信息安全工程課件

1、信息安全工程中國(guó)信息安全測(cè)評(píng)中心課程內(nèi)容2信息安全工程知識(shí)體安全工程生命周期SSE-CMM體系與原理安全工程過(guò)程安全工程能力安全工程能力知識(shí)子域發(fā)掘信息保護(hù)需求開(kāi)展詳細(xì)安全設(shè)計(jì)實(shí)施系統(tǒng)安全確定系統(tǒng)安全要求設(shè)計(jì)系統(tǒng)安全體系結(jié)構(gòu)評(píng)估信息保護(hù)的有效性知識(shí)子域知識(shí)域安全工程概述信息安全工程是信息安全保障的重要組成部分，但是卻被廣泛忽視等級(jí)保護(hù)技術(shù)、管理傳統(tǒng)風(fēng)險(xiǎn)評(píng)估資產(chǎn)威脅脆弱性從普通管理者的角度看信息安全狀況是“重技術(shù)、輕管理”；從一般安全人員看信息安全是“重應(yīng)用、輕安全”；從專業(yè)人員的角度看信息安全的狀況是“重要素、輕過(guò)程”，情況更嚴(yán)重。信息安全工程就是要解決信息系統(tǒng)生命周期的“過(guò)程安全”問(wèn)題從生活

2、中的案例開(kāi)始消防通道設(shè)計(jì)規(guī)范規(guī)定“商住樓中住宅的疏散樓梯應(yīng)獨(dú)立設(shè)置”右圖是一家門(mén)市，為應(yīng)付消防檢查自行搭建的消防通道4安全工程的重要性如果在大樓的設(shè)計(jì)和實(shí)施階段沒(méi)有考慮消防，把樓蓋完了，再去設(shè)置消防通道，必然會(huì)導(dǎo)致成本的上升和安全性的下降安全工程在信息化建設(shè)中的重要性有過(guò)之而無(wú)不及5信息化建設(shè)中的案例A公司開(kāi)展家用電話自助刷卡支付業(yè)務(wù)用戶可以通過(guò)其網(wǎng)站查詢個(gè)人付款信息第三方安全測(cè)平發(fā)現(xiàn)該網(wǎng)站存在SQL注入漏洞，可以泄露用戶交易信息6信息化建設(shè)中的案例（續(xù)）當(dāng)初外包開(kāi)發(fā)此網(wǎng)站的公司已經(jīng)倒閉A公司技術(shù)人員對(duì)網(wǎng)站系統(tǒng)開(kāi)發(fā)情況不了解，沒(méi)有能力消除該漏洞。公司董事會(huì)研究最終決定，為保護(hù)用戶隱私，暫時(shí)不再

3、為用戶提供網(wǎng)上交易信息查詢服務(wù)！7國(guó)家政策要求關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)明確要求“信息安全建設(shè)是信息化的有機(jī)組成部分，必須與信息化同步規(guī)劃、同步建設(shè)。各地區(qū)各部門(mén)在信息化建設(shè)中，要同步考慮信息安全建設(shè)，保證信息安全設(shè)施的運(yùn)行維護(hù)費(fèi)用。 ”國(guó)家發(fā)展改革委關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知的中心思想是：電子政務(wù)工程建設(shè)項(xiàng)目必須同步考慮安全問(wèn)題，提供安全專項(xiàng)資金，信息安全風(fēng)險(xiǎn)評(píng)估結(jié)論是項(xiàng)目驗(yàn)收的重要依據(jù)。8需要牢記在心的原則安全工程是信息化建設(shè)必要的有機(jī)組成部分信息安全建設(shè)必須同信息化建設(shè)“同步規(guī)劃、同步實(shí)施” “重功能、輕安全”，“先建設(shè)、后安全”都是信息化建設(shè)的大忌信

4、息安全工程是信息安全保障工作中不可或缺的環(huán)節(jié)9安全工程能力成熟度模型（SSE-CMM）SSE-CMM體系與原理了解SSE-CMM的適用范圍；了解域維與能力維的關(guān)系。安全工程能力評(píng)價(jià)理解各個(gè)信息安全工程能力級(jí)別的含義。10為什么要學(xué)習(xí)安全工程能力成熟度模型SSE-CMM為信息安全工程過(guò)程改進(jìn)建立一個(gè)框架模型通過(guò)SSE-CMM的學(xué)習(xí)了解信息安全工程中通常要實(shí)施的活動(dòng)有哪些，即信息安全工程中包括的過(guò)程有哪些評(píng)價(jià)和改進(jìn)這些過(guò)程的指標(biāo)是什么，即實(shí)施信息安全工程應(yīng)當(dāng)追求的過(guò)程能力11什么是系統(tǒng)安全工程系統(tǒng)安全工程尚不存在統(tǒng)一的定義系統(tǒng)安全工程的主要目標(biāo)是：獲得對(duì)企業(yè)安全風(fēng)險(xiǎn)的理解根據(jù)已識(shí)別的風(fēng)險(xiǎn)確定安全需

5、求將安全需求轉(zhuǎn)換成指導(dǎo)系統(tǒng)開(kāi)發(fā)、集成和維護(hù)的指導(dǎo)原則通過(guò)正確有效的安全控制措施建立信息和保證判斷系統(tǒng)的殘留風(fēng)險(xiǎn)是否可以接受注意：不能將系統(tǒng)安全工程理解為專門(mén)針對(duì)安全作的一個(gè)項(xiàng)目，系統(tǒng)安全工程是系統(tǒng)建設(shè)活動(dòng)中有關(guān)加強(qiáng)系統(tǒng)安全性的活動(dòng)的集合，是系統(tǒng)獲取開(kāi)發(fā)活動(dòng)的子集12什么是SSE-CMM系統(tǒng)安全工程能力成熟模型（Systems Security Engineering Capability Maturity Model）描述了一個(gè)組織的系統(tǒng)安全工程過(guò)程必須包含的基本特征這些特征是完善的安全工程保證也是系統(tǒng)安全工程實(shí)施的度量標(biāo)準(zhǔn)同時(shí)還是一個(gè)評(píng)估系統(tǒng)安全工程實(shí)施的框架13SSE-CMM的作用幫助獲取

