信息安全工程-信息系统安全工程过程

信息系统安全工程过程Addyourcompanyslogan本章学习目标了解ISSE过程的基本功能和实施框架掌握ISSE过程的各个阶段的实施要点理解ISSE过程的应用中国著名科学家钱学森院士认为：系统工程是组织管理系统规划、研究、制造、实验、使用的科学方法，是一种对所有系统都具有普遍意义的科学方法。系统工程是软科学不同于一般的工程技术学科，如水利工程、机械工程等“硬”工程；系统工程偏重于工程的组织与经营管理一类“软”科学的研究。系统工程大致可分为系统开发、系统制造和系统运用等3个阶段，而每一个阶段又可分为若干小的阶段或步骤。2.1信息系统安全工程概述霍尔三维结构图（霍尔的系统工程）2.1信息系统安全工程概述系统指标设计知识维（专业、行业）逻辑维（工作步骤）工程技术医学社会科学规划计划系统开发制造安装运行更新明确问题系统综合系统分析决策最优化实施计划早期的信息安全工程方法理论来自于系统工程（SE）过程的方法。2.1信息系统安全工程概述发掘需求定义系统设计系统实施系统评估有效性用户/用户代表2.1信息系统安全工程概述在SE基础上，美国军方提出了信息系统安全工程（ISSE），在1994年2月28日发布《信息系统安全工程手册v1.0》。1987年，卡内基·梅隆大学软件研究所提出了软件过程能力成熟度模型（CMM），1991年推出1.0版。1993年5月，美国家安全局采用CMM方法学，针对安全方面的特殊需求，首次提出信息安全工程能力成熟度模型（SSE-CMM）。1996年8月，公共系统安全工程（FPSSE）CMM工作组公布SSE-CMM第1个版本，1997年4月SSE-CMM评估方法。1999年4月SSE-CMMv2.0和SSE-CMM评定方法v2.0。2002年3月，SSE-CMMv2.0被接受为ISO/IEC21827《信息技术-系统安全工程-能力成熟度模型》。两种典型的信息安全工程实施方法对比：ISSE按照时间维描述；SSE-CMM以工程域维和能力维来描述；SSE-CMM不局限于只指导军方的信息安全工程实践，通过标准化、公开化，获得社会各方面工程的安全保证。2.1信息系统安全工程概述ISSE指导思想以满足用户安全需求为目的以系统风险分析为基础以系统工程的方法论为指导以技术、运行、人作为要素安全技术以纵深防御为支撑以生命期支持保证运行安全安全管理以安全实践为基础安全质量以测评认证为依据质量保证以动态安全原理（PDCA）为方法2.1信息系统安全工程概述信息系统安全工程的基本功能ISSE基本功能安全规划与控制确定安全需求支持安全设计分析安全操作支持安全生命周期管理安全风险信息系统安全工程的实施框架信息系统安全保障工程实施简要框架发掘信息安全需求定义信息安全系统设计信息安全系统实施信息安全系统评估信息安全系统调查/分析/立项阶段开发/采购/设计阶段实施阶段运行/维护阶段废弃阶段变更系统开发生命周期（SDLC）信息系统安全工程（ISSE）规划系统安全保障方案设计安全保障工程实施设计·安全工程实施方案·安全监理方案·……工程实施运行维护信息系统安全保障工程实施框架需求分析风险评估试运行系统废弃变更成果·规划报告·需求分析报告·风险分析报告·立项报告·……·安全保障方案·……·安全工程实施方案·安全监理方案·项目管理方案·……·验收报告·安全评估报告·……·风险评估报告·安全评估报告·安全认证证书·……里程碑▲▲▲▲▲批准立项批准工程实施批准投入运行批准变更批准废弃·废弃验收报告·……信息系统安全工程的实施框架ISSE过程计划的具体实现系统生命周期的调查/分析/立项阶段、开发/采购/设计阶段、实施阶段和运行/维护阶段。调查/分析/立项阶段该阶段是发掘信息安全需求的阶段此阶段需要完成工程规划、需求分析和风险评估过程，形成相应的规划报告、需求分析报告、风险评估报告、可行性报告等，并进行综合形成最终的立项报告进行评审。