保密设计流程湖南大学.ppt

上传人：文库蛋蛋多

文档编号：2217784

上传时间：2023-02-01

格式：PPT

页数：18

大小：480KB

《保密设计流程湖南大学.ppt》由会员分享，可在线阅读，更多相关《保密设计流程湖南大学.ppt（18页珍藏版）》请在三一办公上搜索。

1、彭飞湖南大学国家保密学院,第10章信息安全保密工程,1,内容提要,信息安全保密设计信息安全保密工程的实施流程对象确立流程风险评估流程需求分析流程保密设计流程其他流程,2,概述,3,安全保密工程,废弃处理,运营维护,验收评估,保密实施,保密设计,需求分析,风险评估,对象确立,沟通与咨询,监控与审查,规划,设计,实施,运维,废弃,可审计性,可用性,完整性,机密性,保障级别,安全保密目标,信息系统生命周期,X,Y,Z,10.1 信息安全保密设计,信息安全保密工程的组成环节保密策略制定：确定信息安全保密的策略和保密目标保密风险评估：实现保密需求分析、风险分析、明确表述信息安全保密现状和保密需求目标

2、之间的差距保密方案设计：形成系统安全保密解决方案，未达到目标给出有效的方法和步骤,4,10.1 信息安全保密设计,信息安全保密工程的组成环节保密工程实施：根据方案设计的框架，建设、部署整个信息安保体系保密日常管理：正常情况下的保密管理和出现失、泄密情况下的应急响应和处理安全保密教育：该阶段贯穿整个信息安保生命周期，需要对决策层、管理层、普通用户层的各类相关人员进行保密教育培训,5,10.1 信息安全保密设计,制定安全保密策略应该考虑的因素阐述保密的总体和具体目标标引相关的法律、法规文件明确保密教育和培训的相关要求列出信息安全保密的技术和管理需求明确保密的责任、义务和权利说明违反规定或造成失、泄

3、密应该承担的后果制定应急响应计划考虑成本、效率、技术进步和可能带来的风险等因素,6,10.1 信息安全保密设计,保密需求的三个来源第一个来源：保密风险的评估第二个来源：法律的、规定的和标准的要求第三个来源：一个组织结构根据自身情况已经制定的特殊原则、目标和保密需求保密需求包括管理需求、技术需求和组织需求,7,10.2 信息安全保密工程的实施流程,信息安全保密工程的主要实施流程,8,对象确立,风险评估,需求分析,保密设计,保密实施,验收评估,运营维护,废弃处理,风险评估,迭代开发过程,10.2 信息安全保密工程的实施流程,对象确立流程,9,对象确立的沟通与咨询,对象确立的监控与审查,保密工程实施

4、准备,信息系统调查,信息系统分析,信息安全分析,制定保密工程实施计划,调查信息系统的业务目标,调查信息系统的业务特性,调查信息系统的技术特性,调查信息系统的管理特性,分析信息系统的体系结构,分析信息系统的关键要素,分析信息系统的数据流程,分析信息系统的安全环境,分析信息系统的保密要求,风险评估,对象确立,10.1 信息安全保密设计,对象确立流程本环节的里程碑保密工程的实施计划信息系统的描述报告信息系统的分析报告信息系统的保密要求报告,10,10.2 信息安全保密工程的实施流程,风险评估流程,11,风险评估的沟通与咨询,风险评估的监控与审查,风险评估准备,风险因素识别,风险程度分析,风险等级评价

5、,制定风险评估计划,选择风险评估方法和工具,识别需要保护的资产,识别面临的威胁,识别存在的脆弱性,确认已有的安全保密措施,分析威胁源的动机,分析威胁行为的能力,分析脆弱性的被利用性,分析资产的价值,需求分析,风险评估,确定风险评估程序,分析影响的程度,评价分析结果,给出风险等级,对象确立,10.1 信息安全保密设计,风险评估流程本环节的里程碑风险评估计划书风险评估程序需要保护的资产清单面临的威胁列表存在的脆弱性列表已有的安全保密措施分析报告威胁源分析报告威胁行为分析报告脆弱性分析报告资产价值分析报告影响程度分析报告风险评估报告,12,10.2 信息安全保密工程的实施流程,需求分析流程,13,保

6、密需求分析的沟通与咨询,保密需求分析的监控与审查,需求分析准备,静态保密需求分析,动态保密需求分析,保密策略制定,确定需求分析的工具,分析物理安全保密需求,分析数据安全保密需求,分析平台安全保密需求,分析网络安全保密需求,分析管理安全保密需求,分析内容安全保密需求,分析保护安全需求,分析检测安全需求,保密设计,需求分析,确定需求分析的内容,分析响应安全需求,确定局部保密策略,确定全局保密策略,风险评估,10.1 信息安全保密设计,风险评估流程本环节的里程碑静态保密需求分析报告动态保密需求分析报告系统保密策略报告,14,10.2 信息安全保密工程的实施流程,保密设计流程,15,保密设计的沟通与咨

7、询,保密设计的监控与审查,设计准备,保护设计,保障设计,生存设计,选择安全技术标准,身份认证设计方案,访问控制设计方案,物理保密设计方案,数据保密设计方案,内容保密设计方案,平台保密设计方案,入侵检测设计方案,备份恢复设计方案,保密设计,安全设计,密钥管理设计方案,审计追踪设计方案,入侵响应的设计方案,入侵屏蔽的设计方案,需求分析,网络保密设计方案,10.1 信息安全保密设计,保密设计流程本环节的里程碑安全保护设计报告安全保障设计报告安全生存设计报告（可选）,16,10.2 信息安全保密工程的实施流程,其他流程,17,保密实施、验收评估、运营维护和废弃处理的沟通与咨询,保密实施、验收评估、运营维护和废弃处理的监控与审查,保密实施,验收评估,运营维护,废弃处理,制定实施计划,组织系统开发和产品购买,选择相关的评测标准,制定验收评估的计划,组织系统测评和验收评估,制定运行管理计划,定期开展安全风险评估,做好应急响应处理计划,选择相应的实施标准,制定废弃处理计划,检查并做好涉密信息处理,保密设计,建立健全相关管理制度,总结,信息安全保密设计信息安全保密工程的实施流程对象确立流程风险评估流程需求分析流程保密设计流程其他流程,18,