信息系统安全集成过程培训(PPT课件)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统安全集成过程
信息系统安全集成过程
摘
要
本章讲述信息系统安全集成管理的全过程 ,包括集成准备、方案设计、建设实施、 安全保证的主要方法和内容。
2
目录
1
安全集成的定义及服务管理过程概述
2
安全集成准备工作的主要方法
3
安全集成方案设计的主要方法
4
安全集成建设实施的主要工作
5
安全集成安全保证的主要内容
识别安全集成的项目方案 利用安全约束条件和考虑事项对项目方案进行评审
工作组需求信息协议
安全体系结构
设计标准和实现原则
安全模型
信任关系分析
设计方案
端到端的权衡结果和建议
设计和实现建议
目录
1
安全集成的定义及服务管理过程概述
2
安全集成准备工作的主要方法
3
安全集成方案设计的主要方法
4
安全集成建设实施的主要工作
安全集成方案设计的主要方法(续)
各方需求协商
与设计人员、开发人员、客户沟通确认,以确保相关 团体对安全输入需求达成共识。
约束条件影响选择
确定安全约束条件和考虑事项,以便做出最佳安全集成选择
各方安全指南的提供
向各工作组提供项目相关的安全指南 向信息系统运行的用户和管理员提供安全运行指南
方案பைடு நூலகம்别和评审
识别协调目标
确定安全集成协调目标和关系
识别协调机制
识别安全集成的协调机制
促进协调
促进安全集成协调
协调安全决策和建议
运用已识别的协调机制协调有关安全的决策和建议
项目成员关系和进度表 沟通计划和规范 会议报告、备忘录模板
解决冲突的规程
安全决策记录
安全建议记录
通过正确实施和配置,确保信息系统的安全措施在其运行状态下达到了预期目标。
实施和配置
管理安全控制机制的配置
培训和教育
对所有员工的安全意识、培训和教育进行管理
定期维护和管理
定期维护和管理安全控制机制
2
安全集成准备工作的主要方法
3
安全集成方案设计的主要方法
4
安全集成建设实施的主要工作
5
安全集成安全保证的主要内容
安全集成准备工作的意义
理清客户的安全需求,少走不必要的弯路
有效识别法律、政策和约束条件,避免 商业风险和泄密事件 帮助客户有效分析安全行为和安全威胁, 界定防范这些风险的控制措施
安全集成准备工作的主要方法
界定安全需求 签定服务合同
确定服务人员 签订保密协议
理解客户的安全需求 识别法律、政策和约束条件 识别安全背景 获取安全视图
获取安全目标 定义安全要求 达成安全协议
安全集成准备工作的主要方法(续)
需求是什么
理解客户的安全需求
约束是什么?
识别法律、政策和约束条件 识别安全背景 获取安全视图
目标是什么?
安全集成建设实施阶段:管理安全控制
管理安全控制
通过正确实施和配置,确保信息系统的安全 措施在其运行状态下达到了预期目标。
建立安全管理职责和 管理安全控制机制的配置 管理安全意识、培训和教育 定期维护与管理安全控制措施
安全集成建设实施阶段:管理安全控制(续)
建立管理职责
建立安全控制机制的管理职责和可核查性,并且传达 给组织中的所有成员
安全集成方案设计的主要原则
安全方案设计
采用有效的 安全策略 ......
安全集成方案设计的主要方法
安全方案设计
本阶段的主要目的:
基于识别的安全需求,为信息系统的规划人 员、设计人员、实施人员和客户提供所需的 安全信息。这些信息至少包括安全体系 结构、设计或实施的项目方案以及安全指南
达成安全需求共识 确定安全约束条件和考虑事项 识别安全集成的项目方案 评审项目方案 提供安全集成指南 提供安全运行指南
目录
1
安全集成的定义及服务管理过程概述
2
安全集成准备工作的主要方法
3
安全集成方案设计的主要方法
4
安全集成建设实施的主要工作
5
安全集成安全保证的主要内容
信息系统安全集成 背景介绍
信息系统的安全性比以前任何时候都重要
信息时代,企业的数据 电子化,篡改和非法复 制变得容易
设备和系统的增多,安 全性没有统一的考虑, 系统出错、受到非法截 获和破坏的可能性增大
企业有机会建立自己的网 站和信息化办公系统,但 疏于信息安全考虑,让企 业财务收支、声誉、品牌 形象,甚至企业的生存能 力都会受到影响和怀疑
尽管系统面临的威胁越来越 多,但还是有非常多的企业 没有给予信息系统安全集成 以足够的重视。安全技术和 安全管理并没有在系统集成 中得到重视或者有效运用
信息系统安全集成 背景介绍(续)
获取安全目标
达成协议
定义安全要求 达成安全协议
安全需求说明 安全约束条件
威胁环境分析 安全轮廓说明
安全分析视图 达成一致性协议
安全目标 安全要求基线
目录
1
安全集成的定义及服务管理过程概述
2
安全集成准备工作的主要方法
3
安全集成方案设计的主要方法
4
安全集成建设实施的主要工作
5
安全集成安全保证的主要内容
安全优化或 安全加固
安全集成服务过程要求的四个阶段
1.界定安全需求 2.确定服务合同 3.确定服务人员和组织 4.签订保密协议
1.安全方案设计
1.管理安全控制措施 2.安全协调 3.安全监控
1.验证和确认安全 2.建立保证论据
➢ 集成准备
➢ 方案设计
➢ 建设实施
➢ 安全保证
目录
1
安全集成的定义及服务管理过程概述
信息系统安全集成的任务
从技术和管理上来解决 这些安全问题
泄密问题、网络 问题、口令问题、
权限问题..... 头痛???