6、組織（系統(tǒng)、產(chǎn)品的采購(gòu)方）選擇合格的投標(biāo)者，以統(tǒng)一的標(biāo)準(zhǔn)對(duì)安全工程過(guò)程進(jìn)行監(jiān)管提高工程實(shí)施質(zhì)量，減少爭(zhēng)議幫助工程組織（系統(tǒng)開(kāi)發(fā)和集成商）通過(guò)可重復(fù)、可預(yù)測(cè)的過(guò)程減少返工、提高質(zhì)量、降低成本；改進(jìn)安全工程實(shí)施能力；獲得證明安全工程實(shí)施能力的資質(zhì)幫助認(rèn)證評(píng)估組織獲得獨(dú)立于系統(tǒng)和產(chǎn)品的可重用的過(guò)程評(píng)估標(biāo)準(zhǔn)用來(lái)確定被評(píng)估者將安全工程集成在系統(tǒng)工程之中，并且其系統(tǒng)安全工程是可信的14SSE-CMM覆蓋范圍SSE-CMM涉及到可信產(chǎn)品或者系統(tǒng)整個(gè)生命周期的安全工程活動(dòng)，其中包括概念定義、需求分析、設(shè)計(jì)、開(kāi)發(fā)、集成、安裝、運(yùn)行、維護(hù)和終止。覆蓋整個(gè)組織的活動(dòng)，包括管理、組織和工程活動(dòng)等，而不僅僅是系統(tǒng)安全的

7、工程活動(dòng)；它不是孤立了工程，而是與其它工程并行且相互作用，包括企業(yè)工程、軟件工程、硬件工程、基建工程、人力資源工程、通信工程、測(cè)試工程、系統(tǒng)管理等；與其它組織的相互作用，涉及開(kāi)發(fā)者、產(chǎn)品供應(yīng)商、集成商、采購(gòu)者、安全評(píng)估組織、資質(zhì)評(píng)估認(rèn)證組織、咨詢服務(wù)商等；SSE-CMM可應(yīng)用于所有類型和大小的安全工程機(jī)構(gòu)，如商務(wù)機(jī)構(gòu)、政府機(jī)構(gòu)和學(xué)術(shù)機(jī)構(gòu)。15SSE-CMM歷史1993年4月美國(guó)國(guó)家安全局（NSA）開(kāi)始醞量1996年10月出版了SSE-CMM模型的第一個(gè)版本，1997年4月出版了評(píng)定方法的第一個(gè)版本。從1996年6月到1997年6月進(jìn)行許多實(shí)驗(yàn)項(xiàng)目 1999年4月出版了第二版。2002年，ISO

8、/IEC IS 21827目前，SSE-CMM V3.0與其配套的評(píng)估方法，SSAM,系統(tǒng)安全工程能力成熟度模型評(píng)估方法16SSE-CMM的主要概念過(guò)程（Process）為了達(dá)到某一給定目標(biāo)而執(zhí)行的一系列活動(dòng)，這些活動(dòng)可以重復(fù)、遞歸和并發(fā)的執(zhí)行過(guò)程區(qū)域（PA，Process Area）過(guò)程的一種單位，由一些基本實(shí)施（BP，Base Practice）組成的，這些BP共同實(shí)施以達(dá)到該P(yáng)A的目標(biāo)，BP是強(qiáng)制性的，只有全部成功執(zhí)行，才能滿足PA規(guī)定的目標(biāo)SSE-CMM包含三類過(guò)程區(qū)域：工程、項(xiàng)目和組織三類17SSE-CMM的主要概念過(guò)程能力（Process Capability）一個(gè)過(guò)程是否可以達(dá)到

9、預(yù)期效果的度量方法，即執(zhí)行一個(gè)過(guò)程的成熟度級(jí)別劃分過(guò)程能力可幫助組織預(yù)見(jiàn)達(dá)到過(guò)程目標(biāo)的能力能力級(jí)別由公共特征組成的過(guò)程能力水平的級(jí)別劃分公共特征是由一系列管理、度量和制度方面的活動(dòng)，可用于決定所有活動(dòng)的能力水平18SSE-CMM體系結(jié)構(gòu)能力維（Capability Dimension）域維（Domain Dimension）公共特征2.4跟蹤執(zhí)行PA 05評(píng)估脆弱性兩維模型：“域維” 由所有定義的安全工程過(guò)程區(qū)構(gòu)成?！澳芰S”代表組織實(shí)施這一過(guò)程的能力。19SSE-CMM能力成熟度評(píng)價(jià)通過(guò)設(shè)置這兩個(gè)相互依賴的維，SSE-CMM在各個(gè)能力級(jí)別上覆蓋了整個(gè)安全活動(dòng)范圍。給每個(gè)PA賦予一個(gè)能力級(jí)別評(píng)

10、分，所得到的兩維圖形便形象地反映一個(gè)工程組織整體上的系統(tǒng)安全工程能力成熟度，也間接的反映其工作結(jié)果的質(zhì)量及其安全上的可信度。543210PA01PA02PA03PA04PA05能力級(jí)別安全過(guò)程區(qū)域20域維-22個(gè)PA分成三個(gè)過(guò)程區(qū)域類安全工程涉及到三個(gè)過(guò)程區(qū)域類工程過(guò)程區(qū)域類工程過(guò)程類中包含11個(gè)過(guò)程區(qū)域，描述了系統(tǒng)安全工程中實(shí)施的與安全直接相關(guān)的活動(dòng)組織過(guò)程區(qū)域類和項(xiàng)目過(guò)程區(qū)域類組織和項(xiàng)目過(guò)程類中包含11個(gè)過(guò)程區(qū)域，并不直接同系統(tǒng)安全相關(guān)，但常與11個(gè)工程過(guò)程區(qū)域一起用來(lái)度量系統(tǒng)安全隊(duì)伍的過(guò)程能力成熟度21域維-工程過(guò)程區(qū)域類PA核實(shí)和確認(rèn)安全（Verify and Validate Sec

