這是一個(gè)關(guān)于信息安全工程介紹PPT課件，主要介紹了工程質(zhì)量保證、系統(tǒng)工程過程、ISSE、SSE—CMM等內(nèi)容。第三章 信息安全工程方法學(xué)北京電子科技學(xué)院 信息安全工程應(yīng)用工程質(zhì)量保證對(duì)于一個(gè)成熟的安全工程組織而言，工程過程的質(zhì)量，直接關(guān)系到用戶對(duì)工程的信心。目前對(duì)工程過程的評(píng)估是通過對(duì)工程能力進(jìn)行評(píng)估的方式來進(jìn)行的。在這方面最為著名的評(píng)估標(biāo)準(zhǔn)是SSE-CMM。 Contents 參考文獻(xiàn) Systems Security Engineering Capability Maturity Model (SSE-CMM), Version 3.0, Jun.15, 2003 3.3 SSE-CMM 3.3 SSE-CMM 3.3.1 SSE-CMM概述基本概念 SSE-CMM：系統(tǒng)安全工程能力成熟度模型 Systems Security Engineering Capability Maturity Model 基本概念（續(xù)） SSE-CMM描述了一個(gè)組織的安全工程過程必須包含的基本特性，這些特性是完善安全工程的保證，也是信息安全工程實(shí)施的度量標(biāo)準(zhǔn)，同時(shí)還是一個(gè)易于理解的評(píng)估系統(tǒng)安全工程的框架，歡迎點(diǎn)擊下載信息安全工程介紹PPT課件哦。

信息安全工程介紹PPT課件是由紅軟PPT免費(fèi)下載網(wǎng)推薦的一款學(xué)校PPT類型的PowerPoint.

第三章 信息安全工程方法學(xué)北京電子科技學(xué)院 信息安全工程應(yīng)用工程質(zhì)量保證對(duì)于一個(gè)成熟的安全工程組織而言，工程過程的質(zhì)量，直接關(guān)系到用戶對(duì)工程的信心。目前對(duì)工程過程的評(píng)估是通過對(duì)工程能力進(jìn)行評(píng)估的方式來進(jìn)行的。在這方面最為著名的評(píng)估標(biāo)準(zhǔn)是SSE-CMM。 Contents 參考文獻(xiàn) Systems Security Engineering Capability Maturity Model (SSE-CMM)， Version 3.0， Jun.15， 2003 3.3 SSE-CMM 3.3 SSE-CMM 3.3.1 SSE-CMM概述基本概念 SSE-CMM：系統(tǒng)安全工程能力成熟度模型 Systems Security Engineering Capability Maturity Model 基本概念（續(xù)） SSE-CMM描述了一個(gè)組織的安全工程過程必須包含的基本特性，這些特性是完善安全工程的保證，也是信息安全工程實(shí)施的度量標(biāo)準(zhǔn)，同時(shí)還是一個(gè)易于理解的評(píng)估系統(tǒng)安全工程的框架�；�本概念（續(xù)） SSE-CMM對(duì)安全工程做了全方位刻畫：獲取對(duì)企業(yè)中安全風(fēng)險(xiǎn)的理解獲取安全需求將安全需求轉(zhuǎn)換成安全指南在正確有效的安全機(jī)制下建立信心和保證判斷系統(tǒng)中是否存在可接受的風(fēng)險(xiǎn)將所有工程過程和專業(yè)活動(dòng)集成為一個(gè)對(duì)系統(tǒng)安全可信性的綜合理解發(fā)展歷史 April 93-December 94 預(yù)研（NSA） January 95 1st公共會(huì)議，工作組成立 March 95 1st工作組會(huì)議 