freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

ch3信息安全工程實(shí)施(已修改)

2025-01-21 19:47 本頁(yè)面
 

【正文】 第三章 信息安全工程實(shí)施 內(nèi)容 2 信息安全工程監(jiān)理 安全工程實(shí)施 信息安全工程實(shí)施 信息安全工程各方職責(zé) 監(jiān)理階段目標(biāo) ISSE安全工程過(guò)程 發(fā)掘信息保護(hù)需求 實(shí)施信息保護(hù)系統(tǒng) 評(píng)估信息保護(hù)系統(tǒng)的有效性 定義信息保護(hù)系統(tǒng) 設(shè)計(jì)信息保護(hù)系統(tǒng) 信息安全工程監(jiān)理模型 ISSE安全工程過(guò)程 3 ?ISSE:美國(guó)軍方在 20世紀(jì) 90年代初發(fā)布的信息安全工程方法, 1994年出版 《 信息系統(tǒng)安全工程手冊(cè) 》 ?理解 ISSE的含義:將系統(tǒng)工程思想應(yīng)用于信息安全領(lǐng)域,在系統(tǒng)生命周期的各階段充分考慮和實(shí)施安全措施 ?理解 ISSE階段劃分及各階段的主要工作內(nèi)容 ISSE安全工程過(guò)程 4 系統(tǒng)生命周期 就是系統(tǒng)從產(chǎn)生構(gòu)思到不再使用的整個(gè)生命歷程 概念與需求定義 系統(tǒng)功能設(shè)計(jì) 系統(tǒng)開(kāi)發(fā)與獲取 系統(tǒng)實(shí)現(xiàn)與測(cè)試 系統(tǒng)維護(hù)與廢棄 系統(tǒng)工程 SE 系統(tǒng)生命周期 產(chǎn)生 不再使用 ISSE安全工程過(guò)程 ? 信息系統(tǒng)安全工程( Information System Security Engineering—ISSE) 發(fā)掘信息保護(hù)需求 定義信息保護(hù)系統(tǒng) 設(shè)計(jì)信息保護(hù)系統(tǒng) 實(shí)施信息保護(hù)系統(tǒng) 評(píng)估信息保護(hù)系統(tǒng)的有效性 ISSE SE 概念與需求定義 系統(tǒng)功能設(shè)計(jì) 系統(tǒng)開(kāi)發(fā)與獲取 系統(tǒng)實(shí)現(xiàn)與測(cè)試 系統(tǒng)維護(hù)與廢棄 5 發(fā)掘信息保護(hù)需求 ? 理解風(fēng)險(xiǎn)評(píng)估結(jié)果是安全需求的重要決定因素 ? 理解國(guó)家政策法規(guī)和合同協(xié)議等符合性要求是安全需求的重要決定因素 6 發(fā)掘信息保護(hù)需求 ? 本階段的主要活動(dòng) –對(duì)信息管理過(guò)程進(jìn)行建模 –定義信息威脅 –確立信息保護(hù)需求的優(yōu)先次序 –準(zhǔn)備信息保護(hù)策略 –獲得用戶 /使用者的許可 確保任務(wù)需求中包含了 信息保護(hù)需求 ,系統(tǒng)功能中包含了 信息保護(hù)功能 ,系統(tǒng)中包含 信息保護(hù)體系結(jié)構(gòu)和機(jī)制 7 發(fā)掘信息保護(hù)需求 ? 發(fā)掘信息保護(hù)需求過(guò)程 8 發(fā)掘信息保護(hù)需求 ? 發(fā)掘信息保護(hù)需求主體 9 發(fā)掘信息保護(hù)需求 ? 發(fā)掘信息保護(hù)需求 子任務(wù) – –任務(wù) 分析機(jī)構(gòu)的任務(wù) – –任務(wù) 判斷信息對(duì)機(jī)構(gòu)任務(wù)的關(guān)系和重要性 – –任務(wù) 確定法律和法規(guī)的要求 – –任務(wù) 確定威脅的類(lèi)別 – –任務(wù) 判斷影響 – –任務(wù) 確定安全服務(wù) – –任務(wù) 記錄信息保護(hù)需求 – –任務(wù) 記錄安全管理的角色和責(zé)任 10 發(fā)掘信息保護(hù)需求 ? 發(fā)掘信息保護(hù)需求 子任務(wù) – –任務(wù) 標(biāo)識(shí)設(shè)計(jì)約束 – –任務(wù) 評(píng)估信息保護(hù)的有效性 ? 子任務(wù) 提供 /展示文檔化的信息保護(hù)需求 ? 