【正文】 某單位部署完成網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，有效降低了內(nèi)網(wǎng)終端的安全風(fēng)險(xiǎn)。A和采辦過(guò)程 ? 子任務(wù) 確保認(rèn)可員和認(rèn)證員對(duì)信息保護(hù)需求的認(rèn)同 11 發(fā)掘信息保護(hù)需求 ? 風(fēng)險(xiǎn)評(píng)估結(jié)果是安全需求的重要決定因素 – 一切工程皆有需求 – 信息安全工程的需求并不是工程的起點(diǎn) – 信息安全工程的需求應(yīng)從風(fēng)險(xiǎn)評(píng)估結(jié)果分析中得出 – 需求與風(fēng)險(xiǎn)的一致性越強(qiáng)，則需求越準(zhǔn)確 – 因此信息安全工程應(yīng)從風(fēng)險(xiǎn)著手，制定需求，這也符合信息安全保障（ IA）的思想 12 發(fā)掘信息保護(hù)需求 ? 案例 1 –某部委每年開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作，定期根據(jù)評(píng)估結(jié)果確定信息安全工程建設(shè)項(xiàng)目。A） ? 子任務(wù) 標(biāo)識(shí)指派的批準(zhǔn)官員（ DAA） /認(rèn)可員 ? 子任務(wù) 標(biāo)識(shí)認(rèn)證專家（ CA） /認(rèn)證員 ? 子任務(wù) 確定可適用的 Camp。 –降低了內(nèi)網(wǎng)安全風(fēng)險(xiǎn) 15 發(fā)掘信息保護(hù)需求 ? 案例 2 – 2022年某單位部署完成網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，有效降低了內(nèi)網(wǎng)終端的安全風(fēng)險(xiǎn)。 19 發(fā)掘信息保護(hù)需求 合理性 符合性 安全工程建設(shè)的需求從哪里來(lái)？ 20 發(fā)掘信息保護(hù)需求 ?風(fēng)險(xiǎn)評(píng)估機(jī)制的引入，解決了工程建設(shè)需求合理性的問(wèn)題，符合性的問(wèn)題如何來(lái)解決？ 國(guó)家政策法規(guī)和合同協(xié)議等符合性要求也是安全需求的重要決定因素 21 發(fā)掘信息保護(hù)需求 ? 案例 – 某單位因業(yè)務(wù)需求，欲實(shí)現(xiàn)機(jī)密級(jí)網(wǎng)絡(luò)與非涉密業(yè)務(wù)專網(wǎng)非涉密數(shù)據(jù)的雙向交換。 建立專門的數(shù)據(jù)交換區(qū)域，需要再部署 2臺(tái)交換設(shè)備 33 定義信息保護(hù)系統(tǒng) 二期為了部署網(wǎng)絡(luò)準(zhǔn)入，犧牲了一期部署的核心交換 網(wǎng)絡(luò)準(zhǔn)入控制產(chǎn)品使用問(wèn)控制和認(rèn)證，因此認(rèn)證機(jī)制和效果比較理想 部署該產(chǎn)品的前提是交換機(jī)支持 由于一期部署的交換設(shè)備沒(méi)有考慮該因素，并不支持 ，因此剛部署的交換機(jī)需要再次更換 E A D 服 務(wù) 器34 定義信息保護(hù)系統(tǒng) 三期為了部署網(wǎng)絡(luò)行為管理，機(jī)房從新布線 部分網(wǎng)絡(luò)行為管理產(chǎn)品由于缺乏整體設(shè)計(jì)考慮，導(dǎo)致一套產(chǎn)品出現(xiàn)了 4個(gè) 1U的硬件（行為管理硬件、斷電保護(hù)硬件、服務(wù)器等），加之網(wǎng)絡(luò)是雙鏈路，于是一個(gè)產(chǎn)品就需要 8U的機(jī)柜位臵，導(dǎo)致整個(gè)機(jī)房的布線、電源需要重新調(diào)整 網(wǎng) 絡(luò) 行 為 管 理 系 統(tǒng)（ 雙 機(jī) 熱 備 ）防 火 墻交 換 機(jī)互 聯(lián) 網(wǎng) 訪 問(wèn) 計(jì) 算 機(jī)路 由 器I n t e r n e t35 定義信息保護(hù)系統(tǒng) IPS 行為管理 防毒墻 F5 防火墻 網(wǎng)絡(luò)準(zhǔn)入 網(wǎng)閘 流量管理 明年還要串什么 一期為了部署網(wǎng)閘，犧牲了四臺(tái)浪潮服務(wù)器 , 新增購(gòu)進(jìn)了 2臺(tái)核心交換 二期為了部署網(wǎng)絡(luò)準(zhǔn)入，犧牲了一期部署的核心交換 三期為了部署網(wǎng)絡(luò)行為管理，機(jī)房從新布線 明年的四期規(guī)劃正在制定，還未實(shí)現(xiàn) …… 36 定義信息保護(hù)系統(tǒng) ? 