信息安全工程.pptx

《信息安全工程.pptx》由会员分享，可在线阅读，更多相关《信息安全工程.pptx（18页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、第第1515章章 信息安全工程信息安全工程(gngchng)(gngchng)本章本章(bn zhn)学习目标：学习目标：了解信息安全工程的概念了解信息安全工程的概念了解信息安全工程的设计准则了解信息安全工程的设计准则掌握信息安全工程的设计步骤掌握信息安全工程的设计步骤第一页，共18页。215.1 15.1 信息安全工程信息安全工程(gngchng)(gngchng)概述概述 在在InternetInternet发展的历程中，人们对安全的理解，从早期的发展的历程中，人们对安全的理解，从早期的安全就是杀毒防毒，到后来的安全就是安装防火墙，到现在的安全就是杀毒防毒，到后来的安全就是安装防火墙，到现

2、在的购买系列安全产品，在一步一步地加深，这是值得庆贺的一件购买系列安全产品，在一步一步地加深，这是值得庆贺的一件事。但是应该注意到，这些理解依然存在着事。但是应该注意到，这些理解依然存在着“头痛医头，脚痛头痛医头，脚痛医脚医脚”的片面性，没有将网络安全问题作为一个系统工程来考的片面性，没有将网络安全问题作为一个系统工程来考虑、来对待。虑、来对待。信息安全既不是纯粹的技术，也不是简单的安全产品的堆信息安全既不是纯粹的技术，也不是简单的安全产品的堆砌，而是一项复杂的系统工程。信息安全工程采用工程的概念、砌，而是一项复杂的系统工程。信息安全工程采用工程的概念、原理、技术和方法，来研究、开发、实施与维

3、护企业级信息与原理、技术和方法，来研究、开发、实施与维护企业级信息与网络系统安全的过程，它是将经过时间考验证明网络系统安全的过程，它是将经过时间考验证明(zhngmng)(zhngmng)是正确的工程实施流程、管理技术和当前能够得到的最好的技是正确的工程实施流程、管理技术和当前能够得到的最好的技术方法相结合的过程。术方法相结合的过程。第二页，共18页。315.1 15.1 信息安全工程信息安全工程(gngchng)(gngchng)概述概述 信息信息(xnx)(xnx)安全工程应该注意以下五个因素。安全工程应该注意以下五个因素。1 1）信息）信息(xnx)(xnx)安全具有全面性。信息安全具有

4、全面性。信息(xnx)(xnx)安全问题需要全面考虑，系安全问题需要全面考虑，系统安全程度取决于系统最薄弱的环节。统安全程度取决于系统最薄弱的环节。2 2）信息）信息(xnx)(xnx)安全具有过程性或生命周期性。安全具有过程性或生命周期性。3 3）信息）信息(xnx)(xnx)安全具有动态性。信息安全具有动态性。信息(xnx)(xnx)技术在发展，黑客水平也在技术在发展，黑客水平也在提高，安全策略、安全体系、安全技术也必须动态地调整，在最大程度上使安提高，安全策略、安全体系、安全技术也必须动态地调整，在最大程度上使安全系统能够跟上实际情况的变化发挥效用，使整个安全系统处于不断更新、不全系统能

5、够跟上实际情况的变化发挥效用，使整个安全系统处于不断更新、不断完善、不断进步的动态过程中。断完善、不断进步的动态过程中。4 4）信息）信息(xnx)(xnx)安全具有层次性。安全具有层次性。5 5）安全具有相对性。安全是相对的，没有绝对的安全。）安全具有相对性。安全是相对的，没有绝对的安全。安全措施应该与保护的信息安全措施应该与保护的信息(xnx)(xnx)与网络系统的价值相称。因此，实施信与网络系统的价值相称。因此，实施信息息(xnx)(xnx)安全工程要充分权衡风险威胁与防御措施的利弊与得失，在安全级别安全工程要充分权衡风险威胁与防御措施的利弊与得失，在安全级别与投资代价之间取得一个企业能

