第3章 安全集成的实施V5

2018/7/5第3章安全集成的实施信息安全保障人员认证22摘要信息系统安全集成工程是信息系统安全工程的一个子集。信息系统安全集成工程可以理解为系统安全工程、软件工程、系统集成及安全管理等诸多领域的融合。12018/7/5信息安全保障人员认证目录安全集成实施过程框架安全需求安全设计安全实施安全测评安全监视与评审改进3信息安全保障人员认证43.1安全集成实施过程框架信息系统安全集成是工程活动，也可以是安全服务，即安全集成的交付物可以是系统、产品甚至是服务。信息系统安全集成服务是“信息系统集成过程中的安全需求界定、安全设计、安全实施、安全保障等活动。采用信息系统安全工程的方法和理论，将安全单元、安全产品部件进行集成的活动”。信息系统安全集成服务将信息系统集成工程分为了安全需求界定、安全设计、安全实施和安全保障四个阶段。22018/7/5信息安全保障人员认证5安全集成服务与工程安全需求界定阶段包含了符合性要求和风险评估2个环节；安全设计阶段包含了措施盘点、措施计划和集成与安全设计3个环节；安全实施阶段包括了措施实施和工程实施2个环节；安全保障阶段包括了安全测评、监视、评审与改进

4个环节。信息安全保障人员认证6安全集成的阶段与环节阶段模式需求分析安全设计安全实施安全保障安全的集成符合性要求风险评估措施盘点措施计划措施实施监视评审改进集成的安全集成与安全设计工程实施安全测评监视

评审

改进32018/7/5两种模式的关系符合性要求改进

风险评估集成与评审 安全设计监视

工程实施安全评测评审改进监视7符合性要求措施实施风险评估措施盘点措施计划信息安全保障人员认证信息安全保障人员认证8系统安全工程与安全集成工程阶段信息系统安全集成 系统安全工程集成安全安全集成工程过程风险过程保障过程需求分析阶段符合性要求√√风险评估√√设计阶段安全设计措施盘点√措施计划√√实施阶段工程实施措施实施√√安全保障阶段安全测评√√√监视√√评审√√改进√42018/7/5信息安全保障人员认证91.界定安全需求2.确定服务合同确定服务人员和组织签订保密协议集成准备方案设计建设实施安全保证1.安全方案设计管理安全控制措施安全协调3.安全监控验证和确认安全建立保证论据安全集成服务过程信息安全保障人员认证安全管理与安全集成工程基本安全需求原则主要领导负责原则全员参与原则系统方法原则

持续改进原则

依法管理原则

分权和授权原则分级保护原则管理与技术并重原则自保护和国家监管结合原则101234567891052018/7/5信息安全保障人员认证113.2安全需求安全需求分析的目的明确地识别组织的有关被集成信息系统的安全需求，并与各方达成安全共识信息安全保障人员认证123.2安全需求理解客户的安全需求法律、政策、标准、外部影响和约束条件安全风险，明确风险评估的方法、确定风险接受准则、确立安全风险级别识别被集成系统的目的，以便确定安全来龙去脉捕获被集成系统运行的高层次安全视图捕获定义被集成系统安全的高层次目标定义一组一致的要求，用以规定将要在被集成系统实现的保护就所规定的安全需求与客户需要相匹配达成协议62018/7/5信息安全保障人员认证13安全现状分析安全现状分析的主要工作对开展安全集成前信息系统的安全现状进行全面的评价和分析的活动。信息安全保障人员认证14安全现状分析安全现状分析的主要目的识别目前信息系统在信息安全保障方面所存在的缺陷和不足，信息系统现存的安全风险，理解安全集成项目所需要解决的安全问题72018/7/5信息安全保障人员认证15安全现状分析内容业务现状实体对象的安全风险保障环节的建设情况资源现状管理现状信息安全保障人员认证16策略与符合性符合性要求信息安全策略要求安全组织保障法律法规、规章制度、标准与规范发布、管理和保护其信息安全而制定的一组规章、规范和措施的总合，是对系统内信息资源使用和

管理规则的正式描述，是所有使用和管理系统内

信息资源的人员都必须遵守的规则安全保障体系建设除了接受国家信息安全管理机关（如：公安部门、保密部门、密码管理部门等）宏观管理外，在系统内部还应建立自己的信息安全组织保障体系，它包含组织、制度、岗位和人员。82018/7/5信息安全保障人员认证17系统信息安全分析信息安全风险评估是“依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完

