本文共 2257 字，大约阅读时间需要 7 分钟。

信息安全系统工程概述

信息系统：业界称呼信息应用系统、信息应用管理系统、管理信息系统等，简称为MIS。

传统的信息应用系统明确的分为两个部分：信息安全系统和业务应用系统。

信息系统工程分为：信息安全系统工程和业务应用系统工程。

业务应用信息系统：支撑业务运行的计算机应用信息系统

信息安全系统：保障业务应用信息系统正常运营

信息安全系统工程的内涵

研究信息安全系统工程的必要性：因为信息安全问题越来越突出。

信息安全系统是为了支撑业务应用信息系统，在开发周期中是同步进行，但是信息安全系统一般情况下不允许外单位人员参与。

信息安全系统的主要目标：

1.获得对企业安全风险的理解

2.根据易识别的安全风险建立一组平衡的安全需求

3.将安全需求转换成安全的策略，成为信息系统建设基本原则，并落实到项目实施的各个科目活动、系统配置或运行的定义中

4.通过正确有效的安全机制建立抵御安全威胁和保证系统正常运营

5.动态监测和判断系统中与系统运行时出现的安全隐患和突发事件，及时按预定方案，启动基金事故处理程序进行跟踪和处理，遏制危险发生和蔓延，将系统损失控制在可控范围内。

6.将所有科目和专业活动继承为一个具有共识的系统安全可信性工程

与信息安全系统工程有关的组织：1.业主及客户；2.集成商；3.信息安全专家与顾问委员会；4.安全产品开发者和经营者；5.密码及密码产品运行许可权批准者；6.可信第三方；7.紧急事故应急处理中心；8.安全评估组织；9.咨询服务组织

信息安全系统工程活动的内容：1.风险评估；2.策略制定；3.需求确定；4.组织和培训；5.岗位、制度、系统运营策划和管理；6.系统总体设计；7.系统详细设计；8.系统设备选型；9.系统工程招投标；10.密钥密码机制确定；11.资源界定和授权；12.实施系统中期防泄密问题和中后期的系统安全测试、运营、维护的安全管理；13.淘汰和报废安全处理

信息安全系统工程活动相关的工程：1.硬件工程；2.软件工程；3.通信及网络工程；4.数据存储和灾备工程；5.系统工程；6.测试工程；7.密码工行；8.企业信息化工程

信息安全系统工程学科相关的安全科目：1.物理安全；2.计算机安全；3.网络安全；4.通信安全；5.输入/输出产品的安全；6.操作系统安全；7.数据库系统安全；8.数据安全；9.信息审计安全；10.人员安全；11.管理安全；12.辐射安全

ISSE-CMM基础

ISSE-CMM：信息安全系统工程能力成熟度模型，一种衡量信息安全系统工程实施能力的方法，是面向工程过程的一种方法。它主要用于指导信息安全系统工程的完善和改进。

ISSE-CMM的主要概念术语：

1.过程：一个过程指为了达到某一给定目标而执行的一系列活动，这些活动可以是重复、递归、并发地执行。

2.过程区：由一些基本实施组成的，由这些实施共同达到该过程区规定的目标。

3.工作产品：在执行任何过程中产生的所有文档、报告、文件和数据

4.过程能力：通过跟踪一个过程达到期望结果的可量化范围

ISSE过程：为了使信息安全系统具有可实现性和有效性，需要把信息安全系统集成到信息系统生命周期的实施过程中，与业务需求、环境需求、项目计划、成本效益、国家和地方政策、标准、指令保持一致性，能够确认、评估、消除已知或假定的安全威胁可能引起的系统威胁，最终得到一个可以接受的安全风险等级的过程。

信息安全系统工程（ISSE）是对信息安全系统需求的一种约束：它需要逐步获得发展，是对集成、生命周期均衡、满足客户信息安全系统需求的一系列系统产品和过程进行验证的解决方案。

在系统工程的每个阶段都要使用ISSE过程的目的：1.将用户的有效安全需求转换成一组声明周期均衡的系统产品和过程的安全解决方案；2.将信息安全工程和其他学科的技术问题综合起来，满足项目的安全目标；3.是系统需求的所有功能和物理接口有关的信息安全问题得到处理；4.对安全风险进行识别、定义、分级，找出解决方案。

ISSE-CMM主要适用于：工程组织、获取组织、评估组织

ISSE-CMM将信息安全系统工程实施过程分解为：风险过程、工程过程、保证过程。

ISSE-CMM描述风险过程，包括实施组织对威胁、脆弱性、影响和相关风险现进行分析的活动保证。

ISSE-CMM强调信息安全系统工程是一个大项目队伍中的组成部分，需要与其他科目工程的活动相互协调。

ISSE-CMM的可信程度源于信息安全系统工程实施过程可重复性的结果质量。

保证过程是指安全需求得到满足的可信程度。安全保证是用来提高减少预期安全风险的信心。

ISSE-CMM有助于用较低的成本重复地生产较高质量和安全保证的产品。

ISSE-CMM的体系结构

ISSE-CMM体系结构完全适应整个信息安全系统工程范围内决定信息安全工程组织的成熟性。模型采用二维设计，一维是“域”，另一维是“能力”。

ISSE-CMM包含了五个基本级别：

1.第一级：非正规实施级，“必须先做它，然后才能管理它”

2.第二级：规划和跟踪级，“在定义组织层面的过程之前，先要弄清楚与项目相关的事项”

3.第三级：充分定义级，“用项目中学到的最好的东西来定义组织层面的过程”

4.第四级：量化控制级，“只要知道它是什么，才能测量它”和“当被测量的对象正确时，基于测量的管理才有意义”

5.第五级：持续改进级，“持续性改进的文明需要以完备的管理实施、已定义的过程和可测量的目标作为基础”

选择性考察，客观性考察

转载地址：http://iwvdi.baihongyu.com/