信息安全系统工程ISSE.pptx

《信息安全系统工程ISSE.pptx》由会员分享，可在线阅读，更多相关《信息安全系统工程ISSE.pptx（74页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、一、概述一、概述(i sh)n n1、什么是信息安全工程n n2、为什么需要(xyo)信息安全工程n n3、信息安全工程的发展第一页，共74页。什么什么(shn me)是信息安全工程是信息安全工程n n信息安全保障(bozhng)问题的解决既不能只依靠纯粹的技术，也不能靠简单的安全产品的堆砌，它要依赖复杂的系统工程信息安全工程。n n信息安全工程：n n是采用工程的概念、原理、技术和方法，来研究、开发、实施与维护信息系统安全的过程，它是将经过时间考验证明是正确的工程实施流程、管理技术和当前能够得到的最好的技术方法相结合的过程。第二页，共74页。为什么需要为什么需要(xyo)信息安全工信息安全工

2、程程n n信息安全的现状信息安全的现状(xinzhung)(xinzhung)是比较脆弱的，在安全体制、安全是比较脆弱的，在安全体制、安全管理等各个方面存在的问题十分严重而突出，且不容乐观；但也管理等各个方面存在的问题十分严重而突出，且不容乐观；但也可以看到，从可以看到，从2020世纪世纪9090年代中期到年代中期到2121世纪初，无论是政府部门、世纪初，无论是政府部门、企业，还是个人用户，安全意识明显增强企业，还是个人用户，安全意识明显增强n n在在InternetInternet发展的短短几年，人们对安全的理解，从早期的安全就发展的短短几年，人们对安全的理解，从早期的安全就是杀毒防毒，到后

3、来的安全就是安装防火墙，到现在的购买系列是杀毒防毒，到后来的安全就是安装防火墙，到现在的购买系列安全产品，在一步一步地加深。安全产品，在一步一步地加深。n n但是应该注意到，这些理解依然存在着但是应该注意到，这些理解依然存在着“头痛医头，脚痛医脚头痛医头，脚痛医脚”的片面性，没有将信息安全问题作为一个系统工程来考虑对待；的片面性，没有将信息安全问题作为一个系统工程来考虑对待；n n由于信息安全保障问题的极端复杂性，因此在信息系统建设中必由于信息安全保障问题的极端复杂性，因此在信息系统建设中必须遵循信息安全工程方法。须遵循信息安全工程方法。第三页，共74页。信息安全的复杂性信息安全的复杂性n n

4、1 1）信息安全具有社会性）信息安全具有社会性n n信息安全问题具有前所未有的广泛性和综合性，由于可信息安全问题具有前所未有的广泛性和综合性，由于可能影响到安全的因素不断增多，即使是一个简单的信息能影响到安全的因素不断增多，即使是一个简单的信息系统，也往往因为人机交互而涉及到组织结构、人员、系统，也往往因为人机交互而涉及到组织结构、人员、物理安全、培训等方面的要求；物理安全、培训等方面的要求；n n在面对每一个信息系统的安全保障问题时，都要考虑在面对每一个信息系统的安全保障问题时，都要考虑(kol)(kol)这个系统与非技术因素的交互，将其放在整个这个系统与非技术因素的交互，将其放在整个社会化

5、的环境下考虑社会化的环境下考虑(kol)(kol)。n n2 2）信息安全具有全面性）信息安全具有全面性n n信息安全问题需要全面考虑信息安全问题需要全面考虑(kol)(kol)，系统安全程度取，系统安全程度取决于系统最薄弱的环节。决于系统最薄弱的环节。第四页，共74页。信息安全的复杂性（续）信息安全的复杂性（续）n n3 3）信息安全具有过程性或生命周期性）信息安全具有过程性或生命周期性n n一个完整的安全过程至少应包括安全目标与原则的确定、一个完整的安全过程至少应包括安全目标与原则的确定、风险分析、需求风险分析、需求(xqi)(xqi)分析、安全策略研究、安全体分析、安全策略研究、安全体系

6、结构的研究、安全实施领域的确定、安全技术与产品系结构的研究、安全实施领域的确定、安全技术与产品的测试与选型、安全工程的实施、安全工程的实施监理、的测试与选型、安全工程的实施、安全工程的实施监理、安全工程的测试与运行、安全意识的教育与技术培训、安全工程的测试与运行、安全意识的教育与技术培训、安全稽核与检查、应急响应等，这一个过程是一个完整安全稽核与检查、应急响应等，这一个过程是一个完整的信息安全工程的生命周期。的信息安全工程的生命周期。n n经过安全稽核与检查后，又形成新一轮的生命周期，是经过安全稽核与检查后，又形成新一轮的生命周期，是一个不断往复的不断上升的螺旋式安全模型。一个不断往复的不断上