11、urity）PA11明確安全需求（Specify Security Needs）PA10提供安全輸入（Provide Security Input）PA09監(jiān)視安全態(tài)勢(shì)（Monitor Security Posture）PA08協(xié)調(diào)安全（Coordinate Security）PA07建立保證論據(jù)（Build Assurance Argument)PA06評(píng)估脆弱性（Assess Vulnerability）PA05評(píng)估威脅（Assess Threat）PA04評(píng)估安全風(fēng)險(xiǎn)（Assess Security Risk)PA03評(píng)估影響（Assess Impact）PA02管理安全控制（Admin

12、ister Security Controls）PA01風(fēng)險(xiǎn)過(guò)程工程過(guò)程保證過(guò)程22安全工程過(guò)程保證論據(jù)風(fēng)險(xiǎn)信息產(chǎn)品或服務(wù)工程過(guò)程Engineering保證過(guò)程Assurance風(fēng)險(xiǎn)過(guò)程Risk23風(fēng)險(xiǎn)過(guò)程PA04：評(píng)估威脅威脅信息threat脆弱性信息vulnerability影響信息impact風(fēng)險(xiǎn)信息PA05：評(píng)估脆弱性PA02：評(píng)估影響PA03：評(píng)估安全風(fēng)險(xiǎn)風(fēng)險(xiǎn)就是有害事件發(fā)生的可能性一個(gè)有害事件有三個(gè)部分組成：威脅、脆弱性和影響。 24工程過(guò)程安全工程與其它科目一樣，它是一個(gè)包括概念、設(shè)計(jì)、實(shí)現(xiàn)、測(cè)試、部署、運(yùn)行、維護(hù)、退出的完整過(guò)程。SSE-CMM強(qiáng)調(diào)安全工程是一個(gè)大的項(xiàng)目隊(duì)伍中的

13、一部分，需要與其它科目工程師的活動(dòng)相互協(xié)調(diào)。 PA10確定安全需求需求、策略等配置信息解決方案、指導(dǎo)等風(fēng)險(xiǎn)信息PA08監(jiān)控安全態(tài)勢(shì)PA07協(xié)調(diào)安全PA01管理安全控制PA09提供安全輸入25保證過(guò)程證據(jù)證據(jù)保證論據(jù)PA11驗(yàn)證和證實(shí)安全指定安全要求其他多個(gè)PAPA06建立保證論據(jù)保證是指安全需要得到滿足的信任程度SSE-CMM的信任程度來(lái)自于安全工程過(guò)程可重復(fù)性的結(jié)果質(zhì)量。 26信息安全工程活動(dòng)小結(jié)系統(tǒng)是干什么用的？系統(tǒng)面臨哪些風(fēng)險(xiǎn)？需要達(dá)到怎樣的安全水平？有哪些方法可以達(dá)到這樣的安全水平？我們的總體思路是什么？我們的具體方案是什么？按照方案把安全措施都裝好。保證這些安全措施確實(shí)發(fā)揮作用了。發(fā)

14、生安全事件或安全措施運(yùn)行不正常得及時(shí)發(fā)現(xiàn)。大家團(tuán)結(jié)一致，協(xié)調(diào)配合把以上事情做好。過(guò)程記錄整理好，證明該干的活都認(rèn)真的完成了。驗(yàn)收測(cè)試證明安全措施的功能、性能都達(dá)標(biāo)了。于是領(lǐng)導(dǎo)滿意了，同志們放心了。27域維-項(xiàng)目過(guò)程區(qū)域類和組織過(guò)程區(qū)域類與供應(yīng)商協(xié)調(diào)PA22提供持續(xù)發(fā)展的技能和知識(shí)PA21管理系統(tǒng)工程支持環(huán)境PA20管理產(chǎn)品系列進(jìn)化PA19改進(jìn)組織的系統(tǒng)工程過(guò)程PA18定義組織的系統(tǒng)工程過(guò)程PA17計(jì)劃技術(shù)活動(dòng)PA16監(jiān)視和控制技術(shù)活動(dòng)PA15管理項(xiàng)目風(fēng)險(xiǎn)PA14管理配置PA13保證質(zhì)量PA12項(xiàng)目過(guò)程組織過(guò)程28計(jì)劃執(zhí)行規(guī)范化執(zhí)行跟蹤執(zhí)行驗(yàn)證執(zhí)行定義標(biāo)準(zhǔn)過(guò)程協(xié)調(diào)安全實(shí)施執(zhí)行已定義的過(guò)程建立可測(cè)

15、量的質(zhì)量目標(biāo)客觀地管理過(guò)程的執(zhí)行1非正規(guī)執(zhí)行2計(jì)劃與跟蹤3充分定義4量化控制5連續(xù)改進(jìn)執(zhí)行基本實(shí)施改進(jìn)組織能力改進(jìn)過(guò)程的有效性能力維能力級(jí)別公共特征未實(shí)施0能力級(jí)別29能力級(jí)別-0級(jí)未執(zhí)行未執(zhí)行級(jí)別沒(méi)有公共特征。這個(gè)級(jí)別中通常不能成功執(zhí)行過(guò)程區(qū)域中的基本實(shí)施。此過(guò)程的工作產(chǎn)品不易辨別或使用30能力級(jí)別-1級(jí)非正規(guī)執(zhí)行級(jí)必須首先做它，然后才能管理它在這一級(jí)別，過(guò)程區(qū)域的基本實(shí)施通常被執(zhí)行，但未經(jīng)過(guò)嚴(yán)格的計(jì)劃和跟蹤，而是基于個(gè)人的知識(shí)和努力。該級(jí)別包括一個(gè)公共特征執(zhí)行基本實(shí)施執(zhí)行了一個(gè)過(guò)程區(qū)域的基本實(shí)施，從而為用戶提供工作產(chǎn)品或服務(wù)然而工作產(chǎn)品的一致性、性能和質(zhì)量會(huì)因?yàn)槿狈m當(dāng)控制而存在極大的差異

