2018/7/5第1章概述1信息安全保障人员认证22引入•随着我国信息化进程的推进,信息系统应用到社会的各个领域。信息及网络通信技术的进步为信息共享、数据融合、系统集约化提出了新的需求,信息系统在功能不断强大的同时,系统构成却越来越复杂,安全问题层出不穷。•信息社会发展过程中,新旧信息系统并存的现象将一直存在,如何实现对信息系统的安全集成是我们本书讨论的主要话题。12018/7/5信息安全保障人员认证33信息系统内容1•系统、信息系统集成2•集成概念解析信息系统安全集成法律法规3•一个核心•两种模式41.1信息系统22018/7/5信息安全保障人员认证51.1信息系统•信息•香农博士:信息是消除不确定性的东西•国标GB4894-85•现代科学•维纳信息安全保障人员认证61.1信息系统•系统•贝塔朗菲:系统是相互联系相互作用的诸元素的综合体•钱学森•GB/T20261•朗文词典32018/7/5信息安全保障人员认证7系统的基本特征有机组合整体性和独立性层次性和聚合性稳定性信息安全保障人员认证81.1信息系统•信息系统•GB/Z20986-2007:”由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统“42018/7/5信息安全保障人员认证9信息系统的基本特征有机组合整体性和独立性层次性和聚合性稳定性安全属性1.2系统集成52018/7/5信息安全保障人员认证111.2系统集成信息系统集成系统集成集成数据载体环境边界信息系统集成策设开划计发管理资源实施12保障服务信息安全保障人员认证62018/7/51.3信息系统安全集成信息安全保障人员认证141.3信息系统安全集成•基本概念•安全•信息系统安全集成•CCRC-ISV-R01:2018《信息安全服务资质认证实施规则》•CCRC-ISV-C01:2018《信息安全服务规范》72018/7/5信息安全保障人员认证15CISAW统一模型CISAW信息安全保障模型通过实现数据、载体、环境与边界4个实体对象全生命周期的可用性、完整性、真实性、机密性、不可否认性等若干安全属性来支撑“业务”的正常进行。并在实现安全属性的过程中采取了预警、保护、检测、响应、恢复和反击6个动态安全环节的技术手段与措施。模型中为实现上述对象的安全属性及6个环节需要充足的人力、财务、技术、信息资源提供保障。而以上的各类对象、环节、资源都必须进行综合有效的管理。生命环境期周完整真实机密可控可靠预警W可用不可否认反应R保护P检测D恢复R反击C资源管理…环境与边界数据载体业务信息安全保障人员认证16CISAW信息系统安全集成模型一个核心业务两种模式安全集成和集成安全四个阶段安全需求界定、安全设计、安全实施、安全保障八个环节82018/7/5信息安全保障人员认证17安全集成模型业务信息安全保障人员认证18CISAW信息系统安全集成模型92018/7/5信息安全保障人员认证19安全集成模型业务信息安全保障人员认证20安全集成模型业务对象措施资源管理102018/7/5信息安全保障人员认证21安全集成模型信息安全保障人员认证22安全集成本质•信息系统安全集成过程是安全集成所涉及的各个要素建立联系的过程,这些要素包括核心业务对象、实体对象及其生命周期、安全属性、资源与管理。•业务流•实体对象•安全属性集成•资源整合•管理统筹112018/7/5信息安全保障人员认证23安全的集成数据载体环境数据安全子系统/设备载体安全子系统/设备环境安全子系统/设备信息安全保障人员认证24安全的集成•特点•现有系统展开,具有事后性•松耦合•无法根本解决安全问题、脆弱性122018/7/5信息安全保障人员认证250203040506070801措施盘点措施计划措施实施监视评审改进安全集成模式风险评估符合性要求信息安全保障人员认证26集成的安全132018/7/5信息安全保障人员认证27集成的安全•特点•同步性•紧密耦合•底层出发、较好解决安全问题和脆弱性信息安全保障人员认证280203040506070801评审监视改进集成安全模式风险评估符合性要求142018/7/5两种模式符合性要求改进风险评估评审监视工程实施安全评测集成与安全设计评审改进监视29符合性要求措施实施风险评估措施盘点措施计划信息安全保障人员认证1.4法律法规152018/7/5信息安全保障人员...
VIP