整性和可用性等安全属性进行评价的过程。它要评估资产

面临的威胁以及威胁利用脆弱性导致安全事件的可能性，

并结合安全事件所涉及的资产价值来判断安全事件一旦发

生对组织造成的影响。”。识别资产识别脆弱性识别威胁评估影响信息安全保障人员认证18两种思路传统思路有哪些资产？资产由哪些脆弱性？有哪些威胁？CISAW风险管理业务不期望的结果有哪些？原因是什么？与数据、载体、环境和边界的关系？相关对象的原因是什么？92018/7/5信息安全保障人员认证19评估阶段工具/表格类型资产识别资产调查表资产管理工具主动探测工具威胁识别IDSIPS流量分析工具审计工具威胁调查表脆弱性识别访谈漏洞扫描工具各类检查表渗透测试工具集安全措施确认安全控制措施调查表安全意识调查表综合风险分析风险分析工具风险评估工具及资料准备识别资产分类示例数据保存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等软件系统软件：操作系统、数据库管理系统、语句包、开发系统等应用软件：办公软件、数据库软件、各类工具软件等源程序：各种共享源代码、自行或合作开发的各种代码等硬件网络设备：路由器、网管、交换机等计算机设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等存储设备：磁带机、磁盘列阵、磁带、光盘、软盘、移动硬盘等传输线路：光纤、双绞线等保障设备：UPS、变电设备等、空调、保险柜、文件柜、门禁、消防设备等安全保障设备：防火墙、入侵检测系统、身份鉴别等其他：打印机、复印机、扫描仪、传真机等服务信息服务：对外依赖该系统开展的各类服务网络服务：对各种网络设备、设施提供的网络连接服务办公服务：为提高效率而开发的管理信息系统，包括各种内部配置管理、文件流转管理等服务人员掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理等其他企业形象、客户关系等

20

信息安全保障人员认证102018/7/5信息安全保障人员认证21评估威胁识别由自然因素产生的适用的威胁识别由人为因素（无意或有意）产生的适用的威胁识别在特定环境中合适的测量单位和适用范围针对人为因素产生的威胁，评估威胁着的能力和动机评估威胁事件发生的可能性监视威胁特征分布中正在发生的变化以及其特征的变更信息安全保障人员认证22评估脆弱性类型识别对象识别内容技术脆弱性物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别系统软件从补丁安装、物理保护、用户账号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别应用中间件从协议安全、交易完整性、数据完整性等方面进行识别。应用系统从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别管理脆弱性技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发组织管理从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别112018/7/5信息安全保障人员认证23评估影响识别和分析由系统支撑的运行、业务或使命能力，并且排列优先顺序识别支持核心运行能力或系统安全目标的系统资产，并且描述其特征选择用于评估的影响度量项必要时，识别选择用于评估的度量项与度量项转换因子之间的关系使用多个度量项或者（适当时）整理的度量项来识别不希望事件的不希望影响，并且描述其特征监视影响正在发生的变化信息安全保障人员认证24评估安全风险选择用于对已定义环境中系统的安全风险进行分析、评估和比较的方法、技术和准则识别威胁、脆弱性、影响三者评估与每个暴露的发生相关的风险评估与暴露的风险相关的总的不确定性按优先权排列风险监视风险特征分布中正在发生的变化以及其特征的变化122018/7/5信息安全保障人员认证25业务安全需求业务是指集成后信息系统所支撑的组织的活动，是信息系统安全保障的本质对象。如何实现对业务的保护是安全需求的主要内容之一。不同的领域，不同行业对业务的保护的侧重点有所不同。信息安全保障人员认证26过程输出客户安全需求陈述安全约束条件安全轮廓预期的威胁环境评价目标（对象）运行系统的概念概念性安全体系结构运行/环境安全策略系统安全策略安全相关要求可追踪性矩阵批准的安全目标安全相关的要求基线132018/7/5信息安全保障人员认证273.3安全设计1.总体思路要求信息系统安全集成建设需从整体性、动态性、层次性、过程性和相对安全的几个角度综合考虑和设计。整体性

