信息系统安全的需求分析
信息系统安全需求分析是构建安全信息系统的基础。信息系统安全需求分析是指针对安全的目标,发现信息系统中可能存在的风险和潜在威胁并进行分析,并以此为依据进行安全分类,利用不同技术制定保护措施应对风险。
信息系统安全需求分析重要方法有企业架构方法,多视角(信息、业务、技术、解决方案)分析安全信息系统构建的基础和目标,获取组织和业务的安全需求。
信息系统安全的设计
信息系统由开放式系统和封闭式系统组成,因此信息系统安全设计可以分为开放式系统安全设计和封闭式系统安全设计
开放式系统安全设计:开放式系统很难保证绝对安全。依据木桶原理,系统的不安全程度由最薄弱的部分决定,只要某一组成部分存在漏洞,系统就容易被入侵者从此处攻破。该部分的设计应在安全、代价、方便中找到平衡点
封闭系统安全设计:实现封闭系统安全的途径有两个特点:
信息系统安全测评
信息系统安全测评依据的概念模型是一种合理的和自我包容的整体安全保障模型,该模型包含对象、生命周期、信息特征三个方面。
信息系统安全测评原则:
信息系统安全测评的方法:
模糊测试:属于软件测试中的黑盒测试,是一种通过向目标系统提供非预期的输入并监视异常结构来发现软件漏洞的方法。模糊测试不需要程序的代码就可以发现问题
代码审计:顾名思义,就算检查源代码中的缺点和错误信息,分析并找到这些问题引发的安全漏洞,并提供代码修订措施和建议。
信息系统安全评测:
持续监督
安全工程能力评估
CMM是应美国政府要求所开发的,一种能提高软件产品之类的软件模型。
CMM分为五类:
优化级
CMMI能力成熟度模型(CMMI)
CMMI分为五个成熟度级别:
优化级
SSE-CMM
SSE-CMM是CMM在系统安全工程领域的一个分支
SSE-CMM将安全工程划分为风险、工程、保证三个过程域组
风险过程域组:
工程过程域组:
保证工程域组:
SSE-CMM模型是二维的,分别称为”域“ 和 ”能力“
域维:汇集了定义安全工程的所有实践活动----基本实施
能力维:代表了组织能力,由过程管理和制度化能力构成,即一系列通用实施过程。
转载:https://blog.csdn.net/qq_43799246/article/details/111350323
如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!
赞0
添加新评论0 条评论