《CISP3信息系统安全工程》由会员分享,可在线阅读,更多相关《CISP3信息系统安全工程(162页珍藏版)》请在金锄头文库上搜索。
1、信息安全工程及管理信息安全工程及管理信息安全工程信息安全工程中国信息安全产品测评认证中心(中国信息安全产品测评认证中心(中国信息安全产品测评认证中心(中国信息安全产品测评认证中心(CNITSECCNITSECCNITSECCNITSEC)CISP-3-CISP-3-CISP-3-CISP-3-信息安全工程(培训样稿)信息安全工程(培训样稿)信息安全工程(培训样稿)信息安全工程(培训样稿)cnitseccnitsec目录n n1. 什么是信息系统安全工程?什么是信息系统安全工程?n n2. 为什么需要为什么需要ISSE?n n3. 系统工程系统工程n n4. ISSE的阶段的阶段n n5 ISS
2、E功能功能n n6 信息系统安全工程总结信息系统安全工程总结2 2cnitseccnitsecn n系统变得更加复杂系统变得更加复杂;n n独立的系统开始连网独立的系统开始连网;n n计算在分布式的多个处理器上进行计算在分布式的多个处理器上进行;n n对网络有多级安全要求对网络有多级安全要求;n n对信息访问有公开和合作的需求对信息访问有公开和合作的需求;n nIT的复杂性已从技术问题转到商务和法的复杂性已从技术问题转到商务和法律问题律问题.信息系统发生什么变化?3 3cnitseccnitsecn n信息系统安全工程是这样的一个过程:它解决信息系统安全工程是这样的一个过程:它解决信息系统安全
3、工程是这样的一个过程:它解决信息系统安全工程是这样的一个过程:它解决用户的信息保障需求,是系统工程学、系统采用户的信息保障需求,是系统工程学、系统采用户的信息保障需求,是系统工程学、系统采用户的信息保障需求,是系统工程学、系统采购、风险管理、认证和认可以及生命期支持的购、风险管理、认证和认可以及生命期支持的购、风险管理、认证和认可以及生命期支持的购、风险管理、认证和认可以及生命期支持的一部分。它是系统工程过程的自然扩展。一部分。它是系统工程过程的自然扩展。一部分。它是系统工程过程的自然扩展。一部分。它是系统工程过程的自然扩展。n n这些过程都有公共要素:发现需求、定义系统这些过程都有公共要素:
4、发现需求、定义系统这些过程都有公共要素:发现需求、定义系统这些过程都有公共要素:发现需求、定义系统功能、设计系统单元、开发和安装系统、评估功能、设计系统单元、开发和安装系统、评估功能、设计系统单元、开发和安装系统、评估功能、设计系统单元、开发和安装系统、评估系统有效性、系统采购、风险管理、认证和认系统有效性、系统采购、风险管理、认证和认系统有效性、系统采购、风险管理、认证和认系统有效性、系统采购、风险管理、认证和认可、生命期安全支持等。可、生命期安全支持等。可、生命期安全支持等。可、生命期安全支持等。1. 什么是信息系统安全工程?4 4cnitseccnitsecn n信息是一家机构的资产,与
5、其它资产一样,应信息是一家机构的资产,与其它资产一样,应信息是一家机构的资产,与其它资产一样,应信息是一家机构的资产,与其它资产一样,应受到保护。信息安全的作用是保护信息不受大受到保护。信息安全的作用是保护信息不受大受到保护。信息安全的作用是保护信息不受大受到保护。信息安全的作用是保护信息不受大范围威胁所干扰,使机构业务能够畅顺,减少范围威胁所干扰,使机构业务能够畅顺,减少范围威胁所干扰,使机构业务能够畅顺,减少范围威胁所干扰,使机构业务能够畅顺,减少损失及提供最大的投资回报和商机。损失及提供最大的投资回报和商机。损失及提供最大的投资回报和商机。损失及提供最大的投资回报和商机。n n信息可以有
6、多种存在方式,可以写在纸上、储信息可以有多种存在方式,可以写在纸上、储信息可以有多种存在方式,可以写在纸上、储信息可以有多种存在方式,可以写在纸上、储存在电子文档里,也可以用邮递或电子手段发存在电子文档里,也可以用邮递或电子手段发存在电子文档里,也可以用邮递或电子手段发存在电子文档里,也可以用邮递或电子手段发送,可以在电影上放映或者说话中提到。无论送,可以在电影上放映或者说话中提到。无论送,可以在电影上放映或者说话中提到。无论送,可以在电影上放映或者说话中提到。无论信息以何种方式表示、共享和存储,都应当适信息以何种方式表示、共享和存储,都应当适信息以何种方式表示、共享和存储,都应当适信息以何种
7、方式表示、共享和存储,都应当适当地保护起来。当地保护起来。当地保护起来。当地保护起来。什么是信息系统安全?5 5cnitseccnitsecn nISSE是系统工程和方法论。是系统工程和方法论。n nISSE是系统安全工程、系统工程、系统是系统安全工程、系统工程、系统采购在信息系统安全方面的具体体现。采购在信息系统安全方面的具体体现。n nISSE是系统工程和系统建设的必不可少是系统工程和系统建设的必不可少的组成部分。的组成部分。n nISSE是对系统工程生命期的安全风险控是对系统工程生命期的安全风险控制制信息系统安全工程的内涵6 6cnitseccnitsec2. 为什么需要ISSE?n n
8、社会对信息系统的依赖程度逐渐加强、信息的价值在社会对信息系统的依赖程度逐渐加强、信息的价值在社会对信息系统的依赖程度逐渐加强、信息的价值在社会对信息系统的依赖程度逐渐加强、信息的价值在增加、开放和安全的矛盾突出。增加、开放和安全的矛盾突出。增加、开放和安全的矛盾突出。增加、开放和安全的矛盾突出。n n信息系统本身存在固有的弱点使其易于受到各种攻击信息系统本身存在固有的弱点使其易于受到各种攻击信息系统本身存在固有的弱点使其易于受到各种攻击信息系统本身存在固有的弱点使其易于受到各种攻击(蓄意、无意)。(蓄意、无意)。(蓄意、无意)。(蓄意、无意)。n n信息系统逐渐从专用系统向通用信息系统逐渐从专
9、用系统向通用信息系统逐渐从专用系统向通用信息系统逐渐从专用系统向通用( (现货现货现货现货) )系统过渡,信息系统过渡,信息系统过渡,信息系统过渡,信息系统安全专业人员将和开发人员、系统集成人员、用系统安全专业人员将和开发人员、系统集成人员、用系统安全专业人员将和开发人员、系统集成人员、用系统安全专业人员将和开发人员、系统集成人员、用户有更加紧密的合作的前提条件。户有更加紧密的合作的前提条件。户有更加紧密的合作的前提条件。户有更加紧密的合作的前提条件。n nISSEISSE是是是是CCCC、SSE-CMMSSE-CMM在实际工程上的体现。在实际工程上的体现。在实际工程上的体现。在实际工程上的体
10、现。n n规范信息系统安全建设的需要规范信息系统安全建设的需要规范信息系统安全建设的需要规范信息系统安全建设的需要n n实施信息系统安全测评认证的需要实施信息系统安全测评认证的需要实施信息系统安全测评认证的需要实施信息系统安全测评认证的需要n n实施国家信息安全规范、规定、标准的需要实施国家信息安全规范、规定、标准的需要实施国家信息安全规范、规定、标准的需要实施国家信息安全规范、规定、标准的需要7 7cnitseccnitsec3. 系统工程8 8cnitseccnitsec系统工程:n n系统工程是一种跨学科的方法,它以开系统工程是一种跨学科的方法,它以开发并验证一个系统产品(或处理系统)发
11、并验证一个系统产品(或处理系统)能满足最终用户需求为目的。能满足最终用户需求为目的。9 9cnitseccnitsec系统工程包括:n n开发开发包括需求分析、系统设计、部包括需求分析、系统设计、部件设计和集成。件设计和集成。n n生产生产包括试制和最终生产包括试制和最终生产n n认证认证包括演示、试验、审查和分析包括演示、试验、审查和分析n n部署部署n n运行(使用)运行(使用)n n支持和培训支持和培训n n拆除拆除1010cnitseccnitsec系统工程过程1111cnitseccnitsecn n发现任务需求发现任务需求n n确定系统功能确定系统功能n n进行系统设计进行系统设计
12、n n部署系统部署系统n n系统有效性评估系统有效性评估系统工程包括下面五个过程:1212cnitseccnitsec1313cnitseccnitsec概念阶段可替换系统的评审要求阶段系统要求评审系统设计阶段系统功能评审初步设计阶段初步设计评审详细设计阶段关键设计评审实现和测试阶段系统验证评审配置审计阶段1414cnitseccnitsecn n输入输入n n需求分析需求分析n n功能分析和配置功能分析和配置n n综合综合n n系统分析和控制系统分析和控制n n输出输出系统工程过程1515cnitseccnitsec输入:n n客户需求客户需求客户需求客户需求/ /要求要求要求要求 任务任务