6、够接受的平衡点。与投资代价之间取得一个企业能够接受的平衡点。第三页，共18页。415.2 15.2 信息安全工程信息安全工程(gngchng)(gngchng)的的设计设计准准则则 根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素，参照务等因素，参照SSE-CMMSSE-CMM（系统安全工程能力成熟模型）和（系统安全工程能力成熟模型）和ISO 17799ISO 17799（信息安全管理标（信息安全管理标准）等国际标准，综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性准）等国际标准

7、，综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等多个方面，信息安全工程在整体设计过程中应遵循以下九项原则。等多个方面，信息安全工程在整体设计过程中应遵循以下九项原则。1 1信息安全的木桶原则信息安全的木桶原则 2 2网络信息安全的整体性原则网络信息安全的整体性原则 3 3安全性评价与平衡原则安全性评价与平衡原则 4 4标准化与一致性原则标准化与一致性原则 5 5技术与管理相结合原则技术与管理相结合原则 6 6统筹规划，分步实施原则统筹规划，分步实施原则 7 7等级等级(dngj)(dngj)性原则性原则 8 8动态发展原则动态发展原则 9 9易操作性原则易操作性原则 第四页，共

8、18页。515.3 15.3 信息安全工程信息安全工程(gngchng)(gngchng)的的设计设计步步骤骤 1 1风险分析与评估风险分析与评估 一个完整的安全体系和安全解决方案是根据网络体系结构和网络安一个完整的安全体系和安全解决方案是根据网络体系结构和网络安全形势的具体情况来确定的。全形势的具体情况来确定的。风险分析与评估是通过一系列的管理和技术手段来检测当前运行的风险分析与评估是通过一系列的管理和技术手段来检测当前运行的信息系统所处的安全级别、安全问题、安全漏洞，以及信息系统所处的安全级别、安全问题、安全漏洞，以及(yj)(yj)当前安全当前安全策略和实际安全级别的差别，评估运行系统的

9、风险，根据审计报告，可策略和实际安全级别的差别，评估运行系统的风险，根据审计报告，可制定适合具体情况的安全策略及其管理和实施规范，为安全体系的设计制定适合具体情况的安全策略及其管理和实施规范，为安全体系的设计提供参考。提供参考。15.3.1 15.3.1 安全安全风险风险分析分析(fnx)(fnx)与与评评估估(续续)第五页，共18页。615.3 15.3 信息安全工程信息安全工程(gngchng)(gngchng)的的设设计计步步骤骤 2 2风险分析的内容风险分析的内容 1 1）网络基本情况分析。包括网络规模、网络结构、网络产品、网络出口、）网络基本情况分析。包括网络规模、网络结构、网络产品

10、、网络出口、网络拓扑结构。网络拓扑结构。2 2）信息系统基本安全状况调查。系统是否遭到过黑客的攻击，是否造成了）信息系统基本安全状况调查。系统是否遭到过黑客的攻击，是否造成了损失？系统内是否存在违规操作的行为，具体有那些行为？系统内成员的安全损失？系统内是否存在违规操作的行为，具体有那些行为？系统内成员的安全意识如何，技术人员是否进行过安全技术培训，对一般职员是否进行过安全意意识如何，技术人员是否进行过安全技术培训，对一般职员是否进行过安全意识的教育工作，采用了什么识的教育工作，采用了什么(shn me)(shn me)样的形式，效果如何？样的形式，效果如何？3 3）信息系统安全组织、政策情况

11、分析。是否有常设的安全领导小组，其人）信息系统安全组织、政策情况分析。是否有常设的安全领导小组，其人员构成和职责是什么员构成和职责是什么(shn me)(shn me)？现有的网络安全管理的相关规制度有哪些？安？现有的网络安全管理的相关规制度有哪些？安全管理人员的编制、职能和责任落实情况怎样？全管理人员的编制、职能和责任落实情况怎样？15.3.1 15.3.1 安全安全风险风险分析分析(fnx)(fnx)与与评评估估(续续)第六页，共18页。715.3 15.3 信息安全工程的信息安全工程的设计设计(shj)(shj)步步骤骤 2 2风险分析的内容风险分析的内容(续续)4 4）网络安全技术措施

