信息安全系統(tǒng)工程isse

1、一、概述,1、什么是信息安全工程2、為什么需要信息安全工程3、信息安全工程的發(fā)展,什么是信息安全工程,信息安全保障問題的解決既不能只依靠純粹的技術(shù)，也不能靠簡單的安全產(chǎn)品的堆砌，它要依賴復(fù)雜的系統(tǒng)工程——信息安全工程。信息安全工程：是采用工程的概念、原理、技術(shù)和方法，來研究、開發(fā)、實施與維護(hù)信息系統(tǒng)安全的過程，它是將經(jīng)過時間考驗證明是正確的工程實施流程、管理技術(shù)和當(dāng)前能夠得到的最好的技術(shù)方法相結(jié)合的過程。,為什么需要信息安全工程

2、,信息安全的現(xiàn)狀是比較脆弱的，在安全體制、安全管理等各個方面存在的問題十分嚴(yán)重而突出，且不容樂觀；但也可以看到，從20世紀(jì)90年代中期到21世紀(jì)初，無論是政府部門、企業(yè)，還是個人用戶，安全意識明顯增強在Internet發(fā)展的短短幾年，人們對安全的理解，從早期的安全就是殺毒防毒，到后來的安全就是安裝防火墻，到現(xiàn)在的購買系列安全產(chǎn)品，在一步一步地加深。但是應(yīng)該注意到，這些理解依然存在著“頭痛醫(yī)頭，腳痛醫(yī)腳”的片面性，沒有將信息安全問題作

3、為一個系統(tǒng)工程來考慮對待；由于信息安全保障問題的極端復(fù)雜性，因此在信息系統(tǒng)建設(shè)中必須遵循信息安全工程方法。,信息安全的復(fù)雜性,1）信息安全具有社會性信息安全問題具有前所未有的廣泛性和綜合性，由于可能影響到安全的因素不斷增多，即使是一個簡單的信息系統(tǒng)，也往往因為人機交互而涉及到組織結(jié)構(gòu)、人員、物理安全、培訓(xùn)等方面的要求；在面對每一個信息系統(tǒng)的安全保障問題時，都要考慮這個系統(tǒng)與非技術(shù)因素的交互，將其放在整個社會化的環(huán)境下考慮。2）信

4、息安全具有全面性信息安全問題需要全面考慮，系統(tǒng)安全程度取決于系統(tǒng)最薄弱的環(huán)節(jié)。,信息安全的復(fù)雜性（續(xù)）,3）信息安全具有過程性或生命周期性一個完整的安全過程至少應(yīng)包括安全目標(biāo)與原則的確定、風(fēng)險分析、需求分析、安全策略研究、安全體系結(jié)構(gòu)的研究、安全實施領(lǐng)域的確定、安全技術(shù)與產(chǎn)品的測試與選型、安全工程的實施、安全工程的實施監(jiān)理、安全工程的測試與運行、安全意識的教育與技術(shù)培訓(xùn)、安全稽核與檢查、應(yīng)急響應(yīng)等，這一個過程是一個完整的信息安全工程

5、的生命周期。經(jīng)過安全稽核與檢查后，又形成新一輪的生命周期，是一個不斷往復(fù)的不斷上升的螺旋式安全模型。,信息安全的復(fù)雜性（續(xù)）,4）信息安全具有動態(tài)性信息技術(shù)在發(fā)展，黑客水平也在提高，安全策略、安全體系、安全技術(shù)也必須動態(tài)地調(diào)整，在最大程度上使安全系統(tǒng)能夠跟上實際情況的變化發(fā)揮效用，使整個安全系統(tǒng)處于不斷更新、不斷完善、不斷進(jìn)步的動態(tài)過程中。5）信息安全具有層次性信息系統(tǒng)的構(gòu)成本身就是層次性的（主要有物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理等

6、層面），需要用多層次的安全技術(shù)、方法與手段，分層次地化解安全風(fēng)險。,信息安全的復(fù)雜性（續(xù)）,6）信息安全具有相對性安全是相對的，沒有絕對的安全可言；首先，安全的動態(tài)性決定了所謂的安全只能是相對于過去的安全，相對未來而言，當(dāng)前的安全很可能會表現(xiàn)為不安全；其次，安全不是目的，安全措施應(yīng)該與保護(hù)的信息與網(wǎng)絡(luò)系統(tǒng)的價值相稱，因此，實施信息安全工程要充分權(quán)衡風(fēng)險威脅與防御措施的利弊與得失，在安全級別與投資代價之間取得一個企業(yè)能夠接受的平衡點

7、，人們追求的是在適度風(fēng)險下的相對安全，而非絕對的安全。,信息安全工程的發(fā)展,早期的信息安全工程方法理論來自于系統(tǒng)工程(SE)過程方法。美國軍方最早在系統(tǒng)工程理論基礎(chǔ)之上開發(fā)了信息系統(tǒng)安全工程（ISSE），并于1994年2月28日發(fā)表了《信息系統(tǒng)安全工程手冊v1.0》。ISSE由系統(tǒng)工程過程發(fā)展而來，因而其風(fēng)格仍然沿襲了以時間維劃定工程元素的方法學(xué)，這也暴露出了一些不足：,信息安全工程的發(fā)展（續(xù)）,1）很多安全要求應(yīng)該貫徹在整個工程過