开发/采购/设计阶段该阶段是定义和设计信息安全系统的阶段。此阶段需要形成相应的设计文档，包括：安全保障方案、安全保障工程实施方案、安全保障监理方案、安全服务方案等。信息系统安全工程的实施框架实施阶段该阶段是对信息安全系统进行工程实施和试运行过程的阶段此阶段需要完成验收报告、安全评估报告等。运行/维护阶段该阶段是在系统运行过程中评估信息系统有效性的阶段。此阶段需要完成测试报告、评估报告、认证证书等，或者说，在运行阶段，可根据需要进行安全测试等安全服务，定期进行风险评估和系统评估，并进行系统认证。废弃阶段该阶段是系统生命周期的终结。需要完成系统废弃验收报告。信息安全需求发掘是信息系统安全工程重要的一步，是完成信息系统安全工程的基础。整个过程大致分为了解信息保护需求、掌握信息系统威胁以及考虑信息安全策略三个部分。过程图2.2信息安全需求的挖掘了解信息保护需求首先要考虑的是存在哪些信息威胁以及这些威胁会带来怎样的损失帮助用户分析信息和业务流程的关系对系统资源的调查和资源的价值的分析完成系统风险的排序，对信息进行分级划分，根据相应的排序最终形成系统的安全策略掌握信息系统威胁信息系统的脆弱性体现在信息系统的威胁当中。一个信息系统主要受到的威胁大致来自于以下几个方面：2.2信息安全需求的挖掘恶意攻击系统漏洞系统本身的缺陷考虑信息安全策略信息安全策略是一个组织解决信息安全问题最重要的步骤，也是组织整个信息安全体系的基础。信息安全策略的保护对象包括硬件与软件、数据和人员。整个安全策略的制定过程包括：确定信息安全策略的范围、风险评估/分析或者审计以及信息安全策略的审查、批准和实施。制定信息安全策略的目的如下：2.2信息安全需求的挖掘如何使用组织中的信息系统资源如何处理敏感信息如何采用安全技术产品信息系统安全要求是每一个信息系统进行安全建设时必须明确的。一般信息安全系统定义分为以下几个部分：确定信息保护的目标、描述信息系统联系、检查信息保护需求以及信息系统的功能分析。信息安全系统定义图2.3信息系统安全的定义2.3信息系统安全的定义确定信息保护的目标在描述信息系统中的保护对象时通常有以下的度量：描述信息系统联系信息系统联系指的是信息系统的安全背景环境，即与外界交互的功能接口。检查信息保护需求信息保护需求从用户的期望经过协商定义后被转换成一系列的安全标准规范，对这些安全标准规范进行查缺补漏时需要满足正确性、完整性、一致性、不可否认性等特征。信息系统的功能分析信息保护目标对系统中的哪些对象提供支持信息保护的目标会面临哪些威胁所保护的目标在被威胁攻破后会带来怎样的后果用怎样的保护策略来支持相应的信息保护目标信息系统安全工程师要与系统工程师合作，一起分析待建系统的体系结构，完成功能的分析和分配、信息保护预设计以及信息保护详细设计等工作。2.4信息系统安全的设计功能分配功能分配过程要做到：人、软件、硬件功能对应整个功能分配过程如下：提炼、验证并检查安全要求与威胁评估的技术原理。确保一系列的低层要求能够满足系统级的要求。完成系统级体系结构、配置项和接口定义。2.4信息系统安全的设计确定安全系统的组件或要素。将安全功能分配给这些要素，并描述这些要素间的关系。信息保护预设计分析设计约束和均衡取舍。具体包括以下内容：制定出系统建造的规范：根据之前分析系统安全体系结构的结果，对已经定义好的安全功能进行检查和修改。选择相应的安全机制类型，验证并保证满足所有的安全需求。加入系统工程过程，对信息保护预设计进行审查，包括认证/认可（C/A）、管理决策和风险分析等。2.4信息系统安全的设计检查、细化并改进前期需求和定义的成果，特别是配置项的定义和接口规范。从现有解决方案中找到与配置项一致的方案，并验证是否满足高层信息保护要求。加入系统工程过程，并支持认证/认可（C/A）和管理决策，提出风险分析结果。