《信息安全工程与管理(第二版)》 课件 第1章_信息安全工程概述.ppt

早期的信息安全工程方法理论来自于系统工程（SE）过程的方法。1.3信息安全保障与信息安全工程1.3.2信息安全工程的发展在SE基础上，美国军方提出了信息系统安全工程（ISSE），在1994年2月28日发布《信息系统安全工程手册v1.0》。1987年，卡内基·梅隆大学软件研究所提出了软件过程能力成熟度模型（CMM），1991年推出1.0版。1993年5月，美国家安全局采用CMM方法学，针对安全方面的特殊需求，首次提出信息安全工程能力成熟度模型（SSE-CMM）。1996年8月，公共系统安全工程（FPSSE）CMM工作组公布SSE-CMM第1个版本，1997年4月SSE-CMM评估方法。1999年4月SSE-CMMv2.0和SSE-CMM评定方法v2.0。2002年3月,SSE-CMMv2.0被接受为ISO/IEC21827:2002《信息技术-系统安全工程-能力成熟度模型》，在2008年10月，替换为ISO/IEC21827:2008《信息技术—系统安全工程—能力成熟度模型》。1.3信息安全保障与信息安全工程1.3.2信息安全工程的发展在我国，信息安全工程的实施是基于等级保护制度。1994年2月，《中华人民共和国计算机信息系统安全保护条例》。1999年9月，GB17859-1999《计算机信息系统安全保护等级划分准则》。《国家信息化领导小组关于加强信息安全保障工作的意见（中办发[2003]27号）》。2004年9月，《关于信息安全等级保护工作的实施意见》。2007年6月，《信息安全等级保护管理办法》。1.3信息安全保障与信息安全工程1.3.2信息安全工程的发展在我国，信息安全工程的实施是基于等级保护制度。我国在ISO/IEC21827:2002《信息技术—系统安全工程—能力成熟度模型》的基础上，于2006年3月发布了《信息技术—系统安全工程—能力成熟度模型》（GB/T20261—2006）。随着国内信息安全形势的发展，已经不完全适用于我国信息安全行业。2020年11月，我国在参考ISO/IEC21827:2008《信息技术—系统安全工程—能力成熟度模型》基础上，修订发布了《信息技术—系统安全工程—能力成熟度模型》（GB/T20261—2020），并于2021年6月开始实施。1.3信息安全保障与信息安全工程1.3.2信息安全工程的发展在我国，信息安全工程的实施是基于等级保护制度。2019年5月，国家市场监督管理总局、国家标准化管理委员会在新闻发布会上发布了新修订的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》和《信息安全技术网络安全等级保护安全设计技术要求》三个网络安全领域的国家标准。新国标将等级保护对象从信息系统扩展到网络基础设施、云计算平台、大数据平台、物联网、工业控制系统、采用移动互联技术的系统等。随着云计算、互联网、移动互联网、工业控制系统等新技术、新应用的大量涌现，三项新标准的完善，可被广泛应用于各个行业或领域指导用户开展信息系统安全等级保护的建设整改、等级测评等工作。等级保护从原来的“信息安全等级保护”变更为“网络安全等级保护”，标志着信息安全等级保护制度从1.0→2.0。1.3信息安全保障与信息安全工程1.3.2信息安全工程的发展信息实质:通过信号、指令等来调节与控制物质和能量。信息安全的基本范畴。信息安全工程:研究如何建立能够面对错误、攻击和灾难的可靠信息系统，在工程上是与风险相联系。信息保障:确保信息和信息系统能够安全运行的防护性行为，采用“深度防御”的信息保障战略。典型信息安全工程实施方法：ISSE过程和SSE-CMM模型。在我国，信息安全工程的实施，是基于等级保护制度。本章总结“深度防御”的信息保障战略将安全空间划分为4个纵深防御焦点域：保护网络和基础设施、保护飞地（区域）边界、保护计算环境以及支撑性基础设施。基于“深度防御”的信息保障战略的空间特性来建设信息安全保障体系，需要解决支撑信息基础设施、内部网络、网络边界、网络通信基础设施和主机计算等环境的安全防御问题。*特别需要指出，美国政府和智库极力鼓吹的未来的战争形式，不管是“混合战争”，还是“政治战”，网络都扮演着举足轻重的作用。对此，中国应当未雨绸缪，除了做好相应的研判工作和应对部署，网络安全关键技术的研发与相关保障体系的建设，依然是重点，需要得到特别专注。*日本国家信息网络安全保障与治理体系建设，也是随着对信息安全、网络安全认识的不断加深而发展的过程，其发展演进可分为“战略萌芽”、“战略确立”、“战略发展”和“战略深化”四个阶段。纵观近十年日本政府出台的信息网络空间安全战略文件，其思维理念