8、程之中，尤其是信息安全的保證要求，而ISSE對其缺乏有針對性的討論；2）此外，信息安全的內(nèi)容及其龐雜，一次完整的信息安全工程過程，往往會涉及到多個復(fù)雜的安全領(lǐng)域，而有些領(lǐng)域的時間過程性卻不明顯，以時間維為線索的描述方式不適合反映出這些內(nèi)容。后來，在信息系統(tǒng)安全工程方法的發(fā)展上，出現(xiàn)了第二種思路：過程能力成熟度的方法，其基礎(chǔ)是CMM（能力成熟度模型）。,信息安全工程的發(fā)展（續(xù)）,CMM的1.0版在1991年8月由卡內(nèi)基-梅隆大學(xué)軟件工

9、程研究所發(fā)布。同期，NSA也開始了對信息安全工程能力的研究，并選取了CMM的思想作為其方法學(xué)，正式啟動了SSE-CMM—《系統(tǒng)安全工程—能力成熟度模型》研究項目。1996年10月發(fā)布了SSE-CMM的1.0版本，繼而在1997年春制定完成了SSE-CMM評定方法的1.0版本。1999年4月，形成了SSE-CMMv2.0和SSE-CMM評定方法v2.0。2002年3月，SSE-CMM得到了ISO的采納，成為ISO的標(biāo)準(zhǔn)—ISO/I

10、EC 21827，冠名為《信息技術(shù)—系統(tǒng)安全工程—能力成熟度模型》。,二、系統(tǒng)工程(SE)過程,1、系統(tǒng)工程過程概況2、通用系統(tǒng)工程過程活動3、系統(tǒng)工程過程的幾個原則,2.1 系統(tǒng)工程過程概況,2.2 系統(tǒng)工程過程活動,通用SE過程由如下活動構(gòu)成：1、發(fā)掘需求；2、定義系統(tǒng)要求；3、設(shè)計系統(tǒng)體系結(jié)構(gòu)；4、開展詳細(xì)設(shè)計；5、實現(xiàn)系統(tǒng)；6、評估有效性。在上圖中，箭頭顯示了信息在不同活動間的流向，但并不一定意味著各活動之間的

11、順序或時間性。用戶/用戶代表并不是一個系統(tǒng)工程活動，之所以標(biāo)注用戶/用戶代表的原因在于提醒我們，所有的活動中，必須不斷地在系統(tǒng)工程師或信息系統(tǒng)安全工程師與用戶之間進(jìn)行交流和反饋。,2.2.1 發(fā)掘需求,系統(tǒng)工程師幫助客戶理解并記錄用來支持其業(yè)務(wù)(business)或任務(wù)(mission)的信息管理的需求(Needs)，信息需求說明可以在信息管理模型(IMM- information management model )中記錄。發(fā)掘需

12、求是SE過程的起點，是針對用戶需求以及用戶環(huán)境中的相關(guān)策略、法規(guī)和標(biāo)準(zhǔn)的一系列判斷。系統(tǒng)工程師要標(biāo)識所有的用戶及這些用戶與系統(tǒng)的交互，標(biāo)識他們所扮演的角色、承擔(dān)的責(zé)任以及在系統(tǒng)生命周期各階段中的授權(quán)。需求應(yīng)該來自用戶的視角，不應(yīng)該對設(shè)計產(chǎn)生過度的約束，并且要通過用戶語言來進(jìn)行文檔化。,發(fā)掘需求（續(xù)）,業(yè)務(wù)(business) /任務(wù)(mission)描述SE或ISSE的全部工作都是為了使一個機構(gòu)的本職業(yè)務(wù)/任務(wù)能夠順利實施；因此

13、，在挖掘需求時，首要的一步就是確定任務(wù)/業(yè)務(wù)的需求，而不是工程或信息安全需求；任務(wù)描述的重點之一是對任務(wù)環(huán)境進(jìn)行描述。需要考慮的策略和政策在進(jìn)行系統(tǒng)工程時必須考慮對機構(gòu)具有約束力的政策、法規(guī)和標(biāo)準(zhǔn)；事實上，政策、法規(guī)問題是導(dǎo)致很多系統(tǒng)工程失敗的主要原因之一。,2.2.2 定義系統(tǒng),在該階段，系統(tǒng)工程師必須明確系統(tǒng)要完成的功能，包括該功能的實現(xiàn)應(yīng)達(dá)到的程度以及系統(tǒng)的外部接口。由需求到目標(biāo)、目標(biāo)到要求以及要求到功能的各個翻譯環(huán)節(jié)均

14、要采用工程語言。目標(biāo)描述能夠通過描述系統(tǒng)的預(yù)期運行效果而滿足需求，系統(tǒng)工程師必須能將目標(biāo)同此前提出的需求相聯(lián)系，并且能夠從理論上加以解釋。系統(tǒng)工程師要在該階段考慮一套或多套能夠滿足由客戶提出并記錄在IMM中的系統(tǒng)需求的解決方案集。,定義系統(tǒng)（續(xù)）,系統(tǒng)要求可分為功能要求和性能要求功能要求描述系統(tǒng)需要完成的任務(wù)、動作和行為；性能要求包括系統(tǒng)的質(zhì)、量、適用范圍、使用頻度、響應(yīng)性、可靠性、可維護(hù)性、可用性等；此外，內(nèi)外接口要求與互操