子任務(wù) 對(duì)信息保護(hù)需求的認(rèn)同 – –任務(wù) 支持系統(tǒng)的認(rèn)證和認(rèn)可( Camp。A) ? 子任務(wù) 標(biāo)識(shí)指派的批準(zhǔn)官員( DAA) /認(rèn)可員 ? 子任務(wù) 標(biāo)識(shí)認(rèn)證專(zhuān)家( CA) /認(rèn)證員 ? 子任務(wù) 確定可適用的 Camp。A和采辦過(guò)程 ? 子任務(wù) 確保認(rèn)可員和認(rèn)證員對(duì)信息保護(hù)需求的認(rèn)同 11 發(fā)掘信息保護(hù)需求 ? 風(fēng)險(xiǎn)評(píng)估結(jié)果是安全需求的重要決定因素 – 一切工程皆有需求 – 信息安全工程的需求并不是工程的起點(diǎn) – 信息安全工程的需求應(yīng)從風(fēng)險(xiǎn)評(píng)估結(jié)果分析中得出 – 需求與風(fēng)險(xiǎn)的一致性越強(qiáng),則需求越準(zhǔn)確 – 因此信息安全工程應(yīng)從風(fēng)險(xiǎn)著手,制定需求,這也符合信息安全保障( IA)的思想 12 發(fā)掘信息保護(hù)需求 ? 案例 1 –某部委每年開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作,定期根據(jù)評(píng)估結(jié)果確定信息安全工程建設(shè)項(xiàng)目。 風(fēng)險(xiǎn)評(píng)估結(jié)果 解決方式 市、省、國(guó)均可實(shí)現(xiàn)網(wǎng)絡(luò)層未授權(quán)的互訪 部署防火墻產(chǎn)品 未授權(quán)訪問(wèn)過(guò)程沒(méi)有監(jiān)控和審計(jì)措施 部署 IDS產(chǎn)品 沒(méi)有能力識(shí)別未授權(quán)訪問(wèn)所使用惡意程序或代碼 部署防病毒產(chǎn)品 邊界防護(hù)體系建設(shè) 13 發(fā)掘信息保護(hù)需求 ? 案例 1 –某部委每年開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作,定期根據(jù)評(píng)估結(jié)果確定信息安全工程建設(shè)項(xiàng)目。 風(fēng)險(xiǎn)評(píng)估結(jié)果 解決方式 私自修改主機(jī)、網(wǎng)絡(luò)設(shè)備配置參數(shù) 部署網(wǎng)絡(luò)和主機(jī)設(shè)備的安全審計(jì)產(chǎn)品 內(nèi)外網(wǎng)混用、私接網(wǎng)線 部署網(wǎng)絡(luò)準(zhǔn)入控制產(chǎn)品 非法拷貝、篡改數(shù)據(jù)庫(kù)數(shù)據(jù) 部署數(shù)據(jù)庫(kù)審計(jì) 內(nèi)部防范體系建設(shè) 14 發(fā)掘信息保護(hù)需求 ? 案例 2 – 2022年某單位部署完成網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),有效降低了終端的安全風(fēng)險(xiǎn)。 –降低了內(nèi)網(wǎng)安全風(fēng)險(xiǎn) 15 發(fā)掘信息保護(hù)需求 ? 案例 2 – 2022年某單位部署完成網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),有效降低了內(nèi)網(wǎng)終端的安全風(fēng)險(xiǎn)。 – 2022年開(kāi)展風(fēng)險(xiǎn)評(píng)估,提出應(yīng)用層安全防護(hù)能力薄弱是其最主要風(fēng)險(xiǎn) –識(shí)別了主要風(fēng)險(xiǎn)在于外網(wǎng),并且是應(yīng)用層次 16 發(fā)掘信息保護(hù)需求 ? 案例 2 – 2022年某單位部署完成網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),有效降低了內(nèi)網(wǎng)終端的安全風(fēng)險(xiǎn)。 – 2022年開(kāi)展風(fēng)險(xiǎn)評(píng)估,提出應(yīng)用層安全防護(hù)能力薄弱是其最主要風(fēng)險(xiǎn) – 2022年開(kāi)展安全項(xiàng)目建設(shè),卻部署了桌面防護(hù)系統(tǒng) –建設(shè)內(nèi)容和效果卻沒(méi)有解決外網(wǎng)應(yīng)用層的隱患,反而放在了內(nèi)部安全防范和審計(jì)上,導(dǎo)致效率低下、重復(fù)投資,資源浪費(fèi)。 