13、任务任务 有效性手段有效性手段有效性手段有效性手段 环境环境环境环境 限制限制限制限制n n技术基础技术基础技术基础技术基础n n来自前阶段的输出来自前阶段的输出来自前阶段的输出来自前阶段的输出n n项目判决要求项目判决要求项目判决要求项目判决要求n n有关专用和标准的要求有关专用和标准的要求有关专用和标准的要求有关专用和标准的要求1616cnitseccnitsec需求分析:n n分析任务和环境分析任务和环境n n识别功能要求识别功能要求n n性能和设计限制要求的确定和精练性能和设计限制要求的确定和精练1717cnitseccnitsec功能分析和配置:n n分解成更低层次的功能分解成更低层
14、次的功能n n把要求配置到所有功能级把要求配置到所有功能级n n确定功能接口确定功能接口n n确定和集成功能体系结构确定和集成功能体系结构1818cnitseccnitsec综合:n n从功能到物理的转换从功能到物理的转换n n确定替代系统的概念确定替代系统的概念:配置项配置项配置项配置项系统单元系统单元系统单元系统单元( (要素要素要素要素) )n n确定物理接口确定物理接口n n确定优选产品和过程解决方案确定优选产品和过程解决方案1919cnitseccnitsecn n折中研究折中研究n n有效性分析有效性分析n n风险管理风险管理n n配置管理配置管理n n数据管理数据管理n n基于性
15、能的进程管理基于性能的进程管理系统分析和控制:2020cnitseccnitsec输出:n n随阶段而变的随阶段而变的:判决支持数据判决支持数据判决支持数据判决支持数据系统体系结构系统体系结构系统体系结构系统体系结构规范规范规范规范基线基线基线基线2121cnitseccnitsecISSE的最终体现:n n项目所必须的安全要求项目所必须的安全要求项目所必须的安全要求项目所必须的安全要求n n在用户、测评人员以及客户可接受的风险水平在用户、测评人员以及客户可接受的风险水平在用户、测评人员以及客户可接受的风险水平在用户、测评人员以及客户可接受的风险水平上满足要求。上满足要求。上满足要求。上满足要
16、求。n n精心的支持用户,谨慎地剪裁以满足客户要求。精心的支持用户,谨慎地剪裁以满足客户要求。精心的支持用户,谨慎地剪裁以满足客户要求。精心的支持用户,谨慎地剪裁以满足客户要求。n n作为一种运作,应把安全尽早地结合到系统工作为一种运作,应把安全尽早地结合到系统工作为一种运作,应把安全尽早地结合到系统工作为一种运作,应把安全尽早地结合到系统工程中去。程中去。程中去。程中去。n n在费用、进度、实用性和有效性的综合考虑中在费用、进度、实用性和有效性的综合考虑中在费用、进度、实用性和有效性的综合考虑中在费用、进度、实用性和有效性的综合考虑中要平衡考虑安全风险管理和要平衡考虑安全风险管理和要平衡考虑
17、安全风险管理和要平衡考虑安全风险管理和ISSEISSE的其它方面。的其它方面。的其它方面。的其它方面。n n将将将将INFOSECINFOSEC的有关科目和能力要求与其它各的有关科目和能力要求与其它各的有关科目和能力要求与其它各的有关科目和能力要求与其它各种限制同时折中考虑种限制同时折中考虑种限制同时折中考虑种限制同时折中考虑2222cnitseccnitsec4. ISSE的阶段2323cnitseccnitsec4.1 先期概念阶段n n目的:确定用户的任务需求。指出信息目的:确定用户的任务需求。指出信息系统应具备的安全能力;系统应具备的安全能力;n n提供的文件:任务能力需求报告提供的文
18、件:任务能力需求报告(MNS),作为系统安全要求和规范的),作为系统安全要求和规范的出发点。由用户和出发点。由用户和ISSE参与者共同起草。参与者共同起草。n nMNS的内容不一定实现,它只是一个目的内容不一定实现,它只是一个目标标2424cnitseccnitsec本阶段与ISSE有关的活动:n n运行任务各种问题的调查;运行任务各种问题的调查;n n安全威胁类型调查;安全威胁类型调查;n n找出国家和地方安全法规的限制;找出国家和地方安全法规的限制;n n根据安全目标确定的能力,考虑可能的根据安全目标确定的能力,考虑可能的进度;进度;n n如果可能确定供应商。如果可能确定供应商。2525c
19、nitseccnitsec4.2概念阶段n n目的:信息系统概念层面的系统安全方案的探目的:信息系统概念层面的系统安全方案的探目的:信息系统概念层面的系统安全方案的探目的:信息系统概念层面的系统安全方案的探索索索索, ,决定哪些方案可能满足任务要求,选出要进决定哪些方案可能满足任务要求,选出要进决定哪些方案可能满足任务要求,选出要进决定哪些方案可能满足任务要求,选出要进一步讨论的方案。一步讨论的方案。一步讨论的方案。一步讨论的方案。n n目标:信息系统安全建设的参与各方进行可选目标:信息系统安全建设的参与各方进行可选目标:信息系统安全建设的参与各方进行可选目标:信息系统安全建设的参与各方进行可
20、选系统评审(系统评审(系统评审(系统评审(ASRASR)对每个可能的代替方案进行)对每个可能的代替方案进行)对每个可能的代替方案进行)对每个可能的代替方案进行审查,看其能否满足用户安全需求、是否符合审查,看其能否满足用户安全需求、是否符合审查,看其能否满足用户安全需求、是否符合审查,看其能否满足用户安全需求、是否符合有关的要求和规范以及信息系统有关的所有问有关的要求和规范以及信息系统有关的所有问有关的要求和规范以及信息系统有关的所有问有关的要求和规范以及信息系统有关的所有问题都要调研,有冲突的地方都要解决。本阶段题都要调研,有冲突的地方都要解决。本阶段题都要调研,有冲突的地方都要解决。本阶段题
21、都要调研,有冲突的地方都要解决。本阶段结束要得到初步的系统技术、成本、安全风险结束要得到初步的系统技术、成本、安全风险结束要得到初步的系统技术、成本、安全风险结束要得到初步的系统技术、成本、安全风险方面的情况以及信息系统工程建设和管理战略。方面的情况以及信息系统工程建设和管理战略。方面的情况以及信息系统工程建设和管理战略。方面的情况以及信息系统工程建设和管理战略。2626cnitseccnitsec本阶段与ISSE有关的活动:n n为系统威胁评估提供数据为系统威胁评估提供数据为系统威胁评估提供数据为系统威胁评估提供数据, ,预计系统不同阶段的预计系统不同阶段的预计系统不同阶段的预计系统不同阶段
22、的安全威胁。安全威胁。安全威胁。安全威胁。n n提出系统安全备选方案,根据任务能力需求报提出系统安全备选方案,根据任务能力需求报提出系统安全备选方案,根据任务能力需求报提出系统安全备选方案,根据任务能力需求报告(告(告(告(MNSMNS)作出技术、费用、进度风险的评估。)作出技术、费用、进度风险的评估。)作出技术、费用、进度风险的评估。)作出技术、费用、进度风险的评估。n n帮助用户提出安全运行需求报告,该报告包括帮助用户提出安全运行需求报告,该报告包括帮助用户提出安全运行需求报告,该报告包括帮助用户提出安全运行需求报告,该报告包括为使系统安全有效运行所需的性能和功能要求,为使系统安全有效运行
23、所需的性能和功能要求,为使系统安全有效运行所需的性能和功能要求,为使系统安全有效运行所需的性能和功能要求,还要包括国家管理部门有关规定、政策方面的还要包括国家管理部门有关规定、政策方面的还要包括国家管理部门有关规定、政策方面的还要包括国家管理部门有关规定、政策方面的限制。限制。限制。限制。n n提供生命期安全支持计划、安全保障计划以及提供生命期安全支持计划、安全保障计划以及提供生命期安全支持计划、安全保障计划以及提供生命期安全支持计划、安全保障计划以及安全风险管理计划的数据。安全风险管理计划的数据。安全风险管理计划的数据。安全风险管理计划的数据。2727cnitseccnitsecn n制定测
24、评认证以及评估计划制定测评认证以及评估计划n n确定是否需要新的信息安全技术确定是否需要新的信息安全技术n n初步安全风险评估及评估报告初步安全风险评估及评估报告n n提供认证提供认证/认可数据(认可数据(C &A)2828cnitseccnitsec4.3 要求阶段n n目的:提出正式的信息系统安全需求报目的:提出正式的信息系统安全需求报告为系统设计和测试做好准备,对主要告为系统设计和测试做好准备,对主要问题取得共识。问题取得共识。n n目标:提出一份系统安全需求评审报告目标:提出一份系统安全需求评审报告(SRR),它是一份包括系统所有安全),它是一份包括系统所有安全需求指标的草案。需求指标
25、的草案。n n文件对系统的功能、性能、互操作性、文件对系统的功能、性能、互操作性、接口要求都要做描述,并要对能否达到接口要求都要做描述,并要对能否达到要求提出检验手段。要求提出检验手段。2929cnitseccnitsec系统要求评审包括的内容:n n将用户的安全需求转化为系统功能和性将用户的安全需求转化为系统功能和性能需求以及安全方案的设计限制;能需求以及安全方案的设计限制;n n评估技术验证的方法和进程;评估技术验证的方法和进程;n n对风险确认和量化的评估以及风险管理对风险确认和量化的评估以及风险管理办法的评估;办法的评估;n n关键技术的评估;关键技术的评估;n n评估系统安全需求的覆
