信息系统安全工程-20050828概要
827安全系统工程参考书目
827安全系统工程参考书目
安全系统工程是一门研究如何预防和控制安全事故的学科,涉及多个领域,包括信息安全、生产安全、交通安全和环境安全等。
该学科采用系统工程方法,结合风险评估、事故树分析和故障树分析等技术手段,对安全问题进行定性和定量分析,从而为制定安全措施提供科学依据。
安全系统工程的基本概念包括安全系统工程的定义、研究对象和任务,以及与相关学科的关系。
安全系统工程是一门综合性、实用性很强的学科,旨在通过理论研究和实践应用,提高人类社会的安全水平。
安全系统工程的方法论包括系统工程方法、风险评估方法、事故树分析方法和故障树分析方法。
系统工程方法强调从整体上认识和处理安全问题,将安全系统作为一个整体进行分析和优化;风险评估方法用于评估各种安全事故发生的概率和危害程度;事故树分析方法和故障树分析方法则是安全系统工程中常用的定性和定量分析方法,可以帮助研究者识别事故的根源和关键因素。
安全系统工程在各领域的应用包括信息安全、生产安全、交通安全和环境安全等。
信息安全领域主要研究网络和信息系统的安全防护;生产安全领域关注生产过程中的安全管理和技术措施;交通安全领域重点研究道路交通、铁路交通和航空交通等方面的安全问题;环境安全领域则关注人类活动对环境的影响以及环境保护和治理措施。
安全系统工程是一个不断发展的学科,随着科技进步和社会需求的变化,安全系统工程将不断拓展新的研究领域和应用领域。
第一单元信息系统安全概述
信息、材料和能源是人类社会赖以生存和发展的基础,在现代信息化社会里,我们的一切活动都离不开对信息的获取和处理,信息作为一种无形资产已经成为人们宝贵的财富。
而信息系统作为信息采集、存储、加工、分析和传输的工具,已经成为社会发展的重要战略资源,信息系统的安全问题在信息化社会发展中越来越突出、越来越重要,已成为社会发展中的固有的重要问题,已关乎国家政治稳定、经济的发展、文化的繁荣和国防的建设。
《信息系统安全防护》主要是介绍信息系统安全的基础理论、信息系统安全威胁、安全策略和主要的一些防范手段,目的是为学生在信息系统管理和应用中,对信息系统进行安全防护、避免威胁和不安全因素以及应用防范措施等起指导性作用。
本课程的教学内容分五个单元展开。
第一单元:信息系统安全概述,包括信息系统安全定义、影响信息系统安全的因素、信息系统安全要素、信息系统安全体系几个部分。
从整体了解信息系统安全问题从何而来,信息系统安全体系如何构架。
第二单元:信息系统实体安全,包括实体安全技术概述、场地环境的安全防护、安全管理、电磁防护。
从实体安全角度分析如何信息心安全如何防护。
第三单元:安全服务与功能配臵。
从信息系统服务和功能配臵上分析如何进行信息系统安全防范。
第四单元:信息安全技术原理。
通过实例分析各类信息安全技术的原理。
第五单元:信息系统安全管理。
包括信息系统安全测评认证、信息系统安全风险评估、信息系统安全策略和应急响应与灾难恢复。
从管理角度分析信息系统的安全防范。
下面我们进入第一个单元内容的学习——信息系统安全概述第一单元信息系统安全概述这一单元的主要教学内容主要包括四个部分的内容,安排两次课来介绍,前3个部分一次课、最后一个部分一次课。
教学目标是理解信息系统安全定义的内涵、影响信息系统安全的因素、信息系统的安全目标;掌握信息系统安全体系结构。
其中重点内容是信息系统安全基本概念、影响信息系统安全的因素、信息系统安全目标、TCP/IP安全体系、ISO开放系统互联安全体系。
信息系统的安全工程
信息系统的安全工程作者:王志华来源:《科学与财富》2017年第32期摘要:尽管信息技术和计算机技术发展的时间并不长,但是这些技术在短时间内已经被人们广泛的应用开来,在社会的各个层面发挥着重要的作用。
