信息安全工程-信息系统安全工程过程课件

信息系统安全工程过程Addyourcompanyslogan信息系统安全工程过程Addyourcompanyslo

本章学习目标了解ISSE过程的基本功能和实施框架掌握ISSE过程的各个阶段的实施要点理解ISSE过程的应用本章学习目标了解ISSE过程的基本功能和实施框架中国著名科学家钱学森院士认为：

系统工程是组织管理系统规划、研究、制造、实验、使用的科学方法，是一种对所有系统都具有普遍意义的科学方法。

系统工程是软科学不同于一般的工程技术学科，如水利工程、机械工程等“硬”工程；系统工程偏重于工程的组织与经营管理一类“软”科学的研究。系统工程大致可分为系统开发、系统制造和系统运用等3个阶段，而每一个阶段又可分为若干小的阶段或步骤。2.1信息系统安全工程概述2.1信息系统安全工程概述

霍尔三维结构图（霍尔的系统工程）2.1信息系统安全工程概述系统指标设计知识维（专业、行业）逻辑维（工作步骤）时间维（阶段、进程）工程技术医学社会科学规划计划系统开发制造安装运行更新明确问题系统综合系统分析决策最优化实施计划霍尔三维结构图（霍尔的系统工程）2.1信息系统安全工程

早期的信息安全工程方法理论来自于系统工程（SE）过程的方法。2.1信息系统安全工程概述2.1信息系统安全工程概述2.1信息系统安全工程概述在SE基础上，美国军方提出了信息系统安全工程（ISSE），在1994年2月28日发布《信息系统安全工程手册v1.0》。1987年，卡内基·梅隆大学软件研究所提出了软件过程能力成熟度模型（CMM），1991年推出1.0版。1993年5月，美国家安全局采用CMM方法学，针对安全方面的特殊需求，首次提出信息安全工程能力成熟度模型（SSE-CMM）。1996年8月，公共系统安全工程（FPSSE）CMM工作组公布SSE-CMM第1个版本，1997年4月SSE-CMM评估方法。1999年4月SSE-CMMv2.0和SSE-CMM评定方法v2.0。2002年3月，SSE-CMMv2.0被接受为ISO/IEC21827《信息技术-系统安全工程-能力成熟度模型》。

2.1信息系统安全工程概述在SE基础上，美国军方提出了信两种典型的信息安全工程实施方法对比：ISSE按照时间维描述；SSE-CMM以工程域维和能力维来描述；SSE-CMM不局限于只指导军方的信息安全工程实践，通过标准化、公开化，获得社会各方面工程的安全保证。2.1信息系统安全工程概述两种典型的信息安全工程实施方法对比：2.1信息系统安全

ISSE指导思想以满足用户安全需求为目的以系统风险分析为基础以系统工程的方法论为指导以技术、运行、人作为要素安全技术以纵深防御为支撑以生命期支持保证运行安全安全管理以安全实践为基础安全质量以测评认证为依据质量保证以动态安全原理（PDCA）为方法2.1信息系统安全工程概述ISSE指导思想2.1信息系统安全工程概述信息系统安全工程的基本功能

ISSE基本功能安全规划与控制确定安全需求支持安全设计分析安全操作支持安全生命周期管理安全风险信息系统安全工程的基本功能ISSE基本功能信息系统安全工程的实施框架信息系统安全保障工程实施简要框架