17 發(fā)掘信息保護(hù)需求 ? 案例 3 – 某單位委托中國(guó)信息安全測(cè)評(píng)中心對(duì)其信息安全設(shè)計(jì)方案進(jìn)行評(píng)審,希望能夠在網(wǎng)絡(luò)魯棒性、安全性和產(chǎn)品選用的正確性等方面給出評(píng)審意見(jiàn) – 其信息安全設(shè)計(jì)方案中的內(nèi)容全部是對(duì)即將建設(shè)系統(tǒng)的愿景描述 – 中國(guó)信息安全測(cè)評(píng)中心認(rèn)為無(wú)法滿足其評(píng)審需求 18 發(fā)掘信息保護(hù)需求 ? 案例 3 –原因分析:缺少對(duì)現(xiàn)有網(wǎng)絡(luò)風(fēng)險(xiǎn)的描述,沒(méi)有有效的需求提取與分析,無(wú)法找出有效的評(píng)審依據(jù)或基線,因此無(wú)法做到對(duì)方案的評(píng)審,或者提出的意見(jiàn)是協(xié)助其夯實(shí)風(fēng)險(xiǎn)識(shí)別的過(guò)程。 19 發(fā)掘信息保護(hù)需求 合理性 符合性 安全工程建設(shè)的需求從哪里來(lái)? 20 發(fā)掘信息保護(hù)需求 ?風(fēng)險(xiǎn)評(píng)估機(jī)制的引入,解決了工程建設(shè)需求合理性的問(wèn)題,符合性的問(wèn)題如何來(lái)解決? 國(guó)家政策法規(guī)和合同協(xié)議等符合性要求也是安全需求的重要決定因素 21 發(fā)掘信息保護(hù)需求 ? 案例 – 某單位因業(yè)務(wù)需求,欲實(shí)現(xiàn)機(jī)密級(jí)網(wǎng)絡(luò)與非涉密業(yè)務(wù)專(zhuān)網(wǎng)非涉密數(shù)據(jù)的雙向交換。 – 政策要求:機(jī)密級(jí)網(wǎng)絡(luò)應(yīng)與非涉密網(wǎng)絡(luò)物理隔離 – 在機(jī)密級(jí)網(wǎng)絡(luò)中劃分秘密級(jí)的數(shù)據(jù)交換區(qū)(對(duì)網(wǎng)絡(luò)進(jìn)行降密處理),在非涉密業(yè)務(wù)專(zhuān)網(wǎng)建立專(zhuān)門(mén)的數(shù)據(jù)接收區(qū),兩區(qū)域都只處理非涉密數(shù)據(jù) – 網(wǎng)絡(luò)方案設(shè)計(jì)中描述的需求是秘密級(jí)網(wǎng)絡(luò)與非涉密業(yè)務(wù)專(zhuān)網(wǎng)進(jìn)行非涉密數(shù)據(jù)的可控?cái)?shù)據(jù)交換,成功通過(guò)專(zhuān)家評(píng)審 – 政策法規(guī)既是緊箍咒,也是保護(hù)傘,既要嚴(yán)格遵守又要合理運(yùn)用。 22 定義信息保護(hù)系統(tǒng) ? 理解信息安全必須與信息系統(tǒng)同步規(guī)劃 ? 理解信息系統(tǒng)用途、架構(gòu)等特征對(duì)安全風(fēng)險(xiǎn)特征的影響 23 信息系統(tǒng)安全工程 ISSE 發(fā)掘信息保護(hù)需求 定義信息保護(hù)系統(tǒng) 設(shè)計(jì)信息保護(hù)系統(tǒng) 實(shí)施信息保護(hù)系統(tǒng) 評(píng)估信息保護(hù)系統(tǒng)的有效性 24 定義信息保護(hù)系統(tǒng) ? 信息安全是信息化的重要組成部分,信息化是業(yè)務(wù)發(fā)展的重要組成部分,應(yīng)根據(jù)業(yè)務(wù)目標(biāo)和信息系統(tǒng)的目標(biāo)來(lái)確定信息安全保障策略 – 安全與業(yè)務(wù)發(fā)展是一個(gè)事物的兩個(gè)方面,它們?cè)谝欢ǖ碾A段和不同的范疇相互獨(dú)立 – 安全與業(yè)務(wù)發(fā)展的矛盾在人上產(chǎn)生,又在人上統(tǒng)一和化解
點(diǎn)擊復(fù)制文檔內(nèi)容
試題試卷相關(guān)推薦
文庫(kù)吧 www.dybbs8.com
公安備案圖鄂ICP備17016276號(hào)-1