16、31能力級(jí)別-2級(jí)規(guī)劃和跟蹤級(jí)在定義組織層面的過(guò)程之前，先要弄清楚與項(xiàng)目相關(guān)的事項(xiàng)在這一級(jí)別著重于項(xiàng)目層面的定義、規(guī)劃和執(zhí)行問(wèn)題，PA中BP的執(zhí)行是經(jīng)過(guò)規(guī)劃并跟蹤的。包括四個(gè)公共特征：規(guī)劃執(zhí)行：分配資源、指定責(zé)任、提供工具、將規(guī)劃形成文檔規(guī)范化執(zhí)行：使用標(biāo)準(zhǔn)和規(guī)程、進(jìn)行配置管理驗(yàn)證執(zhí)行：驗(yàn)證工作過(guò)程、驗(yàn)證工作產(chǎn)品跟蹤執(zhí)行：跟蹤過(guò)程實(shí)施、采取修正措施32能力級(jí)別-3級(jí)充分定義級(jí)-用項(xiàng)目中學(xué)到的最好的東西來(lái)定義組織層面的過(guò)程這個(gè)級(jí)別著重于規(guī)范化地制定和裁剪組織范圍內(nèi)的標(biāo)準(zhǔn)過(guò)程包括三個(gè)公共特征：定義標(biāo)準(zhǔn)化過(guò)程：制定標(biāo)準(zhǔn)化過(guò)程，從組織標(biāo)準(zhǔn)化過(guò)程中裁剪出針對(duì)特定需求的過(guò)程執(zhí)行已定義過(guò)程：PA的實(shí)施使用充

17、分定義的過(guò)程，對(duì)執(zhí)行結(jié)果進(jìn)行缺陷評(píng)審，使用充分定義的數(shù)據(jù)協(xié)調(diào)安全實(shí)施：執(zhí)行組內(nèi)協(xié)調(diào)、執(zhí)行組間協(xié)調(diào)、執(zhí)行外部協(xié)調(diào)33能力級(jí)別-4級(jí)量化控制級(jí) 只有知道它是什么才能度量它；當(dāng)被度量的對(duì)象是正確的，基于度量的管理才有意義這一級(jí)別注重于通過(guò)度量來(lái)促進(jìn)組織目標(biāo)的實(shí)現(xiàn)，盡管前面的級(jí)別也涉及度量的問(wèn)題，但是到這一級(jí)，度量數(shù)據(jù)在組織層面上被應(yīng)用。包括兩個(gè)公共特征：建立可測(cè)度的質(zhì)量目標(biāo)：為工作產(chǎn)品建立可測(cè)度的目標(biāo)對(duì)執(zhí)行情況實(shí)施客觀管理：為工作過(guò)程能力建立量化測(cè)量和改進(jìn)的標(biāo)準(zhǔn)34能力級(jí)別-5級(jí)持續(xù)改進(jìn)級(jí)-持續(xù)改進(jìn)的文化需要以完備的管理、清晰定義的過(guò)程和可度量的目標(biāo)為基礎(chǔ)。該級(jí)別強(qiáng)調(diào)根據(jù)已定義的過(guò)程執(zhí)行情況的反饋和

18、先進(jìn)創(chuàng)意與技術(shù)的追蹤，改進(jìn)執(zhí)行過(guò)程，提升工作績(jī)效，以更好地滿足業(yè)務(wù)目標(biāo)。包括兩個(gè)特征改進(jìn)組織能力：建立過(guò)程效能目標(biāo)，持續(xù)改進(jìn)標(biāo)準(zhǔn)化的過(guò)程改進(jìn)過(guò)程效能：進(jìn)行因果分析，消除缺陷根源，持續(xù)改進(jìn)已定義過(guò)程35SSE-CMM的使用SSE-CMM可應(yīng)用于所有從事某種形式的安全工程組織，這種應(yīng)用與生命期、范圍、環(huán)境或?qū)I(yè)無(wú)關(guān)。該模型適用于以下三種方式：“評(píng)定”，允許獲取組織了解潛在項(xiàng)目參加者的組織層次上的安全工程過(guò)程能力。“改進(jìn)”，使安全工程組織獲得自身安全工程過(guò)程能力級(jí)別的認(rèn)識(shí)，并不斷地改進(jìn)其能力。“保證”，通過(guò)有根據(jù)地使用成熟過(guò)程，增加可信產(chǎn)品、系統(tǒng)和服務(wù)的可信度。36SSE-CMM的使用評(píng)定SSE-C

19、MM Appraisal Method（SSAM）是一種組織或項(xiàng)目級(jí)的評(píng)估方法，通過(guò)多種數(shù)據(jù)采集方法來(lái)或區(qū)域待評(píng)估組織或項(xiàng)目相關(guān)的實(shí)踐過(guò)程的信息，目的在于取得一個(gè)真實(shí)實(shí)踐的基線（Baseline）或基準(zhǔn)（Benchmark），創(chuàng)建并支持用于改進(jìn)的要素；數(shù)據(jù)采集方法：?jiǎn)柧怼⒃L談、證據(jù)復(fù)審；評(píng)估階段：規(guī)劃（Planning），準(zhǔn)備（Preparation），現(xiàn)場(chǎng)（On-site），報(bào)告（Reporting）；37SSE-CMM評(píng)估方法（SSAM） 規(guī)劃階段范圍評(píng)定計(jì)劃評(píng)定準(zhǔn)備階段準(zhǔn)備評(píng)定組分發(fā)調(diào)查表合并證物分析證物和調(diào)查表查表現(xiàn)場(chǎng)階段領(lǐng)導(dǎo)簡(jiǎn)報(bào)/開(kāi)幕式采訪領(lǐng)導(dǎo)/專業(yè)人員分析數(shù)據(jù)確定調(diào)查結(jié)果產(chǎn)生排等級(jí)