信息系统安全工程的实施框架信息系统安全保障工程实施简要框架信息系统安全工程的实施框架

ISSE过程计划的具体实现系统生命周期的调查/分析/立项阶段、开发/采购/设计阶段、实施阶段和运行/维护阶段。调查/分析/立项阶段该阶段是发掘信息安全需求的阶段此阶段需要完成工程规划、需求分析和风险评估过程，形成相应的规划报告、需求分析报告、风险评估报告、可行性报告等，并进行综合形成最终的立项报告进行评审。开发/采购/设计阶段该阶段是定义和设计信息安全系统的阶段。此阶段需要形成相应的设计文档，包括：安全保障方案、安全保障工程实施方案、安全保障监理方案、安全服务方案等。信息系统安全工程的实施框架ISSE过程计划的具体实现系统生信息系统安全工程的实施框架实施阶段该阶段是对信息安全系统进行工程实施和试运行过程的阶段此阶段需要完成验收报告、安全评估报告等。运行/维护阶段该阶段是在系统运行过程中评估信息系统有效性的阶段。此阶段需要完成测试报告、评估报告、认证证书等，或者说，在运行阶段，可根据需要进行安全测试等安全服务，定期进行风险评估和系统评估，并进行系统认证。废弃阶段该阶段是系统生命周期的终结。需要完成系统废弃验收报告。信息系统安全工程的实施框架信息安全需求发掘是信息系统安全工程重要的一步，是完成信息系统安全工程的基础。整个过程大致分为了解信息保护需求、掌握信息系统威胁以及考虑信息安全策略三个部分。过程图2.2信息安全需求的挖掘信息安全需求发掘是信息系统安全工程重要的一步，是完成信息系了解信息保护需求首先要考虑的是存在哪些信息威胁以及这些威胁会带来怎样的损失帮助用户分析信息和业务流程的关系对系统资源的调查和资源的价值的分析完成系统风险的排序，对信息进行分级划分，根据相应的排序最终形成系统的安全策略掌握信息系统威胁信息系统的脆弱性体现在信息系统的威胁当中。一个信息系统主要受到的威胁大致来自于以下几个方面：2.2信息安全需求的挖掘恶意攻击系统漏洞系统本身的缺陷2.2信息安全需求的挖掘恶意攻击考虑信息安全策略信息安全策略是一个组织解决信息安全问题最重要的步骤，也是组织整个信息安全体系的基础。信息安全策略的保护对象包括硬件与软件、数据和人员。整个安全策略的制定过程包括：确定信息安全策略的范围、风险评估/分析或者审计以及信息安全策略的审查、批准和实施。制定信息安全策略的目的如下：2.2信息安全需求的挖掘如何使用组织中的信息系统资源如何处理敏感信息如何采用安全技术产品2.2信息安全需求的挖掘如何使用组织中的信息系统资源信息系统安全要求是每一个信息系统进行安全建设时必须明确的。一般信息安全系统定义分为以下几个部分：确定信息保护的目标、描述信息系统联系、检查信息保护需求以及信息系统的功能分析。信息安全系统定义图2.3信息系统安全的定义信息系统安全要求是每一个信息系统进行安全建设时必须明确的。2.3信息系统安全的定义确定信息保护的目标在描述信息系统中的保护对象时通常有以下的度量：描述信息系统联系信息系统联系指的是信息系统的安全背景环境，即与外界交互的功能接口。检查信息保护需求信息保护需求从用户的期望经过协商定义后被转换成一系列的安全标准规范，对这些安全标准规范进行查缺补漏时需要满足正确性、完整性、一致性、不可否认性等特征。信息系统的功能分析信息保护目标对系统中的哪些对象提供支持信息保护的目标会面临哪些威胁所保护的目标在被威胁攻破后会带来怎样的后果用怎样的保护策略来支持相应的信息保护目标2.3信息系统安全的定义信息保护目标对系统中的哪些对象提供

信息系统安全工程师要与系统工程师合作，一起分析待建系统的体系结构，完成功能的分析和分配、信息保护预设计以及信息保护详细设计等工作。2.4信息系统安全的设计信息系统安全工程师要与系统工程师合作，一起分析待建系统的体功能分配功能分配过程要做到：人、软件、硬件功能对应整个功能分配过程如下：提炼、验证并检查安全要求与威胁评估的技术原理。确保一系列的低层要求能够满足系统级的要求。完成系统级体系结构、配置项和接口定义。2.4信息系统安全的设计确定安全系统的组件或要素。将安全功能分配给这些要素，并描述这些要素间的关系。提炼、验证并检查安全要求与威胁评估的技术原理。2.4信息信息保护预设计分析设计约束和均衡取舍。具体包括以下内容：制定出系统建造的规范：根据之前分析系统安全体系结构的结果，对已经定义好的安全功能进行检查和修改。选择相应的安全机制类型，验证并保证满足所有的安全需求。加入系统工程过程，对信息保护预设计进行审查，包括认证/认可（C/A）、管理决策和风险分析等。2.4信息系统安全的设计检查、细化并改进前期需求和定义的成果，特别是配置项的定义和接口规范。从现有解决方案中找到与配置项一致的方案，并验证是否满足高层信息保护要求。加入系统工程过程，并支持认证/认可（C/A）和管理决策，提出风险分析结果。根据之前分析系统安全体系结构的结果，对已经定义好的安全功能进信息保护详细设计进一步完善方案、细化规范、检查细节：检查、细化并改进预设计阶段的成果。对解决方案提供细节设计资料以支持系统层和配置层的设计。检查关键设计的原理和合理性。设计信息保护测试与评估程序。实施并追踪信息保护的保障机制。检验配置项层设计与上层方案的一致性。提供各种测试数据。检查和更新信息保护的风险和威胁计划。加入系统工程过程，并支持认证/认可（C/A）和管理决策，提出风险分析结果。2.4信息系统安全的设计检查、细化并改进预设计阶段的成果。2.4信息系统安全的设计

