信息安全工程及管理 CISP认证培训教程 -3-信息系统安全工程.ppt

《信息安全工程及管理 CISP认证培训教程 -3-信息系统安全工程.ppt》由会员分享，可在线阅读，更多相关《信息安全工程及管理 CISP认证培训教程 -3-信息系统安全工程.ppt（161页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全工程及管理信息安全工程及管理信息安全工程信息安全工程中国信息安全产品测评认证中心（中国信息安全产品测评认证中心（中国信息安全产品测评认证中心（中国信息安全产品测评认证中心（CNITSECCNITSECCNITSECCNITSEC）CISP-3-CISP-3-CISP-3-CISP-3-信息安全工程（培训样稿）信息安全工程（培训样稿）信息安全工程（培训样稿）信息安全工程（培训样稿）cnitseccnitsec目录n n1.什么是信息系统安全工程？什么是信息系统安全工程？n n2.为什么需要为什么需要ISSE？n n3.系统工程系统工程n n4.ISSE的阶段的阶段n n5 ISSE功能功

2、能n n6 信息系统安全工程总结信息系统安全工程总结cnitseccnitsecn n系统变得更加复杂系统变得更加复杂;n n独立的系统开始连网独立的系统开始连网;n n计算在分布式的多个处理器上进行计算在分布式的多个处理器上进行;n n对网络有多级安全要求对网络有多级安全要求;n n对信息访问有公开和合作的需求对信息访问有公开和合作的需求;n nIT的复杂性已从技术问题转到商务和法的复杂性已从技术问题转到商务和法律问题律问题.信息系统发生什么变化?cnitseccnitsecn n信息系统安全工程是这样的一个过程：它解决信息系统安全工程是这样的一个过程：它解决信息系统安全工程是这样的一个过程

3、：它解决信息系统安全工程是这样的一个过程：它解决用户的信息保障需求，是系统工程学、系统采用户的信息保障需求，是系统工程学、系统采用户的信息保障需求，是系统工程学、系统采用户的信息保障需求，是系统工程学、系统采购、风险管理、认证和认可以及生命期支持的购、风险管理、认证和认可以及生命期支持的购、风险管理、认证和认可以及生命期支持的购、风险管理、认证和认可以及生命期支持的一部分。它是系统工程过程的自然扩展。一部分。它是系统工程过程的自然扩展。一部分。它是系统工程过程的自然扩展。一部分。它是系统工程过程的自然扩展。n n这些过程都有公共要素：发现需求、定义系统这些过程都有公共要素：发现需求、定义系统这

4、些过程都有公共要素：发现需求、定义系统这些过程都有公共要素：发现需求、定义系统功能、设计系统单元、开发和安装系统、评估功能、设计系统单元、开发和安装系统、评估功能、设计系统单元、开发和安装系统、评估功能、设计系统单元、开发和安装系统、评估系统有效性、系统采购、风险管理、认证和认系统有效性、系统采购、风险管理、认证和认系统有效性、系统采购、风险管理、认证和认系统有效性、系统采购、风险管理、认证和认可、生命期安全支持等。可、生命期安全支持等。可、生命期安全支持等。可、生命期安全支持等。1.什么是信息系统安全工程？cnitseccnitsecn n信息是一家机构的资产，与其它资产一样，应信息是一家机

5、构的资产，与其它资产一样，应信息是一家机构的资产，与其它资产一样，应信息是一家机构的资产，与其它资产一样，应受到保护。信息安全的作用是保护信息不受大受到保护。信息安全的作用是保护信息不受大受到保护。信息安全的作用是保护信息不受大受到保护。信息安全的作用是保护信息不受大范围威胁所干扰，使机构业务能够畅顺，减少范围威胁所干扰，使机构业务能够畅顺，减少范围威胁所干扰，使机构业务能够畅顺，减少范围威胁所干扰，使机构业务能够畅顺，减少损失及提供最大的投资回报和商机。损失及提供最大的投资回报和商机。损失及提供最大的投资回报和商机。损失及提供最大的投资回报和商机。n n信息可以有多种存在方式，可以写在纸上、

6、储信息可以有多种存在方式，可以写在纸上、储信息可以有多种存在方式，可以写在纸上、储信息可以有多种存在方式，可以写在纸上、储存在电子文档里，也可以用邮递或电子手段发存在电子文档里，也可以用邮递或电子手段发存在电子文档里，也可以用邮递或电子手段发存在电子文档里，也可以用邮递或电子手段发送，可以在电影上放映或者说话中提到。无论送，可以在电影上放映或者说话中提到。无论送，可以在电影上放映或者说话中提到。无论送，可以在电影上放映或者说话中提到。无论信息以何种方式表示、共享和存储，都应当适信息以何种方式表示、共享和存储，都应当适信息以何种方式表示、共享和存储，都应当适信息以何种方式表示、共享和存储，都应当

