信息安全工程及管理信息安全工程.ppt

1、信息安全工程及管理信息安全工程,中国信息安全产品测评认证中心（CNITSEC） 信息安全工程（培训样稿）,目录,1. 什么是信息系统安全工程？ 2. 为什么需要ISSE？ 3. 系统工程 4. ISSE的阶段 5 ISSE功能 6 信息系统安全工程总结,系统变得更加复杂; 独立的系统开始连网; 计算在分布式的多个处理器上进行; 对网络有多级安全要求; 对信息访问有公开和合作的需求; IT的复杂性已从技术问题转到商务和法律问题.,信息系统发生什么变化?,信息系统安全工程是这样的一个过程：它解决用户的信息保障需求，是系统工程学、系统采购、风险管理、认证和认可以及生命期支持的一部分。它是系统工程过程

2、的自然扩展。 这些过程都有公共要素：发现需求、定义系统功能、设计系统单元、开发和安装系统、评估系统有效性、系统采购、风险管理、认证和认可、生命期安全支持等。,1. 什么是信息系统安全工程？,信息是一家机构的资产，与其它资产一样，应受到保护。信息安全的作用是保护信息不受大范围威胁所干扰，使机构业务能够畅顺，减少损失及提供最大的投资回报和商机。 信息可以有多种存在方式，可以写在纸上、储存在电子文档里，也可以用邮递或电子手段发送，可以在电影上放映或者说话中提到。无论信息以何种方式表示、共享和存储，都应当适当地保护起来。,什么是信息系统安全?,ISSE是系统工程和方法论。 ISSE是系统安全工程、系统

3、工程、系统采购在信息系统安全方面的具体体现。 ISSE是系统工程和系统建设的必不可少的组成部分。 ISSE是对系统工程生命期的安全风险控制,信息系统安全工程的内涵,2. 为什么需要ISSE？,社会对信息系统的依赖程度逐渐加强、信息的价值在增加、开放和安全的矛盾突出。 信息系统本身存在固有的弱点使其易于受到各种攻击（蓄意、无意）。 信息系统逐渐从专用系统向通用(现货)系统过渡，信息系统安全专业人员将和开发人员、系统集成人员、用户有更加紧密的合作的前提条件。 ISSE是CC、SSE-CMM在实际工程上的体现。 规范信息系统安全建设的需要 实施信息系统安全测评认证的需要 实施国家信息安全规范、规定、

4、标准的需要,3. 系统工程,系统工程：,系统工程是一种跨学科的方法，它以开发并验证一个系统产品（或处理系统）能满足最终用户需求为目的。,系统工程包括：,开发包括需求分析、系统设计、部件设计和集成。 生产包括试制和最终生产 认证包括演示、试验、审查和分析 部署 运行（使用） 支持和培训 拆除,系统工程过程,发现任务需求 确定系统功能 进行系统设计 部署系统 系统有效性评估,系统工程包括下面五个过程：,输入 需求分析 功能分析和配置 综合 系统分析和控制 输出,系统工程过程,输入:,客户需求/要求 任务 有效性手段 环境 限制 技术基础 来自前阶段的输出 项目判决要求 有关专用和标准的要求,需求分

5、析:,分析任务和环境 识别功能要求 性能和设计限制要求的确定和精练,功能分析和配置:,分解成更低层次的功能 把要求配置到所有功能级 确定功能接口 确定和集成功能体系结构,综合:,从功能到物理的转换 确定替代系统的概念: 配置项 系统单元(要素) 确定物理接口 确定优选产品和过程解决方案,折中研究 有效性分析 风险管理 配置管理 数据管理 基于性能的进程管理,系统分析和控制:,输出:,随阶段而变的: 判决支持数据 系统体系结构 规范 基线,ISSE的最终体现：,项目所必须的安全要求 在用户、测评人员以及客户可接受的风险水平上满足要求。 精心的支持用户，谨慎地剪裁以满足客户要求。 作为一种运作，应