动态性

层次性

过程性

相对安全信息安全保障人员认证283.3安全设计2.主要内容措施盘点（管理措施、配置措施、技术措施）安全设计142018/7/5信息安全保障人员认证29总体设计识别并优化业务流程梳理并优化数据流设计并确定载体互联方案设计并落实环境互通方案设计并审核信息安全保障方案设计并落实资源及管理整合方案信息安全保障人员认证30措施盘点与计划1.管理措施2.技术措施技术措施可以通过软件和硬件两种形式体现，这些产品根据相关标准分为如下8个类别：物理安全类、主机安全类、网络安全类、边界安全类、应用安全类、数据安全类、安全管理与支持类。3.措施计划措施计划的主要内容是安全产品、单元、部件的部署方案的设计。152018/7/5一级分类二级分类信息安全保障人员认证编号类别编号类别A物理安全A1环境安全A2设备安全A3介质安全B主机安全B1身份认证B2主机防护B3防恶意代码B4操作系统安全C网络安全C1通信安全C2网络监测C3内容安全D边界安全D1边界隔离D2入侵防范D3边界访问控制D4网络终端安全E应用安全E1应用服务安全E2应用服务安全支持F数据安全F1数据平台安全F2备份与恢复G安全管理与支持G1综合审计G2应急响应支持G3密码支持G4风险评估G5安全管理31信息安全保障人员认证32数据安全设计1.数据安全措施技术措施包括：安全数据库，数据库安全部件，数据备份与恢复、内容过滤与控制、信息防泄露等产品用于数据安全。2.数据安全设计数据安全设计从数据的生命周期的各个阶段、数据安全属性以及信息安全保障的6个环节的安全设计来进行系统分析。162018/7/5信息安全保障人员认证33载体安全设计1.载体安全措施（技术措施、管理措施）2.载体安全设计载体的安全设计需从系统安全需求出发，结合总体设计、载体互通设计及载体相关安全功能的考虑来进行综合设计。信息安全保障人员认证34环境安全设计1.环境安全措施（区域防护、灾备防护、身份认证、入侵检测、访问控制、病毒防治、特定代码防护、安全操作系统、操作系统安全部件、可用性保障、安全监控、安全审计等）2.环境安全设计（物理环境、主机计算环境、应用层计算环境、网络环境）172018/7/5信息安全保障人员认证35边界安全设计1.边界安全措施（物理边界、网络边界、计算环境边界）2.物理边界的安全设计（安防设备、门禁设备及其相关的管理措施）3.网络边界的安全设计（机房安全设计技术与规范、防火墙技术、入侵检测技术、网闸技术等。）信息安全保障人员认证36过程输出安全工程域其他学科之间的协议所需输入的描述安全设计准则安全实现规则文档编制要求系统体系结构的安全视图安全设计文档安全模型安全体系结构信任分析权衡分析研究结果和建议端到端的权衡分析研究结果体系结构建议设计建议实现建议安全体系结构建议保护原理设计标准、原则、原理编码标准管理员手册用户手册安全概述系统配置说明书182018/7/5信息安全保障人员认证373.4

安全实施安全实施是工程组对安全设计方案付诸实践的环节，其主要内容包括对现有系统利用安全措施进行加固；对新的信息系统进行编码实现、测试等开发工作。信息安全保障人员认证措施实施1.实施工作确定并明确实施方案及后备方案明确实施的安全原则识别并管理实施风险制定应急响应预案

提供安全输入明确资源配置2.常见的配置及管理措施 操作系统配置措施

数据库系统配置措施WEB服务器的安全设置38192018/7/5信息安全保障人员认证39安全工程实施1.实施原则2.安全编码基本概念

方法与措施安全编码意识培养安全编码技术（内存安全、线程进程安全、异常处理安全、输入安全、国际化安全、面向对象编程安全、Web编程安全）信息安全保障人员认证40过程输出安全实施的指导原则实施计划与方案实施方案识别实施计划审核实施日志202018/7/5信息安全保障人员认证413.5

