ch3信息安全工程实施

第三章信息安全工程实施内容2信息安全工程监理安全工程实施信息安全工程实施信息安全工程各方职责监理阶段目标ISSE安全工程过程发掘信息保护需求实施信息保护系统评估信息保护系统的有效性定义信息保护系统设计信息保护系统信息安全工程监理模型ISSE安全工程过程3ISSE：美国军方在20世纪90年代初发布的信息安全工程方法，1994年出版《信息系统安全工程手册v1.0》理解ISSE的含义：将系统工程思想应用于信息安全领域，在系统生命周期的各阶段充分考虑和实施安全措施理解ISSE阶段划分及各阶段的主要工作内容ISSE安全工程过程4系统生命周期就是系统从产生构思到不再使用的整个生命历程概念与需求定义系统功能设计系统开发与获取系统实现与测试系统维护与废弃系统工程SE系统生命周期产生不再使用ISSE安全工程过程•信息系统安全工程（InformationSystemSecurityEngineering—ISSE）发掘信息保护需求定义信息保护系统设计信息保护系统实施信息保护系统评估信息保护系统的有效性ISSESE概念与需求定义系统功能设计系统开发与获取系统实现与测试系统维护与废弃5发掘信息保护需求•理解风险评估结果是安全需求的重要决定因素•理解国家政策法规和合同协议等符合性要求是安全需求的重要决定因素6发掘信息保护需求•本阶段的主要活动–对信息管理过程进行建模–定义信息威胁–确立信息保护需求的优先次序–准备信息保护策略–获得用户/使用者的许可确保任务需求中包含了信息保护需求，系统功能中包含了信息保护功能，系统中包含信息保护体系结构和机制7发掘信息保护需求•发掘信息保护需求过程8发掘信息保护需求•发掘信息保护需求主体9发掘信息保护需求•发掘信息保护需求--子任务––任务-01.1分析机构的任务––任务-01.2判断信息对机构任务的关系和重要性––任务-01.3确定法律和法规的要求––任务-01.4确定威胁的类别––任务-01.5判断影响––任务-01.6确定安全服务––任务-01.7记录信息保护需求––任务-01.8记录安全管理的角色和责任10发掘信息保护需求•发掘信息保护需求--子任务––任务-01.9标识设计约束––任务-01.10评估信息保护的有效性•子任务-01.10.1提供/展示文档化的信息保护需求•子任务-01.10.1对信息保护需求的认同––任务-01.11支持系统的认证和认可（C&A）•子任务-01.11.1标识指派的批准官员（DAA）/认可员•子任务-01.11.2标识认证专家（CA）/认证员•子任务-01.11.3确定可适用的C&A和采办过程•子任务-01.11.4确保认可员和认证员对信息保护需求的认同11发掘信息保护需求•风险评估结果是安全需求的重要决定因素–一切工程皆有需求–信息安全工程的需求并不是工程的起点–信息安全工程的需求应从风险评估结果分析中得出–需求与风险的一致性越强，则需求越准确–因此信息安全工程应从风险着手，制定需求，这也符合信息安全保障（IA）的思想12发掘信息保护需求•案例1–某部委每年开展信息安全风险评估工作，定期根据评估结果确定信息安全工程建设项目。风险评估结果解决方式市、省、国均可实现网络层未授权的互访部署防火墙产品未授权访问过程没有监控和审计措施部署IDS产品没有能力识别未授权访问所使用恶意程序或代码部署防病毒产品边界防护体系建设13发掘信息保护需求•案例1–某部委每年开展信息安全风险评估工作，定期根据评估结果确定信息安全工程建设项目。风险评估结果解决方式私自修改主机、网络设备配置参数部署网络和主机设备的安全审计产品内外网混用、私接网线部署网络准入控制产品非法拷贝、篡改数据库数据部署数据库审计内部防范体系建设14发掘信息保护需求•案例2–2008年某单位部署完成网络准入系统，有效降低了终端的安全风险。–降低了内网安全风险15发掘信息保护需求•案例2–2008年某单位部署完成网络准入系统，有效降低了内网终端的安全风险。