信息安全系统工程ISSE.ppt

《信息安全系统工程ISSE.ppt》由会员分享，可在线阅读，更多相关《信息安全系统工程ISSE.ppt（74页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、一、概述一、概述n n1、什么是信息安全工程n n2、为什么需要信息安全工程n n3、信息安全工程的发展2021/9/241什么是信息安全工程什么是信息安全工程n n信息安全保障问题的解决既不能只依靠纯粹的技术，也不能靠简单的安全产品的堆砌，它要依赖复杂的系统工程信息安全工程。n n信息安全工程：n n是采用工程的概念、原理、技术和方法，来研是采用工程的概念、原理、技术和方法，来研究、开发、实施与维护信息系统安全的过程，究、开发、实施与维护信息系统安全的过程，它是将经过时间考验证明是正确的它是将经过时间考验证明是正确的工程实施流工程实施流程程、管理技术管理技术和当前能够得到的和当前能够得到的最

2、好的技术方最好的技术方法法相结合的过程。相结合的过程。2021/9/242为什么需要信息安全工程为什么需要信息安全工程n n信息安全的现状是比较脆弱的，在安全体制、安全管理等信息安全的现状是比较脆弱的，在安全体制、安全管理等各个方面存在的问题十分严重而突出，且不容乐观；但也各个方面存在的问题十分严重而突出，且不容乐观；但也可以看到，从可以看到，从2020世纪世纪9090年代中期到年代中期到2121世纪初，无论是政世纪初，无论是政府部门、企业，还是个人用户，安全意识明显增强府部门、企业，还是个人用户，安全意识明显增强n n在在InternetInternet发展的短短几年，人们对安全的理解，从早

3、期的安全就发展的短短几年，人们对安全的理解，从早期的安全就是杀毒防毒，到后来的安全就是安装防火墙，到现在的购买系列是杀毒防毒，到后来的安全就是安装防火墙，到现在的购买系列安全产品，在一步一步地加深。安全产品，在一步一步地加深。n n但是应该注意到，这些理解依然存在着但是应该注意到，这些理解依然存在着“头痛医头，脚痛医脚头痛医头，脚痛医脚”的片面性，没有将信息安全问题作为一个系统工程来考虑对待；的片面性，没有将信息安全问题作为一个系统工程来考虑对待；n n由于信息安全保障问题的极端复杂性由于信息安全保障问题的极端复杂性，因此在信息系统建因此在信息系统建设中必须遵循信息安全工程方法设中必须遵循信息

4、安全工程方法。2021/9/243信息安全的复杂性信息安全的复杂性n n1 1）信息安全具有社会性）信息安全具有社会性n n信息安全问题具有前所未有的广泛性和综合性，由于信息安全问题具有前所未有的广泛性和综合性，由于可能影响到安全的因素不断增多，即使是一个简单的可能影响到安全的因素不断增多，即使是一个简单的信息系统，也往往因为人机交互而涉及到组织结构、信息系统，也往往因为人机交互而涉及到组织结构、人员、物理安全、培训等方面的要求；人员、物理安全、培训等方面的要求；n n在面对每一个信息系统的安全保障问题时，都要考虑在面对每一个信息系统的安全保障问题时，都要考虑这个系统与非技术因素的交互，将其放

5、在整个社会化这个系统与非技术因素的交互，将其放在整个社会化的环境下考虑。的环境下考虑。n n2 2）信息安全具有全面性）信息安全具有全面性n n信息安全问题需要全面考虑，系统安全程度取决于系信息安全问题需要全面考虑，系统安全程度取决于系统最薄弱的环节。统最薄弱的环节。2021/9/244信息安全的复杂性（续）信息安全的复杂性（续）n n3 3）信息安全具有过程性或生命周期性）信息安全具有过程性或生命周期性n n一个完整的安全过程至少应包括安全目标与原则的确一个完整的安全过程至少应包括安全目标与原则的确定、风险分析、需求分析、安全策略研究、安全体系定、风险分析、需求分析、安全策略研究、安全体系结

6、构的研究、安全实施领域的确定、安全技术与产品结构的研究、安全实施领域的确定、安全技术与产品的测试与选型、安全工程的实施、安全工程的实施监的测试与选型、安全工程的实施、安全工程的实施监理、安全工程的测试与运行、安全意识的教育与技术理、安全工程的测试与运行、安全意识的教育与技术培训、安全稽核与检查、应急响应等，这一个过程是培训、安全稽核与检查、应急响应等，这一个过程是一个完整的信息安全工程的生命周期。一个完整的信息安全工程的生命周期。n n经过安全稽核与检查后，又形成新一轮的生命周期，经过安全稽核与检查后，又形成新一轮的生命周期，是一个不断往复的不断上升的螺旋式安全模型。是一个不断往复的不断上升的