7、适当地保护起来。当地保护起来。当地保护起来。当地保护起来。什么是信息系统安全?cnitseccnitsecn nISSE是系统工程和方法论。是系统工程和方法论。n nISSE是系统安全工程、系统工程、系统是系统安全工程、系统工程、系统采购在信息系统安全方面的具体体现。采购在信息系统安全方面的具体体现。n nISSE是系统工程和系统建设的必不可少是系统工程和系统建设的必不可少的组成部分。的组成部分。n nISSE是对系统工程生命期的安全风险控是对系统工程生命期的安全风险控制制信息系统安全工程的内涵cnitseccnitsec2.为什么需要ISSE？n n社会对信息系统的依赖程度逐渐加强、信息的价

8、值在社会对信息系统的依赖程度逐渐加强、信息的价值在社会对信息系统的依赖程度逐渐加强、信息的价值在社会对信息系统的依赖程度逐渐加强、信息的价值在增加、开放和安全的矛盾突出。增加、开放和安全的矛盾突出。增加、开放和安全的矛盾突出。增加、开放和安全的矛盾突出。n n信息系统本身存在固有的弱点使其易于受到各种攻击信息系统本身存在固有的弱点使其易于受到各种攻击信息系统本身存在固有的弱点使其易于受到各种攻击信息系统本身存在固有的弱点使其易于受到各种攻击（蓄意、无意）。（蓄意、无意）。（蓄意、无意）。（蓄意、无意）。n n信息系统逐渐从专用系统向通用信息系统逐渐从专用系统向通用信息系统逐渐从专用系统向通用信

9、息系统逐渐从专用系统向通用(现货现货现货现货)系统过渡，信息系统过渡，信息系统过渡，信息系统过渡，信息系统安全专业人员将和开发人员、系统集成人员、用系统安全专业人员将和开发人员、系统集成人员、用系统安全专业人员将和开发人员、系统集成人员、用系统安全专业人员将和开发人员、系统集成人员、用户有更加紧密的合作的前提条件。户有更加紧密的合作的前提条件。户有更加紧密的合作的前提条件。户有更加紧密的合作的前提条件。n nISSEISSE是是是是CCCC、SSE-CMMSSE-CMM在实际工程上的体现。在实际工程上的体现。在实际工程上的体现。在实际工程上的体现。n n规范信息系统安全建设的需要规范信息系统安

10、全建设的需要规范信息系统安全建设的需要规范信息系统安全建设的需要n n实施信息系统安全测评认证的需要实施信息系统安全测评认证的需要实施信息系统安全测评认证的需要实施信息系统安全测评认证的需要n n实施国家信息安全规范、规定、标准的需要实施国家信息安全规范、规定、标准的需要实施国家信息安全规范、规定、标准的需要实施国家信息安全规范、规定、标准的需要cnitseccnitsec3.系统工程cnitseccnitsec系统工程：n n系统工程是一种跨学科的方法，它以开系统工程是一种跨学科的方法，它以开发并验证一个系统产品（或处理系统）发并验证一个系统产品（或处理系统）能满足最终用户需求为目的。能满足

11、最终用户需求为目的。cnitseccnitsec系统工程包括：n n开发开发包括需求分析、系统设计、部包括需求分析、系统设计、部件设计和集成。件设计和集成。n n生产生产包括试制和最终生产包括试制和最终生产n n认证认证包括演示、试验、审查和分析包括演示、试验、审查和分析n n部署部署n n运行（使用）运行（使用）n n支持和培训支持和培训n n拆除拆除cnitseccnitsec系统工程过程cnitseccnitsecn n发现任务需求发现任务需求n n确定系统功能确定系统功能n n进行系统设计进行系统设计n n部署系统部署系统n n系统有效性评估系统有效性评估系统工程包括下面五个过程：cn

12、itseccnitseccnitseccnitsec概念阶段可替换系统的评审要求阶段系统要求评审系统设计阶段系统功能评审初步设计阶段初步设计评审详细设计阶段关键设计评审实现和测试阶段系统验证评审配置审计阶段cnitseccnitsecn n输入输入n n需求分析需求分析n n功能分析和配置功能分析和配置n n综合综合n n系统分析和控制系统分析和控制n n输出输出系统工程过程cnitseccnitsec输入:n n客户需求客户需求客户需求客户需求/要求要求要求要求 任务任务任务任务 有效性手段有效性手段有效性手段有效性手段 环境环境环境环境 限制限制限制限制n n技术基础技术基础技术基础技术基

