信息安全工程-信息系统安全工程过程ppt课件.ppt

信息系统安全工程过程信息系统安全工程过程Add your company slogan 本章学习目标u了解 ISSE 过程的基本功能和实施框架u掌握 ISSE 过程的各个阶段的实施要点u理解 ISSE 过程的应用中国著名科学家钱学森院士认为：系统工程是组织管理系统规划、研究、制造、实验、使用的科学方法，是一种对所有系统都具有普遍意义的科学方法。 d系统工程是软科学不同于一般的工程技术学科，如水利工程、机械工程等“硬”工程；系统工程偏重于工程的组织与经营管理一类“软”科学的研究。系统工程大致可分为系统开发、系统制造和系统运用等3个阶段，而每一个阶段又可分为若干小的阶段或步骤。2.1 信息系统安全工程概述d 霍尔三维结构图（霍尔的系统工程）2.1 信息系统安全工程概述系统指标设计系统指标设计知识维知识维（专业、行业）（专业、行业）逻辑维逻辑维（工作步骤）（工作步骤）时间维时间维（阶段、进程）（阶段、进程）工程技术工程技术医学医学社会科学社会科学规划规划计划计划系统开发系统开发制造制造安装安装运行运行更新更新明确问题明确问题系统综合系统综合系统分析系统分析决策决策最优化最优化实施计划实施计划 d早期的信息安全工程方法理论来自于系统工程（SE）过程的方法。2.1 信息系统安全工程概述2.1 信息系统安全工程概述 在在SE基础上，美国军方提出了基础上，美国军方提出了信息系统安全工程（信息系统安全工程（ISSE），在，在1994年年2月月28日发布日发布信息系统安全工程手册信息系统安全工程手册v1.0。 1987年，卡内基年，卡内基梅隆大学软件研究所提出了梅隆大学软件研究所提出了软件过程能力成熟软件过程能力成熟度模型（度模型（CMM），1991年推出年推出1.0版。版。 1993年年5月，美国家安全局采用月，美国家安全局采用CMM方法学，针对安全方面的特方法学，针对安全方面的特殊需求，首次提出殊需求，首次提出信息安全工程能力成熟度模型（信息安全工程能力成熟度模型（SSE-CMM）。 1996年年8月，公共系统安全工程（月，公共系统安全工程（FPSSE）CMM工作组公布工作组公布SSE-CMM第第1个版本，个版本，1997年年4月月SSE-CMM评估方法。评估方法。1999年年4月月SSE-CMM v2.0和和SSE-CMM评定方法评定方法v2.0。 2002年年3月，月，SSE-CMM v2.0被接受为被接受为ISO/IEC 21827信息技信息技术术-系统安全工程系统安全工程-能力成熟度模型能力成熟度模型。 d 两种典型的信息安全工程实施方法对比：ISSE按照时间维描述；SSE-CMM以工程域维和能力维来描述；SSE-CMM不局限于只指导军方的信息安全工程实践，通过标准化、公开化，获得社会各方面工程的安全保证。2.1 信息系统安全工程概述d ISSE指导思想以满足用户安全需求为目的以系统风险分析为基础以系统工程的方法论为指导以技术、运行、人作为要素安全技术以纵深防御为支撑以生命期支持保证运行安全安全管理以安全实践为基础安全质量以测评认证为依据质量保证以动态安全原理（PDCA）为方法2.1 信息系统安全工程概述信息系统安全工程的基本功能d ISSE基本功能安全规划与控制确定安全需求支持安全设计分析安全操作支持安全生命周期管理安全风险信息系统安全工程的实施框架信息系统安全保障工程实施简要框架信息系统安全保障工程实施简要框架 信息系统安全工程的实施框架d ISSE过程计划的具体实现系统生命周期的调查/分析/立项阶段、开发/采购/设计阶段、实施阶段和运行/维护阶段。调查/分析/立项阶段 该阶段是发掘信息安全需求的阶段 此阶段需要完成工程规划、需求分析和风险评估过程，形成相应的规划报告、需求分析报告、风险评估报告、可行性报告等，并进行综合形成最终的立项报告进行评审。开发/采购/设计阶段 该阶段是定义和设计信息安全系统的阶段。 此阶段需要形成相应的设计文档，包括：安全保障方案、安全保障工程实施方案、安全保障监理方案、安全服务方案等。信息系统安全工程的实施框架实施阶段 该阶段是对信息安全系统进行工程实施和试运行过程的阶段 此阶段需要完成验收报告、安全评估报告等。运行/维护阶段 该阶段是在系统运行过程中评估信息系统有效性的阶段。 