大学精品课件：第4章 案例1v3.pptx

1、安全的集成模式案例1中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证2 22通过对信息系统进行信息安全评估，为信息系统的网络结构、管理结构和应用系统等方面的安全改造和完善提供依据摘要中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证3 33一一、需求分析、需求分析二二、安全风险评估、安全风险评估三三、安全加固、安全加固四四、安全运行监视、安全运行监视内容五、安全评审五、安全评审六、安全提升六、安全提升中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证4 4需求分析信息系统的现状符合性要求安全集成目标中国

2、信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证5 5短信系统中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证6 6短信系统现状系统组网构成图中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证7 7数据重要数据包括如下两类：EMSE账号及密码信息（用于短信网关接入认证）；话单数据：电话号码、短信发送时间、接受时间等对于运营商而言，短信系统的安全的集成最主要的就是保障这两类数据的机密性、完整性及可用性，以及业务应用的可用性、稳定性中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认

3、证8 8载体网络载体传输载体数据存储与处理载体中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证9 9安全符合性要求国内外符合性要求运营商集团符合性要求中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证1010国内外符合性要求SOX要求等级保护要求GB/T20274-2006 信息系统安全保障评估框架GB/T20984-2007 信息安全风险评估规范GB/T18336-2001 信息技术安全性评估准则GB/T22081-2008/ISO/IEC27001:2005信息安全管理体系GB/T20261-2006/ISO/IEC21827:

4、2002系统安全工程能力成熟度模型中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证1111运营商集团符合性要求通用安全设备配置规范安全域划分和边界整合技术要求信息安全管理办法中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证1212安全风险评估安全管理评估 安全管理覆盖范围和安全管理质量安全技术评估 评估系统在业务、数据、载体、环境与边界防护等方面存在的安全问题中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证1313运营商安全评估方法及要求网络拓扑安全评估网络安全域划分网络设备安全评估安全设备评估主机

5、操作系统安全评估数据安全评估中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证1414安全管理评估对安全管理的评估，实施人员采用了察看文档、人员访谈、现场察看等多种方式，结合被评估方提交的材料，评估系统在信息安全方面是否计划采用或已经采用了恰当的安全管理措施中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证1515安全技术评估项目人员通过对各种符合性要求进行解读和分析后，明确了针对短信系统的安全技术符合性要求：主要涉及应用安全、环境与边界安全、数据安全、载体安全（重点服务器）4个方面中国信息安全认证中心中国信息安全认证中心信息安全保障

6、人员认证信息安全保障人员认证1616安全技术评估方式系统安全体系架构分析安全配置检查业务应用系统安全功能评估内部安全脆弱性检测渗透测试中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证1717安全技术评估方法在进行安全技术评估时，采用专家安全分析、手工检查、自动化工具检测、人员访谈等工作方式，主要是结合被评估方提交的申请材料，评估信息系统在安全体系架构设计、安全功能设计和实现、安全配置和使用等方面的正确性和有效性中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证1818安全加固措施盘点 安全管理措施盘点 安全技术措施盘点措施计划 措施

7、比对分析 确立措施实施的具体内容 拟定详细的措施计划措施实施 安全管理措施实施 安全技术措施实施中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证1919安全技术评估应用安全评估环境与边界防护评估数据安全评估内部安全脆弱性检测载体安全评估风险分析中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证2020安全运行监视安全运行监视，简单来说，即安全验证。参照安全的集成模型，该阶段主要需要验证措施实施完成后，信息系统是否满足或达到了安全符合性要求，并提取监视数据为安全评审提供数据支撑中国信息安全认证中心中国信息安全认证中心信息安全保障人员认

8、证信息安全保障人员认证2121安全运行监视监视内容 安全管理符合性监视 应用安全符合性监视 边界防护安全符合性监视 载体安全符合性监视监视方式 人工 工具监视频度 1次/1周中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证2222安全评审评审组织 运营商技运营商技术专家术专家 技术骨干技术骨干专家专家 被评估及集成方负责人评审方法 评审数据来源 评审流程 评审方法评审结果 防火墙策略配置 载体安全漏洞中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证2323安全提升一次性原则制定有效、合理的安全改进方案，一次性实现安全提升符合性原则安全改进后，需有效确保信息系统应用、数据、载体、边界等各方面满足或达到安全符合性要求中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证2424安全提升方案安全改进工作内容和流程安全改进实施人员安全改进时间进度安排不符合项安全改进方案中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证2525谢谢！