13、础n n来自前阶段的输出来自前阶段的输出来自前阶段的输出来自前阶段的输出n n项目判决要求项目判决要求项目判决要求项目判决要求n n有关专用和标准的要求有关专用和标准的要求有关专用和标准的要求有关专用和标准的要求cnitseccnitsec需求分析:n n分析任务和环境分析任务和环境n n识别功能要求识别功能要求n n性能和设计限制要求的确定和精练性能和设计限制要求的确定和精练cnitseccnitsec功能分析和配置:n n分解成更低层次的功能分解成更低层次的功能n n把要求配置到所有功能级把要求配置到所有功能级n n确定功能接口确定功能接口n n确定和集成功能体系结构确定和集成功能体系结构

14、cnitseccnitsec综合:n n从功能到物理的转换从功能到物理的转换n n确定替代系统的概念确定替代系统的概念:配置项配置项配置项配置项系统单元系统单元系统单元系统单元(要素要素要素要素)n n确定物理接口确定物理接口n n确定优选产品和过程解决方案确定优选产品和过程解决方案cnitseccnitsecn n折中研究折中研究n n有效性分析有效性分析n n风险管理风险管理n n配置管理配置管理n n数据管理数据管理n n基于性能的进程管理基于性能的进程管理系统分析和控制:cnitseccnitsec输出:n n随阶段而变的随阶段而变的:判决支持数据判决支持数据判决支持数据判决支持数据系

15、统体系结构系统体系结构系统体系结构系统体系结构规范规范规范规范基线基线基线基线cnitseccnitsecISSE的最终体现：n n项目所必须的安全要求项目所必须的安全要求项目所必须的安全要求项目所必须的安全要求n n在用户、测评人员以及客户可接受的风险水平在用户、测评人员以及客户可接受的风险水平在用户、测评人员以及客户可接受的风险水平在用户、测评人员以及客户可接受的风险水平上满足要求。上满足要求。上满足要求。上满足要求。n n精心的支持用户，谨慎地剪裁以满足客户要求。精心的支持用户，谨慎地剪裁以满足客户要求。精心的支持用户，谨慎地剪裁以满足客户要求。精心的支持用户，谨慎地剪裁以满足客户要求。

16、n n作为一种运作，应把安全尽早地结合到系统工作为一种运作，应把安全尽早地结合到系统工作为一种运作，应把安全尽早地结合到系统工作为一种运作，应把安全尽早地结合到系统工程中去。程中去。程中去。程中去。n n在费用、进度、实用性和有效性的综合考虑中在费用、进度、实用性和有效性的综合考虑中在费用、进度、实用性和有效性的综合考虑中在费用、进度、实用性和有效性的综合考虑中要平衡考虑安全风险管理和要平衡考虑安全风险管理和要平衡考虑安全风险管理和要平衡考虑安全风险管理和ISSEISSE的其它方面。的其它方面。的其它方面。的其它方面。n n将将将将INFOSECINFOSEC的有关科目和能力要求与其它各的有关

17、科目和能力要求与其它各的有关科目和能力要求与其它各的有关科目和能力要求与其它各种限制同时折中考虑种限制同时折中考虑种限制同时折中考虑种限制同时折中考虑cnitseccnitsec4.ISSE的阶段cnitseccnitsec4.1 先期概念阶段n n目的：确定用户的任务需求。指出信息目的：确定用户的任务需求。指出信息系统应具备的安全能力；系统应具备的安全能力；n n提供的文件：任务能力需求报告提供的文件：任务能力需求报告（MNS），作为系统安全要求和规范的），作为系统安全要求和规范的出发点。由用户和出发点。由用户和ISSE参与者共同起草。参与者共同起草。n nMNS的内容不一定实现，它只是一个

18、目的内容不一定实现，它只是一个目标标cnitseccnitsec本阶段与ISSE有关的活动：n n运行任务各种问题的调查；运行任务各种问题的调查；n n安全威胁类型调查；安全威胁类型调查；n n找出国家和地方安全法规的限制；找出国家和地方安全法规的限制；n n根据安全目标确定的能力，考虑可能的根据安全目标确定的能力，考虑可能的进度；进度；n n如果可能确定供应商。如果可能确定供应商。cnitseccnitsec4.2概念阶段n n目的：信息系统概念层面的系统安全方案的探目的：信息系统概念层面的系统安全方案的探目的：信息系统概念层面的系统安全方案的探目的：信息系统概念层面的系统安全方案的探索索索