–2009年开展风险评估，提出应用层安全防护能力薄弱是其最主要风险–识别了主要风险在于外网，并且是应用层次16发掘信息保护需求•案例2–2008年某单位部署完成网络准入系统，有效降低了内网终端的安全风险。–2009年开展风险评估，提出应用层安全防护能力薄弱是其最主要风险–2010年开展安全项目建设，却部署了桌面防护系统–建设内容和效果却没有解决外网应用层的隐患，反而放在了内部安全防范和审计上，导致效率低下、重复投资，资源浪费。17发掘信息保护需求•案例3–某单位委托中国信息安全测评中心对其信息安全设计方案进行评审，希望能够在网络鲁棒性、安全性和产品选用的正确性等方面给出评审意见–其信息安全设计方案中的内容全部是对即将建设系统的愿景描述–中国信息安全测评中心认为无法满足其评审需求18发掘信息保护需求•案例3–原因分析：缺少对现有网络风险的描述，没有有效的需求提取与分析，无法找出有效的评审依据或基线，因此无法做到对方案的评审，或者提出的意见是协助其夯实风险识别的过程。19发掘信息保护需求合理性符合性安全工程建设的需求从哪里来？20发掘信息保护需求风险评估机制的引入，解决了工程建设需求合理性的问题，符合性的问题如何来解决？国家政策法规和合同协议等符合性要求也是安全需求的重要决定因素21发掘信息保护需求•案例–某单位因业务需求，欲实现机密级网络与非涉密业务专网非涉密数据的双向交换。–政策要求：机密级网络应与非涉密网络物理隔离–在机密级网络中划分秘密级的数据交换区（对网络进行降密处理），在非涉密业务专网建立专门的数据接收区，两区域都只处理非涉密数据–网络方案设计中描述的需求是秘密级网络与非涉密业务专网进行非涉密数据的可控数据交换，成功通过专家评审–政策法规既是紧箍咒，也是保护伞，既要严格遵守又要合理运用。22定义信息保护系统•理解信息安全必须与信息系统同步规划•理解信息系统用途、架构等特征对安全风险特征的影响23信息系统安全工程ISSE发掘信息保护需求定义信息保护系统设计信息保护系统实施信息保护系统评估信息保护系统的有效性24定义信息保护系统•信息安全是信息化的重要组成部分，信息化是业务发展的重要组成部分，应根据业务目标和信息系统的目标来确定信息安全保障策略–安全与业务发展是一个事物的两个方面，它们在一定的阶段和不同的范畴相互独立–安全与业务发展的矛盾在人上产生，又在人上统一和化解我们要保障的是业务的安全，不是简单的IT安全25定义信息保护系统261.网上银行和校园网BBS都是信息系统，需要得到同样级别的保护2.业务是业务，信息化是信息化，“井水与河水”彼此不干，不相往来3.信息中心不是业务部门4.信息中心只需做到网络不断、主机不停、数据不丢5.信息安全出问题，完全是信息中心的工作失职纠正错误认识定义信息保护系统•定义信息保护系统27定义信息保护系统•定义信息保护系统--子任务––任务-02.1定义系统安全背景环境•子任务-02.1.1定义系统边界及与SE的接口•子任务-02.1.2记录目标系统和外部系统的安全分配•子任务-02.1.3标识目标系统与外部系统之间的数据流以及与这些数据流有关的保护要求––任务-02.2定义安全运行概念（CONOPS）––任务-02.3制定系统安全要求基线•子任务-02.3.1定义系统安全要求•子任务-02.3.2定义系统安全操作模式•子任务-02.3.3定义系统安全性能测度––任务-02.4审查设计约束28定义信息保护系统•定义信息保护系统--子任务––任务-02.5评估信息保护的有效性•子任务-02.5.1向客户提供并展示安全背景环境、安全CONOPS及系统安全要求•子任务-02.5.2得到客户对系统安全背景环境、CONOPS及保护要求的认同––任务-02.6支持系统的认证和认可（C&A）•子任务-02.6.1确保认可员和认证员对系统安全背景环境、CONOPS及保护要求的认同29定义信息保护系统•信息安全工程建设应与信息化工程建设同步规划、同步设计、同步实施、同步验收–这是国家的政策要求（国信办【2006】5号文、发改高技【2008】2071号文）–这是业界的最佳实践，是规避和解决层出不穷的信息安全问题的最有效方式30定义信息保护系统•信息化建设与信息安全建设脱节的问题，往往是由于对系统缺乏安全方面的认识和了解，没有清晰、完整定义和描述信息系统，因此信息系统的决策层和管理层应树立以下认识：决策层和管理层只有树立良好的安全意识和原则，才能真正实现“高枕无忧”31定义信息保护系统321.