信息安全工程基礎(chǔ)理論

1、信息安全工程基礎(chǔ)理論課程內(nèi)容信息安全工程基礎(chǔ)理論信息安全工程基礎(chǔ)理論簡(jiǎn)介信息安全工程概述學(xué)習(xí)目標(biāo)了解信息安全工程的基本概念掌握系統(tǒng)安全工程能力成熟度模型（SSE-CMM），能應(yīng)用SSE-CMM指導(dǎo)開(kāi)展信息安全工程建設(shè)、改進(jìn)安全服務(wù)質(zhì)量3知識(shí)域：信息安全工作理論背景知識(shí)域：信息安全工程基礎(chǔ)知識(shí)子域： 信息安全工程概述了解信息安全工程的重要性和意義（政策要求和案例）了解信息安全工程的基本原則了解系統(tǒng)工程、項(xiàng)目管理、質(zhì)量管理、能力成熟度基本概念4信息安全工程概述信息安全工程是信息安全保障的重要組成部分，但是卻被廣泛忽視等級(jí)保護(hù)技術(shù)、管理傳統(tǒng)風(fēng)險(xiǎn)評(píng)估資產(chǎn)威脅脆弱性從普通管理者的角度看信息安全狀況是“重

2、技術(shù)、輕管理”；從一般安全人員看信息安全是“重應(yīng)用、輕安全”；從專(zhuān)業(yè)人員的角度看信息安全的狀況是“重要素、輕過(guò)程”，情況更嚴(yán)重。信息安全工程就是要解決信息系統(tǒng)生命周期的“過(guò)程安全”問(wèn)題5信息化建設(shè)中的案例A公司開(kāi)展家用電話自助刷卡支付業(yè)務(wù)用戶(hù)可以通過(guò)其網(wǎng)站查詢(xún)個(gè)人付款信息第三方安全測(cè)平發(fā)現(xiàn)該網(wǎng)站存在SQL注入漏洞，可以泄露用戶(hù)交易信息6信息化建設(shè)中的案例（續(xù)）當(dāng)初外包開(kāi)發(fā)此網(wǎng)站的公司已經(jīng)倒閉A公司技術(shù)人員對(duì)網(wǎng)站系統(tǒng)開(kāi)發(fā)情況不了解，沒(méi)有能力消除該漏洞。公司董事會(huì)研究最終決定，為保護(hù)用戶(hù)隱私，暫時(shí)不再為用戶(hù)提供網(wǎng)上交易信息查詢(xún)服務(wù)！7需要牢記在心的原則信息安全工程是信息化建設(shè)必要的有機(jī)組成部分信息

3、安全建設(shè)必須同信息化建設(shè)“同步規(guī)劃、同步實(shí)施” “重功能、輕安全”，“先建設(shè)、后安全”都是信息化建設(shè)的大忌信息安全工程是信息安全保障工作中不可或缺的環(huán)節(jié)8支撐信息安全工程的理論基礎(chǔ)系統(tǒng)工程思想項(xiàng)目管理方法質(zhì)量管理體系能力成熟度模型9什么是系統(tǒng)工程錢(qián)學(xué)森：“系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、試驗(yàn)、使用的科學(xué)方法，是一種對(duì)所有系統(tǒng)都具有普遍意義的科學(xué)方法”系統(tǒng)工程不是基本理論，也不屬于技術(shù)實(shí)現(xiàn)，而是一種方法論系統(tǒng)工程不同于一般的工程技術(shù)學(xué)科，如水利工程、機(jī)械工程等“硬”工程；系統(tǒng)工程偏重于工程的組織與經(jīng)營(yíng)管理一類(lèi)“軟”科學(xué)的研究一個(gè)系統(tǒng)的功能由要素結(jié)構(gòu)環(huán)境組成，在要素和環(huán)境不變的情況下就要在