20、的輪廓管理記錄工作結(jié)束報(bào)告階段產(chǎn)生最終報(bào)告向發(fā)起者報(bào)告評(píng)定結(jié)果管理評(píng)定實(shí)物報(bào)告取得的經(jīng)驗(yàn)教訓(xùn)38SSE-CMM的使用改進(jìn)SSE-CMM可以用作改進(jìn)組織安全工程過(guò)程的工具，建議采用SEI的IDEAL模型進(jìn)行Initiating（初始化）熟悉項(xiàng)目目標(biāo)和完成方式，開(kāi)發(fā)業(yè)務(wù)案例和項(xiàng)目執(zhí)行方法，獲得管理層批準(zhǔn)和支持，為成功的改進(jìn)努力做好鋪墊；Diagnosing（診斷）理解組織當(dāng)前和期望的過(guò)程成熟度狀態(tài)，這些是形成組織過(guò)程改進(jìn)行動(dòng)計(jì)劃的基礎(chǔ)；Establishing（建立）基于努力目標(biāo)和診斷階段開(kāi)發(fā)的建議來(lái)制定詳細(xì)的行動(dòng)計(jì)劃，并考慮到各種約束；Acting（操作）即實(shí)施階段，無(wú)論是資源還是時(shí)間，都需要各

21、方面付出最大程度的努力；Learning（學(xué)習(xí)）既是本次循環(huán)的終止，又是下一次改進(jìn)過(guò)程的開(kāi)端。對(duì)整個(gè)過(guò)程改進(jìn)活動(dòng)進(jìn)行評(píng)估。39課程內(nèi)容40信息安全工程知識(shí)體安全工程生命周期SSE-CMM體系與原理安全工程過(guò)程安全工程能力安全工程能力知識(shí)子域發(fā)掘信息保護(hù)需求開(kāi)展詳細(xì)安全設(shè)計(jì)實(shí)施系統(tǒng)安全確定系統(tǒng)安全要求設(shè)計(jì)系統(tǒng)安全體系結(jié)構(gòu)評(píng)估信息保護(hù)的有效性知識(shí)子域知識(shí)域信息系統(tǒng)安全工程41了解系統(tǒng)生命周期的概念和組成階段：發(fā)掘信息保護(hù)需求、確定系統(tǒng)安全要求、設(shè)計(jì)系統(tǒng)安全體系結(jié)構(gòu)、開(kāi)展詳細(xì)安全設(shè)計(jì)、實(shí)施系統(tǒng)安全、評(píng)估信息保護(hù)的有效性理解ISSE的含義：將系統(tǒng)工程思想應(yīng)用于信息安全領(lǐng)域，在系統(tǒng)生命周期的各階段充分考

22、慮和實(shí)施安全措施ISSE（Information System Security Engineering）ISSE過(guò)程42ISSE安全工程過(guò)程ISSE過(guò)程ISSE原理分為問(wèn)題空間和解決問(wèn)題空間問(wèn)題空間是由客戶的任務(wù)或業(yè)務(wù)需求確定的系統(tǒng)工程師和信息系統(tǒng)安全工程師確定解決問(wèn)題空間，它是由問(wèn)題空間推導(dǎo)出來(lái)的ISSE過(guò)程發(fā)掘信息保護(hù)需求確定系統(tǒng)安全要求設(shè)計(jì)系統(tǒng)安全體系結(jié)構(gòu)開(kāi)展詳細(xì)安全設(shè)計(jì)評(píng)估信息保護(hù)有效性實(shí)施系統(tǒng)安全發(fā)掘信息保護(hù)需求本階段的主要活動(dòng)界定范圍分析業(yè)務(wù)/任務(wù)識(shí)別基線（相關(guān)法律、法規(guī)、政策等要求）識(shí)別風(fēng)險(xiǎn)記錄需求獲得用戶/使用者的許可發(fā)掘信息保護(hù)需求發(fā)掘信息保護(hù)需求過(guò)程發(fā)掘信息保護(hù)需求發(fā)掘信

23、息保護(hù)需求主體發(fā)掘信息保護(hù)需求風(fēng)險(xiǎn)評(píng)估結(jié)果是安全需求的重要決定因素一切工程皆有需求信息安全工程的需求并不是工程的起點(diǎn)信息安全工程的需求應(yīng)從風(fēng)險(xiǎn)評(píng)估結(jié)果分析中得出需求與風(fēng)險(xiǎn)的一致性越強(qiáng)，則需求越準(zhǔn)確因此信息安全工程應(yīng)從風(fēng)險(xiǎn)著手，制定需求，這也符合信息安全保障（IA）的思想規(guī)范信息安全工程，必須從規(guī)范需求入手發(fā)掘信息保護(hù)需求實(shí)例1專項(xiàng)安全評(píng)估服務(wù)器端深度評(píng)估常規(guī)安全評(píng)估按照銀監(jiān)會(huì)電子銀行系統(tǒng)安全評(píng)估指引中要求的內(nèi)容開(kāi)展評(píng)估。安全策略、內(nèi)控制度、風(fēng)險(xiǎn)管理、系統(tǒng)安全性、業(yè)務(wù)持續(xù)性、應(yīng)急計(jì)劃、風(fēng)險(xiǎn)預(yù)警體 通過(guò)最直接的方式，最直觀的發(fā)現(xiàn)系統(tǒng)存在的安全隱患。 應(yīng)用安全驗(yàn)證測(cè)試滲透測(cè)試 環(huán)境安全檢測(cè)程序?qū)崿F(xiàn)安