安全技术 安全管理
信息系统安全集成的定义
信息系统安全集成服务(简称:安全 集成)是指从事计算机应用系统工程和网 络系统工程的安全需求界定、安全设计、 建设实施、安全保证的活动。
信息系统安全集成服务管理过程的定义
信息系统安全集成服务管理过程指是按照信息系统 项目建设的安全需求,采用信息系统安全工程的管理 方法和理论,将项目建设中的安全单元、产品部件进 行集成和管理的行为或活动。
信息系统安全集成服务管理过程的定义(续)
信息系统安全集成服务过程
在新建信息系统的结构化设计中 考虑信息安全保证因素
在已有信息系统上额外增加 信息安全子系统或信息安全设备
5
安全集成安全保证的主要内容
安全集成建设实施的主要工作
安全协调 管理安全控制 安全监控
协调安全的目的是确保所有相关组织和工作 组人员都能积极参与安全集成项目。协调安 全涉及到保持所有项目人员与外部组织以及 工作组之间沟通。
制定协调目标 识别协调机制 促进安全协调 协调安全决策和建议
安全集成建设实施阶段:安全协调
信息系统安全集成过程
摘
要
本章讲述信息系统安全集成管理的全过程 ,包括集成准备、方案设计、建设实施、 安全保证的主要方法和内容。
2
目录
1
安全集成的定义及服务管理过程概述
2
安全集成准备工作的主要方法
3
安全集成方案设计的主要方法
4
安全集成建设实施的主要工作
5
安全集成安全保证的主要内容
识别安全集成的项目方案 利用安全约束条件和考虑事项对项目方案进行评审
工作组需求信息协议
安全体系结构
设计标准和实现原则
安全模型
信任关系分析
设计方案
端到端的权衡结果和建议
设计和实现建议
目录
1
安全集成的定义及服务管理过程概述
2
安全集成准备工作的主要方法
3
安全集成方案设计的主要方法
4
安全集成建设实施的主要工作
安全集成方案设计的主要方法(续)
各方需求协商
与设计人员、开发人员、客户沟通确认,以确保相关 团体对安全输入需求达成共识。
约束条件影响选择
确定安全约束条件和考虑事项,以便做出最佳安全集成选择
各方安全指南的提供
向各工作组提供项目相关的安全指南 向信息系统运行的用户和管理员提供安全运行指南
方案பைடு நூலகம்别和评审
识别协调目标
确定安全集成协调目标和关系
识别协调机制
识别安全集成的协调机制
促进协调
促进安全集成协调
协调安全决策和建议
运用已识别的协调机制协调有关安全的决策和建议
项目成员关系和进度表 沟通计划和规范 会议报告、备忘录模板
解决冲突的规程
安全决策记录
安全建议记录
通过正确实施和配置,确保信息系统的安全措施在其运行状态下达到了预期目标。
实施和配置
管理安全控制机制的配置
培训和教育
对所有员工的安全意识、培训和教育进行管理
定期维护和管理
定期维护和管理安全控制机制
2
安全集成准备工作的主要方法
3
安全集成方案设计的主要方法
4
安全集成建设实施的主要工作
5
安全集成安全保证的主要内容
安全集成准备工作的意义
理清客户的安全需求,少走不必要的弯路
有效识别法律、政策和约束条件,避免 商业风险和泄密事件 帮助客户有效分析安全行为和安全威胁, 界定防范这些风险的控制措施
安全集成准备工作的主要方法
界定安全需求 签定服务合同
确定服务人员 签订保密协议
理解客户的安全需求 识别法律、政策和约束条件 识别安全背景 获取安全视图
获取安全目标 定义安全要求 达成安全协议
安全集成准备工作的主要方法(续)
需求是什么
理解客户的安全需求
约束是什么?