12、使用情况分析。网络资源（人员、数据、媒体、）网络安全技术措施使用情况分析。网络资源（人员、数据、媒体、设备、设施和通信线路）是否进行了密级划分？对不同密级的资源是否采设备、设施和通信线路）是否进行了密级划分？对不同密级的资源是否采取了不同的安全保护措施，采取了哪些具体的措施？目前采取了哪些网络取了不同的安全保护措施，采取了哪些具体的措施？目前采取了哪些网络安全技术措施？哪些措施不能满足网络安全的需求？哪些安全措施没有充安全技术措施？哪些措施不能满足网络安全的需求？哪些安全措施没有充分发挥作用？网络防病毒体系的完整性和有效性如何？分发挥作用？网络防病毒体系的完整性和有效性如何？5 5）防火墙布控

13、及外联业务安全状况分析。目前防火墙的布控方式是否）防火墙布控及外联业务安全状况分析。目前防火墙的布控方式是否合理，发挥的作用如何？信息系统对外提供的服务有哪些？以何种形式对合理，发挥的作用如何？信息系统对外提供的服务有哪些？以何种形式对外连接，是否采取了安全防护措施及采取了什么样的安全措施？外连接，是否采取了安全防护措施及采取了什么样的安全措施？6 6）动态安全管理状况分析。是否使用过网络扫描软件对网络主机和关）动态安全管理状况分析。是否使用过网络扫描软件对网络主机和关键设备进行安全性分析和风险评估？操作系统和关键网络设备的软件补丁键设备进行安全性分析和风险评估？操作系统和关键网络设备的软件补

14、丁是否及时是否及时(jsh)(jsh)安装？目前是否使用入侵检测系统对网络系统进行数据流安装？目前是否使用入侵检测系统对网络系统进行数据流监控和行为分析，是否对系统日志进行周期性的审计和分析？监控和行为分析，是否对系统日志进行周期性的审计和分析？15.3.1 15.3.1 安全安全风险风险分析分析(fnx)(fnx)与与评评估估(续续)第七页，共18页。815.3 15.3 信息安全工程信息安全工程(gngchng)(gngchng)的的设设计计步步骤骤 2 2风险分析的内容风险分析的内容(续续)7 7）链路、数据及应用加密情况分析。系统中关键的应用是否采取了应用加密措施）链路、数据及应用加密

15、情况分析。系统中关键的应用是否采取了应用加密措施？网络综合布线是否符合安全标准？对关键线路是否有备份，启用频度如何？在广域网？网络综合布线是否符合安全标准？对关键线路是否有备份，启用频度如何？在广域网线路方面是否采取了链路层或网络层加密措施，应用系统对其有没有加密需求？线路方面是否采取了链路层或网络层加密措施，应用系统对其有没有加密需求？8 8）网络系统访问控制状况分析。系统用户是通过什么样的方法手段进行控制的？）网络系统访问控制状况分析。系统用户是通过什么样的方法手段进行控制的？关键服务器和设备的用户是否得到严格关键服务器和设备的用户是否得到严格(yng)(yng)的控制和管理？在访问控制方

16、面除了简的控制和管理？在访问控制方面除了简单的单的user&passworduser&password认证外，还有没有采取其他的访问控制措施？主要服务器和关键认证外，还有没有采取其他的访问控制措施？主要服务器和关键设备的管理员的权限是否得到了分离？是否有内部拨号服务？访问控制措施是否得当？设备的管理员的权限是否得到了分离？是否有内部拨号服务？访问控制措施是否得当？对网络资源的访问，是否有完整的日志和审计功能？对网络资源的访问，是否有完整的日志和审计功能？9 9）模拟攻击测试。分析系统的抗攻击能力，测试系统能否经得住常见的拒绝服务）模拟攻击测试。分析系统的抗攻击能力，测试系统能否经得住常见的拒绝