7、螺旋式安全模型。2021/9/245信息安全的复杂性（续）信息安全的复杂性（续）n n4 4）信息安全具有动态性）信息安全具有动态性n n信息技术在发展，黑客水平也在提高，安全策略、安信息技术在发展，黑客水平也在提高，安全策略、安全体系、安全技术也必须动态地调整，在最大程度上全体系、安全技术也必须动态地调整，在最大程度上使安全系统能够跟上实际情况的变化发挥效用，使整使安全系统能够跟上实际情况的变化发挥效用，使整个安全系统处于不断更新、不断完善、不断进步的动个安全系统处于不断更新、不断完善、不断进步的动态过程中。态过程中。n n5 5）信息安全具有层次性）信息安全具有层次性n n信息系统的构成本

8、身就是层次性的（主要有物理、网信息系统的构成本身就是层次性的（主要有物理、网络、系统、应用和管理等层面），需要用多层次的安络、系统、应用和管理等层面），需要用多层次的安全技术、方法与手段，分层次地化解安全风险。全技术、方法与手段，分层次地化解安全风险。2021/9/246信息安全的复杂性（续）信息安全的复杂性（续）n n6 6）信息安全具有相对性）信息安全具有相对性n n安全是相对的，没有绝对的安全可言；安全是相对的，没有绝对的安全可言；n n首先，安全的动态性决定了所谓的安全只能是相对于首先，安全的动态性决定了所谓的安全只能是相对于过去的安全，相对未来而言，当前的安全很可能会表过去的安全，相

9、对未来而言，当前的安全很可能会表现为不安全；现为不安全；n n其次，安全不是目的，安全措施应该与保护的信息与其次，安全不是目的，安全措施应该与保护的信息与网络系统的价值相称，因此，实施信息安全工程要充网络系统的价值相称，因此，实施信息安全工程要充分权衡风险威胁与防御措施的利弊与得失，在安全级分权衡风险威胁与防御措施的利弊与得失，在安全级别与投资代价之间取得一个企业能够接受的平衡点，别与投资代价之间取得一个企业能够接受的平衡点，人们追求的是在人们追求的是在适度风险下的相对安全适度风险下的相对安全，而非，而非绝对的绝对的安全。安全。2021/9/247信息安全工程的发展信息安全工程的发展n n早期

10、的信息安全工程方法理论来自于系统工程(SE)过程方法。n n美国军方最早在系统工程理论基础之上开发了信息系统安全工程（ISSE），并于1994年2月28日发表了信息系统安全工程手册v1.0。n nISSE由系统工程过程发展而来，因而其风格仍然沿袭了以时间维划定工程元素的方法学，这也暴露出了一些不足：2021/9/248信息安全工程的发展（续）信息安全工程的发展（续）n n1 1）很多安全要求应该贯彻在整个工程过程之中，尤其）很多安全要求应该贯彻在整个工程过程之中，尤其是信息安全的保证要求，而是信息安全的保证要求，而ISSEISSE对其缺乏有针对性的对其缺乏有针对性的讨论；讨论；n n2 2）此

11、外，信息安全的内容及其庞杂，一次完整的信息）此外，信息安全的内容及其庞杂，一次完整的信息安全工程过程，往往会涉及到多个复杂的安全领域，安全工程过程，往往会涉及到多个复杂的安全领域，而有些领域的时间过程性却不明显，以时间维为线索而有些领域的时间过程性却不明显，以时间维为线索的描述方式不适合反映出这些内容。的描述方式不适合反映出这些内容。n n后来，在信息系统安全工程方法的发展上，出现后来，在信息系统安全工程方法的发展上，出现了第二种思路：了第二种思路：过程能力成熟度的方法过程能力成熟度的方法，其基础其基础是是CMMCMM（能力成熟度模型能力成熟度模型）。2021/9/249信息安全工程的发展（续

12、）信息安全工程的发展（续）n nCMMCMM的的1.01.0版在版在19911991年年8 8月由卡内基月由卡内基-梅隆大学软件工程研梅隆大学软件工程研究所发布。究所发布。n n同期，同期，NSANSA也开始了对信息安全工程能力的研究，并选取也开始了对信息安全工程能力的研究，并选取了了CMMCMM的思想作为其方法学，正式启动了的思想作为其方法学，正式启动了SSE-CMMSSE-CMM系统安全工程系统安全工程能力成熟度模型能力成熟度模型研究项目。研究项目。n n19961996年年1010月发布了月发布了SSE-CMMSSE-CMM的的1.01.0版本，继而在版本，继而在19971997年年春制