26、盖面进行评估;评估系统安全需求的覆盖面进行评估;n n审查系统规范草案以及相关的认证措施。审查系统规范草案以及相关的认证措施。3030cnitseccnitsec4.4 系统设计阶段n n目的:完成系统的顶层设计,决定组成目的:完成系统的顶层设计,决定组成系统的配置项,定下系统指标,使正式系统的配置项,定下系统指标,使正式的系统工程开始。的系统工程开始。n n目标:提供一份系统功能(设计)评审目标:提供一份系统功能(设计)评审报告(报告(SFR),报告包括正式开发前必),报告包括正式开发前必须的系统指标须的系统指标3131cnitseccnitsec系统功能(设计)评审()包括的内容n n确保
27、系统功能和性能要求和有关的限制。确保系统功能和性能要求和有关的限制。n n对系统的功能和物理体系进行评估对系统的功能和物理体系进行评估n n对系统的指标和功能基线不断完善、更对系统的指标和功能基线不断完善、更新新n n评估设计方案是否满足用户要求评估设计方案是否满足用户要求3232cnitseccnitsec本阶段与ISSE有关的活动:n n完善系统的安全需求(是否有新的安全威胁)完善系统的安全需求(是否有新的安全威胁)完善系统的安全需求(是否有新的安全威胁)完善系统的安全需求(是否有新的安全威胁)n n分析系统的安全要求以及到配置项的安全要求,分析系统的安全要求以及到配置项的安全要求,分析系
28、统的安全要求以及到配置项的安全要求,分析系统的安全要求以及到配置项的安全要求,确保满足整个系统的安全要求确保满足整个系统的安全要求确保满足整个系统的安全要求确保满足整个系统的安全要求n n评审系统设计安全方案的技术原理评审系统设计安全方案的技术原理评审系统设计安全方案的技术原理评审系统设计安全方案的技术原理n n详细确定信息系统安全验证和确认(详细确定信息系统安全验证和确认(详细确定信息系统安全验证和确认(详细确定信息系统安全验证和确认(&V)&V)有有有有关的要求和战略关的要求和战略关的要求和战略关的要求和战略n n完善与安全有关的采购和工程管理计划、策略完善与安全有关的采购和工程管理计划、
29、策略完善与安全有关的采购和工程管理计划、策略完善与安全有关的采购和工程管理计划、策略n n系统特有的安全风险评估系统特有的安全风险评估系统特有的安全风险评估系统特有的安全风险评估n n为认证和认可(为认证和认可(为认证和认可(为认证和认可(& &) )提供数据提供数据提供数据提供数据3333cnitseccnitsec4.5初步设计阶段n n目的:系统的设计要求和指标都分配到目的:系统的设计要求和指标都分配到配置项(配置项(CI)。)。n n目标:提供初步设计评审报告(目标:提供初步设计评审报告(PDR),),该报告包括对每个系统配置项的软件和该报告包括对每个系统配置项的软件和硬件的评审,为大
30、多数系统的配置项建硬件的评审,为大多数系统的配置项建立了分配基线。立了分配基线。3434cnitseccnitsec初步设计评审包括的内容:n n找出没有考虑到的或没有被每个找出没有考虑到的或没有被每个IC满足满足的系统方面的安全要求的系统方面的安全要求n n确保确保CI、子系统的问题得到解决、子系统的问题得到解决n n评审风险管理,确保风险在可接受的水评审风险管理,确保风险在可接受的水平平n n对系统物理体系结构的集成进行评估,对系统物理体系结构的集成进行评估,确定内部、外部接口和互操作性确定内部、外部接口和互操作性n n证实集成后的系统设计满足功能基线要证实集成后的系统设计满足功能基线要求
31、和用户要求求和用户要求3535cnitseccnitsecn n评审评审CI层面的参数和接口规范的定义及层面的参数和接口规范的定义及其他方面的问题其他方面的问题n n对已有的安全方案进行复查,使之与对已有的安全方案进行复查,使之与CI的要求一致的要求一致n n确认确认CI(无论是开发的或是买来的)的(无论是开发的或是买来的)的指标满足系统安全要求指标满足系统安全要求n n为认证和认可(为认证和认可(C& A)继续提供数据)继续提供数据n n检查系统各方面的问题检查系统各方面的问题本阶段与ISSE有关的活动3636cnitseccnitsec4.6 详细设计阶段n n目的:完成没有现货的设备和系
32、统的设目的:完成没有现货的设备和系统的设计计n n目标:提供系统关键设计评审报告目标:提供系统关键设计评审报告(CDR),该报告包括构成系统的各个),该报告包括构成系统的各个配置项的具体设计(相关软件和硬件的配置项的具体设计(相关软件和硬件的设计评审和文件)设计评审和文件)3737cnitseccnitsec关键设计评审包括的内容:n n找出配置项和关键设计都没有解决的问找出配置项和关键设计都没有解决的问题题n n考虑系统与其他系统的兼容性考虑系统与其他系统的兼容性n n确认系统和确认系统和CI设计是完整的设计是完整的n n确认和证明系统设计要求、接口要求、确认和证明系统设计要求、接口要求、系
33、统限制与可以验证的结论相一致系统限制与可以验证的结论相一致n n建立每个建立每个CI的分配基线的分配基线3838cnitseccnitsec本阶段与ISSE有关的活动n n通过关键设计安全方案和具体软件以及通过关键设计安全方案和具体软件以及工程设计的评审,实现系统和工程设计的评审,实现系统和CI层面的层面的安全设计安全设计n n检查关键设计提出的安全方案的技术原检查关键设计提出的安全方案的技术原理理n n准备信息系统安全的测试和评估要求准备信息系统安全的测试和评估要求(系统的、软件的、硬件的)(系统的、软件的、硬件的)n n跟踪或参与与系统设计跟踪或参与与系统设计/开发有关的安全开发有关的安全
34、保障机构保障机构3939cnitseccnitsecn n确定并证明每个确定并证明每个CI的设计、的设计、CI间的接口间的接口设计能够满足系统安全要求设计能够满足系统安全要求n n准备好绝大多数生命期安全保障方案的准备好绝大多数生命期安全保障方案的内容,包括培训计划、应急培训计划的内容,包括培训计划、应急培训计划的有关内容有关内容n n评审更新安全风险与威胁的预测,评审评审更新安全风险与威胁的预测,评审请求的任何改动请求的任何改动n n提供认证和认可(提供认证和认可(C & A)过程的数据过程的数据4040cnitseccnitsec4.7 实现和测试阶段n n目的:准备好所有开发和非开发产品
35、并目的:准备好所有开发和非开发产品并把所有产品(把所有产品(CI)集成为一个完整系统)集成为一个完整系统并检查确认继承的系统符合要求。并检查确认继承的系统符合要求。n n目标:提供一个系统确认评审报告目标:提供一个系统确认评审报告(SVR),确定所建的系统与要求相一),确定所建的系统与要求相一致,能满足任务的需求致,能满足任务的需求 4141cnitseccnitsecn n更新系统安全威胁评估,预测系统的使用寿命更新系统安全威胁评估,预测系统的使用寿命更新系统安全威胁评估,预测系统的使用寿命更新系统安全威胁评估,预测系统的使用寿命n n安全方案实现后系统和安全方案实现后系统和安全方案实现后系
36、统和安全方案实现后系统和CICI的安全要求和限制以的安全要求和限制以的安全要求和限制以的安全要求和限制以及相关的机制及相关的机制及相关的机制及相关的机制n n跟踪或参与和本阶段有关的安全保障机构跟踪或参与和本阶段有关的安全保障机构跟踪或参与和本阶段有关的安全保障机构跟踪或参与和本阶段有关的安全保障机构n n完善系统运行程序和生命期安全支持计划完善系统运行程序和生命期安全支持计划完善系统运行程序和生命期安全支持计划完善系统运行程序和生命期安全支持计划n n准备正式的系统确认评审的安全风险评估准备正式的系统确认评审的安全风险评估准备正式的系统确认评审的安全风险评估准备正式的系统确认评审的安全风险评
37、估n n为认证和认可(为认证和认可(为认证和认可(为认证和认可(C&AC&A)提供数据)提供数据)提供数据)提供数据n n最终检查系统的所有问题最终检查系统的所有问题最终检查系统的所有问题最终检查系统的所有问题本阶段与ISSE有关的活动4242cnitseccnitsec4.8 配置审计阶段n n目的:从系统层面审查每个目的:从系统层面审查每个CI都进行了都进行了配置审计,把建好的系统与前面各阶段配置审计,把建好的系统与前面各阶段的记录文件相比较,所有大的偏差和问的记录文件相比较,所有大的偏差和问题都得到解决,。题都得到解决,。n n目标:提供物理配置审计报告(目标:提供物理配置审计报告(PC