19、索,决定哪些方案可能满足任务要求，选出要进决定哪些方案可能满足任务要求，选出要进决定哪些方案可能满足任务要求，选出要进决定哪些方案可能满足任务要求，选出要进一步讨论的方案。一步讨论的方案。一步讨论的方案。一步讨论的方案。n n目标：信息系统安全建设的参与各方进行可选目标：信息系统安全建设的参与各方进行可选目标：信息系统安全建设的参与各方进行可选目标：信息系统安全建设的参与各方进行可选系统评审（系统评审（系统评审（系统评审（ASRASR）对每个可能的代替方案进行）对每个可能的代替方案进行）对每个可能的代替方案进行）对每个可能的代替方案进行审查，看其能否满足用户安全需求、是否符合审查，看其能否满足

20、用户安全需求、是否符合审查，看其能否满足用户安全需求、是否符合审查，看其能否满足用户安全需求、是否符合有关的要求和规范以及信息系统有关的所有问有关的要求和规范以及信息系统有关的所有问有关的要求和规范以及信息系统有关的所有问有关的要求和规范以及信息系统有关的所有问题都要调研，有冲突的地方都要解决。本阶段题都要调研，有冲突的地方都要解决。本阶段题都要调研，有冲突的地方都要解决。本阶段题都要调研，有冲突的地方都要解决。本阶段结束要得到初步的系统技术、成本、安全风险结束要得到初步的系统技术、成本、安全风险结束要得到初步的系统技术、成本、安全风险结束要得到初步的系统技术、成本、安全风险方面的情况以及信息

21、系统工程建设和管理战略。方面的情况以及信息系统工程建设和管理战略。方面的情况以及信息系统工程建设和管理战略。方面的情况以及信息系统工程建设和管理战略。cnitseccnitsec本阶段与ISSE有关的活动：n n为系统威胁评估提供数据为系统威胁评估提供数据为系统威胁评估提供数据为系统威胁评估提供数据,预计系统不同阶段的预计系统不同阶段的预计系统不同阶段的预计系统不同阶段的安全威胁。安全威胁。安全威胁。安全威胁。n n提出系统安全备选方案，根据任务能力需求报提出系统安全备选方案，根据任务能力需求报提出系统安全备选方案，根据任务能力需求报提出系统安全备选方案，根据任务能力需求报告（告（告（告（MN

22、SMNS）作出技术、费用、进度风险的评估。）作出技术、费用、进度风险的评估。）作出技术、费用、进度风险的评估。）作出技术、费用、进度风险的评估。n n帮助用户提出安全运行需求报告，该报告包括帮助用户提出安全运行需求报告，该报告包括帮助用户提出安全运行需求报告，该报告包括帮助用户提出安全运行需求报告，该报告包括为使系统安全有效运行所需的性能和功能要求，为使系统安全有效运行所需的性能和功能要求，为使系统安全有效运行所需的性能和功能要求，为使系统安全有效运行所需的性能和功能要求，还要包括国家管理部门有关规定、政策方面的还要包括国家管理部门有关规定、政策方面的还要包括国家管理部门有关规定、政策方面的还

23、要包括国家管理部门有关规定、政策方面的限制。限制。限制。限制。n n提供生命期安全支持计划、安全保障计划以及提供生命期安全支持计划、安全保障计划以及提供生命期安全支持计划、安全保障计划以及提供生命期安全支持计划、安全保障计划以及安全风险管理计划的数据。安全风险管理计划的数据。安全风险管理计划的数据。安全风险管理计划的数据。cnitseccnitsecn n制定测评认证以及评估计划制定测评认证以及评估计划n n确定是否需要新的信息安全技术确定是否需要新的信息安全技术n n初步安全风险评估及评估报告初步安全风险评估及评估报告n n提供认证提供认证/认可数据（认可数据（C&A)cnitseccnit

24、sec4.3 要求阶段n n目的：提出正式的信息系统安全需求报目的：提出正式的信息系统安全需求报告为系统设计和测试做好准备，对主要告为系统设计和测试做好准备，对主要问题取得共识。问题取得共识。n n目标：提出一份系统安全需求评审报告目标：提出一份系统安全需求评审报告（SRR），它是一份包括系统所有安全），它是一份包括系统所有安全需求指标的草案。需求指标的草案。n n文件对系统的功能、性能、互操作性、文件对系统的功能、性能、互操作性、接口要求都要做描述，并要对能否达到接口要求都要做描述，并要对能否达到要求提出检验手段。要求提出检验手段。cnitseccnitsec系统要求评审包括的内容：n n将

25、用户的安全需求转化为系统功能和性将用户的安全需求转化为系统功能和性能需求以及安全方案的设计限制；能需求以及安全方案的设计限制；n n评估技术验证的方法和进程；评估技术验证的方法和进程；n n对风险确认和量化的评估以及风险管理对风险确认和量化的评估以及风险管理办法的评估；办法的评估；n n关键技术的评估；关键技术的评估；n n评估系统安全需求的覆盖面进行评估；评估系统安全需求的覆盖面进行评估；n n审查系统规范草案以及相关的认证措施。审查系统规范草案以及相关的认证措施。cnitseccnitsec4.4 系统设计阶段n n目的：完成系统的顶层设计，决定组成目的：完成系统的顶层设计，决定组成系统的

