【学习笔记】一页纸掌握信息系统安全集成
中科至善 2024-04-07
前言:本文为学员学习CISAW安全集成的原创读书笔记,希望对你有帮助,如果喜欢,请转发!
一、信息系统安全集成概述
1.1.信息系统安全集成的定义
定义来源:ISCCC-SV-003《信息系统安全集成服务资质认证实施规则》。
信息系统安全集成:按照信息系统建设的安全需求,采用信息系统安全工程的方法和理论,将安全单元、产品部件进行集成的行为或活动。信息系统安全集成包括在新建信息系统的结构化设计中考虑信息安全保障因素,从而使建设完成后的信息系统满足建设方或使用方的安全需求而开展的活动。此外,还包括在已有信息系统的基础上额外增加信息安全子系统或信息安全设备等,通常被称为安全优化或安全加固。
1.2.信息系统的安全集成模式
1.2.1安全的集成模式:在现有信息系统的基础上,增加信息安全子系统或信息安全设备等,以提高该信息系统安全性的过程。
安全的集成 特点
• 现有系统展开,具有事后性
• 松耦合
• 无法根本解决安全问题、脆弱性
1.2.2集成的安全模式:在新建信息系统的结构化设计中考虑信息安全保证因素,从而使建设完成后的信息系统满足建设方或使用方的安全需求而开展的集成和开发过程。
集成的安全 特点
• 同步性
• 紧密耦合
• 底层出发、较好解决安全问题和脆弱性
二、CISAW信息安全保障模型
CISAW信息安全保障模型通过实现数据、载体、环境与边界4个实体对象全生命周期的可用性、完整性、真实性、机密性、不可否认性等若干安全属性来支撑“业务”的正常进行。并在实现安全属性的过程中采取了预警、保护、检测、响应、恢复和反击6个动态安全环节的技术手段与措施。
模型中为实现上述对象的安全属性及6个环节需要充足的人力、财务、技术、信息资源提供保障。而以上的各类对象、环节、资源都必进行综合有效的管理。
三、CISAW信息系统安全集成模型
CISAW信息系统安全集成模型是根据CISAW信息安全保障模型,结合信息系统安全集成的两种模式构成的模型。
CISAW信息系统安全集成模型构成要素:
一个核心对象:业务
四个实体对象:数据、载体、环境与边界(信息通过数据展现,数据通过载体存储与传输,载体的存在则需要特定的环境,环境存在需要边界的控制。)
对象的生命周期:信息安全保障是一个动态的过程,不同时期对管理、技术、资源等的乒特征均不相同。
若干安全属性:可用性、完整性、机密性、可靠性等
两种模式:安全集成和集成安全(相互转化和补充)
四个阶段:安全需求界定、安全设计、安全实施、安全保障
八个关键环节
资源:安全需求人力、财务、信息和技术四个方面。
管理统筹:该模型的基础,组织为实现信息系统安全集成目标,结合相关资源,利用管理手段进行的各项活动及过程管理、风险管理、安全事件管理、漏洞管理、人员管理、资产管理等过程,指定统一的安全方针、安全策略、安全制度,依据相关标准全面建立统筹的信息安全体系,保障信息安全。
——CISAW安全集成培训——
信息安全保障人员认证(CISAW)安全集成方向以信息安全保障为核心,将国家法律、法规、安全集成建设规范等要求,全面落实在需求分析、方案设计、安全实施、安全保障、质量管理、安全管理等各个环节,按照信息系统生命周期,构建信息安全保障知识体系。通过CISAW安全集成学习考试,可以有效地形成信息安全保障工作的体系化思路。
CISAW安全集成培训内容包括安全集成基本概念与模型、系统安全工程基本理论、安全集成工程基础、信息安全基础、数据安全、载体安全、环境安全、边界安全等内容。
从2010年起,CISAW已为我国党政机关、国有大型企业及信息安全服务企业输送了网络和信息安全保障人员万余人,已经成为安全集成领域人才评价、考核的必备资质。
证书样本
2024年CISAW安全集成培训计划
4月10-11日
5月9-10日
6月11-12日
7月11-12日
8月13-14日
9月11-12日
10月11-12日
11月11-12日
12月11-12日
关于CCRC-CISAW培训机构:中科至善
中科至善(www.uvsec.com)面向全国提供安全培训服务,每个月滚动开设认证培训班,全国就近安排培训和考试。授课讲师均是从事10年以上持有认证讲师证的信息安全专家,累计帮助超3000名学员取得认证证书,超99%的学员第一次考试就能顺利通过。