7、升的螺旋式安全模型。第五页，共74页。信息安全的复杂性（续）信息安全的复杂性（续）n n4 4）信息安全具有动态性）信息安全具有动态性n n信息技术在发展，黑客水平也在提高，安全策略、安全信息技术在发展，黑客水平也在提高，安全策略、安全体系、安全技术也必须动态地调整，在最大程度上使安体系、安全技术也必须动态地调整，在最大程度上使安全系统能够跟上实际情况的变化发挥效用，使整个安全全系统能够跟上实际情况的变化发挥效用，使整个安全系统处于不断更新、不断完善、不断进步的动态过程中。系统处于不断更新、不断完善、不断进步的动态过程中。n n5 5）信息安全具有层次性）信息安全具有层次性n n信息系统的构成

8、本身就是层次性的（主要有物理、网络信息系统的构成本身就是层次性的（主要有物理、网络(wnglu)(wnglu)、系统、应用和管理等层面），需要用多层、系统、应用和管理等层面），需要用多层次的安全技术、方法与手段，分层次地化解安全风险。次的安全技术、方法与手段，分层次地化解安全风险。第六页，共74页。信息安全的复杂性（续）信息安全的复杂性（续）n n6 6）信息安全具有）信息安全具有(jyu)(jyu)相对性相对性n n安全是相对的，没有绝对的安全可言；安全是相对的，没有绝对的安全可言；n n首先，安全的动态性决定了所谓的安全只能是相对于首先，安全的动态性决定了所谓的安全只能是相对于过去的安全，

9、相对未来而言，当前的安全很可能会表过去的安全，相对未来而言，当前的安全很可能会表现为不安全；现为不安全；n n其次，安全不是目的，安全措施应该与保护的信息与其次，安全不是目的，安全措施应该与保护的信息与网络系统的价值相称，因此，实施信息安全工程要充网络系统的价值相称，因此，实施信息安全工程要充分权衡风险威胁与防御措施的利弊与得失，在安全级分权衡风险威胁与防御措施的利弊与得失，在安全级别与投资代价之间取得一个企业能够接受的平衡点，别与投资代价之间取得一个企业能够接受的平衡点，人们追求的是在适度风险下的相对安全，而非绝对的人们追求的是在适度风险下的相对安全，而非绝对的安全。安全。第七页，共74页。

10、信息安全工程信息安全工程(gngchng)的发的发展展n n早期的信息安全工程方法理论来自于系统工程(SE)过程方法。n n美国军方最早在系统工程理论基础之上开发了信息系统安全工程（ISSE），并于1994年2月28日发表了信息系统安全工程手册v1.0。n nISSE由系统工程过程发展而来，因而其风格仍然沿袭(ynx)了以时间维划定工程元素的方法学，这也暴露出了一些不足：第八页，共74页。信息安全工程信息安全工程(gngchng)的发的发展（续）展（续）n n1 1）很多安全要求应该贯彻在整个工程过程之中，尤其）很多安全要求应该贯彻在整个工程过程之中，尤其(yuq)(yuq)是信息安全的保证要

11、求，而是信息安全的保证要求，而ISSEISSE对其缺乏有针对其缺乏有针对性的讨论；对性的讨论；n n2 2）此外，信息安全的内容及其庞杂，一次完整的信息）此外，信息安全的内容及其庞杂，一次完整的信息安全工程过程，往往会涉及到多个复杂的安全领域，安全工程过程，往往会涉及到多个复杂的安全领域，而有些领域的时间过程性却不明显，以时间维为线索而有些领域的时间过程性却不明显，以时间维为线索的描述方式不适合反映出这些内容。的描述方式不适合反映出这些内容。n n后来，在信息系统安全工程方法的发展上，出现了第后来，在信息系统安全工程方法的发展上，出现了第二种思路：过程能力成熟度的方法，其基础是二种思路：过程能

12、力成熟度的方法，其基础是CMMCMM（能力成熟度模型）。（能力成熟度模型）。第九页，共74页。信息安全工程信息安全工程(gngchng)的发的发展（续）展（续）n nCMMCMM的的1.01.0版在版在19911991年年8 8月由卡内基月由卡内基-梅隆大学软件工程研梅隆大学软件工程研究所发布。究所发布。n n同期，同期，NSANSA也开始了对信息安全工程能力的研究，并选取也开始了对信息安全工程能力的研究，并选取了了CMMCMM的思想作为其方法学，正式启动了的思想作为其方法学，正式启动了SSE-CMMSSE-CMM系统安全工程系统安全工程能力成熟度模型能力成熟度模型(mxng)(mxng)研究

