信息安全系统工程就是要建造一个信息安全系统,它是整个信息系统工程的一部分,而且最好是与业务应用信息系统工程通不用进行
信息安全空间
X轴是“安全机制”。安全机制可以理解为提供某些安全服务,利用各种安全技术和技巧,所形成的一个较为完善的结构体系,实际上就是指安全操作系统、安全数据库、应用开发运营的安全平台以及网络安全管理监控系统等。
Y轴是“OSI网络参考模型”。信息安全系统的许多技术、技巧都是在网络的各个层面上实施的,离开网络信息系统的安全也就失去意义
Z轴是“安全服务”。安全服务就是从网络中的各个层次提供给信息应用系统所需要的安全服务支持。如对等实体认证服务、访问控制服务、数据保密服务等。
由X、Y、Z三个轴形成的信息安全系统三维空间就是信息的“安全空间”。随着网络的逐层扩展,这个空间不仅范围逐步加大,安全的内涵也就更丰富,达到具有认证、权限、完整、加密和不可否认五大要素,也叫做“安全空间”五大属性。
安全服务包括
对等实体认证服务:对等实体认证服务用于两个开放系统同等层中的实体建立链接或数据传输时,对对方实体的合法性、真实性进行确认,以防假冒
数据保密服务。数据保密服务包括多种保密服务,为了防止网络中各系统之间的数据被接货或被非法存取而泄密,提供密码加密好糊。数据保密服务可提供连接方式和无连接方式两种数据保密,同时也可对用户可选字段的数据进行保护。
数据完整性服务:数据完整性服务用以防止非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失
数据源点认证服务:数据源点认证服务用于确保数据发自真正的源点,防止假冒。
禁止否认服务:禁止否认服务用以防止发送方在发送数据后否认自己发送过此数据,接收方在收到数据后否认自己收到过此数据或伪造接收数据,由两种服务组成;不得否认发送和不得否认接收
犯罪证据提供服务:指为违反国内外法律法规的行为或活动,提供各类数字证据、信息线索等
信息安全系统工程能力成熟度模型是一种衡量信息安全系统工程实施能力的方法
ISSE-CMM主要适用于工程组织、获取组织和评估组织
ISSE将信息安全系统工程实施过程分解为工程过程、风险过程和保证过程
等级定义:
Level1 非正规实施级:执行基本实施
Level2 规划和跟踪级:规划执行、规范化执行、验证执行、跟踪执行
level3 充分定义级 定义标准化过程、执行已定义的过程、协调安全实施
Level4 量化控制级:建立可测度的质量目标、对执行情况实施客观管理
Level5 持续改进级:改进组织能力、改进过程的效能