在我国经济发展的过程中,信息技术和信息系统的建设也给相关的工作带来了推进作用,国家的安全也离不开信息系统的发展与建设。
关键词:信息系统;安全工程;范信息;信息技术一、序言随着计算机技术的发展和互联网的普及,人们已经全面的迈进了信息化时代。
信息化时代的一步步发展给人们的生活带来了极大的便利,也涌现出了许多新的机遇,但同时也产生了大量的性风险。
其中,信息的安全是众多隐患当中最为突出的一项安全问题。
现在黑客所从事的工作涉及到了我们社会的方方面面,不仅会对公民个人的利益和信息带来损害,还会给企业、商家、军事部门以及政府机关的各项信息带来威胁,黑客的出现以及各类信息安全事故的产生给人们的生活带来了极其不利的影响,对于我国的经济也带来了较为严重的损失。
二、信息系统安全工程的主要内容所谓的信息系统的安全工程,并不能够实现对系统的绝对保障,而是使得系统处于一个相对安全,不被侵犯的状态。
且该工程本身也是一项较为复杂的体系,在该安全系统当中,需要有一般工程的各项原理和概念,还要有一般工程的各种方法与结束,结合这些内容对企业信息系统的网络安全进行保护,且这种保护需要是长时间有效的。
在建构信息系统安全工程的过程汇总,一定要对工程的各项流程以及对应的管理技术进行明确的规划,并以此建立起科学的生命周期模型,结合模型对整个工程进行建构,这是信息系统安全工程建设的关键性技术。
互联网是信息时代发展的基础和先导,互联网所代表的并不是简单的将多个计算机连接成一个组合体,而是将整个人类社会的各项内容在数字空间内以另一种形式进行表达和投影。
人类社会本身就是复杂的,因此互联网的各种行为也是极其复杂的,因而,网络安全问题也一直是人们所关注的重点性问题。
信息系统安全工程_信息安全_软件讲解
网络安全
教材的定义:在分布网络环境中,对信息载体(处理载 体、存储载体、传输载体)和信息的处理、传输、存储、 访问提供安全保护,以防止数据、信息内容或能力被非 授权使用、络安全的层次结构
网络安全相关概念(续)
不可否认性
人类社会中各种商务行为均建立在“信任”的基础上,没有信任 就不可能有人类社会的存在。
传统的公章、印戳、手写签名等是实现不可否认的主要机制。
信息的不可否认与此相同,只不过这个时候实体位于信息空 间中。
信息安全相关概念(续)
信息系统(Infor机 软件、信息资源、信息用户和规章制度组成的以处理 信息流(信息的收集、传递、存贮、加工、维护和使 用)为目的的人机一体化系统。
附:信息的可控性和不可否认性
可控性
由于社会中存在不法份子,世界各国之间还有由于意识形态和利 益冲突造成的敌对行为,政府对社会的监控管理行为(如搭线监 听犯罪份子的通信),在社会广泛使用信息安全设备和装置时可 能受到严重影响,以至于不能实施。这就出现了信息安全的可控 性要求。
从国家层面看,可控性不但涉及到了信息的可控、还与安全产品、 安全市场、安全研发人员的可控相关。
N+1=N; N–1=0。
信息安全已经成为各主要强国的国家战略
没有信息安全,就没有真正意义上的政治安全、就没 有稳固的经济安全和军事安全,更没有完整意义上的 国家安全。
2、网络安全相关概念
计算机网络
计算机网络是地理上分散的多台自主计算机互联的集合。 为了保证网络安全,需要:
自主计算机的安全; 互联的安全(即用以实现互联的通信设备、通信链路、网络软
《信息系统安全工程》之 信息安全概论
信息系统安全工程
随阶段而变的: 判决支持数据 系统体系结构 规范 基线
输出:
ISSE的最终体现:
项目所必须的安全要求 在用户、测评人员以及客户可接受的风险水平上满足
要求。 精心的支持用户,谨慎地剪裁以满足客户要求。 作为一种运作,应把安全尽早地结合到系统工程中去。 在费用、进度、实用性和有效性的综合考虑中要平衡
检查关键设计提出的安全方案的技术原理
