软件工程与安全

软件工程与安全北京华城瑞安网络技术有限公司杨磊1北京华城瑞安网络技术有限公司内容提纲•背景•如何实现安全过程模型3北华城瑞安网络技术有限公司组织：人－技术－过程CMM，CMMI都是面向过程的改进方法基于模型高品质的产品源于高品质的过程CMMI——过程管理过程域4北华城瑞安网络技术有限公司——项目管理过程域北华城瑞安网络技术有限公司——工程过程域6北华城瑞安网络技术有限公司——支持过程域7北华城瑞安网络技术有限公司•硬件故障•软件故障•支撑系统停机•文档泄密，信息泄漏，代码流失北华城瑞安网络技术有限公司•2004年，NT4.0和Windows2000源代码泄露•2004年，思科800M路由器源代码失窃•等等北华城瑞安网络技术有限公司•加强安全意识•关注应用层安全•持续改进•正确的评估方法北华城瑞安网络技术有限公司——OperationallyCriticalThreat,Asset,andVulnerabilityEvaluation的缩写，可操作的关键威胁、资产和弱点评估卡内基.梅隆大学软件工程研究所开发较早的安全风险评估方法•确定任务，上层管理者达成共识•选择分析团队成员•后勤协调员（可以是team内部，也可以是外部）•收集信息北华城瑞安网络技术有限公司阶段一——建立基于资产的威胁描述16北华城瑞安网络技术有限公司阶段一：建立基于资产的威胁描述步骤一：标识高级管理者知识步骤二：标识业务领域管理者知识步骤三：标识一般员工知识步骤四：建立威胁视图阶段二：标识基础结构漏洞步骤五：标识关键组件步骤六：评估选定的组件阶段三：制定安全策略和计划步骤七：执行风险分析步骤八：制定保护策略A步骤八：制定保护策略B标识高层管理者知识18•由高级管理者确定对组织来说最重要的资产•描述相关的厉害关系•为关键资产定义安全需求•标识当前的保护策略和存在的漏洞•评审评估范围北华城瑞安网络技术有限公司资产可以从下面几个方面来分类•信息•系统•软件•硬件•人员19北华城瑞安网络技术有限公司资产标识－访谈和提问20可以从下面几个方面来进行•您认为什么最重要的资产（五个方面选择）•您认为是否有其他资产需要保护•什么相关资产也是重要的•您选择的这些资产中，哪些是最重要的（1，2，3）•您选择的时候依据的是什么原则北华城瑞安网络技术有限公司关系描述－假想威胁21北华城瑞安网络技术有限公司资产故意行为意外行为系统问题其他问题敏感信息泄密重要信息被篡改信息毁坏访问、服务中断输出结果步骤完成的输出结果•重要资产表•危害关系•安全需求22北华城瑞安网络技术有限公司阶段一：建立基于资产的威胁描述步骤一：标识高级管理者知识步骤二：标识业务领域管理者知识步骤三：标识一般员工知识步骤四：建立威胁视图阶段二：标识基础结构漏洞步骤五：标识关键组件步骤六：评估选定的组件阶段三：制定安全策略和计划步骤七：执行风险分析步骤八：制定保护策略A步骤八：制定保护策略B标识业务管理者知识24几个特点•和第一个步骤操作方式一致•由业务部门的管理者来评估•标识重要资产－》厉害关系描述－》输出需求市场、研发、测试、商务、人力北华城瑞安网络技术有限公司阶段一：建立基于资产的威胁描述步骤一：标识高级管理者知识步骤二：标识业务领域管理者知识步骤三：标识一般员工知识步骤四：建立威胁视图阶段二：标识基础结构漏洞步骤五：标识关键组件步骤六：评估选定的组件阶段三：制定安全策略和计划步骤七：执行风险分析步骤八：制定保护策略A步骤八：制定保护策略B标识普通员工知识26几个特点•和前面步骤操作方式一致•由普通员工来评估•标识重要资产－》厉害关系描述－》输出需求北华城瑞安网络技术有限公司阶段一：建立基于资产的威胁描述步骤一：标识高级管理者知识步骤二：标识业务领域管理者知识步骤三：标识一般员工知识步骤四：建立威胁视图阶段二：标识基础结构漏洞步骤五：标识关键组件步骤六：评估选定的组件阶段三：制定安全策略和计划步骤七：执行风险分析步骤八：制定保护策略A方案步骤八：制定保护