15、作性要求是系統(tǒng)成員之間或系統(tǒng)與環(huán)境、其他系統(tǒng)之間的互作用概念的重要要求。當(dāng)明確所有的要求后，系統(tǒng)工程師必須同其它系統(tǒng)負(fù)責(zé)人一起評估這些要求的正確性、完整性、一致性、互依賴性、沖突和可測試性。,定義系統(tǒng)（續(xù)）,在要求的分析過程中，系統(tǒng)工程師要審查可追蹤性文檔，確保發(fā)掘出的所有需求都已經(jīng)分配到了目標(biāo)或外部系統(tǒng)之中，確保目標(biāo)系統(tǒng)的背景環(huán)境描述中包含了所有的外部接口和信息流。系統(tǒng)工程師還應(yīng)確保概要性的CONOPS能覆蓋所有的功能性和任務(wù)或業(yè)

16、務(wù)需求，并且系統(tǒng)運行的內(nèi)在風(fēng)險也得到了提及。,定義系統(tǒng)（續(xù)）,功能（Functions）由要求決定，每個要求將產(chǎn)生一項或幾項功能。功能分析的主要內(nèi)容是分析功能之間或功能與環(huán)境之間的聯(lián)系。有很多方法可以通過圖表來描述功能的相關(guān)聯(lián)系最簡單的圖表是文本功能列表，它通過習(xí)慣性的縮進(jìn)、標(biāo)號、字體來描述一系列功能的層次結(jié)構(gòu)。功能列表將對功能進(jìn)行命名，并且描述其定義、行為、何時被調(diào)用以及輸入\輸出。,2.2.3 設(shè)計系統(tǒng)體系結(jié)構(gòu),系統(tǒng)工程師應(yīng)

17、該分析待建系統(tǒng)的體系結(jié)構(gòu)，完成功能的分析和分配，同時分配系統(tǒng)的要求，并選擇相關(guān)機制。系統(tǒng)工程師還應(yīng)確定系統(tǒng)中的組件或要素，將功能分配給這些要素，并描述這些要素間的關(guān)系。在SE的“定義系統(tǒng)要求”活動中，系統(tǒng)要求是分配到整個信息系統(tǒng)中的，它只是指明了系統(tǒng)的功能，卻沒有定義系統(tǒng)的組件；而在“設(shè)計系統(tǒng)體系結(jié)構(gòu)”活動中，SE小組將對功能進(jìn)行分解，選擇具體功能的執(zhí)行組件，這是體系結(jié)構(gòu)設(shè)計的核心內(nèi)容。,描述了“定義系統(tǒng)要求”與“設(shè)計系統(tǒng)體系結(jié)構(gòu)

18、”的區(qū)別。前者將目標(biāo)系統(tǒng)視為“黑盒”，后者則創(chuàng)建系統(tǒng)的內(nèi)部結(jié)構(gòu)；,設(shè)計系統(tǒng)體系結(jié)構(gòu)（續(xù)）,功能分析要將此前的要求分析階段所確定的高層功能分解至低層功能，與高層功能相關(guān)的性能要求也要分解至低層。功能分析的結(jié)果是描述每個產(chǎn)品或項目的邏輯功能或性能。分析的對象包括待建系統(tǒng)的體系結(jié)構(gòu)、功能和過程、接口（內(nèi)部和外部）、元素（組件）、信息的流動情況、環(huán)境和用戶/訪問。上述描述通常稱為產(chǎn)品或項目的功能體系結(jié)構(gòu)。功能分析和分配使得可以對系統(tǒng)的功

19、能目的及其實現(xiàn)方式形成更好的理解，并在一定程度上獲知低層功能的優(yōu)先級和沖突。它提供了對于優(yōu)化物理解決方案來說重要的信息。,2.2.4 開展詳細(xì)設(shè)計,系統(tǒng)工程師應(yīng)分析系統(tǒng)的設(shè)計約束和均衡取舍，完成詳細(xì)的系統(tǒng)設(shè)計，并考慮生命周期的支持。系統(tǒng)工程師應(yīng)將所有的系統(tǒng)要求跟蹤至系統(tǒng)組件，直至無一遺漏。最終的詳細(xì)設(shè)計結(jié)果應(yīng)反映出組件和接口規(guī)范，為系統(tǒng)實現(xiàn)時的采辦工作提供充分的信息。詳細(xì)設(shè)計將產(chǎn)生更低層次的產(chǎn)品規(guī)范、具體的工程與接口控制圖、原型

