信息安全工程方法学(案例分析)培训课件(共47张PPT)

案例构建一个法律咨询公司的信息系统。该系统是新建的，而不是对已有系统的信息平安加固工程，但它们的本质是相同的。希望通过这个案例，能使同学梦中更进一步理解信息平安工程的方法与概念。此外，由于信息平安工程是融于信息系统工程之中的，因此，我们还需要用到信息系统工程的方法。培训专用需求分析

平安需求捕获的目标是在系统需求捕获的前提下，进一步捕获其平安需求。系统需求的捕获靠的是市场分析、商业运作模式分析等手段，而平安需求的捕获那么主要是靠平安评估方法。首先要对系统信息进行分级。分级的方案因实际情况而定，其粒度由可用性和经济杠杆进行平衡。在IATF中，国防部将系统分为四级：公开、保密、机密和敏感信息，因此对系统也要有个适合实际情况的信息分级，并得到客户的认可。在有了信息分级的前提下，要制定各级别信息的平安目标。培训专用需求分析

平安的引入也会引起新的需求，主要是平安平台系统、平安管理系统和平安意识系统，平安师要对这些新增的需求进行描述。在平安需求固定以后，要根据系统平安分级和目标重新审核各需求，分析威胁，并将平安措施补充到平安需求之中去。培训专用需求分析——SE资深法律工作者的经验和知识是一笔巨大的无形财富；将多个资深法律工作者集中起来，通过交流、学习和总结，形成一个法律智囊团，将会具有很强的竞争力；利用统一的信息管理平台，将会使咨询工作更加高效。培训专用需求分析——SE经理办公室：也就是公司的运行中枢，负责协调资源，把握公司的开展方向。通过分析各下属部门的工作报告，正确制定方案，以此来推动整个企业的向前开展。人力资源部：公司最主要的资源是人力资源，需要一个的部门来负责人力资源的管理。财务部:负责公司的财务管理工作。市场部：负责宣传公司效劳，并从用户那里获取效劳反响，作为公司决策的依据。律师部：公司盈利的核心，负责为会员用户提供咨询效劳，同时律师们还将通过交流、学习和总结等活动维护一个智囊信息库。培训专用需求分析——SE隐藏的需求：信息技术支持管理：信息系统要建立在信息技术之上，因此对于这些根底设施当然也就需要管理了。员工使用Internet电子邮件效劳：保证员工和外界友好的交流。员工浏览Internet网页。培训专用需求分析——SE功能描述：US－01：系统应该提供一个平台，客户可以通过这个平台浏览效劳范围、效劳内容、效劳方法。用户可以通过平台注册为会员，注册的条件是要遵守合同协议。成为会员后，用户通过网上在线支付方式启动他的效劳功能。在效劳启用期间，用户可以提交规定限制个数的咨询请求，律师职员将有义务来答复这些咨询请求。培训专用需求分析——SE功能描述〔续〕：US－02：用户对效劳的质量有投诉时，可以通过系统提交投诉，市场部的职员那么负责处理这些投诉。US－03：系统提供一个电子律师智囊库及其管理。律师们需要查阅里面的资料，同时，律师们也将自己的工作总结成案例，补充智囊库的内容，使经验共享。US－04：系统要提供一个处理公司内部运行业务的信息系统，通过工作流的方式管理公司的制度、教育、工资、财政、工作报告、方案下发、职员档案。培训专用需求分析——SE功能描述〔续〕：US－05：系统要提供信息设施的管理,包括设施的配置和变更。US－06：系统要提供一套信息系统使用制度，指导人们正确使用系统。如有可能，应该提供培训。US－07：系统要提供员工使用Email和浏览Internet网页的功能。培训专用需求分析——SE

由以上分析我们可以看出，系统需求明确，从而让我们知道了哪些是信息系统要完成的功能。此外，我们也看到，信息系统并不是仅仅是一些软件和硬件的组合，它也包括一些使用说明、培训材料之类的非自动化组件。培训专用需求分析——ISSE根据ISSE，我们首先需要制定一个信息分级标准。为了简单起见，我们采用三级分类。而在实际中，那么需要和客户进行沟通，因为分级越少，使用就会越简单，但平安控制的粒度就相对较小。以下是我们具体的信息分级〔IC〕：培训专用需求分析——ISSE公开：公司认为如果信息可以向公众清楚透露的，就是公开的信息或操作。内部：公司认为那些没有向公众公开透露的信息是内部的信息或操作。机密：公司认为，如果信息受到威胁将会对公司或客户造成严重影响的信息和操作。