此阶段需要完成测试报告、评估报告、认证证书等，或者说，在运行阶段，可根据需要进行安全测试等安全服务，定期进行风险评估和系统评估，并进行系统认证。废弃阶段 该阶段是系统生命周期的终结。 需要完成系统废弃验收报告。d 信息安全需求发掘是信息系统安全工程重要的一步，是完成信息系统安全工程的基础。 整个过程大致分为了解信息保护需求、掌握信息系统威胁以及考虑信息安全策略三个部分。d 过程图2.2 信息安全需求的挖掘了解信息保护需求 首先要考虑的是存在哪些信息威胁以及这些威胁会带来怎样的损失 帮助用户分析信息和业务流程的关系 对系统资源的调查和资源的价值的分析 完成系统风险的排序，对信息进行分级划分，根据相应的排序最终形成系统的安全策略掌握信息系统威胁 信息系统的脆弱性体现在信息系统的威胁当中。 一个信息系统主要受到的威胁大致来自于以下几个方面：2.2 信息安全需求的挖掘 恶意攻击恶意攻击 系统漏洞系统漏洞 系统本身的缺陷系统本身的缺陷考虑信息安全策略 信息安全策略是一个组织解决信息安全问题最重要的步骤，也是组织整个信息安全体系的基础。 信息安全策略的保护对象包括硬件与软件、数据和人员。 整个安全策略的制定过程包括：确定信息安全策略的范围、风险评估/分析或者审计以及信息安全策略的审查、批准和实施。 制定信息安全策略的目的如下：2.2 信息安全需求的挖掘如何使用组织中的信息系统资源如何使用组织中的信息系统资源如何处理敏感信息如何处理敏感信息如何采用安全技术产品如何采用安全技术产品d 信息系统安全要求是每一个信息系统进行安全建设时必须明确的。 一般信息安全系统定义分为以下几个部分：确定信息保护的目标、描述信息系统联系、检查信息保护需求以及信息系统的功能分析。d 信息安全系统定义图2.3 信息系统安全的定义2.3 信息系统安全的定义确定信息保护的目标 在描述信息系统中的保护对象时通常有以下的度量：描述信息系统联系 信息系统联系指的是信息系统的安全背景环境，即与外界交互的功能接口。检查信息保护需求 信息保护需求从用户的期望经过协商定义后被转换成一系列的安全标准规范，对这些安全标准规范进行查缺补漏时需要满足正确性、完整性、一致性、不可否认性等特征。信息系统的功能分析信息保护目标对系统中的哪些对象提供支持信息保护目标对系统中的哪些对象提供支持信息保护的目标会面临哪些威胁信息保护的目标会面临哪些威胁所保护的目标在被威胁攻破后会带来怎样的后果所保护的目标在被威胁攻破后会带来怎样的后果用怎样的保护策略来支持相应的信息保护目标用怎样的保护策略来支持相应的信息保护目标d 信息系统安全工程师要与系统工程师合作，一起分析待建系统的体系结构，完成功能的分析和分配、信息保护预设计以及信息保护详细设计等工作。2.4 信息系统安全的设计功能分配 功能分配过程要做到： 人、软件、硬件功能对应 整个功能分配过程如下：提炼、验证并检查安全要求与威胁评估的技术原理。提炼、验证并检查安全要求与威胁评估的技术原理。 确保一系列的低层要求能够满足系统级的要求。确保一系列的低层要求能够满足系统级的要求。完成系统级体系结构、配置项和接口定义。完成系统级体系结构、配置项和接口定义。2.4 信息系统安全的设计确定安全系统的组件或要素。确定安全系统的组件或要素。 将安全功能分配给这些要素，并描述这些要素间的将安全功能分配给这些要素，并描述这些要素间的关系。关系。信息保护预设计 分析设计约束和均衡取舍。 具体包括以下内容： 制定出系统建造的规范：根据之前分析系统安全体系结构的结果，对已经定根据之前分析系统安全体系结构的结果，对已经定义好的安全功能进行检查和修改。义好的安全功能进行检查和修改。 选择相应的安全机制类型，验证并保证满足所有的选择相应的安全机制类型，验证并保证满足所有的安全需求。安全需求。加入系统工程过程，对信息保护预设计进行审查，加入系统工程过程，对信息保护预设计进行审查，包括认证包括认证/认可（认可（C/A）、管理决策和风险分析等。）、管理决策和风险分析等。2.4 信息系统安全的设计检查、细化并改进前期需求和定义的成果，特别是检查、细化并改进前期需求和定义的成果，特别是配置项的定义和接口规范。配置项的定义和接口规范。 从现有解决方案中找到与配置项一致的方案，并验从现有解决方案中找到与配置项一致的方案，并验证是否满足高层信息保护要求。