信息系統(tǒng)安全集成-第二章

1、信息系統(tǒng)安全集成過程信息系統(tǒng)安全集成過程2信息系統(tǒng)安全集成過程本章講述信息系統(tǒng)安全集成管理的全過程，包括集成準(zhǔn)備、方案設(shè)計、建設(shè)實施、安全保證的主要方法和內(nèi)容。摘 要 目錄1 12 24 43 35 5 目錄1 12 24 43 35 5 信息系統(tǒng)安全集成 背景介紹 信息時代，企業(yè)的數(shù)據(jù)信息時代，企業(yè)的數(shù)據(jù)電子化，電子化，篡改和非法復(fù)篡改和非法復(fù)制制變得容易變得容易設(shè)備和系統(tǒng)的增多，安設(shè)備和系統(tǒng)的增多，安全性沒有統(tǒng)一的考慮，全性沒有統(tǒng)一的考慮，系統(tǒng)出錯、受到非法截系統(tǒng)出錯、受到非法截獲和破壞獲和破壞的可能性增大的可能性增大企業(yè)有機(jī)會建立自己的網(wǎng)企業(yè)有機(jī)會建立自己的網(wǎng)站和信息化辦公系統(tǒng)，但站和信

2、息化辦公系統(tǒng)，但疏于疏于信息安全信息安全考慮，讓企考慮，讓企業(yè)財務(wù)收支、聲譽、品牌業(yè)財務(wù)收支、聲譽、品牌形象，甚至企業(yè)的生存能形象，甚至企業(yè)的生存能力都會受到影響和懷疑力都會受到影響和懷疑盡管系統(tǒng)面臨的威脅越來越盡管系統(tǒng)面臨的威脅越來越多，但還是有非常多的企業(yè)多，但還是有非常多的企業(yè)沒有給予沒有給予信息系統(tǒng)安全集成信息系統(tǒng)安全集成以足夠的重視。安全技術(shù)和以足夠的重視。安全技術(shù)和安全管理并沒有在系統(tǒng)集成安全管理并沒有在系統(tǒng)集成中得到重視或者有效運中得到重視或者有效運用用信息系統(tǒng)的安全性比以前任何時候都重要信息系統(tǒng)的安全性比以前任何時候都重要信息系統(tǒng)安全集成 背景介紹（續(xù)）從技術(shù)和管理上來解決從技

3、術(shù)和管理上來解決這些安全問題這些安全問題信息系統(tǒng)安全集成的任務(wù)信息系統(tǒng)安全集成的任務(wù)泄密問題、網(wǎng)絡(luò)泄密問題、網(wǎng)絡(luò)問題、口令問題、問題、口令問題、權(quán)限問題權(quán)限問題.頭痛？頭痛？信息系統(tǒng)安全集成的定義 信息系統(tǒng)信息系統(tǒng)安全集成服務(wù)安全集成服務(wù)（簡稱：安全（簡稱：安全集成）是指從事計算機(jī)應(yīng)用系統(tǒng)工程和網(wǎng)集成）是指從事計算機(jī)應(yīng)用系統(tǒng)工程和網(wǎng)絡(luò)系統(tǒng)工程的絡(luò)系統(tǒng)工程的安全需求界定、安全設(shè)計、安全需求界定、安全設(shè)計、建設(shè)實施、安全保證建設(shè)實施、安全保證的活動。的活動。信息系統(tǒng)安全集成服務(wù)管理過程的定義 信息系統(tǒng)信息系統(tǒng)安全集成服務(wù)管理過程安全集成服務(wù)管理過程指是按照信息系統(tǒng)指是按照信息系統(tǒng)項目建設(shè)的項目建設(shè)

