信息系统安全集成第章2

单击此处编辑母版标题样式,*,*,单击此处编辑母版标题样式,*,单击此处编辑母版标题样式,*,*,信息系统安全集成过程,信息系统安全集成过程,本章,讲述信息系统安全集成管理的全过程，包括集成准备、方案设计、建设实施、安全保证的主要方法和内容。,摘 要,2,目录,安全集成的定义及服务管理过程概述,1,安全集成准备工作的主要方法,2,安全集成方案设计的主要方法,4,安全集成建设实施的主要工作,安全集成安全保证的主要内容,3,5,目录,安全集成的定义及服务管理过程概述,1,安全集成准备工作的主要方法,2,安全集成方案设计的主要方法,4,安全集成建设实施的主要工作,安全集成安全保证的主要内容,3,5,信息系统,安全集成,背景介绍,信息时代，企业的数据电子化，,篡改和非法复制,变得容易,设备和,系统的增多，,安全性没有统一的考虑，,系统出错,、,受到非法截获和破坏,的可能性增大,企业有机会建立自己的网站和信息化办公系统，但疏于,信息安全,考虑，让企业财务收支、声誉、品牌形象，甚至企业的生存能力都会受到影响和怀疑,尽管系统面临的威胁越来越多，但还是有非常多的企业没有给予,信息系统安全集成,以足够的重视。安全技术和安全管理并没有在系统集成中得到重视或者有效运,用,信息系统的安全性比以前任何时候都重要,信息系统安全集成 背景介绍,（续）,从技术和管理上来解决这些安全问题,信息系统安全集成的任务,安全管理,安全技术,泄密问题、网络问题、口令问题、权限问题.,头痛？,信息系统安全集成,的定义,信息系统,安全集成服务,（简称：安全集成）是指从事计算机应用系统工程和网络系统工程的,安全需求界定、安全设计、建设实施、安全保证,的活动。,信息系统安全集成,服务管理过程的定义,信息系统,安全集成,服务管理过程,指,是按照信息系统项目建设的,安全需求，,采用信息系统安全工程,的,管理,方法和理论，,将项目建设中的,安全单元、产品部件,进行,集成,和管理,的行为或活动。,信息系统安全集成,服务管理过程的定义（续）,信息系统安全集成服务过程,在已有信息系统上额外增加,信息安全子系统,或,信息安全设备,在新建信息系统的结构化设计中,考虑,信息安全,保证因素,安全优化,或,安全加固,安全集成服务过程要求的四个阶段,界定安全需求,确定服务合同,确定服务人员和组织,签订保密协议,集成准备,方案设计,建设实施,安全保证,安全方案设计,管理安全控制措施,安全协调,安全监控,验证和确认安全,建立保证论据,目录,安全集,成,成的定,义,义及服,务,务管理,过,过程概,述,述,1,安全集,成,成准备,工,工作的,主,主要方,法,法,2,安全集,成,成方案,设,设计的,主,主要方,法,法,4,安全集,成,成建设,实,实施的,主,主要工,作,作,安全集,成,成安全,保,保证的,主,主要内,容,容,3,5,安全,集成准,备,备,工作的,意,意义,理清客,户,户的安,全,全需求,，,，少走,不,不必要,的,的弯路,有效识,别,别法律,、,、政策,和,和约束,条,条件,避,避免商,业,业风险,和,和泄密,事,事件,帮助客,户,户有效,分,分析安,全,全行为,和,和安全,威,威胁，,界,界定防,范,范这些,风,风险的,控,控制措,施,施,安全,集成准,备,备,工作的,主,主要方,法,法,界定安,全,全需求,签定服,务,务合同,确定服,务,务人员,签订保,密,密协议,理解客,户,户的安,全,全需求,识别法,律,律、政,策,策和约,束,束条件,识别安,全,全背景,获取安,全,全视图,获取安,全,全目标,定义安,全,全要求,达成安,全,全协议,安全集,成,成准备,工,工作的,主,主要方,法,法,（续）,理解客,户,户的安,全,全需求,识别法,律,律、政,策,策和约,束,束条件,识别安,全,全背景,获取安,全,全视图,获取安,全,全目标,定义安,全,全要求,达成安,全,全协议,需求是,什,什么,约束是,什,什么？,目标是,什,什么？