CISE讲义CISP-03-信息安全保障综述-YYZ

信息安全保障综述中国信息安全测评中心2008年10月目录信息安全保障历史和背景信息系统安全保障评估框架信息系统安全保障建设和评估实践一、信息安全保障历史和背景目录信息安全保障历史和背景信息系统安全保障评估框架信息系统安全保障建设和评估实践信息技术及其应用的发展A、通信--电报\电话B、计算机C、网络D、网络化社会的崛起--社会技术系统

(人—网系统)如何看待信息化和网络技术性基础设施新兴的大众媒体现实的社会形态主权及国防存在性质问题内涵影响表现基础设施技术安全信息的完整性、机密性、可用性等社会经济损失安全事故新兴媒体文化安全、舆论安全网络信息内容的健康、积极和可控社会、政治稳定道德影响、信任危机社会形态政治与国家安全、经济和社会安全网络社会的政治、经济和社会秩序政权、经济发展和社会稳定突发事件、社会危机主权存在军事安全、国家安全国家之间的信息对抗与斗争国家主权、国际利益军事冲突、信息对抗信息安全问题的多个层面信息安全保障（IA）发展历史信息安全保障（IA）发展历史IAINFOSECCOMPUSECCOMSEC信息安全保障（IA）发展历史

通信安全（COMSEC：CommunicationSecurity）20世纪，40年代-70年代通过密码技术解决通信保密，保证数据的保密性和完整性安全威胁：搭线窃听、密码学分析安全措施：加密标志1949年：shannon发表《保密通信的信息理论》1977年：美国国家标准局公布数据加密标准DES1976年：Diffle和Hellman在“NewDirectionsinCryptography”一文中提出公钥密码体系参考资料：BruceSchneier的“应用密码学-AppliedCryptography”信息安全保障（IA）发展历史

计算机安全（COMPUSEC：ComputerSecurity）20世纪，70-90年代确保信息系统资产（包括硬件、软件、固件和通信、存储和处理的信息）保密性、完整性和可用性的措施和控制安全威胁：非法访问、脆弱口令等安全措施：安全操作系统设计技术（TCB）标志：1985年，美国国防部的可信计算机系统评估保障（TCSEC，橙皮书），操作系统安全分级（D、C1、C2、B1、B2、B3、A1）；后发展为彩虹（rainbow）系列信息安全保障（IA）发展历史

信息系统安全（INFOSEC：InformationSystemSecurity）20世纪，90年代后综合通信安全和信息系统安全保护信息系统，确保信息在存储、处理和传输过程中免受非授权的访问，防止授权用户的拒绝服务，以及包括那些检测、记录和对抗此类威胁的措施。安全威胁：网络入侵、信息对抗等安全措施：防火墙、防病毒、PKI、VPN等标志安全评估保障CC（ISO15408，GB/T18336）信息安全保障（IA）发展历史

信息安全保障（IA：InformationAssurance）今天，将来。。。保障信息和信息系统资产，保障组织机构使命的执行；综合技术、管理、过程、人员；确保信息的保密性、完整性和可用性。安全威胁：黑客、恐怖分子、信息战、自然灾难、电力中断等安全措施：技术安全保障体系、安全管理体系、人员意识/培训/教育、认证和认可标志：技术：美国国防部的IATF深度防御战略管理：BS7799/ISO17799系统认证：美国国防部DITSCAP。。。信息安全保障“组织内部环境”信息系统安全问题通信安全数据安全技术系统安全问题网络安全组织外部环境–法律与政策对策：风险管理信息安全对策必须以风险管理为基础安全不必是完美无缺、面面俱到的。但风险必须是能够管理的。最适宜的信息安全策略就是最优的风险管理对策。这是一个在有限资源前提下的最优选择问题：防范不足会造成直接的损失；防范过多又会造成间接的损失。必须根据安全目标审查安全手段。信息安全保障的问题就是安全的效用问题，在解决或预防信息安全问题时，要从经济、技术、管理的可行性和有效性上做出权衡和取舍。信息安全保障信息安全保障体系的建设是一项长期而艰巨的任务当前，人们从以下几个方面致力于建立信息安全保障体系信息安全保障管理体系信息安全保障技术与产品体系信息安全保障标准、法规体系信息安全保障人才培养、培训与服务咨询体系信息安全保障工作美国：1998年10月开始，NSA颁布了信息保障技术框架（IATF）1.1版，目前版本为3.1。信息保障技术框架的研究和不断完善表明了美国军政各方对信息保障的认识逐步趋于一致。美国国防部2002年10月24日颁布了信息保障训令8500.1，并于2003年2月6日颁布了信息保障的实施的指令8500.2。2002年下半年，以《国土安全战略》为引导，美国政府逐步出台一系列国家安全，将信息保障战略纳入总体国家战略之中：《国土安全战略》，2002年7月《保护网络空间的国家战略》（草案），2002年9月18日《国家安全战略》，2002年9月20日《打击大规模毁灭性武器的国家战略》，2002年12月《打击恐怖主义的国家战略》，2003年2月《国家毒品管制战略》，2003年2月《保护网络空间的国家战略》，2003年2月《保护关键基础设施和重要资产的国家战略》，2003年2月。。。信息安全保障工作中国：中办发[2003]27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》2004年1月召开了全国首次信息安全保障工作会议信息安全保障工作等级保护风险评估灾难备份应急响应安全管理体系二、信息系统安全保障评估框架目录信息安全保障历史和背景信息系统安全保障评估框架信息系统安全保障建设和评估实践信息安全保障框架的背景

