信息系统安全集成-第二章

1、信息系统安全集成过程信息系统安全集成过程2信息系统安全集成过程本章讲述信息系统安全集成管理的全过程，包括集成准备、方案设计、建设实施、安全保证的主要方法和内容。摘 要 目录1 12 24 43 35 5 目录1 12 24 43 35 5 信息系统安全集成 背景介绍 信息时代，企业的数据信息时代，企业的数据电子化，电子化，篡改和非法复篡改和非法复制制变得容易变得容易设备和系统的增多，安设备和系统的增多，安全性没有统一的考虑，全性没有统一的考虑，系统出错、受到非法截系统出错、受到非法截获和破坏获和破坏的可能性增大的可能性增大企业有机会建立自己的网企业有机会建立自己的网站和信息化办公系统，但站和信

2、息化办公系统，但疏于疏于信息安全信息安全考虑，让企考虑，让企业财务收支、声誉、品牌业财务收支、声誉、品牌形象，甚至企业的生存能形象，甚至企业的生存能力都会受到影响和怀疑力都会受到影响和怀疑尽管系统面临的威胁越来越尽管系统面临的威胁越来越多，但还是有非常多的企业多，但还是有非常多的企业没有给予没有给予信息系统安全集成信息系统安全集成以足够的重视。安全技术和以足够的重视。安全技术和安全管理并没有在系统集成安全管理并没有在系统集成中得到重视或者有效运中得到重视或者有效运用用信息系统的安全性比以前任何时候都重要信息系统的安全性比以前任何时候都重要信息系统安全集成 背景介绍（续）从技术和管理上来解决从技

3、术和管理上来解决这些安全问题这些安全问题信息系统安全集成的任务信息系统安全集成的任务泄密问题、网络泄密问题、网络问题、口令问题、问题、口令问题、权限问题权限问题.头痛？头痛？信息系统安全集成的定义 信息系统信息系统安全集成服务安全集成服务（简称：安全（简称：安全集成）是指从事计算机应用系统工程和网集成）是指从事计算机应用系统工程和网络系统工程的络系统工程的安全需求界定、安全设计、安全需求界定、安全设计、建设实施、安全保证建设实施、安全保证的活动。的活动。信息系统安全集成服务管理过程的定义 信息系统信息系统安全集成服务管理过程安全集成服务管理过程指是按照信息系统指是按照信息系统项目建设的项目建设

4、的安全需求，安全需求，采用信息系统安全工程的采用信息系统安全工程的管理管理方法和理论，方法和理论，将项目建设中的将项目建设中的安全单元、产品部件安全单元、产品部件进进行行集成和管理集成和管理的行为或活动。的行为或活动。信息系统安全集成服务管理过程的定义（续）信息系统安全集成服务过程信息系统安全集成服务过程安全优化安全优化或或安全加固安全加固安全集成服务过程要求的四个阶段1.1.界定安全集成需求界定安全集成需求2.2.确定服务合同确定服务合同3.3.确定服务人员和组织确定服务人员和组织4.4.签订保密协议签订保密协议 集成准备集成准备 方案设计方案设计 建设实施建设实施 安全保证安全保证1.1.

5、安全方案设计安全方案设计1.1.管理安全控制措施管理安全控制措施2.2.安全协调安全协调3.3.安全监控安全监控1.1.验证和确认安全验证和确认安全2.2.建立保证论据建立保证论据 目录1 12 24 43 35 5安全集成准备工作的意义安全集成准备工作的主要方法安全集成准备工作的主要方法（续）约束是什么？约束是什么？目标是什么？目标是什么？ 安全需求说明安全需求说明 安全约束条件安全约束条件 威胁环境分析威胁环境分析 安全轮廓说明安全轮廓说明 安全分析视图安全分析视图 安全要求基线安全要求基线 安全目标安全目标达成一致性协议达成一致性协议 目录1 12 24 43 35 5.安全集成方案设计