4、結(jié)構(gòu)上下功夫10系統(tǒng)工程基礎(chǔ)霍爾三維結(jié)構(gòu)圖系統(tǒng)指標(biāo)設(shè)計(jì)知識(shí)維（專(zhuān)業(yè)、行業(yè)）邏輯維（工作步驟）時(shí)間維（階段、進(jìn)程）工程技術(shù)醫(yī)學(xué)社會(huì)科學(xué)規(guī)劃計(jì)劃系統(tǒng)開(kāi)發(fā)制造安裝運(yùn)行更新明確問(wèn)題系統(tǒng)綜合系統(tǒng)分析決策最優(yōu)化實(shí)施計(jì)劃11項(xiàng)目管理所謂項(xiàng)目管理，就是項(xiàng)目的管理者，在有限的資源約束下，運(yùn)用系統(tǒng)的觀點(diǎn)、方法和理論，對(duì)項(xiàng)目涉及的全部工作進(jìn)行有效地管理。即從項(xiàng)目的投資決策開(kāi)始到項(xiàng)目結(jié)束的全過(guò)程進(jìn)行計(jì)劃、組織、指揮、協(xié)調(diào)、控制和評(píng)價(jià)，以實(shí)現(xiàn)項(xiàng)目的目標(biāo)。可以說(shuō)項(xiàng)目管理是系統(tǒng)工程思想針對(duì)具體項(xiàng)目的實(shí)踐應(yīng)用。12質(zhì)量管理基本概念質(zhì)量質(zhì)量指產(chǎn)品或服務(wù)，滿(mǎn)足規(guī)定或需要的特征。它既包括有形產(chǎn)品也包括無(wú)形產(chǎn)品；既包括產(chǎn)品內(nèi)在的特性

5、、也包括產(chǎn)品外在的特性。即包括了產(chǎn)品的適用性和符合性的全部?jī)?nèi)涵。質(zhì)量控制（QC）是對(duì)生產(chǎn)的全部過(guò)程加以控制，是面的控制，不是點(diǎn)的控制。為保證產(chǎn)品過(guò)程或服務(wù)質(zhì)量，必須采取一系列的作業(yè)、技術(shù)、組織、管理等有關(guān)活動(dòng)，這些都屬于質(zhì)量控制的范疇 質(zhì)量管理（QM）質(zhì)量管理是指為了實(shí)現(xiàn)質(zhì)量目標(biāo)，而進(jìn)行的所有管理性質(zhì)的活動(dòng)。 在質(zhì)量方面的指揮和控制活動(dòng)，通常包括制定質(zhì)量方針和質(zhì)量目標(biāo)以及質(zhì)量策劃、質(zhì)量控制、質(zhì)量保證和質(zhì)量改進(jìn)。13質(zhì)量管理規(guī)范和主要內(nèi)容ISO9000族標(biāo)準(zhǔn)并不是產(chǎn)品的技術(shù)標(biāo)準(zhǔn)，而是針對(duì)組織的管理結(jié)構(gòu)、人員、技術(shù)能力、各項(xiàng)規(guī)章制度、技術(shù)文件和內(nèi)部監(jiān)督機(jī)制等一系列體現(xiàn)組織保證產(chǎn)品及服務(wù)質(zhì)量的管理措

6、施的標(biāo)準(zhǔn)。 具體地講ISO9000族標(biāo)準(zhǔn)就是在以下四個(gè)方面規(guī)范質(zhì)量管理： 1.機(jī)構(gòu)：標(biāo)準(zhǔn)明確規(guī)定了為保證產(chǎn)品質(zhì)量而必須建立的管理機(jī)構(gòu)及職責(zé)權(quán)限。 2.程序：組織的產(chǎn)品生產(chǎn)必須制定規(guī)章制度、技術(shù)標(biāo)準(zhǔn)、質(zhì)量手冊(cè)、質(zhì)量體系、操作檢查程序，并使之文件化。 3.過(guò)程：質(zhì)量控制是對(duì)生產(chǎn)的全部過(guò)程加以控制，是面的控制，不是點(diǎn)的控制。從根據(jù)市場(chǎng)調(diào)研確定產(chǎn)品、設(shè)計(jì)產(chǎn)品、采購(gòu)原材料，到生產(chǎn)、檢驗(yàn)、包裝和儲(chǔ)運(yùn)等，其全過(guò)程按程序要求控制質(zhì)量。并要求過(guò)程具有標(biāo)識(shí)性、監(jiān)督性、可追溯性。 4.總結(jié)：不斷地總結(jié)、評(píng)價(jià)質(zhì)量管理體系，不斷地改進(jìn)質(zhì)量管理體系，使質(zhì)量管理呈螺旋式上升。 14能力成熟度模型的概念CMM Capability Maturity Model現(xiàn)代統(tǒng)計(jì)過(guò)程控制理論表明通過(guò)強(qiáng)調(diào)生產(chǎn)過(guò)程的高質(zhì)量和在過(guò)程中組織實(shí)施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品；所有成功企業(yè)的共同特點(diǎn)是都具有一組嚴(yán)格定義、管理完善、可測(cè)可控從而高度有效的業(yè)務(wù)過(guò)程；CMM模型抽取了這樣一組好的工程實(shí)踐并定義了過(guò)程的“能力”；15能力成熟度模型的應(yīng)用CMM能力成熟模型SW-CMM軟件能力成熟