26、配置项，定下系统指标，使正式系统的配置项，定下系统指标，使正式的系统工程开始。的系统工程开始。n n目标：提供一份系统功能（设计）评审目标：提供一份系统功能（设计）评审报告（报告（SFR），报告包括正式开发前必），报告包括正式开发前必须的系统指标须的系统指标cnitseccnitsec系统功能（设计）评审（）包括的内容n n确保系统功能和性能要求和有关的限制。确保系统功能和性能要求和有关的限制。n n对系统的功能和物理体系进行评估对系统的功能和物理体系进行评估n n对系统的指标和功能基线不断完善、更对系统的指标和功能基线不断完善、更新新n n评估设计方案是否满足用户要求评估设计方案是否满足用户

27、要求cnitseccnitsec本阶段与ISSE有关的活动：n n完善系统的安全需求（是否有新的安全威胁）完善系统的安全需求（是否有新的安全威胁）完善系统的安全需求（是否有新的安全威胁）完善系统的安全需求（是否有新的安全威胁）n n分析系统的安全要求以及到配置项的安全要求，分析系统的安全要求以及到配置项的安全要求，分析系统的安全要求以及到配置项的安全要求，分析系统的安全要求以及到配置项的安全要求，确保满足整个系统的安全要求确保满足整个系统的安全要求确保满足整个系统的安全要求确保满足整个系统的安全要求n n评审系统设计安全方案的技术原理评审系统设计安全方案的技术原理评审系统设计安全方案的技术原理

28、评审系统设计安全方案的技术原理n n详细确定信息系统安全验证和确认（详细确定信息系统安全验证和确认（详细确定信息系统安全验证和确认（详细确定信息系统安全验证和确认（&V)&V)有有有有关的要求和战略关的要求和战略关的要求和战略关的要求和战略n n完善与安全有关的采购和工程管理计划、策略完善与安全有关的采购和工程管理计划、策略完善与安全有关的采购和工程管理计划、策略完善与安全有关的采购和工程管理计划、策略n n系统特有的安全风险评估系统特有的安全风险评估系统特有的安全风险评估系统特有的安全风险评估n n为认证和认可（为认证和认可（为认证和认可（为认证和认可（&)提供数据提供数据提供数据提供数据c

29、nitseccnitsec4.5初步设计阶段n n目的：系统的设计要求和指标都分配到目的：系统的设计要求和指标都分配到配置项（配置项（CI）。）。n n目标：提供初步设计评审报告（目标：提供初步设计评审报告（PDR），），该报告包括对每个系统配置项的软件和该报告包括对每个系统配置项的软件和硬件的评审，为大多数系统的配置项建硬件的评审，为大多数系统的配置项建立了分配基线。立了分配基线。cnitseccnitsec初步设计评审包括的内容：n n找出没有考虑到的或没有被每个找出没有考虑到的或没有被每个IC满足满足的系统方面的安全要求的系统方面的安全要求n n确保确保CI、子系统的问题得到解决、子系统

30、的问题得到解决n n评审风险管理，确保风险在可接受的水评审风险管理，确保风险在可接受的水平平n n对系统物理体系结构的集成进行评估，对系统物理体系结构的集成进行评估，确定内部、外部接口和互操作性确定内部、外部接口和互操作性n n证实集成后的系统设计满足功能基线要证实集成后的系统设计满足功能基线要求和用户要求求和用户要求cnitseccnitsecn n评审评审CI层面的参数和接口规范的定义及层面的参数和接口规范的定义及其他方面的问题其他方面的问题n n对已有的安全方案进行复查，使之与对已有的安全方案进行复查，使之与CI的要求一致的要求一致n n确认确认CI（无论是开发的或是买来的）的（无论是开

31、发的或是买来的）的指标满足系统安全要求指标满足系统安全要求n n为认证和认可（为认证和认可（C&A）继续提供数据）继续提供数据n n检查系统各方面的问题检查系统各方面的问题本阶段与ISSE有关的活动cnitseccnitsec4.6 详细设计阶段n n目的：完成没有现货的设备和系统的设目的：完成没有现货的设备和系统的设计计n n目标：提供系统关键设计评审报告目标：提供系统关键设计评审报告（CDR），该报告包括构成系统的各个），该报告包括构成系统的各个配置项的具体设计（相关软件和硬件的配置项的具体设计（相关软件和硬件的设计评审和文件）设计评审和文件）cnitseccnitsec关键设计评审包括的

