信息安全工程中国信息安全测评中心课程内容2信息安全工程知识体知识域安全工程基础安全工程生命周期系统工程、项目管理、质量管理能力成熟度基础信息安全工程概述SSE-CMM体系与原理安全工程过程安全工程能力安全工程评估安全工程能力知识子域发掘信息保护需求开展详细安全设计实施系统安全确定系统安全要求设计系统安全体系结构评估信息保护的有效性信息安全工程各方职责监理阶段目标信息安全工程监理模型知识子域学习目标理解信息安全工程的基本概念和重要性熟悉系统安全工程能力成熟度模型(SSE-CMM),能够应用系统安全工程能力成熟度模型(SSE-CMM)指导开展信息安全工程建设、改进安全服务质量3安全工程概述信息安全工程是信息安全保障的重要组成部分,但是却被广泛忽视等级保护—技术、管理传统风险评估—资产\威胁\脆弱性从普通管理者的角度看信息安全状况是“重技术、轻管理”;从一般安全人员看信息安全是“重应用、轻安全”;从专业人员的角度看信息安全的状况是“重要素、轻过程”,情况更严重
信息安全工程就是要解决信息系统生命周期的“过程安全”问题从生活中的案例开始《消防通道设计规范》规定“商住楼中住宅的疏散楼梯应独立设置”右图是一家门市,为应付消防检查自行搭建的消防通道5安全工程的重要性如果在大楼的设计和实施阶段没有考虑消防,把楼盖完了,再去设置消防通道,必然会导致成本的上升和安全性的下降安全工程在信息化建设中的重要性有过之而无不及6信息化建设中的案例A公司开展家用电话自助刷卡支付业务用户可以通过其网站查询个人付款信息第三方安全测平发现该网站存在SQL注入漏洞,可以泄露用户交易信息7信息化建设中的案例(续)当初外包开发此网站的公司已经倒闭A公司技术人员对网站系统开发情况不了解,没有能力消除该漏洞
公司董事会研究最终决定,为保护用户隐私,暂时不再为用户提供网上交易信息查询服务
