信息安全工程介绍PPT课件下载

这是一个关于信息安全工程介绍PPT课件，主要介绍了工程质量保证、系统工程过程、ISSE、SSE—CMM等内容。第三章 信息安全工程方法学北京电子科技学院 信息安全工程应用工程质量保证对于一个成熟的安全工程组织而言，工程过程的质量，直接关系到用户对工程的信心。目前对工程过程的评估是通过对工程能力进行评估的方式来进行的。在这方面最为著名的评估标准是SSE-CMM。 Contents 参考文献 Systems Security Engineering Capability Maturity Model (SSE-CMM), Version 3.0, Jun.15, 2003 3.3 SSE-CMM 3.3 SSE-CMM 3.3.1 SSE-CMM概述基本概念 SSE-CMM：系统安全工程能力成熟度模型 Systems Security Engineering Capability Maturity Model 基本概念（续） SSE-CMM描述了一个组织的安全工程过程必须包含的基本特性，这些特性是完善安全工程的保证，也是信息安全工程实施的度量标准，同时还是一个易于理解的评估系统安全工程的框架，欢迎点击下载信息安全工程介绍PPT课件哦。

信息安全工程介绍PPT课件是由红软PPT免费下载网推荐的一款学校PPT类型的PowerPoint.

第三章 信息安全工程方法学北京电子科技学院 信息安全工程应用工程质量保证对于一个成熟的安全工程组织而言，工程过程的质量，直接关系到用户对工程的信心。目前对工程过程的评估是通过对工程能力进行评估的方式来进行的。在这方面最为著名的评估标准是SSE-CMM。 Contents 参考文献 Systems Security Engineering Capability Maturity Model (SSE-CMM)， Version 3.0， Jun.15， 2003 3.3 SSE-CMM 3.3 SSE-CMM 3.3.1 SSE-CMM概述基本概念 SSE-CMM：系统安全工程能力成熟度模型 Systems Security Engineering Capability Maturity Model 基本概念（续） SSE-CMM描述了一个组织的安全工程过程必须包含的基本特性，这些特性是完善安全工程的保证，也是信息安全工程实施的度量标准，同时还是一个易于理解的评估系统安全工程的框架。基本概念（续） SSE-CMM对安全工程做了全方位刻画：获取对企业中安全风险的理解获取安全需求将安全需求转换成安全指南在正确有效的安全机制下建立信心和保证判断系统中是否存在可接受的风险将所有工程过程和专业活动集成为一个对系统安全可信性的综合理解发展历史 April 93-December 94 预研（NSA） January 95 1st公共会议，工作组成立 March 95 1st工作组会议 Summer/Fall 96 SSE-CMM 实验项目 October 96 SSE-CMM v1.0 Spring 97 评定方法v1.0 Summer 97 SSE-CMM v1.1，评定方法v1.1 14-17 July 97 2nd公共会议 April 1999 SSE-CMM v2.0，评定方法v2.0 March 2002 被ISO接受为ISO/IEC 21827 June 2003 SSE-CMM v3.0 宗旨和目标 SSE-CMM宗旨信息安全建设中需要有一个清晰定义的、成熟的且可测量的要求。 SSE-CMM目标通过区分投标者的能力级别和相关的计划风险来选择合格的安全工程提供商；有利于工程组把投资集中在安全工程工具、培训、过程定义、管理实施和改进上；提供基于能力的保障，也就是说，用户可以基于对工程组安全工程实践和过程的成熟度而确保信心。 适用对象工程组织（Engineering Organization）获取组织（Acquiring Organization）评估组织（Evaluation Organization） 3.3 SSE-CMM 3.3.2 SSE-CMM体系结构基本概念过程（Process）为了达到某一给定目标而执行的一系列活动，这些活动可以重复、递归和并发地执行。 