13、项目。研究项目。n n19961996年年1010月发布了月发布了SSE-CMMSSE-CMM的的1.01.0版本，继而在版本，继而在19971997年年春制定完成了春制定完成了SSE-CMMSSE-CMM评定方法的评定方法的1.01.0版本。版本。n n19991999年年4 4月，形成了和月，形成了和SSE-CMMSSE-CMM评定方法。评定方法。n n20022002年年3 3月，月，SSE-CMMSSE-CMM得到了得到了ISOISO的采纳，成为的采纳，成为ISOISO的标的标准准ISO/IEC21827ISO/IEC21827，冠名为信息技术，冠名为信息技术系统安全工程系统安全工程能

14、力成熟度模型能力成熟度模型(mxng)(mxng)。第十页，共74页。二、系统工程二、系统工程(SE)过程过程(guchng)n n1、系统工程过程(guchng)概况n n2、通用系统工程过程(guchng)活动n n3、系统工程过程(guchng)的几个原则第十一页，共74页。2.1 系统工程过程系统工程过程(guchng)概况概况挖掘挖掘需求需求定义定义系统系统设计设计系统系统体系体系结构结构详细详细设计设计实施实施系统系统评估有效性评估有效性第十二页，共74页。2.2 系统工程过程系统工程过程(guchng)活动活动n n通用通用SESE过程由如下活动构成：过程由如下活动构成：n n1

15、 1、发掘需求；、发掘需求；n n2 2、定义系统要求；、定义系统要求；n n3 3、设计系统体系结构；、设计系统体系结构；n n4 4、开展详细设计；、开展详细设计；n n5 5、实现系统；、实现系统；n n6 6、评估有效性。、评估有效性。n n在上图中，箭头显示了信息在不同活动间的流向，但并不一定在上图中，箭头显示了信息在不同活动间的流向，但并不一定意味着各活动之间的顺序或时间性。意味着各活动之间的顺序或时间性。n n用户用户/用户代表并不是一个系统工程活动，之所以标注用户用户代表并不是一个系统工程活动，之所以标注用户/用用户代表的原因在于提醒我们，所有的活动中，必须不断地在系户代表的原

16、因在于提醒我们，所有的活动中，必须不断地在系统工程师或信息系统安全工程师与用户之间进行交流统工程师或信息系统安全工程师与用户之间进行交流(jioli)(jioli)和反馈。和反馈。第十三页，共74页。2.2.1 发掘发掘(fju)需求需求n n系统工程师帮助客户理解并记录用来支持其业务系统工程师帮助客户理解并记录用来支持其业务(business)(business)或或任务任务(mission)(mission)的信息管理的需求的信息管理的需求(Needs)(Needs)，信息需求说明可以，信息需求说明可以在信息管理模型在信息管理模型(IMM-informationmanagementmode

17、l)(IMM-informationmanagementmodel)中记录。中记录。n n发掘需求是发掘需求是SESE过程的起点，是针对用户需求以及用户环境中的过程的起点，是针对用户需求以及用户环境中的相关策略相关策略(cl)(cl)、法规和标准的一系列判断。、法规和标准的一系列判断。n n系统工程师要标识所有的用户及这些用户与系统的交互，标识系统工程师要标识所有的用户及这些用户与系统的交互，标识他们所扮演的角色、承担的责任以及在系统生命周期各阶段中他们所扮演的角色、承担的责任以及在系统生命周期各阶段中的授权。的授权。n n需求应该来自用户的视角，不应该对设计产生过度的约束，并需求应该来自用户

18、的视角，不应该对设计产生过度的约束，并且要通过用户语言来进行文档化。且要通过用户语言来进行文档化。第十四页，共74页。发掘发掘(fju)需求（续）需求（续）n n业务(business)/任务(mission)描述n nSE或ISSE的全部工作都是为了使一个机构的本职业务/任务能够顺利实施；n n因此，在挖掘(wju)需求时，首要的一步就是确定任务/业务的需求，而不是工程或信息安全需求；n n任务描述的重点之一是对任务环境进行描述。n n需要考虑的策略和政策n n在进行系统工程时必须考虑对机构具有约束力的政策、法规和标准；n n事实上，政策、法规问题是导致很多系统工程失败的主要原因之一。第十五