6、把安全尽早地结合到系统工程中去。 在费用、进度、实用性和有效性的综合考虑中要平衡考虑安全风险管理和ISSE的其它方面。 将INFOSEC的有关科目和能力要求与其它各种限制同时折中考虑,4. ISSE的阶段,4.1 先期概念阶段,目的：确定用户的任务需求。指出信息系统应具备的安全能力； 提供的文件：任务能力需求报告（MNS），作为系统安全要求和规范的出发点。由用户和ISSE参与者共同起草。 MNS的内容不一定实现，它只是一个目标,本阶段与ISSE有关的活动：,运行任务各种问题的调查； 安全威胁类型调查； 找出国家和地方安全法规的限制； 根据安全目标确定的能力，考虑可能的进度； 如果可能确定供应商

7、。,4.2概念阶段,目的：信息系统概念层面的系统安全方案的探索,决定哪些方案可能满足任务要求，选出要进一步讨论的方案。 目标：信息系统安全建设的参与各方进行可选系统评审（ASR）对每个可能的代替方案进行审查，看其能否满足用户安全需求、是否符合有关的要求和规范以及信息系统有关的所有问题都要调研，有冲突的地方都要解决。本阶段结束要得到初步的系统技术、成本、安全风险方面的情况以及信息系统工程建设和管理战略。,本阶段与ISSE有关的活动：,为系统威胁评估提供数据,预计系统不同阶段的安全威胁。 提出系统安全备选方案，根据任务能力需求报告（MNS）作出技术、费用、进度风险的评估。 帮助用户提出安全运行需求

8、报告，该报告包括为使系统安全有效运行所需的性能和功能要求，还要包括国家管理部门有关规定、政策方面的限制。 提供生命期安全支持计划、安全保障计划以及安全风险管理计划的数据。,制定测评认证以及评估计划 确定是否需要新的信息安全技术 初步安全风险评估及评估报告 提供认证/认可数据（C 必须事先考虑要开发的技术,以便有充足的开发时间和解决技术难题.,设计限制,要明确影响和限制实现所要求的安全服务对系统设计的限制。 这些约束包括： 系统工作环境、系统工作方式、任务功能的敏感性和重要性、接口和互操作性。 一些支持性要求也可能限制系统的设计，如可移植性要求、生存性要求、培训、标准化等。,非技术的安全设计措施

9、,安全设计不仅考虑技术措施而且也要考虑非技术的安全措施。,先期概念和概念阶段安全设计支持,在先期概念阶段很少用安全设计支持； 在后选系统评审（ASR）时，要开发若干备选的概念级的系统设计，它是由产品和过程解决方案适当混合组成的。通过对代替方案的反复比较，进行折中分析使体系结构得到足够的精练,要求和系统设计阶段的安全设计支持,在这两个阶段期间，要完成系统的最终设计并按技术规范形成文档。,制造或购买的判决,是制造还是购买要在操作功能和特性、费用、进度、风险进行全面的折中后最终决定。要对产品进行充分调查。,初步设计阶段到配置阶段的安全设计支持,通过初步设计评审最终确定制造/购买； CI的设计/选择/

10、分配； 建立CI集成和测试系统，检查出现的任何变化。 评估安全对CI的影响并确定附加的安全要求能否被满足。,运行和支持阶段安全设计支持,在系统运行期间，由于主要和次要的系统修改来改善系统设计方案。,4).安全运行分析,安全运行分析将影响产品过程和系统安全要求的解决方案.安全运行概念分析和定义是系统工程和ISSE过程的综合,是为认证和认可提供关键数据的.,系统生命期内安全运行分析要有以下文档:,设计评审说明 培训材料和文件 人的接口要求 系统环境假设规范 程序和政策文档,反复应用于系统生命期内的安全运行分析的焦点:,确定与其他系统进行交互的环境要素; 确定扮演的角色(系统用户、系统维护人员、系统