什么是信息系统？信息技术系统作为信息系统一部分的执行组织机构信息功能的用于采集、创建、通信、计算、分发、处理、存储和/或控制数据或信息的计算机硬件、软件和/或固件的任何组合。信息系统信息系统用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组件的总和。信息系统是在信息技术系统的基础上，综合考虑了人员、管理等系统综合运行环境的一个整体。信息安全保障框架的背景

现有标准及其局限性？信息安全保障框架的思考？什么是安全?什么是保障?模型和整体结构？内容覆盖的范围？现有标准等的成果，国际研究趋势和方向？。信息的安全模型安全基础模型多级安全模型Bell-LaPadulaClark-Wilson多边安全模型ChineseWall

绝密级机密级秘密级公开级Bell-LaPadulaClark-WilsonBiba

ABCDE数据ChineseWallBMA安全技术模型ISO7498-2CC的安全技术模型安全管理模型安全工程模型ISO21827安全风险模型PDR模型公式1：Pt>Dt+Rt公式2：Et=Dt+RtMCCumber模型基于风险管理的信息安全保障模型安全模型对象特性语言适用领域多级安全模型Bell-LaPadula信息保密性形式化军事，情报Clark-Wilson信息完整性商业Biba信息完整性形式化通用多边安全模型ChineseWall信息访问控制商业BMA模型信息隐私性医疗IT系统安全模型IT系统安全模型信息技术策略安全形式化技术系统ISO7498-2技术安全模型信息技术安全服务与机制图示静态技术系统CC技术安全模型信息技术安全功能与保证结构化生成式技术系统安全管理模型ISO27001安全管理PDCA过程图示商业系统ISO17799安全管理访问控制图示商业实践安全风险管理模型CC风险管理风险管理资产风险图示AS/NZS4369风险管理管理过程图示商业实践安全工程模型SSE-CMM安全工程能力成熟度图示工程安全攻防模型攻击行为模型攻击行为过程图示PPDR防护行为时间图示信息安全保障模型McCumber模型信息CIA,时间图示扩展McCumber模型信息图示基于风险管理的安全保障模型信息管理过程图示安全模型优缺点保障的含义主观:信心客观:性质从客观到主观:

能力与水平CC中保障被定义为：实体满足其安全目的的信心基础（Groundsforconfidencethatanentitymeetsitssecurityobjectives），因而在信息安全领域谈保障，就是谈安全保障。信息系统安全问题产生的根源与环节内因：复杂性：过程复杂，结构复杂，使用复杂外因：对手:威胁与破坏内在复杂——过程信息系统理论如图灵机，在程序与数据的区分上没有确定性的原则，设计从设计的角度看，在设计时考虑的优先级中安全性相对于易用性、代码大小、执行程度等因素被放在次要的位置实现由于人性的弱点和程序设计方法学的不完善，软件总是存在BUG生产与集成使用与运行维护内在复杂——结构工作站中存在信息数据员工移动介质网络中其他系统网络中其他资源访问Internet访问其他局域网到Internet的其他路由电话和调制解调器开放的网络端口远程用户厂商和合同方的访问访问外部资源公共信息服务运行维护环境内在复杂——使用安全外因安全保障能力从那里来空间:要素与结构技术管理人时间生命周期过程谁能增加保障能力所有和使用者---管理保障能力开发方---工程保障能力设计方---技术架构能力管理保障能力工程保障能力技术架构能力信息系统安全保障模型信息系统安全保障的含义出发点和核心在信息系统所处的运行环境里，以风险和策略为出发点，即从信息系统所面临的风险出发制定组织机构信息系统安全保障策略，信息系统生命周期通过在信息系统生命周期中从技术、管理、工程和人员等方面提出安全保障要求，确保信息的安全特征确保信息的保密性、完整性和可用性特征，从而实现和贯彻组织机构策略并将风险降低到可接受的程度，保护资产达到保护组织机构信息和信息系统资产，最终保障使命从而保障组织机构实现其使命的最终目的。信息系统安全概念关系信息系统保障风险漏洞威胁架构/模型功能/机制/流程/控制措施策略业务/使命能力信息系统安全保障评估框架的组成

GB/T20274共包括四个部分第一部分：简介和一般模型第二部分：技术保障第三部分：管理保障第四部分：工程保障第二部分技术保障安全技术控制组件技术架构能力级第一部分简介和一般模型第三部分管理保障安全管理控制组件管理能力级第四部分工程保障安全工程控制组件工程能力级组成及与现有标准关系第一部分：简介和一般模型

范围信息系统安全保障等级评估保障中，不包含以下内容：针对人员技能和能力的评估内容，但对人员安全的要求在管理保障中体现。系统评估方法学。密码算法固有质量的评价。第一部分：简介和一般模型

信息系统安全保障模型背景信息系统安全保障信息系统安全保障的对象技术目标政策、需求目标人员目标管理目标服务目标信息系统安全保障-生命周期的保证计划组织开发采购实施交付运行维护废弃变更应用于系统信息系统安全保障（信息系统技术、管理、工程和人员保障要求）信息系统生命周期保障要求第一部分：简介和一般模型

信息系统安全保障模型信息系统安全保障评估相关标准信息技术安全性评估准则（GB/T18336idt.ISO/IEC15408）信息系统安全保障评估框架产品类型PP/ST。。。包过滤防火墙操作系统。。。简介和一般模型管理保障技术保障工程保障产品评估网上证券交易系统安全保障要求网上银行系统安全保障要求XXXX信息系统安全保障要求信息技术安全性评估方法ISO/IEC18045CEM信息系统安全目标（ISST）信息系统保护轮廓（ISPP）信息系统安全保障评估方法其他相关标准和技术报告信息系统安全保障评估信息系统安全保障级别评估说明信息系统安全保障要求（ISPP）信息系统安全保障目标（ISST）$VISIOCORPORATION目的映射至要求；安全策略系统现状信息系统安全要求安全目的抵抗支持客户审阅安全威胁TOE环境

风险，策略&假设技术要求管理要求工程要求符合性声明系统安全保障级别TOE描述ISPP/ISST产生第二部分：技术保障

安全技术体系架构能力成熟度模型安全架构能力成熟度级别能力级别0：未实施。能力级别1：非规范化设计、基本执行级。能力级别2：文档化设计、规范定义级。能力级别3：结构化设计、正式执行级。能力级别4：半形式化设计、测试验证级。能力级别5：形式化设计、审计优化级。安全技术架构技术组件分类FAU类：安全审计FCO类：通信FCS类：密码支持FDP类：用户数据保护FIA类：标识和鉴别FMT类：安全管理FPR类：隐私FPT类：TSF保护FRU类：资源利用FTA类：TOE访问FTP类：可信路径/信道第二部分：技术保障

安全技术架构相关含义安全技术体系是对组织机构信息技术系统的安全体系结构的整体描述。安全技术架构能力是拥有信息技术系统的组织机构根据根据其策略的要求和风险评估的结果，参考相关技术体系构架的标准和最佳实践，结合组织机构信息技术系统的具体现状和需求，建立的符合组织机构信息技术系统战略发展规划的信息技术系统整体体系框架；它是组织机构信息技术系统战略管理的具体体现。技术架构能力是组织机构执行安全技术整体能力的反映，它反映了组织机构在执行信息安全技术体系框架管理达到预定的成本、功能和质量目标上的度量。技术保障