19、页，共74页。2.2.2 定义定义(dngy)系统系统n n在该阶段，系统工程师必须明确系统要完成的功能，在该阶段，系统工程师必须明确系统要完成的功能，包括该功能的实现应达到的程度以及系统的外部包括该功能的实现应达到的程度以及系统的外部(wib)(wib)接口。接口。n n由需求到目标、目标到要求以及要求到功能的各个由需求到目标、目标到要求以及要求到功能的各个翻译环节均要采用工程语言。翻译环节均要采用工程语言。n n目标描述能够通过描述系统的预期运行效果而满足目标描述能够通过描述系统的预期运行效果而满足需求，系统工程师必须能将目标同此前提出的需求需求，系统工程师必须能将目标同此前提出的需求相联

20、系，并且能够从理论上加以解释。相联系，并且能够从理论上加以解释。n n系统工程师要在该阶段考虑一套或多套能够满足由系统工程师要在该阶段考虑一套或多套能够满足由客户提出并记录在客户提出并记录在IMMIMM中的系统需求的解决方案集。中的系统需求的解决方案集。第十六页，共74页。NEEDSSystemExternalSystemExternalSystemExternalSystemSolution SetNEEDSSystemExternalSystemExternalSystemExternalSystemSolution SetNEEDSSystemExternalSystemExternal

21、SystemExternalSystemSolution Set第十七页，共74页。定义定义(dngy)系统（续）系统（续）n n系统要求可分为功能要求和性能要求n n功能要求描述系统需要(xyo)完成的任务、动作和行为；n n性能要求包括系统的质、量、适用范围、使用频度、响应性、可靠性、可维护性、可用性等；n n此外，内外接口要求与互操作性要求是系统成员之间或系统与环境、其他系统之间的互作用概念的重要要求。n n当明确所有的要求后，系统工程师必须同其它系统负责人一起评估这些要求的正确性、完整性、一致性、互依赖性、冲突和可测试性。第十八页，共74页。定义定义(dngy)系统（续）系统（续）n

22、n在要求的分析过程中，系统工程师要审查可追踪性文档，确保发掘出的所有需求都已经(yjing)分配到了目标或外部系统之中，确保目标系统的背景环境描述中包含了所有的外部接口和信息流。n n系统工程师还应确保概要性的CONOPS能覆盖所有的功能性和任务或业务需求，并且系统运行的内在风险也得到了提及。第十九页，共74页。定义定义(dngy)系统（续）系统（续）n n功能（Functions）由要求决定，每个要求将产生一项或几项功能。n n功能分析的主要内容(nirng)是分析功能之间或功能与环境之间的联系。n n有很多方法可以通过图表来描述功能的相关联系n n最简单的图表是文本功能列表，它通过习惯性的

23、缩进、标号、字体来描述一系列功能的层次结构。n n功能列表将对功能进行命名，并且描述其定义、行为、何时被调用以及输入输出。第二十页，共74页。2.2.3 设计设计(shj)系统体系结构系统体系结构n n系统工程师应该分析待建系统的体系结构，完成功能系统工程师应该分析待建系统的体系结构，完成功能的分析和分配，同时分配系统的要求，并选择相关的分析和分配，同时分配系统的要求，并选择相关(xinggun)(xinggun)机制。机制。n n系统工程师还应确定系统中的组件或要素，将功能分系统工程师还应确定系统中的组件或要素，将功能分配给这些要素，并描述这些要素间的关系。配给这些要素，并描述这些要素间的关

24、系。n n在在SESE的的“定义系统要求定义系统要求”活动中，系统要求是分配活动中，系统要求是分配到整个信息系统中的，它只是指明了系统的功能，却到整个信息系统中的，它只是指明了系统的功能，却没有定义系统的组件；没有定义系统的组件；n n而在而在“设计系统体系结构设计系统体系结构”活动中，活动中，SESE小组将对功小组将对功能进行分解，选择具体功能的执行组件，这是体系结能进行分解，选择具体功能的执行组件，这是体系结构设计的核心内容。构设计的核心内容。第二十一页，共74页。-Define System Requirements Target System(allsystemfunctions)Ex

25、ternalSystemSystem InterfacesExternalSystemiatf_3_4a_3004aTarget System(allsystemfunctions)ExternalSystemSystem InterfacesExternalSystemiatf_3_4a_3004a Design System Architecture ExternalSystemInternalInterfacesSystem InterfacesSystemDesignElementsComponentsSystemelementsiatf_3_4b_3004bExternalSyste