信息系統(tǒng)用途、架構(gòu)等特征對(duì)安全風(fēng)險(xiǎn)特征的影響 – 任何系統(tǒng)都是有風(fēng)險(xiǎn)的 – 同樣一項(xiàng) IT技術(shù)應(yīng)用在不同的業(yè)務(wù)系統(tǒng)中，其風(fēng)險(xiǎn)程度不一定相同，甚至千差萬(wàn)別 – 同等的應(yīng)用系統(tǒng)，采用不同的技術(shù)架構(gòu)，其安全風(fēng)險(xiǎn)也是不同的 37 定義信息保護(hù)系統(tǒng) 38 高風(fēng)險(xiǎn) 低風(fēng)險(xiǎn) 網(wǎng)上銀行系統(tǒng)和某公司的內(nèi)部辦公系統(tǒng)，同樣采用 Oracle數(shù)據(jù)庫(kù)，但是兩個(gè)系統(tǒng)面臨的安全風(fēng)險(xiǎn)是完全不同的 定義信息保護(hù)系統(tǒng) 同樣部署在省級(jí)單位的稅務(wù)綜合征管系統(tǒng)數(shù)據(jù)庫(kù)，在 A省采用匯聚交換機(jī)，集中管理方式；在 B省采用直連核心交換機(jī)，分散管理方式。A） ? 子任務(wù) 準(zhǔn)備并提交詳細(xì)設(shè)計(jì)文檔，用于風(fēng)險(xiǎn)分析 ? 子任務(wù) 與認(rèn)可員和認(rèn)證員一起協(xié)商風(fēng)險(xiǎn)分析的結(jié)果 49 設(shè)計(jì)信息保護(hù)系統(tǒng) ? 信息安全建設(shè)必須與信息系統(tǒng)建設(shè)同步設(shè)計(jì) –安全是信息系統(tǒng)建設(shè)過(guò)程的重要組成部分，忽視了安全的信息化建設(shè)是不完整的 – 信息系統(tǒng)建設(shè)與信息安全建設(shè)同步設(shè)計(jì)可以避免重復(fù)投資，增強(qiáng)效益 50 設(shè)計(jì)信息保護(hù)系統(tǒng) ? 案例 1 – 某單位在信息化建設(shè)立項(xiàng)階段，高舉風(fēng)險(xiǎn)評(píng)估、等級(jí)保護(hù)大旗，提出“以風(fēng)險(xiǎn)評(píng)估為依據(jù)、以等級(jí)保護(hù)為基準(zhǔn)”，保障信息化建設(shè)的安全性，卻在預(yù)算中沒(méi)有風(fēng)險(xiǎn)評(píng)估經(jīng)費(fèi)；在需求書中明確了邊界防護(hù)安全需求，卻沒(méi)有后續(xù)的安全設(shè)計(jì)。 –安全設(shè)計(jì)要依據(jù)安全需求 54 設(shè)計(jì)信息保護(hù)系統(tǒng) ? 案例 2 – 某行業(yè)欲解決病毒防治問(wèn)題，在部署了防病毒軟件后，提出建立病毒爆發(fā)事前預(yù)警機(jī)制，于是開(kāi)展了部署“防病毒預(yù)警”產(chǎn)品。A過(guò)程提供文檔記錄和分析 ? – 任務(wù) 支持安全培訓(xùn) 62 實(shí)施信息保護(hù)系統(tǒng) ? 案例 1 – 某部委開(kāi)展網(wǎng)絡(luò)改造建設(shè)項(xiàng)目，實(shí)施方案中安排首先完成網(wǎng)絡(luò)割接，之后進(jìn)行防火墻部署和配臵，再后進(jìn)行 VLAN劃分，導(dǎo)致系統(tǒng)頻繁出現(xiàn)網(wǎng)絡(luò)中斷，疲于應(yīng)急。 70 評(píng)估信息保護(hù)系統(tǒng)的有效性 ? 