 全、评估信息保护的有效性
❖ 系统工程不是基本理论,也不属于技术实现,而 是一种方法论
❖ 系统工程不同于一般的工程技术学科,如水利工 程、机械工程等“硬”工程;系统工程偏重于工 程的组织与经营管理一类“软”科学的研究
10
系统工程基础
知
识 维
工程技术
(
专 业
医学
、
行
社会科学
业
)
逻辑维(工作步骤)
规划 计划
系统开发 制造
安装 运行
护需求
全要求
全体系结构 全设计
全
评估信息保护有效性
25
确定系统安全要求
❖ 本阶段主要活动
▪ 定义系统安全背景环境 ▪ 定义安全操作概念 ▪ 定义系统安全要求基线
❖ 当初外包开发此网站的公司 已经倒闭
❖ A公司技术人员对网站系统 开发情况不了解,没有能力 消除该漏洞。公司董事会研 究最终决定,为保护用户隐 私,暂时不再为用户提供网 上交易信息查询服务!
7
需要牢记在心的原则
❖ 信息安全工程是信息化建设必要的有机组成部分 ❖ 信息安全建设必须同信息化建设“同步规划、同