這是一個關于信息安全工程介紹PPT課件，主要介紹了工程質(zhì)量保證、系統(tǒng)工程過程、ISSE、SSE—CMM等內(nèi)容。第三章 信息安全工程方法學北京電子科技學院 信息安全工程應用工程質(zhì)量保證對于一個成熟的安全工程組織而言，工程過程的質(zhì)量，直接關系到用戶對工程的信心。目前對工程過程的評估是通過對工程能力進行評估的方式來進行的。在這方面最為著名的評估標準是SSE-CMM。 Contents 參考文獻 Systems Security Engineering Capability Maturity Model (SSE-CMM), Version 3.0, Jun.15, 2003 3.3 SSE-CMM 3.3 SSE-CMM 3.3.1 SSE-CMM概述基本概念 SSE-CMM：系統(tǒng)安全工程能力成熟度模型 Systems Security Engineering Capability Maturity Model 基本概念（續(xù)） SSE-CMM描述了一個組織的安全工程過程必須包含的基本特性，這些特性是完善安全工程的保證，也是信息安全工程實施的度量標準，同時還是一個易于理解的評估系統(tǒng)安全工程的框架，歡迎點擊下載信息安全工程介紹PPT課件哦。

信息安全工程介紹PPT課件是由紅軟PPT免費下載網(wǎng)推薦的一款學校PPT類型的PowerPoint.