17、服务攻击、渗透入侵攻击？是否有缓冲区漏洞缺陷？对各种攻击的反应如何？攻击、渗透入侵攻击？是否有缓冲区漏洞缺陷？对各种攻击的反应如何？15.3.1 15.3.1 安全安全风险风险(fngxin)(fngxin)分析与分析与评评估估(续续)第八页，共18页。915.3 15.3 信息安全工程信息安全工程(gngchng)(gngchng)的的设设计计步步骤骤 3 3风险分析的步骤风险分析的步骤 1 1）确定要保护的资产及价值。如果不知道要保护什么内容，或者不知道要）确定要保护的资产及价值。如果不知道要保护什么内容，或者不知道要保护内容的情况保护内容的情况(qngkung)(qngkung)，那就谈

18、不上安全了。明确要保护的资产、资产的，那就谈不上安全了。明确要保护的资产、资产的位置以及资产的重要性是安全风险分析的关键。位置以及资产的重要性是安全风险分析的关键。2 2）分析信息资产之间的相互依赖性。由于某项资产的损失可能会导致其他）分析信息资产之间的相互依赖性。由于某项资产的损失可能会导致其他资产的失效，因此，在确定资产的时候还要考虑资产之间的关联性。资产的失效，因此，在确定资产的时候还要考虑资产之间的关联性。3 3）确定存在的风险和威胁。确定了要保护的资产后，就应该分析对资产的）确定存在的风险和威胁。确定了要保护的资产后，就应该分析对资产的潜在威胁以及受此威胁的可能性。威胁可以是任何可能

19、对资产造成损失的个人、潜在威胁以及受此威胁的可能性。威胁可以是任何可能对资产造成损失的个人、对象或事件，威胁也可能是故意的或偶然的。明确存在哪些弱点漏洞及这些弱对象或事件，威胁也可能是故意的或偶然的。明确存在哪些弱点漏洞及这些弱点漏洞的风险级别，分析资产所面临的威胁、发生的可能性以及一旦出现安全点漏洞的风险级别，分析资产所面临的威胁、发生的可能性以及一旦出现安全问题，可能造成什么样的影响等。问题，可能造成什么样的影响等。4 4）分析可能的入侵者。要分析他们存在的数量，进行攻击的可能性，进行）分析可能的入侵者。要分析他们存在的数量，进行攻击的可能性，进行攻击威胁时有多大等。攻击威胁时有多大等。1

20、5.3.1 15.3.1 安全安全风险风险分析分析(fnx)(fnx)与与评评估估(续续)第九页，共18页。1015.3 15.3 信息安全工程的信息安全工程的设计设计(shj)(shj)步步骤骤 1 1制定安全策略制定安全策略 安全策略是为发布、管理和保护敏感安全策略是为发布、管理和保护敏感(mngn)(mngn)的信息资源而制定的一组法律、的信息资源而制定的一组法律、法规和措施的总合，是对信息资源使用、管理规则的正式描述，是企业内所有成员法规和措施的总合，是对信息资源使用、管理规则的正式描述，是企业内所有成员都必须遵守的规则。安全策略应该是一个详细的完备的指导方针，包含的内容有：都必须遵守

21、的规则。安全策略应该是一个详细的完备的指导方针，包含的内容有：1 1）保护的内容和目标）保护的内容和目标 2 2）实施保护的方法）实施保护的方法 3 3）明确的责任）明确的责任 4 4）事故的处理）事故的处理 2 2进行需求分析进行需求分析 要考虑五个层次的安全需求：要考虑五个层次的安全需求：1 1）管理层；）管理层；2 2）物理层；）物理层；3 3）系统层；）系统层；4 4）网络层；）网络层；5 5）应用层。）应用层。15.3.2 15.3.2 安全策略和需求安全策略和需求(xqi)(xqi)分析分析 第十页，共18页。1115.3 15.3 信息安全工程的信息安全工程的设计设计(shj)(