策略B方案标识威胁视图参与者•分析团队成员目标•挑选关键资产•关键资产的安全需求•每个关键资产面临的威胁•分析团队讨论•找出5个关键资产为止28北华城瑞安网络技术有限公司定义安全需求•针对每个关键资产分别定义•对原来的安全需求优化涵盖下面三个方面•机密性•完整性•有效性北华城瑞安网络技术有限公司阶段二——标识基础构架漏洞30北华城瑞安网络技术有限公司阶段一：建立基于资产的威胁描述步骤一：标识高级管理者知识步骤二：标识业务领域管理者知识步骤三：标识一般员工知识步骤四：建立威胁视图阶段二：标识基础结构漏洞步骤五：标识关键组件步骤六：评估选定的组件阶段三：制定安全策略和计划步骤七：执行风险分析步骤八：制定保护策略A步骤八：制定保护策略B标识关键组件32北华城瑞安网络技术有限公司阶段一：建立基于资产的威胁描述步骤一：标识高级管理者知识步骤二：标识业务领域管理者知识步骤三：标识一般员工知识步骤四：建立威胁视图阶段二：标识基础结构漏洞步骤五：标识关键组件步骤六：评估选定的组件阶段三：制定安全策略和计划步骤七：执行风险分析步骤八：制定保护策略方案A步骤八：制定保护策略方案B评估选定的资产341使用漏洞扫描工具对每个关键资产进行扫描2标识漏洞2漏洞分级•高——需要立即修补•中——需要很快修补•低——计划以后修补北华城瑞安网络技术有限公司阶段三——制定策略和计划35北华城瑞安网络技术有限公司阶段一：建立基于资产的威胁描述步骤一：标识高级管理者知识步骤二：标识业务领域管理者知识步骤三：标识一般员工知识步骤四：建立威胁视图阶段二：标识基础结构漏洞步骤五：标识关键组件步骤六：评估选定的组件阶段三：制定安全策略和计划步骤七：执行风险分析步骤八：制定保护策略A步骤八：制定保护策略B执行风险分析371风险包含对组织的威胁和影响程度风险=威胁+影响2建立风险视图北华城瑞安网络技术有限公司阶段一：建立基于资产的威胁描述步骤一：标识高级管理者知识步骤二：标识业务领域管理者知识步骤三：标识一般员工知识步骤四：建立威胁视图阶段二：标识基础结构漏洞步骤五：标识关键组件步骤六：评估选定的组件阶段三：制定安全策略和计划步骤七：执行风险分析步骤八：制定保护策略A步骤八：制定保护策略B制定保护策略和计划A制定保护策略B选择保护策略并制定执行计划39北华城瑞安网络技术有限公司•action1•action2保护策略风险消除计划行动列表输出41北华城瑞安网络技术有限公司保护策略长期(strategiestoenable,initiate,implementandmaintainsecuritywithintheorganization)风险消除计划中期(practicestomitigateriskstocriticalassets)行动列表立即(near-termactions)维护安全基础构架OCTAVE裁减42北华城瑞安网络技术有限公司阶段一：建立基于资产的威胁描述步骤一：标识高级管理者知识步骤二：标识业务领域管理者知识步骤三：标识一般员工知识步骤一：标识组织信息步骤四：建立威胁视图步骤二：建立威胁视图阶段二：标识基础结构漏洞步骤五：标识关键组件步骤六：评估选定的组件步骤三：检查关键资产相关的构件阶段三：制定安全策略和计划步骤七：执行风险分析步骤四：风险分析步骤八：制定保护策略A步骤五：制定保护策略步骤八：制定保护策略BOCTAVE是持续的43北华城瑞安网络技术有限公司•持续的改进循环•定义之外的实施需要监控更多信息44•OperationalRiskEvaluation–OperationallyCriticalThreat,Asset,andVulnerabilityEvaluationSM(OCTAVE®)北华城瑞安网络技术有限公司建议一：安全建设要恰到好处45反面例子•所有员工不能上网•员工不能上msn•员工不能发邮件原则•保护的对象是资产，人只是一个方面•不能为了保护资产而影响员工正常的知识更新北华城瑞安网络技术有限公司