信息系統(tǒng)安全工程管理淺析_第1頁
信息系統(tǒng)安全工程管理淺析_第2頁
信息系統(tǒng)安全工程管理淺析_第3頁
信息系統(tǒng)安全工程管理淺析_第4頁
全文預覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、信息系統(tǒng)安全工程管理淺析 1信息安全技術(shù)研究的重要性 隨著我國計算機網(wǎng)絡用戶的急劇增長,我國信息系統(tǒng)的安全面臨著嚴峻的考驗,近幾年來,不僅在我國,全球的信息系統(tǒng)安全問題層出不窮。而信息系統(tǒng)的安全問題不僅僅是個人和企業(yè)的問題,它還涉及到國家的安全、社會的公共安全等。因此,不斷加強信息安全技術(shù)的研究,提高我國信息系統(tǒng)的安全性和可靠性,十分迫切。針對嚴峻的信息系統(tǒng)安全現(xiàn)狀,目前普遍采用的方式主要有物理隔離、防火墻的建設、訪問者身份認證、加密等,但是僅從這些方面去考慮還遠遠無法保證信息系統(tǒng)的安全。不斷加強信息系統(tǒng)安全建設方面的技術(shù),不斷提高信息安全風險的檢測和評估是提高信息系統(tǒng)安全的重要手段。 2ss

2、e-cmm模型 2.1sse-cmm模型的概述 sse-cmm(systemssecurityengineeringcapabilitymaturitymodel)模型的中文全稱是信息安全工程能力成熟度模型,該模型的主要任務就是評測和改進整個信息安全系統(tǒng)整個生命周期當中的安全工程活動,到目前為止,這個模型是信息系統(tǒng)安全工程領(lǐng)域當中可靠性較高的針對性模型。 2.2基于過程的sse-cmm模型 基于過程的sse-cmm模型是從成熟框架cmm模型發(fā)展而來的,sse-cmm模型把信息系統(tǒng)中的安全工程劃分成三種不同的過程,分別是風險過程、工程過程、信任度過程,sse-cmm模型對這三個過程中的關(guān)鍵過程域

3、以及其安全能力成熟度的等級進行了定義。在這個模型中,圖b的橫軸指的是這個信息系統(tǒng)安全工程的過程域,縱軸是11個過程域的5個能力成熟度等級。根據(jù)這個模型的框架對整個信息系統(tǒng)安全工程中的風險過程、工程過程、信任度過程都評定能力成熟度等級,此時得到的二維圖便能夠把信息系統(tǒng)工程隊伍實施信息系統(tǒng)安全工程的能力成熟度形象的反映出來,也能間接的將信息系統(tǒng)安全工程的可信度反映出來。采用sse-cmm模型對信息系統(tǒng)安全工程進行風險的評估,該模型所認定的安全風險事件包括了3個組成部分,分別是安全威脅、系統(tǒng)的脆弱性、風險事件所造成的影響,在sse-cmm模型中,只有具備這三個要素才能稱之為信息系統(tǒng)工程安全風險。ss

4、e-cmm模型中的安全機制就是把信息系統(tǒng)中的工程安全風險控制在系統(tǒng)能夠接受的范圍之內(nèi)。sse-cmm模型所定義的風險過程包括了評估威脅過程、評估系統(tǒng)脆弱性過程、評估風險事件的影響過程、評估系統(tǒng)安全風險過程。 3sse-cmm模型的構(gòu)建和應用 3.1sse-cmm模型的構(gòu)建 根據(jù)上述sse-cmm模型的作用過程在信息系統(tǒng)安全工程中構(gòu)建sse-cmm模型的具體步驟如下所示。第一步,對信息系統(tǒng)的安全工程風險進行分析,進行工程的風險分析時,要從現(xiàn)行的信息系統(tǒng)工程的風險入手,然后采取科學、先進的風險分析方法進行風險的分析。第二步,要確定目標,及要明確信息系統(tǒng)安全工程所提出的系統(tǒng)安全要求,這個安全要求是信

5、息系統(tǒng)建設過程中、設計、建設、使用以及安全風險評估和監(jiān)管的主要依據(jù)。第三步,對信息系統(tǒng)的二維視圖進行描述,即需要明確的、簡潔的對信息系統(tǒng)中的安全系統(tǒng)進行描述,談后根據(jù)描述給出信息安全系統(tǒng)的拓撲圖和邊界的劃分,邊界的劃分包括了系統(tǒng)的典型構(gòu)造、系統(tǒng)的應用劃分等,并對系統(tǒng)內(nèi)的數(shù)據(jù)和需要保護的財產(chǎn)、系統(tǒng)的環(huán)境等進行描述。第四步,建立信息安全系統(tǒng)的基線。第五步,制定相關(guān)的信息安全系統(tǒng)構(gòu)建策略,這些策略包括系統(tǒng)的物理安全策略、網(wǎng)絡完全策略、系統(tǒng)應用安全策略等。第六步,對信息系統(tǒng)的安全工程建設進行整體的設計,其中設計是必須保證信息系統(tǒng)安全系統(tǒng)的整體框架是全方位和綜合性的,并增強每個層次和劃分區(qū)域的安全防御能

6、力,從而實現(xiàn)一體化的信息安全系統(tǒng)。 3.2sse-cmm模型的應用原則 第一,安全需求的基線。包括了用戶的安全需求、對系統(tǒng)安全具有影響的法律法規(guī)和政策等,保證系統(tǒng)的安全需求與法律和政策中的保持一致,并且保證用戶的需求與系統(tǒng)的安全需求保持一致。第二,安全輸入的基線。第三,協(xié)同安全的基線。第四,安全管理的基線。在安全管理基線方面包括以下幾點:一、要將信息系統(tǒng)的安全控制責任以文檔化的形式傳達給每位相關(guān)者;二、對于信息系統(tǒng)的安全控制有關(guān)的軟件配置進行定義和管理;三、對用戶和管理人員進行安全控制和管理的培訓和宣教。第五,安全保證參數(shù)的基線。包括確定安全保證的目標、制定相關(guān)的保證策略、對安全保證證據(jù)金屬分析等。 4結(jié)語 總之,針對我國現(xiàn)階段所面臨的信息系統(tǒng)安全工程問題,不僅要加強信息系統(tǒng)安全工程的管理,在技術(shù)方面也要進行深入的研究,我國現(xiàn)階段的信息系統(tǒng)安全技術(shù)尚

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論