信息系統(tǒng)安全集成第2章

信息系統(tǒng)安全集成過程第一頁，共三十二頁。信息系統(tǒng)安全集成過程

本章講述信息系統(tǒng)安全集成管理的全過程，包括集成準備、方案設計、建設實施、安全保證的主要方法和內容。摘要2第二頁，共三十二頁。目錄安全集成的定義及服務管理過程概述1安全集成準備工作的主要方法2安全集成方案設計的主要方法4安全集成建設實施的主要工作安全集成安全保證的主要內容35第三頁，共三十二頁。目錄安全集成的定義及服務管理過程概述1安全集成準備工作的主要方法2安全集成方案設計的主要方法4安全集成建設實施的主要工作安全集成安全保證的主要內容35第四頁，共三十二頁。

信息系統(tǒng)安全集成背景介紹信息時代，企業(yè)的數(shù)據(jù)電子化，篡改和非法復制變得容易設備和系統(tǒng)的增多，安全性沒有統(tǒng)一的考慮，系統(tǒng)出錯、受到非法截獲和破壞的可能性增大企業(yè)有機會建立自己的網(wǎng)站和信息化辦公系統(tǒng)，但疏于信息安全考慮，讓企業(yè)財務收支、聲譽、品牌形象，甚至企業(yè)的生存能力都會受到影響和懷疑盡管系統(tǒng)面臨的威脅越來越多，但還是有非常多的企業(yè)沒有給予信息系統(tǒng)安全集成以足夠的重視。安全技術和安全管理并沒有在系統(tǒng)集成中得到重視或者有效運用信息系統(tǒng)的安全性比以前任何時候都重要第五頁，共三十二頁。信息系統(tǒng)安全集成背景介紹（續(xù)）從技術和管理上來解決這些安全問題信息系統(tǒng)安全集成的任務安全管理安全技術泄密問題、網(wǎng)絡問題、口令問題、權限問題.....頭痛？？？第六頁，共三十二頁。信息系統(tǒng)安全集成的定義

信息系統(tǒng)安全集成服務（簡稱：安全集成）是指從事計算機應用系統(tǒng)工程和網(wǎng)絡系統(tǒng)工程的安全需求界定、安全設計、建設實施、安全保證的活動。第七頁，共三十二頁。信息系統(tǒng)安全集成服務管理過程的定義