过程域（Process Area，PA）由一些基本实施（Base Practices，BP）组成，这些BP共同实施以达到PA的目标。 SSE-CMM包含三类过程域：工程、项目和组织。 基本概念（续）工作产品（Work Product）执行任何过程时产生的所有文档、报告、文件和数据。 过程能力（Process Capability）是通过跟踪一个过程能达到预期结果的可量化范围。组织的过程能力可帮助组织预见项目达到目标的能力。 信息安全工程过程 SSE-CMM并不定义各过程域在系统安全工程生命周期中出现的顺序。过程域实际上是依照过程域名的英文字母顺序来编号的。每个过程域包括一组集成的BP。 BP定义了实现过程域目标的必要活动，代表业界的最佳惯例。每个BP都规定了工作产品。 信息安全工程过程（续） SSE-CMM将安全工程划分为三类基本的过程域组： 风险 工程 保证 基本模型 基本实施和过程域 11个安全工程过程域 11个项目和组织过程域 过程域描述格式 PA01——过程域名 概述——对该过程域的概括介绍 目标——实施该过程域期望达到的目标 基本实施列表——说明每一个基本过程的序号和名 称 过程域注解——对该过程域的其它说明 BP.01.01——基本实施名 描述性名字——对该基本实施的一句描述 描述——对该基本实施的概括 工作成果示例——列出了所有可能的输出 注解——关于该基本实施的任何其它的注解 BP.01.02…… 过程域举例 PA05 评估脆弱性 概述评估安全脆弱性的目的在于标识和描述系统的安全脆弱性。本过程域包括分析系统资产、定义具体的脆弱性以及对整个系统的脆弱性进行评估。…… 目标获得对一给定环境中系统安全脆弱性的理解。 过程域举例（续） PA05 评估脆弱性 基本实施清单 BP05.01 选择脆弱性评估方法 BP05.02 标识系统安全脆弱性 BP05.03 收集与脆弱性属性有关的数据 BP05.04 评估系统脆弱性 BP05.05 监视脆弱性及其特征的变化 过程域注解 …… 过程域举例（续） BP05.01 选择脆弱性分析方法描述 本基本实施包括定义系统的脆弱性分析方法，以对安全脆弱性进行标识和描述。…… 工作结果示例 脆弱性分析方法——讨论系统安全脆弱性的分析方法。脆弱性分析格式——描述脆弱性分析结果的格式。攻击方法学及其原理——实施攻击测试的目标和方法。攻击过程——实施攻击测试的详细步骤。攻击计划——资源、时间进度和攻击方法描述。渗透研究——为标识已知或未知的脆弱性而采取的攻击方法和实施概要。攻击概要——描述将要实施的具体攻击。注解 …… 通用实施、公共特征与能力级别通用实施、公共特征、能力级别的关系 5个能力级别及其包含的公共特征第一级：非正式执行该级将关注一个机构或项目是否执行了包含基本实施过程的安全工程。该级别的特点可以描述为“你必须首先做它，然后才能管理它”。 在本级别，过程域中的基本实施通常已得到了执行。但这些基本实施的执行可能未经过严格的计划和跟踪，而是基于个人的知识和努力。第二级：计划和跟踪该级将关注项目层面的定义、规划和执行问题。该级别的特点可描述为“在定义机构层面的过程之前，先要理解项目的相关事项”。 在本级别上，基本实施的执行要经过规划并被跟踪。执行时要依据具体的流程，并应得到验证。工作结果要符合特定的标准和需求。执行情况还要经过测量，以使机构能够基于这些执行而管理其活动。它与非正式执行级的主要区别是过程的实施要经过规划和管理。 第三级：充分定义该级将关注于在机构层面上从既定过程中实施已融合了各个专业领域知识的裁剪结果。该级别的特点可描述为“用项目中学到的最好的东西来创建机构层面的过程”。 在本级别，基本实施应按照充分定义的过程来执行，执行过程中将使用已获批准的、经裁剪的标准。本级与第2级“计划和跟踪级”的主要区别在于本级将利用机构范围内的标准化过程来规划和管理安全工程过程。 第四级：量化控制该级将关注于测量，它是与机构的业务目标紧密联系在一起的。这个级别的特点可以描述为“只有你知道它是什么，你才能测量它”以及“当你测量正确的对象时，基于测量的管理才有意义”。 对过程执行情况的详细测量将在本级中进行收集和分析。这将形成对过程能力的量化理解，使机构有能力去预测过程的执行。本级中，过程执行的管理是客观的，工作结果的质量是量化的。