第三章 信息安全工程方法學北京電子科技學院 信息安全工程應用工程質(zhì)量保證對于一個成熟的安全工程組織而言，工程過程的質(zhì)量，直接關系到用戶對工程的信心。目前對工程過程的評估是通過對工程能力進行評估的方式來進行的。在這方面最為著名的評估標準是SSE-CMM。 Contents 參考文獻 Systems Security Engineering Capability Maturity Model (SSE-CMM)， Version 3.0， Jun.15， 2003 3.3 SSE-CMM 3.3 SSE-CMM 3.3.1 SSE-CMM概述基本概念 SSE-CMM：系統(tǒng)安全工程能力成熟度模型 Systems Security Engineering Capability Maturity Model 基本概念（續(xù)） SSE-CMM描述了一個組織的安全工程過程必須包含的基本特性，這些特性是完善安全工程的保證，也是信息安全工程實施的度量標準，同時還是一個易于理解的評估系統(tǒng)安全工程的框架�；�本概念（續(xù)） SSE-CMM對安全工程做了全方位刻畫：獲取對企業(yè)中安全風險的理解獲取安全需求將安全需求轉(zhuǎn)換成安全指南在正確有效的安全機制下建立信心和保證判斷系統(tǒng)中是否存在可接受的風險將所有工程過程和專業(yè)活動集成為一個對系統(tǒng)安全可信性的綜合理解發(fā)展歷史 April 93-December 94 預研（NSA） January 95 1st公共會議，工作組成立 March 95 1st工作組會議 Summer/Fall 96 SSE-CMM 實驗項目 October 96 SSE-CMM v1.0 Spring 97 評定方法v1.0 Summer 97 SSE-CMM v1.1，評定方法v1.1 14-17 July 97 2nd公共會議 April 1999 SSE-CMM v2.0，評定方法v2.0 March 2002 被ISO接受為ISO/IEC 21827 June 2003 SSE-CMM v3.0 宗旨和目標 SSE-CMM宗旨信息安全建設中需要有一個清晰定義的、成熟的且可測量的要求。 SSE-CMM目標通過區(qū)分投標者的能力級別和相關的計劃風險來選擇合格的安全工程提供商；有利于工程組把投資集中在安全工程工具、培訓、過程定義、管理實施和改進上；提供基于能力的保障，也就是說，用戶可以基于對工程組安全工程實踐和過程的成熟度而確保信心。 適用對象工程組織（Engineering Organization）獲取組織（Acquiring Organization）評估組織（Evaluation Organization） 3.3 SSE-CMM 3.3.2 SSE-CMM體系結(jié)構(gòu)基本概念過程（Process）為了達到某一給定目標而執(zhí)行的一系列活動，這些活動可以重復、遞歸和并發(fā)地執(zhí)行。 過程域（Process Area，PA）由一些基本實施（Base Practices，BP）組成，這些BP共同實施以達到PA的目標。 SSE-CMM包含三類過程域：工程、項目和組織。 基本概念（續(xù)）工作產(chǎn)品（Work Product）執(zhí)行任何過程時產(chǎn)生的所有文檔、報告、文件和數(shù)據(jù)。 過程能力（Process Capability）是通過跟蹤一個過程能達到預期結(jié)果的可量化范圍。組織的過程能力可幫助組織預見項目達到目標的能力。 信息安全工程過程 SSE-CMM并不定義各過程域在系統(tǒng)安全工程生命周期中出現(xiàn)的順序。過程域?qū)嶋H上是依照過程域名的英文字母順序來編號的。每個過程域包括一組集成的BP。 BP定義了實現(xiàn)過程域目標的必要活動，代表業(yè)界的最佳慣例。每個BP都規(guī)定了工作產(chǎn)品。 信息安全工程過程（續(xù)） SSE-CMM將安全工程劃分為三類基本的過程域組： 風險 工程 保證 基本模型 基本實施和過程域 11個安全工程過程域 11個項目和組織過程域 過程域描述格式 PA01——過程域名 概述——對該過程域的概括介紹 目標——實施該過程域期望達到的目標 基本實施列表——說明每一個基本過程的序號和名 稱 過程域注解——對該過程域的其它說明 BP.01.01——基本實施名 描述性名字——對該基本實施的一句描述 描述——對該基本實施的概括 工作成果示例——列出了所有可能的輸出 注解——關于該基本實施的任何其它的注解 BP.01.02…… 過程域舉例 PA05 評估脆弱性 概述評估安全脆弱性的目的在于標識和描述系統(tǒng)的安全脆弱性。本過程域包括分析系統(tǒng)資產(chǎn)、定義具體的脆弱性以及對整個系統(tǒng)的脆弱性進行評估。…… 目標獲得對一給定環(huán)境中系統(tǒng)安全脆弱性的理解。 過程域舉例（續(xù)） PA05 評估脆弱性 基本實施清單 BP05.01 選擇脆弱性評估方法 BP05.02 標識系統(tǒng)安全脆弱性 BP05.03 收集與脆弱性屬性有關的數(shù)據(jù) BP05.04 評估系統(tǒng)脆弱性 BP05.05 監(jiān)視脆弱性及其特征的變化 過程域注解 …… 過程域舉例（續(xù)） BP05.01 選擇脆弱性分析方法描述 本基本實施包括定義系統(tǒng)的脆弱性分析方法，以對安全脆弱性進行標識和描述。…… 工作結(jié)果示例 脆弱性分析方法——討論系統(tǒng)安全脆弱性的分析方法。脆弱性分析格式——描述脆弱性分析結(jié)果的格式。攻擊方法學及其原理——實施攻擊測試的目標和方法。攻擊過程——實施攻擊測試的詳細步驟。攻擊計劃——資源、時間進度和攻擊方法描述。滲透研究——為標識已知或未知的脆弱性而采取的攻擊方法和實施概要。攻擊概要——描述將要實施的具體攻擊。注解 …… 通用實施、公共特征與能力級別通用實施、公共特征、能力級別的關系 5個能力級別及其包含的公共特征第一級：非正式執(zhí)行該級將關注一個機構(gòu)或項目是否執(zhí)行了包含基本實施過程的安全工程。該級別的特點可以描述為“你必須首先做它，然后才能管理它”。 在本級別，過程域中的基本實施通常已得到了執(zhí)行。但這些基本實施的執(zhí)行可能未經(jīng)過嚴格的計劃和跟蹤，而是基于個人的知識和努力。第二級：計劃和跟蹤該級將關注項目層面的定義、規(guī)劃和執(zhí)行問題。