38、A),),该报告包括所有配置审计的结果和解决该报告包括所有配置审计的结果和解决系统出现偏差的办法(系统出现偏差的办法(CI的产品基线包的产品基线包括一份认可文件,其中有括一份认可文件,其中有CI的功能、性的功能、性能、物理结构等的要求)。能、物理结构等的要求)。4343cnitseccnitsec本阶段与ISSE有关的活动n n最后确认系统的生产最后确认系统的生产/部署计划能满足信部署计划能满足信息系统安全要求息系统安全要求n n根据信息系统安全要求,进一步评审根据信息系统安全要求,进一步评审CI产品的指标以及相关的设计资料产品的指标以及相关的设计资料n n最终确定系统运行安全规则和安全支持最
39、终确定系统运行安全规则和安全支持计划计划n n为认证和认可过程提供数据为认证和认可过程提供数据4444cnitseccnitsec4.9运行和支持阶段n n目的:系统开始部署、运行直到系统被目的:系统开始部署、运行直到系统被拆除,拆除,ISSE一直发挥作用,确保系统安一直发挥作用,确保系统安全得到维护。它包括处理系统在现场运全得到维护。它包括处理系统在现场运行时出现的安全问题以及采取措施保证行时出现的安全问题以及采取措施保证系统的安全水平在系统运行期间不会下系统的安全水平在系统运行期间不会下降。降。4545cnitseccnitsec本阶段与ISSE有关的活动n n监测系统的安全性能,包括安全
40、事件报监测系统的安全性能,包括安全事件报告告n n进行用户安全培训,并对安全培训进行进行用户安全培训,并对安全培训进行评估评估n n监视与安全有关的部件的拆除处理监视与安全有关的部件的拆除处理n n监测新发现的对系统安全的攻击、系统监测新发现的对系统安全的攻击、系统所受威胁的变化以及其它与安全风险有所受威胁的变化以及其它与安全风险有关的因素关的因素4646cnitseccnitsecn n监测安全部件的后勤支持,支持与安全监测安全部件的后勤支持,支持与安全有关的维护培训有关的维护培训n n评估大大小小的系统改动对安全造成的评估大大小小的系统改动对安全造成的影响影响n n监测系统物理和功能配置是
41、否影响系统监测系统物理和功能配置是否影响系统的安全风险的安全风险n n为重新进行的认证和认可过程提供数据为重新进行的认证和认可过程提供数据4747cnitseccnitsec5 ISSE功能4848cnitseccnitsec5.1 ISSE基本功能的概念n n是与是与ISSE相关的各种典型活动:相关的各种典型活动:4949cnitseccnitsecSA系统获取系统获取SE系统工程系统工程SSEISSE任务需求的确定任务需求的确定概念研究和确定概念研究和确定演示和确认演示和确认设计和制造设计和制造产品产品/部署和部署和运行运行/支持支持确定安全能力需求确定安全能力需求分析安全要求分析安全要求
42、和和探索安全概念探索安全概念分配安全要求分配安全要求指指定定和和实实现现安安全全设设计计并并进进行行系系统统安安全全测试测试实施安全操作实施安全操作和和生命周期支持生命周期支持MS0MS1MS2MS3确定任务能力确定任务能力需求需求探索备选系统的探索备选系统的概念概念系统设计规范系统设计规范设计、构造、设计、构造、 集成和测试集成和测试系统运行和系统运行和 生命期支持生命期支持能力需求陈述能力需求陈述(MNS)备选系统的评审备选系统的评审(ASR)系统要求评审系统要求评审(SRR SFR)基本设计评审基本设计评审 关键设计关键设计评审、系统验证评审评审、系统验证评审(PDR、CDR、SVR)物
43、理配置评审物理配置评审(PCA)图图 系统生命期内的系统生命期内的ISSE过程过程5050cnitseccnitsecn n这些活动要在系统生命周期各个阶段并这些活动要在系统生命周期各个阶段并行地、反复地进行。各活动之间是相互行地、反复地进行。各活动之间是相互协调的。协调的。5151cnitseccnitsec系统安全规划,分析和控制系统安全规划,分析和控制系统安全需求分析和确定系统安全需求分析和确定系统安全设计支持系统安全设计支持系统安全性验证系统安全性验证系统安全开发系统安全开发/集成集成系统安全操作分析和支持系统安全操作分析和支持系统生存期安全支持系统生存期安全支持系统安全系统安全 风险
44、管理风险管理ISSE的的有有关关活活动动及及贡贡献献 ISSE基本功能活动基本功能活动安全活动的规划与控制安全活动的规划与控制安全要求的确定安全要求的确定安全设计支持:安全设计支持: * 顶层安全体系结构确定顶层安全体系结构确定 * 详细设计和实现的支持详细设计和实现的支持安全操作分析安全操作分析生命期安全支持生命期安全支持安全风险管理安全风险管理5252cnitseccnitsecn n在系统开发的不同阶段涉及在系统开发的不同阶段涉及ISSE各功能各功能的程度也不一样。每个的程度也不一样。每个ISSE功能至少有功能至少有三种模式:三种模式:为实现功能作准备;为实现功能作准备;为实现功能作准备
45、;为实现功能作准备;实现功能;实现功能;实现功能;实现功能;当系统发生变动或有新情况出现时要做出相当系统发生变动或有新情况出现时要做出相当系统发生变动或有新情况出现时要做出相当系统发生变动或有新情况出现时要做出相应改变。应改变。应改变。应改变。5353cnitseccnitsec5.2关于裁剪问题n n裁剪实际是对每一个裁剪实际是对每一个ISSE功能活动的考功能活动的考察察.为了更好的利用资源使活动最佳化为了更好的利用资源使活动最佳化,限制限制增加那些不必要的花费和材料的那些任增加那些不必要的花费和材料的那些任务务.5454cnitseccnitsec裁剪的内容包括:n n复杂性、不确定性和应
46、急问题;复杂性、不确定性和应急问题;n n客户和授权者的风险份额;客户和授权者的风险份额;n n成本、进度和人员限制;成本、进度和人员限制;n n合同规定和限制;合同规定和限制;n n客户专门能力等级:技术能力和管理能客户专门能力等级:技术能力和管理能力力n n客户的商业实践知识客户的商业实践知识5555cnitseccnitsec5.3ISSE基本功能基本功能5656cnitseccnitsec系统和安全工程管理以及规划活动应当在工程开系统和安全工程管理以及规划活动应当在工程开系统和安全工程管理以及规划活动应当在工程开系统和安全工程管理以及规划活动应当在工程开始就启动。始就启动。始就启动。始
47、就启动。为了系统地把安全需求嵌入到有效的设计中,应为了系统地把安全需求嵌入到有效的设计中,应为了系统地把安全需求嵌入到有效的设计中,应为了系统地把安全需求嵌入到有效的设计中,应尽早开始规划活动并很好地提供强有力的资金支尽早开始规划活动并很好地提供强有力的资金支尽早开始规划活动并很好地提供强有力的资金支尽早开始规划活动并很好地提供强有力的资金支持持持持成立由系统安全工程师领导的小组。成立由系统安全工程师领导的小组。成立由系统安全工程师领导的小组。成立由系统安全工程师领导的小组。有必要的工具和资料。它是有必要的工具和资料。它是有必要的工具和资料。它是有必要的工具和资料。它是ISSEISSE的基本功
48、能的基本功能的基本功能的基本功能. .1).安全规划、控制和小组形成安全规划、控制和小组形成5757cnitseccnitsec本阶段的主要工作本阶段的主要工作:商业决策和工程规划 确定首席确定首席ISSEISSE领导领导 作出与支持作出与支持ISSEISSE相关的支出的预算相关的支出的预算 确定进度、合同文件和工程策略的规划、确确定进度、合同文件和工程策略的规划、确定及应用以及相关的安全验证和确认活动。如定及应用以及相关的安全验证和确认活动。如果有些因素发生变化应向决策者报告。果有些因素发生变化应向决策者报告。 考虑与安全认证和认可小组的关系考虑与安全认证和认可小组的关系5858cnitse
49、ccnitsec确定首席信息系统安全工程师与物理的、管理的、人事的、运行安全的负责人和组织建立良好的工作关系首先要同客户建立良好的关系和沟通手段系统生命期的安全工程师成立ISSE小组5959cnitseccnitsec与管理机构、测评认证机构沟通安全认证是评价信息系统安全性和其它性能满足安全要求的程度,理想情况下应在系统生命期各阶段完成。测评认证要与风险评估相关联,在系统生命期内测评人员要不断评审和修正并确定剩余风险。安全认可规划应在系统生命期开始阶段完成。安全认可是由独立的机构完成。规划ISSE对C&A提供数据6060cnitseccnitsec安全目标和安全要求的描述安全保障计划安全威胁分