32、内容：n n找出配置项和关键设计都没有解决的问找出配置项和关键设计都没有解决的问题题n n考虑系统与其他系统的兼容性考虑系统与其他系统的兼容性n n确认系统和确认系统和CI设计是完整的设计是完整的n n确认和证明系统设计要求、接口要求、确认和证明系统设计要求、接口要求、系统限制与可以验证的结论相一致系统限制与可以验证的结论相一致n n建立每个建立每个CI的分配基线的分配基线cnitseccnitsec本阶段与ISSE有关的活动n n通过关键设计安全方案和具体软件以及通过关键设计安全方案和具体软件以及工程设计的评审，实现系统和工程设计的评审，实现系统和CI层面的层面的安全设计安全设计n n检查关

33、键设计提出的安全方案的技术原检查关键设计提出的安全方案的技术原理理n n准备信息系统安全的测试和评估要求准备信息系统安全的测试和评估要求（系统的、软件的、硬件的）（系统的、软件的、硬件的）n n跟踪或参与与系统设计跟踪或参与与系统设计/开发有关的安全开发有关的安全保障机构保障机构cnitseccnitsecn n确定并证明每个确定并证明每个CI的设计、的设计、CI间的接口间的接口设计能够满足系统安全要求设计能够满足系统安全要求n n准备好绝大多数生命期安全保障方案的准备好绝大多数生命期安全保障方案的内容，包括培训计划、应急培训计划的内容，包括培训计划、应急培训计划的有关内容有关内容n n评审更

34、新安全风险与威胁的预测，评审评审更新安全风险与威胁的预测，评审请求的任何改动请求的任何改动n n提供认证和认可（提供认证和认可（C&A)过程的数据过程的数据cnitseccnitsec4.7 实现和测试阶段n n目的：准备好所有开发和非开发产品并目的：准备好所有开发和非开发产品并把所有产品（把所有产品（CI）集成为一个完整系统）集成为一个完整系统并检查确认继承的系统符合要求。并检查确认继承的系统符合要求。n n目标：提供一个系统确认评审报告目标：提供一个系统确认评审报告（SVR），确定所建的系统与要求相一），确定所建的系统与要求相一致，能满足任务的需求致，能满足任务的需求 cnitseccni

35、tsecn n更新系统安全威胁评估，预测系统的使用寿命更新系统安全威胁评估，预测系统的使用寿命更新系统安全威胁评估，预测系统的使用寿命更新系统安全威胁评估，预测系统的使用寿命n n安全方案实现后系统和安全方案实现后系统和安全方案实现后系统和安全方案实现后系统和CICI的安全要求和限制以的安全要求和限制以的安全要求和限制以的安全要求和限制以及相关的机制及相关的机制及相关的机制及相关的机制n n跟踪或参与和本阶段有关的安全保障机构跟踪或参与和本阶段有关的安全保障机构跟踪或参与和本阶段有关的安全保障机构跟踪或参与和本阶段有关的安全保障机构n n完善系统运行程序和生命期安全支持计划完善系统运行程序和生

36、命期安全支持计划完善系统运行程序和生命期安全支持计划完善系统运行程序和生命期安全支持计划n n准备正式的系统确认评审的安全风险评估准备正式的系统确认评审的安全风险评估准备正式的系统确认评审的安全风险评估准备正式的系统确认评审的安全风险评估n n为认证和认可（为认证和认可（为认证和认可（为认证和认可（C&AC&A）提供数据）提供数据）提供数据）提供数据n n最终检查系统的所有问题最终检查系统的所有问题最终检查系统的所有问题最终检查系统的所有问题本阶段与ISSE有关的活动cnitseccnitsec4.8 配置审计阶段n n目的：从系统层面审查每个目的：从系统层面审查每个CI都进行了都进行了配置审

37、计，把建好的系统与前面各阶段配置审计，把建好的系统与前面各阶段的记录文件相比较，所有大的偏差和问的记录文件相比较，所有大的偏差和问题都得到解决，。题都得到解决，。n n目标：提供物理配置审计报告（目标：提供物理配置审计报告（PCA），），该报告包括所有配置审计的结果和解决该报告包括所有配置审计的结果和解决系统出现偏差的办法（系统出现偏差的办法（CI的产品基线包的产品基线包括一份认可文件，其中有括一份认可文件，其中有CI的功能、性的功能、性能、物理结构等的要求）。能、物理结构等的要求）。cnitseccnitsec本阶段与ISSE有关的活动n n最后确认系统的生产最后确认系统的生产/部署计划能满