26、mInternalInterfacesSystem InterfacesSystemSystemDesignElementsComponentsSystemelementsiatf_3_4b_3004b描述了描述了“定义系统要求定义系统要求(yoqi)”(yoqi)”与与“设计系统体系结构设计系统体系结构”的区别。的区别。前者将目标系统视为前者将目标系统视为“黑盒黑盒”，后者则创建系统的内部结构；，后者则创建系统的内部结构；第二十二页，共74页。设计设计(shj)系统体系结构（续）系统体系结构（续）n n功能分析要将此前的要求分析阶段所确定的高层功能分解至低功能分析要将此前的要求分析阶段所确定

27、的高层功能分解至低层功能，与高层功能相关的性能要求也要分解至低层。层功能，与高层功能相关的性能要求也要分解至低层。n n功能分析的结果是描述每个产品或项目的逻辑功能或性能。功能分析的结果是描述每个产品或项目的逻辑功能或性能。n n分析的对象包括待建系统的体系结构、功能和过程、接口（内分析的对象包括待建系统的体系结构、功能和过程、接口（内部和外部）、元素（组件）、信息的流动情况、环境和用户部和外部）、元素（组件）、信息的流动情况、环境和用户/访访问。问。n n上述描述通常称为产品或项目的功能体系结构。上述描述通常称为产品或项目的功能体系结构。n n功能分析和分配使得可以对系统的功能目的及其实现方

28、式形成功能分析和分配使得可以对系统的功能目的及其实现方式形成更好的理解更好的理解(lji)(lji)，并在一定程度上获知低层功能的优先级，并在一定程度上获知低层功能的优先级和冲突。和冲突。n n它提供了对于优化物理解它提供了对于优化物理解(lji)(lji)决方案来说重要的信息。决方案来说重要的信息。第二十三页，共74页。2.2.4 开展详细开展详细(xingx)设计设计n n系统工程师应分析系统的设计约束和均衡取舍，完成详细的系统设计，并考虑生命周期的支持。n n系统工程师应将所有的系统要求跟踪至系统组件，直至无一遗漏。n n最终的详细设计结果应反映出组件和接口规范(gufn)，为系统实现时

29、的采办工作提供充分的信息。n n详细设计将产生更低层次的产品规范(gufn)、具体的工程与接口控制图、原型、具体的测试计划与流程和具体的集成后勤支持计划(ILSP-IntegratedLogisticsSupportPlan)。第二十四页，共74页。2.2.5 实现实现(shxin)系统系统n n系统工程师将系统从规范变为现实，该阶段的主要活动系统工程师将系统从规范变为现实，该阶段的主要活动包括采办、集成、配置、测试、记录和培训。包括采办、集成、配置、测试、记录和培训。n n采办采办n n本阶段的工作必须在开发或购买能够满足详细设计规范本阶段的工作必须在开发或购买能够满足详细设计规范的组件这二

30、者之间做出决定。的组件这二者之间做出决定。n n系统工程师必须权衡两种方式的利弊并进行深入研究。系统工程师必须权衡两种方式的利弊并进行深入研究。n n建设建设n n在本阶段，已开发的系统方法将被转化为一个稳定的、在本阶段，已开发的系统方法将被转化为一个稳定的、可生产的、性价比合理的系统设计实践，涉及到了所有可生产的、性价比合理的系统设计实践，涉及到了所有(suyu)(suyu)产品级的软件、硬件和固件。产品级的软件、硬件和固件。n n该阶段在采办过程完成后进行，即系统的装配或建设。该阶段在采办过程完成后进行，即系统的装配或建设。第二十五页，共74页。实现实现(shxin)系统（续）系统（续）n

31、 n测试n n组件开发后，要接受测试和评估，以确保它们能够满足规范(gufn)（单元测试）。测试过程和预期的测试结果在定义方案之后由工程师写出。n n成功的完成组件测试之后，各组件硬件、软件、固件要进行集成和正确的配置，并作为一个系统接受整体集成测试。n n集成测试用于验证较高级的系统性能水平。n n集成测试可能导致要改变某些系统组件，这将立即反馈给系统设计，以供其做出判断。第二十六页，共74页。2.2.6 评估评估(pn)有效性有效性n n各项活动的结果都要接受评估，其中必须检测两个各项活动的结果都要接受评估，其中必须检测两个(lin)(lin)主要因素：主要因素：n n1 1）系统是否达到

32、了任务的需求？）系统是否达到了任务的需求？n n2 2）系统是否能够依照机构所期望的方式操作？）系统是否能够依照机构所期望的方式操作？n n除此之外，还要注意可能影响评估结果的如下因素：除此之外，还要注意可能影响评估结果的如下因素：n n1 1）互操作性；）互操作性；n n2 2）可用性；）可用性；n n3 3）人员培训；）人员培训；n n4 4）人机接口；）人机接口；n n5 5）建设和维护成本。）建设和维护成本。第二十七页，共74页。2.3 系统工程过程系统工程过程(guchng)的几的几个原则个原则n n1、始终将问题空间和解决方案空间相分离。n n2、问题空间要根据客户(kh)的任务或

