信息系统安全工程-XXXX0828

安全工程中国信息安全产品测评认证中心CNITSEC2019/8/8自我介绍刘作康CNITSECE-mail:liuzuokang@263.netCNITSEC2019/8/8课程目标了解信息系统安全工程一般概念了解信息系统安全工程的生命周期初步掌握应该如何进行信息系统安全工程CNITSEC2019/8/8课程内容1.信息系统安全工程一般概念2.信息系统安全工程过程域介绍3.信息系统安全工程的实践CNITSEC2019/8/81、信息安全工程一般概念我们当前的形势与问题安全问题产生的根源与环节如何达到系统的安全安全工程过程安全工程过程能力的成熟度信息安全工程生命周期CNITSEC2019/8/8我们当前的形势与问题网络互联的全球化政府，商业和个人使用网络网络系统的复杂性提出了很大安全挑战信息系统面临来自外部的威胁与风险如何提供对于信息系统安全的信心？如何评价信息系统的安全保障能力或水平？CNITSEC2019/8/8安全问题产生的根源与环节－理论－设计－实现－生产与集成－使用与运行维护CNITSEC2019/8/8如何达到系统的安全建立更安全的系统需要：充分定义的系统安全需求和安全规范设计良好的组成产品健全的系统安全工程实践合格的系统安全工程师全面的系统安全规划和生命周期管理对于产品/系统测试，评估，认证的合适尺度CNITSEC2019/8/8安全工程过程保证论据风险信息产品或服务工程过程Engineering保证过程Assurance风险过程RiskCNITSEC2019/8/8风险PA04：评估威胁威胁信息threat脆弱性信息vulnerability影响信息impact风险信息PA05：评估脆弱性PA02：评估影响PA03：评估安全风险风险就是有害事件发生的可能性一个有害事件有三个部分组成：威胁、脆弱性和影响。CNITSEC2019/8/8工程安全工程与其它科目一样，它是一个包括概念、设计、实现、测试、部署、运行、维护、退出的完整过程。SSE-CMM强调安全工程是一个大的项目队伍中的一部分，需要与其它科目工程师的活动相互协调。PA10指定安全要求需求、策略等配置信息解决方案、指导等风险信息PA08监视安全态势PA07协调安全PA01管理安全控制PA09提供安全输入CNITSEC2019/8/8保证证据证据保证论据PA11验证和证实安全指定安全要求其他多个PAPA06建立保证论据保证是指安全需要得到满足的信任程度SSE-CMM的信任程度来自于安全工程过程可重复性的结果质量。CNITSEC2019/8/8•计划执行•规范化执行•跟踪执行•验证执行•定义标准过程•协调安全实施•执行已定义的过程•建立可测量的质量目标•客观地管理过程的执行1非正式执行2计划与跟踪3充分定义4量化控制5连续改进•执行基本实施•改进组织能力•改进过程的有效性安全工程过程能力的成熟度公共特性CNITSEC2019/8/8能力级别0：未实施能力级别1：非正式实施公共特征1.1—执行基本实施GP1.1.1—执行过程能力级别2：计划和跟踪公共特征2.1—规划执行GP2.1.1—分派资源GP2.1.2—分配责任GP2.1.3—文档化过程GP2.1.4—提供工具GP2.1.5—保证培训GP2.1.6—规划过程公共特征2.2—规范化执行GP2.2.1—使用计划、标准和程序GP2.2.2—进行配置管理公共特征2.3—验证执行GP2.3.1—验证过程一致性GP2.3.2—审计工作产品公共特征2.4—跟踪执行GP2.4.1—使用测量跟踪GP2.4.2—采取修正措施能力级别3：充分定义公共特征3.1–定义标准过程GP3.1.1–过程标准化GP3.1.2–裁剪标准过程公共特征3.2–执行已定义过程GP3.2.1–使用充分定义的过程GP3.2.2–执行缺陷复查GP3.2.3–使用充分定义的数据公共特征3.3–协调实施GP3.3.1–执行组内协调GP3.3.2–执行组间协调GP3.3.3–执行外部协调能力级别4：定量控制公共特征4.1–建立可测的质量目标GP4.1.1–建立质量目标公共特征4.2–客观地管理执行GP4.2.1–确定过程能力GP4.2.2–使用过程能力能力级别5：连续改进公共特征5.1–改进组织能力GP5.1.1–建立过程效力目标GP5.1.2–连续改进标准过程公共特征5.2–改进过程有效性GP5.2.1–执行因果分析GP5.2.2–消除缺陷原因GP5.2.3–连续改进已定义过程CNITSEC2019/8/8安全工程生命周期CNITSEC2019/8/82、生命周期各阶段过程域介绍生命周期与相关的过程域各个过程域介绍CNITSEC2019/8/8生命周期描述相关过程域挖掘安全需求本阶段的目标是帮助用户理解信息系统的任务需求，确定安全策略。挖掘安全需求涉及用通用语言描述信息系统的任务需求及所需要的信息安全保护策略。系统定义（PSD）评估威胁（PAT）评估脆弱性（PAV）评估影响（PAI）评估安全风险（PAR）确定安全要求（PSR）定义安全要求在信息系统安全过程中，必须安全要求其进行合理定义，以便信息系统结构概念能够在集成的、一致的系统工程过程中得以开发。设计体系结构设计体系结构涉及从概要规范往下到低层实现不同的抽象级别上对信息系统的体系结构逐步进行细化。提供安全输入（PPI）高层安全设计（PHD）详细安全设计（PDD）详细安全设计详细安全设计，应该详细说明信息系统的设计方案，包含产生低层产品规范，或者完成开发中的配置项的设计，或者规定并调整所购买的配置项的选择。实施系统安全实施系统安全的目的是构造、购买、集成、验证组成信息保护子系统的配置项集合并使之生效。安全工程实施（PEI）协调安全（PCS）监控安全态势（PMP）管理安全控制（PAC）有效性评估有效性评估的目的是保证信息系统能够满足用户的安全要求。评估活动在系统生命期内任何时间都可进行，以支持在已知环境中对开发、维护和运行系统做出决策。验证和证实安全（PVV）建立保证论据（PBA）CNITSEC2019/8/8系统定义（PSD）信息系统使命信息系统概述信息系统详细描述•管理体系•技术体系•业务体系信息系统标识信息系统环境描述信息系统评估边界和接口描述信息系统安全域描述管理体系技术体系业务体系组织机构描述管理制度、法规描述网络基础设施描述技术应用描述适用技术标准描述主要业务应用描述业务流程描述业务信息流描述系统资产描述CNITSEC2019/8/8评估威胁（PAT）评估威胁过程类的目的在于识别安全威胁及其性质和特征。目标:对系统安全的威胁进行标识和特征化。信息安全过程规范元素1．识别自然威胁2．识别人为威胁3．识别威胁的测量块4．评估威胁影响的效力5．评估威胁的可能性6．监视威胁及其特征CNITSEC2019/8/8评估脆弱性（PAV）在于识别和特征化系统的安全脆弱性。目标获得对一确定环境中系统安全脆弱性的理解。信息安全过程规范元素1.选择脆弱性分析方法2.识别脆弱性3.收集脆弱性数据4.合成系统脆弱性5.监视脆弱性及其特征的不间断变化。CNITSEC2019/8/8评估影响（PAI）评估影响的目的在于识别对该系统有关系的影响，并对发生影响的可能性进行评估。影响可能是有形的，例如税收或财政罚款的丢失，或可能是无形的，例如声誉和信誉的损失。信息安全过程规范元素1.对影响力进行优先级排序2.识别系统资产3.选择影响的度量标准4.标识度量标准关系5.识别和特征化影响6.监视影响中的变化CNITSEC2019/8/8评估安全风险（PAR）评估安全风险的目的在于识别出一给定环境中涉及到对某一系统有依赖关系的安全风险。目标获得对在一给定环境中运行该系统相关的安全风险的理解。信息安全过程规范元素1.选择风险分析方法2.识别威胁/弱点/影响的组合。3.评估与上述组合相关的风险。4.评估上述组合及风险的总体不确定性。5.排列风险的优先级。