CISP息安全工程原理.pptx

信息安全工程原理中国信息安全测评中心2012-10学习目标理解信息安全建设必须同信息化建设“同步规划、同步实施”的原则理解如何运用信息安全能力成熟度模型理论评价和改进信息安全工程能力质量管理基础系统工程与项目管理基础安全工程过程区域能力成熟度模型基础SSE-CMM体系与原理安全工程能力评价安全工程理论背景安全工程原理安全工程能力成熟度模型知识体知识域知识子域课程内容知识域：安全工程理论背景知识子域： 系统工程与项目管理基础? 了解系统工程基本思想? 了解项目管理基本概念和要素? 知识子域：质量管理基础? 了解质量管理基本概念了解八项质量管理基本原则 知识子域：能力成熟度模型?理解“工程能力成熟度”基本思想? 了解能力成熟度模型的应用范围? 了解“过程能力方案”和“组织机构成熟度方案”的区别从生活中的案例开始《消防通道设计规范》规定“商住楼中住宅的疏散楼梯应独立设置”右图是一家门市，为应付消防检查自行搭建的消防通道安全工程的重要性如果在大楼的设计和实施阶段没有考虑消防，把楼盖完了，再去设置消防通道，必然会导致成本的上升和安全性的下降安全工程在信息化建设中的重要性有过之而无不及信息化建设中的案例A公司开展家用电话自助刷卡支付业务用户可以通过其网站查询个人付款信息第三方安全测评发现该网站存在SQL注入漏洞，可以泄露用户交易信息信息化建设中的案例（续）当初外包开发此网站的公司已经倒闭A公司技术人员对网站系统开发情况不了解，没有能力消除该漏洞。公司董事会研究最终决定，为保护用户隐私，暂时不再为用户提供网上交易信息查询服务！安全工程的作用信息系统的建设是一项系统工程，具有复杂性信息安全问题是信息系统与生俱来的安全工程是以最优费效比提供并满足安全需求国家政策要求《关于加强信息安全保障工作的意见》明确要求“信息安全建设是信息化的有机组成部分，必须与信息化同步规划、同步建设。各地区各部门在信息化建设中，要同步考虑信息安全建设，保证信息安全设施的运行维护费用。 ”国家发展改革委《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》的中心思想是：电子政务工程建设项目必须同步考虑安全问题，提供安全专项资金，信息安全风险评估结论是项目验收的重要依据。需要牢记在心的原则安全工程是信息化建设必要的有机组成部分信息安全建设必须同信息化建设“同步规划、同步实施” “重功能、轻安全”，“先建设、后安全”都是信息化建设的大忌信息安全工程可以参考的理论基础系统工程思想项目管理方法质量管理体系能力成熟度模型系统工程的概念系统工程是一种方法论钱学森：“系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法，是一种对所有系统都具有普遍意义的科学方法”系统工程不是基本理论，也不属于技术实现，而是一种方法论系统工程是软科学不同于一般的工程技术学科，如水利工程、机械工程等“硬”工程；系统工程偏重于工程的组织与经营管理一类“软”科学的研究。系统工程基础霍尔三维结构图 知识维（专业、行业）工程技术医学社会科学规划逻辑维（工作步骤）计划时间维（阶段、进程）系统开发制造安装运行更新系统指标设计明确问题系统综合系统分析最优化决策实施计划系统工程特点系统工程具有以下特点：系统工程不同于一般的工程技术学科，如水利工程、机械工程等“硬”工程；系统工程偏重于工程的组织与经营管理一类“软”科学的研究。系统工程涉及各种学科、各个领域的各种内容，因此它是跨越不同学科的综合性科学。以整体的、综合的、关联的、科学的、实践的观点来看待研究对象在解决一个具体项目时，它要求把项目或过程分成几大步骤，而每个步骤又按一定的程序展开。这就保证了系统思想在每个部分、每个环节上体现出来。 任何系统都是人、设备和过程的有机组合，其中人是最主要的因素。因此在应用系统工程的方法处理系统问题时，要以人为中心。系统工程的思想以人参与系统为研究对象任何系统都是人、设备和过程的有机组合，其中人是最主要的因素。因此在应用系统工程的方法处理系统问题时，要以人为中心全面看待系统复杂性系统工程以整体的、综合的、关联的、科学的、实践的观点来看待研究对象,信息系统和信息安全的复杂性和动态变化性，决定了建设者不能以局部的、片面的、孤立的、主观的、教条的观点看待问题注重系统的目的和总体发展要求业务的发展和稳定运行才是安全工程的根本目的，要坚持“以安全保发展，以发展促安全”的原则通过数学模型和逻辑模型来描述系统系统工程在一个具体项目应用时，它要求把项目或过程分成几大步骤，而每个步骤又按一定的程序展开。这就保证了系统思想在每个部分、每个环节上体现出来。项目管理的概念什么是项目管理项目的管理者，在有限的资源约束下，运用系统的观点、方法和理论，对项目涉及的全部工作进行有效地管理。即从项目的投资决策开始到项目结束的全过程进行计划、组织、指挥、协调