22、shj)步步骤骤 安全体系是安全工程实施的指导方针和必要依据，是信息安全工程的安全体系是安全工程实施的指导方针和必要依据，是信息安全工程的“建筑图建筑图纸纸”。安全体系的设计是完整的信息安全工程学中的一个环节，是以风险。安全体系的设计是完整的信息安全工程学中的一个环节，是以风险(fngxin)(fngxin)分析与评估、安全需求分析为基础的。分析与评估、安全需求分析为基础的。一个完整的安全体系应该包含以下几个基本的部分，根据具体情况的不同，可一个完整的安全体系应该包含以下几个基本的部分，根据具体情况的不同，可以在此基础上进行修剪或扩展。以在此基础上进行修剪或扩展。1 1）风险）风险(fngxi

23、n)(fngxin)管理。研究信息系统存在的漏洞缺陷、面临的风险管理。研究信息系统存在的漏洞缺陷、面临的风险(fngxin)(fngxin)与威胁，这可以通过安全风险与威胁，这可以通过安全风险(fngxin)(fngxin)评估技术来实现评估技术来实现;对于可能发对于可能发现的漏洞、风险现的漏洞、风险(fngxin)(fngxin)，规定相应的补救方法，或者取消一些相应的服务。，规定相应的补救方法，或者取消一些相应的服务。2 2）行为管理。对网络行为、各种操作进行实时的监控）行为管理。对网络行为、各种操作进行实时的监控;对各种行为进行分类管对各种行为进行分类管理，规定行为的范围和期限。理，规定

24、行为的范围和期限。3 3）信息管理。信息是）信息管理。信息是ITIT业的重要资产，由于它的特殊性，因此必须采用特殊业的重要资产，由于它的特殊性，因此必须采用特殊的方式和方法进行管理，根据具体的实际情况，对不同类型、不同敏感度的信息，的方式和方法进行管理，根据具体的实际情况，对不同类型、不同敏感度的信息，规定合适的管理制度和使用方法，禁止不良信息的传播。规定合适的管理制度和使用方法，禁止不良信息的传播。15.3.3 15.3.3 设计设计(shj)(shj)企企业业信息系信息系统统的安全体系的安全体系 第十一页，共18页。1215.3 15.3 信息安全工程信息安全工程(gngchng)(gng

25、chng)的的设计设计步步骤骤 15.3.3 15.3.3 设计设计(shj)(shj)企企业业信息系信息系统统的安全体系的安全体系(续续)4 4）安全边界。信息系统与外部环境的连接处是防御外来攻击的关口，根据企）安全边界。信息系统与外部环境的连接处是防御外来攻击的关口，根据企业具体的业务范围，必须规定系统边界上的连接情况，防止非法用户的入侵以及系业具体的业务范围，必须规定系统边界上的连接情况，防止非法用户的入侵以及系统敏感信息的外泄，如可以利用防火墙对进出的连接情况进行过滤和控制。统敏感信息的外泄，如可以利用防火墙对进出的连接情况进行过滤和控制。5 5）系统安全。操作系统是信息系统运行的基础

26、平台，它的安全也是信息安全）系统安全。操作系统是信息系统运行的基础平台，它的安全也是信息安全的基础。根据具体的安全需求，应该规定所要采用的操作系统类型、安全级别以及的基础。根据具体的安全需求，应该规定所要采用的操作系统类型、安全级别以及使用要求。为了实现这个目的，可以采用不同安全级别的操作系统，或者在现有的使用要求。为了实现这个目的，可以采用不同安全级别的操作系统，或者在现有的操作系统上添加安全外壳。操作系统上添加安全外壳。6 6）身份认证与授权。信息系统是为广大用户提供服务的，为了区分各个用户）身份认证与授权。信息系统是为广大用户提供服务的，为了区分各个用户以及不同级别的用户组，需要对他们的

