【正文】 它無論是對國家，還是對建設(shè)單位（業(yè)主），對施工單位（承包商）都是有明顯的積極意義的。A過程提供文檔記錄和分析 ? – 任務(wù) 支持安全培訓(xùn) 62 實施信息保護系統(tǒng) ? 案例 1 – 某部委開展網(wǎng)絡(luò)改造建設(shè)項目，實施方案中安排首先完成網(wǎng)絡(luò)割接，之后進行防火墻部署和配臵，再后進行 VLAN劃分，導(dǎo)致系統(tǒng)頻繁出現(xiàn)網(wǎng)絡(luò)中斷，疲于應(yīng)急。 19 發(fā)掘信息保護需求 合理性 符合性 安全工程建設(shè)的需求從哪里來？ 20 發(fā)掘信息保護需求 ?風險評估機制的引入，解決了工程建設(shè)需求合理性的問題，符合性的問題如何來解決？ 國家政策法規(guī)和合同協(xié)議等符合性要求也是安全需求的重要決定因素 21 發(fā)掘信息保護需求 ? 案例 – 某單位因業(yè)務(wù)需求，欲實現(xiàn)機密級網(wǎng)絡(luò)與非涉密業(yè)務(wù)專網(wǎng)非涉密數(shù)據(jù)的雙向交換。 – 2022年開展風險評估，提出應(yīng)用層安全防護能力薄弱是其最主要風險 –識別了主要風險在于外網(wǎng)，并且是應(yīng)用層次 16 發(fā)掘信息保護需求 ? 案例 2 – 2022年某單位部署完成網(wǎng)絡(luò)準入系統(tǒng)，有效降低了內(nèi)網(wǎng)終端的安全風險。 – 病毒預(yù)警的功能實際上就是病毒日志的匯總和統(tǒng)計 – 所謂預(yù)警，目前只能做到用前 5天的數(shù)據(jù)，預(yù)測后 1天的病毒，且誤差在 2天左右 – 病毒預(yù)警產(chǎn)品只支持特定品牌的防病毒軟件 – 諸多省級單位為了適應(yīng)該預(yù)警系統(tǒng)，更換了原有的防病毒軟件，使特定品牌的病毒軟件“統(tǒng)一江湖” –安全設(shè)計要具備可行性 55 設(shè)計信息保護系統(tǒng) 實施信息保護系統(tǒng) ? 理解信息安全必須與信息系統(tǒng)同步實施、同步運行 ? 理解安全防護措施的部署需要符合總體安全需求和設(shè)計方案 57 信息系統(tǒng)安全工程 ISSE 發(fā)掘信息保護需求 定義信息保護系統(tǒng) 設(shè)計信息保護系統(tǒng) 實施信息保護系統(tǒng) 評估信息保護系統(tǒng)的有效性 58 實施信息保護系統(tǒng) ? ?? 購買 /開發(fā)采購 ? ?? 建設(shè)、集成 ? ?? 測試、認證 59 實施信息保護系統(tǒng) ? 實施信息保護系統(tǒng) 子任務(wù) – –任務(wù) 支持對安全的實現(xiàn)和集成 ? 子任務(wù) 參與安全實現(xiàn)的規(guī)劃 ? 子任務(wù) 檢驗安全工具和機制的互操作性 ? 子任務(wù) 根據(jù)安全設(shè)計對實現(xiàn)進行驗證 ? 子任務(wù) 根據(jù)所選擇的安全準則，驗證安全組件是否已經(jīng)得到評估 ? 子任務(wù) 參與系統(tǒng)組件的集成，確保其滿足了系統(tǒng)安全規(guī) ? 范，且未改變組件的規(guī)范 ? 子任務(wù) 參與系統(tǒng)組件的配置，確保安全特性已經(jīng)激活，且安全參數(shù)已得到正確設(shè)置，能夠提供所需的安全服務(wù) ? 子任務(wù) 確保系統(tǒng)和組件的配置已得到紀錄，并實施了配 ? 置管理 60 實施信息保護系統(tǒng) ? 實施信息保護系統(tǒng) 子任務(wù) – –任務(wù) 支持測試和評估 ? 子任務(wù) 建立測試和評估戰(zhàn)略（包括示范、觀察、分析和 ? 測試） ? 子任務(wù) 評審可用的測試和評估證據(jù)（例如來自于 CCEP、NIAP、內(nèi)部測試的數(shù)據(jù)） ? 子任務(wù) 對測試和評估流程的開發(fā)提供支持 ? 子任務(wù) 對測試和評估活動提供支持 – –任務(wù) 評估信息保護的有效性 ? 子任務(wù) 監(jiān)督以確保安全設(shè)計的正確實現(xiàn) ? 子任務(wù) 實施并更新風險分析 ? 子任務(wù) 定義風險及其可能對使命帶來的影響，并通知客戶和認可員及認證員 61 實施信息保護系統(tǒng) ?實施信息保護系統(tǒng) 子任務(wù) ? – 任務(wù) 支持系統(tǒng)的認證和認可（ Camp。” – 風險評估是評估信息保護系統(tǒng)的有效性的重要手段 78 評估信息保護系統(tǒng)的有效性 ? 