50、析报告与安全相关的信息(包括接口规范)与外部系统接口安全要求验证的可跟踪矩阵或相关决策数据库信息ISSE为测评认证提供的内容:为测评认证提供的内容: 6161cnitseccnitsec系统安全运行计划、方案和其它分析生命期 安全支持计划安全测试或其它验证计划和数据安全风险评估/风险评审报告实用产品安全特性文件和产品安全评价报告测评认证机关人员的介入系统安全评价和特征数据6262cnitseccnitsec用户用户/ /同级小组报告:同级小组报告:ISSEISSE小组应当随时向客户通报所承担的工作和小组应当随时向客户通报所承担的工作和进展情况或在有可能的情况下为客户进行适进展情况或在有可能的情
51、况下为客户进行适当的演示。当的演示。机构的管理报告:机构的管理报告:在每一个重要项目里程碑评审之前为机构管理在每一个重要项目里程碑评审之前为机构管理人员提供简报,给出有关技术和状态的信息。人员提供简报,给出有关技术和状态的信息。工程初期简报讨论如何裁剪工程初期简报讨论如何裁剪ISSEISSE过程来适合过程来适合客户的需要以及安全能力要求和小组完成了客户的需要以及安全能力要求和小组完成了什么活动。什么活动。ISSE 报告报告6363cnitseccnitsec简报大概包括的内容简报大概包括的内容有关信息系统安全支持和成果的用户反馈有关信息系统安全支持和成果的用户反馈系统描述系统描述建议的安全方案
52、建议的安全方案安全风险评估结果安全风险评估结果进度进度ISSEISSE人员配置和其它资源问题人员配置和其它资源问题技术策略变化或早期简报得出的风险数据技术策略变化或早期简报得出的风险数据6464cnitseccnitsec技术数据库和工具技术数据库和工具决策数据库:决策数据库:确定一种使用和维护技术数据库的方法(可以是确定一种使用和维护技术数据库的方法(可以是一种记录或是在线工程数据库。一种记录或是在线工程数据库。一般情况下决策数据库包括以下内容:一般情况下决策数据库包括以下内容:综合的系统要求和对配置项的下行配置综合的系统要求和对配置项的下行配置接口限制和要求接口限制和要求系统概念、初步设计
53、和详细设计选择方案系统概念、初步设计和详细设计选择方案选定设计的全部文档选定设计的全部文档验证验证6565cnitseccnitsec决策准则商业研究评估原理图集模型和仿真设计图与详图配置文档和变化控制手段可跟踪性审计追踪6666cnitseccnitsec知识数据库的开发和重用知识数据库的开发和重用利用和充实信息系统安全知识库利用这一渠道达到知识共享6767cnitseccnitsec工具的选择和使用工具的选择和使用自动化的工程工具的选择和使用非常重要6868cnitseccnitsec与采购与采购/签合同有关的规则签合同有关的规则采购策略解决选择最适合该工程和工程环境的获取策略。规划ISS
54、E小组与系统项目办公室的关系以及需要承包商支持的程度。6969cnitseccnitsec需要考虑的问题包括:需要考虑的问题包括:最适合的承包合同ISSE小组参加承包合同的监控的时间ISSE小组为支持承包合同所需要的费用把信息系统安全有关材料精练为系统技术标准或工作说明所包含的参考资料(指南、标准、准则、保证)每个相关合同或任务定单的合同数据要求的原始材料7070cnitseccnitsec合同修改和工程变动对ISSE的影响为技术性能提供的信息系统安全的素材合同的安全技术规格要求承包商使用的安全登记指南;承包商的许可证等等。7171cnitseccnitsec预先计划的产品改进策略该策略是对已
55、获取系统所做的计划的未来改进。其原因可能是无法负担的费用或者由于技术原因把重大风险推迟以便在以后的工作中开发。7272cnitseccnitsec工程文档编制规划编制的文档涉及几乎所有的安全问题,如系统级和产品级技术规范、系统测试计划、获取和后勤支持计划。安全风险评估报告是信息系统安全特有的报告。7373cnitseccnitsec信息系统安全保证计划是用与信息系统安全相关的保证技术把安全功能要求同相关的可测度的强度级别和/或依赖级别结合到一起。安全保证计划应当是一种方法用来确定保护什么,如何将它划分等级,然后如何保证给予它同等级的安全保护。信息系统安全保证计划信息系统安全保证计划7474cn
56、itseccnitsec并非构成系统的所有功能都要求相同强度和可信度,因此安全保证计划应当确定保证等级的类别(如高、中、低)、每个类别的相关技术和标准。在这方面国家应当制定一些公用标准(如橘皮书)。7575cnitseccnitsec安全需求的确定是安全需求的确定是安全需求的确定是安全需求的确定是ISSSISSS过程中非常重要的环节,过程中非常重要的环节,过程中非常重要的环节,过程中非常重要的环节,只有明确了用户的安全需求才能制定信息系统的只有明确了用户的安全需求才能制定信息系统的只有明确了用户的安全需求才能制定信息系统的只有明确了用户的安全需求才能制定信息系统的安全目标和相应的安全策略。安全
57、目标和相应的安全策略。安全目标和相应的安全策略。安全目标和相应的安全策略。一般情况下有两种安全需求:一般情况下有两种安全需求:一般情况下有两种安全需求:一般情况下有两种安全需求:用户的非专业的安全需求,反映了用户的实际用户的非专业的安全需求,反映了用户的实际用户的非专业的安全需求,反映了用户的实际用户的非专业的安全需求,反映了用户的实际情况。情况。情况。情况。以工程观点提出的规范化的安全需求,是从安以工程观点提出的规范化的安全需求,是从安以工程观点提出的规范化的安全需求,是从安以工程观点提出的规范化的安全需求,是从安全专业角度提出的,要与用户见面全专业角度提出的,要与用户见面全专业角度提出的,
58、要与用户见面全专业角度提出的,要与用户见面并征得用户的同意。并征得用户的同意。并征得用户的同意。并征得用户的同意。2).安全需求的确定安全需求的确定7676cnitseccnitsec系统级运行安全需求的确定系统级运行安全需求的确定系统级运行安全需求的确定系统级运行安全需求的确定从用户观点提出的系统级安全需求;从用户观点提出的系统级安全需求;从用户观点提出的系统级安全需求;从用户观点提出的系统级安全需求;与运行有关的系统级安全需求;与运行有关的系统级安全需求;与运行有关的系统级安全需求;与运行有关的系统级安全需求;与功能和性能有关的系统级安全需求;与功能和性能有关的系统级安全需求;与功能和性能
59、有关的系统级安全需求;与功能和性能有关的系统级安全需求;需求不对设计进行规定,但是要有任务能力需需求不对设计进行规定,但是要有任务能力需需求不对设计进行规定,但是要有任务能力需需求不对设计进行规定,但是要有任务能力需求说明来定义和用文档来确认。求说明来定义和用文档来确认。求说明来定义和用文档来确认。求说明来定义和用文档来确认。系统级安全需求的确定系统级安全需求的确定7777cnitseccnitsec系统级需求分析和规范系统级需求分析和规范目的是为精确确定系统每个主要功能的安全要求目的是为精确确定系统每个主要功能的安全要求和其它要求。和其它要求。需求分析的结果要在运行要求文档中以一种详细需求分
60、析的结果要在运行要求文档中以一种详细的系统规范加以确认。的系统规范加以确认。多数的需求确定活动一旦通过里程碑评审、折衷多数的需求确定活动一旦通过里程碑评审、折衷决策风险分析提炼、决策者的批准就被认为是决策风险分析提炼、决策者的批准就被认为是完全的。功能基线也被确定,他描述系统的功完全的。功能基线也被确定,他描述系统的功能、性能、互操作性、接口要求、所需的验证。能、性能、互操作性、接口要求、所需的验证。7878cnitseccnitsec系统需求的定义和可跟踪性系统需求的定义和可跟踪性系统需求分析是依据对客户需求、要求和目标、任务、人、产品和过程的预期使用环境、限制和效率的分析确定系统特有的特征
61、。它应当被用户理解和承认。7979cnitseccnitsec系统需求分析的各类型要求:系统需求分析的各类型要求:功能要求:功能要求:为必要的任务、行动必须完成的活为必要的任务、行动必须完成的活动。动。性能要求:性能要求:表示任务或功能必须被执行的程度,表示任务或功能必须被执行的程度,如质量、数量、覆盖范围、及时性和容易性来如质量、数量、覆盖范围、及时性和容易性来量度。量度。接口要求:接口要求:为功能的、性能的、电气的、环境为功能的、性能的、电气的、环境的、人员和物理的要求和限制,接口存在于两的、人员和物理的要求和限制,接口存在于两种或多种功能、系统单元、种或多种功能、系统单元、CICI或系统
62、之间的共或系统之间的共同边界上同边界上互操作性互操作性:规定系统、单元向别的系统、单元规定系统、单元向别的系统、单元提供服务的能力或从别的系统、单元接受服务提供服务的能力或从别的系统、单元接受服务的能力以及共同有效运行的能力。的能力以及共同有效运行的能力。8080cnitseccnitsec导出的要求:导出的要求:是在综合初步产品或过程方案在是在综合初步产品或过程方案在相关商业研究和验证期间确定的特征,但是又相关商业研究和验证期间确定的特征,但是又不能从任务需求说明追逐出来的要求。但是,不能从任务需求说明追逐出来的要求。但是,这些要求是系统实现预定功能所必不可少的,这些要求是系统实现预定功能所