准备信息系统安全的测试和评估要求(系统的、软件的、硬件 的)
跟踪或参与与系统设计/开发有关的安全保障机构
பைடு நூலகம்
确定并证明每个CI的设计、CI间的接口设计能够满足系统安全 要求
准备好绝大多数生命期安全保障方案的内容,包括培训计划、 应急培训计划的有关内容
本阶段与ISSE有关的活动
最后确认系统的生产/部署计划能满足信息系统安全要求 根据信息系统安全要求,进一步评审CI产品的指标以及相关的
设计资料 最终确定系统运行安全规则和安全支持计划 为认证和认可过程提供数据
4.9运行和支持阶段
目的:系统开始部署、运行直到系统被拆除,ISSE一直发挥 作用,确保系统安全得到维护。它包括处理系统在现场运行时 出现的安全问题以及采取措施保证系统的安全水平在系统运行 期间不会下降。
关键设计评审包括的内容:
找出配置项和关键设计都没有解决的问题 考虑系统与其他系统的兼容性 确认系统和CI设计是完整的 确认和证明系统设计要求、接口要求、系统限制与可以验证的
结论相一致 建立每个CI的分配基线
本阶段与ISSE有关的活动
通过关键设计安全方案和具体软件以及工程设计的评审,实现 系统和CI层面的安全设计
评审CI层面的参数和接口规范的定义及其他方面的问题 对已有的安全方案进行复查,使之与CI的要求一致 确认CI(无论是开发的或是买来的)的指标满足系统安全要求 为认证和认可(C& A)继续提供数据 检查系统各方面的问题
第1章信息系统安全概述
• (3)操作失误(如删除文件,格式化硬盘,线路 拆除等),意外疏漏。 • 解决方案是:状态检测,报警确认,应急恢复 • (4)计算机系统机房环境的安全。解决方案:加 强机房管理,运行管理,安全组织和人事管理。 • 2.安全控制 • (1)微机操作系统的安全控制。 • (2)网络接口模块的安全控制。在网络环境下对 来自其他 • (3)机器的网络通信进程进行安全控制。 • (4)网络互联设备的安全控制。
1.1信息安全基本概念
• 1.1.1 什么是信息 • 信息的确切定义理论界尚无定论。信息 论奠基人Shannon在《通信的数学理论》 一文中指出:信息是“两次不确定性之 间的差异”,是用来消除随机不确定性 的东西。 • 控制论创始人维纳认为:信息是人与外 部世界互相交换的内容。
• 现在一般认为:所谓信息,就是客观世 界中各事物的变化和特征的最新反映, 是客观事物之间联系的表现,也是客观 事物状态经过传递后的再现。 • 信息是主观世界与客观世界联系的桥梁。 • 在客观世界中,不同的事物具有不同的 特征,正是这些特证给我们带来了不同 的信对等实体认证服务、访问控制服 务、数据保密服务、数据完整性服务、 数据源点认证服务和禁止否认服务 • 4.安全机制 • 包括:加密机制、数字签名机制、访问 控制机制、数据完整性机制、认证机制、 信息流填充机制、路由控制机制和公证 机制 • 造成安全缺陷的主要原因是受入侵主机 的错误配置。
– 我国计算机犯罪的增长速度超过了传统的犯 罪 • 97年20几起发展到2000年的近4000起。 – 利用计算机实施金融犯罪已经渗透到了我国 金融行业的各项业务。 互连网上盗用帐号这类案件成了网上一个很突 出的问题
2000年广东破获了一起案件,有人攻进了中国电信 的认证中心,窃取了没买出的所有的 163 卡帐号, 价值500万元。
第一讲(信息系统安全概论)
第一讲信息系统安全概述和红杰信息科学与技术学院内容:¾软件专业与信息安全¾信息安全的概念¾信息安全威胁¾信息安全技术体系¾信息安全模型¾小结为什么要学习信息安全我的口令就是我的用户名后加上123我的口令是Q47pY!3,每隔90天就更换一次那种更安全?为什么要学习信息安全盗版:70年代末,以微软公司的创始人比尔.盖茨《致电脑业余爱好者的一封公开信》为标志,以世界知识产权组织《伯尔尼公约》为框架,软件步入了Copyright的时代。