技术架构示例-分层多点安全体系技术架构远程用户远程用户远程用户远程用户边界保护（隔离器、防火墙等）远程访问保护（VPN，加密等）边界电信运营商公共电话网公共移动网连接至其他边界远程用户专网密级网络PBX公网(Internet)Internet服务供应商电信运营商本地计算环境网络基础设施支撑性基础设施（PKI公钥基础设施、检测和响应基础设施）带密级网络的边界专用网络的边界公共网络的边界攻击者系统审计、分析–入侵检测–定时响应（警告、拒绝服务）系统的第一道防线防止远程攻击文件、数据安全应用服务层安全系统服务层安全系统内核安全物理安全系统的第二道防线防止内部权限提升系统备份安全措施文件、数据安全应用服务层安全系统服务层安全系统内核安全物理安全漏洞分析检测漏洞修补基于PDR的安全架构信息系统安全保障评估框架

管理保障部分第三部分：管理保障

信息安全管理模型第三部分：管理保障

信息安全管理能力成熟度示例第四部分：工程保障

安全工程过程生命周期第四部分：工程保障

安全工程生命周期和过程域生命周期描述相关过程域挖掘安全需求本阶段建立项目组织，了解系统的上下文环境，决定开始进行安全工程，制定初步计划和预算等。本阶段信息系统安全工程师帮助用户挖掘并理解完成系统的任务和业务所需的信息保护需求。信息保护需求的确定建立在对系统的安全风险分析的基础上。系统定义（PEN_SDF）评估威胁（PRM_ATT）评估脆弱性（PRM_AVL）评估影响（PRM_AIM）评估安全风险（PRM_ASR）确定安全要求（PEN_ISR）定义安全要求本阶段信息系统工程师将已识别出来的信息保护需求落实到各子系统中，包括开发系统安全上下文，初步的系统安全运行设想和安全要求基线等。设计体系结构本阶段信息系统安全工程师与系统工程师一起进行分析候选体系结构、分配安全服务和选择安全机制，从而完成安全功能分析和落实。信息系统安全工程师选择适用的组件或元件并把安全功能分配给这些元件，同时描述这些元件之间的关系。提供安全输入（PEN_PSI）高层安全设计（PEN_HSD）详细安全设计（PEN_DSD）详细安全设计本阶段信息系统安全工程师分析设计的约束条件，分析折衷办法，进行详细的系统和安全设计并考虑生命周期支持。信息系统安全工程师检查所有系统安全需求落实到了组件。最终的详细安全设计结果为实现系统提供充分的组件和接口描述信息。实现系统安全本阶段信息系统安全工程师把系统设计转移到运行，参与对所有系统问题的多学科综合分析，并为认证认可活动提供输入。例如验证系统已经实现了对抗威胁评估中识别出的威胁；追踪与系统实现和测试活动相关的信息保护保障机制；为系统生命周期支持计划、运行规程、培训材料维护提供输入。本阶段信息系统已到位并开始运行，通过定期的评估和不断监视系统的安全状况，确定如何获得更高的安全性能和效率等来满足用户变化的安全需求，进行软硬件升级和修改并进行相应的测试。安全工程实施（PEN_SEE）协调安全（PEN_COS）监视安全态势（PEN_MSP）管理安全控制（PEN_MSC）有效性评估本阶段信息系统安全工程师关注信息保护的有效性----系统是否能够保证其处理的信息的保密性、完整性、可用性、鉴别和不可否认性，确保成功完成使命。验证和确认安全（PAS_VVS）建立保障论据（PAS_EAE）第四部分：工程保障

信息安全工程过程能力成熟度示例三、信息系统安全保障建设和评估实践信息系统安全保障建设和评估实施步骤一：确定信息系统安全保障需求任务1：确定信息系统安全保障能力级任务2：确定信息系统的具体安全保障需求步骤二：规范化、结构化描述信息系统安全保障具体需求任务3：编制信息系统安全保障要求（ISPP）步骤三：根据信息系统安全保障需求编制具体的安全保障解决方案任务4：编制信息系统安全保障目标（ISST）步骤四：对信息系统安全保障进行评估任务5：评估信息系统安全保障目标（ISST）对信息系统安全保障要求（ISPP）的符合性，即具体的信息系统安全保障措施信息系统在其运行环境下是否满足信息系统安全保障的需求任务6：对信息系统安全保障的执行能