信息安全工程实施
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
❖ 这包括在较广泛的系统工程小组内确定信息 安全工程的需求,并针对这些需求来组建信 息安全工程小组。
.
18
4.2.1 商业决策和工程规划
❖ 在商业规划和决策中,首席信息安全工程师 首先阅读现有程序性文件,并与客户就可能 的小组安排和支持需求进行讨论,然后据此 准备一份参与该项目的小组人员配备预案。
❖ 信息安全工程是对系统工程的一种约束,它 需要逐步获得发展,并对集成的、生命周期 均衡的、
❖ 满足客户信息系统安全需求的一系列系统产 品和过程进行验证的解决方案。
❖ 信息安全工程列出系统的安全风险,并使这 些风险减至最少或得到控制。
.
7
信息安全工程的贡献
❖ 信息安全工程对安全特性的贡献如下图所示:
.
16
4.2 安全规划与控制
❖ 系统和安全项目的管理与规划活动,开始于 一个机构从业务角度决定承担该工程的时候。 它们是信息安全工程过程的基本部分,因此 要求它们必须成功。
❖ 如果安全规划做得好,就能够为系统把安全 需求转换为有效的设计与实现提供坚实的基 础。
.
17
4.2 安全规划与控制
❖ 一项重要的早期活动就是要组成恰当的多学 科信息安全工程小组,以便将相关学科综合 和协调到规划中去。
安全风险管理
概 要 计系 计初 计详 测实 踪配 支运 念 求 统 步 细 试现 置 持行
设设设和追和
说任 评可 评系 评系 评初 评关 评系 评物 明务 审选 审统 审统 审步 审键 审统 审理
需 系 需 功 设 设 验配 求 统 求 能 计 计 证置
系统. 事件
13
4.1.3 信息安全Βιβλιοθήκη Baidu程的生命周期
.
19
4.2.1 商业决策和工程规划
❖ 信息安全工程小组应当进行恰当的规划,以 便实现信息安全工程中主要功能中的每一项 功能:安全规划和控制、安全需求定义,安 全风险管理及其相关的安全验证和证实活动。
.
20
4.2.2 信息安全工程小组
❖ 在规划一个信息系统工程时,作为商业规划 决策的一个结果就是要指定信息安全工程小 组成员和首席信息系统安全工程师。
❖ 3)技术的发展使得信息系统的获取方式正逐
渐从专用系统向集成商用现货设备和政府现
货设备的新方向转移。
.
4
4.1.2 信息安全工程与系统工程的关系
❖ 信息安全工程并不是一个独立的过程,它依 赖并支持系统工程和获取过程,而且是获取 过程不可分割的一部份。信息安全工程过程 的目标是提供一个框架。
❖ 每个工程项目都可以对这个框架进行裁剪以 符合自己特定的需求。
❖ 虽然不同项目中的每一个阶段所花时间和精 力可能不同,但一般统计情况是大量的精力 花在生命期开发之后,花在系统的运行和支 持阶段,花在大大小小的修改当中。
.
14
4.1.3 信息安全工程的生命周期
❖ 上图的信息安全基本功能的活动包括:
❖ (1)对安全活动进行规划和控制;
❖ (2)安全需求定义;
❖ (3)安全设计支持(包括顶层体系定义和对 详细设计实现的支持);
第四章 信息安全 工程实施
.
1
❖ 4.1 概述 ❖ 4.2 安全规划与控制 ❖ 4.3 安全需求的定义 ❖ 4.4 安全设计支持 ❖ 4.5 安全运行分析 ❖ 4.6 生命周期安全支持 ❖ 4.7 信息安全工程的过程
.
2
4.1 概述
❖ 通过前面章节的学习,我们知道信息安全工 程是采用工程的概念、原理、技术和方法, 来研究、开发、实施与维护信息系统安全的 过程,
❖ 下图中的每一竖格代表生命周期的一个阶段, 每一横格代表了一个基本的信息安全工程功 能。
❖ 该图中两者的纵横交叉表明在系统的任一阶
段,信息安全工程的任何一个功能都应考虑
到。
.
12
系统工程的各个阶段
先 期 概 念
安全规划控
制
信 安全需求定
息 安 全 工 程 功 能
义 安全设计支 持 安全运行分 析 生命期安全 支持
❖ 在工程的初级阶段,作出这个正式的商业决 策之前,可能由信息系统安全客户联络代表 来履行信息系统安全工程师的职责。
.
