信息安全工程方法学(案例分析).pptVIP

第三十页，共四十六页。 定义系统——结果输出 第三十一页，共四十六页。 安全架构设计 通过前面的实践，现在已明确知道了目标系统的划分和要求，这些子系统有的是基于第三方应用或平台，这需要我们进行组装和配置设计；有的是我们系统工程要开发的，这更需要我们分析其详细的结构。 在这一阶段，我们需要将为子系统选择合适的实现机制，定义它们的静态和动态结构以及组件的部署方式。而安全方面则是选取适当的安全机制以实现系统安全约束。这一阶段应该明确组成系统的组件和组件间的关系。架构设计也是系统工程中最重要的步骤，需要富有经验的设计师的努力。 第三十二页，共四十六页。 安全架构设计—ISSE 继续“律师智囊库系统”的分析： 第三十三页，共四十六页。 LOGO LOGO 案例 构建一个法律咨询公司的信息系统。该系统是新建的，而不是对已有系统的信息安全加固工程，但它们的本质是相同的。希望通过这个案例，能使同学梦中更进一步理解信息安全工程的方法与概念。此外，由于信息安全工程是融于信息系统工程之中的，因此，我们还需要用到信息系统工程的方法。 第一页，共四十六页。 需求分析 安全需求捕获的目标是在系统需求捕获的前提下，进一步捕获其安全需求。系统需求的捕获靠的是市场分析、商业运作模式分析等手段，而安全需求的捕获则主要是靠安全评估方法。 首先要对系统信息进行分级。分级的方案因实际情况而定，其粒度由可用性和经济杠杆进行平衡。在IATF 中，美国国防部将系统分为四级：公开、必威体育官网网址、机密和敏感信息，因此对系统也要有个适合实际情况的信息分级，并得到客户的认可。 在有了信息分级的前提下，要制定各级别信息的安全目标。 第二页，共四十六页。 需求分析 安全的引入也会引起新的需求，主要是安全平台系统、安全管理系统和安全意识系统，安全师要对这些新增的需求进行描述。 在安全需求固定以后，要根据系统安全分级和目标重新审核各需求，分析威胁，并将安全措施补充到安全需求之中去。 第三页，共四十六页。 需求分析——SE 资深法律工作者的经验和知识是一笔巨大的无形财富； 将多个资深法律工作者集中起来， 通过交流、学习和总结，形成一个法律智囊团， 将会具有很强的竞争力； 利用统一的信息管理平台，将会使咨询工作更加高效。 第四页，共四十六页。 需求分析——SE 经理办公室：也就是公司的运行中枢，负责协调资源，把握公司的发展方向。通过分析各下属部门的工作报告，正确制定战略计划，以此来推动整个企业的向前发展。 人力资源部：公司最主要的资源是人力资源，需要一个独立的部门来负责人力资源的管理。 财务部:负责公司的财务管理工作。 市场部： 负责宣传公司服务， 并从用户那里获取服务反馈， 作为公司决策的依据。 律师部：公司盈利的核心，负责为会员用户提供咨询服务，同时律师们还将通过交流、学习和总结等活动维护一个智囊信息库。 第五页，共四十六页。 需求分析——SE 隐藏的需求： 信息技术支持管理：信息系统要建立在信息技术之上，因此对于这些基础设施当然也就需要管理了。 员工使用Internet 电子邮件服务：保证员工和外界友好的交流。 员工浏览Internet 网页。 第六页，共四十六页。 需求分析——SE 功能描述： US－01：系统应该提供一个平台，客户可以通过这个平台浏览服务范围、服务内容、服务方法。用户可以通过平台注册为会员，注册的条件是要遵守合同协议。成为会员后，用户通过网上在线支付方式启动他的服务功能。在服务启用期间，用户可以提交规定限制个数的咨询请求，律师职员将有义务来回答这些咨询请求。 第七页，共四十六页。 需求分析——SE 功能描述（续）： US－02：用户对服务的质量有投诉时，可以通过系统提交投诉，市场部的职员则负责处理这些投诉。 US－03：系统提供一个电子律师智囊库及其管理。律师们需要查阅里面的资料，同时，律师们也将自己的工作总结成案例，补充智囊库的内容，使经验共享。 US－04：系统要提供一个处理公司内部运行业务的信息系统，通过工作流的方式管理公司的制度、教育、工资、财政、工作报告、计划下发、职员档案。 第八页，共四十六页。 需求分析——SE 功能描述（续）： US－05：系统要提供信息设施的管理,包括设施的配置和变更。 US－06：系统要提供一套信息系统使用制度，指导人们正确使用系统。如有可能，应该提供培训。 US－07：系统要提供员工使用Email 和浏览Internet 网页的功能。 第九页，共四十六页。 需求分析——SE 由以上分析我们可以看出，系统需求明确，从而让我们知道了哪些是信息系统要完成的功能。此外，我们也看到，信息系统并不是仅仅是一些软件和硬件的组合，