38、足信部署计划能满足信息系统安全要求息系统安全要求n n根据信息系统安全要求，进一步评审根据信息系统安全要求，进一步评审CI产品的指标以及相关的设计资料产品的指标以及相关的设计资料n n最终确定系统运行安全规则和安全支持最终确定系统运行安全规则和安全支持计划计划n n为认证和认可过程提供数据为认证和认可过程提供数据cnitseccnitsec4.9运行和支持阶段n n目的：系统开始部署、运行直到系统被目的：系统开始部署、运行直到系统被拆除，拆除，ISSE一直发挥作用，确保系统安一直发挥作用，确保系统安全得到维护。它包括处理系统在现场运全得到维护。它包括处理系统在现场运行时出现的安全问题以及采取措

39、施保证行时出现的安全问题以及采取措施保证系统的安全水平在系统运行期间不会下系统的安全水平在系统运行期间不会下降。降。cnitseccnitsec本阶段与ISSE有关的活动n n监测系统的安全性能，包括安全事件报监测系统的安全性能，包括安全事件报告告n n进行用户安全培训，并对安全培训进行进行用户安全培训，并对安全培训进行评估评估n n监视与安全有关的部件的拆除处理监视与安全有关的部件的拆除处理n n监测新发现的对系统安全的攻击、系统监测新发现的对系统安全的攻击、系统所受威胁的变化以及其它与安全风险有所受威胁的变化以及其它与安全风险有关的因素关的因素cnitseccnitsecn n监测安全部件

40、的后勤支持，支持与安全监测安全部件的后勤支持，支持与安全有关的维护培训有关的维护培训n n评估大大小小的系统改动对安全造成的评估大大小小的系统改动对安全造成的影响影响n n监测系统物理和功能配置是否影响系统监测系统物理和功能配置是否影响系统的安全风险的安全风险n n为重新进行的认证和认可过程提供数据为重新进行的认证和认可过程提供数据cnitseccnitsec5 ISSE功能cnitseccnitsec5.1 ISSE基本功能的概念n n是与是与ISSE相关的各种典型活动：相关的各种典型活动：cnitseccnitsecSA系统获取系统获取SE系统工程系统工程SSEISSE任务需求的确定任务需

41、求的确定概念研究和确定概念研究和确定演示和确认演示和确认设计和制造设计和制造产品产品/部署和部署和运行运行/支持支持确定安全能力需求确定安全能力需求分析安全要求分析安全要求和和探索安全概念探索安全概念分配安全要求分配安全要求指指定定和和实实现现安安全全设设计计并并进进行行系系统统安安全全测试测试实施安全操作实施安全操作和和生命周期支持生命周期支持MS0MS1MS2MS3确定任务能力确定任务能力需求需求探索备选系统的探索备选系统的概念概念系统设计规范系统设计规范设计、构造、设计、构造、集成和测试集成和测试系统运行和系统运行和 生命期支持生命期支持能力需求陈述能力需求陈述（MNS）备选系统的评审备

42、选系统的评审（ASR）系统要求评审系统要求评审（SRR SFR）基本设计评审基本设计评审 关键设计关键设计评审、系统验证评审评审、系统验证评审（PDR、CDR、SVR）物理配置评审物理配置评审（PCA）图图 系统生命期内的系统生命期内的ISSE过程过程cnitseccnitsecn n这些活动要在系统生命周期各个阶段并这些活动要在系统生命周期各个阶段并行地、反复地进行。各活动之间是相互行地、反复地进行。各活动之间是相互协调的。协调的。cnitseccnitsec系统安全规划，分析和控制系统安全规划，分析和控制系统安全需求分析和确定系统安全需求分析和确定系统安全设计支持系统安全设计支持系统安全性

43、验证系统安全性验证系统安全开发系统安全开发/集成集成系统安全操作分析和支持系统安全操作分析和支持系统生存期安全支持系统生存期安全支持系统安全系统安全 风险管理风险管理ISSE的的有有关关活活动动及及贡贡献献 ISSE基本功能活动基本功能活动安全活动的规划与控制安全活动的规划与控制安全要求的确定安全要求的确定安全设计支持：安全设计支持：*顶层安全体系结构确定顶层安全体系结构确定*详细设计和实现的支持详细设计和实现的支持安全操作分析安全操作分析生命期安全支持生命期安全支持安全风险管理安全风险管理cnitseccnitsecn n在系统开发的不同阶段涉及在系统开发的不同阶段涉及ISSE各功能各功能的

44、程度也不一样。每个的程度也不一样。每个ISSE功能至少有功能至少有三种模式：三种模式：为实现功能作准备；为实现功能作准备；为实现功能作准备；为实现功能作准备；实现功能；实现功能；实现功能；实现功能；当系统发生变动或有新情况出现时要做出相当系统发生变动或有新情况出现时要做出相当系统发生变动或有新情况出现时要做出相当系统发生变动或有新情况出现时要做出相应改变。应改变。应改变。应改变。cnitseccnitsec5.2关于裁剪问题n n裁剪实际是对每一个裁剪实际是对每一个ISSE功能活动的考功能活动的考察察.为了更好的利用资源使活动最佳化为了更好的利用资源使活动最佳化,限制限制增加那些不必要的花费和