6、的主要原则采用有效的采用有效的安全策略安全策略设计安全控制恰当的设计安全控制恰当的信息系统信息系统安全集成方案设计的主要方法达成安全需求共识达成安全需求共识确定安全约束条件和考虑事项确定安全约束条件和考虑事项识别安全集成的项目方案识别安全集成的项目方案评审项目方案评审项目方案提供安全集成指南提供安全集成指南提供安全运行指南提供安全运行指南本阶段的主要目的：本阶段的主要目的：基于识别的安全需求，为信息系统的规划人基于识别的安全需求，为信息系统的规划人员、设计人员、实施人员和客户提供所需的员、设计人员、实施人员和客户提供所需的安全信息。这些信息至少包括安全体系安全信息。这些信息至少包括安全体系结构

7、、设计或实施的项目方案以及安全指南结构、设计或实施的项目方案以及安全指南安全集成方案设计的主要方法（续）各方需求协商各方需求协商约束条件影响选择约束条件影响选择各方安全指南的提供各方安全指南的提供与设计人员、开发人员、客户沟通确认，以确保相关与设计人员、开发人员、客户沟通确认，以确保相关团体对安全输入需求达成共识。团体对安全输入需求达成共识。确定安全约束条件和考虑事项，以便做出最佳安全集成选择确定安全约束条件和考虑事项，以便做出最佳安全集成选择向各工作组提供项目相关的安全指南向各工作组提供项目相关的安全指南向信息系统运行的用户和管理员提供安全运行指南向信息系统运行的用户和管理员提供安全运行指南

8、方案识别和评审方案识别和评审识别安全集成的项目方案识别安全集成的项目方案利用安全约束条件和考虑事项对项目方案进行评审利用安全约束条件和考虑事项对项目方案进行评审 目录1 12 24 43 35 5安全集成建设实施的主要工作制定协调目标制定协调目标识别协调机制识别协调机制促进安全协调促进安全协调协调安全决策和建议协调安全决策和建议安全集成建设实施阶段：安全协调确定安全集成协调目标和关系确定安全集成协调目标和关系识别安全集成的协调机制识别安全集成的协调机制促进安全集成协调促进安全集成协调运用已识别的协调机制协调有关安全的决策和建议运用已识别的协调机制协调有关安全的决策和建议安全集成建设实施阶段：管

9、理安全控制建立安全管理职责和建立安全管理职责和管理安全控制机制的配置管理安全控制机制的配置管理安全意识、培训和教育管理安全意识、培训和教育定期维护与管理安全控制措施定期维护与管理安全控制措施通过正确实施和配置，确保信息系统的安全措施在其运行状态下达到了预期目标。安全集成建设实施阶段：管理安全控制（续） 管理安全控制机制的配置管理安全控制机制的配置定期维护和管理安全控制机制定期维护和管理安全控制机制建立安全控制机制的管理职责和可核查性，并且传达建立安全控制机制的管理职责和可核查性，并且传达给组织中的所有成员给组织中的所有成员对所有员工的安全意识、培训和教育进行管理对所有员工的安全意识、培训和教育

10、进行管理分析事件记录分析事件记录监控安全环境变化监控安全环境变化识别安全事件识别安全事件监控安全防护措施监控安全防护措施安全集成建设实施阶段：安全监控评审安全态势评审安全态势管理安全事件的响应管理安全事件的响应保护安全监控结果保护安全监控结果安全集成建设实施阶段：安全监控（续）日志组成和来源描述日志组成和来源描述入侵事件报告和总结入侵事件报告和总结系统恢复优先级列表系统恢复优先级列表风险容量评审风险容量评审安全态势定期评审安全态势定期评审日志分析和总结日志分析和总结应急响应和计划应急响应和计划监控结果可用性和授权管理监控结果可用性和授权管理 目录1 12 24 43 35 5安全集成安全保证的目的和意义安全集成安全保证的主要内容安全保证的主要内容：建立安全保证论据获提供表明客户安全需求得到满足安全保证论据获提供表明客户安全需求得到满足安全保证论据识别安全保证目标识别安全保证目标分析安全保证证据分析安全保证证据识别和控制安全保证证据识别和控制安全保证证据制定安全测量准则制定安全测量准则制定安全保证策略制定安全保证策略安全保证的主要内容：验证