【正文】 某單位部署完成網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，有效降低了內(nèi)網(wǎng)終端的安全風(fēng)險。A和采辦過程 ? 子任務(wù) 確保認(rèn)可員和認(rèn)證員對信息保護需求的認(rèn)同 11 發(fā)掘信息保護需求 ? 風(fēng)險評估結(jié)果是安全需求的重要決定因素 – 一切工程皆有需求 – 信息安全工程的需求并不是工程的起點 – 信息安全工程的需求應(yīng)從風(fēng)險評估結(jié)果分析中得出 – 需求與風(fēng)險的一致性越強，則需求越準(zhǔn)確 – 因此信息安全工程應(yīng)從風(fēng)險著手，制定需求，這也符合信息安全保障（ IA）的思想 12 發(fā)掘信息保護需求 ? 案例 1 –某部委每年開展信息安全風(fēng)險評估工作，定期根據(jù)評估結(jié)果確定信息安全工程建設(shè)項目。A） ? 子任務(wù) 標(biāo)識指派的批準(zhǔn)官員（ DAA） /認(rèn)可員 ? 子任務(wù) 標(biāo)識認(rèn)證專家（ CA） /認(rèn)證員 ? 子任務(wù) 確定可適用的 Camp。 –降低了內(nèi)網(wǎng)安全風(fēng)險 15 發(fā)掘信息保護需求 ? 案例 2 – 2022年某單位部署完成網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，有效降低了內(nèi)網(wǎng)終端的安全風(fēng)險。 19 發(fā)掘信息保護需求 合理性 符合性 安全工程建設(shè)的需求從哪里來？ 20 發(fā)掘信息保護需求 ?風(fēng)險評估機制的引入，解決了工程建設(shè)需求合理性的問題，符合性的問題如何來解決？ 國家政策法規(guī)和合同協(xié)議等符合性要求也是安全需求的重要決定因素 21 發(fā)掘信息保護需求 ? 案例 – 某單位因業(yè)務(wù)需求，欲實現(xiàn)機密級網(wǎng)絡(luò)與非涉密業(yè)務(wù)專網(wǎng)非涉密數(shù)據(jù)的雙向交換。 建立專門的數(shù)據(jù)交換區(qū)域，需要再部署 2臺交換設(shè)備 33 定義信息保護系統(tǒng) 二期為了部署網(wǎng)絡(luò)準(zhǔn)入，犧牲了一期部署的核心交換 網(wǎng)絡(luò)準(zhǔn)入控制產(chǎn)品使用問控制和認(rèn)證，因此認(rèn)證機制和效果比較理想 部署該產(chǎn)品的前提是交換機支持 由于一期部署的交換設(shè)備沒有考慮該因素，并不支持 ，因此剛部署的交換機需要再次更換 E A D 服 務(wù) 器34 定義信息保護系統(tǒng) 三期為了部署網(wǎng)絡(luò)行為管理，機房從新布線 部分網(wǎng)絡(luò)行為管理產(chǎn)品由于缺乏整體設(shè)計考慮，導(dǎo)致一套產(chǎn)品出現(xiàn)了 4個 1U的硬件（行為管理硬件、斷電保護硬件、服務(wù)器等），加之網(wǎng)絡(luò)是雙鏈路，于是一個產(chǎn)品就需要 8U的機柜位臵，導(dǎo)致整個機房的布線、電源需要重新調(diào)整 網(wǎng) 絡(luò) 行 為 管 理 系 統(tǒng)（ 雙 機 熱 備 ）防 火 墻交 換 機互 聯(lián) 網(wǎng) 訪 問 計 算 機路 由 器I n t e r n e t35 定義信息保護系統(tǒng) IPS 行為管理 防毒墻 F5 防火墻 網(wǎng)絡(luò)準(zhǔn)入 網(wǎng)閘 流量管理 明年還要串什么 一期為了部署網(wǎng)閘，犧牲了四臺浪潮服務(wù)器 , 新增購進了 2臺核心交換 二期為了部署網(wǎng)絡(luò)準(zhǔn)入，犧牲了一期部署的核心交換 三期為了部署網(wǎng)絡(luò)行為管理，機房從新布線 明年的四期規(guī)劃正在制定，還未實現(xiàn) …… 36 定義信息保護系統(tǒng) ? 信息系統(tǒng)用途、架構(gòu)等特征對安全風(fēng)險特征的影響 – 任何系統(tǒng)都是有風(fēng)險的 – 同樣一項 IT技術(shù)應(yīng)用在不同的業(yè)務(wù)系統(tǒng)中，其風(fēng)險程度不一定相同，甚至千差萬別 – 同等的應(yīng)用系統(tǒng)，采用不同的技術(shù)架構(gòu)，其安全風(fēng)險也是不同的 37 定義信息保護系統(tǒng) 38 高風(fēng)險 低風(fēng)險 網(wǎng)上銀行系統(tǒng)和某公司的內(nèi)部辦公系統(tǒng)，同樣采用 Oracle數(shù)據(jù)庫，但是兩個系統(tǒng)面臨的安全風(fēng)險是完全不同的 定義信息保護系統(tǒng) 同樣部署在省級單位的稅務(wù)綜合征管系統(tǒng)數(shù)據(jù)庫，在 A省采用匯聚交換機，集中管理方式；在 B省采用直連核心交換機，分散管理方式。A） ? 子任務(wù) 準(zhǔn)備并提交詳細(xì)設(shè)計文檔，用于風(fēng)險分析 ? 