24、全檢測(cè)業(yè)務(wù)保障安全檢測(cè)安全編譯選項(xiàng)檢測(cè)、BANNED API檢測(cè)、反逆向保護(hù)能力檢測(cè)、內(nèi)核驅(qū)動(dòng)接口安全檢測(cè)、文件數(shù)據(jù)處理安全檢測(cè)、身份認(rèn)證安全檢測(cè)等14個(gè)方面 客戶端深度評(píng)估風(fēng)險(xiǎn)評(píng)估的覆蓋度和深度，直接影響需求發(fā)掘的廣度和準(zhǔn)確性網(wǎng)上銀行案例發(fā)掘信息保護(hù)需求實(shí)例2案例某部委每年開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作，定期根據(jù)評(píng)估結(jié)果確定信息安全工程建設(shè)項(xiàng)目。風(fēng)險(xiǎn)評(píng)估結(jié)果解決方式市、省、國(guó)均可實(shí)現(xiàn)網(wǎng)絡(luò)層未授權(quán)的互訪部署防火墻產(chǎn)品未授權(quán)訪問(wèn)過(guò)程沒(méi)有監(jiān)控和審計(jì)措施部署IDS產(chǎn)品沒(méi)有能力識(shí)別未授權(quán)訪問(wèn)所使用惡意程序或代碼部署防病毒產(chǎn)品邊界防護(hù)體系建設(shè)科學(xué)全面的風(fēng)險(xiǎn)評(píng)估工作是不但保證需求提出的合理性，還是信息安全工程的

25、源頭發(fā)掘信息保護(hù)需求實(shí)例3案例某單位委托中國(guó)信息安全測(cè)評(píng)中心對(duì)其信息安全設(shè)計(jì)方案進(jìn)行評(píng)審，希望能夠在網(wǎng)絡(luò)魯棒性、安全性和產(chǎn)品選用的正確性等方面給出評(píng)審意見(jiàn)其信息安全設(shè)計(jì)方案中的內(nèi)容全部是對(duì)即將建設(shè)系統(tǒng)的愿景描述中國(guó)信息安全測(cè)評(píng)中心認(rèn)為無(wú)法滿足其評(píng)審需求原因分析：缺少對(duì)現(xiàn)有網(wǎng)絡(luò)風(fēng)險(xiǎn)的描述，沒(méi)有有效的需求提取與分析，無(wú)法找出有效的評(píng)審依據(jù)或基線，因此無(wú)法做到對(duì)方案的評(píng)審，或者提出的意見(jiàn)是協(xié)助其夯實(shí)風(fēng)險(xiǎn)識(shí)別的過(guò)程。發(fā)掘信息保護(hù)需求合理性符合性安全工程建設(shè)的需求從哪里來(lái)？發(fā)掘信息保護(hù)需求風(fēng)險(xiǎn)評(píng)估機(jī)制的引入，解決了工程建設(shè)需求合理性的問(wèn)題，符合性的問(wèn)題如何來(lái)解決？國(guó)家政策法規(guī)和合同協(xié)議等符合性要求也是安

26、全需求的重要決定因素發(fā)掘信息保護(hù)需求符合性的問(wèn)題包括：政策符合性、業(yè)務(wù)目標(biāo)符合性兩個(gè)方面政策符合性：符合法律法規(guī)、政策和標(biāo)準(zhǔn)的要求（如等級(jí)保護(hù)、BMB）業(yè)務(wù)目標(biāo)符合性：結(jié)合業(yè)務(wù)和IT特性，提出安全目標(biāo)因此制定適合本組織/單位的安全基線是十分必要的（與“確定系統(tǒng)安全要求”的內(nèi)容相結(jié)合）發(fā)掘信息保護(hù)需求CSDN5名作案者被拘，同時(shí)給予CSDN行政警告處罰，這是落實(shí)等級(jí)保護(hù)制度以來(lái)的首例“罰單”。發(fā)掘信息保護(hù)需求上述信息系統(tǒng)在政策合規(guī)性方面的要求并不高，但是其安全事件卻產(chǎn)生了較大影響上述事件都是由于沒(méi)有有效識(shí)別自身業(yè)務(wù)的安全風(fēng)險(xiǎn)（如個(gè)人隱私保護(hù)），沒(méi)有提出安全目標(biāo)、沒(méi)有制定安全基線，導(dǎo)致沒(méi)有實(shí)施原本

27、必要的安全措施而產(chǎn)生的ISSE過(guò)程發(fā)掘信息保護(hù)需求確定系統(tǒng)安全要求設(shè)計(jì)系統(tǒng)安全體系結(jié)構(gòu)開(kāi)展詳細(xì)安全設(shè)計(jì)實(shí)施系統(tǒng)安全評(píng)估信息保護(hù)有效性確定系統(tǒng)安全要求本階段主要活動(dòng)明確保障目標(biāo)明確系統(tǒng)邊界（網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)）識(shí)別數(shù)據(jù)流定義安全基線獲得認(rèn)可確定系統(tǒng)安全要求明確保障目標(biāo)。信息安全是信息化的重要組成部分，信息化是業(yè)務(wù)發(fā)展的重要組成部分，應(yīng)根據(jù)業(yè)務(wù)目標(biāo)和信息系統(tǒng)的目標(biāo)來(lái)確定信息安全保障策略我們保障的目標(biāo)是：業(yè)務(wù)安全，而不是簡(jiǎn)單的IT安全確定系統(tǒng)安全要求識(shí)別系統(tǒng)的背景（邊界、接口、數(shù)據(jù)流等）例：識(shí)別網(wǎng)絡(luò)邊界確定系統(tǒng)安全要求識(shí)別系統(tǒng)的背景（邊界、接口、數(shù)據(jù)流等）例：識(shí)別應(yīng)用接口和邊界確定系統(tǒng)安全要求識(shí)別系統(tǒng)

