五、信息安全保障基本知识

20世纪40-70年代，通信安全，加密，防窃听

20世纪70-90年代，计算机安全，口令，美国TCSEC橙皮书，计算机系统分级

20世纪90年代后，信息技术安全，防病毒，防火墙，VPN

现在到未来，信息安全保障，黑客，网络犯罪，信息战等

—–

信息安全指信息本身的机密性，完整性和可用性保持。

美国国防部定义，信息安全保障：完整性，可用性，鉴别性，机密性，抗抵赖性

网络安全模型，CC的信息技术安全模型（功能要求，保证要求）

P2DR模型：策略（响应，防护，检测）

安全包括：Safety和Security

—–

保障的含义，范围：通信安全，网络安全，数据安全；外部环境法律与政策，内部环境

信息安全保障模型：三维关系

生命周期：计划组织，开发采购，实施交付，运行维护，废弃

保障要素：技术，工程，管理，人员

安全特征：机密性，完整性，可用性

—–

信息系统安全保障评估框架：简介和一般模型，技术保障，管理保障，工程保障

—–

六、信息安全工程

信息安全建设必须同信息化建设“同步规划，同步实施”

生产过程的高质量和组织实施的成熟性可以以低成本地生产出高质量的产品

—–

信息系统安全工程能力成熟模型，SSE-CMM

描述了一个组织的系统安全工程过程必须包含的基本特征

完善安全工作的保证，系统安全工程实施的度量标准，评估框架

SSE-CMM覆盖整个产品或系统的生命周期

—–

过程区域，Process Area，PA，是过程的一种单位，由基本实施，BP组成

PA包括三类：工程、项目和组织

过程能力，Process Capability，度量方法

两维模型：域维（由所有定义的安全工程过程区域组成）和能力维（组织实施的能力）

基本实施BP有129个=》过程区域PA共22个=》过程分类

通用实践GP=》公共特征CF=》能力级别0-5级

域维-工程类PA有3种：风险过程，工程过程，保证过程

能力维：0级，未实施；1级，非正规执行；2级，规划和跟踪级；3级，充分定义级；4级，量化控制级；5级，持续改进级

—–

信息安全工程监理模型：

监理咨询阶段过程，控制和管理手段（三控两管一协调），监理咨询支撑要素