33、业务需求来定义。n n3、解决方案空间要由问题空间相驱动，并由系统工程师和信息系统安全工程师来定义。第二十八页，共74页。始终将问题始终将问题(wnt)空间和解决方案空间相空间和解决方案空间相分离分离n n“问题”是“我们期望系统做什么？”，表示“解决(jiju)方案”这一概念的约束条件、风险、策略和一些界限（值）。n n“解决(jiju)方案”是“系统怎样实现我们的期望？”，代表了在开发系统以满足用户需求时所有已经结束的行为和创造出的产品。n n当我们关注解决(jiju)方案时，很容易忽视对问题的注意，这便会导致错误问题的解决(jiju)和错误系统的建造。第二十九页，共74页。问题问题问题问

34、题(wnt)(wnt)空间要根据客户的任务或业务需求来定义空间要根据客户的任务或业务需求来定义空间要根据客户的任务或业务需求来定义空间要根据客户的任务或业务需求来定义n n有些客户经常同工程师讨论技术或对解决方案的想法，而不是告诉工程师问题在哪n n系统工程师（或信息系统安全工程师）必须把客户的这些想法放到一边，发掘出客户的基本问题。n n如果(rgu)客户的需求不是基于其任务或业务需求而提出的，则最终系统可能难以满足客户的需求，这样会导致错误系统的建造。第三十页，共74页。解决方案空间要由问题空间相驱动，并由系统解决方案空间要由问题空间相驱动，并由系统解决方案空间要由问题空间相驱动，并由系统

35、解决方案空间要由问题空间相驱动，并由系统(xt(xt ng)ng)工程工程工程工程师来定义师来定义师来定义师来定义n n是系统工程师精通系统的解决方案，而不是客户。n n如果客户是解决方案的设计专家，那就没必要再去雇用系统工程师了。n n一个坚持介入设计工程的客户很可能会对解决方案带来限制，影响到系统工程师的灵活性，从而影响到系统的任务或业务支持目标(mbio)，影响到用户需求的满足。第三十一页，共74页。三、信息系统安全工程三、信息系统安全工程(ISSE)过程过程(guchng)n n1、ISSE概述(ish)n n2、ISSE过程第三十二页，共74页。ISSE概述概述(i sh)n nIS

36、SEInformationSystemsSecurityEngineering。n nISSE是发掘用户的信息保护需求并随后设计和实现信息系统的一门艺术(ysh)和科学，在一定的经济成本和精心设计下，这些系统便能够安全地抵御其面对的各种攻击。n nISSE过程是系统工程（SE）的一个组成部分，并应当对认证和认可（C&A）过程提供支持。第三十三页，共74页。ISSE过程过程(guchng)n nISSE过程覆盖了6项活动，它们与通用的SE过程相对应：n n1、发掘信息保护需求（发掘需求）；n n2、定义系统(xtng)安全要求（定义系统(xtng)要求）；n n3、设计系统(xtng)安全体系结

37、构（设计系统(xtng)体系结构）；n n4、开展详细的安全设计（开展详细设计）；n n5、实现系统(xtng)安全（实现系统(xtng)）；n n6、评估信息保护的有效性（评估有效性）。第三十四页，共74页。1、发掘信息保护、发掘信息保护(boh)需求需求 n n在这个过程中，ISSE将首先调查在信息方面的用户任务需求、相关政策、法规、标准以及威胁。n n然后，ISSE将标识信息系统的具体(jt)用户、他们与信息系统和信息的交互作用的实质以及他们在信息保护生命周期各阶段的角色、责任和权力。n n在此过程中，重要的一步是应用“最小权限”规则，用户只能接触为完成其工作所必不可少的过程和信息。n

38、n信息保护需求应该来自于用户的视角，并且不能对系统的设计和实施造成过度的限制。第三十五页，共74页。任任 务务 信信 息息威胁分析威胁分析政策政策信息保护策略信息保护策略系系 统统 需需 求求系统保护需求系统保护需求任务、安全任务、安全(nqun)(nqun)威胁和政策对信息保护需威胁和政策对信息保护需求的影响求的影响第三十六页，共74页。2、定义、定义(dngy)系统安全要求系统安全要求n n信息系统安全工程师要将信息保护需求分配到系统中信息系统安全工程师要将信息保护需求分配到系统中n n系统安全的背景环境、概要性的系统安全系统安全的背景环境、概要性的系统安全CONOPSCONOPS以及基线