28、的背景（邊界、接口、數(shù)據(jù)流等）例：識(shí)別業(yè)務(wù)流確定系統(tǒng)安全要求信息系統(tǒng)用途、架構(gòu)等特征對(duì)安全風(fēng)險(xiǎn)特征的影響任何系統(tǒng)都是有風(fēng)險(xiǎn)的同樣一項(xiàng)IT技術(shù)應(yīng)用在不同的業(yè)務(wù)系統(tǒng)中，其風(fēng)險(xiǎn)程度不一定相同，甚至千差萬(wàn)別同等的應(yīng)用系統(tǒng)，采用不同的技術(shù)架構(gòu)，其安全風(fēng)險(xiǎn)也是不同的確定系統(tǒng)安全要求66高風(fēng)險(xiǎn)低風(fēng)險(xiǎn)網(wǎng)上銀行系統(tǒng)和某公司的內(nèi)部辦公系統(tǒng)，同樣采用Oracle數(shù)據(jù)庫(kù)，但是兩個(gè)系統(tǒng)面臨的安全風(fēng)險(xiǎn)是完全不同的確定系統(tǒng)安全要求同樣部署在省級(jí)單位的*系統(tǒng)數(shù)據(jù)庫(kù)，在A省采用匯聚交換機(jī)，集中管理方式；在B省采用直連核心交換機(jī)，分散管理方式。兩種不同的部署方式，也使得其面臨的風(fēng)險(xiǎn)迥異A省B省確定系統(tǒng)安全要求綜上，從信息安全工程

29、/保障的角度定義或描述信息系統(tǒng)時(shí)，應(yīng)以保障業(yè)務(wù)安全的思想為基礎(chǔ)，清楚認(rèn)識(shí)業(yè)務(wù)安全風(fēng)險(xiǎn)以及為業(yè)務(wù)提供服務(wù)/支撐的信息系統(tǒng)的安全風(fēng)險(xiǎn)，從而科學(xué)、全面地認(rèn)識(shí)信息系統(tǒng)及其安全屬性。ISSE過(guò)程發(fā)掘信息保護(hù)需求確定系統(tǒng)安全要求設(shè)計(jì)系統(tǒng)安全體系結(jié)構(gòu)開(kāi)展詳細(xì)安全設(shè)計(jì)實(shí)施系統(tǒng)安全評(píng)估信息保護(hù)有效性設(shè)計(jì)系統(tǒng)安全體系結(jié)構(gòu)定義與設(shè)計(jì)的區(qū)別設(shè)計(jì)系統(tǒng)安全體系結(jié)構(gòu)設(shè)計(jì)步驟設(shè)計(jì)系統(tǒng)安全體系結(jié)構(gòu)該階段的主要活動(dòng)分析體系結(jié)構(gòu)選擇安全機(jī)制類型設(shè)計(jì)安全體系結(jié)構(gòu)修改、選擇、確認(rèn)安全體系設(shè)計(jì)設(shè)計(jì)系統(tǒng)安全體系結(jié)構(gòu)信息安全建設(shè)必須與信息系統(tǒng)建設(shè)同步設(shè)計(jì)安全是信息系統(tǒng)建設(shè)過(guò)程的重要組成部分，忽視了安全的信息化建設(shè)是不完整的信息系統(tǒng)建設(shè)與信息

30、安全建設(shè)同步設(shè)計(jì)可以避免重復(fù)投資，增強(qiáng)效益設(shè)計(jì)系統(tǒng)安全體系結(jié)構(gòu)案例1某單位在信息化建設(shè)立項(xiàng)階段，高舉風(fēng)險(xiǎn)評(píng)估、等級(jí)保護(hù)大旗，提出“以風(fēng)險(xiǎn)評(píng)估為依據(jù)、以等級(jí)保護(hù)為基準(zhǔn)”，保障信息化建設(shè)的安全性，卻在預(yù)算中沒(méi)有風(fēng)險(xiǎn)評(píng)估經(jīng)費(fèi)；在需求書(shū)中明確了邊界防護(hù)安全需求，卻沒(méi)有后續(xù)的安全設(shè)計(jì)。訪談其管理人員得到回答：“安全只是保障信息化經(jīng)費(fèi)能夠充足的一種手段”安全不能只停留在立項(xiàng)報(bào)告、風(fēng)險(xiǎn)評(píng)估報(bào)告和需求書(shū)中，不是為了通過(guò)評(píng)審和立項(xiàng)需要而做的“假把式”設(shè)計(jì)信息保護(hù)系統(tǒng)案例2某單位網(wǎng)絡(luò)擴(kuò)容和安全建設(shè)項(xiàng)目，首先更換了交換機(jī)設(shè)備，欲再使用802.1X認(rèn)證技術(shù)部署網(wǎng)絡(luò)準(zhǔn)入產(chǎn)品，發(fā)現(xiàn)新增交換機(jī)無(wú)法匹配網(wǎng)絡(luò)準(zhǔn)入產(chǎn)品的認(rèn)證機(jī)制

31、，于是再次更換全部樓層交換，問(wèn)題得到解決。這表面上是產(chǎn)品的普適性問(wèn)題，根源是信息化建設(shè)在設(shè)計(jì)、部署過(guò)程缺乏統(tǒng)一的安全考慮。信息系統(tǒng)建設(shè)與信息安全建設(shè)同步設(shè)計(jì)可以避免重復(fù)投資，增強(qiáng)效益設(shè)計(jì)系統(tǒng)安全體系結(jié)構(gòu)根據(jù)安全需求有針對(duì)性地設(shè)計(jì)安全措施是非常必要的安全設(shè)計(jì)要依據(jù)安全需求安全設(shè)計(jì)要具備可行性和一定的前瞻性達(dá)到風(fēng)險(xiǎn)需求設(shè)計(jì)的一致性和協(xié)調(diào)性設(shè)計(jì)信息保護(hù)系統(tǒng)案例3某行業(yè)欲解決病毒防治問(wèn)題，在部署了防病毒軟件后，提出建立病毒爆發(fā)事前預(yù)警機(jī)制，于是開(kāi)展了部署“防病毒預(yù)警”產(chǎn)品。病毒預(yù)警的功能實(shí)際上就是病毒日志的匯總和統(tǒng)計(jì)所謂預(yù)警，目前只能做到用前5天的數(shù)據(jù)，預(yù)測(cè)后1天的病毒，且誤差在2天左右病毒預(yù)警產(chǎn)品只

