一、工程概述:
信息安全系统工程就是要建造一个信息安全系统,它是整个信息系统工程的一部分,而且最好是与业务应用信息系统工程同步进行,主要围绕“信息安全”内容中需要注意防泄密问题和施工中后期的信息安全系统测试、运营、维护的安全管理等问题
二、安全系统:
2.1安全空间:
- 由X(“安全机制”)、Y(“OSI网络参考模型”)、Z(“安全服务”)三个轴形成的信息安全系统三维空间就是信息系统的“安全空间”;
- 认证、权限、完整、加密和不可否认五大要素,也叫做“安全空间”的五大属性
2.2安全机制:安全机制包含基础设施实体安全、平台安全、数据安全、通信安全、应用安全、运行安全、管理安全、授权和审计安全、安全防范体系等
2.3安全服务:
- 对等实体认证服务;
- 数据保密服务;
- 数据完整性服务:数据完整性服务用以防止非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失;
- 数据元源点认证服务:
- 禁止否认服务;
- 犯罪证据提供服务;
2.4安全技术:安全技术主要涉及加密、数字签名技术、防控控制、数据完整性、认证、数据挖掘等
三、工程基础:信息安全系统的建设是在OSI网络参考模型的各个层面进行的,因此信息安全系统工程活动离不开其他相关工程,主要包括:硬件工程、软件工程、通信及网络工程、数据存储与灾备工程、系统工程、测试工程、密码工程和组织信息化工程等
四、工程体系架构
4.1、ISSE-CMM基础:
- 信息安全系统工程能力成熟度模型(ISSE-CMM)是一种衡量信息安全系统工程实施能力的方法,是使用面向工程的一种方法;
- ISSE-CMM主要适用于工程组织、获取组织和评估组织。信息安全工程组织包含集成商、应用开发商、产品提供商和服务提供商等,这些组织可以使用ISSE-CMM对工程能力进行自我评估。信息安全的获取组织包含采购系统,产品以及从外部/内部资源和最终用户处获取服务的组织。信息安全的评估组织包含认证组织、系统授权组织、系统和产品评估组织等
4.2、ISSE过程:
工程过程:信息安全系统工程与其他工程活动一样,是一个包括概念、设计、实现、测试、部署、运行、维护、退出的完整过程
风险过程:风险管理是调查和量化风险的过程,并建立组织对风险的承受级别。它是安全管理的一个重要不分
保证过程:保证过程是指安全需求得到满足的可信程度,它是信息安全系统工程非常重要的产品
4.3、ISSE-CMM体系结构:
- 域维/安全过程域;
- 能力维/公共特性;
- 能力级别