【文章內(nèi)容簡(jiǎn)介】 安全工程能力評(píng)價(jià) 學(xué)習(xí)目標(biāo) ?理解信息安全建設(shè)必須同信息化建設(shè) “ 同步規(guī)劃、同步實(shí)施 ” 的原則 ?理解如何運(yùn)用信息安全能力成熟度模型理論評(píng)價(jià)和改進(jìn)信息安全工程能力 信息安全工程可以參考的理論基礎(chǔ) ?系統(tǒng)工程思想 ?項(xiàng)目管理方法 ?質(zhì)量管理體系 ?能力成熟度模型 73 系統(tǒng)工程基礎(chǔ) ?霍爾三維結(jié)構(gòu)圖 系統(tǒng)指標(biāo)設(shè)計(jì) 知識(shí)維（專業(yè)、行業(yè)） 邏輯維 （工作步驟） 工程技術(shù) 醫(yī)學(xué) 社會(huì)科學(xué) 規(guī)劃 計(jì)劃 系統(tǒng)開(kāi)發(fā) 制造 安裝 運(yùn)行 更新 明確問(wèn)題 系統(tǒng)綜合 系統(tǒng)分析 決策 最優(yōu)化 實(shí)施計(jì)劃 74 能力成熟度模型的來(lái)由 ?由質(zhì)量管理工作發(fā)展出的概念“過(guò)程改進(jìn)”，即增加工作過(guò)程的能力 ?隨著過(guò)程能力的提高，過(guò)程變得可預(yù)測(cè)和可度量，控制或消除造成質(zhì)量低劣和生產(chǎn)率不高 ?需要一個(gè)結(jié)構(gòu)化的架構(gòu)來(lái)指導(dǎo)一個(gè)組織的過(guò)程改進(jìn)，即 能力成熟度模型 75 能力成熟度模型的概念 ?CMM – Capability Maturity Model ? 現(xiàn)代統(tǒng)計(jì)過(guò)程控制理論 表明通過(guò)強(qiáng)調(diào)生產(chǎn)過(guò)程的高質(zhì)量和在過(guò)程中組織實(shí)施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品； ? 所有成功企業(yè)的共同特點(diǎn)是都具有一組 嚴(yán)格定義 、管理完善 、 可測(cè)可控 從而 高度有效 的業(yè)務(wù)過(guò)程； ? CMM模型抽取了這樣一組好的工程實(shí)踐并定義了 過(guò)程 的“能力”； 76 SSECMM體系結(jié)構(gòu) 能力維（Capability Dimension） 域維（ Domain Dimension） 公共特征 跟蹤執(zhí)行 PA 05 評(píng)估脆弱性 兩維模型： “域維” 由所有定義的安全工程過(guò)程區(qū)構(gòu)成。 “能力維”代表組織實(shí)施這一過(guò)程的能力。 77 SSECMM的主要概念 ?過(guò)程區(qū)域（ PA， Process Area） ? 過(guò)程的一種 單位 ? 是由一些基本實(shí)施（ BP， Base Practice）組成的，這些 BP共同實(shí)施以達(dá)到該 PA的目標(biāo)。這些 BP是強(qiáng)制性的，只有全部成功執(zhí)行，才能滿足 PA規(guī)定的目標(biāo)； ? SSECMM包含三類過(guò)程區(qū)域： 工程 、 項(xiàng)目 和 組織 三類； 78 域維 過(guò)程類 域維 Base Practices Base Practices Base Practices Base Practices Base Practices 基本實(shí)施 Process Areas Process Areas Process Areas 過(guò)程區(qū) BP,Base Practice。域維的最小單位。如果選擇執(zhí)行其所屬的PA，則必須執(zhí)行它。共 129個(gè) PA， Process Area由一些基本實(shí)施構(gòu)成，這些 BP共同實(shí)施以達(dá)到該 PA的目標(biāo)。共 22個(gè) PA被分為安全工程類、組織管理類和項(xiàng)目管理類 SSECMM的主要概念 ?過(guò)程能力（ Process Capability） ? 一個(gè)過(guò)程是否可以達(dá)到預(yù)期效果的度量方法，即執(zhí)行一個(gè)過(guò)程的成熟度級(jí)別劃分； ? 