这一阶段的目标是采办、集成、配置、测试、记录和培训。结束标志是最终系统有效性行为评估，给出满足系统要求和任务需求的证据。2.5信息系统安全的实施这一阶段的目标是采办、集成、配置、测试、记录和培训。2.5采购部件根据市场产品的研究、偏好和最终的效果，来决定是购买还是自行生产的方式来获得。采购部件/系统应做到：确保考虑了全部相关的安全因素。察看现有产品是否能满足系统部件的需求，最好有多种产品可供选择。验证一系列潜在的可行性选项。考虑将来技术的发展，新技术和新产品如何运用到系统中去。2.5信息系统安全的实施确保考虑了全部相关的安全因素。2.5信息系统安全的实施建造系统确保已设计出必要的保护机制。要重视：部件的集成是否满足系统安全规范？部件的配置是否保证了必要的安全特性，以及安全参数能否正确配置以便提供所要求的安全服务？对设备、部件是否有物理安全保护措施？组装、建造系统的人员是否对工作流程有足够的知识和权限？2.5信息系统安全的实施部件的集成是否满足系统安全规范？2.5信息系统安全的实施测试系统给出测试计划、工作流程、测试用例、工具等，主要包括如下工作：检查、细化并改进设计信息安全系统的阶段结果。检验解决方案的信息保护需求和约束限制等条件，并实施相关的系统验证和确认机制与决策。跟踪实施与系统实施和测试相关的系统保障机制。鉴别测试数据的可用性。提供安全支持计划，包括逻辑上的、有关维护和培训等方面。加入系统工程过程，并支持认证/认可（C/A）和管理决策，提出风险分析结果。2.5信息系统安全的实施检查、细化并改进设计信息安全系统的阶段结果。2.5信息系