信息保护详细设计进一步完善方案、细化规范、检查细节：检查、细化并改进预设计阶段的成果。对解决方案提供细节设计资料以支持系统层和配置层的设计。检查关键设计的原理和合理性。设计信息保护测试与评估程序。实施并追踪信息保护的保障机制。检验配置项层设计与上层方案的一致性。提供各种测试数据。检查和更新信息保护的风险和威胁计划。加入系统工程过程，并支持认证/认可（C/A）和管理决策，提出风险分析结果。2.4信息系统安全的设计这一阶段的目标是采办、集成、配置、测试、记录和培训。结束标志是最终系统有效性行为评估，给出满足系统要求和任务需求的证据。2.5信息系统安全的实施实施信息安全系统采购部件建造系统测试系统采购部件根据市场产品的研究、偏好和最终的效果，来决定是购买还是自行生产的方式来获得。采购部件/系统应做到：确保考虑了全部相关的安全因素。察看现有产品是否能满足系统部件的需求，最好有多种产品可供选择。验证一系列潜在的可行性选项。考虑将来技术的发展，新技术和新产品如何运用到系统中去。2.5信息系统安全的实施建造系统确保已设计出必要的保护机制。要重视：部件的集成是否满足系统安全规范？部件的配置是否保证了必要的安全特性，以及安全参数能否正确配置以便提供所要求的安全服务？对设备、部件是否有物理安全保护措施？组装、建造系统的人员是否对工作流程有足够的知识和权限？2.5信息系统安全的实施测试系统给出测试计划、工作流程、测试用例、工具等，主要包括如下工作：检查、细化并改进设计信息安全系统的阶段结果。检验解决方案的信息保护需求和约束限制等条件，并实施相关的系统验证和确认机制与决策。跟踪实施与系统实施和测试相关的系统保障机制。鉴别测试数据的可用性。提供安全支持计划，包括逻辑上的、有关维护和培训等方面。加入系统工程过程，并支持认证/认可（C/A）和管理决策，提出风险分析结果。2.5信息系统安全的实施ISSE强调信息保护系统的有效性。有效性评估的重点：2.6信息系统安全的评估系统的互操作安全性，即系统是否通过外部接口正确地保护了信息？系统的可用性，即系统是否能给用户提供信息资源与信息保护？用户需要接受什么样的培训，才能正确地操作和维护信息保护系统？人机界面或接口是否有缺陷，从而导致出错？建造和维护信息系统的成本是否可以接受？确定风险和可能的任务影响，并提供报告。实例背景目前，现有大型企业的生产已经高度依赖企业的信息化和各类信息系统。信息系统稳定运行的决定因素始终都在于人员的操作。运行维护过程中发现目前的信息安全保障体系不能满足本单位信息化建设的需要时，要对保障体系进行新的规划和设计。该实例将基于ISSE过程对企业上机管理系统的安全保障工程建设进行详细的分析和说明。2.7信息系统安全实例上机管理系统安全需求的发掘该企业上机管理系统主要进行处理的是记录，管理企业内部使用者对互联网的记录。该系统的权限分为用户和管理员。该系统可分为管理员模块与用户模块。2.7信息系统安全实例上机管理系统安全的定义信息保护的内容主要为上机者的各种信息及系统自身的信息提供保护。保护基本要求可分为技术保护要求和管理保护要求。2.7信息系统安全实例信息保护目标和任务过程的相关威胁确保该系统满足五大信息安全基本性质的目标：根据网络安全PDRR模型（Protection、Detection、Reaction、Recorery，即防护、检测、响应、恢复）在4个方面建立安全技术体系。数据完整性：保证企业上机网络中用户之间传送的资源是完整的、未经篡改的数据包。可用性：保证合法上机用户在申请其权限之内的公共资源时，服务器能够提供其需要的资源。可靠性：保证在企业需要的时间段内，系统不会因为外部或内部攻击以及其他问题导致停止响应甚至崩溃的情况。数据机密性：保证任意用户的身份信息和用户口令等私密信息在系统中得到机密性保护。不可抵赖性