過(guò)程能力可幫助組織預(yù)見(jiàn)達(dá)到過(guò)程目標(biāo)的能力，如果一個(gè)組織某個(gè)過(guò)程的能力級(jí)別低，意味著完成該過(guò)程投入的成本，實(shí)現(xiàn)的進(jìn)度、功能和質(zhì)量都是不穩(wěn)定的；或者說(shuō)過(guò)程能力越高則達(dá)到預(yù)定的成本、進(jìn)度、功能和質(zhì)量目標(biāo)的就越有把握 80 能力維 能力維 能力級(jí)別 GP， Generic Practice 管理、度量和制度方面的活動(dòng)，可用于決定所有活動(dòng)的能力水平 CF， Common Feature由 GP組成的邏輯域 由公共特征組成的過(guò)程能力水平的級(jí)別劃分。 05共 6個(gè)級(jí)別 公共特征 通用實(shí)踐 SSECMM能力成熟度評(píng)價(jià) ?通過(guò)設(shè)置這兩個(gè)相互依賴的維， SSECMM在各個(gè)能力級(jí)別上覆蓋了整個(gè)安全活動(dòng)范圍。 ?給每個(gè) PA賦予一個(gè)能力級(jí)別評(píng)分，所得到的兩維圖形便形象地反映一個(gè)工程組織整體上的系統(tǒng)安全工程能力成熟度，也間接的反映其工作結(jié)果的質(zhì)量及其安全上的可信度。 5 4 3 2 1 0 PA01 PA02 PA03 PA04 PA05 能力 級(jí)別 安全過(guò)程區(qū)域 82 域維 22個(gè) PA分成三類 ?系統(tǒng)安全工程涉及到三類過(guò)程區(qū)域 PA ? 工程過(guò)程區(qū)域（ Engineering PA） ? 組織過(guò)程區(qū)域（ Organization PA） ? 項(xiàng)目過(guò)程區(qū)域（ Project PA） ?工程過(guò)程區(qū)域 11個(gè) PA描述了系統(tǒng)安全工程中實(shí)施的與安全直接相關(guān)的活動(dòng) ?組織和項(xiàng)目過(guò)程區(qū)域（共 11個(gè)）并不直接同系統(tǒng)安全相關(guān)，但常與 11個(gè)工程過(guò)程區(qū)域一起用來(lái)度量系統(tǒng)安全隊(duì)伍的過(guò)程能力成熟度 83 域維 工程類 PA 核實(shí)和確認(rèn)安全（ Verify and Validate Security） PA11 明確安全需求（ Specify Security Needs） PA10 提供安全輸入（ Provide Security Input） PA09 監(jiān)視安全態(tài)勢(shì)（ Monitor Security Posture） PA08 協(xié)調(diào)安全（ Coordinate Security） PA07 建立保證論據(jù)（ Build Assurance Argument) PA06 評(píng)估脆弱性（ Assess Vulnerability） PA05 評(píng)估威脅（ Assess Threat） PA04 評(píng)估安全風(fēng)險(xiǎn)（ Assess Security Risk) PA03 評(píng)估影響（ Assess Impact） PA02 管理安全控制（ Administer Security Controls） PA01 風(fēng)險(xiǎn)過(guò)程 工程過(guò)程 保證過(guò)程 84 域維 項(xiàng)目類和組織類 PA 與供應(yīng)商協(xié)調(diào) PA22 提供持續(xù)發(fā)展的技能和知識(shí) PA21 管理系統(tǒng)工程支持環(huán)境 PA20 管理產(chǎn)品系列進(jìn)化 PA19 改進(jìn)組織的系統(tǒng)工程過(guò)程 PA18 定義組織的系統(tǒng)工程過(guò)程 PA17 計(jì)劃技術(shù)活動(dòng) PA16 監(jiān)視和控制技術(shù)活動(dòng) PA15 管理項(xiàng)目風(fēng)險(xiǎn) PA14 管理配置 PA13 保證質(zhì)量 PA12 項(xiàng)目過(guò)程 組織過(guò)程 85 ?計(jì)劃執(zhí)行 ?規(guī)范化執(zhí)行 ?跟蹤執(zhí)行 ?驗(yàn)證執(zhí)行 ?定義標(biāo)準(zhǔn)過(guò)程 ?協(xié)調(diào)安全實(shí)施 ?執(zhí)行已定義的過(guò)程 ?