ISSE强调信息保护系统的有效性。有效性评估的重点：2.6信息系统安全的评估系统的互操作安全性，即系统是否通过外部接口正确地保护了信息？系统的可用性，即系统是否能给用户提供信息资源与信息保护？用户需要接受什么样的培训，才能正确地操作和维护信息保护系统？人机界面或接口是否有缺陷，从而导致出错？建造和维护信息系统的成本是否可以接受？确定风险和可能的任务影响，并提供报告。ISSE强调信息保护系统的有效性。2.6信息系统安全的评实例背景目前，现有大型企业的生产已经高度依赖企业的信息化和各类信息系统。信息系统稳定运行的决定因素始终都在于人员的操作。运行维护过程中发现目前的信息安全保障体系不能满足本单位信息化建设的需要时，要对保障体系进行新的规划和设计。该实例将基于ISSE过程对企业上机管理系统的安全保障工程建设进行详细的分析和说明。2.7信息系统安全实例实例背景2.7信息系统安全实例上机管理系统安全需求的发掘该企业上机管理系统主要进行处理的是记录，管理企业内部使用者对互联网的记录。该系统的权限分为用户和管理员。该系统可分为管理员模块与用户模块。2.7信息系统安全实例上机管理系统安全需求的发掘2.7信息系统安全实例上机管理系统安全的定义信息保护的内容主要为上机者的各种信息及系统自身的信息提供保护。保护基本要求可分为技术保护要求和管理保护要求。2.7信息系统安全实例上机管理系统安全的定义2.7信息系统安全实例信息保护目标和任务过程的相关威胁确保该系统满足五大信息安全基本性质的目标：根据网络安全PDRR模型（Protection、Detection、Reaction、Recorery，即防护、检测、响应、恢复）在4个方面建立安全技术体系。数据完整性：保证企业上机网络中用户之间传送的资源是完整的、未经篡改的数据包。可用性：保证合法上机用户在申请其权限之内的公共资源时，服务器能够提供其需要的资源。可靠性：保证在企业需要的时间段内，系统不会因为外部或内部攻击以及其他问题导致停止响应甚至崩溃的情况。数据机密性：保证任意用户的身份信息和用户口令等私密信息在系统中得到机密性保护。不可抵赖性：任意用户都不能否认自己进行的每一次操作，不能抵赖自己执行的非法操作。2.7信息系统安全实例数据完整性：保证企业上机网络中用户之间传送的资源是完整的、未上机管理系统的任务处理过程针对系统的任务处理过程与其他系统间的逻辑边界，给出下述流程。2.7信息系统安全实例2.7信息系统安全实例上机管理系统信息保护需求检查对信息保护目标进行特征检查，从以下几方面入手：2.7信息系统安全实例可靠性：由于本系统要求能对机房上机人员及其相关信息进行管理，因此要求本系统能够及时地反映上机人员的情况。易用性：系统的界面要简洁，直观。安全性：系统要对系统的数据库的查询修改权限进行分配管理。可维护性：在系统出现异常时，系统要有重置并维护当时数据库数据的功能。可移植性：在完成系统功能时，要考虑不同的上机环境。针对不同的系统，都能够进行监控。可扩充性：系统应留有接口，以支持后续的功能添加。2.7信息系统安全实例可靠性：由于本系统要求能对机房上机人上机管理系统功能分析检查系统的防火墙、入侵检测、防病毒网关、非法外连检测、网闸、逻辑隔离、物理隔离、信息过滤等方面的配置项是否按照安全等级的需求正确开启。2.7信息系统安全实例2.7信息系统安全实例上机管理系统安全的设计2.7信息系统安全实例上机管理系统的功能分配功能分配过程要做到：提炼、验证并检查安全要求与威胁评估的技术原理，确保一系列的低层要求能够满足系统级的要求，完成系统级体系结构、配置项和接口定义。例如：办理上机证功能是用户使用本系统的首要步骤，管理者通过该功能为用户注册上机证，并将用户的个人信息储存在系统数据库中。上机管理系统安全的设计2.7信息系统安全实例上机管理系统信息保护的预设计身份鉴别要求包括以下内容：2.7信息系统安全实例对登录操作系统和数据库系统的用户进行身份标识和鉴别。系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换。应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施。当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听。为系统不同用户分配不同的用户名，确保用户名具有唯一性这个原则。采用两种或两种以上的组合鉴别技术对用户进行身份鉴别。2.7信息系统安全实例对登录操作系统和数据库系统的用户进行上机管理系统信息保护的预设计访问控制要求包括以下内容：安全审计要求包括以下内容：2.7信息系统安全实例启用访问控制功能，依据安全策略控制用户对资源的访问权限。根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限。实现操作系统和数据库系统特权用户的权限分离。严格限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令。及时删除冗余的、过期的账户，避免共享账户的存在。对重要信息资源设置敏感标记。依据安全策略严格控制用户对有敏感标记的重要信息资源的操作。审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等。2.7信息系统安全实例启用访问控制功能，依据安全策略控制用上机管理系统的详细信息保护设计2.7信息系统安全实例上机管理系统的系统层设计如下：上机管理系统的详细信息保护设计2.7信息系统安全实例认证/认可（C/A）的详细设计应用系统身份认证综合应用平台单点登录远程VPN访问身份认证2.7信息系统安全实例2.7信息系统安全实例上机管理系统安全的实施2.7信息系统安全实例部件采购企业上机系统需要安全的系统防护，包括用户机不能攻击服务器、在企业外部无法连接服务器和用户无