信息系統(tǒng)安全集成-第二章

1、信息系統(tǒng)安全集成過(guò)程信息系統(tǒng)安全集成過(guò)程2信息系統(tǒng)安全集成過(guò)程本章講述信息系統(tǒng)安全集成管理的全過(guò)程，包括集成準(zhǔn)備、方案設(shè)計(jì)、建設(shè)實(shí)施、安全保證的主要方法和內(nèi)容。摘 要 目錄1 12 24 43 35 5 目錄1 12 24 43 35 5 信息系統(tǒng)安全集成 背景介紹 信息時(shí)代，企業(yè)的數(shù)據(jù)信息時(shí)代，企業(yè)的數(shù)據(jù)電子化，電子化，篡改和非法復(fù)篡改和非法復(fù)制制變得容易變得容易設(shè)備和系統(tǒng)的增多，安設(shè)備和系統(tǒng)的增多，安全性沒(méi)有統(tǒng)一的考慮，全性沒(méi)有統(tǒng)一的考慮，系統(tǒng)出錯(cuò)、受到非法截系統(tǒng)出錯(cuò)、受到非法截獲和破壞獲和破壞的可能性增大的可能性增大企業(yè)有機(jī)會(huì)建立自己的網(wǎng)企業(yè)有機(jī)會(huì)建立自己的網(wǎng)站和信息化辦公系統(tǒng)，但站和信

2、息化辦公系統(tǒng)，但疏于疏于信息安全信息安全考慮，讓企考慮，讓企業(yè)財(cái)務(wù)收支、聲譽(yù)、品牌業(yè)財(cái)務(wù)收支、聲譽(yù)、品牌形象，甚至企業(yè)的生存能形象，甚至企業(yè)的生存能力都會(huì)受到影響和懷疑力都會(huì)受到影響和懷疑盡管系統(tǒng)面臨的威脅越來(lái)越盡管系統(tǒng)面臨的威脅越來(lái)越多，但還是有非常多的企業(yè)多，但還是有非常多的企業(yè)沒(méi)有給予沒(méi)有給予信息系統(tǒng)安全集成信息系統(tǒng)安全集成以足夠的重視。安全技術(shù)和以足夠的重視。安全技術(shù)和安全管理并沒(méi)有在系統(tǒng)集成安全管理并沒(méi)有在系統(tǒng)集成中得到重視或者有效運(yùn)中得到重視或者有效運(yùn)用用信息系統(tǒng)的安全性比以前任何時(shí)候都重要信息系統(tǒng)的安全性比以前任何時(shí)候都重要信息系統(tǒng)安全集成 背景介紹（續(xù)）從技術(shù)和管理上來(lái)解決從技

3、術(shù)和管理上來(lái)解決這些安全問(wèn)題這些安全問(wèn)題信息系統(tǒng)安全集成的任務(wù)信息系統(tǒng)安全集成的任務(wù)泄密問(wèn)題、網(wǎng)絡(luò)泄密問(wèn)題、網(wǎng)絡(luò)問(wèn)題、口令問(wèn)題、問(wèn)題、口令問(wèn)題、權(quán)限問(wèn)題權(quán)限問(wèn)題.頭痛？頭痛？信息系統(tǒng)安全集成的定義 信息系統(tǒng)信息系統(tǒng)安全集成服務(wù)安全集成服務(wù)（簡(jiǎn)稱：安全（簡(jiǎn)稱：安全集成）是指從事計(jì)算機(jī)應(yīng)用系統(tǒng)工程和網(wǎng)集成）是指從事計(jì)算機(jī)應(yīng)用系統(tǒng)工程和網(wǎng)絡(luò)系統(tǒng)工程的絡(luò)系統(tǒng)工程的安全需求界定、安全設(shè)計(jì)、安全需求界定、安全設(shè)計(jì)、建設(shè)實(shí)施、安全保證建設(shè)實(shí)施、安全保證的活動(dòng)。的活動(dòng)。信息系統(tǒng)安全集成服務(wù)管理過(guò)程的定義 信息系統(tǒng)信息系統(tǒng)安全集成服務(wù)管理過(guò)程安全集成服務(wù)管理過(guò)程指是按照信息系統(tǒng)指是按照信息系統(tǒng)項(xiàng)目建設(shè)的項(xiàng)目建設(shè)

