返回
cisp0402信息安全工程实践new

cisp0402信息安全工程实践new

ID:34527216

大小:1.99 MB

页数:113页

时间:2019-03-07

cisp0402信息安全工程实践new_第1页
cisp0402信息安全工程实践new_第2页
cisp0402信息安全工程实践new_第3页
cisp0402信息安全工程实践new_第4页
cisp0402信息安全工程实践new_第5页
资源描述:

《cisp0402信息安全工程实践new》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全工程实践CISP运营中心沈传宁课程内容ISSE安全工程过程发掘信息保护需求安全工定义信息保护系统程实施实践设计信息保护系统实施信息保护系统信息安全工程实践评估信息保护系统的有效性信息安全工程监理模型信息安全工监理阶段目标程监理信息安全工程各方职责课程名称知识域知识子域2知识域:安全工程实施实践知识子域:ISSE安全工程过程了解系统生命周期的概念和组成阶段:概念与需求定义、系统功能设计、系统开发与获取、系统实现与测试、系统维护与废弃理解ISSE的含义:将系统工程思想应用于信息安全领域,在系统生命周期的各阶段充分考虑和实施安全措施理解ISSE阶段划分及各阶段的主要

2、工作内容3ISSE安全工程过程目标了解系统生命周期的概念和组成阶段:发掘信息保护需求、定义信息保护系统、设计信息保护系统、实施信息保护系统、评估信息保护系统的有效性理解ISSE的含义:将系统工程思想应用于信息安全领域,在系统生命周期的各阶段充分考虑和实施安全措施理解ISSE阶段划分及各阶段的主要工作内容4ISSE安全工程过程系统生命周期就是系统从产生构思到不再使用的整个生命历程系统工程SE概念与需求系统功能设系统开发与系统实现与系统维护与定义计获取测试废弃产生不再使用系统生命周期5ISSE安全工程过程信息系统安全工程(InformationSystemSecurity

3、Engineering—ISSE)实施信息保评估信息保ISSE发掘信息保定义信息保设计信息保护系统护系统的有护需求护系统护系统效性概念与需系统功能系统开发系统实现系统维护SE求定义设计与获取与测试与废弃6信息系统安全工程ISSE实施信息保评估信息保发掘信息保定义信息保设计信息保护系统护系统的有护需求护系统护系统效性7知识域:安全工程实施实践知识子域:发掘信息保护需求理解风险评估结果是安全需求的重要决定因素理解国家政策法规和合同协议等符合性要求是安全需求的重要决定因素8发掘信息保护需求本阶段的主要活动对信息管理过程进行建模定义信息威胁确立信息保护需求的优先次序准

4、备信息保护策略获得用户/使用者的许可确保任务需求中包含了信息保护需求,系统功能中包含了信息保护功能,系统中包含信息保护体系结构和机制9发掘信息保护需求发掘信息保护需求过程10发掘信息保护需求发掘信息保护需求主体11发掘信息保护需求发掘信息保护需求--子任务–任务-01.1分析机构的任务–任务-01.2判断信息对机构任务的关系和重要性–任务-01.3确定法律和法规的要求–任务-01.4确定威胁的类别–任务-01.5判断影响–任务-01.6确定安全服务–任务-01.7记录信息保护需求–任务-01.8记录安全管理的角色和责任12发掘信息保护需求发掘信息保护

5、需求--子任务–任务-01.9标识设计约束–任务-01.10评估信息保护的有效性•子任务-01.10.1提供/展示文档化的信息保护需求•子任务-01.10.1对信息保护需求的认同–任务-01.11支持系统的认证和认可(C&A)•子任务-01.11.1标识指派的批准官员(DAA)/认可员•子任务-01.11.2标识认证专家(CA)/认证员•子任务-01.11.3确定可适用的C&A和采办过程•子任务-01.11.4确保认可员和认证员对信息保护需求的认同13发掘信息保护需求风险评估结果是安全需求的重要决定因素一切工程皆有需求信息安全工程的需求并不是工程的起点信息安全工

6、程的需求应从风险评估结果分析中得出需求与风险的一致性越强,则需求越准确因此信息安全工程应从风险着手,制定需求,这也符合信息安全保障(IA)的思想14发掘信息保护需求案例1某部委每年开展信息安全风险评估工作,定期根据评估结果确定信息安全工程建设项目。风险评估结果解决方式市、省、国均可实现网络部署防火墙产品层未授权的互访未授权访问过程没有监控部署IDS产品边界防护体系建设和审计措施没有能力识别未授权访问部署防病毒产品所使用恶意程序或代码15发掘信息保护需求案例1某部委每年开展信息安全风险评估工作,定期根据评估结果确定信息安全工程建设项目。风险评估结果解决方式私自修改主

7、机、网络设备部署网络和主机设备的安配置参数全审计产品内外网混用、私接网线部署网络准入控制产品内部防范体系建设非法拷贝、篡改数据库数部署数据库审计据16发掘信息保护需求案例22008年某单位部署完成网络准入系统,有效降低了终端的安全风险。降低了内网安全风险17发掘信息保护需求案例22008年某单位部署完成网络准入系统,有效降低了内网终端的安全风险。2009年开展风险评估,提出应用层安全防护能力薄弱是其最主要风险识别了主要风险在于外网,并且是应用层次18发掘信息保护需求案例22008年某单

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。