13、定完成了春制定完成了SSE-CMMSSE-CMM评定方法的评定方法的1.01.0版本。版本。n n19991999年年4 4月，形成了月，形成了SSE-CMMv2.0SSE-CMMv2.0和和SSE-CMMSSE-CMM评定方法评定方法v2.0v2.0。n n20022002年年3 3月，月，SSE-CMMSSE-CMM得到了得到了ISOISO的采纳，成为的采纳，成为ISOISO的标的标准准ISO/IEC21827ISO/IEC21827，冠名为冠名为信息技术信息技术系统安全工程系统安全工程能力成熟度模型能力成熟度模型。2021/9/2410二、系统工程二、系统工程(SE)过程过程n n1、系

14、统工程过程概况n n2、通用系统工程过程活动n n3、系统工程过程的几个原则2021/9/24112.1 系统工程过程概况系统工程过程概况挖掘挖掘需求需求定义定义系统系统设计设计系统系统体系体系结构结构详细详细设计设计实施实施系统系统评估有效性评估有效性2021/9/24122.2 系统工程过程活动系统工程过程活动n n通用通用SESE过程由如下活动构成：过程由如下活动构成：n n1 1、发掘需求；、发掘需求；n n2 2、定义系统要求；、定义系统要求；n n3 3、设计系统体系结构；、设计系统体系结构；n n4 4、开展详细设计；、开展详细设计；n n5 5、实现系统；、实现系统；n n6

15、6、评估有效性。、评估有效性。n n在上图中，在上图中，箭头显示了信息在不同活动间的流向，但并不箭头显示了信息在不同活动间的流向，但并不一定意味着各活动之间的顺序或时间性一定意味着各活动之间的顺序或时间性。n n用户用户/用户代表并不是一个系统工程活动用户代表并不是一个系统工程活动，之所以标注用，之所以标注用户户/用户代表的原因在于提醒我们，所有的活动中，必须用户代表的原因在于提醒我们，所有的活动中，必须不断地在系统工程师或信息系统安全工程师与用户之间进不断地在系统工程师或信息系统安全工程师与用户之间进行交流和反馈。行交流和反馈。2021/9/24132.2.1 发掘需求发掘需求n n系统工程

16、师帮助客户理解并记录用来支持其系统工程师帮助客户理解并记录用来支持其业务业务(business)business)或或任务任务(mission)mission)的信息管理的需求的信息管理的需求(Needs)(Needs)，信息需求说明可以在信息管理模型信息需求说明可以在信息管理模型(IMM-IMM-informationinformationmanagementmodelmanagementmodel)中记录。中记录。n n发掘需求是发掘需求是SESE过程的起点过程的起点，是针对，是针对用户需求用户需求以及用户环以及用户环境中的相关境中的相关策略、法规和标准策略、法规和标准的一系列判断。的一系

17、列判断。n n系统工程师要标识所有的用户及这些用户与系统的交互，系统工程师要标识所有的用户及这些用户与系统的交互，标识他们所扮演的角色、承担的责任以及在系统生命周期标识他们所扮演的角色、承担的责任以及在系统生命周期各阶段中的授权。各阶段中的授权。n n需求应该来自需求应该来自用户的视角用户的视角，不应该对设计产生过度的约束，不应该对设计产生过度的约束，并且要通过并且要通过用户语言用户语言来进行文档化。来进行文档化。2021/9/2414发掘需求（续）发掘需求（续）n n业务业务(business)business)/任务任务(mission)mission)描述描述n nSESE或或ISSEI

18、SSE的全部工作都是为了使一个机构的本职业务的全部工作都是为了使一个机构的本职业务/任务能够顺利实施任务能够顺利实施；n n因此，在挖掘需求时，首要的一步就是确定任务因此，在挖掘需求时，首要的一步就是确定任务/业务业务的需求，而不是工程或信息安全需求；的需求，而不是工程或信息安全需求；n n任务描述的重点之一是对任务环境进行描述。任务描述的重点之一是对任务环境进行描述。n n需要考虑的策略和政策需要考虑的策略和政策n n在进行系统工程时必须考虑对机构具有约束力的政策、在进行系统工程时必须考虑对机构具有约束力的政策、法规和标准；法规和标准；n n事实上，政策、法规问题是导致很多系统工程失败的事实