4、的安全需求，安全需求，采用信息系統(tǒng)安全工程的采用信息系統(tǒng)安全工程的管理管理方法和理論，方法和理論，將項(xiàng)目建設(shè)中的將項(xiàng)目建設(shè)中的安全單元、產(chǎn)品部件安全單元、產(chǎn)品部件進(jìn)進(jìn)行行集成和管理集成和管理的行為或活動(dòng)。的行為或活動(dòng)。信息系統(tǒng)安全集成服務(wù)管理過(guò)程的定義（續(xù)）信息系統(tǒng)安全集成服務(wù)過(guò)程信息系統(tǒng)安全集成服務(wù)過(guò)程安全優(yōu)化安全優(yōu)化或或安全加固安全加固安全集成服務(wù)過(guò)程要求的四個(gè)階段 界定安全集成需求界定安全集成需求 確定服務(wù)合同確定服務(wù)合同 確定服務(wù)人員和組織確定服務(wù)人員和組織 簽訂保密協(xié)議簽訂保密協(xié)議 集成準(zhǔn)備集成準(zhǔn)備 方案設(shè)計(jì)方案設(shè)計(jì) 建設(shè)實(shí)施建設(shè)實(shí)施 安全保證安全保證 安全方案設(shè)計(jì)安全方案設(shè)計(jì) 管理

5、安全控制措施管理安全控制措施 安全協(xié)調(diào)安全協(xié)調(diào) 安全監(jiān)控安全監(jiān)控 驗(yàn)證和確認(rèn)安全驗(yàn)證和確認(rèn)安全 建立保證論據(jù)建立保證論據(jù) 目錄1 12 24 43 35 5安全集成準(zhǔn)備工作的意義安全集成準(zhǔn)備工作的主要方法安全集成準(zhǔn)備工作的主要方法（續(xù)）約束是什么？約束是什么？目標(biāo)是什么？目標(biāo)是什么？ 安全需求說(shuō)明安全需求說(shuō)明 安全約束條件安全約束條件 威脅環(huán)境分析威脅環(huán)境分析 安全輪廓說(shuō)明安全輪廓說(shuō)明 安全分析視圖安全分析視圖 安全要求基線安全要求基線 安全目標(biāo)安全目標(biāo)達(dá)成一致性協(xié)議達(dá)成一致性協(xié)議 目錄1 12 24 43 35 5.安全集成方案設(shè)計(jì)的主要原則采用有效的采用有效的安全策略安全策略設(shè)計(jì)安全控制恰

6、當(dāng)?shù)脑O(shè)計(jì)安全控制恰當(dāng)?shù)男畔⑾到y(tǒng)信息系統(tǒng)安全集成方案設(shè)計(jì)的主要方法達(dá)成安全需求共識(shí)達(dá)成安全需求共識(shí)確定安全約束條件和考慮事項(xiàng)確定安全約束條件和考慮事項(xiàng)識(shí)別安全集成的項(xiàng)目方案識(shí)別安全集成的項(xiàng)目方案評(píng)審項(xiàng)目方案評(píng)審項(xiàng)目方案提供安全集成指南提供安全集成指南提供安全運(yùn)行指南提供安全運(yùn)行指南本階段的主要目的：本階段的主要目的：基于識(shí)別的安全需求，為信息系統(tǒng)的規(guī)劃人基于識(shí)別的安全需求，為信息系統(tǒng)的規(guī)劃人員、設(shè)計(jì)人員、實(shí)施人員和客戶提供所需的員、設(shè)計(jì)人員、實(shí)施人員和客戶提供所需的安全信息。這些信息至少包括安全體系安全信息。這些信息至少包括安全體系結(jié)構(gòu)、設(shè)計(jì)或?qū)嵤┑捻?xiàng)目方案以及安全指南結(jié)構(gòu)、設(shè)計(jì)或?qū)嵤┑捻?xiàng)目方案

7、以及安全指南安全集成方案設(shè)計(jì)的主要方法（續(xù)）各方需求協(xié)商各方需求協(xié)商約束條件影響選擇約束條件影響選擇各方安全指南的提供各方安全指南的提供與設(shè)計(jì)人員、開(kāi)發(fā)人員、客戶溝通確認(rèn)，以確保相關(guān)與設(shè)計(jì)人員、開(kāi)發(fā)人員、客戶溝通確認(rèn)，以確保相關(guān)團(tuán)體對(duì)安全輸入需求達(dá)成共識(shí)。團(tuán)體對(duì)安全輸入需求達(dá)成共識(shí)。確定安全約束條件和考慮事項(xiàng)，以便做出最佳安全集成選擇確定安全約束條件和考慮事項(xiàng)，以便做出最佳安全集成選擇向各工作組提供項(xiàng)目相關(guān)的安全指南向各工作組提供項(xiàng)目相關(guān)的安全指南向信息系統(tǒng)運(yùn)行的用戶和管理員提供安全運(yùn)行指南向信息系統(tǒng)運(yùn)行的用戶和管理員提供安全運(yùn)行指南方案識(shí)別和評(píng)審方案識(shí)別和評(píng)審識(shí)別安全集成的項(xiàng)目方案識(shí)別安全集