11、管理员、假定的威胁代理）； 确定自动化角色（数据源点、数据发散点、远程应用操作员、网络服务命令发起者） 确定在其任务环境中与操作系统交互的方法和方式。,要考虑的典型情况是：,在正常和不正常条件下启动和关机； 系统和人对错误条件或安全事件的环境反应； 系统/组件失灵时，要在一个或多个预先计划好的退化方式下维持运行； 可在不同模式下运行；,对安全事件或自然灾害的响应/恢复模式 系统对关键性和常见的外部和内部事件的反应。,分析角色,用户 安装者、维护者 管理者 威胁代理,5). 生命期安全支持,与用户一起开发一些机制以提供维护系统安全状态的长期能力。也就是监督在系统整个生命期的各阶段的计划，包括开发

12、、生产、现场工作、维护、培训和拆除。,生命期安全支持的开发方法,生命期安全支持的内容： 监控系统安全 系统安全评估 配置管理 安全培训 后勤和维修 较小和较大的修改 系统拆除,系统生命期安全支持计划：,对于ISSE小组来讲，考虑的问题包括： 在开发、测试、使用期间对系统进行监控以确保与安全要求持续的一致，不能在可接受的范围之外增加额外的风险。 系统培训一定要涉及安全特性和限制，这样才能保证在日益增多的安全风险中操作员和维护产生错误的可能性受到控制并且可以接受。,追踪与安全有关的组成单元的处理指令，使其遵守相应的法规和规则，不能增加安全风险。 保证配置管理过程是适当的，以避免引起在没有适当批准的

13、情况下使安全风险上升。 确定与系统偶然性运行计划相匹配的系统安全偶然性计划,以便使系统承受更大的风险。,为系统提供安全评价，专门发现系统的安全漏洞和薄弱环节，弥补这些安全漏洞和薄弱环节提高系统安全防护能力。 保证后勤和维护能够支持系统中与安全有关的组件的需要，使其不能引起安全风险的增加。,直接或更宽范围内环境的改变影响系统安全形势和解决方案的变化是：,任务和被保护的信息重要性或敏感性的改变，可能导致安全需求和要求的对抗措施的改变。 威胁的改变使系统的安全风险增加或减少。 应用的改变要求不同的安全操作模式。,发现新的安全攻击手段。 破坏安全、破坏系统完整性或通过揭示安全缺陷使授权无效的异常事件或

14、小事件。 新的安全审计、检查和外部评价结果 系统、子系统或组成单元配置的改变或修改。 排除或降低CI。 排除或降低系统过程的对抗性措施 与新的外部接口相连 运行环境的改变 新对抗技术的应用 系统安全授权期满,系统安全监控的部署,系统安全功能在系统运行期间应能被连续监控，通过生命期支持把问题提前设计到系统中。进行折中研究以确定什么样的监控手段可以提供最好的成本-效益并满足可接受的风险。,系统安全评估,最终作出评估的是：系统的拥有者、认可者、安全评估的评估者。 在制定评估建议时要考虑的是：系统是否已经用了被证明了的手段来满足安全要求？以及系统在其环境下面临的威胁、临时的系统安全轮廓是什么样的？找出

15、系统的各种脆弱性，作出要采取什么措施的决定。,配置管理,在生命期某一个给定点上维持一个基线； 系统在不断自然演变； 偶然事件造成的毁坏； 对C&A证据的追踪； 系统资源的有限集合的使用期将增长； 配置项的身份证明 配制控制 配置会计学 配置审计,培训,个人所需的知识和技能 实施对用户使用系统的训练,后勤和维护,给出所要求的任务、设备、技能、人员、材料、服务、供应品和程序的定义，保证系统最终项目的提供、存放和维修。,系统的修改,重大修改 修改或其它改变,处理,系统工程处理功能包括： 再生； 材料恢复； 废物利用； 副产品处理。,6).安全风险管理,安全风险是对达到技术性能、成本和进度方面的目的和