10
4.1.3 信息安全工程的生命周期
❖ 在过程中间阶段的前期,信息或概念得到 实现、验证并证实有效之后即投入长久的 运行使用;
❖ 在过程中期阶段的后期,信息或概念被使 用、支持,并在必要时得到修改,最后进 行部署。
.
11
4.1.3 信息安全工程的生命周期
❖ 信息安全工程过程包括了一系列与系统工程 的各个阶段和事件相对应的安全工程功能。 各种功能间的相互协调是反复运用下图的基 本过程来实现的。
❖ 是将经过时间考验证明是正确的工程实施流 程、管理技术和当前能够得到的最好的技术 方法相结合的过程。
.
3
4.1.1 信息安全工程的重要性
❖ 1)信息系统大量用于政府、国防、民用部门 和个人;
❖ 2)信息系统存在弱点和漏洞,使用者存在偶 然或故意的违规操作行为,使得信息系统资 源随着访问的增加而增加了被非法访问或使 用的可能性。
❖ (4)安全运行分析;
❖ (5)生命期安全支持;
❖ (6)安全风险管理。
.
15
4.1.3信息安全工程的生命周期
❖ 在系统获取和系统工程生命期的每一个阶段 和事件中,以上活动都是并行的,同时各个 活动之间是互相影响的。
❖ 每个信息安全工程功能至少有以下三种模式: 为功能实现做准备;实现功能;当系统发生 变动时或有新情况出现时,对功能作出相应 的改动。
.
5
4.1.2 信息安全工程与系统工程的关系
❖ 信息安全工程是系统安全工程(SSE, System Security Engineering)、系统工程 (SE,System Engineering)和系统获取 (SA,System Acquisition)在信息系统安 全方面的具体体现。
.
6
4.1.2 信息安全工程与系统工程的关系
.
8
安全风险管 理
安全策划分 析和控制
生存周期安 全支持
信息安全工程的 有关活动 及其贡献
系统安全需求 分析和确定
安全设计支 持
安全操作分 析和支持
系统安全性 验证
安全开发集 成
信息安全工程对.安全特性的贡献
9
4.1.3 信息安全工程的生命周期
❖ 基本信息安全工程的生命周期和执行如下图 所示,信息安全工程小组参与下列活动:系 统总体规划,分析和控制,要求分析,设计, 开发/集成,验证,运行和对有安全需求的系 统提供生命期支持。
.
18
4.2.1 商业决策和工程规划
❖ 在商业规划和决策中,首席信息安全工程师 首先阅读现有程序性文件,并与客户就可能 的小组安排和支持需求进行讨论,然后据此 准备一份参与该项目的小组人员配备预案。
❖ 信息安全工程是对系统工程的一种约束,它 需要逐步获得发展,并对集成的、生命周期 均衡的、
❖ 满足客户信息系统安全需求的一系列系统产 品和过程进行验证的解决方案。
❖ 信息安全工程列出系统的安全风险,并使这 些风险减至最少或得到控制。
.
7
信息安全工程的贡献
❖ 信息安全工程对安全特性的贡献如下图所示:
.
16
4.2 安全规划与控制
❖ 系统和安全项目的管理与规划活动,开始于 一个机构从业务角度决定承担该工程的时候。 它们是信息安全工程过程的基本部分,因此 要求它们必须成功。
❖ 如果安全规划做得好,就能够为系统把安全 需求转换为有效的设计与实现提供坚实的基 础。
.
17
4.2 安全规划与控制
❖ 一项重要的早期活动就是要组成恰当的多学 科信息安全工程小组,以便将相关学科综合 和协调到规划中去。
安全风险管理
概 要 计系 计初 计详 测实 踪配 支运 念 求 统 步 细 试现 置 持行
设设设和追和
说任 评可 评系 评系 评初 评关 评系 评物 明务 审选 审统 审统 审步 审键 审统 审理
需 系 需 功 设 设 验配 求 统 求 能 计 计 证置
系统. 事件
13
4.1.3 信息安全Βιβλιοθήκη Baidu程的生命周期
.
19
4.2.1 商业决策和工程规划
❖ 信息安全工程小组应当进行恰当的规划,以 便实现信息安全工程中主要功能中的每一项 功能:安全规划和控制、安全需求定义,安 全风险管理及其相关的安全验证和证实活动。
.
20
4.2.2 信息安全工程小组
❖ 在规划一个信息系统工程时,作为商业规划 决策的一个结果就是要指定信息安全工程小 组成员和首席信息系统安全工程师。
❖ 3)技术的发展使得信息系统的获取方式正逐
渐从专用系统向集成商用现货设备和政府现
货设备的新方向转移。
.