其他任務(wù) —規(guī)劃技術(shù)工作 – –任務(wù) 估計(jì)項(xiàng)目范圍 – –任務(wù) 確定資源及其可用性 – –任務(wù) 確定角色和責(zé)任 – –任務(wù) 估計(jì)項(xiàng)目成本 – –任務(wù) 制定項(xiàng)目進(jìn)度 – –任務(wù) 標(biāo)識(shí)技術(shù)活動(dòng) – –任務(wù) 標(biāo)識(shí)可交付項(xiàng) – –任務(wù) 定義管理接口 – –任務(wù) 準(zhǔn)備技術(shù)管理規(guī)劃 – –任務(wù) 審查項(xiàng)目計(jì)劃 – –任務(wù) 得到客戶的認(rèn)同 71 評(píng)估信息保護(hù)系統(tǒng)的有效性 ? 其他任務(wù) —管理技術(shù)工作 – –任務(wù) 指導(dǎo)技術(shù)工作 – –任務(wù) 跟蹤項(xiàng)目資源 – –任務(wù) 跟蹤技術(shù)參數(shù) – –任務(wù) 監(jiān)督技術(shù)活動(dòng)的進(jìn)展 – –任務(wù) 確?？山桓俄?xiàng)的質(zhì)量 – –任務(wù) 管理配置要素 – –任務(wù) 審查項(xiàng)目績(jī)效 – –任務(wù) 報(bào)告項(xiàng)目狀態(tài) 72 評(píng)估信息保護(hù)系統(tǒng)的有效性 ? 風(fēng)險(xiǎn)評(píng)估是重要系統(tǒng)驗(yàn)收和投入運(yùn)行前的必要工作 – 系統(tǒng)驗(yàn)收引入風(fēng)險(xiǎn)評(píng)估機(jī)制是政策的要求。 2. “ 一把手 ” 簽發(fā)安裝命令，張貼海報(bào)、進(jìn)行宣講，大規(guī)模快速完成安裝部署，即刻配置策略，速戰(zhàn)速?zèng)Q。我們工程驗(yàn)收評(píng)審不再只憑甲方意見(jiàn)和乙方的匯報(bào)，風(fēng)險(xiǎn)評(píng)估使我們找到了一種更為科學(xué)的手段來(lái)驗(yàn)證安全，更找到了一種更為可靠的角色來(lái)分擔(dān)風(fēng)險(xiǎn)。它無(wú)論是對(duì)國(guó)家，還是對(duì)建設(shè)單位（業(yè)主），對(duì)施工單位（承包商）都是有明顯的積極意義的。 96 監(jiān)理范圍 ? 信息安全工程監(jiān)理的人員對(duì)象范圍是工程實(shí)施各方（業(yè)主方、集成方、產(chǎn)品供應(yīng)方、第三方等） – 監(jiān)理是業(yè)主單位的 “ 管家婆 ” – 工程試運(yùn)行期間的第三方安全評(píng)估不受監(jiān)理制約 – 產(chǎn)品供應(yīng)商只聽(tīng)從于集成方的安排和部署 97 監(jiān)理階段目標(biāo)及職責(zé) ? 了解信息安全工程招標(biāo)、設(shè)計(jì)、實(shí)施和驗(yàn)收階段監(jiān)理方的工作目標(biāo) ? 了解信息安全工程招標(biāo)、設(shè)計(jì)、實(shí)施和驗(yàn)收階段業(yè)務(wù)單位、承建單位和監(jiān)理單位的職責(zé)和工作流程 98 監(jiān)理咨詢階段及其目標(biāo) 招標(biāo)階段 ? 工程招標(biāo)階段的主要監(jiān)理目標(biāo) –協(xié)助業(yè)主單位明確信息安全工程 需求 ，確定工程建設(shè)目標(biāo)； –促使承建單位編制的 信息安全方案 符合國(guó)家和業(yè)主單位的相關(guān)規(guī)定，滿足需求，合理可行； –促使業(yè)主單位、承建單位所簽定 合同 在技術(shù)、經(jīng)濟(jì)上的合理性； 99 監(jiān)理咨詢階段及其目標(biāo) 設(shè)計(jì)階段 ? 工程設(shè)計(jì)階段的主要監(jiān)理目標(biāo) –加強(qiáng) 工程實(shí)施方案 的合法性、合理性、與安全工程需求和設(shè)計(jì)方案的符合性； –促使工程計(jì)劃、設(shè)計(jì)方案滿足工程需求，符合相關(guān)的法律、法規(guī)和標(biāo)準(zhǔn)，并與工程建設(shè)合同相符，具有可驗(yàn)