第8章 信息安全工程
2025-09-01 09:12:59 0 举报系统集成项目管理师第8章重点知识思维导图
作者其他创作
大纲/内容
8.1 信息安全管理
1.保障要求
总体策划
建立相关组织机构
做好信息资产分类与控制
使用技术方法解决通信与操作的安全、访问控制、系统开发与维护
实施检查安全管理的措施与审计
网络安全与管理至少要成立一个安全运行组织,制定一套安全管理制度并建立一个应急响应机制
组织需要确保以下3个方面满足保障要求
领导是核心,信息中心是实体,业务部门是使用者
做到多人负责、任期有限、职责分离
管理人员和技术人员共同参与
2.管理内容
3.管理体系
步骤
配置安全管理人员
建立安全职能部门
成立安全领导小组
主要负责人出任领导
建立信息安全保密管理部门
4.等级保护
等保2.0将信息系统安全的概念扩展到了网络安全
安全保护等级划分
第一级
对公民、法人和其他组织合法权益造成损害
第二级
对社会秩序和公共利益造成损害
国家安全监管部门,进行指导
国家安全监管部门,进行指导
第三级
对社会秩序和公共利益造成严重损害,或对国家安全造成损害
国家安全监管部门,进行监督、检查
国家安全监管部门,进行监督、检查
第四级
对社会秩序和公共利益造成特别严重损害,或对国家安全造成严重损害
国家安全监管部门,进行强制监督、检查
国家安全监管部门,进行强制监督、检查
第五级
对国家安全造成特别严重损害
国家指定专门部门,进行专门监督、检查
国家指定专门部门,进行专门监督、检查
安全保护能力等级划分
第一级
能防护免受来自个人的、拥有很少资源的威胁源
在遭到损害后,能恢复部分功能
在遭到损害后,能恢复部分功能
第二级
能防护免受外部小型组织的、拥有少量资源的威胁源
在遭到损害后,能在一段时间内,恢复部分功能
在遭到损害后,能在一段时间内,恢复部分功能
第三级
能防护免受外部有组织的团体、拥有较为丰富资源的威胁源
在遭到损害后,能较快恢复绝大部分功能
在遭到损害后,能较快恢复绝大部分功能
第四级
免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源
能迅速恢复所有功能
能迅速恢复所有功能
第五级
略
等保2.0的核心内容
将风险评估、安全监测、通报预警、案事件调査、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等重点措施全部纳入等级保护制度并实施;
将网络基础设施、信息系统、网站、数据资源、云计算、物联网、移动互联网、工控系统、公众服务平台、智能设备等全部纳入等级保护和安全监管
将互联网企业的网络、系统、大数据等纳入等级保护管理,保护互联网企业健康发展。
等保2.0的技术变更
物理和环境安全实质性变更
网络和通信安全实质性变更
设备和计算安全实质性变更
应用和数据安全实质性变更
等保2.0的管理变更
安全策略和管理制度实质性变更
安全管理机构和人员实质性变更
安全建设管理实质性变更
安全运维管理实质性变更
8.2 信息安全系统
三维空间图来反映信息安全系统的体系架构及其组成
安全空间
安全空间
X轴:安全机制
基础设施安全
平台安全
数据安全
通信安全
应用安全
运行安全
管理安全
授权和审计安全
安全防范体系
Y轴:OSI网络参考模型
物理层
链路层
网络层
传输层
会话层
表示层
应用层
Z轴:安全服务
对等实体认证服务
访问控制服务
数据保密服务
数据完整性服务
数据源点认证服务
禁止否认服务
犯罪证据提供服务
安全空间的五大属性:认证、权限、完整、加密、不可否认
8.3 工程体系架构
安全工程基础
信息安全系统不能脱离业务应用信息系统而存在
信息安全系统工程活动离不开其他相关工程
ISSE-CMM
信息安全系统工程能力成熟度模型,建立在统计过程控制理论基础上的
涵盖内容
全生命期,包括工程开发、运行、维护和种植
管理、组织和工程活动等的组织
与其他规范并行的相互作用
与其他组织的相互作用
适用于工程组织(乙方)、获取组织(甲方)和评估组织(评估方)
ISSE过程
目的
是使信息安全系统成为系统工程和系统获取过程整体的必要部分,从而有力地保证用户目标的实现,提供有效的安全措施,以满足客户和服务对象的需求,将信息系统的安全选项集成到系统工程中,获得最优的信息安全系统解决方案。
ISSE不是一个独立的过程
ISSE将信息安全系统工程实施过程分解为
工程过程
风险过程
保证过程
一个有害事件由威胁、脆弱性和影响三部分组成
ISSE-CMM体系结构
ISSE-CMM 的体系结构可以在整个信息安全系统工程范围内决定信息安全工程组织的成熟性。这个体系结构的目标是落实安全策略,从管理和制度化方面突出信息安全工程的基本特征。为此,该模型采用两维设计,其中的一维是“域”(Domain),另一维是“能力”(Capability)。
(1)域维/安全工程过程域
域维汇集了定义信息安全系统工程的所有实施活动,这些实施活动被称为过程域。
能力维代表组织能力,它由过程管理能力和制度化能力构成,这些实施活动被称作公共特性,可在广泛的域中应用。
ISSE包括6个基本实施,这些基本实施被组织成11个信息安全工程过程域,这些过程域覆盖了信息安全系统工程的所有主要领域。
(2)能力纬/公共特征域
level 1:非正规实施级
level 2:规划和跟踪级
level 3:充分定义级
level 4:量化控制级
level 5:持续改进级
(3)能力级别
1级:非正规实施级
2级:规划与跟踪级
3级:充分定义级
4级:量化控制
5级:持续改进级
0 条评论
下一页