20、、具體的測試計劃與流程和具體的集成后勤支持計劃(ILSP-Integrated Logistics Support Plan)。,2.2.5 實現(xiàn)系統(tǒng),系統(tǒng)工程師將系統(tǒng)從規(guī)范變?yōu)楝F(xiàn)實，該階段的主要活動包括采辦、集成、配置、測試、記錄和培訓(xùn)。采辦本階段的工作必須在開發(fā)或購買能夠滿足詳細(xì)設(shè)計規(guī)范的組件這二者之間做出決定。系統(tǒng)工程師必須權(quán)衡兩種方式的利弊并進(jìn)行深入研究。建設(shè)在本階段，已開發(fā)的系統(tǒng)方法將被轉(zhuǎn)化為一個穩(wěn)定的、可生產(chǎn)的、性

21、價比合理的系統(tǒng)設(shè)計實踐，涉及到了所有產(chǎn)品級的軟件、硬件和固件。該階段在采辦過程完成后進(jìn)行，即系統(tǒng)的裝配或建設(shè)。,實現(xiàn)系統(tǒng)（續(xù)）,測試組件開發(fā)后，要接受測試和評估，以確保它們能夠滿足規(guī)范（單元測試）。測試過程和預(yù)期的測試結(jié)果在定義方案之后由工程師寫出。成功的完成組件測試之后，各組件—硬件、軟件、固件—要進(jìn)行集成和正確的配置，并作為一個系統(tǒng)接受整體集成測試。集成測試用于驗證較高級的系統(tǒng)性能水平。集成測試可能導(dǎo)致要改變某些系統(tǒng)組件，

22、這將立即反饋給系統(tǒng)設(shè)計，以供其做出判斷。,2.2.6 評估有效性,各項活動的結(jié)果都要接受評估，其中必須檢測兩個主要因素：1）系統(tǒng)是否達(dá)到了任務(wù)的需求？2）系統(tǒng)是否能夠依照機構(gòu)所期望的方式操作？除此之外，還要注意可能影響評估結(jié)果的如下因素：1）互操作性；2）可用性；3）人員培訓(xùn)；4）人機接口；5）建設(shè)和維護(hù)成本。,2.3 系統(tǒng)工程過程的幾個原則,1、始終將問題空間和解決方案空間相分離。2、問題空間要根據(jù)客戶的任務(wù)或業(yè)務(wù)需

23、求來定義。3、解決方案空間要由問題空間相驅(qū)動，并由系統(tǒng)工程師和信息系統(tǒng)安全工程師來定義。,始終將問題空間和解決方案空間相分離,“問題”是“我們期望系統(tǒng)做什么？”，表示“解決方案”這一概念的約束條件、風(fēng)險、策略和一些界限（值）?！敖鉀Q方案”是“系統(tǒng)怎樣實現(xiàn)我們的期望？”，代表了在開發(fā)系統(tǒng)以滿足用戶需求時所有已經(jīng)結(jié)束的行為和創(chuàng)造出的產(chǎn)品。當(dāng)我們關(guān)注解決方案時，很容易忽視對問題的注意，這便會導(dǎo)致錯誤問題的解決和錯誤系統(tǒng)的建造。,問題空間

24、要根據(jù)客戶的任務(wù)或業(yè)務(wù)需求來定義,有些客戶經(jīng)常同工程師討論技術(shù)或?qū)鉀Q方案的想法，而不是告訴工程師問題在哪系統(tǒng)工程師（或信息系統(tǒng)安全工程師）必須把客戶的這些想法放到一邊，發(fā)掘出客戶的基本問題。如果客戶的需求不是基于其任務(wù)或業(yè)務(wù)需求而提出的，則最終系統(tǒng)可能難以滿足客戶的需求，這樣會導(dǎo)致錯誤系統(tǒng)的建造。,解決方案空間要由問題空間相驅(qū)動，并由系統(tǒng)工程師來定義,是系統(tǒng)工程師精通系統(tǒng)的解決方案，而不是客戶。如果客戶是解決方案的設(shè)計專家，那就

25、沒必要再去雇用系統(tǒng)工程師了。一個堅持介入設(shè)計工程的客戶很可能會對解決方案帶來限制，影響到系統(tǒng)工程師的靈活性，從而影響到系統(tǒng)的任務(wù)或業(yè)務(wù)支持目標(biāo)，影響到用戶需求的滿足。,三、信息系統(tǒng)安全工程(ISSE)過程,1、 ISSE概述2、 ISSE過程,ISSE概述,ISSE —Information Systems Security Engineering。ISSE是發(fā)掘用戶的信息保護(hù)需求并隨后設(shè)計和實現(xiàn)信息系統(tǒng)的一門藝術(shù)和科學(xué)，在一定的

26、經(jīng)濟成本和精心設(shè)計下，這些系統(tǒng)便能夠安全地抵御其面對的各種攻擊。ISSE過程是系統(tǒng)工程（SE）的一個組成部分，并應(yīng)當(dāng)對認(rèn)證和認(rèn)可（C&A）過程提供支持。,ISSE過程,ISSE過程覆蓋了6項活動，它們與通用的SE過程相對應(yīng)：1、發(fā)掘信息保護(hù)需求（發(fā)掘需求）；2、定義系統(tǒng)安全要求（定義系統(tǒng)要求）；3、設(shè)計系統(tǒng)安全體系結(jié)構(gòu)（設(shè)計系統(tǒng)體系結(jié)構(gòu)）；4、開展詳細(xì)的安全設(shè)計（開展詳細(xì)設(shè)計）；5、實現(xiàn)系統(tǒng)安全（實現(xiàn)系統(tǒng)）；6、評