通常情况下99.99%无错的程序很少会出问题 同安全相关的99.99%无错的程序可以确信会被人利用那0.01%的错误0.01%安全问题等于100%的失败为什么要学习信息安全为什么要学习信息安全问题:如果你做了一个软件,如何向用户展示软件的功能?同时还要防止盗版?1.1 信息安全的概念信息安全是集计算机技术、电子技术、密码技术、通信技术、数学等多学科于一身的新兴学科,是现代信息技术中不可缺少的重要成分。
1.1电子政府1.11.11.1 信息安全的概念1.1 信息安全的概念高技术犯罪:作案时间短,不留痕迹、区域广等特点 数据欺骗:非法篡改数据或输入假数据;病毒: 将具有破坏系统功能和系统服务等犯罪程序,非法装入秘密指令或程序,由计算机执行犯罪活动;陷阱术:利用软件和硬件的某些断点或接口插入犯罪指令或装置。
2005中国国际新闻摄影“广场鸽”检测事件经过2005年《广场鸽注射禽流感疫苗》获首届华赛自然及环保新闻类金奖2007年4月,摄影记者齐洁爽和许林对哈尔滨日报摄影记者张亮先生在首届华赛上获金奖的照片提出质疑,在网上引起众多关注2008年4月2日,中国新闻摄影学会和华赛组委召开记者招待会,取消“广场鸽”金奖,所用技术是photoshop滤镜功能,采用目测比较手法记者招待会后,摄影记者齐洁爽针对新闻造假,在网上博客呼吁“造假图片鉴定方法要有理论支持”1.1 信息安全的概念信息安全可以理解为:信息系统抵御意外事件或恶意行为的能力,可用下面的6个基本属性来描述:(1) 可用性(Availability): 在突发事件下,依然能够保证数据和服务的正常使用,如网络攻击、病毒感染、战争破坏、自然灾害等。
信息系统安全管理基础概述
信息系统安全管理基础概述第一章:信息系统安全管理概述信息系统安全管理是指通过对信息系统进行有效规划、组织、实施和监控,以维护信息系统的完整性、可用性和保密性的一系列管理活动。
随着信息技术的发展和普及,信息系统安全问题也日益凸显,因此,对信息系统进行有效的安全管理具有重要意义。
第二章:信息系统安全管理目标与原则信息系统安全管理的目标是确保信息资产的安全性,包括保护信息的机密性、完整性和可用性,并满足相关法律法规和合规要求。
信息系统安全管理的原则包括全面性、可持续性、文化性、动态性等。
全面性指的是对信息系统的所有部分进行综合管理,可持续性指的是信息安全工作需要持续改进、持续投入,文化性指的是建立信息安全意识和文化,动态性指的是及时响应和适应信息安全风险变化。
第三章:信息安全管理体系构建一个科学有效的信息安全管理体系是信息系统安全管理的基础。
信息安全管理体系通常遵循国际标准ISO/IEC 27001和ISO/IEC 27002,包括组织和领导力、风险评估和管理、安全策略和目标、安全控制措施、安全培训和教育、安全监控和评估等内容。
第四章:信息安全风险管理信息安全风险管理是信息系统安全管理的核心内容之一。
它包括风险识别、风险评估和风险处理三个主要环节。
风险识别是通过对信息系统中的潜在威胁和漏洞进行辨识和分析,确定可能的风险。
风险评估是对已识别的风险进行评估,确定其可能性和影响程度。
风险处理是在评估风险后,采取相应的风险应对策略,包括风险规避、风险转移、风险缓解和风险接受等。
第五章:信息系统安全控制措施信息系统安全控制措施是保障信息系统安全的重要手段。
包括物理安全控制、操作系统安全控制、网络安全控制、应用系统安全控制等。
物理安全控制是通过门禁、视频监控等手段,保护信息系统的物理环境。
操作系统安全控制包括访问控制、账户管理、日志监控等手段,防止未授权访问和滥用。
网络安全控制包括防火墙、入侵检测系统、虚拟私有网络等技术手段,保护内部网络免受外部攻击。
