isse-信息安全工程

1、.,信息安全工程-ISSE,Last Modified: 2012.12,.,一、概述,1、什么是信息安全工程； 2、为什么需要信息安全工程； 3、信息安全工程的发展；,.,什么是信息安全工程,信息安全保障问题的解决既不能只依靠纯粹的技术，也不能靠简单的安全产品的堆砌，它要依赖复杂的系统工程信息安全工程； 信息安全工程是采用工程的概念、原理、技术和方法，来研究、开发、实施与维护信息系统安全的过程，它是将经过时间考验证明是正确的工程实施流程、管理技术和当前能够得到的最好的技术方法相结合的过程。,.,为什么需要信息安全工程,信息安全的现状是比较脆弱的，在安全体制、安全管理等各个方面存在的问题十分严

2、重而突出，且不容乐观； 但也可以看到，从20世纪90年代中期到21世纪初，无论是政府部门、企业，还是个人用户，安全意识明显增强。在Internet发展的短短几年，人们对安全的理解，从早期的安全就是杀毒防毒，到后来的安全就是安装防火墙，到现在的购买系列安全产品，在一步一步地加深。但是应该注意到，这些理解依然存在着“头痛医头，脚痛医脚”的片面性，没有将信息安全问题作为一个系统工程来考虑对待； 由于信息安全保障问题的极端复杂性（具体表现在以下六个特性），因此在信息系统建设中必须遵循信息安全工程方法；,.,信息安全的特性,1）信息安全具有社会性 信息安全问题具有前所未有的广泛性和综合性，由于可能影响到

3、安全的因素不断增多，即使是一个简单的信息系统，也往往因为人机交互而涉及到组织结构、人员、物理安全、培训等方面的要求； 在面对每一个信息系统的安全保障问题时，都要考虑这个系统与非技术因素的交互，将其放在整个社会化的环境下考虑； 2）信息安全具有全面性 信息安全问题需要全面考虑，系统安全程度取决于系统最薄弱的环节；,.,信息安全的特性,3）信息安全具有过程性或生命周期性 一个完整的安全过程至少应包括安全目标与原则的确定、风险分析、需求分析、安全策略研究、安全体系结构的研究、安全实施领域的确定、安全技术与产品的测试与选型、安全工程的实施、安全工程的实施监理、安全工程的测试与运行、安全意识的教育与技术

4、培训、安全稽核与检查、应急响应等，这一个过程是一个完整的信息安全工程的生命周期，经过安全稽核与检查后，又形成新一轮的生命周期，是一个不断往复的不断上升的螺旋式安全模型；,.,信息安全的特性,4）信息安全具有动态性 信息技术在发展，黑客水平也在提高，安全策略、安全体系、安全技术也必须动态地调整，在最大程度上使安全系统能够跟上实际情况的变化发挥效用，使整个安全系统处于不断更新、不断完善、不断进步的动态过程中 ； 5）信息安全具有层次性 需要用多层次的安全技术、方法与手段，分层次地化解安全风险；,.,信息安全的特性,6）信息安全具有相对性 安全是相对的，没有绝对的安全可言； 首先，安全的动态性决定了

5、所谓的安全只能是相对于过去的安全，相对未来而言，当前的安全很可能会表现为不安全； 其次，安全不是目的，安全措施应该与保护的信息与网络系统的价值相称，因此，实施信息安全工程要充分权衡风险威胁与防御措施的利弊与得失，在安全级别与投资代价之间取得一个企业能够接受的平衡点，人们追求的是在适度风险下的相对安全，而非绝对的安全；,.,信息安全工程的发展,早期的信息安全工程方法理论来自于系统工程(SE)过程方法； 美国军方最早在系统工程理论基础之上开发了信息系统安全工程（ISSE），并于1994年2月28日发表了信息系统安全工程手册v1.0； 后来，在信息系统安全工程方法的发展上，出现了第二种思路：过程能力