,达成协,议,议,安全需,求,求说明,安全约,束,束条件,威胁环,境,境分析,安全轮,廓,廓说明,安全分,析,析视图,安全要,求,求基线,安全目,标,标,达成一,致,致性协,议,议,目录,安全集,成,成的定,义,义及服,务,务管理,过,过程概,述,述,1,安全集成准,备,备工作的主,要,要方法,2,安全集成方,案,案设计的主,要,要方法,4,安全集成建,设,设实施的主,要,要工作,安全集成安,全,全保证的主,要,要内容,3,5,.,安全集成方,案,案设计的主,要,要,原则,安全方案设,计,计,采用有效的,安全策略,设计安全控,制,制恰当的,信息系统,安全集成方,案,案设计的主,要,要方法,安全方案设,计,计,达成安全需,求,求共识,确定安全约,束,束条件和考,虑,虑事项,识别安全集,成,成的项目方,案,案,评审项目方,案,案,提供安全集,成,成指南,提供安全运,行,行指南,本阶段的主,要,要目的：,基于识别的,安,安全需求，,为,为信息系统,的,的规划人,员、设计人,员,员、实施人,员,员和客户提,供,供所需的,安全信息。,这,这些信息至,少,少包括安全,体,体系,结构、设计,或,或实施的项,目,目方案以及,安,安全指南,安全集成方,案,案设计的主,要,要方法,（续）,各方需求协,商,商,约束条件影,响,响选择,各方安全指,南,南的提供,工作组需求,信,信息协议,设计标准和,实,实现原则,安全模型,信任关系分,析,析,设计和实现,建,建议,设计方案,端到端的权,衡,衡结果和建,议,议,与设计人员,、,、开发人员,、,、客户沟通,确,确认，以确,保,保相关,团体对安全,输,输入需求达,成,成共识。,确定安全约,束,束条件和考,虑,虑事项，以,便,便做出最佳,安,安全集成选,择,择,向各工作组,提,提供项目相,关,关的安全指,南,南,向信息系统,运,运行的用户,和,和管理员提,供,供安全运行,指,指南,安全体系结,构,构,方案识别和,评,评审,识别安全集,成,成的项目方,案,案,利用安全约,束,束条件和考,虑,虑事项对项,目,目方案进行,评,评审,目录,安全集成的,定,定义及服务,管,管理过程概,述,述,1,安全集成准,备,备工作的主,要,要方法,2,安全集成方,案,案设计的主,要,要方法,4,安全集成建,设,设实施的主,要,要工作,安全集成安,全,全保证的主,要,要内容,3,5,安全集成建,设,设实施的主,要,要工作,管理安全控,制,制,安全协调,安全监控,制定协调目,标,标,识别协调机,制,制,促进安全协,调,调,协调安全决,策,策和建议,协调安全的,目,目的是确保,所,所有相关组,织,织和工作,组人员都能,积,积极参与安,全,全集成项目,。,。协调安,全涉及到保,持,持所有项目,人,人员与外部,组,组织以及,工作组之间,沟,沟通。,安全集成建,设,设实施阶段,：安全协调,识别协调目,标,标,识别协调机,制,制,促进协调,项目成员关,系,系和进度表,会议报告、,备,备忘录模板,解决冲突的,规,规程,安全决策记,录,录,安全建议记,录,录,沟通计划和,规,规范,协调安全决,策,策和建议,确定安全集,成,成协调目标,和,和关系,识别安全集,成,成的协调机,制,制,促进安全集,成,成协调,运用已识别,的,的协调机制,协,协调有关安,全,全的决策和,建,建议,安全集成建,设,设实施阶段,：管理安全,控,控制,管理安全控,制,制,建立安全管,理,理职责和,管理安全控,制,制机制的配,置,置,管理安全意,识,识、培训和,教,教育,定期维护与,管,管理安全控,制,制措施,通过正确实,施,施和配置，,确,确保信息系,统,统的安全措,施,施在其运行,状,状态下达到,了,了预期目标,。,。,通过正确实,施,施和配置，,确,确保信息系,统,统的安全,措施在其运,行,行状态下达,到,到了预期目,标,标。