4
4.1.2 信息安全工程与系统工程的关系
❖ 信息安全工程并不是一个独立的过程,它依 赖并支持系统工程和获取过程,而且是获取 过程不可分割的一部份。信息安全工程过程 的目标是提供一个框架。
❖ 每个工程项目都可以对这个框架进行裁剪以 符合自己特定的需求。
❖ 虽然不同项目中的每一个阶段所花时间和精 力可能不同,但一般统计情况是大量的精力 花在生命期开发之后,花在系统的运行和支 持阶段,花在大大小小的修改当中。
.
14
4.1.3 信息安全工程的生命周期
❖ 上图的信息安全基本功能的活动包括:
❖ (1)对安全活动进行规划和控制;
❖ (2)安全需求定义;
❖ (3)安全设计支持(包括顶层体系定义和对 详细设计实现的支持);
第四章 信息安全 工程实施
.
1
❖ 4.1 概述 ❖ 4.2 安全规划与控制 ❖ 4.3 安全需求的定义 ❖ 4.4 安全设计支持 ❖ 4.5 安全运行分析 ❖ 4.6 生命周期安全支持 ❖ 4.7 信息安全工程的过程
.
2
4.1 概述
❖ 通过前面章节的学习,我们知道信息安全工 程是采用工程的概念、原理、技术和方法, 来研究、开发、实施与维护信息系统安全的 过程,
❖ 下图中的每一竖格代表生命周期的一个阶段, 每一横格代表了一个基本的信息安全工程功 能。
❖ 该图中两者的纵横交叉表明在系统的任一阶
段,信息安全工程的任何一个功能都应考虑
到。
.
12
系统工程的各个阶段
先 期 概 念
安全规划控
制
信 安全需求定
息 安 全 工 程 功 能
义 安全设计支 持 安全运行分 析 生命期安全 支持
❖ 在工程的初级阶段,作出这个正式的商业决 策之前,可能由信息系统安全客户联络代表 来履行信息系统安全工程师的职责。
.
10
4.1.3 信息安全工程的生命周期
❖ 在过程中间阶段的前期,信息或概念得到 实现、验证并证实有效之后即投入长久的 运行使用;
❖ 在过程中期阶段的后期,信息或概念被使 用、支持,并在必要时得到修改,最后进 行部署。
.
11
4.1.3 信息安全工程的生命周期
❖ 信息安全工程过程包括了一系列与系统工程 的各个阶段和事件相对应的安全工程功能。 各种功能间的相互协调是反复运用下图的基 本过程来实现的。
❖ 是将经过时间考验证明是正确的工程实施流 程、管理技术和当前能够得到的最好的技术 方法相结合的过程。
.
3
4.1.1 信息安全工程的重要性
❖ 1)信息系统大量用于政府、国防、民用部门 和个人;
❖ 2)信息系统存在弱点和漏洞,使用者存在偶 然或故意的违规操作行为,使得信息系统资 源随着访问的增加而增加了被非法访问或使 用的可能性。
❖ (4)安全运行分析;
❖ (5)生命期安全支持;
❖ (6)安全风险管理。
.
15
4.1.3信息安全工程的生命周期
❖ 在系统获取和系统工程生命期的每一个阶段 和事件中,以上活动都是并行的,同时各个 活动之间是互相影响的。
❖ 每个信息安全工程功能至少有以下三种模式: 为功能实现做准备;实现功能;当系统发生 变动时或有新情况出现时,对功能作出相应 的改动。
.
5
4.1.2 信息安全工程与系统工程的关系
❖ 信息安全工程是系统安全工程(SSE, System Security Engineering)、系统工程 (SE,System Engineering)和系统获取 (SA,System Acquisition)在信息系统安 全方面的具体体现。
.
6
4.1.2 信息安全工程与系统工程的关系
.
8
安全风险管 理
安全策划分 析和控制
生存周期安 全支持
信息安全工程的 有关活动 及其贡献
系统安全需求 分析和确定
安全设计支 持
安全操作分 析和支持
系统安全性 验证
安全开发集 成
信息安全工程对.安全特性的贡献
9
4.1.3 信息安全工程的生命周期
❖ 基本信息安全工程的生命周期和执行如下图 所示,信息安全工程小组参与下列活动:系 统总体规划,分析和控制,要求分析,设计, 开发/集成,验证,运行和对有安全需求的系 统提供生命期支持。