第2章信息系统安全工程(ISSE)

1第2章ISSE过程2.1概述2.2发掘信息安全需求2.3定义信息安全系统2.4设计信息安全系统2.5实施信息安全系统2.6评估信息安全系统2.7ISSE的基本功能2.8ISSE实施框架2.9ISSE实施的案例本章小结2信息系统安全工程(ISSE)是对信息系统建设中涉及的多种要素按照系统论的科学方法来进行操作的一种安全工程理论，是系统工程学、系统采购、风险管理、认证和鉴定以及生命周期的支持过程的一部分，是系统工程过程的一个自然扩展。2.1概述3作为一种系统工程技术，ISSE不仅可以用来设计、实现独立的软硬件系统，还可以为集成的计算机系统的设计和重构提供服务。它可以与设计者和工程人员提供的设计要素，以及面向开发者、管理者、用户的接口相结合，在投资额度和成本的限制下，使整体系统获得最大的安全性能。这也反映了对待ISSE的实施方法，即总的指导思想是将安全工程与信息系统开发集成起来。ISSE是系统工程(SE)的一个子部分。4通常SE可以分为发掘需求、定义系统、设计系统和实施系统4个阶段，以及贯穿于各阶段的评估有效性部分，如图1-10所示，而ISSE过程也分为发掘信息安全需求、定义信息安全系统、设计信息安全系统、实施信息安全系统和评估信息安全系统等阶段。ISSE与SE的关系如图2-1所示。5图2-1ISSE与SE的关系6ISSE贯穿于系统工程的全过程，这些过程都具有公共的要素：发现需求、定义系统功能、设计系统元素、开发和安装系统、评估系统有效性等。ISSE的主要活动包括：(1)分析并描述信息保障的用户愿望。(2)在系统工程过程的早期，基于愿望产生信息保障的需求。(3)确定信息保护的级别，以一个可接受的信息保障的风险水准来满足要求。(4)根据需求，构建一个功能上的信息保障体系结构。(5)根据物理体系结构和逻辑体系结构分配信息保障的具体功能。7(6)设计信息系统，实现信息保障的功能构架。(7)考虑成本、规划、进度和操作的适宜性及有效性等因素，平衡信息保障风险与其他的ISSE问题。(8)研究与其他的信息保障和系统工程原则如何进行权衡。(9)将ISSE过程与系统工程和采购过程集成。(10)测试与评估系统，验证是否达到设计保护的要求和信息保障的需求。(11)创建并保留标准化的文档。8(12)为用户部署系统，并根据其需要，调整系统，继续进行生命周期内的安全支持。为确保信息保障能顺利地被纳入到整个系统，应该从设计系统工程之初便考虑ISSE，应当随着系统工程的每一个步骤，考虑信息保护的对象、保护需求、功能、构架、设计、实现以及测试等各方面技术和非技术的因素，使信息保障能够在特定系统中得到最好的优化。ISSE的体系结构是一个顺序结构，前一项的结果是后一项的输入，具有严格的顺序性，是按照时间维的发展。违背这种顺序性将导致系统建设的盲目性，最终会导致信息系统安全工程建设的失败。9ISSE过程首先要了解用户的工作任务需求、相关政策、法规、标准、惯例，以及在使用环境中受到的威胁，然后确认系统的用户、他们的行为特点、在信息保护生命周期各阶段的角色、责任和权力等。信息保护的需求应该来自用户的角度，并且不能对系统的设计和实施有过度的限制。一般是通过了解任务的信息保护需求、掌握对信息系统的威胁和考虑信息安全策略等过程来发掘信息安全的需求，如图2-2所示。2.2发掘信息安全需求10图2-2发掘信息安全需求112.2.1了解任务的信息保护需求ISSE首先需要考虑系统任务可能受到的各方面的影响(包括人的因素和系统的因素)，以及可能造成的各方面的损失，例如泄密、数据被篡改、服务不可用、操作抵赖等。用户通常都明白他们所需要的任务信息的重要性，但在确定这些信息需要何种保护，以及达到怎样的保护级别时，可能会一筹莫展。为了科学地了解任务的信息保护需求，需要帮助用户弄清楚什么信息在受到了何种破坏时会对系统的任务造成危害。12在这种要求下，ISSE需要做的是：①帮助用户对信息处理的过程建模；②帮助用户定义对信息的各种威胁。