信息系统安全集成-专业讲座.pptx

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,*,*,单击此处编辑母版标题样式,*,单击此处编辑母版标题样式,*,*,单击此处编辑母版标题样式,*,*,单击此处编辑母版标题样式,*,*,单击此处编辑母版标题样式,*,信息系统安全集成过程,第1页,信息系统安全集成过程,本章,讲述信息系统安全集成管理全过程，包含集成准备、方案设计、建设实施、安全确保主要方法和内容。,摘 要,2,第2页,目录,安全集成定义及服务管理过程概述,1,安全集成准备工作主要方法,2,安全集成方案设计主要方法,4,安全集成建设实施主要工作,安全集成安全确保主要内容,3,5,第3页,目录,安全集成定义及服务管理过程概述,1,安全集成准备工作主要方法,2,安全集成方案设计主要方法,4,安全集成建设实施主要工作,安全集成安全确保主要内容,3,5,第4页,信息系统,安全集成,背景介绍,信息时代，企业数据电子化，,篡改和非法复制,变得轻易,设备和,系统增多，,安全性没有统一考虑，,系统犯错,、,受到非法截获和破坏,可能性增大,企业有机会建立自己网站和信息化办公系统，但疏于,信息安全,考虑，让企业财务收支、声誉、品牌形象，甚至企业生存能力都会受到影响和怀疑,尽管系统面临威胁越来越多，但还是有非常多企业没有给予信息系统安全集成以足够重视。安全技术和安全管理并没有在系统集成中得到重视或者有效利用,信息系统安全性比以前任何时候都主要,第5页,信息系统安全集成 背景介绍,（续）,从技术和管理上来处理这些安全问题,信息系统安全集成任务,安全管理,安全技术,泄密问题、网络问题、口令问题、权限问题.,头痛？,第6页,信息系统安全集成,定义,信息系统,安全集成服务,（简称：安全集成）是指从事计算机应用系统工程和网络系统工程,安全需求界定、安全设计、建设实施、安全确保,活动。,第7页,信息系统安全集成,服务管理过程定义,信息系统,安全集成,服务管理过程,指,是按照信息系统项目建设,安全需求，,采取信息系统安全工程,管理,方法和理论，,将项目建设中,安全单元、产品部件,进行,集成,和管理,行为或活动。,第8页,信息系统安全集成,服务管理过程定义（续）,信息系统安全集成服务过程,在已经有信息系统上额外增加,信息安全子系统,或,信息安全设备,在新建信息系统结构化设计中,考虑,信息安全,确保原因,安全优化,或,安全加固,第9页,安全集成服务过程要求四个阶段,界定安全需求,确定服务协议,确定服务人员和组织,签署保密协议,集成准备,方案设计,建设实施,安全确保,安全方案设计,管理安全控制办法,安全协调,安全监控,验证和确认安全,建立确保论据,第10页,目录,安全集成定义及服务管理过程概述,1,安全集成准备工作主要方法,2,安全集成方案设计主要方法,4,安全集成建设实施主要工作,安全集成安全确保主要内容,3,5,第11页,安全,集成准备,工作意义,理清客户安全需求，少走无须要弯路,有效识别法律、政策和约束条件,防止商业风险和泄密事件,帮助客户有效分析安全行为和安全威胁，界定防范这些风险控制办法,第12页,安全,集成准备,工作主要方法,界定安全需求,签定服务协议,确定服务人员,签署保密协议,了解客户安全需求,识别法律、政策和约束条件,识别安全背景,获取安全视图,获取安全目标,定义安全要求,达成安全协议,第13页,安全集成准备工作主要方法,（续）,了解客户安全需求,识别法律、政策和约束条件,识别安全背景,获取安全视图,获取安全目标,定义安全要求,达成安全协议,需求是什么,约束是什么？,目标是什么？,达成协议,安全需求说明,安全约束条件,威胁环境分析,安全轮廓说明,安全分析视图,安全要求基线,安全目标,达成一致性协议,第14页,目录,安全集成定义及服务管理过程概述,1,安全集成准备工作主要方法,2,安全集成方案设计主要方法,4,安全集成建设实施主要工作,安全集成安全确保主要内容,3,5,第15页,.,安全集成方案设计主要,标准,安全方案设计,采取有效,安全策略,设计安全控制恰当,信息系统,第16页,安全集成方案设计主要方法,安全方案设计,达成安全需求共识,确定安全约束条件和考虑事项,识别安全集成项目方案,评审项目方案,提供安全集成指南,提供安全运行指南,本阶段主要目标：,基于识别安全需求，为信息系统规划人,员、设计人员、实施人员和客户提供所需,安全信息。这些信息最少包含安全体系,结构、设计或实施项目方案以及安全指南,第17页,安全集成方案设计主要方法,（续）,各方需求协商,约束条件影响选择,各方安全指南提供,工作组需求信息协议,设计标准和实现标准,安全模型,信任关系分析,设计和实现提议,设计方案,端到端权衡结果和提议,与设计人员、开发人员、客户沟通确认，以确保相关,团体对安全输入需求达成共识。