4、的安全需求，安全需求，采用信息系統(tǒng)安全工程的采用信息系統(tǒng)安全工程的管理管理方法和理論，方法和理論，將項目建設(shè)中的將項目建設(shè)中的安全單元、產(chǎn)品部件安全單元、產(chǎn)品部件進(jìn)進(jìn)行行集成和管理集成和管理的行為或活動。的行為或活動。信息系統(tǒng)安全集成服務(wù)管理過程的定義（續(xù)）信息系統(tǒng)安全集成服務(wù)過程信息系統(tǒng)安全集成服務(wù)過程安全優(yōu)化安全優(yōu)化或或安全加固安全加固安全集成服務(wù)過程要求的四個階段1.1.界定安全集成需求界定安全集成需求2.2.確定服務(wù)合同確定服務(wù)合同3.3.確定服務(wù)人員和組織確定服務(wù)人員和組織4.4.簽訂保密協(xié)議簽訂保密協(xié)議 集成準(zhǔn)備集成準(zhǔn)備 方案設(shè)計方案設(shè)計 建設(shè)實施建設(shè)實施 安全保證安全保證1.1.

5、安全方案設(shè)計安全方案設(shè)計1.1.管理安全控制措施管理安全控制措施2.2.安全協(xié)調(diào)安全協(xié)調(diào)3.3.安全監(jiān)控安全監(jiān)控1.1.驗證和確認(rèn)安全驗證和確認(rèn)安全2.2.建立保證論據(jù)建立保證論據(jù) 目錄1 12 24 43 35 5安全集成準(zhǔn)備工作的意義安全集成準(zhǔn)備工作的主要方法安全集成準(zhǔn)備工作的主要方法（續(xù)）約束是什么？約束是什么？目標(biāo)是什么？目標(biāo)是什么？ 安全需求說明安全需求說明 安全約束條件安全約束條件 威脅環(huán)境分析威脅環(huán)境分析 安全輪廓說明安全輪廓說明 安全分析視圖安全分析視圖 安全要求基線安全要求基線 安全目標(biāo)安全目標(biāo)達(dá)成一致性協(xié)議達(dá)成一致性協(xié)議 目錄1 12 24 43 35 5.安全集成方案設(shè)計

6、的主要原則采用有效的采用有效的安全策略安全策略設(shè)計安全控制恰當(dāng)?shù)脑O(shè)計安全控制恰當(dāng)?shù)男畔⑾到y(tǒng)信息系統(tǒng)安全集成方案設(shè)計的主要方法達(dá)成安全需求共識達(dá)成安全需求共識確定安全約束條件和考慮事項確定安全約束條件和考慮事項識別安全集成的項目方案識別安全集成的項目方案評審項目方案評審項目方案提供安全集成指南提供安全集成指南提供安全運行指南提供安全運行指南本階段的主要目的：本階段的主要目的：基于識別的安全需求，為信息系統(tǒng)的規(guī)劃人基于識別的安全需求，為信息系統(tǒng)的規(guī)劃人員、設(shè)計人員、實施人員和客戶提供所需的員、設(shè)計人員、實施人員和客戶提供所需的安全信息。這些信息至少包括安全體系安全信息。這些信息至少包括安全體系結(jié)構(gòu)

7、、設(shè)計或?qū)嵤┑捻椖糠桨敢约鞍踩改辖Y(jié)構(gòu)、設(shè)計或?qū)嵤┑捻椖糠桨敢约鞍踩改习踩煞桨冈O(shè)計的主要方法（續(xù)）各方需求協(xié)商各方需求協(xié)商約束條件影響選擇約束條件影響選擇各方安全指南的提供各方安全指南的提供與設(shè)計人員、開發(fā)人員、客戶溝通確認(rèn)，以確保相關(guān)與設(shè)計人員、開發(fā)人員、客戶溝通確認(rèn)，以確保相關(guān)團(tuán)體對安全輸入需求達(dá)成共識。團(tuán)體對安全輸入需求達(dá)成共識。確定安全約束條件和考慮事項，以便做出最佳安全集成選擇確定安全約束條件和考慮事項，以便做出最佳安全集成選擇向各工作組提供項目相關(guān)的安全指南向各工作組提供項目相關(guān)的安全指南向信息系統(tǒng)運行的用戶和管理員提供安全運行指南向信息系統(tǒng)運行的用戶和管理員提供安全運行指南