更多详情致电咨询:191 4105 6590 或扫码添加微信获取更多资料。
一、信息系统安全集成概述
1.1.信息系统安全集成的定义
定义来源:ISCCC-SV-003《信息系统安全集成服务资质认证实施规则》。
信息系统安全集成:按照信息系统建设的安全需求,采用信息系统安全工程的方法和理论,将安全单元、产品部件进行集成的行为或活动。信息系统安全集成包括在新建信息系统的结构化设计中考虑信息安全保障因素,从而使建设完成后的信息系统满足建设方或使用方的安全需求而开展的活动。此外,还包括在已有信息系统的基础上额外增加信息安全子系统或信息安全设备等,通常被称为安全优化或安全加固。
1.2.信息系统的安全集成模式
1.2.1安全的集成模式:在现有信息系统的基础上,增加信息安全子系统或信息安全设备等,以提高该信息系统安全性的过程。
安全的集成 特点
• 现有系统展开,具有事后性
• 松耦合
• 无法根本解决安全问题、脆弱性
1.2.2集成的安全模式:在新建信息系统的结构化设计中考虑信息安全保证因素,从而使建设完成后的信息系统满足建设方或使用方的安全需求而开展的集成和开发过程。
集成的安全 特点
• 同步性
• 紧密耦合
• 底层出发、较好解决安全问题和脆弱性
二、CISAW信息安全保障模型
CISAW信息安全保障模型通过实现数据、载体、环境与边界4个实体对象全生命周期的可用性、完整性、真实性、机密性、不可否认性等若干安全属性来支撑“业务”的正常进行。并在实现安全属性的过程中采取了预警、保护、检测、响应、恢复和反击6个动态安全环节的技术手段与措施。
模型中为实现上述对象的安全属性及6个环节需要充足的人力、财务、技术、信息资源提供保障。而以上的各类对象、环节、资源都必进行综合有效的管理。
三、CISAW信息系统安全集成模型
CISAW信息系统安全集成模型是根据CISAW信息安全保障模型,结合信息系统安全集成的两种模式构成的模型。
CISAW信息系统安全集成模型构成要素:
一个核心对象:业务
四个实体对象:数据、载体、环境与边界(信息通过数据展现,数据通过载体存储与传输,载体的存在则需要特定的环境,环境存在需要边界的控制。)
对象的生命周期:信息安全保障是一个动态的过程,不同时期对管理、技术、资源等的乒特征均不相同。
若干安全属性:可用性、完整性、机密性、可靠性等
两种模式:安全集成和集成安全(相互转化和补充)
四个阶段:安全需求界定、安全设计、安全实施、安全保障
八个关键环节
资源:安全需求人力、财务、信息和技术四个方面。
管理统筹:该模型的基础,组织为实现信息系统安全集成目标,结合相关资源,利用管理手段进行的各项活动及过程管理、风险管理、安全事件管理、漏洞管理、人员管理、资产管理等过程,指定统一的安全方针、安全策略、安全制度,依据相关标准全面建立统筹的信息安全体系,保障信息安全。
——CISAW安全集成培训——
信息安全保障人员认证(CISAW)安全集成方向以信息安全保障为核心,将国家法律、法规、安全集成建设规范等要求,全面落实在需求分析、方案设计、安全实施、安全保障、质量管理、安全管理等各个环节,按照信息系统生命周期,构建信息安全保障知识体系。通过CISAW安全集成学习考试,可以有效地形成信息安全保障工作的体系化思路。
CISAW安全集成培训内容包括安全集成基本概念与模型、系统安全工程基本理论、安全集成工程基础、信息安全基础、数据安全、载体安全、环境安全、边界安全等内容。
从2010年起,CISAW已为我国党政机关、国有大型企业及信息安全服务企业输送了网络和信息安全保障人员万余人,已经成为安全集成领域人才评价、考核的必备资质。
证书样本
2024年CISAW安全集成培训计划
4月10-11日
5月9-10日
6月11-12日
7月11-12日
8月13-14日
9月11-12日
10月11-12日
11月11-12日
12月11-12日
关于CCRC-CISAW培训机构:中科至善
中科至善(www.uvsec.com)面向全国提供安全培训服务,每个月滚动开设认证培训班,全国就近安排培训和考试。授课讲师均是从事10年以上持有认证讲师证的信息安全专家,累计帮助超3000名学员取得认证证书,超99%的学员第一次考试就能顺利通过。
更多详情致电咨询:191 4105 6590 或扫码添加微信获取更多资料。