建立可測(cè)量的質(zhì)量目標(biāo) ?客觀地管理過(guò)程的執(zhí)行 1 非正規(guī) 執(zhí)行 2 計(jì)劃與跟蹤 3 充分定義 4 量化控制 5 連續(xù)改進(jìn) ?執(zhí)行 基本 實(shí)施 ?改進(jìn)組織能力 ?改進(jìn)過(guò)程的有效性 能力級(jí)別 代表安全工程組織的成熟級(jí)別 公共特征 未實(shí)施 0 能力級(jí)別 86 SSECMM的使用 ?SSECMM可應(yīng)用于所有從事某種形式的安全工程組織，這種應(yīng)用與生命期、范圍、環(huán)境或?qū)I(yè)無(wú)關(guān)。該模型適用于以下三種方式： ? “ 評(píng)定 ”，允許獲取組織了解潛在項(xiàng)目參加者的組織層次上的安全工程過(guò)程能力。 ? “ 改進(jìn) ”，使安全工程組織獲得自身安全工程過(guò)程能力級(jí)別的認(rèn)識(shí)，并不斷地改進(jìn)其能力。 ? “ 保證 ”，通過(guò)有根據(jù)地使用成熟過(guò)程，增加可信產(chǎn)品、系統(tǒng)和服務(wù)的可信度。 87 主 題 一、信息安全保障基本知識(shí) 二、信息安全保障實(shí)踐 三、信息安全管理體系 四、信息安全風(fēng)險(xiǎn)管理 五、基本信息安全管理 六、重要信息安全管理措施 七、安全工程原理 八、安全工程實(shí)踐 九、法律法規(guī) 十、安全標(biāo)準(zhǔn) 88 八、 信息安全工程實(shí)踐 89 信息安全工程監(jiān)理 安全工程實(shí)施實(shí)踐 知識(shí)域 知識(shí)子域 課程名稱 信息安全工程實(shí)踐 信息安全工程各方職責(zé) 監(jiān)理階段目標(biāo) ISSE安全工程過(guò)程 信息系統(tǒng)定義與描述 信息系統(tǒng)安全性驗(yàn)證與認(rèn)可 信息系統(tǒng)安全監(jiān)控與保持 信息系統(tǒng)安全需求提取 安全措施設(shè)計(jì)與部署 信息安全工程監(jiān)理模型 信息系統(tǒng)安全工程 ISSE 發(fā)掘信息保護(hù)需求 確定系統(tǒng)安全要求 設(shè)計(jì)系統(tǒng)安全體系結(jié)構(gòu) 開(kāi)展詳細(xì)安全設(shè)計(jì) 評(píng)估信息保護(hù)有效性 實(shí)施系統(tǒng)安全 90 信息安全工程監(jiān)理模型 ?信息安全工程監(jiān)理階段、監(jiān)理管理和控制手段和監(jiān)理支撐要素 監(jiān)理咨詢支撐要素控制和管理手段監(jiān)理咨詢階段過(guò)程設(shè)計(jì)招標(biāo)實(shí)施驗(yàn)收變更監(jiān)理咨詢組織結(jié)構(gòu)監(jiān)理咨詢?cè)O(shè)施信息安全保障專業(yè)知識(shí)質(zhì)量管理質(zhì)量控制進(jìn)度控制成本控制合同管理信息管理組織協(xié)調(diào)“ 三控制、兩管理、一協(xié)調(diào) ”監(jiān)理規(guī)劃標(biāo)準(zhǔn)規(guī)范 合同 監(jiān)理實(shí)施細(xì)則監(jiān)理規(guī)劃標(biāo)準(zhǔn)規(guī)范 監(jiān)理實(shí)施細(xì)則 主 題 一、信息安全保障基本知識(shí) 二、信息安全保障實(shí)踐 三、信息安全管理體系 四、信息安全風(fēng)險(xiǎn)管理 五、基本信息安全管理 六、重要信息安全管理措施 七、安全工程原理 八、安全工程實(shí)踐 九、法律法規(guī) 十、安全標(biāo)準(zhǔn) 92 九、信息安全法規(guī)、政策與道德規(guī)范 93 信息安全法規(guī)與政策 知識(shí)體 知識(shí)域 信息安全 法律法規(guī) 知識(shí)子域 國(guó)家信息安全法治總體情況 等級(jí)保護(hù)有關(guān)政策規(guī)范 風(fēng)險(xiǎn)評(píng)估有關(guān)政策規(guī)范 信息安全 國(guó)家政策 現(xiàn)行重要信息安全法規(guī) 電子政務(wù)與重要信息系統(tǒng)信息安全政策 國(guó)家信息安全保障總體方針 道德規(guī)范 信息安全從業(yè) 人員道德規(guī)范 通行道德規(guī)范 CISP職業(yè)道德準(zhǔn)則 計(jì)算機(jī)使用道德規(guī)范 因特網(wǎng)使用道德規(guī)范 信息安全從業(yè)人員基本道德規(guī)范 《 憲法 》 中的有關(guān)規(guī)定 ?