,安全集成建,设,设实施阶段,：管理安全,控,控制,（续）,建立管理职,责,责,实施和配置,培训和教育,安全角色、,职,职责和授权,实施问题记,录,录,策略配置及,变,变更,控制措施的,状,状态评审,培训和教育,运维管理定,期,期评审,安全措施的,弃,弃置规程,管理安全控,制,制机制的配,置,置,实施方案,定期维护和,管,管理,定期维护和,管,管理安全控,制,制机制,建立安全控,制,制机制的管,理,理职责和可,核,核查性，并,且,且传达,给组织中的,所,所有成员,对所有员工,的,的安全意识,、,、培训和教,育,育进行管理,安全监控,分析事件记,录,录,监控安全环,境,境变化,识别安全事,件,件,监控安全防,护,护措施,安全集成建,设,设实施阶段,：安全监控,评审安全态,势,势,管理安全事,件,件的响应,保护安全监,控,控结果,监控安全态,势,势的目的是,确,确保识别和,报,报告所有,的安全违规,行,行为、试图,违,违规行为或,能,能够潜在,地导致安全,违,违规的错误,。,。监控安全,态,态势需要,监控内部和,外,外部环境中,可,可能影响信,息,息系统安,全的所有因,素,素。,安全集成建,设,设实施阶段,：安全监控,（续）,监视记录和,变,变化,识别和管理,事,事件,监控和评审,日志组成和,来,来源描述,入侵事件报,告,告和总结,系统恢复优,先,先级列表,风险容量评,审,审,安全态势定,期,期评审,日志分析和,总,总结,保护结果,分析事件记,录,录，以确定,事,事件的原因,、,、趋势以及,可,可能的事件,监控威胁、,脆,脆弱性、影,响,响、风险和,环,环境的变化,识别安全事,件,件,管理安全事,件,件的响应,监控安全防,护,护措施的性,能,能和功能有,效,效性,评审信息系,统,统的安全态,势,势，以识别,必,必要的安全,变,变更,保护安全监,控,控结果,应急响应和,计,计划,监控结果可,用,用性和授权,管,管理,目录,安全集成的,定,定义及服务,管,管理过程概,述,述,1,安全集成准,备,备工作的主,要,要方法,2,安全集成方,案,案设计的主,要,要方法,4,安全集成建,设,设实施的主,要,要工作,安全集成安,全,全保证的主,要,要内容,3,5,安全集成安,全,全保证的,目的和意义,避免集成方,案,案实施后，,等,等到安全事,故,故发生才去,补,补救,表明项目方,案,案的正确实,施,施，且方案,是,是有效的,安全集成安,全,全保证能力,的,的不易评估,性,性，决定需,要,要安全保证,安全集成安,全,全保证的主,要,要内容,验证和确认,安,安全,建立保证论,据,据,由多种保证,证,证据支持的,一,一系列陈述,性,性保证目标。,包括识别和,定,定义保证要,求,求、证据的,产,产生和分析,活,活,动以及支持,保,保证要求所,需,需的附加证,据,据活动。,保证论据,验证,表明项目方,案,案被正确地实施；,确认,证明项目方,案,案是有效的。,验证,&,确认,安全保证的,主,主要内容,：建立安全,保,保证论据,获提供表明,客,客户安全需,求,求得到满足,安,安全保证论,据,据,保证目标和,策,策略,提出安全论,据,据,识别安全保,证,证目标,分析证据,分析安全保,证,证证据,识别和控制,安,安全保证证,据,据,安全保证目,标,标说明,安全保证策,略,略说明,保证证据系,列,列说明,有附属证据,的,的保障论据,保证证据分,析,析结果,安全测量准,则,则说明,制定,安,安全,测,测量,准,准则,识别,证,证据,制定,安,安全,保,保证,策,策略,安全,保,保证,的,的主,要,要内,容,容,：验,证,证和,确,确认,安,安全,获取,验,验证,和,和确,认,认结,果,果,验证,和,和确,认,认安,全,全,如何,验,验证,和,和确,认,认,验证,和,和确,认,认结,果,果,识别,要,要验,证,证和,确,确认,的,的解,决,决方,案,案,制定,验,验证,和,和确,认,认解,决,决方,案,案的,方,方法,和,和严,格,格等,级,级,执行,验,验证,和,和确,认,认,验证,解,解决,方,方案,实,实现,了,了