培训专用需求分析——ISSE平安的引入伴随着新的需求：需要一个平安管理的应用，以及在制度方面需要建立信息系统平安制度和意识培养，功能描述如下：US－08：为了保障信息的平安，需要系统提供一个方便的应用，可以统一对信息应用和信息设施进行配置、变更、响应、审计、侦察等平安管理功能。US－09：需要系统提供一套平安管理执行的制度，以及职员的平安操作意识及培训资料。最好再提供一个自动化的平安问题在线帮助系统。培训专用需求分析——ISSE现在，我们有了完整的需求了，接下来，是该根据IC标准重新审查这些需求。对每一个需求，平安师将协助客户分析它们的威胁及平安要求。这里，我们仅以US-03作为例子，对其进行平安分析：培训专用培训专用培训专用需求分析——结果输出当对每一个需求〔包括平安管理和制度〕都作了一一分析以后，平安需求分析工作就告一段落了，接下来可以进入系统定义阶段了。培训专用定义系统在经过了平安需求分析过程后，我们了解了客户的业务问题域和商业问题域，平安系统定义那么是对这些问题的解决方案给出一个根本的系统框架。培训专用定义系统系统工程中，系统定义过程需要明确三方面内容：目标系统集、初步的操作概念、系统需求定义。系统有两大类：应用系统和平台系统。对于应用系统，操作概念主要表现为人的工作流，这样的概念对客户理解未来系统很重要。而平台系统一般是不和人打交道的，它们的操作概念表现为操作系统API或中间件。好的系统定义并不说明如何实现系统，它只是简单地提出要求，这些要求包括应用工作流、平台API、约束等。对于平安工程来讲，系统定义过程有三方面内容：根据平安目标为应用系统的操作定义适合该操作的平安约束、定义平安平台API、定义平安应用系统的操作概念。培训专用定义系统——SE针对公司的业务需求，定义出七个子系统：策略系统：主要是定义一系列的策略、标准和指导，对其中局部内容进行自动化；法律咨询系统：提供客户注册、查询效劳、支付费用、律师为客户进行咨询效劳、市场部维护对外宣传的效劳内容等工作流，是LawInfo公司的商业中枢；律师智囊库系统：主要维护一个律师智囊库；培训专用定义系统——SE针对公司的业务需求，定义出七个子系统〔续〕：内部信息系统：负责管理职员档案、财会等内部信息；协作应用系统：这个应用系统主要关注职员使用Internet资源的问题；信息技术管理系统：负责信息技术设施的管理；信息平台系统：为信息应用提供平台整合，包括网络、网络设施、电脑、打印机、操作系统、通用应用软件等。培训专用定义系统——SE这些系统共同组成了我们的系统解决方案。系统设计师的责任是逐一对它们的操作进行初步定义。这里，我们还是选取“律师智囊库系统〞进行演示。有一点需要注意的是，我们知道在分析系统需求时，法律智囊库是要管理两类信息的，但为了简单起见，我们暂且考虑一种信息类型——法律资料，其平安要求遵照最高级别——案例信息。培训专用培训专用定义系统——ISSE首先，观察系统工程所定义的系统集，它们并没有很好地考虑平安问题，US-8和US-09还没有得到实施。为了方便，将平安制度的内容参加到决策系统之中，使平安制度成为公司制度的一个子制度，而且目前还不打算将这些制度的管理和教育用信息系统进行自动化。而另一方面，由于平安机制的杂乱性，也有必要增加一个“平安平台系统〞，统一系统间平安机制的实现。当然还不能忘了平安管理应用，增加一个“信息平安管理系统〞，定义平安管理的操作概念。培训专用培训专用培训专用培训专用定义系统——ISSE接下来，为“律师智囊系统〞的系统定义做平安分析。很自然可以通过USRef找到US中对该系统的平安要求，现在可以根据初步的操作概念实施初步的平安机制。在这把这种机制作为操作的约束条件。培训专用培训专用培训专用定义系统——结果输出培训专用平安架构设计通过前面的实践，现在已明确知道了目标系统的划分和要求，这些子系统有的是基于第三方应用或平台，这需要我们进行组装和配置设计；有的是我们系统工程要开发的，这更需要我们分析其详细的结构。在这一阶段，我们需要将为子系统选择适宜的实现机制，定义它们的静态和动态结构以及组件的部署方式。而平安方面那么是选取适当的平安机制以实现系统平安约束。这一阶段应该明确组成系统的组件和组件间的关系。架构设计也是系统工程中最重要的步骤，需要富有经验的设计师的努力。培训专用平安架构设计—ISSE继续“律师智囊库系统〞的分析：培训专用培训专用平安架构设计—ISSE

作为系统的基石，信息平台系统的设计就显得格外重要了。它通常是由多种第三方产品的集成，形式上具有逻辑拓扑关系和物理部署关系，现在尝试设计这个系统：培训专用培训专用培训专用平安架构设计—ISSE对于信息系统平台，要将信息平安平台融入其中，从网络、边界和局域计算环境三方面考察信息平台的平安性，为应用程序和管理应用程序实现平安机制提供保障：培训专用培训专用培训专用平安架构设计—ISSE有了一个具有平安机制的信息平台后可以考虑怎样在应用中实施平安措施了，还是以“律师智囊库系统〞为例来讨论：培训专用培训专用平安架构设计—ISSE至于平安管理应用，它只是一些应用工作流，可以采用普遍的方法进行设计。它主要调用平安平台的效劳来实现平安管理。培训专用平安架构设计—结果输出培训专用案例至此，工程该进入详细设计和实现阶段了，系统工程和平安工程的方法差异也不太明显了，我们也就不再表达了。培训专用谢谢观看/欢送下载BYFAITHIMEANAVISIONOFGOODONECHERISHESANDTHEENTHUSIASMTHATPUSHESONETOSEEKITSFULFILLMENTREGARDLESSOF