32、支持特定品牌的防病毒軟件諸多省級(jí)單位為了適應(yīng)該預(yù)警系統(tǒng)，更換了原有的防病毒軟件，使特定品牌的病毒軟件“統(tǒng)一江湖”安全設(shè)計(jì)要具備可行性設(shè)計(jì)系統(tǒng)安全體系結(jié)構(gòu)設(shè)計(jì)系統(tǒng)安全體系結(jié)構(gòu)信息安全設(shè)計(jì)要注重高效性安全產(chǎn)品不是萬(wàn)能藥技術(shù)管理并重，疏導(dǎo)結(jié)合的思想應(yīng)在設(shè)計(jì)中予以充分體現(xiàn)發(fā)掘信息保護(hù)需求確定系統(tǒng)安全要求設(shè)計(jì)系統(tǒng)安全體系結(jié)構(gòu)開(kāi)展詳細(xì)安全設(shè)計(jì)實(shí)施系統(tǒng)安全評(píng)估信息保護(hù)有效性ISSE過(guò)程開(kāi)展詳細(xì)安全設(shè)計(jì)本階段的主要活動(dòng)確保詳細(xì)設(shè)計(jì)遵循結(jié)構(gòu)設(shè)計(jì)選擇具體的安全產(chǎn)品/服務(wù)設(shè)計(jì)安全產(chǎn)品/服務(wù)中應(yīng)具備的安全機(jī)制（如配置策略等）制定實(shí)施操作指南取得認(rèn)可開(kāi)展詳細(xì)安全設(shè)計(jì)在開(kāi)展詳細(xì)安全設(shè)計(jì)應(yīng)注意的主要環(huán)節(jié)：數(shù)據(jù)的正確處理輸入

33、數(shù)據(jù)的校驗(yàn)范圍之外的值無(wú)效數(shù)據(jù)類型丟失或不完整的數(shù)據(jù)未授權(quán)或非法的輸入：防止緩沖區(qū)溢出和代碼注入數(shù)據(jù)處理過(guò)程控制處理的時(shí)間順序發(fā)生故障后運(yùn)行的程序系統(tǒng)失效或處理錯(cuò)誤后的恢復(fù)輸出數(shù)據(jù)的驗(yàn)證輸出的去向正確數(shù)據(jù)的準(zhǔn)確性、完備性和精確性開(kāi)展詳細(xì)安全設(shè)計(jì)在開(kāi)展詳細(xì)安全設(shè)計(jì)應(yīng)注意的主要環(huán)節(jié)：加密控制選擇適當(dāng)?shù)募用芩惴愋?、?qiáng)度和質(zhì)量選擇加密的通信線路和加密內(nèi)容制定密鑰管理的方法密鑰的分發(fā)方式密鑰的保存密鑰的更新方式密鑰遺失、泄露和破壞后的處理方法密鑰的撤銷和銷毀開(kāi)展詳細(xì)安全設(shè)計(jì)在開(kāi)展詳細(xì)安全設(shè)計(jì)應(yīng)注意的主要環(huán)節(jié)：系統(tǒng)資源的安全系統(tǒng)軟件安裝控制：選擇安全的系統(tǒng)軟件、安裝必要的組件、防止盜版的安裝、及時(shí)更新系

34、統(tǒng)測(cè)試數(shù)據(jù)的保護(hù)：盡量不用真實(shí)生產(chǎn)數(shù)據(jù)，如果必須用，注意對(duì)拷貝過(guò)程進(jìn)行控制、對(duì)測(cè)試系統(tǒng)的訪問(wèn)控制、測(cè)試之后信息清除、有效的審計(jì)措施應(yīng)用系統(tǒng)源代碼保護(hù)：運(yùn)行系統(tǒng)盡量不保留源代碼對(duì)源代碼庫(kù)進(jìn)行訪問(wèn)控制管理向程序員發(fā)布源代碼源代碼庫(kù)的有效審計(jì)ISSE過(guò)程發(fā)掘信息保護(hù)需求確定系統(tǒng)安全要求設(shè)計(jì)系統(tǒng)安全體系結(jié)構(gòu)開(kāi)展詳細(xì)安全設(shè)計(jì)實(shí)施系統(tǒng)安全評(píng)估信息保護(hù)有效性實(shí)施系統(tǒng)安全該階段的主要活動(dòng)實(shí)現(xiàn)詳細(xì)設(shè)計(jì)檢驗(yàn)實(shí)現(xiàn)效果（功能的可用性、安全的有效性等）根據(jù)安全設(shè)計(jì)對(duì)實(shí)現(xiàn)進(jìn)行驗(yàn)證參與系統(tǒng)組件的集成，確保其滿足了系統(tǒng)安全規(guī)范，且未改變組件的規(guī)范參與系統(tǒng)組件的配置，確保安全特性已經(jīng)激活，且安全參數(shù)已得到正確設(shè)置，能夠提供所需的安全服務(wù)記錄實(shí)施過(guò)程支持測(cè)試與評(píng)估（建立測(cè)試評(píng)估基線、用例等）監(jiān)督驗(yàn)證、更新風(fēng)險(xiǎn)分析實(shí)施系統(tǒng)安全購(gòu)買(mǎi)/開(kāi)發(fā)采購(gòu)建設(shè)、集成測(cè)試、認(rèn)證實(shí)施系統(tǒng)安全證實(shí)已經(jīng)實(shí)現(xiàn)了的系統(tǒng)能夠?qū)乖硷L(fēng)險(xiǎn)評(píng)估中識(shí)別的威脅；初驗(yàn)、試運(yùn)行、終驗(yàn)等重要工程過(guò)程是確保詳細(xì)安全設(shè)計(jì)能夠落實(shí)的重要環(huán)節(jié)輸入并評(píng)審進(jìn)化系統(tǒng)生命期