第2章信息系统安全工程
2.2.2 掌握对信息系统的威胁
对信息系统威胁,是指可以利用信息系统的脆弱性, 可能造成某个有害结果的事件或对信息系统造成危害的潜 在事实。ISSE需要在用户的帮助下,准确、详尽地定义出 在信息系统的设计、生产、使用、维护以及销毁的过程中 可能受到的威胁。
通过分析信息系统的安全需求,找到安全隐患,应该 从以下几个方面入手:
第2章信息系统安全工程
•2.3 定义信息安全系统
定义信息安全系统,就是要确定信息安全系统将要保 护什么,如何实现其功能,以及描述信息安全系统的边界 和环境的联系情况。任务的信息保护需求和信息系统环境 在这里被细化为信息安全保护的对象、需求和功能集合。
一般是通过确定信息保护目标、描述系统联系、检查 信息保护需求和功能分析等来定义信息安全系统,如图2-3 所示。
第2章信息系统安全工程
•2.4 设计信息安全系统
明确目标系统后,将构造信息系统的体系结构,详细 说明信息保护系统的设计方案,这时ISSE工程师要进行功 能分配、信息保护预设计和详细信息保护设计等工作,如 图2-4所示。
第2章信息系统安全工程
图2-4 设计信息安全系统
第2章信息系统安全工程
2.4.1 功能分配
(1) 检测恶意攻击。指检测人为的、有目的性地破坏行 为,这些破坏行为分为主动和被动两种。
第2章信息系统安全工程
主动攻击是指以各种方式有选择性地破坏信息,例如修改、 删除、伪造、乱序等;被动攻击是指在不干扰系统正常工 作情况下,进行侦听、截获、窃取、破译等。
(2) 了解安全缺陷。指了解信息系统本身存在的一些安 全缺陷,包括网络硬件、通信链路、人员素质、安全标准 等原因引起的安全缺陷。
ISSE的体系结构是一个顺序结构,前一项的结果是后 一项的输入,具有严格的顺序性,是按照时间维的发展。 违背这种顺序性将导致系统建设的盲目性,最终会导致信 息系统安全工程建设的失败。
第1章信息系统安全概述
• 传输层:TCP连接欺骗等针对传输层协议的漏洞的攻 击。(SYN Flooding拒绝服务、伪造源端口、源地址)
• 应用层:存在认证、访问控制、完整性、保密性等所 有安全问题。(DNS缺少加密认证、NFS的RPC调用、 Finger漏洞、匿名FTP和远程登录)
• 完整性 (Integrity):数据未经授权不能进行改变的特性, 即信息在存储或传输过程中保持不被修改、不被破坏 和丢失。 – 典型攻击:篡改 – 保障手段:加密、数字签名、散列函数
26
网络信息系统安全的基本需求 (2)
• 可用性 (Availability):可被授权实体访问并按需求使 用的特性,即当需要时总能够存取所需的信息。
信息源
信息目的地
截获 Interception
15
安全攻击方式:篡改
• 篡改:未授权方不仅获得了访问,而且篡改了某些 资产,这是对完整性的攻击。
• 如:改变数据文件的值,改变程序使得它的执行结 果不同,篡改在网络中传输的消息的内容等等。
信息源
信息目的地
篡改 Modification
16
安全攻击方式:伪造
• 伪造:未授权方将伪造的对象插入系统,这是对真实 性的攻击。
• 如:在网络中插入伪造的消息或为文件增加记录等。
信息源
伪造 Fabrication
信息目的地
17
攻击的种类
《信息保障技术框架(IATF)》3.0版中将攻击 分为以下5类:
• 被动攻击。 • 主动攻击。 • 物理临近攻击。 • 内部人员攻击。 • 软硬件配装攻击。
信息系统安全工程-XXXX0828
5.识别和特征化影响
6.监视影响中的变化
2020/1/29
CNITSEC
评估安全风险(PAR)
评估安全风险的目的在于识别出一给定环境中 涉及到对某一系统有依赖关系的安全风险。
目标获得对在一给定环境中运行该系统相关的 安全风险的理解。