6、成熟度的方法，其基础是CMM（能力成熟度模型）；,.,信息安全工程的发展,CMM的1.0版在1991年8月由卡内基-梅隆大学软件工程研究所发布； 同期，NSA也开始了对信息安全工程能力的研究，并选取了CMM的思想作为其方法学，正式启动了SSE-CMM系统安全工程能力成熟度模型研究项目； 1996年10月发布了SSE-CMM的1.0版本，继而在1997年春制定完成了SSE-CMM评定方法的1.0版本； 1999年4月，形成了SSE-CMMv2.0和SSE-CMM评定方法v2.0； 2002年3月，SSE-CMM得到了ISO的采纳，成为ISO的标准ISO/IEC 21827，冠名为信息技术系统安全

7、工程能力成熟度模型；,.,发掘信息保护需求,明确机构任务信息的保护需求； 考察信息系统面临的威胁； 根据信息威胁和信息保护政策、法规和标准制定信息保护策略；,.,定义系统安全要求,信息系统安全工程师要将信息保护需求分配到系统中。系统安全的背景环境、概要性的系统安全CONOPS以及基线安全要求均应得到确定； 在确定系统的安全背景环境时，需要定义系统的边界以及对SE的接口，并要将安全功能分配到目标系统和外部系统中，标识出目标系统和外部系统之间的数据流以及这些数据流的保护需求。IMM中的信息管理需求以及IPP中的信息保护需求均要在目标系统和外部系统中进行分配。在外部系统中的功能分配必须得到系统所有者

8、的同意； 信息系统安全工程师要确保所选择的解决方案集能够满足任务或业务的安全需求，系统边界已经得到协调，并确保安全风险可以达到可接受的级别。信息系统安全工程师将向客户提交安全背景环境、安全CONOPS以及系统安全要求，并得到客户的认同；,.,设计系统安全体系结构,信息系统安全工程师要与系统工程师合作，一起分析待建系统的体系结构，完成功能的分析和分配，同时分配安全服务，并选择安全机制。信息系统安全工程师还应确定安全系统的组件或要素，将安全功能分配给这些要素，并描述这些要素间的关系； 在本项活动中，信息系统安全工程师要与系统工程师合作，确保安全要求能正确地流向体系结构，且体系结构不会对安全造成削弱

9、； 信息系统安全工程师要负责向目标系统和外部系统分配安全要求，并确保外部系统可以支持这些安全要求； 信息系统安全工程师还要在此项活动中确定高层安全机制（例如加密和数字签名），这样，安全机制间的依赖性，例如密钥管理和加密，才能得到讨论和分配。信息系统安全工程师还要将安全机制与安全服务的强度相匹配，落实设计中的约束因素，分析并记录下发现的不足，实施互依赖分析，确定安全机制的可行性，并评估这些安全机制中存在的任何残余风险；,.,开展详细的安全设计,信息系统安全工程师应分析设计约束和均衡取舍，完成详细的系统和安全设计，并考虑生命周期的支持。信息系统安全工程师应将所有的系统安全要求跟踪至系统组件，直至无

10、一遗漏。最终的详细安全设计结果应反映出组件和接口规范，为系统实现时的采办工作提供充分的信息。,.,开展详细的安全设计,在本活动中，信息系统安全工程师将确保对安全体系结构的遵循，实施均衡取舍研究，并定义系统安全的设计要素，包括： 1） 向系统安全设计要素中分配安全机制； 2） 确定备选的商业现货（COTS）/政府现货（GOTS）安全产品； 3） 确定需要定制的安全产品； 4）检验设计要素和系统接口（内部及外部）； 5） 制定规范（例如CC的保护轮廓）；,.,实现系统安全,“实现系统安全”的目标是采办、集成、配置、测试、记录和培训，它使系统从设计转入运行。该项活动的结束标志是最终系统有效性评估行为

11、，给出系统满足要求和任务需求的证据； 在该阶段，信息系统安全工程师将： 1）提供对C&A过程的输入； 2）验证系统的确能够防御此前的威胁评估中确定的威胁； 3）跟踪或参与信息保护保障机制在系统实现和测试活动中的运用； 4）审查系统的生命周期计划、运行流程以及运转培训材料，并向这些文档提供输入； 5）实施正式的信息保护评估，为最终的系统有效性评估作出准备； 6）参与对所有系统事项作出的多学科检查；,.,实现系统安全,选择需要在解决方案中集成的具体安全产品是本阶段的工作任务之一。这些产品可通过购买、租用、借贷等多种选择来获得，影响选择的因素包括组件成本、可用性、形式以及适宜性。其它的因素包括系统组