63、必不可少的,因此要在系统总体要求内用文件确定。因此要在系统总体要求内用文件确定。设计限制:设计限制:是开发者是开发者/ /集成者在分配性能要求和集成者在分配性能要求和/ /或综合系统因素时必须遵守的边界条件。这些或综合系统因素时必须遵守的边界条件。这些限制可能是外部强加的,也可能是内部强加的。限制可能是外部强加的,也可能是内部强加的。其实例包括:形式、适配、功能、接口、技术其实例包括:形式、适配、功能、接口、技术工艺、材料、标准化、费用和时间工艺、材料、标准化、费用和时间8181cnitseccnitsec安全需求分析安全需求分析安全法规和策略的解释:安全法规和策略的解释:第一次信息系统安全的
64、需求分析活动应包括全第一次信息系统安全的需求分析活动应包括全面审查和考虑适用规定和政策法令。面审查和考虑适用规定和政策法令。需要解释大量的法规、法令、规定、机构的政需要解释大量的法规、法令、规定、机构的政策、政府有关保护机密信息的指南、国家标策、政府有关保护机密信息的指南、国家标准等等。其目的是保证系统充分实现强制性准等等。其目的是保证系统充分实现强制性规定以及相关的指南得到遵守。规定以及相关的指南得到遵守。安全的接口控制安全的接口控制/ /设计规范以及系统安全操作程设计规范以及系统安全操作程序、限制和控制都应当作为系统产品和过程序、限制和控制都应当作为系统产品和过程方案在整个开发周期内的方案
65、在整个开发周期内的ISSEISSE活动过程中产活动过程中产生出来。生出来。8282cnitseccnitsec安全威胁评估安全威胁评估安全威胁评估定义为:敌方有意利用对信息或系统造成损害的环境、行动或事件的能力、意图、攻击目标和方法。即要考虑内部和外部人员的故意安全威胁,也要考虑误操作或偶然的误用。ISSE应当与用户一道,帮助他们在系统威胁评估报告(STAR)中准确描述有关信息系统安全威胁。8383cnitseccnitsecSTAR包括的内容:包括的内容:信息和信息系统的安全威胁其它各种类型的威胁得到证明的威胁可以支持的假设威胁开发期间的威胁8484cnitseccnitsec任务安全目标任
66、务安全目标安全目标代表最高级的安全定义安全目标由系统用户陈述安全目标可能适用于任务的许多方面或只适用于任务的某一部分8585cnitseccnitsec安全服务分类:安全服务分类:保密性保密性访问控制访问控制完整性完整性数据完整性数据完整性系统完整性系统完整性鉴别鉴别可用性可用性不可抵赖性不可抵赖性安全管理安全管理8686cnitseccnitsec信息流、功能和价值信息流、功能和价值了解系统及其处理信息的重要性是非常重要的。工作的内容是:由于系统资源或系统处理的信息的丧失、泄露或修改对任务、人的生命和开销产生的影响。为此,必须确定和分析系统处理或存储信息的功能、流向和价值。8787cnits
67、eccnitsec安全需求定义综述安全需求定义综述8888cnitseccnitsec同安全有关的运行需求分析同安全有关的运行需求分析确认一个系统的安全能力需求非常重要。它有助于系统开发人员了解必须完成的工作以及涉及到的人员或机构(用户、采购ISSE小组、测评认证代表)要认识到这些都是用户自己的要求。安全能力需求应包含系统的最高安全需求,它将影响未来系统如何管理、保护和分发信息以及信息如何同其它信息接口。8989cnitseccnitsecISSE需求活动需求活动确定用户安全能力需求后,将进行连续的、正式确定用户安全能力需求后,将进行连续的、正式的安全需求分析,最终得到每一项安全功能的的安全需
68、求分析,最终得到每一项安全功能的安全要求。安全要求。要仔细研究所有的安全需求,研究其完整性、不要仔细研究所有的安全需求,研究其完整性、不一致性和相互依赖性。一致性和相互依赖性。由于系统体系结构的演变,必须不断评审和精练由于系统体系结构的演变,必须不断评审和精练安全需求。安全需求。ISSEISSE必须识别出同安全功能需求目标相关联的安必须识别出同安全功能需求目标相关联的安全性能需求。全性能需求。9090cnitseccnitsec先期概念阶段和概念阶段的先期概念阶段和概念阶段的ISSE 的的需求活动需求活动本阶段要支持确定面向用户的运行安全要求,其中包括必要的安全约束。主要问题是;定义要求活动,
69、包括必要的安全约束;识别和解决信息系统安全要求和其它系统要求之间的相互依赖性和折中方案。9191cnitseccnitsec概念阶段结束时应初步完成以下工作:项目的技术范围、成本范围、进度范围;粗略的系统运行概念和体系结构;运行要求文档采购和工程管理计划高层验证计划后勤支持计划9292cnitseccnitsec确定系统要求的基线(在SRR中被批准)并制定出系统规范草案。要求定义必须完成什么样的功能和什么样的约束。系统规范反映系统要求在一组功能领域的配置;为批准要求基线准备好安全要求并向系统规范草案提供信息系统安全数据要求阶段要求阶段ISSE的需求活动的需求活动9393cnitseccnits
70、ec确立由系统体系结构确定的内部和外部的接口和协议的安全要求;保证安全要求有效的反映客户的安全需求并直接跟踪先前的需求层次;识别出需要开发的新技术并监控其开发过程,确保满足预期的安全要求。9494cnitseccnitsec完成系统的基本设计,把安全要求分配给体系结构中确定的CI集合为最终目标。保证系统规范充分的表达出安全要求;在适当场合下确认验证和验证要求并建立和审查文档;审查完成的技术成果以保证其符合要求,满足预期的信息系统安全要求。系统设计阶段系统设计阶段ISSE的需求活动的需求活动9595cnitseccnitsec从初步设计到配置审计的从初步设计到配置审计的从初步设计到配置审计的从初
71、步设计到配置审计的ISSEISSE的需求活动的需求活动的需求活动的需求活动初步设计评审全面定义CI和接口,要提交CI和接口的安全要求以及验证条款作为系统配置基线的一部分,保证内部接口和协议满足安全要求;证明系统部件的9696cnitseccnitsec安全需求的可追踪性安全需求的可追踪性随着系统的发展将会产生新的安全需求;子需求必须从主需求导出;可追踪性必须保证子需求包括在主需求中。9797cnitseccnitsec3).安全设计支持安全设计支持系统设计必须能够确定系统要实现什么功能以及如何实现这些功能,这通常是一个复杂的过程。9898cnitseccnitsec安全设计支持内容:安全设计支
72、持内容:确定安全体系结构;确定关键技术;确定设计限制;非技术的安全设计手段;分布式安全服务;接口问题9999cnitseccnitsec关键技术的确定关键技术的确定考虑是否开发或使用任何必要的新技术来满足系统的安全要求;必须事先考虑要开发的技术,以便有充足的开发时间和解决技术难题.100100cnitseccnitsec设计限制设计限制要明确影响和限制实现所要求的安全服务对系统设计的限制。这些约束包括:系统工作环境、系统工作方式、任务功能的敏感性和重要性、接口和互操作性。一些支持性要求也可能限制系统的设计,如可移植性要求、生存性要求、培训、标准化等。101101cnitseccnitsec非技
73、术的安全设计措施非技术的安全设计措施安全设计不仅考虑技术措施而且也要考虑非技术的安全措施。102102cnitseccnitsec先期概念和概念阶段安全设计支持先期概念和概念阶段安全设计支持在先期概念阶段很少用安全设计支持;在后选系统评审(ASR)时,要开发若干备选的概念级的系统设计,它是由产品和过程解决方案适当混合组成的。通过对代替方案的反复比较,进行折中分析使体系结构得到足够的精练103103cnitseccnitsec要求和系统设计阶段的安全设计支持要求和系统设计阶段的安全设计支持在这两个阶段期间,要完成系统的最终设计并按技术规范形成文档。104104cnitseccnitsec制造或购
74、买的判决制造或购买的判决是制造还是购买要在操作功能和特性、费用、进度、风险进行全面的折中后最终决定。要对产品进行充分调查。105105cnitseccnitsec初步设计阶段到配置阶段的安全初步设计阶段到配置阶段的安全设计支持设计支持通过初步设计评审最终确定制造/购买;CI的设计/选择/分配;建立CI集成和测试系统,检查出现的任何变化。评估安全对CI的影响并确定附加的安全要求能否被满足。106106cnitseccnitsec运行和支持阶段安全设计支持运行和支持阶段安全设计支持在系统运行期间,由于主要和次要的系统修改来改善系统设计方案。107107cnitseccnitsec4).安全运行分析