Summer/Fall 96 SSE-CMM 實(shí)驗(yàn)項(xiàng)目 October 96 SSE-CMM v1.0 Spring 97 評(píng)定方法v1.0 Summer 97 SSE-CMM v1.1，評(píng)定方法v1.1 14-17 July 97 2nd公共會(huì)議 April 1999 SSE-CMM v2.0，評(píng)定方法v2.0 March 2002 被ISO接受為ISO/IEC 21827 June 2003 SSE-CMM v3.0 宗旨和目標(biāo) SSE-CMM宗旨信息安全建設(shè)中需要有一個(gè)清晰定義的、成熟的且可測(cè)量的要求。 SSE-CMM目標(biāo)通過區(qū)分投標(biāo)者的能力級(jí)別和相關(guān)的計(jì)劃風(fēng)險(xiǎn)來選擇合格的安全工程提供商；有利于工程組把投資集中在安全工程工具、培訓(xùn)、過程定義、管理實(shí)施和改進(jìn)上；提供基于能力的保障，也就是說，用戶可以基于對(duì)工程組安全工程實(shí)踐和過程的成熟度而確保信心。 適用對(duì)象工程組織（Engineering Organization）獲取組織（Acquiring Organization）評(píng)估組織（Evaluation Organization） 3.3 SSE-CMM 3.3.2 SSE-CMM體系結(jié)構(gòu)基本概念過程（Process）為了達(dá)到某一給定目標(biāo)而執(zhí)行的一系列活動(dòng)，這些活動(dòng)可以重復(fù)、遞歸和并發(fā)地執(zhí)行。 過程域（Process Area，PA）由一些基本實(shí)施（Base Practices，BP）組成，這些BP共同實(shí)施以達(dá)到PA的目標(biāo)。 SSE-CMM包含三類過程域：工程、項(xiàng)目和組織。 基本概念（續(xù)）工作產(chǎn)品（Work Product）執(zhí)行任何過程時(shí)產(chǎn)生的所有文檔、報(bào)告、文件和數(shù)據(jù)。 過程能力（Process Capability）是通過跟蹤一個(gè)過程能達(dá)到預(yù)期結(jié)果的可量化范圍。組織的過程能力可幫助組織預(yù)見項(xiàng)目達(dá)到目標(biāo)的能力。 信息安全工程過程 SSE-CMM并不定義各過程域在系統(tǒng)安全工程生命周期中出現(xiàn)的順序。過程域?qū)嶋H上是依照過程域名的英文字母順序來編號(hào)的。每個(gè)過程域包括一組集成的BP。 BP定義了實(shí)現(xiàn)過程域目標(biāo)的必要活動(dòng)，代表業(yè)界的最佳慣例。每個(gè)BP都規(guī)定了工作產(chǎn)品。 信息安全工程過程（續(xù)） SSE-CMM將安全工程劃分為三類基本的過程域組： 風(fēng)險(xiǎn) 工程 保證 基本模型 基本實(shí)施和過程域 11個(gè)安全工程過程域 11個(gè)項(xiàng)目和組織過程域 過程域描述格式 PA01——過程域名 概述——對(duì)該過程域的概括介紹 目標(biāo)——實(shí)施該過程域期望達(dá)到的目標(biāo) 基本實(shí)施列表——說明每一個(gè)基本過程的序號(hào)和名 稱 過程域注解——對(duì)該過程域的其它說明 BP.01.01——基本實(shí)施名 描述性名字——對(duì)該基本實(shí)施的一句描述 描述——對(duì)該基本實(shí)施的概括 工作成果示例——列出了所有可能的輸出 注解——關(guān)于該基本實(shí)施的任何其它的注解 BP.01.02…… 過程域舉例 PA05 評(píng)估脆弱性 概述評(píng)估安全脆弱性的目的在于標(biāo)識(shí)和描述系統(tǒng)的安全脆弱性。