返回
信息安全工程方法学案例分析.ppt

信息安全工程方法学案例分析.ppt

ID:62355666

大小:4.94 MB

页数:45页

时间:2021-04-30

信息安全工程方法学案例分析.ppt_第1页
信息安全工程方法学案例分析.ppt_第2页
信息安全工程方法学案例分析.ppt_第3页
信息安全工程方法学案例分析.ppt_第4页
信息安全工程方法学案例分析.ppt_第5页
资源描述:

《信息安全工程方法学案例分析.ppt》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、案例构建一个法律咨询公司的信息系统。该系统是新建的,而不是对已有系统的信息安全加固工程,但它们的本质是相同的。希望通过这个案例,能使同学梦中更进一步理解信息安全工程的方法与概念。此外,由于信息安全工程是融于信息系统工程之中的,因此,我们还需要用到信息系统工程的方法。需求分析安全需求捕获的目标是在系统需求捕获的前提下,进一步捕获其安全需求。系统需求的捕获靠的是市场分析、商业运作模式分析等手段,而安全需求的捕获则主要是靠安全评估方法。首先要对系统信息进行分级。分级的方案因实际情况而定,其粒度由可用性和经济杠杆进行平衡。在IATF中,美国国

2、防部将系统分为四级:公开、保密、机密和敏感信息,因此对系统也要有个适合实际情况的信息分级,并得到客户的认可。在有了信息分级的前提下,要制定各级别信息的安全目标。需求分析安全的引入也会引起新的需求,主要是安全平台系统、安全管理系统和安全意识系统,安全师要对这些新增的需求进行描述。在安全需求固定以后,要根据系统安全分级和目标重新审核各需求,分析威胁,并将安全措施补充到安全需求之中去。需求分析——SE资深法律工作者的经验和知识是一笔巨大的无形财富;将多个资深法律工作者集中起来,通过交流、学习和总结,形成一个法律智囊团,将会具有很强的竞争力;

3、利用统一的信息管理平台,将会使咨询工作更加高效。需求分析——SE经理办公室:也就是公司的运行中枢,负责协调资源,把握公司的发展方向。通过分析各下属部门的工作报告,正确制定战略计划,以此来推动整个企业的向前发展。人力资源部:公司最主要的资源是人力资源,需要一个独立的部门来负责人力资源的管理。财务部:负责公司的财务管理工作。市场部:负责宣传公司服务,并从用户那里获取服务反馈,作为公司决策的依据。律师部:公司盈利的核心,负责为会员用户提供咨询服务,同时律师们还将通过交流、学习和总结等活动维护一个智囊信息库。需求分析——SE隐藏的需求:信息技

4、术支持管理:信息系统要建立在信息技术之上,因此对于这些基础设施当然也就需要管理了。员工使用Internet电子邮件服务:保证员工和外界友好的交流。员工浏览Internet网页。需求分析——SE功能描述:US-01:系统应该提供一个平台,客户可以通过这个平台浏览服务范围、服务内容、服务方法。用户可以通过平台注册为会员,注册的条件是要遵守合同协议。成为会员后,用户通过网上在线支付方式启动他的服务功能。在服务启用期间,用户可以提交规定限制个数的咨询请求,律师职员将有义务来回答这些咨询请求。需求分析——SE功能描述(续):US-02:用户对服

5、务的质量有投诉时,可以通过系统提交投诉,市场部的职员则负责处理这些投诉。US-03:系统提供一个电子律师智囊库及其管理。律师们需要查阅里面的资料,同时,律师们也将自己的工作总结成案例,补充智囊库的内容,使经验共享。US-04:系统要提供一个处理公司内部运行业务的信息系统,通过工作流的方式管理公司的制度、教育、工资、财政、工作报告、计划下发、职员档案。需求分析——SE功能描述(续):US-05:系统要提供信息设施的管理,包括设施的配置和变更。US-06:系统要提供一套信息系统使用制度,指导人们正确使用系统。如有可能,应该提供培训。US-

6、07:系统要提供员工使用Email和浏览Internet网页的功能。需求分析——SE由以上分析我们可以看出,系统需求明确,从而让我们知道了哪些是信息系统要完成的功能。此外,我们也看到,信息系统并不是仅仅是一些软件和硬件的组合,它也包括一些使用说明、培训材料之类的非自动化组件。需求分析——ISSE根据ISSE,我们首先需要制定一个信息分级标准。为了简单起见,我们采用三级分类。而在实际中,则需要和客户进行沟通,因为分级越少,使用就会越简单,但安全控制的粒度就相对较小。以下是我们具体的信息分级(IC):需求分析——ISSE公开:公司认为如果

7、信息可以向公众清楚透露的,就是公开的信息或操作。内部:公司认为那些没有向公众公开透露的信息是内部的信息或操作。机密:公司认为,如果信息受到威胁将会对公司或客户造成严重影响的信息和操作。需求分析——ISSE安全的引入伴随着新的需求:需要一个安全管理的应用,以及在制度方面需要建立信息系统安全制度和意识培养,功能描述如下:US-08:为了保障信息的安全,需要系统提供一个方便的应用,可以统一对信息应用和信息设施进行配置、变更、响应、审计、侦察等安全管理功能。US-09:需要系统提供一套安全管理执行的制度,以及职员的安全操作意识及培训资料。最好

8、再提供一个自动化的安全问题在线帮助系统。需求分析——ISSE现在,我们有了完整的需求了,接下来,是该根据IC标准重新审查这些需求。对每一个需求,安全师将协助客户分析它们的威胁及安全要求。这里,我们仅以US-03作为例子,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。