信息系統(tǒng)安全工程管理淺析

1、信息系統(tǒng)安全工程管理淺析 1信息安全技術(shù)研究的重要性 隨著我國計算機網(wǎng)絡(luò)用戶的急劇增長，我國信息系統(tǒng)的安全面臨著嚴(yán)峻的考驗，近幾年來，不僅在我國，全球的信息系統(tǒng)安全問題層出不窮。而信息系統(tǒng)的安全問題不僅僅是個人和企業(yè)的問題，它還涉及到國家的安全、社會的公共安全等。因此，不斷加強信息安全技術(shù)的研究，提高我國信息系統(tǒng)的安全性和可靠性，十分迫切。針對嚴(yán)峻的信息系統(tǒng)安全現(xiàn)狀，目前普遍采用的方式主要有物理隔離、防火墻的建設(shè)、訪問者身份認(rèn)證、加密等，但是僅從這些方面去考慮還遠(yuǎn)遠(yuǎn)無法保證信息系統(tǒng)的安全。不斷加強信息系統(tǒng)安全建設(shè)方面的技術(shù)，不斷提高信息安全風(fēng)險的檢測和評估是提高信息系統(tǒng)安全的重要手段。 2ss

2、e-cmm模型 2.1sse-cmm模型的概述 sse-cmm（systemssecurityengineeringcapabilitymaturitymodel）模型的中文全稱是信息安全工程能力成熟度模型，該模型的主要任務(wù)就是評測和改進(jìn)整個信息安全系統(tǒng)整個生命周期當(dāng)中的安全工程活動，到目前為止，這個模型是信息系統(tǒng)安全工程領(lǐng)域當(dāng)中可靠性較高的針對性模型。 2.2基于過程的sse-cmm模型 基于過程的sse-cmm模型是從成熟框架cmm模型發(fā)展而來的，sse-cmm模型把信息系統(tǒng)中的安全工程劃分成三種不同的過程，分別是風(fēng)險過程、工程過程、信任度過程，sse-cmm模型對這三個過程中的關(guān)鍵過程域

3、以及其安全能力成熟度的等級進(jìn)行了定義。在這個模型中，圖b的橫軸指的是這個信息系統(tǒng)安全工程的過程域，縱軸是11個過程域的5個能力成熟度等級。根據(jù)這個模型的框架對整個信息系統(tǒng)安全工程中的風(fēng)險過程、工程過程、信任度過程都評定能力成熟度等級，此時得到的二維圖便能夠把信息系統(tǒng)工程隊伍實施信息系統(tǒng)安全工程的能力成熟度形象的反映出來，也能間接的將信息系統(tǒng)安全工程的可信度反映出來。采用sse-cmm模型對信息系統(tǒng)安全工程進(jìn)行風(fēng)險的評估，該模型所認(rèn)定的安全風(fēng)險事件包括了3個組成部分，分別是安全威脅、系統(tǒng)的脆弱性、風(fēng)險事件所造成的影響，在sse-cmm模型中，只有具備這三個要素才能稱之為信息系統(tǒng)工程安全風(fēng)險。ss

4、e-cmm模型中的安全機制就是把信息系統(tǒng)中的工程安全風(fēng)險控制在系統(tǒng)能夠接受的范圍之內(nèi)。sse-cmm模型所定義的風(fēng)險過程包括了評估威脅過程、評估系統(tǒng)脆弱性過程、評估風(fēng)險事件的影響過程、評估系統(tǒng)安全風(fēng)險過程。 3sse-cmm模型的構(gòu)建和應(yīng)用 3.1sse-cmm模型的構(gòu)建 根據(jù)上述sse-cmm模型的作用過程在信息系統(tǒng)安全工程中構(gòu)建sse-cmm模型的具體步驟如下所示。第一步，對信息系統(tǒng)的安全工程風(fēng)險進(jìn)行分析，進(jìn)行工程的風(fēng)險分析時，要從現(xiàn)行的信息系統(tǒng)工程的風(fēng)險入手，然后采取科學(xué)、先進(jìn)的風(fēng)險分析方法進(jìn)行風(fēng)險的分析。第二步，要確定目標(biāo)，及要明確信息系統(tǒng)安全工程所提出的系統(tǒng)安全要求，這個安全要求是信

5、息系統(tǒng)建設(shè)過程中、設(shè)計、建設(shè)、使用以及安全風(fēng)險評估和監(jiān)管的主要依據(jù)。第三步，對信息系統(tǒng)的二維視圖進(jìn)行描述，即需要明確的、簡潔的對信息系統(tǒng)中的安全系統(tǒng)進(jìn)行描述，談后根據(jù)描述給出信息安全系統(tǒng)的拓?fù)鋱D和邊界的劃分，邊界的劃分包括了系統(tǒng)的典型構(gòu)造、系統(tǒng)的應(yīng)用劃分等，并對系統(tǒng)內(nèi)的數(shù)據(jù)和需要保護(hù)的財產(chǎn)、系統(tǒng)的環(huán)境等進(jìn)行描述。第四步，建立信息安全系統(tǒng)的基線。第五步，制定相關(guān)的信息安全系統(tǒng)構(gòu)建策略，這些策略包括系統(tǒng)的物理安全策略、網(wǎng)絡(luò)完全策略、系統(tǒng)應(yīng)用安全策略等。第六步，對信息系統(tǒng)的安全工程建設(shè)進(jìn)行整體的設(shè)計，其中設(shè)計是必須保證信息系統(tǒng)安全系統(tǒng)的整體框架是全方位和綜合性的，并增強每個層次和劃分區(qū)域的安全防御能

6、力，從而實現(xiàn)一體化的信息安全系統(tǒng)。 3.2sse-cmm模型的應(yīng)用原則 第一，安全需求的基線。包括了用戶的安全需求、對系統(tǒng)安全具有影響的法律法規(guī)和政策等，保證系統(tǒng)的安全需求與法律和政策中的保持一致，并且保證用戶的需求與系統(tǒng)的安全需求保持一致。第二，安全輸入的基線。第三，協(xié)同安全的基線。第四，安全管理的基線。在安全管理基線方面包括以下幾點：一、要將信息系統(tǒng)的安全控制責(zé)任以文檔化的形式傳達(dá)給每位相關(guān)者；二、對于信息系統(tǒng)的安全控制有關(guān)的軟件配置進(jìn)行定義和管理；三、對用戶和管理人員進(jìn)行安全控制和管理的培訓(xùn)和宣教。第五，安全保證參數(shù)的基線。包括確定安全保證的目標(biāo)、制定相關(guān)的保證策略、對安全保證證據(jù)金屬分析等。 4結(jié)語 總之，針對我國現(xiàn)階段所面臨的信息系統(tǒng)安全工程問題，不僅要加強信息系統(tǒng)安全工程的管理，在技術(shù)方面也要進(jìn)行深入的研究，我國現(xiàn)階段的信息系統(tǒng)安全技術(shù)尚