,确定安全约束条件和考虑事项，方便做出最正确安全集成选择,向各工作组提供项目相关安全指南,向信息系统运行用户和管理员提供安全运行指南,安全体系结构,方案识别和评审,识别安全集成项目方案,利用安全约束条件和考虑事项对项目方案进行评审,第18页,目录,安全集成定义及服务管理过程概述,1,安全集成准备工作主要方法,2,安全集成方案设计主要方法,4,安全集成建设实施主要工作,安全集成安全确保主要内容,3,5,第19页,安全集成建设实施主要工作,管理安全控制,安全协调,安全监控,制订协调目标,识别协调机制,促进安全协调,协调安全决议和提议,协调安全目标是确保全部相关组织和工作,组人员都能主动参加安全集成项目。协调安,全包括到保持全部项目人员与外部组织以及,工作组之间沟通。,第20页,安全集成建设实施阶段,：安全协调,识别协调目标,识别协调机制,促进协调,项目组员关系和进度表,会议汇报、备忘录模板,处理冲突规程,安全决议统计,安全提议统计,沟通计划和规范,协调安全决议和提议,确定安全集成协调目标和关系,识别安全集成协调机制,促进安全集成协调,利用已识别协调机制协调相关安全决议和提议,第21页,安全集成建设实施阶段,：管理安全控制,管理安全控制,建立安全管理职责和,管理安全控制机制配置,管理安全意识、培训和教育,定时维护与管理安全控制办法,经过正确实施和配置，确保信息系统安全办法在其运行状态下到达了预期目标。,经过正确实施和配置，确保信息系统安全,办法在其运行状态下到达了预期目标。,第22页,安全集成建设实施阶段,：管理安全控制,（续）,建立管理职责,实施和配置,培训和教育,安全角色、职责和授权,实施问题统计,策略配置及变更,控制办法状态评审,培训和教育,运维管理定时评审,安全办法弃置规程,管理安全控制机制配置,实施方案,定时维护和管理,定时维护和管理安全控制机制,建立安全控制机制管理职责和可核查性，而且传达,给组织中全部组员,对全部员工安全意识、培训和教育进行管理,第23页,安全监控,分析事件统计,监控安全环境改变,识别安全事件,监控安全防护办法,安全集成建设实施阶段,：安全监控,评审安全态势,管理安全事件响应,保护安全监控结果,监控安全态势目标是确保识别和汇报全部,安全违规行为、试图违规行为或能够潜在,地造成安全违规错误。监控安全态势需要,监控内部和外部环境中可能影响信息系统安,全全部原因。,第24页,安全集成建设实施阶段,：安全监控,（续）,监视统计和改变,识别和管理事件,监控和评审,日志组成和起源描述,入侵事件汇报和总结,系统恢复优先级列表,风险容量评审,安全态势定时评审,日志分析和总结,保护结果,分析事件统计，以确定事件原因、趋势以及可能事件,监控威胁、脆弱性、影响、风险和环境改变,识别安全事件,管理安全事件响应,监控安全防护办法性能和功效有效性,评审信息系统安全态势，以识别必要安全变更,保护安全监控结果,应急响应和计划,监控结果可用性和授权管理,第25页,目录,安全集成定义及服务管理过程概述,1,安全集成准备工作主要方法,2,安全集成方案设计主要方法,4,安全集成建设实施主要工作,安全集成安全确保主要内容,3,5,第26页,安全集成安全确保,目标和意义,防止集成方案实施后，等到安全事故发生才去补救,表明项目方案正确实施，且方案是有效,安全集成安全确保能力不易评定性，决定需要安全确保,第27页,安全集成安全确保主要内容,验证和确认安全,建立确保论据,由各种确保证据支持一系列陈说性确保目标,。,包含识别和定义确保要求、证据产生和分析活,动以及支持确保要求所需附加证据活动。,确保论据,验证,表明项目方案被,正确地实施,；,确认,证实项目方案是,有效,。,验证,&,确认,第28页,安全确保主要内容,：建立安全确保论据,获提供表明客户安全需求得到满足安全确保论据,确保目标和策略,提出安全论据,识别安全确保目标,分析证据,分析安全确保证据,识别和控制安全确保证据,安全确保目标说明,安全确保策略说明,确保证据系列说明,有从属证据保障论据,确保证据分析结果,安全测量准则说明,制订安全测量准则,识别证据,制订安全确保策略,第29页,安全确保主要内容,：验证和确认安全,获取验证和确认结果,验证和确认安全,怎样验证和确认,验证和确认结果,识别要验证和确认处理方案,制订验证和确认处理方案方法和严格等级,执行验证和确认,验证处理方案实现了安全相关要求,确认处理方案满足了客户安全需求,验证和确认计划,测试、分析、演示和观察计划,端到端可追踪矩阵,验证和确认测试结果,项目方案验证结果,验证和确认方案问题汇报,项目方案确认结果,验证和确认计划,第30页,谢 谢！,第31页,