39、安全要求均应得到确定。以及基线安全要求均应得到确定。n n在确定系统的安全背景环境时，需要定义系统的边界在确定系统的安全背景环境时，需要定义系统的边界(binji)(binji)以及对以及对SESE的接口，并要将安全功能分配到的接口，并要将安全功能分配到目标系统和外部系统中，标识出目标系统和外部系统目标系统和外部系统中，标识出目标系统和外部系统之间的数据流以及这些数据流的保护需求之间的数据流以及这些数据流的保护需求n nIMMIMM中的信息管理需求以及中的信息管理需求以及IPPIPP中的信息保护需求均中的信息保护需求均要在目标系统和外部系统中进行分配，在外部系统中要在目标系统和外部系统中进行分

40、配，在外部系统中的功能分配必须得到系统所有者的同意。的功能分配必须得到系统所有者的同意。第三十七页，共74页。定义定义(dngy)系统安全要求（续）系统安全要求（续）n n信息系统安全工程师要确保所选择的解决方案集能够满足任务或业务的安全需求，系统边界已经得到协调，并确保安全风险可以(ky)达到可接受的级别。n n信息系统安全工程师将向客户提交安全背景环境、安全CONOPS以及系统安全要求，并得到客户的认同。第三十八页，共74页。3、设计、设计(shj)系统安全体系结构系统安全体系结构n n信息系统安全工程师要与系统工程师合作，一起分析待建系统的体系结构，完成功能的分析和分配，同时分配安全服务

41、，并选择安全机制。n n信息系统安全工程师还应确定安全系统的组件或要素，将安全功能分配给这些要素，并描述这些要素间的关系n n在本项活动中，信息系统安全工程师要与系统工程师合作，确保安全要求能正确(zhngqu)地流向体系结构，且体系结构不会对安全造成削弱。第三十九页，共74页。设计设计(shj)系统安全体系结构系统安全体系结构（续）（续）n n信息系统安全工程师要负责向目标系统和外部系统分配信息系统安全工程师要负责向目标系统和外部系统分配(fnpi)(fnpi)安全要求，并确保外部系统可以支持这些安全要求。安全要求，并确保外部系统可以支持这些安全要求。n n信息系统安全工程师还要在此项活动中

42、确定高层安全机制（例如信息系统安全工程师还要在此项活动中确定高层安全机制（例如加密和数字签名），这样，安全机制间的依赖性，例如密钥管理加密和数字签名），这样，安全机制间的依赖性，例如密钥管理和加密，才能得到讨论和分配和加密，才能得到讨论和分配(fnpi)(fnpi)。n n信息系统安全工程师还要将安全机制与安全服务的强度相匹配，信息系统安全工程师还要将安全机制与安全服务的强度相匹配，落实设计中的约束因素，分析并记录下发现的不足，实施互依赖落实设计中的约束因素，分析并记录下发现的不足，实施互依赖分析，确定安全机制的可行性，并评估这些安全机制中存在的任分析，确定安全机制的可行性，并评估这些安全机制

43、中存在的任何残余风险。何残余风险。第四十页，共74页。4、开展详细的安全、开展详细的安全(nqun)设计设计n n信息系统安全工程师应分析设计约束和均衡取舍，完成详细的系统和安全设计，并考虑(kol)生命周期的支持。n n信息系统安全工程师应将所有的系统安全要求跟踪至系统组件，直至无一遗漏。n n最终的详细安全设计结果应反映出组件和接口规范，为系统实现时的采办工作提供充分的信息。第四十一页，共74页。开展详细开展详细(xingx)的安全设计的安全设计（续）（续）n n在本活动中，信息系统安全工程师将确保对安全体系结构的遵循，实施均衡取舍研究，并定义系统安全的设计要素，包括：n n1）向系统安全

44、设计要素中分配安全机制；n n2）确定备选的商业现货（COTS）/政府现货（GOTS）安全产品；n n3）确定需要定制的安全产品；n n4）检验设计要素和系统接口（内部(nib)及外部）；n n5）制定规范（例如CC的保护轮廓）。第四十二页，共74页。5、实现、实现(shxin)系统安全系统安全n n“实现系统安全”的目标是采办、集成、配置、测试、记录(jl)和培训，它使系统从设计转入运行。n n该项活动的结束标志是最终系统有效性评估行为，给出系统满足要求和任务需求的证据。第四十三页，共74页。实现实现(shxin)系统安全（续）系统安全（续）n n在该阶段，信息系统安全工程师将：在该阶段，信