19、上，政策、法规问题是导致很多系统工程失败的主要原因之一。主要原因之一。2021/9/24152.2.2 定义系统定义系统n n在该阶段，在该阶段，系统工程师必须明确系统要完成的功系统工程师必须明确系统要完成的功能能，包括该功能的实现应达到的程度以及系统的，包括该功能的实现应达到的程度以及系统的外部接口。外部接口。n n由由需求到目标、目标到要求以及要求到功能需求到目标、目标到要求以及要求到功能的各个翻的各个翻译环节均要采用工程语言。译环节均要采用工程语言。n n目标描述能够通过描述系统的预期运行效果而满目标描述能够通过描述系统的预期运行效果而满足需求，系统工程师必须能将目标同此前提出的足需求，

20、系统工程师必须能将目标同此前提出的需求相联系，并且能够从理论上加以解释。需求相联系，并且能够从理论上加以解释。n n系统工程师要在该阶段考虑一套或多套能够满足系统工程师要在该阶段考虑一套或多套能够满足由客户提出并记录在由客户提出并记录在IMMIMM中的系统需求的解决方中的系统需求的解决方案集。案集。2021/9/2416NEEDSSystemExternalSystemExternalSystemExternalSystemSolution SetNEEDSSystemExternalSystemExternalSystemExternalSystemSolution SetNEEDSSyst

21、emExternalSystemExternalSystemExternalSystemSolution Set2021/9/2417定义系统（续）定义系统（续）n n系统要求系统要求可分为可分为功能要求功能要求和和性能要求性能要求n n功能要求功能要求描述系统需要完成的任务、动作和行为；描述系统需要完成的任务、动作和行为；n n性能要求性能要求包括系统的质、量、适用范围、使用频度、响包括系统的质、量、适用范围、使用频度、响应性、可靠性、可维护性、可用性等；应性、可靠性、可维护性、可用性等；n n此外，此外，内外接口要求与互操作性要求是内外接口要求与互操作性要求是系统成员之间或系统成员之间或系

22、统与环境、其他系统之间的互作用概念的重要要求。系统与环境、其他系统之间的互作用概念的重要要求。n n当明确所有的要求后，系统工程师必须同其它系统当明确所有的要求后，系统工程师必须同其它系统负责人一起评估这些要求的负责人一起评估这些要求的正确性、完整性、一致正确性、完整性、一致性、互依赖性、冲突和可测试性。性、互依赖性、冲突和可测试性。2021/9/2418定义系统（续）定义系统（续）n n在要求的分析过程中，系统工程师要审查可追踪性文档，确保发掘出的所有需求都已经分配到了目标或外部系统之中，确保目标系统的背景环境描述中包含了所有的外部接口和信息流。n n系统工程师还应确保概要性的CONOPS能

23、覆盖所有的功能性和任务或业务需求，并且系统运行的内在风险也得到了提及。2021/9/2419定义系统（续）定义系统（续）n n功能（功能（FunctionsFunctions）由要求决定，每个要求将产生由要求决定，每个要求将产生一项或几项功能。一项或几项功能。n n功能分析功能分析的主要内容是分析功能之间或功能与环境之的主要内容是分析功能之间或功能与环境之间的联系。间的联系。n n有很多方法可以通过图表来描述功能的相关联系有很多方法可以通过图表来描述功能的相关联系n n最简单的图表是文本功能列表，它通过习惯性的缩进、最简单的图表是文本功能列表，它通过习惯性的缩进、标号、字体来描述一系列功能的层

24、次结构。标号、字体来描述一系列功能的层次结构。n n功能列表将对功能进行命名，并且描述其定义、行为、功能列表将对功能进行命名，并且描述其定义、行为、何时被调用以及输入何时被调用以及输入 输出。输出。2021/9/24202.2.3 设计系统体系结构设计系统体系结构n n系统工程师应该系统工程师应该分析待建系统的体系结构分析待建系统的体系结构，完成，完成功能的功能的分析和分配分析和分配，同时，同时分配分配系统的要求，并选系统的要求，并选择相关机制。择相关机制。n n系统工程师还应确定系统中的组件或要素，将功系统工程师还应确定系统中的组件或要素，将功能分配给这些要素，并描述这些要素间的关系。能分配

25、给这些要素，并描述这些要素间的关系。n n在在SESE的的“定义系统要求定义系统要求”活动中，系统要求是分配到活动中，系统要求是分配到整个信息系统中的，它只是指明了系统的功能，却没整个信息系统中的，它只是指明了系统的功能，却没有定义系统的组件；有定义系统的组件；n n而在而在“设计系统体系结构设计系统体系结构”活动中，活动中，SESE小组将对功能小组将对功能进行分解，选择具体功能的执行组件，这是体系结构进行分解，选择具体功能的执行组件，这是体系结构设计的核心内容。设计的核心内容。2021/9/2421-Define System Requirements Target System(allsy