③帮助用户确定信息的保护次序和等级；④制定信息保护策略；⑤与用户协调、达成一致。与用户进行交互是ISSE的必不可少的环节，在参考用户意见的基础上，评估信息和系统对任务的重要性，并确保任务需求中包含了信息保护的需求、系统功能中包含了信息保护的功能。这个环节要达到的目标是：一份满足用户在资金、安全、性能、时间等各方面要求的信息系统保护框架，其中至少要包含以下几个方面：13(1)被处理的信息是什么？属于何种类型(涉密信息、金融信息、个人隐私信息等)？(2)谁有权处理(初始化、查看、修改、删除等)这些信息？(3)授权用户如何履行其职责？(4)授权用户使用何种工具(硬件、软件、固件、文档等)进行处理？(5)用户行为是否需要监督(不可否认)？在这个环节，ISSE的工作需要用户的全程参与，共同研究信息系统的角色，使信息系统更好地满足用户的任务要求。142.2.2掌握对信息系统的威胁对信息系统威胁，是指可以利用信息系统的脆弱性，可能造成某个有害结果的事件或对信息系统造成危害的潜在事实。ISSE需要在用户的帮助下，准确、详尽地定义出在信息系统的设计、生产、使用、维护以及销毁的过程中可能受到的威胁。通过分析信息系统的安全需求，找到安全隐患，应该从以下几个方面入手：(1)检测恶意攻击。指检测人为的、有目的性地破坏行为，这些破坏行为分为主动和被动两种。15主动攻击是指以各种方式有选择性地破坏信息，例如修改、删除、伪造、乱序等；被动攻击是指在不干扰系统正常工作情况下，进行侦听、截获、窃取、破译等。(2)了解安全缺陷。指了解信息系统本身存在的一些安全缺陷，包括网络硬件、通信链路、人员素质、安全标准等原因引起的安全缺陷。(3)掌握软件漏洞。因为软件的复杂性和编程方法的多样性，导致软件中有意或无意留下的一些漏洞，例如操作系统的安全漏洞、TCP/IP协议的漏洞、网络服务的漏洞等。16(4)分析结构隐患。主要是指网络拓扑结构的安全隐患，因为诸如总线型、星形、环形、树形等结构都有各自的优缺点，都存在相应的安全隐患。掌握对信息的威胁主体，应该涉及以下几个方面：①威胁主体的动机或意图；②威胁主体的能力；③威胁或攻击的途径；④主体及威胁存在的可能性；⑤影响或后果。172.2.3考虑信息安全的策略在了解了信息保护需求并掌握了系统面临的威胁之后，ISSE需要制定出信息安全策略。信息安全策略需要定义出：要保护什么，用什么保护方法，如何保护。制定策略的时候需要全面考虑相关的国家政策、法规、标准和惯例等。为达成这个目标，策略制定小组不仅需要系统工程师、ISSE工程师、用户代表，还需要信用机构、认证机构、设计专家，甚至是政府机构的参与。信息安全的策略要提供以下几方面：(1)法律和法规。所要遵循的相关法律和法规的要求。18(2)信息保护的内容和目标。确定要保护的所有信息资源，以及它们的重要性、所面临的主要威胁和需要达到的保护等级。(3)信息保护的职责落实办法。明确各组织、机构或部门的信息安全保护的责任和义务。(4)实施信息保护的方法。确定保护信息系统中的各种信息资源的具体方法。(5)事故的处理。包括应急响应、数据恢复等措施，以及相应的奖惩条款、监督机制等。19信息安全策略是分层的，一旦制定后，高层的策略一般是不会改变的，而下层的局部策略是可以根据具体情况而定，但不能与更高层的信息安全策略及其他有关政策相违背。信息安全策略必须由高层管理机构批准并颁布，在策略的贯彻过程中，应该使每个参与者都能够理解策略，并且理解为相同的含义。如果策略在某些地方不能得到贯彻，则一定要让其他参与者都知道这样做的后果。20定义信息安全系统，就是要确定信息安全系统将要保护什么，如何实现其功能，以及描述信息安全系统的边界和环境的联系情况。任务的信息保护需求和信息系统环境在这里被细化为信息安全保护的对象、需求和功能集合。一般是通过确定信息保护目标、描述系统联系、检查信息保护需求和功能分析等来定义信息安全系统，如图2-3所示。