27、身份和操作的合法性进行检查。体系应该规以及不同级别的用户组，需要对他们的身份和操作的合法性进行检查。体系应该规定实现身份认证与权限检查的方式定实现身份认证与权限检查的方式(fngsh)(fngsh)、方法以及对这些用户的管理要求。、方法以及对这些用户的管理要求。第十二页，共18页。1315.3 15.3 信息安全工程的信息安全工程的设计设计(shj)(shj)步步骤骤 15.3.3 15.3.3 设计设计企企业业信息系信息系统统的安全的安全(nqun)(nqun)体系体系(续续)7 7）应用安全。基于网络信息系统的应用有很多，存在的安全问题也很多。）应用安全。基于网络信息系统的应用有很多，存在

28、的安全问题也很多。为了保证安全，应该根据安全需求规定所使用的应用的种类和范围，以及每一为了保证安全，应该根据安全需求规定所使用的应用的种类和范围，以及每一种应用的使用管理制度。种应用的使用管理制度。8 8）数据库安全。保护数据库的安全一直是一个核心问题。为了达到这个目）数据库安全。保护数据库的安全一直是一个核心问题。为了达到这个目的，需要规定所采用的数据库系统的类型、管理、使用制度与方式。的，需要规定所采用的数据库系统的类型、管理、使用制度与方式。9 9）链路安全。链路层是网络协议的下层协议，针对它的攻击一般是破坏链）链路安全。链路层是网络协议的下层协议，针对它的攻击一般是破坏链路通信，窃取传

29、输路通信，窃取传输(chun sh)(chun sh)的数据。为了防御这些破坏、攻击，需要规定可的数据。为了防御这些破坏、攻击，需要规定可以采取的安全措施，如链路加密机。以采取的安全措施，如链路加密机。10 10）桌面系统安全。桌面系统包含着用户能够直接接触到的信息、资源，）桌面系统安全。桌面系统包含着用户能够直接接触到的信息、资源，也是访问信息系统的一个入口，对它的管理和使用不当也会造成敏感信息的泄也是访问信息系统的一个入口，对它的管理和使用不当也会造成敏感信息的泄露。所以，需要对各个用户提出使用桌面系统的安全要求，进行必要的安全保露。所以，需要对各个用户提出使用桌面系统的安全要求，进行必要

30、的安全保护。护。第十三页，共18页。1415.3 15.3 信息安全工程的信息安全工程的设计设计(shj)(shj)步步骤骤 15.3.3 15.3.3 设计设计(shj)(shj)企企业业信息系信息系统统的安全体系的安全体系(续续)11 11）病毒防治。随着网络技术和信息技术的发展，各种各样的病毒泛滥）病毒防治。随着网络技术和信息技术的发展，各种各样的病毒泛滥成灾，严重威胁着信息财产的安全。为了避免因为病毒而造成的损失，必须成灾，严重威胁着信息财产的安全。为了避免因为病毒而造成的损失，必须制定严格的病毒防护制度，减少、关闭病毒的来源，周期性对系统中的程序制定严格的病毒防护制度，减少、关闭病毒

31、的来源，周期性对系统中的程序进行检查，利用病毒防火墙对系统中的进程进行实时监控。进行检查，利用病毒防火墙对系统中的进程进行实时监控。12 12）灾难恢复与备份。不存在绝对安全的安全防护体系）灾难恢复与备份。不存在绝对安全的安全防护体系(tx)(tx)，为了减，为了减少由于安全事故造成的损失，必须规定必要的恢复措施，能够使系统尽快地少由于安全事故造成的损失，必须规定必要的恢复措施，能够使系统尽快地恢复正常的运转，并对重要的信息进行周期性的备份。恢复正常的运转，并对重要的信息进行周期性的备份。13 13）集中安全管理。为了便于安全体系）集中安全管理。为了便于安全体系(tx)(tx)的统一运转，发挥

32、各个功的统一运转，发挥各个功能组件的功能，必须对体系能组件的功能，必须对体系(tx)(tx)实施集中的管理。因此，需要制定科学的实施集中的管理。因此，需要制定科学的管理制度，成立相应的管理机构。管理制度，成立相应的管理机构。第十四页，共18页。1515.3 15.3 信息安全工程的信息安全工程的设计设计(shj)(shj)步步骤骤 15.3.4 15.3.4 安全工程的安全工程的实实施施(shsh)(shsh)与与监监理理 安全工程的实施是为信息与网络系统设计实现安全工程的实施是为信息与网络系统设计实现(shxin)(shxin)安全防护体系的最安全防护体系的最后一个阶段的任务，这个阶段做不好