12、件的依赖性效果、组件的最低性能可能对系统性能的影响以及组件或替代品在将来的可用性。不能购买的组件必须自制； 所有的接口均需要测试，系统和设计工程师将撰写测试流程，并通过集成测试将验证子系统或系统的性能； 在集成和测试时，重要的一项工作是记录下安装、操作、维护和支持的流程；,.,评估信息保护的有效性,评估信息保护的有效性”活动跨越了整个SE/ISSE过程。下表摘要描述了ISSE各项活动中的有效性评估任务。,.,.,.,四、风险分析,1、资产保护 2、风险管理,.,1、资产保护,任何有效的风险分析始于需要保护的资产和资源的鉴别 资产的类型一般可分成以下4类： 1） 物理资源：物理资源是具有物理形态

13、的资产。包括工作站、服务器、终端、网络设备、外围设备等，基本上，凡是具有物理形态的计算资源都是物理资源。 2）知识资源：和物理资源相比，知识资源更难鉴别，因为它只以电子的形式存在。知识资源可以是任何信息的形式，并且在组织的事务处理中起一定的作用。它包括软件、财务信息、数据库记录以及计划图表等。例如，公司通过电子邮件交换信息，这些电子报文的存储应看成知识资产。,.,资产的类型,3）时间资源：时间也是一个重要的资源，甚至是一个组织最有价值的资源。当评估时间损失对一个组织的影响时，应考虑由于时间损失引起的全部后果。 4）信誉（感觉）资源：在2000年2月，大部分网络公司诸如Yahoo、Amazon、

14、eBay和B等在受到拒绝服务攻击以后，他们的股票价狂跌。虽然这是暂时的，但足以说明消费者和股票持有者对他们的可信度确实存在影响，且可测量。,.,潜在的攻击源,潜在的网络攻击可来自任何能访问网络的源，这些源之间有很大差异，它依赖于一个组织的规模以及提供的网络访问的类型。 当作风险分析时，要能识别所有的攻击源。 这些攻击源包括内部系统、来自办公室的访问、通过广域网联到经营伙伴的访问、通过Internet的访问，以及通过modem池的访问等。,.,资产的有效保护,资产一旦受到威胁和破坏，就会带来两类损失 一类是即时的损失，如由于系统被破坏，员工无法使用，因而降低了劳动生产率；又如，ISP的在线服务中

15、断带来经济上的损失。 另一类是长期的恢复所需花费，也就是从攻击或失效到恢复正常需要的花费，例如，受到拒绝服务攻击，在一定期间内资源无法访问带来的损失；又如，为了修复受破坏的关键文件所需的花费等。 为了有效保护资产，应尽可能降低资产受危害的潜在代价。另一方面，由于采取一些安全措施，也要付出安全的操作代价。 信息安全最终是一个折中的方案，需要对危害和降低危害的代价进行权衡。,.,安全强度和安全代价,在评估时要考虑网络的现有环境，以及近期和远期网络发展变化的趋势。选用先进的安全体系结构和系统安全平台可减少安全操作代价，获得良好的安全强度。 除此之外，要获得安全强度和安全代价的折中，需要考虑以下因素：

16、 （1）用户的方便程度。不应由于增加安全强度给用户带来很多麻烦。 （2）管理的复杂性。对增加安全强度的网络系统要易于配置、管理。 （3）对现有系统的影响。包括增加的性能开销以及对原有环境的改变等。 （4）对不同平台的支持。网络安全系统应能适应不同平台的异构环境的使用。,.,安全强度和安全代价的折中,.,2、风险管理,从本质上讲，安全就是风险管理。 一个组织者如果不了解其信息资产的安全风险，很多资源就会被错误地使用。 通过风险识别，可以知道一些特殊类型的资产价值以及包含这些信息的系统的价值。,.,风险的概念,风险是构成安全基础的基本观念，风险是丢失需要保护的资产的可能性，如果没有风险，就不需要安

