【正文】 100 監(jiān)理咨詢階段及其目標(biāo) 實(shí)施階段 ? 工程實(shí)施階段的主要監(jiān)理目標(biāo) –加強(qiáng)工程實(shí)施方案的合法性、合理性、與設(shè)計(jì)方案的符合性； –促使工程中所使用的產(chǎn)品和服務(wù)符合承建合同及國(guó)家相關(guān)法律、法規(guī)和標(biāo)準(zhǔn)； –明確工程實(shí)施計(jì)劃，對(duì)于計(jì)劃的調(diào)整必須合理、受控； –促使工程實(shí)施過(guò)程滿足承建合同的要求，并與工程設(shè)計(jì)方案、工程計(jì)劃相符； 101 監(jiān)理咨詢階段及其目標(biāo) 驗(yàn)收階段 ? 工程驗(yàn)收階段的主要監(jiān)理目標(biāo) –明確工程項(xiàng)目測(cè)試驗(yàn)收方案的符合性（驗(yàn)收目標(biāo)、責(zé)任雙方、驗(yàn)收提交清單、驗(yàn)收標(biāo)準(zhǔn)、驗(yàn)收方式、驗(yàn)收環(huán)境等）及可行性； –促使工程的最終功能和性能符合承建合同、法律、法規(guī)和標(biāo)準(zhǔn)的要求； –推動(dòng)承建單位所提供的工程各階段形成的技術(shù)、管理文檔的內(nèi)容和種類符合相關(guān)標(biāo)準(zhǔn)。 91 信息安全工程監(jiān)理模型 ? 信息安全工程監(jiān)理工作的意義 – 對(duì)于建設(shè)單位（業(yè)主）來(lái)說(shuō)，可以使其籌建機(jī)構(gòu)大大精簡(jiǎn)，既節(jié)省人力、開(kāi)支，又可使工程得到有效的優(yōu)質(zhì)的管理 – 對(duì)于監(jiān)理機(jī)構(gòu)，可以充分發(fā)揮其技術(shù)、管理等方面智力密集的優(yōu)勢(shì)，為建設(shè)單位服務(wù)好，從而創(chuàng)造出最好的社會(huì)效益。 ? “ 完成了產(chǎn)品部署工作，信息安全工作就高枕無(wú)憂了 ” 。 76 評(píng)估信息保護(hù)系統(tǒng)的有效性 ? 系統(tǒng)驗(yàn)收引入風(fēng)險(xiǎn)評(píng)估機(jī)制是政策的要求 – 為落實(shí) 《 國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目管理暫行辦法 》 （發(fā)改委 [2022]55號(hào)令）對(duì)風(fēng)險(xiǎn)評(píng)估的要求， 發(fā)改高技【 2022】 2071號(hào)文件 《 關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知 》 提出了具體要求：（相當(dāng)于“信息安全審計(jì)”） ? 電子政務(wù)工程建設(shè)項(xiàng)目應(yīng)開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作 ? 項(xiàng)目建設(shè)單位應(yīng)在試運(yùn)行期間開(kāi)展風(fēng)險(xiǎn)評(píng)估工作，作為項(xiàng)目驗(yàn)收的重要依據(jù) ? 項(xiàng)目驗(yàn)收申請(qǐng)時(shí)，應(yīng)提交信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告 – 系統(tǒng)驗(yàn)收引入風(fēng)險(xiǎn)評(píng)估機(jī)制是政策的要求 77 評(píng)估信息保護(hù)系統(tǒng)的有效性 ? 案例 – 某單位在信息安全策略中明確指出，信息化建設(shè)項(xiàng)目在試運(yùn)行階段必須執(zhí)行安全風(fēng)險(xiǎn)評(píng)估，并將評(píng)估結(jié)果和整改情況作為終驗(yàn)和付款的重要依據(jù)。 ，才能使安全發(fā)揮最大效益，同時(shí)也使應(yīng)用的到最好的保護(hù)。 – 信息化建設(shè)中必須引入必要的安全控制手段和措施 – 安全手段和措施必須與信息化建設(shè)同步落實(shí)到位 64 實(shí)施信息保護(hù)系統(tǒng) ? 