信息安全工作需要覆蓋系統(tǒng)全生命周期 – 信息安全工作不是一勞永逸的，需要在全生命周期予以重視 – 要與風險管理、安全保障等思想相結(jié)合，綜合認識信息安全問題是覆蓋全生命周期 ? 持續(xù)的風險評估和風險控制是保障系統(tǒng)安全的必要工作 – 持續(xù)的風險評估是信息安全保障的一項基礎(chǔ)性工作 – 持續(xù)的風險評估為新的安全決策和需求提供重要依據(jù) 79 評估信息保護系統(tǒng)的有效性 ? 信息安全工作不是一勞永逸的，需要在全生命周期予以重視 ? 某行業(yè)通過五年安全防護體系建設(shè)，為全國省級單位部署了 12款安全產(chǎn)品。 92 信息安全工程監(jiān)理模型 ? 信息安全工程監(jiān)理工作的意義 – 對施工單位（集成商）來說，在其與得到建設(shè)單位委托的監(jiān)理機構(gòu)打交道，在技術(shù)上、管理上可以有共同語言，即使發(fā)生爭議，也比較容易按現(xiàn)行專業(yè)法規(guī)去妥善處理，將減少或杜絕過去甲、乙雙方之間那種不正常的“扯皮”，而提高施工及管理的效率 93 信息安全工程監(jiān)理模型 ? 信息安全工程監(jiān)理階段、監(jiān)理管理和控制手段和監(jiān)理支撐要素 監(jiān)理咨詢支撐要素控制和管理手段監(jiān)理咨詢階段過程設(shè)計招標實施驗收變更監(jiān)理咨詢組織結(jié)構(gòu)監(jiān)理咨詢設(shè)施信息安全保障專業(yè)知識質(zhì)量管理質(zhì)量控制進度控制成本控制合同管理信息管理組織協(xié)調(diào)― 三控制、兩管理、一協(xié)調(diào) ‖監(jiān)理規(guī)劃標準規(guī)范 合同 監(jiān)理實施細則監(jiān)理規(guī)劃標準規(guī)范 監(jiān)理實施細則監(jiān)理范圍 ? 信息安全工程監(jiān)理內(nèi)容范圍是信息安全工程，并不專注于某一產(chǎn)品的性能和功能 – 查驗產(chǎn)品型號與合同型號是否一致 – 查驗貨品及配件是否完好無破損 – 查驗產(chǎn)品是否能夠通過加電測試 – 查驗產(chǎn)品部署位置是否與實施方案一致 – 查驗產(chǎn)品配置策略是否與實施方案一致 – 檢測產(chǎn)品的性能和功能是否滿足本次項目需求 95 監(jiān)理范圍 ? 信息安全工程監(jiān)理的時間范圍是從簽署監(jiān)理合同開始到工程的結(jié)束 – 業(yè)主單位應(yīng)先選擇監(jiān)理方，再選擇集成方，最后選擇產(chǎn)品供應(yīng)方 – 信息安全工程監(jiān)理覆蓋的階段為需求、設(shè)計、實施和驗收，并不包含運維階段，是全工程實施周期的，不是全生命周期的?！霸u估信息保護的有效性”中的各項任務(wù)和子任務(wù)已經(jīng)列入上述的活動中。A） ? 子任務(wù) 確保認可員和認證員對系統(tǒng)安全背景環(huán)境、CONOPS及保護要求的認同 29 定義信息保護系統(tǒng) ? 信息安全工程建設(shè)應(yīng)與信息化工程建設(shè)同步規(guī)劃、同步設(shè)計、同步實施、同步驗收 – 這是國家的政策要求（國信辦 【 2022】 5號文、發(fā)改高技 【 2022】 2071號文） – 這是業(yè)界的最佳實踐，是規(guī)避和解決層出不窮的信息安全問題的最有效方式 30 定義信息保護系統(tǒng) ? 信息化建設(shè)與信息安全建設(shè)脫節(jié)的問題，往往是由于對系統(tǒng)缺乏安全方面的認識和了解，沒有清晰、完整定義和描述信息系統(tǒng)，因此信息系統(tǒng)的決策層和管理層應(yīng)樹立以下認識： 決策層和管理層只有樹立良好的安全意識和原則，才能真正實現(xiàn)“高枕無憂” 31 定義信息保護系統(tǒng) 32 1.“2071號文 ” 明確提出了電子政務(wù)建設(shè)項目中的信息安全一票否決制 2.“ 重應(yīng)用，輕安全 ” ，事前疏于防范，事后追悔莫及 諸多安全問題涌現(xiàn)的 “ 罪魁禍首 ” ，項目驗收要做風險評估 定義信息保護系統(tǒng) 一期為了部署網(wǎng)閘，犧牲了四臺浪潮服務(wù)器 , 新增購進了 2臺核心交換 部署網(wǎng)閘，需要分別在不同安全級別的網(wǎng)絡(luò)間建立數(shù)據(jù)交換區(qū)域，原有的設(shè)備存儲過高密級信息，因此不能利舊，需要再增添存儲設(shè)備，并且原有設(shè)備要進行銷毀。 風險評估結(jié)果 解決方式 市、省、國均可實現(xiàn)網(wǎng)絡(luò)層未授權(quán)的互訪 部署防火墻產(chǎn)品 未授權(quán)訪問過程沒有監(jiān)控和審計措施 部署 IDS產(chǎn)品 沒有能力識