8、成的項(xiàng)目方案利用安全約束條件和考慮事項(xiàng)對(duì)項(xiàng)目方案進(jìn)行評(píng)審利用安全約束條件和考慮事項(xiàng)對(duì)項(xiàng)目方案進(jìn)行評(píng)審 目錄1 12 24 43 35 5安全集成建設(shè)實(shí)施的主要工作制定協(xié)調(diào)目標(biāo)制定協(xié)調(diào)目標(biāo)識(shí)別協(xié)調(diào)機(jī)制識(shí)別協(xié)調(diào)機(jī)制促進(jìn)安全協(xié)調(diào)促進(jìn)安全協(xié)調(diào)協(xié)調(diào)安全決策和建議協(xié)調(diào)安全決策和建議安全集成建設(shè)實(shí)施階段：安全協(xié)調(diào)確定安全集成協(xié)調(diào)目標(biāo)和關(guān)系確定安全集成協(xié)調(diào)目標(biāo)和關(guān)系識(shí)別安全集成的協(xié)調(diào)機(jī)制識(shí)別安全集成的協(xié)調(diào)機(jī)制促進(jìn)安全集成協(xié)調(diào)促進(jìn)安全集成協(xié)調(diào)運(yùn)用已識(shí)別的協(xié)調(diào)機(jī)制協(xié)調(diào)有關(guān)安全的決策和建議運(yùn)用已識(shí)別的協(xié)調(diào)機(jī)制協(xié)調(diào)有關(guān)安全的決策和建議安全集成建設(shè)實(shí)施階段：管理安全控制建立安全管理職責(zé)和建立安全管理職責(zé)和管理安全控制機(jī)

9、制的配置管理安全控制機(jī)制的配置管理安全意識(shí)、培訓(xùn)和教育管理安全意識(shí)、培訓(xùn)和教育定期維護(hù)與管理安全控制措施定期維護(hù)與管理安全控制措施通過(guò)正確實(shí)施和配置，確保信息系統(tǒng)的安全措施在其運(yùn)行狀態(tài)下達(dá)到了預(yù)期目標(biāo)。安全集成建設(shè)實(shí)施階段：管理安全控制（續(xù)） 管理安全控制機(jī)制的配置管理安全控制機(jī)制的配置定期維護(hù)和管理安全控制機(jī)制定期維護(hù)和管理安全控制機(jī)制建立安全控制機(jī)制的管理職責(zé)和可核查性，并且傳達(dá)建立安全控制機(jī)制的管理職責(zé)和可核查性，并且傳達(dá)給組織中的所有成員給組織中的所有成員對(duì)所有員工的安全意識(shí)、培訓(xùn)和教育進(jìn)行管理對(duì)所有員工的安全意識(shí)、培訓(xùn)和教育進(jìn)行管理分析事件記錄分析事件記錄監(jiān)控安全環(huán)境變化監(jiān)控安全環(huán)境

10、變化識(shí)別安全事件識(shí)別安全事件監(jiān)控安全防護(hù)措施監(jiān)控安全防護(hù)措施安全集成建設(shè)實(shí)施階段：安全監(jiān)控評(píng)審安全態(tài)勢(shì)評(píng)審安全態(tài)勢(shì)管理安全事件的響應(yīng)管理安全事件的響應(yīng)保護(hù)安全監(jiān)控結(jié)果保護(hù)安全監(jiān)控結(jié)果安全集成建設(shè)實(shí)施階段：安全監(jiān)控（續(xù)）日志組成和來(lái)源描述日志組成和來(lái)源描述入侵事件報(bào)告和總結(jié)入侵事件報(bào)告和總結(jié)系統(tǒng)恢復(fù)優(yōu)先級(jí)列表系統(tǒng)恢復(fù)優(yōu)先級(jí)列表風(fēng)險(xiǎn)容量評(píng)審風(fēng)險(xiǎn)容量評(píng)審安全態(tài)勢(shì)定期評(píng)審安全態(tài)勢(shì)定期評(píng)審日志分析和總結(jié)日志分析和總結(jié)應(yīng)急響應(yīng)和計(jì)劃應(yīng)急響應(yīng)和計(jì)劃監(jiān)控結(jié)果可用性和授權(quán)管理監(jiān)控結(jié)果可用性和授權(quán)管理 目錄1 12 24 43 35 5安全集成安全保證的目的和意義安全集成安全保證的主要內(nèi)容安全保證的主要內(nèi)容：建立安全保證論據(jù)獲提供表明客戶安全需求得到滿足安全保證論據(jù)獲提供表明客戶安全需求得到滿足安全保證論據(jù)識(shí)別安全保證目標(biāo)識(shí)別安全保證目標(biāo)分析安全保證證據(jù)分析安全保證證據(jù)識(shí)別和控制安全保證證據(jù)識(shí)別和控制安全保證證據(jù)制定安全測(cè)量準(zhǔn)則制定安全測(cè)量準(zhǔn)則制定安全保證策略制定安全保證策略安全保證的主要內(nèi)容：驗(yàn)證和確