該級別的特點可描述為“在定義機構(gòu)層面的過程之前，先要理解項目的相關事項”。 在本級別上，基本實施的執(zhí)行要經(jīng)過規(guī)劃并被跟蹤。執(zhí)行時要依據(jù)具體的流程，并應得到驗證。工作結(jié)果要符合特定的標準和需求。執(zhí)行情況還要經(jīng)過測量，以使機構(gòu)能夠基于這些執(zhí)行而管理其活動。它與非正式執(zhí)行級的主要區(qū)別是過程的實施要經(jīng)過規(guī)劃和管理。 第三級：充分定義該級將關注于在機構(gòu)層面上從既定過程中實施已融合了各個專業(yè)領域知識的裁剪結(jié)果。該級別的特點可描述為“用項目中學到的最好的東西來創(chuàng)建機構(gòu)層面的過程”。 在本級別，基本實施應按照充分定義的過程來執(zhí)行，執(zhí)行過程中將使用已獲批準的、經(jīng)裁剪的標準。本級與第2級“計劃和跟蹤級”的主要區(qū)別在于本級將利用機構(gòu)范圍內(nèi)的標準化過程來規(guī)劃和管理安全工程過程。 第四級：量化控制該級將關注于測量，它是與機構(gòu)的業(yè)務目標緊密聯(lián)系在一起的。這個級別的特點可以描述為“只有你知道它是什么，你才能測量它”以及“當你測量正確的對象時，基于測量的管理才有意義”。 對過程執(zhí)行情況的詳細測量將在本級中進行收集和分析。這將形成對過程能力的量化理解，使機構(gòu)有能力去預測過程的執(zhí)行。本級中，過程執(zhí)行的管理是客觀的，工作結(jié)果的質(zhì)量是量化的。本級與充分定義級的主要區(qū)別在于所定義的過程是可量化理解和控制的。 第五級：連續(xù)改進該級將從此前各級的所有管理活動中獲得最大的收益，并強調(diào)機構(gòu)的文化，以保持所取得的成果。該級別的特點可以描述為“一個持續(xù)改進的文化需要以良好的管理措施、既定過程和可測量的目標為基礎”。在本級別，有關工程過程效果和效率的量化執(zhí)行目標已經(jīng)基于機構(gòu)的業(yè)務目標而建立。過程的執(zhí)行以及試驗性的新概念和新技術產(chǎn)生了量化反饋，從而使基于這些目標的連續(xù)的過程改進得到了實現(xiàn)。本級與量化控制級的主要區(qū)別在于，在本級中，基于對這些過程變化效果的量化理解，工程中既定過程和標準過程將得到不斷的改進和提高。 能力級別的描述格式能力級別舉例能力級別2 —— 計劃和跟蹤 概述在本級別上，基本實施的執(zhí)行要經(jīng)過規(guī)劃并被跟蹤。 …… 公共特征清單該能力級別包含如下公共特征：公共特征2.1 — 規(guī)劃執(zhí)行公共特征2.2 — 規(guī)范化執(zhí)行公共特征2.3 — 驗證執(zhí)行公共特征2.4 — 跟蹤執(zhí)行 能力級別舉例（續(xù)）公共特征2.1 — 規(guī)劃執(zhí)行 概述本公共特征中的通用實施的重點在于對基本過程的實施進行規(guī)劃。 …… 通用實施清單 該公共特征包含如下通用實施： GP2.1.1 —分配資源 GP2.1.2 —分配責任 GP2.1.3 —文檔化過程 GP2.1.4 —提供工具 GP2.1.5 —確保培訓 GP2.1.6 —規(guī)劃過程 能力級別舉例（續(xù)） GP2.1.1 —分配資源描述為過程域的執(zhí)行提供充分的資源（包括人）。 注解關系關鍵資源的標識在過程域PA16“規(guī)劃技術活動”中進行。 3.3 SSE-CMM 理解SSE-CMM的應用選擇一個適合機構(gòu)業(yè)務或任務的一個過程域；查看該過程域的描述、目標及所包含的BP；查看機構(gòu)中是否有在執(zhí)行該過程域包含的所有BP；查看該過程域的目標是否得到了滿足；在相應的公共特征1.1處上做標記；查看公共特征2.1中的描述和所包含的GP ；對照公共特征2.1中的GP，查看機構(gòu)是否正在計劃執(zhí)行所選擇的過程域；如果步驟（7）得到滿足，在公共特征2.1處做上標記，如未滿足，則跳至步驟（10） ；對照第二級中的其他每一個公共特征，分別重復步驟6~8 ；對每一個過程域，重復步驟2~9。所有PA的能力成熟度綜合圖理解SSE-CMM的應用 SSE-CMM為每個能力級別定義了一個或多個公共特征。只有在所有這些公共特征都得到滿足時，過程才達到了對應的能力級別。工程組織可以根據(jù)系統(tǒng)安全工程項目的實際需求有選擇地執(zhí)行某些過程域而不是全部過程域。 工程組織應當針對每個過程域為自己評級，各過程域上的能力級別可能不同，這為工程組織過程能力的改善提供了方向。 3.3.5 SSE-CMM的應用 SSE-CMM通�？捎迷谌齻�方面：過程改進能力評估保證 IDEAL模型 3.3 SSE-CMM 3.3.6 SSE-CMM與其他信息安全標準的比較 SSE-CMM與CC SSE-CMM與BS7799 SSE-CMM與其它 SSE-CMM與CC SSE-CMM與BS 7799 SSE-CMM與其他 補充（SSAM）補充（SSAM） SSAM的概念 SSAM：SSE-CMM Appraisal Method 作為專門基于SSE-CMM的評估方法。包含評估一個信息安全工程組織的工程過程能力和成熟度所必需的信息及指南。可用于組織級評估，也可用于項目級的評估。 SSAM使用多重數(shù)據(jù)采集方法獲得被評估組織或項目中所實施過程的相關信息采集途徑：問卷調(diào)查、人員訪談、證據(jù)分析 補充（SSAM） SSAM的參與者 SSAM的參與者包括：發(fā)起組織評估組織被評估組織 補充（SSAM）評估類型補充（SSAM）評估階段作業(yè)題qQH紅軟基地

大數(shù)據(jù)信息安全ppt：這是大數(shù)據(jù)信息安全ppt，包括了大數(shù)據(jù)研究概述，大數(shù)據(jù)帶來的安全挑戰(zhàn)，大數(shù)據(jù)安全的關鍵技術，大數(shù)據(jù)服務與信息安全等內(nèi)容，歡迎點擊下載。

關于2016信息安全的ppt：這是關于2016信息安全的ppt，包括了計算機病毒，認識計算機病毒，如何才能預防計算機病毒，做一個文明的上網(wǎng)人，小知識，總結(jié)等內(nèi)容，歡迎點擊下載。

大數(shù)據(jù)與信息安全ppt：這是大數(shù)據(jù)與信息安全ppt，包括了大數(shù)據(jù)概念與典型應用現(xiàn)狀，大數(shù)據(jù)發(fā)展趨勢與關鍵技術，芯片安全技術，可信計算技術等內(nèi)容，歡迎點擊下載。