本過程域包括分析系統(tǒng)資產(chǎn)、定義具體的脆弱性以及對(duì)整個(gè)系統(tǒng)的脆弱性進(jìn)行評(píng)估。…… 目標(biāo)獲得對(duì)一給定環(huán)境中系統(tǒng)安全脆弱性的理解。 過程域舉例（續(xù)） PA05 評(píng)估脆弱性 基本實(shí)施清單 BP05.01 選擇脆弱性評(píng)估方法 BP05.02 標(biāo)識(shí)系統(tǒng)安全脆弱性 BP05.03 收集與脆弱性屬性有關(guān)的數(shù)據(jù) BP05.04 評(píng)估系統(tǒng)脆弱性 BP05.05 監(jiān)視脆弱性及其特征的變化 過程域注解 …… 過程域舉例（續(xù)） BP05.01 選擇脆弱性分析方法描述 本基本實(shí)施包括定義系統(tǒng)的脆弱性分析方法，以對(duì)安全脆弱性進(jìn)行標(biāo)識(shí)和描述。…… 工作結(jié)果示例 脆弱性分析方法——討論系統(tǒng)安全脆弱性的分析方法。脆弱性分析格式——描述脆弱性分析結(jié)果的格式。攻擊方法學(xué)及其原理——實(shí)施攻擊測(cè)試的目標(biāo)和方法。攻擊過程——實(shí)施攻擊測(cè)試的詳細(xì)步驟。攻擊計(jì)劃——資源、時(shí)間進(jìn)度和攻擊方法描述。滲透研究——為標(biāo)識(shí)已知或未知的脆弱性而采取的攻擊方法和實(shí)施概要。攻擊概要——描述將要實(shí)施的具體攻擊。注解 …… 通用實(shí)施、公共特征與能力級(jí)別通用實(shí)施、公共特征、能力級(jí)別的關(guān)系 5個(gè)能力級(jí)別及其包含的公共特征第一級(jí)：非正式執(zhí)行該級(jí)將關(guān)注一個(gè)機(jī)構(gòu)或項(xiàng)目是否執(zhí)行了包含基本實(shí)施過程的安全工程。該級(jí)別的特點(diǎn)可以描述為“你必須首先做它，然后才能管理它”。 在本級(jí)別，過程域中的基本實(shí)施通常已得到了執(zhí)行。但這些基本實(shí)施的執(zhí)行可能未經(jīng)過嚴(yán)格的計(jì)劃和跟蹤，而是基于個(gè)人的知識(shí)和努力。第二級(jí)：計(jì)劃和跟蹤該級(jí)將關(guān)注項(xiàng)目層面的定義、規(guī)劃和執(zhí)行問題。該級(jí)別的特點(diǎn)可描述為“在定義機(jī)構(gòu)層面的過程之前，先要理解項(xiàng)目的相關(guān)事項(xiàng)”。 在本級(jí)別上，基本實(shí)施的執(zhí)行要經(jīng)過規(guī)劃并被跟蹤。執(zhí)行時(shí)要依據(jù)具體的流程，并應(yīng)得到驗(yàn)證。工作結(jié)果要符合特定的標(biāo)準(zhǔn)和需求。執(zhí)行情況還要經(jīng)過測(cè)量，以使機(jī)構(gòu)能夠基于這些執(zhí)行而管理其活動(dòng)。它與非正式執(zhí)行級(jí)的主要區(qū)別是過程的實(shí)施要經(jīng)過規(guī)劃和管理。 第三級(jí)：充分定義該級(jí)將關(guān)注于在機(jī)構(gòu)層面上從既定過程中實(shí)施已融合了各個(gè)專業(yè)領(lǐng)域知識(shí)的裁剪結(jié)果。該級(jí)別的特點(diǎn)可描述為“用項(xiàng)目中學(xué)到的最好的東西來創(chuàng)建機(jī)構(gòu)層面的過程”。 在本級(jí)別，基本實(shí)施應(yīng)按照充分定義的過程來執(zhí)行，執(zhí)行過程中將使用已獲批準(zhǔn)的、經(jīng)裁剪的標(biāo)準(zhǔn)。