27、估信息保護(hù)的有效性（評估有效性）。,1、發(fā)掘信息保護(hù)需求,在這個過程中，ISSE將首先調(diào)查在信息方面的用戶任務(wù)需求、相關(guān)政策、法規(guī)、標(biāo)準(zhǔn)以及威脅。然后，ISSE將標(biāo)識信息系統(tǒng)的具體用戶、他們與信息系統(tǒng)和信息的交互作用的實質(zhì)以及他們在信息保護(hù)生命周期各階段的角色、責(zé)任和權(quán)力。在此過程中，重要的一步是應(yīng)用“最小權(quán)限”規(guī)則，用戶只能接觸為完成其工作所必不可少的過程和信息。信息保護(hù)需求應(yīng)該來自于用戶的視角，并且不能對系統(tǒng)的設(shè)計和實施造成過

28、度的限制。,任務(wù)、安全威脅和政策對信息保護(hù)需求的影響,2、定義系統(tǒng)安全要求,信息系統(tǒng)安全工程師要將信息保護(hù)需求分配到系統(tǒng)中系統(tǒng)安全的背景環(huán)境、概要性的系統(tǒng)安全CONOPS以及基線安全要求均應(yīng)得到確定。在確定系統(tǒng)的安全背景環(huán)境時，需要定義系統(tǒng)的邊界以及對SE的接口，并要將安全功能分配到目標(biāo)系統(tǒng)和外部系統(tǒng)中，標(biāo)識出目標(biāo)系統(tǒng)和外部系統(tǒng)之間的數(shù)據(jù)流以及這些數(shù)據(jù)流的保護(hù)需求IMM中的信息管理需求以及IPP中的信息保護(hù)需求均要在目標(biāo)系統(tǒng)和外部

29、系統(tǒng)中進(jìn)行分配，在外部系統(tǒng)中的功能分配必須得到系統(tǒng)所有者的同意。,定義系統(tǒng)安全要求（續(xù)）,信息系統(tǒng)安全工程師要確保所選擇的解決方案集能夠滿足任務(wù)或業(yè)務(wù)的安全需求，系統(tǒng)邊界已經(jīng)得到協(xié)調(diào)，并確保安全風(fēng)險可以達(dá)到可接受的級別。信息系統(tǒng)安全工程師將向客戶提交安全背景環(huán)境、安全CONOPS以及系統(tǒng)安全要求，并得到客戶的認(rèn)同。,3、設(shè)計系統(tǒng)安全體系結(jié)構(gòu),信息系統(tǒng)安全工程師要與系統(tǒng)工程師合作，一起分析待建系統(tǒng)的體系結(jié)構(gòu)，完成功能的分析和分配，同時分

30、配安全服務(wù)，并選擇安全機制。信息系統(tǒng)安全工程師還應(yīng)確定安全系統(tǒng)的組件或要素，將安全功能分配給這些要素，并描述這些要素間的關(guān)系在本項活動中，信息系統(tǒng)安全工程師要與系統(tǒng)工程師合作，確保安全要求能正確地流向體系結(jié)構(gòu)，且體系結(jié)構(gòu)不會對安全造成削弱。,設(shè)計系統(tǒng)安全體系結(jié)構(gòu)（續(xù)）,信息系統(tǒng)安全工程師要負(fù)責(zé)向目標(biāo)系統(tǒng)和外部系統(tǒng)分配安全要求，并確保外部系統(tǒng)可以支持這些安全要求。信息系統(tǒng)安全工程師還要在此項活動中確定高層安全機制（例如加密和數(shù)字簽名

31、），這樣，安全機制間的依賴性，例如密鑰管理和加密，才能得到討論和分配。信息系統(tǒng)安全工程師還要將安全機制與安全服務(wù)的強度相匹配，落實設(shè)計中的約束因素，分析并記錄下發(fā)現(xiàn)的不足，實施互依賴分析，確定安全機制的可行性，并評估這些安全機制中存在的任何殘余風(fēng)險。,4、開展詳細(xì)的安全設(shè)計,信息系統(tǒng)安全工程師應(yīng)分析設(shè)計約束和均衡取舍，完成詳細(xì)的系統(tǒng)和安全設(shè)計，并考慮生命周期的支持。信息系統(tǒng)安全工程師應(yīng)將所有的系統(tǒng)安全要求跟蹤至系統(tǒng)組件，直至無一遺漏

32、。最終的詳細(xì)安全設(shè)計結(jié)果應(yīng)反映出組件和接口規(guī)范，為系統(tǒng)實現(xiàn)時的采辦工作提供充分的信息。,開展詳細(xì)的安全設(shè)計（續(xù)）,在本活動中，信息系統(tǒng)安全工程師將確保對安全體系結(jié)構(gòu)的遵循，實施均衡取舍研究，并定義系統(tǒng)安全的設(shè)計要素，包括：1） 向系統(tǒng)安全設(shè)計要素中分配安全機制；2） 確定備選的商業(yè)現(xiàn)貨（COTS）/政府現(xiàn)貨（GOTS）安全產(chǎn)品；3） 確定需要定制的安全產(chǎn)品；4）檢驗設(shè)計要素和系統(tǒng)接口（內(nèi)部及外部）；5） 制定規(guī)范（例如CC的

