[ch3信息安全工程实施.ppt

习题和思考题 作业 1ISSE定义的安全工程过程包含哪些阶段？ 2 如何解决安全工程需求的合理性和符合性？ 3为什么说风险评估贯穿于安全工程的全过程？ 答疑 监理范围 信息安全工程监理的时间范围是从签署监理合同开始到工程的结束 业主单位应先选择监理方，再选择集成方，最后选择产品供应方 信息安全工程监理覆盖的阶段为需求、设计、实施和验收，并不包含运维阶段，是全工程实施周期的，不是全生命周期的。 * Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 监理范围 信息安全工程监理的人员对象范围是工程实施各方（业主方、集成方、产品供应方、第三方等） 监理是业主单位的“管家婆” 工程试运行期间的第三方安全评估不受监理制约 产品供应商只听从于集成方的安排和部署 * Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 监理阶段目标及职责 了解信息安全工程招标、设计、实施和验收阶段监理方的工作目标 了解信息安全工程招标、设计、实施和验收阶段业务单位、承建单位和监理单位的职责和工作流程 * Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 监理咨询阶段及其目标招标阶段 工程招标阶段的主要监理目标 协助业主单位明确信息安全工程需求，确定工程建设目标； 促使承建单位编制的信息安全方案符合国家和业主单位的相关规定，满足需求，合理可行； 促使业主单位、承建单位所签定合同在技术、经济上的合理性； * Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 监理咨询阶段及其目标设计阶段 工程设计阶段的主要监理目标 加强工程实施方案的合法性、合理性、与安全工程需求和设计方案的符合性； 促使工程计划、设计方案满足工程需求，符合相关的法律、法规和标准，并与工程建设合同相符，具有可验证性。 协助业主单位、承建单位消除设计文档在进入工程实施前可预见的缺陷。 * Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 实施信息保护系统 案例2 某部委开展应用系统建设项目，由于在开发过程中没有使用必要的安全控制措施（安全编程、数据正确性处理），导致系统出现诸多注入、溢出等漏洞，危害系统安全。 信息化建设中必须引入必要的安全控制手段和措施 安全手段和措施必须与信息化建设同步落实到位 * Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 实施信息保护系统 案例3 某行业开展对重要网络设备和服务器设备的安全审计项目 设计方案中要求各省级单位把核心网络设备、核心系统的主机设备、边界安全设备等纳入审计范围 实施过程中由于产品通用性差、各单位有瞒报数据企图等原因，导致审计范围缩水严重，没有达到预期效果 安全措施部署和实施要依据安全设计 * Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 实施信息保护系统 案例4 某行业采购了一批网络行为管理产品，加强对互联网访问的管理和审计 在该产品到货验收时发现，到货产品的外观与送检产品的外观不一致 要求其把到货产品交予检测机构进行比对测试 根据比对测试结果，判断其是否能够在工程中予以继续应用 部署过程应重点关注变更环节 * Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.