75、安全运行分析安全运行分析将影响产品过程和系统安全要求的解决方案.安全运行概念分析和定义是系统工程和ISSE过程的综合,是为认证和认可提供关键数据的.108108cnitseccnitsec系统生命期内安全运行分析要有系统生命期内安全运行分析要有以下文档以下文档:设计评审说明培训材料和文件人的接口要求系统环境假设规范程序和政策文档109109cnitseccnitsec反复应用于系统生命期内的安全运反复应用于系统生命期内的安全运行分析的焦点行分析的焦点:确定与其他系统进行交互的环境要素;确定扮演的角色(系统用户、系统维护人员、系统管理员、假定的威胁代理);确定自动化角色(数据源点、数据发散点、远
76、程应用操作员、网络服务命令发起者)确定在其任务环境中与操作系统交互的方法和方式。110110cnitseccnitsec要考虑的典型情况是:要考虑的典型情况是:在正常和不正常条件下启动和关机;系统和人对错误条件或安全事件的环境反应;系统/组件失灵时,要在一个或多个预先计划好的退化方式下维持运行;可在不同模式下运行;111111cnitseccnitsec对安全事件或自然灾害的响应/恢复模式系统对关键性和常见的外部和内部事件的反应。112112cnitseccnitsec分析角色分析角色用户安装者、维护者管理者威胁代理113113cnitseccnitsec5). 生命期安全支持生命期安全支持与
77、用户一起开发一些机制以提供维护系统安全状态的长期能力。也就是监督在系统整个生命期的各阶段的计划,包括开发、生产、现场工作、维护、培训和拆除。114114cnitseccnitsec生命期安全支持的开发方法生命期安全支持的开发方法生命期安全支持的内容:生命期安全支持的内容:监控系统安全监控系统安全系统安全评估系统安全评估配置管理配置管理安全培训安全培训后勤和维修后勤和维修较小和较大的修改较小和较大的修改系统拆除系统拆除115115cnitseccnitsec系统生命期安全支持计划:系统生命期安全支持计划:对于ISSE小组来讲,考虑的问题包括:在开发、测试、使用期间对系统进行监控以确保与安全要求持
78、续的一致,不能在可接受的范围之外增加额外的风险。系统培训一定要涉及安全特性和限制,这样才能保证在日益增多的安全风险中操作员和维护产生错误的可能性受到控制并且可以接受。116116cnitseccnitsec追踪与安全有关的组成单元的处理指令,使其追踪与安全有关的组成单元的处理指令,使其遵守相应的法规和规则,不能增加安全风险。遵守相应的法规和规则,不能增加安全风险。保证配置管理过程是适当的,以避免引起在没保证配置管理过程是适当的,以避免引起在没有适当批准的情况下使安全风险上升。有适当批准的情况下使安全风险上升。确定与系统偶然性运行计划相匹配的系统安全确定与系统偶然性运行计划相匹配的系统安全偶然性
79、计划偶然性计划, ,以便使系统承受更大的风险。以便使系统承受更大的风险。117117cnitseccnitsec为系统提供安全评价,专门发现系统的安全漏洞和薄弱环节,弥补这些安全漏洞和薄弱环节提高系统安全防护能力。保证后勤和维护能够支持系统中与安全有关的组件的需要,使其不能引起安全风险的增加。118118cnitseccnitsec直接或更宽范围内环境的改变影响系统安全直接或更宽范围内环境的改变影响系统安全直接或更宽范围内环境的改变影响系统安全直接或更宽范围内环境的改变影响系统安全形势和解决方案的变化是:形势和解决方案的变化是:形势和解决方案的变化是:形势和解决方案的变化是:任务和被保护的信息
80、重要性或敏感性的改变,可能导致安全需求和要求的对抗措施的改变。威胁的改变使系统的安全风险增加或减少。应用的改变要求不同的安全操作模式。119119cnitseccnitsec发现新的安全攻击手段。发现新的安全攻击手段。破坏安全、破坏系统完整性或通过揭示安全缺破坏安全、破坏系统完整性或通过揭示安全缺陷使授权无效的异常事件或小事件。陷使授权无效的异常事件或小事件。新的安全审计、检查和外部评价结果新的安全审计、检查和外部评价结果系统、子系统或组成单元配置的改变或修改。系统、子系统或组成单元配置的改变或修改。排除或降低排除或降低CICI。排除或降低系统过程的对抗性措施排除或降低系统过程的对抗性措施与新
81、的外部接口相连与新的外部接口相连运行环境的改变运行环境的改变新对抗技术的应用新对抗技术的应用系统安全授权期满系统安全授权期满120120cnitseccnitsec系统安全监控的部署系统安全监控的部署系统安全功能在系统运行期间应能被连续监控,通过生命期支持把问题提前设计到系统中。进行折中研究以确定什么样的监控手段可以提供最好的成本-效益并满足可接受的风险。121121cnitseccnitsec系统安全评估系统安全评估最终作出评估的是:系统的拥有者、认可者、安全评估的评估者。在制定评估建议时要考虑的是:系统是否已经用了被证明了的手段来满足安全要求?以及系统在其环境下面临的威胁、临时的系统安全轮
82、廓是什么样的?找出系统的各种脆弱性,作出要采取什么措施的决定。122122cnitseccnitsec配置管理配置管理在生命期某一个给定点上维持一个基线;在生命期某一个给定点上维持一个基线;系统在不断自然演变;系统在不断自然演变;偶然事件造成的毁坏;偶然事件造成的毁坏;对对C&AC&A证据的追踪;证据的追踪;系统资源的有限集合的使用期将增长;系统资源的有限集合的使用期将增长;配置项的身份证明配置项的身份证明配制控制配制控制配置会计学配置会计学配置审计配置审计123123cnitseccnitsec培训培训个人所需的知识和技能实施对用户使用系统的训练124124cnitseccnitsec后勤和
83、维护后勤和维护给出所要求的任务、设备、技能、人员、材料、服务、供应品和程序的定义,保证系统最终项目的提供、存放和维修。125125cnitseccnitsec系统的修改系统的修改重大修改修改或其它改变126126cnitseccnitsec处理处理系统工程处理功能包括:再生;材料恢复;废物利用;副产品处理。127127cnitseccnitsec6).安全风险管理安全风险管理安全风险是对达到技术性能、成本和进度方面的目的和目标的不确定性的一种度量。128128cnitseccnitsec安全风险管理是一个条理化的分析过程,目的是为了确定在什么情况下可能产生错误,评价安全风险以及实现处理安全风险
84、的手段.129129cnitseccnitsec安全风险等级:安全风险等级:安全风险等级是用安全事件和安全事件出现概率来分类。130130cnitseccnitsec风险源风险源技术方面技术方面: :可行性可行性可操作性可操作性可生产性可生产性可测试性可测试性系统的有效性系统的有效性可维修性可维修性技术和材料的可获性技术和材料的可获性131131cnitseccnitsec进度方面:技术资料的可用性技术成果里程碑132132cnitseccnitsec资源方面:资源的利用率资源的保护程度133133cnitseccnitsec合同方面:进度费用134134cnitseccnitsec系统的安全
85、测评和认证135135cnitseccnitsecn n你已经建成了一个安全系统了吗你已经建成了一个安全系统了吗?系统是系统是否在预期的、被指定的、系统现实环境否在预期的、被指定的、系统现实环境中有可接受的安全风险?中有可接受的安全风险?136136cnitseccnitsecn n系统验证和确认文档与测试计划和测试系统验证和确认文档与测试计划和测试程序相组合,通过与分析(包括仿真)、程序相组合,通过与分析(包括仿真)、演示、测试、检查相组合将提供所有的演示、测试、检查相组合将提供所有的安全要求(包括风险与规范要求的一致安全要求(包括风险与规范要求的一致性、产品和过程的能力、概念的证明、性、产
86、品和过程的能力、概念的证明、系统级的技术验证、制造过程证明、质系统级的技术验证、制造过程证明、质量保证和可接受性)量保证和可接受性)验证和确认137137cnitseccnitsecn n即将现场部署的系统以及每个站点的非即将现场部署的系统以及每个站点的非技术保护也要检验,这要由安全测评认技术保护也要检验,这要由安全测评认证机构来进行(包括运行测试和检查、证机构来进行(包括运行测试和检查、设计文件审查、技术手册审查、安全技设计文件审查、技术手册审查、安全技术评审、准备就绪和程序的检查、编码术评审、准备就绪和程序的检查、编码检查)检查)138138cnitseccnitsecn n特殊测试:特殊