案例 3 – 某行業(yè)開(kāi)展對(duì)重要網(wǎng)絡(luò)設(shè)備和服務(wù)器設(shè)備的安全審計(jì)項(xiàng)目 – 設(shè)計(jì)方案中要求各省級(jí)單位把核心網(wǎng)絡(luò)設(shè)備、核心系統(tǒng)的主機(jī)設(shè)備、邊界安全設(shè)備等納入審計(jì)范圍 – 實(shí)施過(guò)程中由于產(chǎn)品通用性差、各單位有瞞報(bào)數(shù)據(jù)企圖等原因，導(dǎo)致審計(jì)范圍縮水嚴(yán)重，沒(méi)有達(dá)到預(yù)期效果 –安全措施部署和實(shí)施要依據(jù)安全設(shè)計(jì) 65 實(shí)施信息保護(hù)系統(tǒng) ? 案例 4 – 某行業(yè)采購(gòu)了一批網(wǎng)絡(luò)行為管理產(chǎn)品，加強(qiáng)對(duì)互聯(lián)網(wǎng)訪問(wèn)的管理和審計(jì) – 在該產(chǎn)品到貨驗(yàn)收時(shí)發(fā)現(xiàn)，到貨產(chǎn)品的外觀與送檢產(chǎn)品的外觀不一致 – 要求其把到貨產(chǎn)品交予檢測(cè)機(jī)構(gòu)進(jìn)行比對(duì)測(cè)試 – 根據(jù)比對(duì)測(cè)試結(jié)果，判斷其是否能夠在工程中予以繼續(xù)應(yīng)用 –部署過(guò)程應(yīng)重點(diǎn)關(guān)注變更環(huán)節(jié) 66 實(shí)施信息保護(hù)系統(tǒng) ? 安全工程應(yīng)重點(diǎn)把握：風(fēng)險(xiǎn)、需求、設(shè)計(jì)、實(shí)施的一致性和協(xié)調(diào)性 風(fēng)險(xiǎn) 需求 設(shè)計(jì) 實(shí)施 67 評(píng)估信息保護(hù)系統(tǒng)的有效性 ? 理解信息安全工作需要覆蓋系統(tǒng)全生命周期 ? 理解持續(xù)的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)消控是保障系統(tǒng)安全的必要工作 68 信息系統(tǒng)安全工程 ISSE 發(fā)掘信息保護(hù)需求 定義信息保護(hù)系統(tǒng) 設(shè)計(jì)信息保護(hù)系統(tǒng) 實(shí)施信息保護(hù)系統(tǒng) 評(píng)估信息保護(hù)系統(tǒng)的有效性 69 評(píng)估信息保護(hù)系統(tǒng)的有效性 ? 要在多項(xiàng)活動(dòng)中評(píng)估信息保護(hù)的有效性：發(fā)掘信息保護(hù)需求、定義系統(tǒng)安全要求、定義系統(tǒng)安全體系結(jié)構(gòu)、開(kāi)展詳細(xì)的安全設(shè)計(jì)以及實(shí)現(xiàn)系統(tǒng)安全。A） ?子任務(wù) 確保所需的 Camp。這表面上是產(chǎn)品的普適性問(wèn)題，根源是信息化建設(shè)在設(shè)計(jì)、部署過(guò)程缺乏統(tǒng)一的安全考慮。 40 設(shè)計(jì)信息保護(hù)系統(tǒng) ? 理解信息安全必須與信息系統(tǒng)同步設(shè)計(jì) ? 理解根據(jù)安全需求有針對(duì)性地設(shè)計(jì)安全措施的必要性 41 信息系統(tǒng)安全工程 ISSE 發(fā)掘信息保護(hù)需求 定義信息保護(hù)系統(tǒng) 設(shè)計(jì)信息保護(hù)系統(tǒng) 實(shí)施信息保護(hù)系統(tǒng) 評(píng)估信息保護(hù)系統(tǒng)的有效性 42 設(shè)計(jì)信息保護(hù)系統(tǒng) ? 定義與設(shè)計(jì)的區(qū)別 43 設(shè)計(jì)信息保護(hù)系統(tǒng) ? 設(shè)計(jì)步驟 44 設(shè)計(jì)信息保護(hù)系統(tǒng) ? 設(shè)計(jì)信息保護(hù)系統(tǒng) – 構(gòu)造系統(tǒng)的體系結(jié)構(gòu)，詳細(xì)說(shuō)明信息保護(hù)系統(tǒng)的設(shè)計(jì)方案 ? 精練、驗(yàn)證并檢查安全要求與威脅評(píng)估的技術(shù)原理 ? 確保一系列的低層要求能夠滿足系統(tǒng)級(jí)的要求 ? 支持系統(tǒng)級(jí)體系結(jié)構(gòu)、配置項(xiàng)和接口定義 ? 