证是否满足高层信息保护要求。加入系统工程过程，并支持认证加入系统工程过程，并支持认证/认可（认可（C/A）和管）和管理决策，提出风险分析结果。理决策，提出风险分析结果。信息保护详细设计 进一步完善方案、细化规范、检查细节：检查、细化并改进预设计阶段的成果。检查、细化并改进预设计阶段的成果。对解决方案提供细节设计资料以支持系统层和配置对解决方案提供细节设计资料以支持系统层和配置层的设计。层的设计。检查关键设计的原理和合理性。检查关键设计的原理和合理性。设计信息保护测试与评估程序。设计信息保护测试与评估程序。 实施并追踪信息保护的保障机制。实施并追踪信息保护的保障机制。 检验配置项层设计与上层方案的一致性。检验配置项层设计与上层方案的一致性。 提供各种测试数据。提供各种测试数据。 检查和更新信息保护的风险和威胁计划。检查和更新信息保护的风险和威胁计划。 加入系统工程过程，并支持认证加入系统工程过程，并支持认证/认可（认可（C/A）和管）和管理决策，提出风险分析结果。理决策，提出风险分析结果。2.4 信息系统安全的设计d 这一阶段的目标是采办、集成、配置、测试、记录和培训。d 结束标志是最终系统有效性行为评估，给出满足系统要求和任务需求的证据。2.5 信息系统安全的实施采购部件 根据市场产品的研究、偏好和最终的效果，来决定是购买还是自行生产的方式来获得。 采购部件/系统应做到：确保考虑了全部相关的安全因素。确保考虑了全部相关的安全因素。察看现有产品是否能满足系统部件的需求，最好有察看现有产品是否能满足系统部件的需求，最好有多种产品可供选择。多种产品可供选择。 验证一系列潜在的可行性选项。验证一系列潜在的可行性选项。 考虑将来技术的发展，新技术和新产品如何运用到考虑将来技术的发展，新技术和新产品如何运用到系统中去。系统中去。2.5 信息系统安全的实施建造系统 确保已设计出必要的保护机制。要重视：部件的集成是否满足系统安全规范？部件的集成是否满足系统安全规范？部件的配置是否保证了必要的安全特性，以及安全部件的配置是否保证了必要的安全特性，以及安全参数能否正确配置以便提供所要求的安全服务？参数能否正确配置以便提供所要求的安全服务？ 对设备、部件是否有物理安全保护措施？对设备、部件是否有物理安全保护措施？ 组装、建造系统的人员是否对工作流程有足够的知组装、建造系统的人员是否对工作流程有足够的知识和权限？识和权限？2.5 信息系统安全的实施测试系统 给出测试计划、工作流程、测试用例、工具等，主要包括如下工作：检查、细化并改进设计信息安全系统的阶段结果。检查、细化并改进设计信息安全系统的阶段结果。 检验解决方案的信息保护需求和约束限制等条件，检验解决方案的信息保护需求和约束限制等条件，并实施相关的系统验证和确认机制与决策。并实施相关的系统验证和确认机制与决策。 跟踪实施与系统实施和测试相关的系统保障机制。跟踪实施与系统实施和测试相关的系统保障机制。 鉴别测试数据的可用性。鉴别测试数据的可用性。 提供安全支持计划，包括逻辑上的、有关维护和培提供安全支持计划，包括逻辑上的、有关维护和培训等方面。训等方面。 加入系统工程过程，并支持认证加入系统工程过程，并支持认证/认可（认可（C/A）和管）和管理决策，提出风险分析结果。理决策，提出风险分析结果。2.5 信息系统安全的实施d ISSE强调信息保护系统的有效性。 有效性评估的重点：2.6 信息系统安全的评估系统的互操作安全性，即系统是否通过外部接口正确地保系统的互操作安全性，即系统是否通过外部接口正确地保护了信息？护了信息？ 系统的可用性，即系统是否能给用户提供信息资源与信息系统的可用性，即系统是否能给用户提供信息资源与信息保护？保护？ 用户需要接受什么样的培训，才能正确地操作和维护信息用户需要接受什么样的培训，才能正确地操作和维护信息保护系统？保护系统？ 人机界面或接口是否有缺陷，从而导致出错？人机界面或接口是否有缺陷，从而导致出错？ 建造和维护信息系统的成本是否可以接受？建造和维护信息系统的成本是否可以接受？ 确定风险和可能的任务影响，并提供报告。确定风险和可能的任务影响，并提供报告。d 实例背景 目前，现有大型企业的生产已经高度依赖企业的信息化和各类信息系统。 信息系统稳定运行的决定因素始终都在于人员的操作。 