返回
信息安全工程实施

信息安全工程实施

ID:42340559

大小:861.50 KB

页数:179页

时间:2019-09-13

信息安全工程实施_第1页
信息安全工程实施_第2页
信息安全工程实施_第3页
信息安全工程实施_第4页
信息安全工程实施_第5页
资源描述:

《信息安全工程实施》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第四章信息安全工程实施4.1概述4.2安全规划与控制4.3安全需求的定义4.4安全设计支持4.5安全运行分析4.6生命周期安全支持4.7信息安全工程的过程4.1概述通过前面章节的学习,我们知道信息安全工程是采用工程的概念、原理、技术和方法,来研究、开发、实施与维护信息系统安全的过程,是将经过时间考验证明是正确的工程实施流程、管理技术和当前能够得到的最好的技术方法相结合的过程。4.1.1信息安全工程的重要性1)信息系统大量用于政府、国防、民用部门和个人;2)信息系统存在弱点和漏洞,使用者存在偶然或故意的违规操作行为,使得信息系统资源随着访问的增加而增加了被非法访问或使用的可能性。

2、3)技术的发展使得信息系统的获取方式正逐渐从专用系统向集成商用现货设备和政府现货设备的新方向转移。4.1.2信息安全工程与系统工程的关系信息安全工程并不是一个独立的过程,它依赖并支持系统工程和获取过程,而且是获取过程不可分割的一部份。信息安全工程过程的目标是提供一个框架。每个工程项目都可以对这个框架进行裁剪以符合自己特定的需求。4.1.2信息安全工程与系统工程的关系信息安全工程是系统安全工程(SSE,SystemSecurityEngineering)、系统工程(SE,SystemEngineering)和系统获取(SA,SystemAcquisition)在信息系统安全方面的

3、具体体现。4.1.2信息安全工程与系统工程的关系信息安全工程是对系统工程的一种约束,它需要逐步获得发展,并对集成的、生命周期均衡的、满足客户信息系统安全需求的一系列系统产品和过程进行验证的解决方案。信息安全工程列出系统的安全风险,并使这些风险减至最少或得到控制。信息安全工程的贡献信息安全工程对安全特性的贡献如下图所示:信息安全工程的有关活动及其贡献安全风险管理生存周期安全支持安全操作分析和支持安全策划分析和控制系统安全需求分析和确定安全设计支持安全开发集成系统安全性验证信息安全工程对安全特性的贡献4.1.3信息安全工程的生命周期基本信息安全工程的生命周期和执行如下图所示,信息安

4、全工程小组参与下列活动:系统总体规划,分析和控制,要求分析,设计,开发/集成,验证,运行和对有安全需求的系统提供生命期支持。4.1.3信息安全工程的生命周期在过程中间阶段的前期,信息或概念得到实现、验证并证实有效之后即投入长久的运行使用;在过程中期阶段的后期,信息或概念被使用、支持,并在必要时得到修改,最后进行部署。4.1.3信息安全工程的生命周期信息安全工程过程包括了一系列与系统工程的各个阶段和事件相对应的安全工程功能。各种功能间的相互协调是反复运用下图的基本过程来实现的。下图中的每一竖格代表生命周期的一个阶段,每一横格代表了一个基本的信息安全工程功能。该图中两者的纵横交叉表

5、明在系统的任一阶段,信息安全工程的任何一个功能都应考虑到。先期概念概念要求系统设计初步设计详细设计实现和测试配置追踪运行和支持系统工程的各个阶段安全规划控制安全需求定义安全设计支持安全运行分析生命期安全支持信息安全工程功能任务需求说明可选系统评审系统需求评审系统功能评审初步设计评审关键设计评审系统验证评审物理配置评审系统事件安全风险管理4.1.3信息安全工程的生命周期虽然不同项目中的每一个阶段所花时间和精力可能不同,但一般统计情况是大量的精力花在生命期开发之后,花在系统的运行和支持阶段,花在大大小小的修改当中。4.1.3信息安全工程的生命周期上图的信息安全基本功能的活动包括:(

6、1)对安全活动进行规划和控制;(2)安全需求定义;(3)安全设计支持(包括顶层体系定义和对详细设计实现的支持);(4)安全运行分析;(5)生命期安全支持;(6)安全风险管理。4.1.3信息安全工程的生命周期在系统获取和系统工程生命期的每一个阶段和事件中,以上活动都是并行的,同时各个活动之间是互相影响的。每个信息安全工程功能至少有以下三种模式:为功能实现做准备;实现功能;当系统发生变动时或有新情况出现时,对功能作出相应的改动。4.2安全规划与控制系统和安全项目的管理与规划活动,开始于一个机构从业务角度决定承担该工程的时候。它们是信息安全工程过程的基本部分,因此要求它们必须成功。如

7、果安全规划做得好,就能够为系统把安全需求转换为有效的设计与实现提供坚实的基础。4.2安全规划与控制一项重要的早期活动就是要组成恰当的多学科信息安全工程小组,以便将相关学科综合和协调到规划中去。这包括在较广泛的系统工程小组内确定信息安全工程的需求,并针对这些需求来组建信息安全工程小组。4.2.1商业决策和工程规划在商业规划和决策中,首席信息安全工程师首先阅读现有程序性文件,并与客户就可能的小组安排和支持需求进行讨论,然后据此准备一份参与该项目的小组人员配备预案。4.2.1商业决策和工程规划信息

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。