支持長(zhǎng)研制周期和前期的采購(gòu)決策 ? 定義信息保護(hù)的檢驗(yàn)和認(rèn)證的步驟及戰(zhàn)略 ? 考慮信息保護(hù)的操作和生命周期支持問(wèn)題 ? 繼續(xù)跟蹤、精煉信息保護(hù)相關(guān)的采辦和工程管理計(jì)劃及戰(zhàn)略 ? 繼續(xù)進(jìn)行面向具體系統(tǒng)的信息保護(hù)風(fēng)險(xiǎn)審查和評(píng)估 ? 支持認(rèn)證和認(rèn)可過(guò)程 ? 加入系統(tǒng)工程過(guò)程 45 設(shè)計(jì)信息保護(hù)系統(tǒng) ? 設(shè)計(jì)信息保護(hù)系統(tǒng)子任務(wù) – 任務(wù) 實(shí)施功能分析和功能分配 ? 子任務(wù) 分析待建系統(tǒng)的體系結(jié)構(gòu) ? 子任務(wù) 在體系結(jié)構(gòu)中分配安全服務(wù) ? 子任務(wù) 選擇安全機(jī)制的類型 ? 子任務(wù) 提交安全體系結(jié)構(gòu)設(shè)計(jì)，以供評(píng)估 ? 子任務(wù) 修改安全體系結(jié)構(gòu) ? 子任務(wù) 選擇安全體系結(jié)構(gòu) – 任務(wù) 評(píng)估信息保護(hù)的有效性 ? 子任務(wù) 確保所選擇的安全機(jī)制能夠提供所需的安全服務(wù) ? 子任務(wù) 說(shuō)明安全體系結(jié)構(gòu)如何滿足安全要求 ? 子任務(wù) 制定風(fēng)險(xiǎn)控制目標(biāo) ? 子任務(wù) 得到客戶對(duì)安全體系結(jié)構(gòu)的認(rèn)同 46 設(shè)計(jì)信息保護(hù)系統(tǒng) ? 設(shè)計(jì)信息保護(hù)系統(tǒng)子任務(wù)（續(xù)） –任務(wù) 支持系統(tǒng)的認(rèn)證和認(rèn)可（ Camp。 22 定義信息保護(hù)系統(tǒng) ? 理解信息安全必須與信息系統(tǒng)同步規(guī)劃 ? 理解信息系統(tǒng)用途、架構(gòu)等特征對(duì)安全風(fēng)險(xiǎn)特征的影響 23 信息系統(tǒng)安全工程 ISSE 發(fā)掘信息保護(hù)需求 定義信息保護(hù)系統(tǒng) 設(shè)計(jì)信息保護(hù)系統(tǒng) 實(shí)施信息保護(hù)系統(tǒng) 評(píng)估信息保護(hù)系統(tǒng)的有效性 24 定義信息保護(hù)系統(tǒng) ? 信息安全是信息化的重要組成部分，信息化是業(yè)務(wù)發(fā)展的重要組成部分，應(yīng)根據(jù)業(yè)務(wù)目標(biāo)和信息系統(tǒng)的目標(biāo)來(lái)確定信息安全保障策略 – 安全與業(yè)務(wù)發(fā)展是一個(gè)事物的兩個(gè)方面，它們?cè)谝欢ǖ碾A段和不同的范疇相互獨(dú)立 – 安全與業(yè)務(wù)發(fā)展的矛盾在人上產(chǎn)生，又在人上統(tǒng)一和化解 我們要保障的是業(yè)務(wù)的安全，不是簡(jiǎn)單的 IT安全 25 定義信息保護(hù)系統(tǒng) 26 BBS都是信息系統(tǒng)，需要得到同樣級(jí)別的保護(hù) ，信息化是信息化， “ 井水與河水 ” 彼此不干，不相往來(lái) 斷、主機(jī)不停、數(shù)據(jù)不丟 ，完全是信息中心的工作失職 糾正錯(cuò)誤認(rèn)識(shí) 定義信息保護(hù)系統(tǒng) ? 定義信息保護(hù)系統(tǒng) 27 定義信息保護(hù)系統(tǒng) ? 定義信息保護(hù)系統(tǒng) 子任務(wù) – –任務(wù) 定義系統(tǒng)安全背景環(huán)境 ? 子任務(wù) 定義系統(tǒng)邊界及與 SE的接口 ? 子任務(wù) 記錄目標(biāo)系統(tǒng)和外部系統(tǒng)的安全分配 ? 子任務(wù) 標(biāo)識(shí)目標(biāo)系統(tǒng)與外部系統(tǒng)之間的數(shù)據(jù)流以及與這些數(shù)據(jù)流有關(guān)的保護(hù)要求 – –任務(wù) 定義安全運(yùn)行概念（ CONOPS） – –任務(wù) 制定系統(tǒng)安全要求基線 ? 子任務(wù) 定義系統(tǒng)安全