返回
《安全需求定义》ppt课件

《安全需求定义》ppt课件

ID:40113239

大小:406.55 KB

页数:29页

时间:2019-07-21

《安全需求定义》ppt课件_第1页
《安全需求定义》ppt课件_第2页
《安全需求定义》ppt课件_第3页
《安全需求定义》ppt课件_第4页
《安全需求定义》ppt课件_第5页
资源描述:

《《安全需求定义》ppt课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全工程安全需求的定义知识回顾信息安全工程的功能:6个信息安全工程小组LCIE和决策数据库一般系统需求定义的过程:4个本讲内容与学习目标区别系统安全需求vs.信息保护需要SystemSecurityRequirementsvs.InformationProtectionNeeds了解“解决方案(SolutionSet)”的内容了解系统(安全)需求的内容安全需求vs.保护需要信息保护需要(InformationProtectionNeeds):从用户角度对信息系统安全的理解信息保护策略(IPP)系统安全需求:由信息系统

2、安全工程师确定的,信息保护需要在系统功能和性能上的体现定义系统安全需求对应于系统工程的“定义系统需求”本阶段,系统工程师将提出一个或多个能够满足用户需要(Needs)的解决方案解决方案集:“SolutionSets”解决方案是针对整个信息系统而言的,其中包括了为满足用户的信息保护需要而制定的方案系统安全工程师要协助系统工程师制定解决方案,在安全方面协助解决方案(SolutionSets)NEEDSSystemExternalSystemExternalSystemExternalSystemSolutionSetNEED

3、SSystemExternalSystemExternalSystemExternalSystemSolutionSetNEEDSTargetSystemExternalSystemExternalSystemExternalSystemSolutionSet解决方案将用户需要映射到外部系统(已有)或者目标系统(待设计)解决方案(SolutionSets)在用户的参与下,最终将有一个解决方案被选定选定的解决方案,应该能够满足各个方面的用户需要,包括信息保护需要要由用户和系统工程师(系统安全工程师)合作选定解决方案目标系统

4、与外部系统解决方案中可以把用户需要(包括信息保护需要)分配给目标系统目标系统:本次系统工程要建设的系统解决方案中也可以把用户需要分配给外部系统外部系统:已有的系统,例如已运营的PKI系统外部系统外部系统是已存在的,与本次系统工程要设计的目标系统并存解决方案中定义了目标系统与外部系统的接口这是目标系统环境的一部分接口的定义主要由外部系统决定接口示例:访问外部数据库系统的IP地址、端口、认证协议、通信协议。目标系统对于目标系统,解决方案中定义了它的系统概念(SystemConcept),包括:系统环境(SystemConte

5、xt)初步的操作概念(PreliminaryCONOPS)系统需求,在安全方面表现为系统安全需求目标系统的“系统概念”TargetSystem(allsystemfunctions)ExternalSystemExternalSystemTargetSystem(allsystemfunctions)ExternalSystemExternalSystemSystemInterfaces系统概念是对目标系统的黑盒定义,并不涉及目标系统内部的架构(那是下一个工程阶段的事情)目标系统的系统概念的内容系统环境(SystemCo

6、ntext)系统安全环境(SystemSecurityContext)初步操作概念(PreliminaryCONOPS)系统需求(SystemRequirements)系统安全需求(SystemSecurityRequirements)系统概念>>系统环境定义系统(数据、应用、网络)的边界对于系统安全环境来说,就是系统安全边界如,需要认证用户才能访问的区域的边界定义与外部系统的接口对于系统安全环境来说,就是系统安全方面的对外接口如访问CA服务器的地址、端口、通信协议系统概念>>系统环境(续)将信息保护需要分配给目标系统或

7、外部系统IMM文档中的信息管理过程IPP中的信息保护需要分配给外部系统时,要争得外部系统拥有者的同意系统概念>>系统环境(续)识别目标系统和外部系统间的信息流与外界系统之间的信息流动过程例如访问外部系统的认证过程在安全方面,要考虑与这些信息流相关的保护需要,并由此确定怎样对信息流进行控制例如认证过程中数据加密,随机数的使用等系统概念>>初步操作概念从用户的角度,描述系统应该具有什么样的功能,以便支持用户的业务。初步的操作概念中,不定义StepbyStep的操作步骤在安全方面,初步操作概念中将从用户角度,描述系统应该具备什

8、么样的信息保护功能例如用户认为:系统应该能够防止重放攻击系统应确保信息不被无授权者获得系统应对所有外发的数据提供数据起源认证系统概念>>初步操作概念(续)操作概念中还定义了用户业务需要(信息保护需要)对外部系统的依赖关系,以及外部系统能够提供的(安全)服务例如,用户认证,依赖外部PKI系统(这意味着本系统不实现PKI

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。