33、保護(hù)輪廓）。,5、實現(xiàn)系統(tǒng)安全,“實現(xiàn)系統(tǒng)安全”的目標(biāo)是采辦、集成、配置、測試、記錄和培訓(xùn)，它使系統(tǒng)從設(shè)計轉(zhuǎn)入運行。該項活動的結(jié)束標(biāo)志是最終系統(tǒng)有效性評估行為，給出系統(tǒng)滿足要求和任務(wù)需求的證據(jù)。,實現(xiàn)系統(tǒng)安全（續(xù)）,在該階段，信息系統(tǒng)安全工程師將：1）提供對認(rèn)證和認(rèn)可（C&A）過程的輸入；2）驗證系統(tǒng)的確能夠防御此前的威脅評估中確定的威脅；3）跟蹤或參與信息保護(hù)保障機制在系統(tǒng)實現(xiàn)和測試活動中的運用；4）審查系統(tǒng)的生命周

34、期計劃、運行流程以及運轉(zhuǎn)培訓(xùn)材料，并向這些文檔提供輸入；5）實施正式的信息保護(hù)評估，為最終的系統(tǒng)有效性評估作出準(zhǔn)備；6）參與對所有系統(tǒng)事項作出的多學(xué)科檢查。,實現(xiàn)系統(tǒng)安全（續(xù)）,選擇需要在解決方案中集成的具體安全產(chǎn)品是本階段的工作任務(wù)之一。這些產(chǎn)品可通過購買、租用、借貸等多種選擇來獲得，影響選擇的因素包括組件成本、可用性、形式以及適宜性。其它的因素包括系統(tǒng)組件的依賴性效果、組件的最低性能可能對系統(tǒng)性能的影響以及組件或替代品在將來

35、的可用性。不能購買的組件必須自制。所有的接口均需要測試，系統(tǒng)和設(shè)計工程師將撰寫測試流程，并通過集成測試將驗證子系統(tǒng)或系統(tǒng)的性能在集成和測試時，重要的一項工作是記錄下安裝、操作、維護(hù)和支持的流程。,6、評估信息保護(hù)的有效性,評估信息保護(hù)的有效性活動跨越了整個SE/ISSE過程，下表摘要描述了ISSE各項活動中的有效性評估任務(wù)。,四、風(fēng)險分析,1、資產(chǎn)保護(hù)2、風(fēng)險管理,1、資產(chǎn)保護(hù),任何有效的風(fēng)險分析始于需要保護(hù)的資產(chǎn)和資源的鑒別。

36、,1.1 資產(chǎn)的類型,1） 物理資源：物理資源是具有物理形態(tài)的資產(chǎn)包括工作站、服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備、外圍設(shè)備等，基本上，凡是具有物理形態(tài)的計算資源都是物理資源。2）知識資源：和物理資源相比，知識資源更難鑒別，因為它只以電子的形式存在知識資源可以是任何信息的形式，并且在組織的事務(wù)處理中起一定的作用。它包括軟件、財務(wù)信息、數(shù)據(jù)庫記錄以及計劃圖表等。例如，公司通過電子郵件交換信息，這些電子報文的存儲應(yīng)看成知識資產(chǎn)。,資產(chǎn)的類型（續(xù)）

37、,3）時間資源：時間也是一個重要的資源，甚至是一個組織最有價值的資源當(dāng)評估時間損失對一個組織的影響時，應(yīng)考慮由于時間損失引起的全部后果。4）信譽（感覺）資源在2000年2月，大部分網(wǎng)絡(luò)公司諸如Yahoo、Amazon、eBay和Buy.com等在受到拒絕服務(wù)攻擊以后，他們的股票價狂跌。雖然這是暫時的，但足以說明消費者和股票持有者對他們的可信度確實存在影響，且可測量。,1.2 潛在的攻擊源,潛在的網(wǎng)絡(luò)攻擊可來自任何能訪問網(wǎng)絡(luò)的源，這

38、些源之間有很大差異，它依賴于一個組織的規(guī)模以及提供的網(wǎng)絡(luò)訪問的類型。當(dāng)作風(fēng)險分析時，要能識別所有的攻擊源這些攻擊源包括內(nèi)部系統(tǒng)、來自辦公室的訪問、通過廣域網(wǎng)聯(lián)到經(jīng)營伙伴的訪問、通過Internet的訪問，以及通過modem池的訪問等。,1.3 資產(chǎn)的有效保護(hù),資產(chǎn)一旦受到威脅和破壞，就會帶來兩類損失1）即時的損失，如由于系統(tǒng)被破壞，員工無法使用，因而降低了勞動生產(chǎn)率。2）長期的恢復(fù)所需花費，也就是從攻擊或失效到恢復(fù)正常需要的花費