33、，以前所有的工作（制定安全策略、风险后一个阶段的任务，这个阶段做不好，以前所有的工作（制定安全策略、风险分析与评估、需求分析等）等于徒劳。安全工程的实施也是一个系统化的过程，分析与评估、需求分析等）等于徒劳。安全工程的实施也是一个系统化的过程，包含了很多领域的内容，需要认真、仔细地对待。最关键的一点是要保证安全包含了很多领域的内容，需要认真、仔细地对待。最关键的一点是要保证安全工程的质量，避免重复建设和垃圾工程。工程的质量，避免重复建设和垃圾工程。为了保证安全工程的质量，有三个方面的工作必须得到重视：一是选择一为了保证安全工程的质量，有三个方面的工作必须得到重视：一是选择一个科学、合适的实施方

34、案作为工程实施的指导；二是选择一个工程能力可靠的个科学、合适的实施方案作为工程实施的指导；二是选择一个工程能力可靠的施工单位负责工程的建设；三是对工程实施的整个过程进行监理。施工单位负责工程的建设；三是对工程实施的整个过程进行监理。工程监理工作的流程基本包含以下三个阶段：工程监理工作的流程基本包含以下三个阶段：1 1）工程实施前的监理）工程实施前的监理 2 2）工程实施中的监理）工程实施中的监理 3 3）工程实施后的监理）工程实施后的监理第十五页，共18页。1615.4 15.4 信息安全工程信息安全工程(gngchng)(gngchng)案例案例 电子政务系统是进入电子政务系统是进入(jnr

35、)21(jnr)21世纪后我国网络应用的一种典型模式，世纪后我国网络应用的一种典型模式，电子政务系统保密性强，政治要求高，它的安全性关系到国家职能能否正常电子政务系统保密性强，政治要求高，它的安全性关系到国家职能能否正常开展，关系到政府的形象，必须重视电子政务系统的安全性建设。开展，关系到政府的形象，必须重视电子政务系统的安全性建设。电子政务系统安全工程案例：略。电子政务系统安全工程案例：略。第十六页，共18页。17本章本章(bn zhn)(bn zhn)小结小结 信信息息安安全全既既不不是是纯纯粹粹的的技技术术，也也不不是是简简单单的的安安全全产产品品的的堆堆砌砌(duq)(duq)，而而是

36、是一一项项复复杂杂的的系系统统工工程程。信信息息安安全全工工程程采采用用工工程程的的概概念念、原原理理、技技术术和和方方法法，来来研研究究、开开发发、实实施施与维护企业级信息与网络系统安全的过程。与维护企业级信息与网络系统安全的过程。信信息息安安全全工工程程在在整整体体设设计计过过程程中中应应遵遵循循：信信息息安安全全的的木木桶桶原原则则、网网络络信信息息安安全全的的整整体体性性原原则则、安安全全性性评评价价与与平平衡衡原原则则、标标准准化化与与一一致致性性原原则则、技技术术与与管管理理相相结结合合原原则则、统统筹规划和分步实施原则、等级性原则、动态发展原则、易操作性原则。筹规划和分步实施原则、等级性原则、动态发展原则、易操作性原则。必必须须注注意意信信息息安安全全工工程程设设计计中中安安全全风风险险分分析析与与评评估估、安安全全策策略略和和需需求求分分析析、安安全全体体系设计、安全工程监理的重要性。系设计、安全工程监理的重要性。第十七页，共18页。18作业作业(zuy)(zuy)与实验与实验 作业：作业：P306 1 P306 1、2 2实验实践：实验实践：参参观观一一个个(y(y)企企业业，帮帮助助他他们们设设计计一一份份信信息息安安全解决方案。全解决方案。第十八页，共18页。