识别法律、政策和约束条件 识别安全背景 获取安全视图
目标是什么?
安全集成建设实施阶段:管理安全控制
管理安全控制
通过正确实施和配置,确保信息系统的安全 措施在其运行状态下达到了预期目标。
建立安全管理职责和 管理安全控制机制的配置 管理安全意识、培训和教育 定期维护与管理安全控制措施
安全集成建设实施阶段:管理安全控制(续)
建立管理职责
建立安全控制机制的管理职责和可核查性,并且传达 给组织中的所有成员
安全集成方案设计的主要原则
安全方案设计
采用有效的 安全策略 ......
安全集成方案设计的主要方法
安全方案设计
本阶段的主要目的:
基于识别的安全需求,为信息系统的规划人 员、设计人员、实施人员和客户提供所需的 安全信息。这些信息至少包括安全体系 结构、设计或实施的项目方案以及安全指南
达成安全需求共识 确定安全约束条件和考虑事项 识别安全集成的项目方案 评审项目方案 提供安全集成指南 提供安全运行指南
目录
1
安全集成的定义及服务管理过程概述
2
安全集成准备工作的主要方法
3
安全集成方案设计的主要方法
4
安全集成建设实施的主要工作
5
安全集成安全保证的主要内容
信息系统安全集成 背景介绍
信息系统的安全性比以前任何时候都重要
信息时代,企业的数据 电子化,篡改和非法复 制变得容易
设备和系统的增多,安 全性没有统一的考虑, 系统出错、受到非法截 获和破坏的可能性增大
企业有机会建立自己的网 站和信息化办公系统,但 疏于信息安全考虑,让企 业财务收支、声誉、品牌 形象,甚至企业的生存能 力都会受到影响和怀疑
尽管系统面临的威胁越来越 多,但还是有非常多的企业 没有给予信息系统安全集成 以足够的重视。安全技术和 安全管理并没有在系统集成 中得到重视或者有效运用
信息系统安全集成 背景介绍(续)
获取安全目标
达成协议
定义安全要求 达成安全协议
安全需求说明 安全约束条件
威胁环境分析 安全轮廓说明
安全分析视图 达成一致性协议
安全目标 安全要求基线
目录
1
安全集成的定义及服务管理过程概述
2
安全集成准备工作的主要方法
3
安全集成方案设计的主要方法
4
安全集成建设实施的主要工作
5
安全集成安全保证的主要内容
安全优化或 安全加固
安全集成服务过程要求的四个阶段
1.界定安全需求 2.确定服务合同 3.确定服务人员和组织 4.签订保密协议
1.安全方案设计
1.管理安全控制措施 2.安全协调 3.安全监控
1.验证和确认安全 2.建立保证论据
➢ 集成准备
➢ 方案设计
➢ 建设实施
➢ 安全保证
目录
1
安全集成的定义及服务管理过程概述
信息系统安全集成的任务
从技术和管理上来解决 这些安全问题
泄密问题、网络 问题、口令问题、
权限问题..... 头痛???
安全技术 安全管理
信息系统安全集成的定义
信息系统安全集成服务(简称:安全 集成)是指从事计算机应用系统工程和网 络系统工程的安全需求界定、安全设计、 建设实施、安全保证的活动。
信息系统安全集成服务管理过程的定义
信息系统安全集成服务管理过程指是按照信息系统 项目建设的安全需求,采用信息系统安全工程的管理 方法和理论,将项目建设中的安全单元、产品部件进 行集成和管理的行为或活动。
信息系统安全集成服务管理过程的定义(续)
信息系统安全集成服务过程
在新建信息系统的结构化设计中 考虑信息安全保证因素
在已有信息系统上额外增加 信息安全子系统或信息安全设备
5
安全集成安全保证的主要内容
安全集成建设实施的主要工作
安全协调 管理安全控制 安全监控
协调安全的目的是确保所有相关组织和工作 组人员都能积极参与安全集成项目。协调安 全涉及到保持所有项目人员与外部组织以及 工作组之间沟通。
制定协调目标 识别协调机制 促进安全协调 协调安全决策和建议
安全集成建设实施阶段:安全协调