26、stemfunctions)ExternalSystemSystem InterfacesExternalSystemiatf_3_4a_3004aTarget System(allsystemfunctions)ExternalSystemSystem InterfacesExternalSystemiatf_3_4a_3004a Design System Architecture ExternalSystemInternalInterfacesSystem InterfacesSystemDesignElementsComponentsSystemelementsiatf_3_4b_30

27、04bExternalSystemInternalInterfacesSystem InterfacesSystemSystemDesignElementsComponentsSystemelementsiatf_3_4b_3004b描述了描述了“定义系统要求定义系统要求”与与“设计系统体系结构设计系统体系结构”的区别。的区别。前者将目标系统视为前者将目标系统视为“黑盒黑盒”，后者则创建系统的内部结，后者则创建系统的内部结构；构；2021/9/2422设计系统体系结构（续）设计系统体系结构（续）n n功能分析要将此前的要求分析阶段所确定的高层功能分功能分析要将此前的要求分析阶段所确定的高层功能

28、分解至低层功能，与高层功能相关的性能要求也要分解至解至低层功能，与高层功能相关的性能要求也要分解至低层。低层。n n功能分析的结果是描述每个产品或项目的逻辑功能或性能。功能分析的结果是描述每个产品或项目的逻辑功能或性能。n n分析的对象包括待建系统的体系结构、功能和过程、接口（内分析的对象包括待建系统的体系结构、功能和过程、接口（内部和外部）、元素（组件）、信息的流动情况、环境和用户部和外部）、元素（组件）、信息的流动情况、环境和用户/访问。访问。n n上述描述通常称为产品或项目的上述描述通常称为产品或项目的功能体系结构功能体系结构。n n功能分析和分配使得可以对系统的功能目的及其实现方式形成

29、功能分析和分配使得可以对系统的功能目的及其实现方式形成更好的理解，并在一定程度上获知低层功能的优先级和冲突。更好的理解，并在一定程度上获知低层功能的优先级和冲突。n n它提供了对于优化物理解决方案来说重要的信息。它提供了对于优化物理解决方案来说重要的信息。2021/9/24232.2.4 开展详细设计开展详细设计n n系统工程师应分析系统的设计约束和均衡取舍，系统工程师应分析系统的设计约束和均衡取舍，完成详细的系统设计，并考虑生命周期的支持。完成详细的系统设计，并考虑生命周期的支持。n n系统工程师应将所有的系统要求跟踪至系统组件，直系统工程师应将所有的系统要求跟踪至系统组件，直至无一遗漏至无

30、一遗漏。n n最终的详细设计结果应反映出组件和接口规范，为系最终的详细设计结果应反映出组件和接口规范，为系统实现时的采办工作提供充分的信息。统实现时的采办工作提供充分的信息。n n详细设计将产生更低层次的产品规范、具体的工详细设计将产生更低层次的产品规范、具体的工程与接口控制图、原型、具体的测试计划与流程程与接口控制图、原型、具体的测试计划与流程和具体的集成后勤支持计划和具体的集成后勤支持计划(ILSP-IntegratedILSP-IntegratedLogisticsSupportPlan)LogisticsSupportPlan)。2021/9/24242.2.5 实现系统实现系统n n

31、系统工程师将系统从规范变为现实，该阶段的主要系统工程师将系统从规范变为现实，该阶段的主要活动包括活动包括采办、集成、配置、测试、记录和培训采办、集成、配置、测试、记录和培训。n n采办采办n n本阶段的工作必须在本阶段的工作必须在开发开发或或购买购买能够满足详细设计规范能够满足详细设计规范的组件这二者之间做出决定。的组件这二者之间做出决定。n n系统工程师必须权衡两种方式的利弊并进行深入研究。系统工程师必须权衡两种方式的利弊并进行深入研究。n n建设建设n n在本阶段，已开发的系统方法将被转化为一个稳定的、在本阶段，已开发的系统方法将被转化为一个稳定的、可生产的、性价比合理的系统设计实践，涉及

32、到了所有可生产的、性价比合理的系统设计实践，涉及到了所有产品级的软件、硬件和固件。产品级的软件、硬件和固件。n n该阶段在采办过程完成后进行，即系统的装配或建设。该阶段在采办过程完成后进行，即系统的装配或建设。2021/9/2425实现系统（续）实现系统（续）n n测试n n组件开发后，要接受测试和评估，以确保它们组件开发后，要接受测试和评估，以确保它们能够满足规范（单元测试）。测试过程和预期能够满足规范（单元测试）。测试过程和预期的测试结果在定义方案之后由工程师写出。的测试结果在定义方案之后由工程师写出。n n成功的完成组件测试之后，各组件成功的完成组件测试之后，各组件硬件、软硬件、软件、固