17、全了。 威胁漏洞风险 风险是威胁和漏洞的综合结果。 没有漏洞的威胁没有风险，没有威胁的漏洞也没有风险。,.,漏洞和威胁的关系,.,漏洞,漏洞是攻击的可能的途径。 漏洞有可能存在于计算机系统和网络中，它允许打开系统，使技术攻击得逞； 漏洞也有可能存在于管理过程中，它使系统环境对攻击开放。 漏洞的多少是由需要打开系统的技术熟练水平和困难程度来确定的，还要考虑系统暴露的后果 如果漏洞易于暴露，并且一旦受到攻击，攻击者可以完全控制系统，则称高值漏洞或高脆弱性。 如果攻击者需要对设备和人员投入很多资源，漏洞才能暴露，并且受到攻击后，也只能获取一般信息，而非敏感信息，则称低值漏洞或低脆弱性。,.,威胁,威

18、胁是一个可能破坏信息系统环境安全的动作或事件。 威胁包含以下3个组成部分： 1）目标：威胁的目标通常是针对安全属性或安全服务，包括机密性、完整性、可用性、可审性等。这些目标是在威胁背后的真正理由或动机。 2）代理，代理需要有3个特性 访问：一个代理必须有访问所需要的系统、网络、设施或信息的能力。 知识：一个代理必须具有目标的知识，有用的知识包括用户ID、口令、文件位置、物理访问过程、员工的名字、访问电话号码、网络地址、安全程序等。 动机：一个代理对目标发出威胁，需要有动机，通常动机是考虑代理攻击目标的关键特性。,.,威胁,根据代理的3个特性，应该考虑的代理可能是各种各样的，包括员工、和组织有关

19、的外部员工、黑客、商业对手、恐怖分子、罪犯、客户、访问者以及自然灾害等。 3）事件：事件是代理采取的行为，从而导致对组织的伤害。例如，一个黑客改变一个组织的Web页面来伤害它。另外要考虑的是假如代理得到访问会产生什么样的伤害。 常见的事件如下：对信息、系统、场地滥用授权访问；恶意地改变信息； 偶然地改变信息； 对信息、系统、场地非授权访问；被动地窃听通信；等等。,.,风险级别,风险可划分成低、中、高个级别： 1）低级别风险是漏洞使组织的风险达到一定水平，然而不一定发生。如有可能应将这些漏洞去除，但应权衡去除漏洞的代价和能减少的风险损失。 2）中级别风险是漏洞使组织的信息系统或场地的风险（机密性

20、、完整性、可用性、可审性）达到相当的水平，并且已有发生事件的现实可能性。应采取措施去除漏洞。 3）高级别风险是漏洞对组织的信息、系统或场地的机密性、完整性、可用性和可审性已构成现实危害，必须立即采取措施去除漏洞。,.,风险识别,对一个组织而言，识别风险除了要识别漏洞和威胁外，还应考虑已有的对策和预防措施,.,识别漏洞,识别漏洞时，从确定对该组织的所有入口开始，也就是寻找该组织内的系统和信息的所有访问点 这些入口包括Internet的连接、远程访问点、与其他组织的连接、设备的物理访问以及用户访问点等。 对每个访问点识别可访问的信息和系统，然后识别如何通过入口访问这些信息和系统，应该包括操作系统和

21、应用程序中所有已知的漏洞。,.,识别现实的威胁,一个目标威胁是对一个已知的目标具有已知的代理、已知的动机、已知的访问和执行已知的事件的组合。 例如，有一个不满意的员工（代理）希望得到正在该组织进行的最新设计的知识（动机），该员工能访问组织的信息系统（访问），并知道信息存放的位置（知识）。该员工正窥测新设计的机密并且企图获得所需文件。 识别所有的目标威胁是非常费时和困难的。可以变更一种方法，即假设存在一个威胁的通用水平，这个威胁可能包括任何具有访问组织信息或系统的可能性的人。,.,检查对策和预防措施,在分析评估攻击的可能途径时，必须同时检查如果漏洞真正存在，相应环境采取的对策和预防措施。这些预防措施包括防火墙、防病毒软件、访问控制、双因子身份鉴别系统、仿生网络安全程序、用于访问设备的卡读出器、文件访问控制、对员工进行安全培训等。 对于组织内的每个访问点都应有相应的预防措施。例如，该组织有一个Internet连接，这就提供了访问该组织内