运行维护过程中发现目前的信息安全保障体系不能满足本单位信息化建设的需要时，要对保障体系进行新的规划和设计。 该实例将基于 ISSE 过程对企业上机管理系统的安全保障工程建设进行详细的分析和说明。2.7 信息系统安全实例d 上机管理系统安全需求的发掘 该企业上机管理系统主要进行处理的是记录，管理企业内部使用者对互联网的记录。 该系统的权限分为用户和管理员。 该系统可分为管理员模块与用户模块。2.7 信息系统安全实例d 上机管理系统安全的定义 信息保护的内容主要为上机者的各种信息及系统自身的信息提供保护。 保护基本要求可分为技术保护要求和管理保护要求。2.7 信息系统安全实例信息保护目标和任务过程的相关威胁 确保该系统满足五大信息安全基本性质的目标： 根据网络安全 PDRR 模型（Protection、Detection、Reaction、Recorery，即防护、检测、响应、恢复）在 4 个方面建立安全技术体系。数据完整性数据完整性：保证企业上机网络中用户之间传送的资源是完：保证企业上机网络中用户之间传送的资源是完整的、未经篡改的数据包。整的、未经篡改的数据包。可用性可用性：保证合法上机用户在申请其权限之内的公共资源时，：保证合法上机用户在申请其权限之内的公共资源时，服务器能够提供其需要的资源。服务器能够提供其需要的资源。可靠性可靠性：保证在企业需要的时间段内，系统不会因为外部或：保证在企业需要的时间段内，系统不会因为外部或内部攻击以及其他问题导致停止响应甚至崩溃的情况。内部攻击以及其他问题导致停止响应甚至崩溃的情况。数据机密性数据机密性：保证任意用户的身份信息和用户口令等私密信：保证任意用户的身份信息和用户口令等私密信息在系统中得到机密性保护。息在系统中得到机密性保护。不可抵赖性不可抵赖性：任意用户都不能否认自己进行的每一次操作，：任意用户都不能否认自己进行的每一次操作，不能抵赖自己执行的非法操作。不能抵赖自己执行的非法操作。2.7 信息系统安全实例上机管理系统的任务处理过程 针对系统的任务处理过程与其他系统间的逻辑边界，给出下述流程。2.7 信息系统安全实例上机管理系统信息保护需求检查 对信息保护目标进行特征检查，从以下几方面入手：2.7 信息系统安全实例可靠性可靠性：由于本系统要求能对机房上机人员及其相关信息进：由于本系统要求能对机房上机人员及其相关信息进行管理，因此要求本系统能够及时地反映上机人员的情况。行管理，因此要求本系统能够及时地反映上机人员的情况。易用性易用性：系统的界面要简洁，直观。：系统的界面要简洁，直观。安全性安全性：系统要对系统的数据库的查询修改权限进行分配管：系统要对系统的数据库的查询修改权限进行分配管理。理。可维护性可维护性：在系统出现异常时，系统要有重置并维护当时数：在系统出现异常时，系统要有重置并维护当时数据库数据的功能。据库数据的功能。可移植性可移植性：在完成系统功能时，要考虑不同的上机环境。针：在完成系统功能时，要考虑不同的上机环境。针对不同的系统，都能够进行监控。对不同的系统，都能够进行监控。可扩充性可扩充性：系统应留有接口，以支持后续的功能添加。：系统应留有接口，以支持后续的功能添加。上机管理系统功能分析 检查系统的防火墙、入侵检测、防病毒网关、非法外连检测、网闸、逻辑隔离、物理隔离、信息过滤等方面的配置项是否按照安全等级的需求正确开启。2.7 信息系统安全实例d 上机管理系统安全的设计2.7 信息系统安全实例上机管理系统的功能分配 功能分配过程要做到：提炼、验证并检查安全要求与威胁评估的技术原理，确保一系列的低层要求能够满足系统级的要求，完成系统级体系结构、配置项和接口定义。 例如： 办理上机证功能是用户使用本系统的首要步骤，管理者通过该功能为用户注册上机证，并将用户的个人信息储存在系统数据库中。上机管理系统信息保护的预设计 身份鉴别要求包括以下内容：2.7 信息系统安全实例对登录操作系统和数据库系统的用户进行身份标识和鉴别。对登录操作系统和数据库系统的用户进行身份标识和鉴别。系统管理用户身份标识应具有不易被冒用的特点，口令应有系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换。复杂度要求并定期更换。应启用登录失败处理功能，可采取结束会话、限制非法登录应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施。