信息安全过程规范元素
1.选择风险分析方法 2. 识别威胁/弱点/影响的组合。 3. 评估与上述组合相关的风险。 4.评估上述组合及风险的总体不确定性。 5.排列风险的优先级。 6. 监视风险的系列和特征的变化。
风险信息
PA02:评估影响
影响信息 impact
风险就是有害事件发生的可能性
一个有害事件有三个部分组成:威胁、脆弱性和影响。CNITSEC
2020/1/29
工程
PA10 指定安全要求
风险信息
PA08 监视安全态势
需求、策略等
PA07 协调安全
配置信息
PA09 提供安全输入
PA01 管理安全控制
公共特征2.1 — 规划执行
公共特征2.2 — 规范化执行 公共特征2.3 — 验证执行 公共特征2.4 — 跟踪执行 公共特征3.1 – 定义标准过程 公共特征 3.2 – 执行已定义过程
公共特征 3.3 – 协调实施 公共特征 4.1 – 建立可测的质量目标 公共特征4.2 – 客观地管理执行 公共特征 5.1 – 改进组织能力 公共特征 5.2 – 改进过程有效性
需求及所需要的信息安全保护策略。
在信息系统安全过程中,必须安全要求其进行合理 定义,以便信息系统结构概念能够在集成的、一致的系
统工程过程中得以开发。
系统定义(PSD) 评估威胁(PAT) 评估脆弱性(PAV) 评估影响(PAI) 评估安全风险(PAR) 确定安全要求(PSR)
信息系统安全概论
第一章定义1.2由一套应用软件及支撑其运行的所有硬件和软件构成的整体称为一个信息系统。
定义1.3如果信息系统A的某些功能需要由主机系统H实施,则称信息系统A 依赖主机系统H,或称主机系统H承载信息系统A。
• 引理1.1承载任何一个信息系统所需要的主机系统数量是有限的。
定义1.4如果信息系统A的某些功能需要由网络设施D实施,则称信息系统A 依赖网络设施D,或称网络设施D承载信息系统A。
• 定理1.1任何一个信息系统都只需要由有限数量的主机系统和有限数量的网络设施承载。
信息安全经典要素CIA:※机密性是指防止私密的或机密的信息泄露给非授权的实体的属性。
完整性分为数据完整性和系统完整性,数据完整性指确保数据(包括软件代码)只能按照授权的指定方式进行修改的属性,系统完整性指系统没有受到未经授权的操控进而完好无损的执行预定功能的属性。
可用性是指确保系统及时工作并向授权用户提供所需服务的属性。
信息系统基本概念:安全策略是指规定一个组织为达到安全目标如何管理、保护和发布信息资源的法律、规章和条例的集合。
安全策略是指为达到一组安全目标而设计的规则的集合。
安全策略是指关于允许什么和禁止什么的规定。
安全模型是指拟由系统实施的安全策略的形式化表示。
安全模型是指用更加形式化的或数学化的术语对安全策略的重新表述。
安全机制是指实现安全功能的逻辑或算法。
安全机制是指在硬件和软件中实现特定安全实施功能或安全相关功能的逻辑或算法。
安全机制是指实施安全策略的方法、工具或规程。
安全机制设计八大原则①经济性原则②默认拒绝原则③完全仲裁原则④开放设计原则⑤特权分离原则⑥最小特权原则⑦最少公共机制原则⑧心理可接受原则第二章※※※贝- 拉模型的构成贝- 拉模型的核心内容由简单安全特性(ss- 特性)、星号安全特性(*-特性)、自主安全特性(ds-特性)和一个基本安全定理构成。
(基本安全定理)如果系统状态的每一次变化都满足ss- 特性、*- 特性和ds- 特性的要求,那么,在系统的整个状态变化过程中,系统的安全性一定不会被破坏。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
详细安全设计
实施系统安全
实施系统安全的目的是构造、购买、集成、验证组 成信息保护子系统的配置项集合并使之生效。