本級(jí)與第2級(jí)“計(jì)劃和跟蹤級(jí)”的主要區(qū)別在于本級(jí)將利用機(jī)構(gòu)范圍內(nèi)的標(biāo)準(zhǔn)化過程來規(guī)劃和管理安全工程過程。 第四級(jí)：量化控制該級(jí)將關(guān)注于測(cè)量，它是與機(jī)構(gòu)的業(yè)務(wù)目標(biāo)緊密聯(lián)系在一起的。這個(gè)級(jí)別的特點(diǎn)可以描述為“只有你知道它是什么，你才能測(cè)量它”以及“當(dāng)你測(cè)量正確的對(duì)象時(shí)，基于測(cè)量的管理才有意義”。 對(duì)過程執(zhí)行情況的詳細(xì)測(cè)量將在本級(jí)中進(jìn)行收集和分析。這將形成對(duì)過程能力的量化理解，使機(jī)構(gòu)有能力去預(yù)測(cè)過程的執(zhí)行。本級(jí)中，過程執(zhí)行的管理是客觀的，工作結(jié)果的質(zhì)量是量化的。本級(jí)與充分定義級(jí)的主要區(qū)別在于所定義的過程是可量化理解和控制的。 第五級(jí)：連續(xù)改進(jìn)該級(jí)將從此前各級(jí)的所有管理活動(dòng)中獲得最大的收益，并強(qiáng)調(diào)機(jī)構(gòu)的文化，以保持所取得的成果。該級(jí)別的特點(diǎn)可以描述為“一個(gè)持續(xù)改進(jìn)的文化需要以良好的管理措施、既定過程和可測(cè)量的目標(biāo)為基礎(chǔ)”。在本級(jí)別，有關(guān)工程過程效果和效率的量化執(zhí)行目標(biāo)已經(jīng)基于機(jī)構(gòu)的業(yè)務(wù)目標(biāo)而建立。過程的執(zhí)行以及試驗(yàn)性的新概念和新技術(shù)產(chǎn)生了量化反饋，從而使基于這些目標(biāo)的連續(xù)的過程改進(jìn)得到了實(shí)現(xiàn)。本級(jí)與量化控制級(jí)的主要區(qū)別在于，在本級(jí)中，基于對(duì)這些過程變化效果的量化理解，工程中既定過程和標(biāo)準(zhǔn)過程將得到不斷的改進(jìn)和提高。 能力級(jí)別的描述格式能力級(jí)別舉例能力級(jí)別2 —— 計(jì)劃和跟蹤 概述在本級(jí)別上，基本實(shí)施的執(zhí)行要經(jīng)過規(guī)劃并被跟蹤。 …… 公共特征清單該能力級(jí)別包含如下公共特征：公共特征2.1 — 規(guī)劃執(zhí)行公共特征2.2 — 規(guī)范化執(zhí)行公共特征2.3 — 驗(yàn)證執(zhí)行公共特征2.4 — 跟蹤執(zhí)行 能力級(jí)別舉例（續(xù)）公共特征2.1 — 規(guī)劃執(zhí)行 概述本公共特征中的通用實(shí)施的重點(diǎn)在于對(duì)基本過程的實(shí)施進(jìn)行規(guī)劃。 …… 通用實(shí)施清單 該公共特征包含如下通用實(shí)施： GP2.1.1 —分配資源 GP2.1.2 —分配責(zé)任 GP2.1.3 —文檔化過程 GP2.1.4 —提供工具 GP2.1.5 —確保培訓(xùn) GP2.1.6 —規(guī)劃過程 能力級(jí)別舉例（續(xù)） GP2.1.1 —分配資源描述為過程域的執(zhí)行提供充分的資源（包括人）。 注解關(guān)系關(guān)鍵資源的標(biāo)識(shí)在過程域PA16“規(guī)劃技術(shù)活動(dòng)”中進(jìn)行。 