8、方案識別和評審方案識別和評審識別安全集成的項目方案識別安全集成的項目方案利用安全約束條件和考慮事項對項目方案進(jìn)行評審利用安全約束條件和考慮事項對項目方案進(jìn)行評審 目錄1 12 24 43 35 5安全集成建設(shè)實施的主要工作制定協(xié)調(diào)目標(biāo)制定協(xié)調(diào)目標(biāo)識別協(xié)調(diào)機(jī)制識別協(xié)調(diào)機(jī)制促進(jìn)安全協(xié)調(diào)促進(jìn)安全協(xié)調(diào)協(xié)調(diào)安全決策和建議協(xié)調(diào)安全決策和建議安全集成建設(shè)實施階段：安全協(xié)調(diào)確定安全集成協(xié)調(diào)目標(biāo)和關(guān)系確定安全集成協(xié)調(diào)目標(biāo)和關(guān)系識別安全集成的協(xié)調(diào)機(jī)制識別安全集成的協(xié)調(diào)機(jī)制促進(jìn)安全集成協(xié)調(diào)促進(jìn)安全集成協(xié)調(diào)運用已識別的協(xié)調(diào)機(jī)制協(xié)調(diào)有關(guān)安全的決策和建議運用已識別的協(xié)調(diào)機(jī)制協(xié)調(diào)有關(guān)安全的決策和建議安全集成建設(shè)實施階段：管

9、理安全控制建立安全管理職責(zé)和建立安全管理職責(zé)和管理安全控制機(jī)制的配置管理安全控制機(jī)制的配置管理安全意識、培訓(xùn)和教育管理安全意識、培訓(xùn)和教育定期維護(hù)與管理安全控制措施定期維護(hù)與管理安全控制措施通過正確實施和配置，確保信息系統(tǒng)的安全措施在其運行狀態(tài)下達(dá)到了預(yù)期目標(biāo)。安全集成建設(shè)實施階段：管理安全控制（續(xù)） 管理安全控制機(jī)制的配置管理安全控制機(jī)制的配置定期維護(hù)和管理安全控制機(jī)制定期維護(hù)和管理安全控制機(jī)制建立安全控制機(jī)制的管理職責(zé)和可核查性，并且傳達(dá)建立安全控制機(jī)制的管理職責(zé)和可核查性，并且傳達(dá)給組織中的所有成員給組織中的所有成員對所有員工的安全意識、培訓(xùn)和教育進(jìn)行管理對所有員工的安全意識、培訓(xùn)和教育

10、進(jìn)行管理分析事件記錄分析事件記錄監(jiān)控安全環(huán)境變化監(jiān)控安全環(huán)境變化識別安全事件識別安全事件監(jiān)控安全防護(hù)措施監(jiān)控安全防護(hù)措施安全集成建設(shè)實施階段：安全監(jiān)控評審安全態(tài)勢評審安全態(tài)勢管理安全事件的響應(yīng)管理安全事件的響應(yīng)保護(hù)安全監(jiān)控結(jié)果保護(hù)安全監(jiān)控結(jié)果安全集成建設(shè)實施階段：安全監(jiān)控（續(xù)）日志組成和來源描述日志組成和來源描述入侵事件報告和總結(jié)入侵事件報告和總結(jié)系統(tǒng)恢復(fù)優(yōu)先級列表系統(tǒng)恢復(fù)優(yōu)先級列表風(fēng)險容量評審風(fēng)險容量評審安全態(tài)勢定期評審安全態(tài)勢定期評審日志分析和總結(jié)日志分析和總結(jié)應(yīng)急響應(yīng)和計劃應(yīng)急響應(yīng)和計劃監(jiān)控結(jié)果可用性和授權(quán)管理監(jiān)控結(jié)果可用性和授權(quán)管理 目錄1 12 24 43 35 5安全集成安全保證的目的和意義安全集成安全保證的主要內(nèi)容安全保證的主要內(nèi)容：建立安全保證論據(jù)獲提供表明客戶安全需求得到滿足安全保證論據(jù)獲提供表明客戶安全需求得到滿足安全保證論據(jù)識別安全保證目標(biāo)識別安全保證目標(biāo)分析安全保證證據(jù)分析安全保證證據(jù)識別和控制安全保證證據(jù)識別和控制安全保證證據(jù)制定安全測量準(zhǔn)則制定安全測量準(zhǔn)則制定安全保證策略制定安全保證策略安全保證的主要內(nèi)容：驗證