16、目标的不确定性的一种度量。,安全风险管理是一个条理化的分析过程,目的是为了确定在什么情况下可能产生错误,评价安全风险以及实现处理安全风险的手段.,安全风险等级：,安全风险等级是用安全事件和安全事件出现概率来分类。,风险源,技术方面: 可行性 可操作性 可生产性 可测试性 系统的有效性 可维修性 技术和材料的可获性,进度方面： 技术资料的可用性 技术成果 里程碑,资源方面: 资源的利用率 资源的保护程度,合同方面: 进度 费用,系统的安全测评和认证,你已经建成了一个安全系统了吗?系统是否在预期的、被指定的、系统现实环境中有可接受的安全风险？,系统验证和确认文档与测试计划和测试程序相组合，通过与分

17、析（包括仿真）、演示、测试、检查相组合将提供所有的安全要求（包括风险与规范要求的一致性、产品和过程的能力、概念的证明、系统级的技术验证、制造过程证明、质量保证和可接受性）,验证和确认,即将现场部署的系统以及每个站点的非技术保护也要检验，这要由安全测评认证机构来进行（包括运行测试和检查、设计文件审查、技术手册审查、安全技术评审、准备就绪和程序的检查、编码检查）,特殊测试： 渗透测试 密码验证测试 安全的独立验证和确认 安全保证分析方法 TEMPEST,初始认证任务:,系统构架分析 软件设计分析 网络连接是否符号规划分析 生命期管理分析 漏洞评估,安全测试和评估 渗透测试 TEMPEST和RED-

18、BLACK核实 确认是否符合通讯安全标准 系统管理分析 站点鉴定调查 意外事故应急计划评估 基于风险的管理评估,最终认证任务:,安全风险管理（SRM）,安全风险管理计划 系统开发早期，制定系统生命期内的安全风险管理计划； 在安全风险判决点的评审要纳入管理计划； 在重大技术事件或裁剪处，规定一些要求实现安全风险评审,安全风险要考虑的主要因素：,覆盖给定系统生命期过程的安全风险管理战略； 安全风险文档综合安全风险评估报告； 搜集传播安全风险信息计划在安全风险管理期间的密级分类规则 建立项目每个阶段的授权的风险验收机构，验收剩余风险，审查SRM 发布的文档； 确定SRM活动要求的人员及角色；,安全风

19、险评价委员会,委员会活动包括： 客户请求客户可以请求风险评价来帮助作出安全判决； 新项目安全风险基线的确定，包括安全策略、运行安全需求、任务环境设计的基本安全要求； 在系统生命期的关键点上，为作出合理决策，可能启动风险评估； 客户要求：代替方案,安全风险信息包括： 所有可能的案例、事件、攻击的信息以及不能使系统保持与期望的安全要求相一致的脆弱性； 特定系统出现的风险和可能性的评价； 使项目计划和运行环境得到改善的手段； 活动进程的建议,安全风险信息和文档,安全风险计划,理解任务目标 理解信息保障需求 体现风险状态 体现什么可以做 决定将要做什么 执行决定,安全风险分析步骤： 分析系统 确定资产 识别财产 识别保护要求和威胁代理 识别威胁和脆弱性 确定威胁的可能性和潜在的破坏,安全风险分析和认证/认可,计算风险 提议保证措施 确定优先保护手段 实现的解决方案,这里着重总结了信息系统安全工程过程及如何确保安全解决方案行之有效。,6 信息系统安全工程总结,叙述信息保障需求 在早期的系统工程中，基于需求而产生的信息保障要求 以一个可接受的信息保障的风险水平来满足要求 建立一个基于要求的功能性的信息保障体系,6.1信息系统安全工程过程：,将信息保护功能分配到一个物理和逻辑的体系中 设计系统以部署信息保障体系 实现整体系统关联，包括成本、进度和运行的适宜性及有效性，以便平衡