《 憲法 》 第二章 公民的基本權(quán)利和義務(wù) 第 40條 ? 公民的通信自由和通信秘密受法律的保護(hù)。 ? 除因國(guó)家安全或者追查刑事犯罪的需要，由公安機(jī)關(guān)或者檢察機(jī)關(guān)依照法律規(guī)定的程序?qū)νㄐ胚M(jìn)行檢查外，任何組織或者個(gè)人不得以任何理由侵犯公民的通信自由和通信秘密。 94 《 刑法 》 中的有關(guān)規(guī)定（ 1） ?《刑法 》 第六章 妨礙社會(huì)管理秩序罪 第一節(jié) 擾亂公共秩序罪 第 28 28 287條 ? 285條： 非法侵入計(jì)算機(jī)信息系統(tǒng)罪；非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)、非法控制計(jì)算機(jī)信息系統(tǒng)罪；提供侵入、非法控制計(jì)算機(jī)信息系統(tǒng)程序、工具罪。 ? 違反國(guó)家規(guī)定，侵入國(guó)家事務(wù)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的，處三年以下有期徒刑或者拘役。 ? 違反國(guó)家規(guī)定，侵入前款規(guī)定以外的計(jì)算機(jī)信息系統(tǒng)或者采用其他技術(shù)手段，獲取該計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)，或者對(duì)該計(jì)算機(jī)信息系統(tǒng)實(shí)施非法控制，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金。 ? 提供專門用于侵入、非法控制計(jì)算機(jī)信息系統(tǒng)的程序、工具，或者明知他人實(shí)施侵入、非法控制計(jì)算機(jī)信息系統(tǒng)的違法犯罪行為而為其提供程序、工具，情節(jié)嚴(yán)重的，依照前款的規(guī)定處罰。 95 《 刑法 》 中的有關(guān)規(guī)定（ 2） ?《刑法 》 第六章 妨礙社會(huì)管理秩序罪 第一節(jié) 擾亂公共秩序罪 第 28 28 287條 ? 286條： 破壞計(jì)算機(jī)信息系統(tǒng)罪。 ? 違反國(guó)家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾，造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行，后果嚴(yán)重的，處五年以下有期徒刑或者拘役；后果特別嚴(yán)重的，處五年以上有期徒刑。 ? 違反國(guó)家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改、增加的操作，后果嚴(yán)重的，依照前款的規(guī)定處罰。 ? 故意制作、傳播計(jì)算機(jī)病毒等破壞性程序，影響計(jì)算機(jī)系統(tǒng)正常運(yùn)行，后果嚴(yán)重的，依照第一款的規(guī)定處罰。 ? 287條 ： 利用計(jì)算機(jī)實(shí)施犯罪的提示性規(guī)定。 ? 利用計(jì)算機(jī)實(shí)施金融詐騙、盜竊、貪污、挪用公款、竊取國(guó)家秘密或者其他犯罪的，依照本法有關(guān)規(guī)定定罪處罰。 96 《 治安管理處罰法 》 中的有關(guān)規(guī)定 ?《治安管理處罰法 》 第三章 違反治安管理的行為和處罰 第一節(jié) 擾亂公共秩序的行為和處罰 第 29條 ? 有下列行為之一的，處五日以下拘留；情節(jié)較重的，處五日以上十日以下拘留： ? （一）違反國(guó)家規(guī)定，侵入計(jì)算機(jī)信息系統(tǒng)，造成危害的； ? （二）違反國(guó)家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾，造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行的； ? （三）違反國(guó)家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理、傳輸?shù)臄?shù)據(jù)