39、，例如，受到拒絕服務(wù)攻擊，在一定期間內(nèi)資源無法訪問帶來的損失。為了有效保護(hù)資產(chǎn)，應(yīng)盡可能降低資產(chǎn)受危害的潛在代價；另一方面，由于采取一些安全措施，也要付出安全的操作代價信息安全最終是一個折中的方案，需要對危害和降低危害的代價進(jìn)行權(quán)衡。,資產(chǎn)的有效保護(hù)（續(xù)）,在評估時要考慮網(wǎng)絡(luò)的現(xiàn)有環(huán)境，以及近期和遠(yuǎn)期網(wǎng)絡(luò)發(fā)展變化的趨勢選用先進(jìn)的安全體系結(jié)構(gòu)和系統(tǒng)安全平臺可減少安全操作代價，獲得良好的安全強度。要獲得安全強度和安全代價的折中，需要

40、考慮以下因素：1）用戶的方便程度，不應(yīng)由于增加安全強度給用戶帶來很多麻煩。2）管理的復(fù)雜性，對增加安全強度的網(wǎng)絡(luò)系統(tǒng)要易于配置、管理。3）對現(xiàn)有系統(tǒng)的影響，包括增加的性能開銷以及對原有環(huán)境的改變等。4）對不同平臺的支持，網(wǎng)絡(luò)安全系統(tǒng)應(yīng)能適應(yīng)不同平臺的異構(gòu)環(huán)境的使用。,安全強度和安全代價的折中,為了有效保護(hù)資產(chǎn)，需要性能良好的安全系統(tǒng)結(jié)構(gòu)和安全系統(tǒng)平臺，能以小的安全代價換取高的安全強度。,2、風(fēng)險管理,從本質(zhì)上講，安全就是風(fēng)險管理

41、一個組織者如果不了解其信息資產(chǎn)的安全風(fēng)險，很多資源就會被錯誤地使用。風(fēng)險管理提供信息資產(chǎn)評估的基礎(chǔ)通過風(fēng)險識別，可以知道一些特殊類型的資產(chǎn)價值以及包含這些信息的系統(tǒng)的價值。,2.1 風(fēng)險的概念,風(fēng)險是構(gòu)成安全基礎(chǔ)的基本觀念，指丟失需要保護(hù)的資產(chǎn)的可能性如果沒有風(fēng)險，就不需要安全了。風(fēng)險＝威脅＋漏洞風(fēng)險是威脅和漏洞的綜合結(jié)果。沒有漏洞的威脅沒有風(fēng)險，沒有威脅的漏洞也沒有風(fēng)險。,漏洞和威脅的關(guān)系,漏洞,漏洞是攻擊的可能途徑漏

42、洞有可能存在于計算機系統(tǒng)和網(wǎng)絡(luò)中，它允許打開系統(tǒng)，使技術(shù)攻擊得逞；漏洞也有可能存在于管理過程中，它使系統(tǒng)環(huán)境對攻擊開放。漏洞的多少是由需要打開系統(tǒng)的技術(shù)熟練水平和困難程度來確定的，還要考慮系統(tǒng)暴露的后果如果漏洞易于暴露，并且一旦受到攻擊，攻擊者可以完全控制系統(tǒng)，則稱高值漏洞或高脆弱性。如果攻擊者需要對設(shè)備和人員投入很多資源，漏洞才能暴露，并且受到攻擊后，也只能獲取一般信息，而非敏感信息，則稱低值漏洞或低脆弱性。,威脅,威脅是一個

43、可能破壞信息系統(tǒng)環(huán)境安全的動作或事件。威脅包含以下3個組成部分：1）目標(biāo)：威脅的目標(biāo)通常是針對安全屬性或安全服務(wù)，包括機密性、完整性、可用性、可審性等。這些目標(biāo)是在威脅背后的真正理由或動機。2）代理（攻擊主體），有3個特性訪問：代理必須有訪問所需要系統(tǒng)、網(wǎng)絡(luò)、設(shè)施或信息的能力。知識：代理必須具有目標(biāo)的知識，有用的知識包括用戶ID、口令、文件位置、物理訪問過程、員工的名字、訪問電話號碼、網(wǎng)絡(luò)地址、安全程序等。動機：一個代理對目

44、標(biāo)發(fā)出威脅，需要有動機，通常動機是考慮代理攻擊目標(biāo)的關(guān)鍵特性。,威脅（續(xù)）,根據(jù)代理的3個特性，應(yīng)該考慮的代理可能是各種各樣的，包括員工、和組織有關(guān)的外部員工、黑客、商業(yè)對手、恐怖分子、罪犯、客戶、訪問者以及自然災(zāi)害等。3）事件（攻擊行為）：事件是代理采取的行為，從而導(dǎo)致對組織的傷害例如，一個黑客改變一個組織的Web頁面來傷害它。另外要考慮的是假如代理得到訪問會產(chǎn)生什么樣的傷害。常見的事件如下：對信息、系統(tǒng)、場地濫用授權(quán)訪問；惡意