3.3 SSE-CMM 理解SSE-CMM的應(yīng)用選擇一個(gè)適合機(jī)構(gòu)業(yè)務(wù)或任務(wù)的一個(gè)過程域；查看該過程域的描述、目標(biāo)及所包含的BP；查看機(jī)構(gòu)中是否有在執(zhí)行該過程域包含的所有BP；查看該過程域的目標(biāo)是否得到了滿足；在相應(yīng)的公共特征1.1處上做標(biāo)記；查看公共特征2.1中的描述和所包含的GP ；對(duì)照公共特征2.1中的GP，查看機(jī)構(gòu)是否正在計(jì)劃執(zhí)行所選擇的過程域；如果步驟（7）得到滿足，在公共特征2.1處做上標(biāo)記，如未滿足，則跳至步驟（10） ；對(duì)照第二級(jí)中的其他每一個(gè)公共特征，分別重復(fù)步驟6~8 ；對(duì)每一個(gè)過程域，重復(fù)步驟2~9。所有PA的能力成熟度綜合圖理解SSE-CMM的應(yīng)用 SSE-CMM為每個(gè)能力級(jí)別定義了一個(gè)或多個(gè)公共特征。只有在所有這些公共特征都得到滿足時(shí)，過程才達(dá)到了對(duì)應(yīng)的能力級(jí)別。工程組織可以根據(jù)系統(tǒng)安全工程項(xiàng)目的實(shí)際需求有選擇地執(zhí)行某些過程域而不是全部過程域。 工程組織應(yīng)當(dāng)針對(duì)每個(gè)過程域?yàn)樽约涸u(píng)級(jí)，各過程域上的能力級(jí)別可能不同，這為工程組織過程能力的改善提供了方向。 3.3.5 SSE-CMM的應(yīng)用 SSE-CMM通�？捎迷谌齻�(gè)方面：過程改進(jìn)能力評(píng)估保證 IDEAL模型 3.3 SSE-CMM 3.3.6 SSE-CMM與其他信息安全標(biāo)準(zhǔn)的比較 SSE-CMM與CC SSE-CMM與BS7799 SSE-CMM與其它 SSE-CMM與CC SSE-CMM與BS 7799 SSE-CMM與其他 補(bǔ)充（SSAM）補(bǔ)充（SSAM） SSAM的概念 SSAM：SSE-CMM Appraisal Method 作為專門基于SSE-CMM的評(píng)估方法。包含評(píng)估一個(gè)信息安全工程組織的工程過程能力和成熟度所必需的信息及指南�？捎糜诮M織級(jí)評(píng)估，也可用于項(xiàng)目級(jí)的評(píng)估。 SSAM使用多重?cái)?shù)據(jù)采集方法獲得被評(píng)估組織或項(xiàng)目中所實(shí)施過程的相關(guān)信息采集途徑：?jiǎn)柧碚{(diào)查、人員訪談、證據(jù)分析 補(bǔ)充（SSAM） SSAM的參與者 SSAM的參與者包括：發(fā)起組織評(píng)估組織被評(píng)估組織 補(bǔ)充（SSAM）評(píng)估類型補(bǔ)充（SSAM）評(píng)估階段作業(yè)題qQH紅軟基地

大數(shù)據(jù)信息安全ppt：這是大數(shù)據(jù)信息安全ppt，包括了大數(shù)據(jù)研究概述，大數(shù)據(jù)帶來的安全挑戰(zhàn)，大數(shù)據(jù)安全的關(guān)鍵技術(shù)，大數(shù)據(jù)服務(wù)與信息安全等內(nèi)容，歡迎點(diǎn)擊下載。

關(guān)于2016信息安全的ppt：這是關(guān)于2016信息安全的ppt，包括了計(jì)算機(jī)病毒，認(rèn)識(shí)計(jì)算機(jī)病毒，如何才能預(yù)防計(jì)算機(jī)病毒，做一個(gè)文明的上網(wǎng)人，小知識(shí)，總結(jié)等內(nèi)容，歡迎點(diǎn)擊下載。

大數(shù)據(jù)與信息安全ppt：這是大數(shù)據(jù)與信息安全ppt，包括了大數(shù)據(jù)概念與典型應(yīng)用現(xiàn)狀，大數(shù)據(jù)發(fā)展趨勢(shì)與關(guān)鍵技術(shù)，芯片安全技術(shù)，可信計(jì)算技術(shù)等內(nèi)容，歡迎點(diǎn)擊下載。