信息系統(tǒng)安全集成服務管理過程指是按照信息系統(tǒng)項目建設的安全需求，采用信息系統(tǒng)安全工程的管理方法和理論，將項目建設中的安全單元、產品部件進行集成和管理的行為或活動。第八頁，共三十二頁。信息系統(tǒng)安全集成服務管理過程的定義（續(xù)）信息系統(tǒng)安全集成服務過程在已有信息系統(tǒng)上額外增加信息安全子系統(tǒng)或信息安全設備在新建信息系統(tǒng)的結構化設計中考慮信息安全保證因素安全優(yōu)化或安全加固第九頁，共三十二頁。安全集成服務過程要求的四個階段界定安全需求確定服務合同確定服務人員和組織簽訂保密協(xié)議集成準備方案設計建設實施安全保證安全方案設計管理安全控制措施安全協(xié)調安全監(jiān)控驗證和確認安全建立保證論據(jù)第十頁，共三十二頁。目錄安全集成的定義及服務管理過程概述1安全集成準備工作的主要方法2安全集成方案設計的主要方法4安全集成建設實施的主要工作安全集成安全保證的主要內容35第十一頁，共三十二頁。安全集成準備工作的意義理清客戶的安全需求，少走不必要的彎路有效識別法律、政策和約束條件,避免商業(yè)風險和泄密事件幫助客戶有效分析安全行為和安全威脅，界定防范這些風險的控制措施第十二頁，共三十二頁。安全集成準備工作的主要方法界定安全需求簽定服務合同確定服務人員簽訂保密協(xié)議理解客戶的安全需求識別法律、政策和約束條件識別安全背景獲取安全視圖獲取安全目標定義安全要求達成安全協(xié)議第十三頁，共三十二頁。安全集成準備工作的主要方法（續(xù)）理解客戶的安全需求識別法律、政策和約束條件識別安全背景獲取安全視圖獲取安全目標定義安全要求達成安全協(xié)議需求是什么約束是什么？目標是什么？達成協(xié)議安全需求說明安全約束條件威脅環(huán)境分析安全輪廓說明安全分析視圖安全要求基線安全目標達成一致性協(xié)議第十四頁，共三十二頁。目錄安全集成的定義及服務管理過程概述1安全集成準備工作的主要方法2安全集成方案設計的主要方法4安全集成建設實施的主要工作安全集成安全保證的主要內容35第十五頁，共三十二頁。......安全集成方案設計的主要原則安全方案設計采用有效的安全策略設計安全控制恰當?shù)男畔⑾到y(tǒng)第十六頁，共三十二頁。安全集成方案設計的主要方法安全方案設計達成安全需求共識確定安全約束條件和考慮事項識別安全集成的項目方案評審項目方案提供安全集成指南提供安全運行指南本階段的主要目的：基于識別的安全需求，為信息系統(tǒng)的規(guī)劃人員、設計人員、實施人員和客戶提供所需的安全信息。這些信息至少包括安全體系結構、設計或實施的項目方案以及安全指南第十七頁，共三十二頁。安全集成方案設計的主要方法（續(xù)）各方需求協(xié)商約束條件影響選擇各方安全指南的提供工作組需求信息協(xié)議設計標準和實現(xiàn)原則安全模型信任關系分析設計和實現(xiàn)建議設計方案端到端的權衡結果和建議與設計人員、開發(fā)人員、客戶溝通確認，以確保相關團體對安全輸入需求達成共識。確定安全約束條件和考慮事項，以便做出最佳安全集成選擇向各工作組提供項目相關的安全指南向信息系統(tǒng)運行的用戶和管理員提供安全運行指南安全體系結構方案識別和評審識別安全集成的項目方案利用安全約束條件和考慮事項對項目方案進行評審第十八頁，共三十二頁。目錄安全集成的定義及服務管理過程概述1安全集成準備工作的主要方法2安全集成方案設計的主要方法4安全集成建設實施的主要工作安全集成安全保證的主要內容35第十九頁，共三十二頁。安全集成建設實施的主要工作管理安全控制安全協(xié)調安全監(jiān)控制定協(xié)調目標識別協(xié)調機制促進安全協(xié)調協(xié)調安全決策和建議協(xié)調安全的目的是確保所有相關組織和工作組人員都能積極參與安全集成項目。協(xié)調安全涉及到保持所有項目人員與外部組織以及工作組之間溝通。第二十頁，共三十二頁。安全集成建設實施階段：安全協(xié)調識別協(xié)調目標識別協(xié)調機制促進協(xié)調項目成員關系和進度表會議報告、備忘錄模板解決沖突的規(guī)程安全決策記錄安全建議記錄溝通計劃和規(guī)范協(xié)調安全決策和建議確定安全集成協(xié)調目標和關系識別安全集成的協(xié)調機制促進安全集成協(xié)調運用已識別的協(xié)調機制協(xié)調有關安全的決策和建議第二十一頁，共三十二頁。安全集成建設實施階段：管理安全控制管理安全控制建立安全管理職責和管理安全控制機制的配置管理安全意識、培訓和教育定期維護與管理安全控制措施通過正確實施和配置，確保信息系統(tǒng)的安全措施在其運行狀態(tài)下達到了預期目標。通過正確實施和配置，確保信息系統(tǒng)的安全措施在其運行狀態(tài)下達到了預期目標。第二十二頁，共三十二頁。安全集成建設實施階段：管理安全控制（續(xù)）建立管理職責實施和配置培訓和教育安全角色、職責和授權實施問題記錄策略配置及變更控制措施的狀態(tài)評審培訓和教育運維管理定期評審安全措施的棄置規(guī)程