45、地改變信息； 偶然地改變信息； 對信息、系統(tǒng)、場地非授權(quán)訪問；被動地竊聽通信；等等。,風(fēng)險級別,風(fēng)險可劃分成低、中、高３個級別：1）低級別風(fēng)險是漏洞使組織的風(fēng)險達(dá)到一定水平，然而不一定發(fā)生。如有可能應(yīng)將這些漏洞去除，但應(yīng)權(quán)衡去除漏洞的代價和能減少的風(fēng)險損失。2）中級別風(fēng)險是漏洞使組織的信息系統(tǒng)或場地的風(fēng)險（機密性、完整性、可用性、可審性）達(dá)到相當(dāng)?shù)乃剑⑶乙延邪l(fā)生事件的現(xiàn)實可能性。應(yīng)采取措施去除漏洞。3）高級別風(fēng)險是漏洞對組織的

46、信息、系統(tǒng)或場地的機密性、完整性、可用性和可審性已構(gòu)成現(xiàn)實危害，必須立即采取措施去除漏洞。,2.2 風(fēng)險識別,對一個組織而言，識別風(fēng)險除了要識別漏洞和威脅外，還應(yīng)考慮已有的對策和預(yù)防措施,2.2.1 識別漏洞,識別漏洞時，從確定對該組織的所有入口開始，也就是尋找該組織內(nèi)的系統(tǒng)和信息的所有訪問點這些入口包括Internet的連接、遠(yuǎn)程訪問點、與其他組織的連接、設(shè)備的物理訪問以及用戶訪問點等。對每個訪問點識別可訪問的信息和系統(tǒng)，然后識別

47、如何通過入口訪問這些信息和系統(tǒng)，應(yīng)該包括操作系統(tǒng)和應(yīng)用程序中所有已知的漏洞。,2.2.2 識別現(xiàn)實的威脅,一個目標(biāo)威脅是對一個已知的目標(biāo)具有已知的代理、已知的動機、已知的訪問和執(zhí)行已知的事件的組合。例如，有一個不滿意的員工（代理）希望得到正在該組織進(jìn)行的最新設(shè)計的知識（動機），該員工能訪問組織的信息系統(tǒng)（訪問），并知道信息存放的位置（知識）。該員工正窺測新設(shè)計的機密并且企圖獲得所需文件。識別所有的目標(biāo)威脅是非常費時和困難的可以變更

48、一種方法，即假設(shè)存在一個威脅的通用水平，這個威脅可能包括任何具有訪問組織信息或系統(tǒng)的可能性的人。假如假設(shè)一個通用的威脅，就能檢查組織內(nèi)允許這些訪問發(fā)生可能產(chǎn)生的漏洞。,2.2.3 檢查對策和預(yù)防措施,在分析評估攻擊的可能途徑時，必須同時檢查如果漏洞真正存在，相應(yīng)環(huán)境采取的對策和預(yù)防措施。這些預(yù)防措施包括防火墻、防病毒軟件、訪問控制、雙因子身份鑒別系統(tǒng)、仿生網(wǎng)絡(luò)安全程序、用于訪問設(shè)備的卡讀出器、文件訪問控制、對員工進(jìn)行安全培訓(xùn)等。對

49、于組織內(nèi)的每個訪問點都應(yīng)有相應(yīng)的預(yù)防措施。例如，該組織有一個Internet連接，這就提供了訪問該組織內(nèi)部系統(tǒng)的可能性?？梢圆捎梅阑饓肀Ｗo(hù)這個訪問點，設(shè)置和檢查防火墻的規(guī)則，可以很好地識別來自外部對內(nèi)部系統(tǒng)訪問的企圖。這樣外部攻擊者不能用訪問點的某些漏洞，因為防火墻阻止訪問這些漏洞和系統(tǒng)。,2.2.4 識別風(fēng)險,一旦對漏洞、威脅、預(yù)防措施進(jìn)行了識別，就可確定該組織的風(fēng)險。首先確定每個訪問點的可能威脅或通用威脅，并檢查通過每個訪問點

50、的可能的目標(biāo)（機密性、完整性、可用性、可審性）?；谒奈ｋU程度給每個風(fēng)險分成高、中、低等級。必須指出，對于相同的漏洞，可能得出基于訪問點的不同級別的風(fēng)險。,2.3 風(fēng)險測量,風(fēng)險測量必須識別出在受到攻擊后該組織需要付出的代價。認(rèn)識到風(fēng)險使該組織付出的代價也是確定如何管理風(fēng)險的決定因素風(fēng)險永遠(yuǎn)不可能完全去除，風(fēng)險必須管理。代價是多方面的，包括資金、時間、資源、信譽以及丟失生意等。,代價,1、資金資金是最顯而易見的風(fēng)險代價，包

51、括損失的生產(chǎn)能力、設(shè)備或金錢的被竊、調(diào)研的費用、修理或替換系統(tǒng)的費用、專家費用、員工加班時間等。2、時間時間的代價很難量化。但時間損失必須計入風(fēng)險測量中。,代價（續(xù)）,3. 資源資源可以是人、系統(tǒng)、通信線路、應(yīng)用程序或訪問。資源代價指如攻擊得逞，需要多少資源來恢復(fù)正常。4、 信譽一個組織的信譽損失是十分關(guān)鍵的損失，然而這類損失的代價也難以測量。信譽就是誠信、可信。一個組織在公眾心目中的可信度是十分重要的。,小結(jié),1、系統(tǒng)工程