33、件件、固件要进行集成和正确的配置，并作为要进行集成和正确的配置，并作为一个系统接受整体集成测试。一个系统接受整体集成测试。n n集成测试用于验证较高级的系统性能水平。集成测试用于验证较高级的系统性能水平。n n集成测试可能导致要改变某些系统组件，这将立即集成测试可能导致要改变某些系统组件，这将立即反馈给系统设计，以供其做出判断。反馈给系统设计，以供其做出判断。2021/9/24262.2.6 评估有效性评估有效性n n各项活动的结果都要接受评估，其中必须检测两各项活动的结果都要接受评估，其中必须检测两个主要因素：个主要因素：n n1 1）系统是否达到了任务的需求？）系统是否达到了任务的需求？n

34、 n2 2）系统是否能够依照机构所期望的方式操作？）系统是否能够依照机构所期望的方式操作？n n除此之外，还要注意可能影响评估结果的如下因除此之外，还要注意可能影响评估结果的如下因素：素：n n1 1）互操作性；）互操作性；n n2 2）可用性；）可用性；n n3 3）人员培训；）人员培训；n n4 4）人机接口；）人机接口；n n5 5）建设和维护成本。）建设和维护成本。2021/9/24272.3 系统工程过程的几个原则系统工程过程的几个原则n n1、始终将问题空间和解决方案空间相分离。n n2、问题空间要根据客户的任务或业务需求来定义。n n3、解决方案空间要由问题空间相驱动，并由系统工

35、程师和信息系统安全工程师来定义。2021/9/2428始终将问题空间和解决方案空间相分离始终将问题空间和解决方案空间相分离n n“问题”是“我们期望系统做什么？”，表示“解决方案”这一概念的约束条件、风险、策略和一些界限（值）。n n“解决方案”是“系统怎样实现我们的期望？”，代表了在开发系统以满足用户需求时所有已经结束的行为和创造出的产品。n n当我们关注解决方案时，很容易忽视对问题的注意，这便会导致错误问题的解决和错误系统的建造。2021/9/2429问题空间要根据客户的任务或业务需求来定义问题空间要根据客户的任务或业务需求来定义问题空间要根据客户的任务或业务需求来定义问题空间要根据客户的

36、任务或业务需求来定义n n有些客户经常同工程师讨论技术或对解决方案的想法，而不是告诉工程师问题在哪n n系统工程师（或信息系统安全工程师）必须把系统工程师（或信息系统安全工程师）必须把客户的这些想法放到一边，发掘出客户的基本客户的这些想法放到一边，发掘出客户的基本问题。问题。n n如果客户的需求不是基于其任务或业务需求而提出的，则最终系统可能难以满足客户的需求，这样会导致错误系统的建造。2021/9/2430解决方案空间要由问题空间相驱动，并由系统工程师解决方案空间要由问题空间相驱动，并由系统工程师解决方案空间要由问题空间相驱动，并由系统工程师解决方案空间要由问题空间相驱动，并由系统工程师来定

37、义来定义来定义来定义n n是系统工程师精通系统的解决方案，而不是客户。n n如果客户是解决方案的设计专家，那就没必要如果客户是解决方案的设计专家，那就没必要再去雇用系统工程师了。再去雇用系统工程师了。n n一个坚持介入设计工程的客户很可能会对解决方案带来限制，影响到系统工程师的灵活性，从而影响到系统的任务或业务支持目标，影响到用户需求的满足。2021/9/2431三、信息系统安全工程三、信息系统安全工程(ISSE)过程过程n n1、ISSE概述n n2、ISSE过程2021/9/2432ISSE概述概述n nISSEInformationSystemsSecurityEngineering。n

38、 nISSE是发掘用户的信息保护需求并随后设计和实现信息系统的一门艺术和科学，在一定的经济成本和精心设计下，这些系统便能够安全地抵御其面对的各种攻击。n nISSE过程是系统工程（SE）的一个组成部分，并应当对认证和认可（C&A）过程提供支持。2021/9/2433ISSE过程过程n nISSE过程覆盖了6项活动，它们与通用的SE过程相对应：n n1 1、发掘信息保护需求（发掘需求）；、发掘信息保护需求（发掘需求）；n n2 2、定义系统安全要求（定义系统要求）；、定义系统安全要求（定义系统要求）；n n3 3、设计系统安全体系结构（设计系统体系结、设计系统安全体系结构（设计系统体系结构）；构