安全工程实施(PEI) 协调安全(PCS) 监控安全态势(PMP) 管理安全控制(PAC) 验证和证实安全(PVV) 建立保证论据(PBA)
有效性评估
有效性评估的目的是保证信息系统能够满足用户的 安全要求。 评估活动在系统生命期内任何时间都可进行,以支 持在已知环境中对开发、维护和运行系统做出决策。
1 设计安全模型 2 设计安全体系结构
2018/10/27
CNITSEC
详细安全设计(PDD)
信息系统安全工程师分析设计的约束条件,分析折 衷办法,进行详细的系统和安全设计并考虑生命周 期支持;检查所有系统安全需求落实到了组件。最 终的详细安全设计结果为实现系统提供充分的组件 和接口描述信息。 详细安全设计是方案设计的关键,是将从需求分析 、风险分析直到得出的安全需求落实到安全机制、 安全组件和安全产品等,对不可接受的风险的全面 应对措施、安全问题详细解决方案的制订过程。 信息安全过程规范元素
证据
指定安全要求 其他多个PA
保证论据
证据
2018/10/27
保证是指安全需要得到满足的信任程度 SSE-CMM的信任程度来自于安全工程过程可 重复性的结果质量。
CNITSEC
安全工程过程能力的成熟度
1
非正式 执行
2
计划与跟踪
3
充分定义
4
量化控制
5
连续改进
公共特性
•执行 基本 实施
•计划执行 •定义标准过程 •规范化执行 •协调安全实施 •跟踪执行 •执行已定义的过程 •验证执行
2、生命周期各阶段过程域介绍
生命周期与相关的过程域 各个过程域介绍
2018/10/27
CNITSEC
生命周期 挖掘安全需求
描述 本阶段的目标是帮助用户理解信息系统的任务需求, 确定安全策略。 挖掘安全需求涉及用通用语言描述信息系统的任务 需求及所需要的信息安全保护策略。 在信息系统安全过程中,必须安全要求其进行合理 定义,以便信息系统结构概念能够在集成的、一致的系 统工程过程中得以开发。
GP2.1.3 —文档化过程 GP2.1.4 —提供工具 GP2.1.5 —保证培训
能力级别2:计划和跟踪
公共特征2.2 — 规范化执行 公共特征2.3 — 验证执行 公共特征2.4 — 跟踪执行 公共特征3.1 – 定义标准过程 公共特征 3.2 – 执行已定义过程
GP2.1.6 —规划过程 GP2.2.1 — 使用计划、标准和程序 GP2.2.2 —进行配置管理 GP 2.3.1 — 验证过程一致性 GP 2.3.2 — 审计工作产品 GP 2.4.1 —使用测量跟踪 GP 2.4.2 — 采取修正措施 GP 3.1.1 – 过程标准化 GP 3.1.2 – 裁剪标准过程 GP 3.2.1 –使用充分定义的过程
2018/10/27
评估威胁(PAT)
评估威胁过程类的目的在于识别安全威胁及其性 质和特征。 目标:对系统安全的威胁进行标识和特征化。 信息安全过程规范元素
1. 识别自然威胁 2. 识别人为威胁 3. 识别威胁的测量块 4. 评估威胁影响的效力 5. 评估威胁的可能性 6. 监视威胁及其特征
能力级别4:定量控制
公共特征4.2 – 客观地管理执行 公共特征 5.1 – 改进组织27 公共特征 5.2 – 改进过程有效性
GP 5.2.2 – 消除缺陷原因
CNITSEC
GP 5.2.3 – 连续改进已定义过程
安全工程生命周期
2018/10/27
CNITSEC
风险信息
PA02:评估影响
影响信息 impact
2018/10/27
风险就是有害事件发生的可能性 一个有害事件有三个部分组成:威胁、脆弱性和影响。 CNITSEC
工程
风险信息
PA10 指定安全要求 PA08 监视安全态势
需求、策略等
PA07 协调安全
配置信息
PA09 提供安全输入
PA01 管理安全控制
CNITSEC
课程内容
1.
2. 3.