安全测评安全测评是指对完成实施的信息系统进行安全测试与安全评价。安全测试从包括对信息系统的安全功能测试和安全漏洞测试两方面。安全功能测试用于确认系统的安全功能的实现；安全漏洞测试针对安全需求，采用模拟攻击形式进行系统的安全特性实现的验证与确认。安全评价是结合安全测试的结果，对信息系统的安全性进行评价。信息安全保障人员认证42安全测试与工具1.基本概念安全测试确认计算环境的安全功能、发现计算环境在部署、配置及软件代码在设计、实现、操作和管理等方面缺陷的过程。安全功能测试脆弱性测试2.安全测试流程通常安全测试分为测试前的准备阶段、安全测试执行阶段和测试完成后的数据汇总分析阶段三个阶段。3.安全测试技术与方法 安全审查技术目标识别与分析技术目标漏洞验证技术4.安全测试工具212018/7/5信息安全保障人员认证43评价方法与准则1.评价方法依据安全功能和漏洞测试、渗透测试结果，对新系统中的数据对象、载体对象、环境与边界对象的可用性、机密性、完整性、真实性和不可否认性等安全属性，依据评价准则进行评价并给出综合评价结果。2.评价准则结合安全需求、系统安全设计方案，制定数据、载体、环境与边界的安全属性的定量或定性的评价准则。信息安全保障人员认证44过程输出安全测评的指导原则对象清单总体计划测试方案识别工具准备与识别测评人员与组织安全功能测试设计与测试结果安全性能测试设计与测试结果安全测试的总体评价结果222018/7/5信息安全保障人员认证453.6

安全监视与评审安全监视与评审是安全集成两种模式中所共有的环节，主要针对安全集成方案实施后的系统安全态势进行监视，对系统设计方案和计划的有效性进行评审，包括安全信息系统的安全改进与提升的可能与需求。信息安全保障人员认证46安全态势监视安全态势监视的目的是确保识别和报告所有对安全的破坏、试图破坏或者可能导致安全受到破坏的错误。要针对所有可能对系统安全构成影响的因素，监视外部和内部环境。具体目标包括：探测和跟踪与内部和外部安全有关的事件；按照策略对事件作出响应；根据安全目标识别和处理安全态势的变化。232018/7/5信息安全保障人员认证47安全验证与确认验证和确认安全的目的是确保关于安全的解决方案得到验证和确认。针对安全要求、体系结构和设计，使用观察、示范、分析和测试来验证解决方案。针对顾客的运行安全需要来确认解决方案。信息安全保障人员认证48过程输出每个设计的描述—日志记录的组成和来源—事件识别参数—所有当前单一日志记录报警整体列表—所有当前单一日志记录报警整体列表……问题报告—不一致处—无效解决方案—测试结果—可追踪矩阵。242018/7/5信息安全保障人员认证493.7

改进改进环节是安全集成模型的最后一个环节，也是再次集成的需求来源之一和促使再次集成的主要原因之一。改进是持续无止境的，这符合事物螺旋式发展的基本规律。信息安全保障人员认证50持续改进信息系统改进集成能力改进二者的相互关系252018/7/5信息安全保障人员认证51能力自我评估组织的能力成熟度评估分为：规划、准备、现场和报告

4个阶段。规划阶段活动说

明输出范围评估提炼模型的过程域以满足该评估发起者的特殊需求理解发起者的目标收集初步证据证据源于对调查表的回答，它可从评估组织收集得到完成的调查表证据规划评估为实施已产生并被批准的评估而组织好的计划和一致同意的方法小组成员评估计划和调查表信息安全保障人员认证522.准备阶段活动说

明输出准备评估小组这一步保证所有评估小组成员熟悉SSE-CMM，并接受相同的实施评估命令小组支持评估分发调查表将预先确定的调查表分发给工程主管，以便得到被评组织的初步信息完成调查表合并证据汇集调查表回答中表明答案的支持证据和整理调查表数据证据的汇集抄写调查表数据分析证据/调查表小组对此阶段收集的所有证据进行彻底评审，准备在现场阶段向工程主管提出的问题向工程主管提出的问题262018/7/5533.现场阶段活动说明输出召开行政会议行政会议为管理层提供评估综述，并为评估小组提供对该组织机构在评估环境下的看法评估受到支持回答的问题召开开幕式开幕式为参与者提供评估综述，这也是管理层表示支持评估的时机评估受到支持回答的问题采访工程主管通过使用探讨性问题组织好的采访技术，评估小组采集有关项目的系统安全工程实施的确认数据采访笔记数据请求合并来自工程主管的数据小组成员复查他们自己的笔记，讨论问题，更新数据跟踪表单更新数据跟踪表单调整工程主管的采访记录采访专业人员通过使用探讨性问题组织好的采访技术，评估小组采集有关项目的系统安全工程实施的确认数据采访笔记数据请求合并来自专业人员的数据小组成员复查自己的笔记，谈论问题，更新数据跟踪表单完成的数据跟踪