“2071号文”明确提出了电子政务建设项目中的信息安全一票否决制2.“重应用，轻安全”，事前疏于防范，事后追悔莫及3.安全的发展滞后于业务的发展是诸多安全问题涌现的“罪魁祸首”4.方案设计要有安全部分，项目验收要做风险评估定义信息保护系统一期为了部署网闸，牺牲了四台浪潮服务器,新增购进了2台核心交换部署网闸，需要分别在不同安全级别的网络间建立数据交换区域，原有的设备存储过高密级信息，因此不能利旧，需要再增添存储设备，并且原有设备要进行销毁。建立专门的数据交换区域，需要再部署2台交换设备33定义信息保护系统二期为了部署网络准入，牺牲了一期部署的核心交换网络准入控制产品使用802.1X协议做网络层的访问控制和认证，因此认证机制和效果比较理想部署该产品的前提是交换机支持802.1X协议由于一期部署的交换设备没有考虑该因素，并不支持802.1X，因此刚部署的交换机需要再次更换EAD服务器34定义信息保护系统三期为了部署网络行为管理，机房从新布线部分网络行为管理产品由于缺乏整体设计考虑，导致一套产品出现了4个1U的硬件（行为管理硬件、断电保护硬件、服务器等），加之网络是双链路，于是一个产品就需要8U的机柜位置，导致整个机房的布线、电源需要重新调整网络行为管理系统（双机热备）防火墙交换机互联网访问计算机路由器Internet35定义信息保护系统IPS行为管理防毒墙F5防火墙网络准入网闸流量管理明年还要串什么一期为了部署网闸，牺牲了四台浪潮服务器,新增购进了2台核心交换二期为了部署网络准入，牺牲了一期部署的核心交换三期为了部署网络行为管理，机房从新布线明年的四期规划正在制定，还未实现……36定义信息保护系统•信息系统用途、架构等特征对安全风险特征的影响–任何系统都是有风险的–同样一项IT技术应用在不同的业务系统中，其风险程度不一定相同，甚至千差万别–同等的应用系统，采用不同的技术架构，其安全风险也是不同的37定义信息保护系统38高风险低风险网上银行系统和某公司的内部办公系统，同样采用Oracle数据库，但是两个系统面临的安全风险是完全不同的定义信息保护系统同样部署在省级单位的税务综合征管系统数据库，在A省采用汇聚交换机，集中管理方式；在B省采用直连核心交换机，分散管理方式。两种不同的部署方式，也使得其面临的风险迥异A省B省39定义信息保护系统•综上，从信息安全工程/保障的角度定义或描述信息系统时，应以保障业务安全的思想为基础，清楚认识业务安全风险以及为业务提供服务/支撑的信息系统的安全风险，从而科学、全面地认识信息系统及其安全属性。40设计信息保护系统•理解信息安全必须与信息系统同步设计•理解根据安全需求有针对性地设计安全措施的必要性41信息系统安全工程ISSE发掘信息保护需求定义信息保护系统设计信息保护系统实施信息保护系统评估信息保护系统的有效性42设计信息保护系统•定义与设计的区别43设计信息保护系统•设计步骤44设计信息保护系统•设计信息保护系统–构造系统的体系结构，详细说明信息保护系统的设计方案•精练、验证并检查安全要求与威胁评估的技术原理•确保一系列的低层要求能够满足系统级的要求•支持系统级体系结构、配置项和接口定义•支持长研制周期和前期的采购决策•定义信息保护的检验和认证的步骤及战略•考虑信息保护的操作和生命周期支持问题•继续跟踪、精炼信息保护相关的采办和工程管理计划及战略•继续进行面向具体系统的信息保护风险审查和评估•支持认证和认可过程•加入系统工程过程45设