次数和自动退出等措施。当对服务器进行远程管理时，应采取必要措施，防止鉴别信当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听。息在网络传输过程中被窃听。为系统不同用户分配不同的用户名，确保用户名具有唯一性为系统不同用户分配不同的用户名，确保用户名具有唯一性这个原则。这个原则。采用两种或两种以上的组合鉴别技术对用户进行身份鉴别。采用两种或两种以上的组合鉴别技术对用户进行身份鉴别。上机管理系统信息保护的预设计 访问控制要求包括以下内容： 安全审计要求包括以下内容：2.7 信息系统安全实例启用访问控制功能，依据安全策略控制用户对资源的访问权限。启用访问控制功能，依据安全策略控制用户对资源的访问权限。根据管理用户的角色分配权限，实现管理用户的权限分离，仅授根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限。予管理用户所需的最小权限。实现操作系统和数据库系统特权用户的权限分离。实现操作系统和数据库系统特权用户的权限分离。严格限制默认账户的访问权限，重命名系统默认账户，修改这些严格限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令。账户的默认口令。及时删除冗余的、过期的账户，避免共享账户的存在。及时删除冗余的、过期的账户，避免共享账户的存在。对重要信息资源设置敏感标记。对重要信息资源设置敏感标记。依据安全策略严格控制用户对有敏感标记的重要信息资源的操作。依据安全策略严格控制用户对有敏感标记的重要信息资源的操作。审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。数据库用户。审计内容应包括重要用户行为、系统资源的异常使用和重要系统审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等。命令的使用等。d 上机管理系统的详细信息保护设计2.7 信息系统安全实例上机管理系统的系统层设计如下：认证/认可（C/A）的详细设计 应用系统身份认证 综合应用平台单点登录 远程 VPN 访问身份认证2.7 信息系统安全实例d 上机管理系统安全的实施2.7 信息系统安全实例部件采购 企业上机系统需要安全的系统防护，包括用户机不能攻击服务器、在企业外部无法连接服务器和用户无法不经过验证使用客户机。上机管理系统的建造 在系统部件与设备的安全保护措施上，我们则考虑到如下几点：设备的运行安全设备的运行安全设备的检修安全设备的检修安全上机管理系统的测试 检查上机管理系统是否实现了相关的保护需求。d 上级管理系统的评估2.7 信息系统安全实例评估的范围包括该信息系统网络、管理制度、使用或管理该信息系统的相关人员，以及由系统使用时所产生的文档、数据。 该系统的风险评估项目可以分为以下几个部分：项目准备项目准备现状调研现状调研检查与测试检查与测试分析评估分析评估编制评估报告编制评估报告小 结1. ISSE是对信息系统建设中涉及的多种要素按照系统论的科学方法来进行操作的一种安全工程理论。2. ISSE过程分为发掘信息安全需求、定义信息安全系统、设计信息安全系统、实施信息安全系统和评估信息安全系统等阶段。 3. 在建设信息系统安全保障体系时，可以按照ISSE过程的思想，充分考虑对信息系统进行安全需求分析、设计、开发和维护，保障系统在全生命周期内的安全服务。作 业1. ISSE 是什么？主要包括哪些过程？2. ISSE 的指导思想是什么？3. ISSE 的基本功能有哪些？每个功能具有哪些作用？4. 请简要概述 ISSE 的实施框架。5. 信息系统的安全需求是如何发掘的？作 业6. 从哪些方面定义信息安全系统？7. 信息安全系统的设计要经历哪几个过程以及每个过程需要做什么8. 实施信息安全时需要考虑哪些问题？9. 信息安全系统评估在 ISSE 过程中各个阶段的作用有哪些？10.请简述 ISSE 在上机管理系统中的应用。实 验 实验一 基于 ISSE 过程的网络安全需求分析及解决方案 实验内容：根据建网情况分析网络的安全需求，给出相应的分析过程，并根据安全需求进行具体规划，给出解决方案。