信息系统安全集成-第二章总汇.ppt

安全保证的主要内容：验证和确认安全 获取验证和确认结果 验证和确认安全 如何验证和确认 验证和确认结果 识别要验证和确认的解决方案 制定验证和确认解决方案的方法和严格等级 执行验证和确认 验证解决方案实现了安全相关的要求 确认解决方案满足了客户的安全需求 验证和确认计划 测试、分析、演示和观察计划 端到端的可追踪矩阵 验证和确认测试结果 项目方案的验证结果 验证和确认方案问题报告 项目方案的确认结果 验证和确认计划 谢 谢 ！ 所谓安全保护轮廓（PP），具体来说，就是为了满足一系列的安全目标而提出的一整套相对应的功能和保证需求。一个PP可以重复使用于一些不同的应用中。 基线是软件文档或源码(或其它产出物)的一个稳定版本,它是进一步开发的基础.所以,当基线形成后,项目负责SCM的人需要通知相关人员基线已经形成,并且哪儿可以找到这基线了的版本.这个过程可被认为内部的发布.至于对外的正式发布,更是应当从基线了的版本中发布. 基线是项目储存库中每个工件版本在特定时期的一个“快照”。它提供一个正式标准，随后的工作基于此标准，并且只有经过授权后才能变更这个标准。建立一个初始基线后，以后每次对其进行的变更都将记录为一个差值，直到建成下一个基线。 * 信息系统安全集成过程 * 信息系统安全集成过程 本章讲述信息系统安全集成管理的全过程，包括集成准备、方案设计、建设实施、安全保证的主要方法和内容。 摘 要 目录 安全集成的定义及服务管理过程概述 1 安全集成准备工作的主要方法 2 安全集成方案设计的主要方法 4 安全集成建设实施的主要工作 安全集成安全保证的主要内容 3 5 目录 安全集成的定义及服务管理过程概述 1 安全集成准备工作的主要方法 2 安全集成方案设计的主要方法 4 安全集成建设实施的主要工作 安全集成安全保证的主要内容 3 5 信息系统安全集成 背景介绍 信息时代，企业的数据电子化，篡改和非法复制变得容易 设备和系统的增多，安全性没有统一的考虑，系统出错、受到非法截获和破坏的可能性增大 企业有机会建立自己的网站和信息化办公系统，但疏于信息安全考虑，让企业财务收支、声誉、品牌形象，甚至企业的生存能力都会受到影响和怀疑 尽管系统面临的威胁越来越多，但还是有非常多的企业没有给予信息系统安全集成以足够的重视。安全技术和安全管理并没有在系统集成中得到重视或者有效运用 信息系统的安全性比以前任何时候都重要 信息系统安全集成 背景介绍（续） 从技术和管理上来解决这些安全问题 信息系统安全集成的任务 安全管理 安全技术 泄密问题、网络问题、口令问题、权限问题..... 头痛？？？ 信息系统安全集成的定义 信息系统安全集成服务（简称：安全集成）是指从事计算机应用系统工程和网络系统工程的安全需求界定、安全设计、建设实施、安全保证的活动。 信息系统安全集成服务管理过程的定义 信息系统安全集成服务管理过程指是按照信息系统项目建设的安全需求，采用信息系统安全工程的管理方法和理论，将项目建设中的安全单元、产品部件进行集成和管理的行为或活动。 信息系统安全集成服务管理过程的定义（续） 信息系统安全集成服务过程 在已有信息系统上额外增加 信息安全子系统或信息安全设备 在新建信息系统的结构化设计中 考虑信息安全保证因素 安全优化或安全加固 安全集成服务过程要求的四个阶段 界定安全集成需求 确定服务合同 确定服务人员和组织 签订保密协议 集成准备 方案设计 建设实施 安全保证 安全方案设计 管理安全控制措施 安全协调 安全监控 验证和确认安全 建立保证论据 目录 安全集成的定义及服务管理过程概述 1 安全集成准备工作的主要方法 2 安全集成方案设计的主要方法 4 安全集成建设实施的主要工作 安全集成安全保证的主要内容 3 5 安全集成准备工作的意义 理清客户的安全需求，少走不必要的弯路 有效识别法律、政策和约束条件,避免商业风险和泄密事件 帮助客户有效分析安全行为和安全威胁，界定防范这些风险的控制措施 安全集成准备工作的主要方法 界定安全需求 签定服务合同 确定服务人员 签订保密协议 理解客户的安全需求 识别法律、政策和约束条件 识别安全背景 获取安全视图 获取安全目标 定义安全要求 达成安全协议 安全集成准备工作的主要方法（续） 理解客户的安全需求 识别法律、政策和约束条件 识别安全背景 获取安全视图 获取安全目标 定义安全要求 达成安全协议 需求是什么 约束是什么？ 目标是什么？ 达成协议 安全需求说明 安全约束条件