信息系统安全工程一般概念 信息系统安全工程过程域介绍 信息系统安全工程的实践
2018/10/27
CNITSEC
1、信息安全工程一般概念
我们当前的形势与问题 安全问题产生的根源与环节 如何达到系统的安全 安全工程过程 安全工程过程能力的成熟度 信息安全工程生命周期
2018/10/27
CNITSEC
评估脆弱性(PAV)
在于识别和特征化系统的安全脆弱性。
目标获得对一确定环境中系统安全脆弱性的
理解。 信息安全过程规范元素
1.选择脆弱性分析方法 2.识别脆弱性 3.收集脆弱性数据 4.合成系统脆弱性 5.监视脆弱性及其特征的不间断变化。
2018/10/27
安全工程
中国信息安全产品测评认证中心
自我介绍
刘作康 CNITSEC
E-mail: liuzuokang@
2018/10/27
CNITSEC
课程目标
了解信息系统安全工程一般概念 了解信息系统安全工程的生命周期 初步掌握应该如何进行信息系统安全工 程
2018/10/27
CNITSEC
评估影响(PAI)
评估影响的目的在于识别对该系统有关系的影 响,并对发生影响的可能性进行评估。影响可 能是有形的,例如税收或财政罚款的丢失,或 可能是无形的,例如声誉和信誉的损失。 信息安全过程规范元素
1.对影响力进行优先级排序 2.识别系统资产 3.选择影响的度量标准 4.标识度量标准关系 5.识别和特征化影响 6.监视影响中的变化
2018/10/27
CNITSEC
安全工程过程
产品或服务
工程过程 Engineering
保证过程 Assurance
风险过程 Risk
保证论据
风险信息
2018/10/27
CNITSEC
风险
PA04:评估威胁
威胁信息 threat
PA03:评估安全风险
PA05:评估脆弱性
脆弱性信息 vulnerability
安全问题产生的根源与环节
-理论 -设计 -实现 -生产与集成 -使用与运行维护
2018/10/27
CNITSEC
如何达到系统的安全
建立更安全的系统需要: 充分定义的系统安全需求和安全规范 设计良好的组成产品 健全的系统安全工程实践 合格的系统安全工程师 全面的系统安全规划和生命周期管理 对于产品/系统测试,评估,认证的合适 尺度
2018/10/27
CNITSEC
系统定义(PSD)
信息系统使命 信息系统概述 信息系统标识
信息系统环境描述
信息系统评估边界和接口描述 信息系统安全域描述 组织机构描述 管理体系 管理制度、法规描述 系统资产描述
信息系统详细描述 •管理体系 •技术体系 •业务体系
网络基础设施描述 技术体系 技术应用描述 适用技术标准描述 主要业务应用描述 业务体系 业务流程描述 业务信息流描述 CNITSEC
能力级别3:充分定义
GP 3.2.2 –执行缺陷复查 GP 3.2.3 – 使用充分定义的数据 GP 3.3.1 –执行组内协调
公共特征 3.3 – 协调实施 公共特征 4.1 – 建立可测的质量目标
GP 3.3.2 – 执行组间协调 GP 3.3.3 – 执行外部协调 GP 4.1.1 – 建立质量目标 GP 4.2.1 – 确定过程能力 GP 4.2.2 – 使用过程能力 GP 5.1.1 – 建立过程效力目标 GP 5.1.2 – 连续改进标准过程 GP 5.2.1 – 执行因果分析
2018/10/27
CNITSEC
评估安全风险(PAR)
评估安全风险的目的在于识别出一给定环境中 涉及到对某一系统有依赖关系的安全风险。 目标获得对在一给定环境中运行该系统相关的 安全风险的理解。 信息安全过程规范元素
1.选择风险分析方法 2. 识别威胁/弱点/影响的组合。 3. 评估与上述组合相关的风险。 4.评估上述组合及风险的总体不确定性。 5.排列风险的优先级。 6. 监视风险的系列和特征的变化。
1 分配安全机制 2 确定安全产品 3 系统接口设计和优化 3 提供安全工程指南
2018/10/27
CNITSEC
安全工程实施(PEI)
信息系统安全工程师把系统设计转移到运行,参与对 所有系统问题的多学科综合分析,并为认证认可活动 提供输入。 安全工程实施不仅包括系统的建设和安装调试,也包 括系统的测试和交付过程,为系统用户提供必要的培 训和一些安全运行维护管理手册是系统安全可靠运行 所必需的 信息安全过程规范元素
相关过程域 系统定义(PSD) 评估威胁(PAT) 评估脆弱性(PAV) 评估影响(PAI) 评估安全风险(PAR) 确定安全要求(PSR)
定义安全要求
设计体系结构
设计体系结构涉及从概要规范往下到低层实现不同的抽 象级别上对信息系统的体系结构逐步进行细化。
详细安全设计,应该详细说明信息系统的设计方案, 包含产生低层产品规范,或者完成开发中的配置项的设 计,或者规定并调整所购买的配置项的选择。 提供安全输入(PPI) 高层安全设计(PHD) 详细安全设计(PDD)
2018/10/27
提供安全输入(PPI)
提供安全输入的目的在于为信息系统的规划者 、设计者、实施者或用户提供他们所需的安全 信息。这些信息包括安全体系结构、设计或实 施选择以及安全指南 信息安全过程规范元素