信息安全工程培训讲义(PPT62页)

……
……
13
知识子域：信息安全工程
❖ 信息系统安全工程
▪ 了解信息系统安全工程（ISSE）与系统工程(SE)工 作内容的区别；
▪ 理解确定信息保护需求、确定系统安全要求、设计 系统安全架构、开发详细安全设计、实现系统安全 、评估信息保护有效性这六个阶段主要工作内容。
14
信息安全工程培训讲义(PPT62页)培 训课件 培训讲 义培训ppt教程 管理课 件教程ppt
5
信息安全工程理论基础
❖ 系统工程 ❖ 项目管理 ❖ 质量管理 ❖ 能力成熟度模型
6
信息安全工程理论基础-系统工程
❖ 什么是系统工程
▪ 以大型复杂系统为研究对象，按一定目的进行设计 、开发、管理与控制，以期达到总体效果最优的理 论与方法
❖ 系统工程的概念
▪ 系统工程不是基本理论，也不属于技术实现，而是 一种方法论
▪ 理解能力成熟度模型的基本思想及相关概念；
3
什么是安全工程
❖ 采用工程的概念、原理、技术和方法，来研究、 开发、实施与维护信息系统安全的过程
❖ 信息化建设活动中有关加强系统安全性活动的集 合
❖ 良好安全工程的四个方面
▪ 策略 ▪ 机制 ▪ 保证 ▪ 动机
4
为什么需要安全工程
❖ 信息系统安全保障要素之一 ❖ 解决信息系统生命周期的“过程安全”问题
❖ 能力成熟度模型基础
▪ 现代统计过程控制理论表明通过强调生产过程的高 质量和在过程中组织实施的成熟性可以低成本地生 产出高质量产品；
▪ 所有成功企业的共同特点是都具有一组严格定义、 管理完善、可测可控从而高度有效的业务过程；
▪ CMM模型抽取了这样一组好的工程实践并定义了过 程的“能力”；
12
能力成熟度模型基本思想
信息系统安全工程流程
❖ 将系统工程思想应用于信息安全领域，在系统生 命周期的各阶段充分考虑和实施安全措施
用户/用户代表
发掘 客户需求
定义 系统要求
设计系统 体系结构
开发 详细设计
实现系统
评估有效性
信息系统安全工程师、系统工程师、用户/用户代表
发掘信息 保护需求
确定系统 安全要求
设计系统 安全体系
结构
▪ 系统工程是一门高度综合性的管理工程技术，不同 于一般的工程技术学科，如水利工程、机械工程等 “硬”工程；系统工程偏重于工程的组织与经营管 理一类“软”科学的研究
7
信息安全工程理论基础-系统工程
❖ 霍尔三维结构图
▪ 时间维
▪ 逻辑维
（ 专
业知
▪ 知识维
、识 行维
业
）
工程 医学 建筑 管理 社会科学
❖ 工程实施组织的能力成熟度等级越高，系统的风 险越低
❖ CMM为工程的过程能力提供了一个阶梯式的改进框
架
软件
SW-CMM
工程
软件能力成熟模型
优化级
成
已管理级
熟
已定义级
度
可重复级
风
能力成 熟模型
险
传统 制造业
安全 工程
SE-CMM 系统工程能力成熟模
型
SSE-CMM 信息系统安全工程能
力成熟模型
初始级
（阶段时、间进维程）
逻辑维（工作步骤）
规划 拟定方案
研制
生产
安装
运行
更新
明确 系 确定 统 问目 综
题标 合
系 统
优 化
决 策
实 施
分
析
8
信息安全工程理论基础-项目管理
❖ 什么是项目管理
▪ 项目管理者在有限的资源约束下，运用系统的观点 、方法和理论，对项目涉及的全部工作进行有效管 理
▪ 项目管理是系统工程思想针对具体项目的实践应用
信息安全工程培训讲义(PPT62页)
信息安全工程
版本：4.0
讲师姓名 机构名称
信息安全工程培训讲义(PPT62页)
课程内容
信息安全保障
信息安全工程
知识域
知识子域
2
知识子域：信息安全工程
❖ 信息安全工程基础
▪ 理解信息安全工程的基本概念及信息安全工程的必 要性；
❖ 信息安全工程理论基础
▪ 了解系统工程思想、项目管理方法、质量管理体系 、能力成熟度模型等信息安全工程基础理论；
▪ 指挥和控制一个组织质量相关的管理体系 ▪ 国际标准ISO9000系列
10
ISO9000规范质量管理的四个方面
❖ 机构
▪ 标准明确规定了为保证产品质量而必须建立的管理 机构及职责权限
❖ 程序
▪ 对组织的产品生产必须制定规章制度、技术标准、 质量手册、质量体系和操作检查程序，并使之文件 化
❖ 过程
❖ 了解组织机构的业务和使命 ❖ 确定信息系统面临的风险 ❖ 识别适用的保护策略
安全工程建 设的需求从
▪ 质量控制是对生产的全部过程加以控制，是面的控 制，不是点的控制
❖ 总结
▪ 不断地总结、评价质量管理体系，不断地改进质量 管理体系，使质量管理呈螺旋式升
11Leabharlann Baidu
信息安全工程理论基础-能力成熟度模型
❖能力成熟度模型（Capability Maturity Model）
▪ 一种衡量工程实施能力的方法 ▪ 建立在统计过程控制理论基础上的
开发详细 安全设计
实现系统 安全
评估信息保护有效性
支持认证和认可
系统工程实施过程
信息安全工程培训讲义(PPT62页)培 训课件 培训讲 义培训ppt教程 管理课 件教程ppt
信息安全工程实施过程
16
信息安全工程培训讲义(PPT62页)培 训课件 培训讲 义培训ppt教程 管理课 件教程ppt
发掘信息保护需求
▪ 信息安全是信息化的有机组成部分，必须与信息化 同步规划、同步建设
▪ 信息系统的建设是一项系统工程，具有复杂性，安 全工程是以最优费效比提供并满足安全需求
“建设关键信息基础设施应当确保其具有支持业务稳 定、持续运行的性能，并保证安全技术措施同步规划、
同步建设、同步使用。” --《中华人民共和国网络安全法》
❖ 项目管理的知识领域
▪ 范围、时间、成本、质量、人力资源、沟通、风险 、采购和集成
❖ 项目的过程控制
▪ 启动、计划、执行、控制和收尾
9
信息安全工程理论基础-质量管理
❖ 质量管理基本概念
▪ 质量：是一组固有特性满足要求的程度 ▪ 治理管理：为了实现质量目标，而进行的所有管理
性质的活动
❖ 质量管理体系
信息系统安全工程（ISSE）
❖ 美国军方在20世纪90年代初发布的信息安全工程 方法
❖ 通过实施系统工程过程来满足信息保护的需求 ❖ 有助于开发可满足用户安全需求的系统产品和过
程解决方案
信息安全工程培训讲义(PPT62页)培 训课件 培训讲 义培训ppt教程 管理课 件教程ppt
15
信息安全工程培训讲义(PPT62页)培 训课件 培训讲 义培训ppt教程 管理课 件教程ppt