返回
ch3信息安全工程实施

ch3信息安全工程实施

ID:40048431

大小:5.07 MB

页数:111页

时间:2019-07-18

ch3信息安全工程实施_第1页
ch3信息安全工程实施_第2页
ch3信息安全工程实施_第3页
ch3信息安全工程实施_第4页
ch3信息安全工程实施_第5页
资源描述:

《ch3信息安全工程实施》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第三章信息安全工程实施内容2信息安全工程监理安全工程实施信息安全工程实施信息安全工程各方职责监理阶段目标ISSE安全工程过程发掘信息保护需求实施信息保护系统评估信息保护系统的有效性定义信息保护系统设计信息保护系统信息安全工程监理模型ISSE安全工程过程3ISSE:美国军方在20世纪90年代初发布的信息安全工程方法,1994年出版《信息系统安全工程手册v1.0》理解ISSE的含义:将系统工程思想应用于信息安全领域,在系统生命周期的各阶段充分考虑和实施安全措施理解ISSE阶段划分及各阶段的主要工作内容ISSE

2、安全工程过程4系统生命周期就是系统从产生构思到不再使用的整个生命历程概念与需求定义系统功能设计系统开发与获取系统实现与测试系统维护与废弃系统工程SE系统生命周期产生不再使用ISSE安全工程过程信息系统安全工程(InformationSystemSecurityEngineering—ISSE)发掘信息保护需求定义信息保护系统设计信息保护系统实施信息保护系统评估信息保护系统的有效性ISSESE概念与需求定义系统功能设计系统开发与获取系统实现与测试系统维护与废弃5发掘信息保护需求理解风险评估结果是安全需求的重

3、要决定因素理解国家政策法规和合同协议等符合性要求是安全需求的重要决定因素6发掘信息保护需求本阶段的主要活动对信息管理过程进行建模定义信息威胁确立信息保护需求的优先次序准备信息保护策略获得用户/使用者的许可确保任务需求中包含了信息保护需求,系统功能中包含了信息保护功能,系统中包含信息保护体系结构和机制7发掘信息保护需求发掘信息保护需求过程8发掘信息保护需求发掘信息保护需求主体9发掘信息保护需求发掘信息保护需求--子任务–任务-01.1分析机构的任务–任务-01.2判断信息对机构任务的关系和重要性–任务-01

4、.3确定法律和法规的要求–任务-01.4确定威胁的类别–任务-01.5判断影响–任务-01.6确定安全服务–任务-01.7记录信息保护需求–任务-01.8记录安全管理的角色和责任10发掘信息保护需求发掘信息保护需求--子任务–任务-01.9标识设计约束–任务-01.10评估信息保护的有效性子任务-01.10.1提供/展示文档化的信息保护需求子任务-01.10.1对信息保护需求的认同–任务-01.11支持系统的认证和认可(C&A)子任务-01.11.1标识指派的批准官员(DAA)/认可员子任务-01.11.

5、2标识认证专家(CA)/认证员子任务-01.11.3确定可适用的C&A和采办过程子任务-01.11.4确保认可员和认证员对信息保护需求的认同11发掘信息保护需求风险评估结果是安全需求的重要决定因素一切工程皆有需求信息安全工程的需求并不是工程的起点信息安全工程的需求应从风险评估结果分析中得出需求与风险的一致性越强,则需求越准确因此信息安全工程应从风险着手,制定需求,这也符合信息安全保障(IA)的思想12发掘信息保护需求案例1某部委每年开展信息安全风险评估工作,定期根据评估结果确定信息安全工程建设项目。风险评

6、估结果解决方式市、省、国均可实现网络层未授权的互访部署防火墙产品未授权访问过程没有监控和审计措施部署IDS产品没有能力识别未授权访问所使用恶意程序或代码部署防病毒产品边界防护体系建设13发掘信息保护需求案例1某部委每年开展信息安全风险评估工作,定期根据评估结果确定信息安全工程建设项目。风险评估结果解决方式私自修改主机、网络设备配置参数部署网络和主机设备的安全审计产品内外网混用、私接网线部署网络准入控制产品非法拷贝、篡改数据库数据部署数据库审计内部防范体系建设14发掘信息保护需求案例22008年某单位部署完

7、成网络准入系统,有效降低了终端的安全风险。降低了内网安全风险15发掘信息保护需求案例22008年某单位部署完成网络准入系统,有效降低了内网终端的安全风险。2009年开展风险评估,提出应用层安全防护能力薄弱是其最主要风险识别了主要风险在于外网,并且是应用层次16发掘信息保护需求案例22008年某单位部署完成网络准入系统,有效降低了内网终端的安全风险。2009年开展风险评估,提出应用层安全防护能力薄弱是其最主要风险2010年开展安全项目建设,却部署了桌面防护系统建设内容和效果却没有解决外网应用层的隐患,反而放

8、在了内部安全防范和审计上,导致效率低下、重复投资,资源浪费。17发掘信息保护需求案例3某单位委托中国信息安全测评中心对其信息安全设计方案进行评审,希望能够在网络鲁棒性、安全性和产品选用的正确性等方面给出评审意见其信息安全设计方案中的内容全部是对即将建设系统的愿景描述中国信息安全测评中心认为无法满足其评审需求18发掘信息保护需求案例3原因分析:缺少对现有网络风险的描述,没有有效的需求提取与分析,无法找出有效的评审依据或基线,因此

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。