39、）；n n4 4、开展详细的安全设计（开展详细设计）；、开展详细的安全设计（开展详细设计）；n n5 5、实现系统安全（实现系统）；、实现系统安全（实现系统）；n n6 6、评估信息保护的有效性（评估有效性）。、评估信息保护的有效性（评估有效性）。2021/9/24341、发掘信息保护需求、发掘信息保护需求 n n在这个过程中，在这个过程中，ISSEISSE将首先调查在信息方面的将首先调查在信息方面的用用户任务需求、相关政策、法规、标准以及威胁户任务需求、相关政策、法规、标准以及威胁。n n然后，然后，ISSEISSE将将标识信息系统的具体用户标识信息系统的具体用户、他们与、他们与信息系统和信

40、息的交互作用的实质以及他们在信信息系统和信息的交互作用的实质以及他们在信息保护生命周期各阶段的角色、责任和权力。息保护生命周期各阶段的角色、责任和权力。n n在此过程中，重要的一步是应用在此过程中，重要的一步是应用“最小权限最小权限”规则规则，用户只能接触为完成其工作所必不可少的过程和信息。用户只能接触为完成其工作所必不可少的过程和信息。n n信息保护需求应该信息保护需求应该来自于用户的视角来自于用户的视角，并且不能，并且不能对系统的设计和实施造成过度的限制。对系统的设计和实施造成过度的限制。2021/9/2435任任 务务 信信 息息威胁分析威胁分析政策政策信息保护策略信息保护策略系系 统统

41、 需需 求求系统保护需求系统保护需求任务、安全威胁和政策对信息保护需求的影响任务、安全威胁和政策对信息保护需求的影响2021/9/24362、定义系统安全要求、定义系统安全要求n n信息系统安全工程师要将信息保护需求分配到系信息系统安全工程师要将信息保护需求分配到系统中统中n n系统安全的背景环境、概要性的系统安全系统安全的背景环境、概要性的系统安全CONOPSCONOPS以以及基线安全要求均应得到确定。及基线安全要求均应得到确定。n n在确定系统的安全背景环境时，需要定义系统的在确定系统的安全背景环境时，需要定义系统的边界以及对边界以及对SESE的接口，的接口，并要将安全功能分配到目并要将安

42、全功能分配到目标系统和外部系统中，标识出目标系统和外部系标系统和外部系统中，标识出目标系统和外部系统之间的数据流以及这些数据流的保护需求统之间的数据流以及这些数据流的保护需求n nIMMIMM中的信息管理需求以及中的信息管理需求以及IPPIPP中的信息保护需求均要中的信息保护需求均要在目标系统和外部系统中进行分配，在外部系统中的在目标系统和外部系统中进行分配，在外部系统中的功能分配必须得到系统所有者的同意。功能分配必须得到系统所有者的同意。2021/9/2437定义系统安全要求（续）定义系统安全要求（续）n n信息系统安全工程师要确保所选择的解决方案集能够满足任务或业务的安全需求，系统边界已经

43、得到协调，并确保安全风险可以达到可接受的级别。n n信息系统安全工程师将向客户提交安全背景环境、安全CONOPS以及系统安全要求，并得到客户的认同。2021/9/24383、设计系统安全体系结构、设计系统安全体系结构n n信息系统安全工程师要与系统工程师合作，一起信息系统安全工程师要与系统工程师合作，一起分析待建系统的体系结构，完成功能的分析和分分析待建系统的体系结构，完成功能的分析和分配，同时分配安全服务，并选择安全机制。配，同时分配安全服务，并选择安全机制。n n信息系统安全工程师还应确定安全系统的组件或信息系统安全工程师还应确定安全系统的组件或要素，将安全功能分配给这些要素，并描述这些要

44、素，将安全功能分配给这些要素，并描述这些要素间的关系要素间的关系n n在本项活动中，信息系统安全工程师要与系统工程师在本项活动中，信息系统安全工程师要与系统工程师合作，确保安全要求能正确地流向体系结构，且体系合作，确保安全要求能正确地流向体系结构，且体系结构不会对安全造成削弱。结构不会对安全造成削弱。2021/9/2439设计系统安全体系结构（续）设计系统安全体系结构（续）n n信息系统安全工程师要负责向目标系统和外部系统分配安信息系统安全工程师要负责向目标系统和外部系统分配安全要求，并确保外部系统可以支持这些安全要求。全要求，并确保外部系统可以支持这些安全要求。n n信息系统安全工程师还要在