管理安全控制機制的配置實施方案定期維護和管理定期維護和管理安全控制機制建立安全控制機制的管理職責和可核查性，并且傳達給組織中的所有成員對所有員工的安全意識、培訓和教育進行管理第二十三頁，共三十二頁。安全監(jiān)控分析事件記錄監(jiān)控安全環(huán)境變化識別安全事件監(jiān)控安全防護措施安全集成建設實施階段：安全監(jiān)控評審安全態(tài)勢管理安全事件的響應保護安全監(jiān)控結果監(jiān)控安全態(tài)勢的目的是確保識別和報告所有的安全違規(guī)行為、試圖違規(guī)行為或能夠潛在地導致安全違規(guī)的錯誤。監(jiān)控安全態(tài)勢需要監(jiān)控內部和外部環(huán)境中可能影響信息系統(tǒng)安全的所有因素。第二十四頁，共三十二頁。安全集成建設實施階段：安全監(jiān)控（續(xù)）監(jiān)視記錄和變化識別和管理事件監(jiān)控和評審日志組成和來源描述入侵事件報告和總結系統(tǒng)恢復優(yōu)先級列表風險容量評審安全態(tài)勢定期評審日志分析和總結保護結果分析事件記錄，以確定事件的原因、趨勢以及可能的事件監(jiān)控威脅、脆弱性、影響、風險和環(huán)境的變化識別安全事件管理安全事件的響應監(jiān)控安全防護措施的性能和功能有效性評審信息系統(tǒng)的安全態(tài)勢，以識別必要的安全變更保護安全監(jiān)控結果應急響應和計劃監(jiān)控結果可用性和授權管理第二十五頁，共三十二頁。目錄安全集成的定義及服務管理過程概述1安全集成準備工作的主要方法2安全集成方案設計的主要方法4安全集成建設實施的主要工作安全集成安全保證的主要內容35第二十六頁，共三十二頁。安全集成安全保證的目的和意義避免集成方案實施后，等到安全事故發(fā)生才去補救表明項目方案的正確實施，且方案是有效的安全集成安全保證能力的不易評估性，決定需要安全保證第二十七頁，共三十二頁。安全集成安全保證的主要內容驗證和確認安全建立保證論據(jù)由多種保證證據(jù)支持的一系列陳述性保證目標。包括識別和定義保證要求、證據(jù)的產生和分析活動以及支持保證要求所需的附加證據(jù)活動。保證論據(jù)驗證

表明項目方案被正確地實施；確認

證明項目方案是有效的。驗證&確認第二十八頁，共三十二頁。安全保證的主要內容：建立安全保證論據(jù)獲提供表明客戶安全需求得到滿足安全保證論據(jù)保證目標和策略提出安全論據(jù)識別安全保證目標分析證據(jù)分析安全保證證據(jù)識別和控制安全保證證據(jù)安全保證目標說明安全保證策略說明保證證據(jù)系列說明有附屬證據(jù)的保障論據(jù)保證證據(jù)分析結果安全測量準則說明制定安全測量準則識別證據(jù)制定安全保證策略第二十九頁，共三十二頁。安全保證的主要內容：驗證和確認安全獲取驗證和確認結果驗證和確認安全如何驗證和確認驗證和確認結果識別要驗證和確認的解決方案制定驗證和確認解決方案的方法和嚴格等級執(zhí)行驗證和確認驗證解決方案實現(xiàn)了安全相關的要求確認解決方案滿足了客戶的安全需求驗證和確認計劃測試、分析、演示和觀察計劃端到端的可追蹤矩陣驗證和確認測試結果項目方案的驗證結果驗證和確認方案問題報告項目方案的確認結果驗證和確認計劃第三十頁，共三十二頁。謝謝！第三十一頁，共三十二頁。內容總結信息系統(tǒng)安全集成過程。摘要。安全集成安全保證的主要內容。安全集成安全保證的主要內容。安全技術和安全管理并沒有在系統(tǒng)集成中得到重視或者有效運用。信息安全子系統(tǒng)或信息安全設備。安全優(yōu)化或