87、测试:n n渗透测试渗透测试n n密码验证测试密码验证测试n n安全的独立验证和确认安全的独立验证和确认n n安全保证分析方法安全保证分析方法n nTEMPEST139139cnitseccnitsec初始认证任务:n n系统构架分析系统构架分析n n软件设计分析软件设计分析n n网络连接是否符号规划分析网络连接是否符号规划分析n n生命期管理分析生命期管理分析n n漏洞评估漏洞评估140140cnitseccnitsecn n安全测试和评估安全测试和评估n n渗透测试渗透测试n nTEMPEST和和RED-BLACK核实核实n n确认是否符合通讯安全标准确认是否符合通讯安全标准n n系统管理
88、分析系统管理分析n n站点鉴定调查站点鉴定调查n n意外事故应急计划评估意外事故应急计划评估n n基于风险的管理评估基于风险的管理评估最终认证任务:141141cnitseccnitsec安全风险管理(SRM)安全风险管理计划安全风险管理计划n n系统开发早期,制定系统生命期内的安系统开发早期,制定系统生命期内的安全风险管理计划;全风险管理计划;n n在安全风险判决点的评审要纳入管理计在安全风险判决点的评审要纳入管理计划;划;n n在重大技术事件或裁剪处,规定一些要在重大技术事件或裁剪处,规定一些要求实现安全风险评审求实现安全风险评审142142cnitseccnitsec安全风险要考虑的主要
89、因素:n n覆盖给定系统生命期过程的安全风险管理战略;覆盖给定系统生命期过程的安全风险管理战略;覆盖给定系统生命期过程的安全风险管理战略;覆盖给定系统生命期过程的安全风险管理战略;n n安全风险文档安全风险文档安全风险文档安全风险文档综合安全风险评估报告;综合安全风险评估报告;综合安全风险评估报告;综合安全风险评估报告;n n搜集传播安全风险信息计划搜集传播安全风险信息计划搜集传播安全风险信息计划搜集传播安全风险信息计划在安全风险管在安全风险管在安全风险管在安全风险管理期间的密级分类规则理期间的密级分类规则理期间的密级分类规则理期间的密级分类规则 n n建立项目每个阶段的授权的风险验收机构,验
90、建立项目每个阶段的授权的风险验收机构,验建立项目每个阶段的授权的风险验收机构,验建立项目每个阶段的授权的风险验收机构,验收剩余风险,审查收剩余风险,审查收剩余风险,审查收剩余风险,审查SRM SRM 发布的文档;发布的文档;发布的文档;发布的文档;n n确定确定确定确定SRMSRM活动要求的人员及角色;活动要求的人员及角色;活动要求的人员及角色;活动要求的人员及角色;143143cnitseccnitsec安全风险评价委员会委员会活动包括:委员会活动包括:n n客户请求客户请求客户可以请求风险评价来客户可以请求风险评价来帮助作出安全判决;帮助作出安全判决;n n新项目安全风险基线的确定,包括安
91、全新项目安全风险基线的确定,包括安全策略、运行安全需求、任务环境设计的策略、运行安全需求、任务环境设计的基本安全要求;基本安全要求;n n在系统生命期的关键点上,为作出合理在系统生命期的关键点上,为作出合理决策,可能启动风险评估;决策,可能启动风险评估;n n客户要求:代替方案客户要求:代替方案144144cnitseccnitsec安全风险信息包括:安全风险信息包括:n n所有可能的案例、事件、攻击的信息以所有可能的案例、事件、攻击的信息以及不能使系统保持与期望的安全要求相及不能使系统保持与期望的安全要求相一致的脆弱性;一致的脆弱性;n n特定系统出现的风险和可能性的评价;特定系统出现的风险
92、和可能性的评价;n n使项目计划和运行环境得到改善的手段;使项目计划和运行环境得到改善的手段;n n活动进程的建议活动进程的建议安全风险信息和文档145145cnitseccnitsec安全风险计划理解任务目标理解任务目标n n理解信息保障需求理解信息保障需求n n体现风险状态体现风险状态n n体现什么可以做体现什么可以做n n决定将要做什么决定将要做什么n n执行决定执行决定146146cnitseccnitsec安全风险分析步骤:安全风险分析步骤:n n分析系统分析系统n n确定资产确定资产n n识别财产识别财产n n识别保护要求和威胁代理识别保护要求和威胁代理n n识别威胁和脆弱性识别威
93、胁和脆弱性n n确定威胁的可能性和潜在的破坏确定威胁的可能性和潜在的破坏安全风险分析和认证/认可147147cnitseccnitsecn n计算风险计算风险n n提议保证措施提议保证措施n n确定优先保护手段确定优先保护手段n n实现的解决方案实现的解决方案148148cnitseccnitsec这里着重总结了信息系统安全工程过程及如何确保安全解决方案行之有效。6 信息系统安全工程总结149149cnitseccnitsecn n叙述信息保障需求叙述信息保障需求n n在早期的系统工程中,基于需求而产生在早期的系统工程中,基于需求而产生的信息保障要求的信息保障要求n n以一个可接受的信息保障的
94、风险水平来以一个可接受的信息保障的风险水平来满足要求满足要求n n建立一个基于要求的功能性的信息保障建立一个基于要求的功能性的信息保障体系体系6.1信息系统安全工程过程:150150cnitseccnitsecn n将信息保护功能分配到一个物理和逻辑将信息保护功能分配到一个物理和逻辑的体系中的体系中n n设计系统以部署信息保障体系设计系统以部署信息保障体系n n实现整体系统关联,包括成本、进度和实现整体系统关联,包括成本、进度和运行的适宜性及有效性,以便平衡信息运行的适宜性及有效性,以便平衡信息保障风险管理和其它保障风险管理和其它ISSE事宜事宜n n研究与其它的信息保障和系统工程原则研究与其
95、它的信息保障和系统工程原则进行权衡进行权衡151151cnitseccnitsec将ISSE过程与系统工程和采购过程相结合测试系统用以核实信息保障的设计并验证信息保障要求在实施完成后,进行用户支持并根据需求进行调整152152cnitseccnitsec6.2 ISSE完成的过程153153cnitseccnitsecn n所需完成任务的信息保障需求所需完成任务的信息保障需求n n对信息管理的威胁对信息管理的威胁n n在信息保障策略方面的考虑在信息保障策略方面的考虑1).探索信息保障需求154154cnitseccnitsec2).确定信息保障系统n n信息保障目标信息保障目标n n系统内部关
96、联和环境系统内部关联和环境n n信息保障要求信息保障要求n n功能分析功能分析155155cnitseccnitsec建立系统构架建立系统构架,确定详细设计方案确定详细设计方案n n为要求和威胁评估提炼为要求和威胁评估提炼,验证和检查技术验证和检查技术的基本原理的基本原理n n确保一套低水平的要求确保一套低水平的要求,使其满足系统级使其满足系统级的要求的要求n n支持系统级架构支持系统级架构CI和接口定义和接口定义n n支持长期的交货时间和早期的采购决定支持长期的交货时间和早期的采购决定3).设计信息保障系统156156cnitseccnitsecn n确定信息保障核实和验证程序和策略确定信息
97、保障核实和验证程序和策略n n考虑信息保障运作和生命期支持考虑信息保障运作和生命期支持n n持续进行信息保障风险细节的检查和评持续进行信息保障风险细节的检查和评估估n n支持认证和认可过程支持认证和认可过程n n参加信息工程过程参加信息工程过程157157cnitseccnitsec4).实施信息保障系统建立采购、集成、核实和验证各个信息保建立采购、集成、核实和验证各个信息保障的子系统障的子系统n n按照计划更新对信息保障威胁的评估和按照计划更新对信息保障威胁的评估和对系统运行的评估对系统运行的评估n n核实系统信息保障要求和实施解决方案核实系统信息保障要求和实施解决方案的限制的限制n n跟踪
98、、参与和应用信息保障担保机制跟踪、参与和应用信息保障担保机制158158cnitseccnitsecn n信息保障是一个系统工程信息保障是一个系统工程n n系统工程分阶段进行系统工程分阶段进行,每一个阶段都要反每一个阶段都要反复应用复应用ISSE功能并严格进行阶段评审功能并严格进行阶段评审n n信息系统安全保障是系统生命期的安全信息系统安全保障是系统生命期的安全保障保障n n信息保障是综合各种技术的过程信息保障是综合各种技术的过程:技术和技术和管理管理主动防御和被动主动防御和被动安全管理的综合安全管理的综合结语159159cnitseccnitsec中国信息安全产品中国信息安全产品测评认证中心测评认证中心对外办公地点:对外办公地点:对外办公地点:对外办公地点:北京西三环北路北京西三环北路北京西三环北路北京西三环北路2727号号号号互联网址:互联网址:互联网址:互联网址:电话:电话:电话:电话:6842889968428899传真:传真:传真:传真:6846294268462942160160cnitseccnitsec问题?161161个人观点供参考,欢迎讨论!