子任務(wù) 與認(rèn)可員和認(rèn)證員一起協(xié)商風(fēng)險分析的結(jié)果 49 設(shè)計信息保護系統(tǒng) ? 信息安全建設(shè)必須與信息系統(tǒng)建設(shè)同步設(shè)計 –安全是信息系統(tǒng)建設(shè)過程的重要組成部分，忽視了安全的信息化建設(shè)是不完整的 – 信息系統(tǒng)建設(shè)與信息安全建設(shè)同步設(shè)計可以避免重復(fù)投資，增強效益 50 設(shè)計信息保護系統(tǒng) ? 案例 1 – 某單位在信息化建設(shè)立項階段，高舉風(fēng)險評估、等級保護大旗，提出“以風(fēng)險評估為依據(jù)、以等級保護為基準(zhǔn)”，保障信息化建設(shè)的安全性，卻在預(yù)算中沒有風(fēng)險評估經(jīng)費；在需求書中明確了邊界防護安全需求，卻沒有后續(xù)的安全設(shè)計。 –安全設(shè)計要依據(jù)安全需求 54 設(shè)計信息保護系統(tǒng) ? 案例 2 – 某行業(yè)欲解決病毒防治問題，在部署了防病毒軟件后，提出建立病毒爆發(fā)事前預(yù)警機制，于是開展了部署“防病毒預(yù)警”產(chǎn)品。A過程提供文檔記錄和分析 ? – 任務(wù) 支持安全培訓(xùn) 62 實施信息保護系統(tǒng) ? 案例 1 – 某部委開展網(wǎng)絡(luò)改造建設(shè)項目，實施方案中安排首先完成網(wǎng)絡(luò)割接，之后進行防火墻部署和配臵，再后進行 VLAN劃分，導(dǎo)致系統(tǒng)頻繁出現(xiàn)網(wǎng)絡(luò)中斷，疲于應(yīng)急。 70 評估信息保護系統(tǒng)的有效性 ? 其他任務(wù) —規(guī)劃技術(shù)工作 – –任務(wù) 估計項目范圍 – –任務(wù) 確定資源及其可用性 – –任務(wù) 確定角色和責(zé)任 – –任務(wù) 估計項目成本 – –任務(wù) 制定項目進度 – –任務(wù) 標(biāo)識技術(shù)活動 – –任務(wù) 標(biāo)識可交付項 – –任務(wù) 定義管理接口 – –任務(wù) 準(zhǔn)備技術(shù)管理規(guī)劃 – –任務(wù) 審查項目計劃 – –任務(wù) 得到客戶的認(rèn)同 71 評估信息保護系統(tǒng)的有效性 ? 其他任務(wù) —管理技術(shù)工作 – –任務(wù) 指導(dǎo)技術(shù)工作 – –任務(wù) 跟蹤項目資源 – –任務(wù) 跟蹤技術(shù)參數(shù) – –任務(wù) 監(jiān)督技術(shù)活動的進展 – –任務(wù) 確保可交付項的質(zhì)量 – –任務(wù) 管理配置要素 – –任務(wù) 審查項目績效 – –任務(wù) 報告項目狀態(tài) 72 評估信息保護系統(tǒng)的有效性 ? 風(fēng)險評估是重要系統(tǒng)驗收和投入運行前的必要工作 – 系統(tǒng)驗收引入風(fēng)險評估機制是政策的要求。 2. “ 一把手 ” 簽發(fā)安裝命令，張貼海報、進行宣講，大規(guī)?？焖偻瓿砂惭b部署，即刻配置策略，速戰(zhàn)速決。我們工程驗收評審不再只憑甲方意見和乙方的匯報，風(fēng)險評估使我們找到了一種更為科學(xué)的手段來驗證安全，更找到了一種更為可靠的角色來分擔(dān)風(fēng)險。它無論是對國家，還是對建設(shè)單位（業(yè)主），對施工單位（承包商）都是有明顯的積極意義的。 96 監(jiān)理范圍 ? 信息安全工程監(jiān)理的人員對象范圍是工程實施各方（業(yè)主方、集成方、產(chǎn)品供應(yīng)方、第三方等） – 監(jiān)理是業(yè)主單位的 “ 管家婆 ” – 工程試運行期間的第三方安全評估不受監(jiān)理制約 – 產(chǎn)品供應(yīng)商只聽從于集成方的安排和部署 97 監(jiān)理階段目標(biāo)及職責(zé) ? 了解信息安全工程招標(biāo)、設(shè)計、實施和驗收階段監(jiān)理方的工作目標(biāo) ? 了解信息安全工程招標(biāo)、設(shè)計、實施和驗收階段業(yè)務(wù)單位、承建單位和監(jiān)理單位的職責(zé)和工作流程 98 監(jiān)理咨詢階段及其目標(biāo) 招標(biāo)階段 ? 工程招標(biāo)階段的主要監(jiān)理目標(biāo) –協(xié)助業(yè)主單位明確信息安全工程 需求 ，確定工程建設(shè)目標(biāo)； –促使承建單位編制的 信息安全方案 符合國家和業(yè)主單位的相關(guān)規(guī)定，滿足需求，合理可行； –促使業(yè)主單位、承建單位所簽定 合同 在技術(shù)、經(jīng)濟上的合理性； 99 監(jiān)理咨詢階段及其目標(biāo) 設(shè)計階段 ? 工程設(shè)計階段的主要監(jiān)理目標(biāo) –加強 工程實施方案 的合法性、合理性、與安全工程需求和設(shè)計方案的符合性； –促使工程計劃、設(shè)計方案滿足工程需求，符合相關(guān)的法律、法規(guī)和標(biāo)準(zhǔn)，并與工程建設(shè)合同相符，具有可驗