2.3定义信息安全系统21图2-3定义信息安全系统222.3.1确定信息保护目标信息保护目标与通常的系统对象具有相同的特性，例如对于信息保护需求的明确性、可测量性、可验证性、可追踪性等。确定信息保护对象，要保证它们的这些有效性度量(MoE，MeasureofEffectiveness)性质，在描述每个对象时需要说明以下内容：(1)信息保护目标支持系统中的什么任务对象？(2)有哪些与信息保护目标和任务相关的威胁？(3)失去目标会有什么后果？(4)受什么样的信息保护策略或方针的支持？232.3.2描述系统联系系统联系是信息安全系统的边界和环境，即系统与外界交互的功能和接口。在信息安全工程中，系统联系对于确定系统边界并实施保护是很重要的，任务目标、任务信息处理、系统威胁、信息安全策略、设备等都极大地影响着系统边界与环境，因此，描述系统联系需要做以下工作：(1)在系统的任务处理过程、与其他系统和环境之间确定物理的和逻辑的边界。(2)描述信息的输入和输出、系统与环境之间或与其他系统之间的信号与能量的双向流动情况。242.3.3检查信息保护需求ISSE的系统信息保护需求检查任务是对上述过程中的分析(包括目标、任务、威胁、系统联系等)进行特征检查。当信息保护需求从最初的信息保障的用户愿望，经过充分定义，并演变为一系列的系统保护规范时，信息保护的需求能力可能出现缺失，因此，需要检查信息保护需求的正确性、完整性、一致性、依赖性、无冲突和可测试性等特征。252.3.4功能分析ISSE使用许多系统工程工具来理解信息保护功能，并将功能分配给系统中各种信息保护的配置项。在定义信息安全系统中，对功能进行分析，必须分析备选系统体系结构、信息保护配置项，以及信息保护子系统是如何成为整个系统的一部分，这些功能是否能达到原本设定的目标，并理解它们如何才能与整个系统协调工作。26明确目标系统后，将构造信息系统的体系结构，详细说明信息保护系统的设计方案，这时ISSE工程师要进行功能分配、信息保护预设计和详细信息保护设计等工作，如图2-4所示。2.4设计信息安全系统27图2-4设计信息安全系统282.4.1功能分配当某种系统功能被定位到人、软件、硬件或固件上后，同时也就附上了相对应的信息保护功能。ISSE应该为系统制定一个理论和实践上都可行的、协调一致的信息保护系统体系构架。功能分配过程包括以下内容：(1)提炼、验证并检查安全要求与威胁评估的技术原理。(2)确保一系列的低层要求能够满足系统级的要求。(3)完成系统级体系结构、配置项和接口定义。292.4.2信息保护预设计在需求和构架已经确定的前提下，ISSE进入了信息保护的预设计阶段。在这一阶段，ISSE工程师将制定出系统建造的规范，其中至少包括：(1)检查、细化并改进前期需求和定义的成果，特别是配置项的定义和接口规范。(2)从现有解决方案中找到与配置项一致的方案，并验证是否满足高层信息保护要求。(3)加入系统工程过程，并支持认证/认可(C/A)和管理决策，提出风险分析结果。302.4.3详细的信息保护设计进一步完善配置级方案，细化底层产品规范，检查每个细节规范的完整性、兼容性、可验证性、安全风险和可追踪性等。详细设计包括以下内容：(1)检查、细化并改进预设计阶段的成果。(2)对解决方案提供细节设计资料以支持系统层和配置层的设计。(3)检查关键设计的原理和合理性。(4)设计信息保护测试与评估程序。31(5)实施并追踪信息保护的保障机制。(6)检验配置项层设计与上层方案的一致性。(7)提供各种测试数据。(8)检查和更新信息保护的风险与威胁计划。(9)加入系统工程过程，并支持认证/认可(C/A)和管理决策，提出风险分析结果。32这一阶段的目标是，将满足信息安全需求的信息保护子系统中的各配置项购买或建造出来，然后组装、集成、检验、认证和评估其结果，如图2-5所示。2.5实施信息安全系统33图2-5实施信息安全系统342.5.1采购部件一般来说，要根据市场产品的研究、偏好和最终的效果，来决定是购买还是自行生产的方式来取得部