45、此项活动中确定高层安全机制信息系统安全工程师还要在此项活动中确定高层安全机制（例如加密和数字签名），这样，安全机制间的依赖性，（例如加密和数字签名），这样，安全机制间的依赖性，例如密钥管理和加密，才能得到讨论和分配。例如密钥管理和加密，才能得到讨论和分配。n n信息系统安全工程师还要将安全机制与安全服务的强度相信息系统安全工程师还要将安全机制与安全服务的强度相匹配，落实设计中的约束因素，分析并记录下发现的不足，匹配，落实设计中的约束因素，分析并记录下发现的不足，实施互依赖分析，确定安全机制的可行性，并评估这些安实施互依赖分析，确定安全机制的可行性，并评估这些安全机制中存在的任何残余风险。全机制

46、中存在的任何残余风险。2021/9/24404、开展详细的安全设计、开展详细的安全设计n n信息系统安全工程师应分析设计约束和均衡取舍，完成详细的系统和安全设计，并考虑生命周期的支持。n n信息系统安全工程师应将所有的系统安全要求跟踪至系统组件，直至无一遗漏。n n最终的详细安全设计结果应反映出组件和接口规范，为系统实现时的采办工作提供充分的信息。2021/9/2441开展详细的安全设计（续）开展详细的安全设计（续）n n在本活动中，信息系统安全工程师将确保对安全体系结构的遵循，实施均衡取舍研究，并定义系统安全的设计要素，包括：n n1 1）向系统安全设计要素中分配安全机制；向系统安全设计要素

47、中分配安全机制；n n2 2）确定备选的商业现货（确定备选的商业现货（COTSCOTS）/政府现货政府现货（GOTSGOTS）安全产品；安全产品；n n3 3）确定需要定制的安全产品；确定需要定制的安全产品；n n4 4）检验设计要素和系统接口（内部及外部）；）检验设计要素和系统接口（内部及外部）；n n5 5）制定规范（例如制定规范（例如CCCC的保护轮廓）。的保护轮廓）。2021/9/24425、实现系统安全、实现系统安全n n“实现系统安全”的目标是采办、集成、配置、测试、记录和培训，它使系统从设计转入运行。n n该项活动的结束标志是最终系统有效性评估行为，给出系统满足要求和任务需求的证

48、据。2021/9/2443实现系统安全（续）实现系统安全（续）n n在该阶段，信息系统安全工程师将：在该阶段，信息系统安全工程师将：n n1 1）提供对认证和认可（提供对认证和认可（C&AC&A）过程的输入；）过程的输入；n n2 2）验证系统的确能够防御此前的威胁评估中确定的威验证系统的确能够防御此前的威胁评估中确定的威胁；胁；n n3 3）跟踪或参与信息保护保障机制在系统实现和测试活）跟踪或参与信息保护保障机制在系统实现和测试活动中的运用；动中的运用；n n4 4）审查系统的生命周期计划、运行流程以及运转培训审查系统的生命周期计划、运行流程以及运转培训材料，并向这些文档提供输入；材料，并向

49、这些文档提供输入；n n5 5）实施正式的信息保护评估，为最终的系统有效性评实施正式的信息保护评估，为最终的系统有效性评估作出准备；估作出准备；n n6 6）参与对所有系统事项作出的多学科检查。参与对所有系统事项作出的多学科检查。2021/9/2444实现系统安全（续）实现系统安全（续）n n选择需要在解决方案中集成的具体安全产品是本阶段的选择需要在解决方案中集成的具体安全产品是本阶段的工作任务之一。工作任务之一。n n这些产品可通过购买、租用、借贷等多种选择来获得，影响选这些产品可通过购买、租用、借贷等多种选择来获得，影响选择的因素包括组件成本、可用性、形式以及适宜性。择的因素包括组件成本、

50、可用性、形式以及适宜性。n n其它的因素包括系统组件的依赖性效果、组件的最低性能可能其它的因素包括系统组件的依赖性效果、组件的最低性能可能对系统性能的影响以及组件或替代品在将来的可用性。对系统性能的影响以及组件或替代品在将来的可用性。n n不能购买的组件必须自制。不能购买的组件必须自制。n n所有的接口均需要测试，系统和设计工程师将撰写测试所有的接口均需要测试，系统和设计工程师将撰写测试流程，并通过集成测试将验证子系统或系统的性能流程，并通过集成测试将验证子系统或系统的性能n n在集成和测试时，重要的一项工作是记录下安装、操作、维护在集成和测试时，重要的一项工作是记录下安装、操作、维护和支持的