6.监视风险的系列和特征的变化。CNITSEC2019/8/8确定安全要求（PSN)明确地为系统识别出与安全相关的需求。指定安全需求涉及定义系统安全的基本原则，以此满足有关安全的所有法律、策略、组织要求目标：所有部门，包括客户间达成安全要求的共识。信息安全过程规范元素：1理解客户的安全要求。2识别特定系统法律、策略、标准、外部影响和约束。3识别系统用途，以此决定安全的关联性。4获得系统操作的高层安全视图。5获得定义系统安全的高层目标。6一致地陈述将实施的安全措施。7征得客户满足安全需求的认可。CNITSEC2019/8/8提供安全输入（PPI）提供安全输入的目的在于为信息系统的规划者、设计者、实施者或用户提供他们所需的安全信息。这些信息包括安全体系结构、设计或实施选择以及安全指南信息安全过程规范元素1.理解安全输入要求2.确定安全约束和考虑3.分析工程选项的安全性CNITSEC2019/8/8高层安全设计（PHD）信息系统的高层安全设计包括系统的体系结构、设计和实现的需求，制定相应的设计原则和建议、安全体系结构建议、保护的原则，得到安全模型、安全体系结构，进行信任分析；确定所有的安全机制都能对应到高层安全设计，并且所有的高层安全设计都有具体的安全机制来保证。高层安全设计将功能安全规范细化成子系统。对于信息系统的每一个子系统，高层安全设计描述并标识出包含在子系统中的安全功能。高层安全设计也定义所有子系统之间的相互关系。信息安全过程规范元素1设计安全模型2设计安全体系结构CNITSEC2019/8/8详细安全设计（PDD）信息系统安全工程师分析设计的约束条件，分析折衷办法，进行详细的系统和安全设计并考虑生命周期支持；检查所有系统安全需求落实到了组件。最终的详细安全设计结果为实现系统提供充分的组件和接口描述信息。详细安全设计是方案设计的关键，是将从需求分析、风险分析直到得出的安全需求落实到安全机制、安全组件和安全产品等，对不可接受的风险的全面应对措施、安全问题详细解决方案的制订过程。信息安全过程规范元素1分配安全机制2确定安全产品3系统接口设计和优化3提供安全工程指南CNITSEC2019/8/8安全工程实施（PEI）信息系统安全工程师把系统设计转移到运行，参与对所有系统问题的多学科综合分析，并为认证认可活动提供输入。安全工程实施不仅包括系统的建设和安装调试，也包括系统的测试和交付过程，为系统用户提供必要的培训和一些安全运行维护管理手册是系统安全可靠运行所必需的信息安全过程规范元素1工程的实施2系统的试运行3系统的测试4工程的交付5安全培训6提供用户指南CNITSEC2019/8/8协调安全（PCS)安全协调的目的在于保证所有部门都有一种参与安全工程的意识。由于安全工程不能独立地取得成功，所以这种参与工作是至关重要的。这种协调性涉及到保持安全组织、其他工程组织和外部组织之间的开放交流。多种机制可以用于在这些部门之间协调和沟通安全工程的决定和建议，包括备忘录、文档、电子邮件、会议和工作组。信息安全过程规范元素1定义协调目标2识别协调机制3促进协调4协调安全决定和建议CNITSEC2019/8/8监视安全态势(PMP)监视安全态势的目的在于保证识别出并报告所有的安全违规、已尝试过的违规或能够潜在地导出安全违规的错误。监视外部和内部环境可能影响系统安全的所有因素。安全状态表明系统及其环境已准备好处理目前的威胁、脆弱性和对系统及其资源的任何影响。信息安全过程规范元素1分析事件记录2监视变化3识别安全突发事件4监视安全防护措施5检查安全状态6管理安全突发事件响应CNITSEC2019/8/8管理安全控制(PAC)管理安全控制的目的在于保证集成到系统设计中的已计划的系统安全确实由最终系统在运行状态下达到。信息安全过程规范元素1建立安全职责2管理安全配置3管理安全意识、培训和教育大纲4管理安全服务及控制机制CNITSEC2019/8/8验证和证实