45、材料的那些任增加那些不必要的花费和材料的那些任务务.cnitseccnitsec裁剪的内容包括:n n复杂性、不确定性和应急问题；复杂性、不确定性和应急问题；n n客户和授权者的风险份额；客户和授权者的风险份额；n n成本、进度和人员限制；成本、进度和人员限制；n n合同规定和限制；合同规定和限制；n n客户专门能力等级：技术能力和管理能客户专门能力等级：技术能力和管理能力力n n客户的商业实践知识客户的商业实践知识cnitseccnitsec5.3ISSE基本功能基本功能cnitseccnitsec系统和安全工程管理以及规划活动应当在工程开系统和安全工程管理以及规划活动应当在工程开系统和安全

46、工程管理以及规划活动应当在工程开系统和安全工程管理以及规划活动应当在工程开始就启动。始就启动。始就启动。始就启动。为了系统地把安全需求嵌入到有效的设计中，应为了系统地把安全需求嵌入到有效的设计中，应为了系统地把安全需求嵌入到有效的设计中，应为了系统地把安全需求嵌入到有效的设计中，应尽早开始规划活动并很好地提供强有力的资金支尽早开始规划活动并很好地提供强有力的资金支尽早开始规划活动并很好地提供强有力的资金支尽早开始规划活动并很好地提供强有力的资金支持持持持成立由系统安全工程师领导的小组。成立由系统安全工程师领导的小组。成立由系统安全工程师领导的小组。成立由系统安全工程师领导的小组。有必要的工具和

47、资料。它是有必要的工具和资料。它是有必要的工具和资料。它是有必要的工具和资料。它是ISSEISSE的基本功能的基本功能的基本功能的基本功能.1).安全规划、控制和小组形成安全规划、控制和小组形成cnitseccnitsec本阶段的主要工作本阶段的主要工作:商业决策和工程规划 确定首席确定首席ISSEISSE领导领导 作出与支持作出与支持ISSEISSE相关的支出的预算相关的支出的预算 确定进度、合同文件和工程策略的规划、确确定进度、合同文件和工程策略的规划、确定及应用以及相关的安全验证和确认活动。如定及应用以及相关的安全验证和确认活动。如果有些因素发生变化应向决策者报告。果有些因素发生变化应向

48、决策者报告。考虑与安全认证和认可小组的关系考虑与安全认证和认可小组的关系cnitseccnitsec确定首席信息系统安全工程师与物理的、管理的、人事的、运行安全的负责人和组织建立良好的工作关系首先要同客户建立良好的关系和沟通手段系统生命期的安全工程师成立ISSE小组cnitseccnitsec与管理机构、测评认证机构沟通安全认证是评价信息系统安全性和其它性能满足安全要求的程度，理想情况下应在系统生命期各阶段完成。测评认证要与风险评估相关联，在系统生命期内测评人员要不断评审和修正并确定剩余风险。安全认可规划应在系统生命期开始阶段完成。安全认可是由独立的机构完成。规划ISSE对C&A提供数据cni

49、tseccnitsec安全目标和安全要求的描述安全保障计划安全威胁分析报告与安全相关的信息（包括接口规范）与外部系统接口安全要求验证的可跟踪矩阵或相关决策数据库信息ISSE为测评认证提供的内容：为测评认证提供的内容：cnitseccnitsec系统安全运行计划、方案和其它分析生命期 安全支持计划安全测试或其它验证计划和数据安全风险评估/风险评审报告实用产品安全特性文件和产品安全评价报告测评认证机关人员的介入系统安全评价和特征数据cnitseccnitsec用户用户/同级小组报告：同级小组报告：ISSEISSE小组应当随时向客户通报所承担的工作和小组应当随时向客户通报所承担的工作和进展情况或在有

50、可能的情况下为客户进行适进展情况或在有可能的情况下为客户进行适当的演示。当的演示。机构的管理报告：机构的管理报告：在每一个重要项目里程碑评审之前为机构管理在每一个重要项目里程碑评审之前为机构管理人员提供简报，给出有关技术和状态的信息。人员提供简报，给出有关技术和状态的信息。工程初期简报讨论如何裁剪工程初期简报讨论如何裁剪ISSEISSE过程来适合过程来适合客户的需要以及安全能力要求和小组完成了客户的需要以及安全能力要求和小组完成了什么活动。什么活动。ISSE 报告报告cnitseccnitsec简报大概包括的内容简报大概包括的内容有关信息系统安全支持和成果的用户反馈有关信息系统安全支持和成果的