本级与充分定义级的主要区别在于所定义的过程是可量化理解和控制的。 第五级：连续改进该级将从此前各级的所有管理活动中获得最大的收益，并强调机构的文化，以保持所取得的成果。该级别的特点可以描述为“一个持续改进的文化需要以良好的管理措施、既定过程和可测量的目标为基础”。在本级别，有关工程过程效果和效率的量化执行目标已经基于机构的业务目标而建立。过程的执行以及试验性的新概念和新技术产生了量化反馈，从而使基于这些目标的连续的过程改进得到了实现。本级与量化控制级的主要区别在于，在本级中，基于对这些过程变化效果的量化理解，工程中既定过程和标准过程将得到不断的改进和提高。 能力级别的描述格式能力级别举例能力级别2 —— 计划和跟踪 概述在本级别上，基本实施的执行要经过规划并被跟踪。 …… 公共特征清单该能力级别包含如下公共特征：公共特征2.1 — 规划执行公共特征2.2 — 规范化执行公共特征2.3 — 验证执行公共特征2.4 — 跟踪执行 能力级别举例（续）公共特征2.1 — 规划执行 概述本公共特征中的通用实施的重点在于对基本过程的实施进行规划。 …… 通用实施清单 该公共特征包含如下通用实施： GP2.1.1 —分配资源 GP2.1.2 —分配责任 GP2.1.3 —文档化过程 GP2.1.4 —提供工具 GP2.1.5 —确保培训 GP2.1.6 —规划过程 能力级别举例（续） GP2.1.1 —分配资源描述为过程域的执行提供充分的资源（包括人）。 注解关系关键资源的标识在过程域PA16“规划技术活动”中进行。 3.3 SSE-CMM 理解SSE-CMM的应用选择一个适合机构业务或任务的一个过程域；查看该过程域的描述、目标及所包含的BP；查看机构中是否有在执行该过程域包含的所有BP；查看该过程域的目标是否得到了满足；在相应的公共特征1.1处上做标记；查看公共特征2.1中的描述和所包含的GP ；对照公共特征2.1中的GP，查看机构是否正在计划执行所选择的过程域；如果步骤（7）得到满足，在公共特征2.1处做上标记，如未满足，则跳至步骤（10） ；对照第二级中的其他每一个公共特征，分别重复步骤6~8 ；对每一个过程域，重复步骤2~9。所有PA的能力成熟度综合图理解SSE-CMM的应用 SSE-CMM为每个能力级别定义了一个或多个公共特征。只有在所有这些公共特征都得到满足时，过程才达到了对应的能力级别。工程组织可以根据系统安全工程项目的实际需求有选择地执行某些过程域而不是全部过程域。 工程组织应当针对每个过程域为自己评级，各过程域上的能力级别可能不同，这为工程组织过程能力的改善提供了方向。 3.3.5 SSE-CMM的应用 SSE-CMM通常可用在三个方面：过程改进能力评估保证 IDEAL模型 3.3 SSE-CMM 3.3.6 SSE-CMM与其他信息安全标准的比较 SSE-CMM与CC SSE-CMM与BS7799 SSE-CMM与其它 SSE-CMM与CC SSE-CMM与BS 7799 SSE-CMM与其他 补充（SSAM）补充（SSAM） SSAM的概念 SSAM：SSE-CMM Appraisal Method 作为专门基于SSE-CMM的评估方法。包含评估一个信息安全工程组织的工程过程能力和成熟度所必需的信息及指南。可用于组织级评估，也可用于项目级的评估。 SSAM使用多重数据采集方法获得被评估组织或项目中所实施过程的相关信息采集途径：问卷调查、人员访谈、证据分析 补充（SSAM） SSAM的参与者 SSAM的参与者包括：发起组织评估组织被评估组织 补充（SSAM）评估类型补充（SSAM）评估阶段作业题qQH红软基地

大数据信息安全ppt：这是大数据信息安全ppt，包括了大数据研究概述，大数据带来的安全挑战，大数据安全的关键技术，大数据服务与信息安全等内容，欢迎点击下载。

关于2016信息安全的ppt：这是关于2016信息安全的ppt，包括了计算机病毒，认识计算机病毒，如何才能预防计算机病毒，做一个文明的上网人，小知识，总结等内容，欢迎点击下载。

大数据与信息安全ppt：这是大数据与信息安全ppt，包括了大数据概念与典型应用现状，大数据发展趋势与关键技术，芯片安全技术，可信计算技术等内容，欢迎点击下载。