45、息系统安全工程师将：n n1 1）提供对认证和认可（）提供对认证和认可（C&AC&A）过程的输入；）过程的输入；n n2 2）验证系统的确能够防御此前的威胁评估中确定）验证系统的确能够防御此前的威胁评估中确定的威胁；的威胁；n n3 3）跟踪或参与信息保护保障机制在系统实现和测）跟踪或参与信息保护保障机制在系统实现和测试活动试活动(hudng)(hudng)中的运用；中的运用；n n4 4）审查系统的生命周期计划、运行流程以及运转）审查系统的生命周期计划、运行流程以及运转培训材料，并向这些文档提供输入；培训材料，并向这些文档提供输入；n n5 5）实施正式的信息保护评估，为最终的系统有效）实施

46、正式的信息保护评估，为最终的系统有效性评估作出准备；性评估作出准备；n n6 6）参与对所有系统事项作出的多学科检查。）参与对所有系统事项作出的多学科检查。第四十四页，共74页。实现实现(shxin)系统安全（续）系统安全（续）n n选择需要在解决方案中集成选择需要在解决方案中集成(jchn)(jchn)的具体安全产品的具体安全产品是本阶段的工作任务之一。是本阶段的工作任务之一。n n这些产品可通过购买、租用、借贷等多种选择来获得，这些产品可通过购买、租用、借贷等多种选择来获得，影响选择的因素包括组件成本、可用性、形式以及适宜影响选择的因素包括组件成本、可用性、形式以及适宜性。性。n n其它的

47、因素包括系统组件的依赖性效果、组件的最低性其它的因素包括系统组件的依赖性效果、组件的最低性能可能对系统性能的影响以及组件或替代品在将来的可能可能对系统性能的影响以及组件或替代品在将来的可用性。用性。n n不能购买的组件必须自制。不能购买的组件必须自制。n n所有的接口均需要测试，系统和设计工程师将撰写测试所有的接口均需要测试，系统和设计工程师将撰写测试流程，并通过集成流程，并通过集成(jchn)(jchn)测试将验证子系统或系统测试将验证子系统或系统的性能的性能n n在集成在集成(jchn)(jchn)和测试时，重要的一项工作是记录下和测试时，重要的一项工作是记录下安装、操作、维护和支持的流程

48、。安装、操作、维护和支持的流程。第四十五页，共74页。6、评估信息、评估信息(xnx)保护的有效性保护的有效性n n评估信息保护的有效性活动跨越了整个评估信息保护的有效性活动跨越了整个SE/ISSESE/ISSE过程，过程，下表摘要下表摘要(zhiyo)(zhiyo)描述了描述了ISSEISSE各项活动中的有效性评各项活动中的有效性评估任务。估任务。ISSE ISSE 活动活动活动活动 评估信息保护的有效性任务评估信息保护的有效性任务评估信息保护的有效性任务评估信息保护的有效性任务发掘信息保发掘信息保护需求护需求纵览整个过程。纵览整个过程。概述信息模型。概述信息模型。描述任务或业务的信息攻击威

49、胁。描述任务或业务的信息攻击威胁。针对信息威胁建立安全服务，确定安全服务对针对信息威胁建立安全服务，确定安全服务对客户的相对重要性。客户的相对重要性。得到客户对本阶段活动结论的认同，作为判断得到客户对本阶段活动结论的认同，作为判断系统安全有效性的基础。系统安全有效性的基础。第四十六页，共74页。定义系统安全要求定义系统安全要求确保所选择的解决方案集满足了任务确保所选择的解决方案集满足了任务或业务的安全需求。或业务的安全需求。协调系统边界。协调系统边界。向客户提供并展示安全背景环境、安向客户提供并展示安全背景环境、安全全CONOPSCONOPS以及系统安全要求，并获得客以及系统安全要求，并获得客

50、户的认同。户的认同。确保预期的安全风险能被客户接受。确保预期的安全风险能被客户接受。设计系统安全体系设计系统安全体系结构结构开展正式的风险分析，确保所选择的开展正式的风险分析，确保所选择的安全机制能够提供所需的安全服务，并安全机制能够提供所需的安全服务，并向客户解释安全体系结构如何满足安全向客户解释安全体系结构如何满足安全要求。要求。第四十七页，共74页。开展详细的安全设计开展详细的安全设计执行互依赖分析，比较安全机制的强执行互依赖分析，比较安全机制的强度，审查所选择的安全服务和机制是否度，审查所选择的安全服务和机制是否能够对抗信息威胁。能够对抗信息威胁。一旦完成设计，风险评估的结果，尤一旦完