信息系统安全工程-20050828概要

2018/10/27
提供安全输入（PPI）


提供安全输入的目的在于为信息系统的规划者 、设计者、实施者或用户提供他们所需的安全 信息。这些信息包括安全体系结构、设计或实 施选择以及安全指南 信息安全过程规范元素
1.理解安全输入要求 2.确定安全约束和考虑 3.分析工程选项的安全性
2018/10/27
风险信息
PA02：评估影响
影响信息 impact

2018/10/27
风险就是有害事件发生的可能性 一个有害事件有三个部分组成：威胁、脆弱性和影响。 CNITSEC
工程
风险信息
PA10 指定安全要求 PA08 监视安全态势
需求、策略等
PA07 协调安全
配置信息
PA09 提供安全输入
PA01 管理安全控制
1 设计安全模型 2 设计安全体系结构
2018/10/27
CNITSEC
详细安全设计（PDD）



信息系统安全工程师分析设计的约束条件，分析折 衷办法，进行详细的系统和安全设计并考虑生命周 期支持；检查所有系统安全需求落实到了组件。最 终的详细安全设计结果为实现系统提供充分的组件 和接口描述信息。 详细安全设计是方案设计的关键，是将从需求分析 、风险分析直到得出的安全需求落实到安全机制、 安全组件和安全产品等，对不可接受的风险的全面 应对措施、安全问题详细解决方案的制订过程。 信息安全过程规范元素
能力级别3：Hale Waihona Puke Baidu分定义
GP 3.2.2 –执行缺陷复查 GP 3.2.3 – 使用充分定义的数据 GP 3.3.1 –执行组内协调
公共特征 3.3 – 协调实施 公共特征 4.1 – 建立可测的质量目标
GP 3.3.2 – 执行组间协调 GP 3.3.3 – 执行外部协调 GP 4.1.1 – 建立质量目标 GP 4.2.1 – 确定过程能力 GP 4.2.2 – 使用过程能力 GP 5.1.1 – 建立过程效力目标 GP 5.1.2 – 连续改进标准过程 GP 5.2.1 – 执行因果分析
CNITSEC
评估影响（PAI）


评估影响的目的在于识别对该系统有关系的影 响，并对发生影响的可能性进行评估。影响可 能是有形的，例如税收或财政罚款的丢失，或 可能是无形的，例如声誉和信誉的损失。 信息安全过程规范元素
1.对影响力进行优先级排序 2.识别系统资产 3.选择影响的度量标准 4.标识度量标准关系 5.识别和特征化影响 6.监视影响中的变化
CNITSEC
高层安全设计（PHD）



信息系统的高层安全设计包括系统的体系结构、设计和 实现的需求，制定相应的设计原则和建议、安全体系结 构建议、保护的原则，得到安全模型、安全体系结构， 进行信任分析；确定所有的安全机制都能对应到高层安 全设计，并且所有的高层安全设计都有具体的安全机制 来保证。 高层安全设计将功能安全规范细化成子系统。对于信息 系统的每一个子系统，高层安全设计描述并标识出包含 在子系统中的安全功能。高层安全设计也定义所有子系 统之间的相互关系。 信息安全过程规范元素
证据
指定安全要求 其他多个PA
保证论据
证据


2018/10/27
保证是指安全需要得到满足的信任程度 SSE-CMM的信任程度来自于安全工程过程可 重复性的结果质量。
CNITSEC
安全工程过程能力的成熟度
1
非正式 执行
2
计划与跟踪
3
充分定义
4
量化控制
5
连续改进
公共特性
•执行 基本 实施
•计划执行 •定义标准过程 •规范化执行 •协调安全实施 •跟踪执行 •执行已定义的过程 •验证执行
详细安全设计
实施系统安全
实施系统安全的目的是构造、购买、集成、验证组 成信息保护子系统的配置项集合并使之生效。

安全工程实施（PEI） 协调安全（PCS） 监控安全态势（PMP） 管理安全控制（PAC） 验证和证实安全（PVV） 建立保证论据（PBA）
有效性评估
有效性评估的目的是保证信息系统能够满足用户的 安全要求。 评估活动在系统生命期内任何时间都可进行，以支 持在已知环境中对开发、维护和运行系统做出决策。
1 工程的实施 2 系统的试运行 3 系统的测试 4 工程的交付 5 安全培训 6 提供用户指南 2018/10/27
CNITSEC
协调安全（PCS)


安全协调的目的在于保证所有部门都有一种参 与安全工程的意识。由于安全工程不能独立地 取得成功，所以这种参与工作是至关重要的。 这种协调性涉及到保持安全组织、其他工程组 织和外部组织之间的开放交流。多种机制可以 用于在这些部门之间协调和沟通安全工程的决 定和建议，包括备忘录、文档、电子邮件、会 议和工作组。 信息安全过程规范元素
2018/10/27
CNITSEC
评估脆弱性（PAV）
在于识别和特征化系统的安全脆弱性。
目标获得对一确定环境中系统安全脆弱性的
理解。 信息安全过程规范元素
1.选择脆弱性分析方法 2.识别脆弱性 3.收集脆弱性数据 4.合成系统脆弱性 5.监视脆弱性及其特征的不间断变化。
2018/10/27
2018/10/27
CNITSEC
确定安全要求（PSN )


明确地为系统识别出与安全相关的需求。指定安 全需求涉及定义系统安全的基本原则，以此满足 有关安全的所有法律、策略、组织要求 目标：所有部门，包括客户间达成安全要求的共 识。 信息安全过程规范元素：
1 理解客户的安全要求。 2 识别特定系统法律、策略、标准、外部影响和约束。 3 识别系统用途，以此决定安全的关联性。 4 获得系统操作的高层安全视图。 5 获得定义系统安全的高层目标。 6 一致地陈述将实施的安全措施。 7 征得客户满足安全需求的认可。 CNITSEC
相关过程域 系统定义（PSD） 评估威胁（PAT） 评估脆弱性（PAV） 评估影响（PAI） 评估安全风险（PAR） 确定安全要求（PSR）
定义安全要求
设计体系结构
设计体系结构涉及从概要规范往下到低层实现不同的抽 象级别上对信息系统的体系结构逐步进行细化。
详细安全设计，应该详细说明信息系统的设计方案， 包含产生低层产品规范，或者完成开发中的配置项的设 计，或者规定并调整所购买的配置项的选择。 提供安全输入（PPI） 高层安全设计（PHD） 详细安全设计（PDD）
2018/10/27
CNITSEC
评估安全风险（PAR）


评估安全风险的目的在于识别出一给定环境中 涉及到对某一系统有依赖关系的安全风险。 目标获得对在一给定环境中运行该系统相关的 安全风险的理解。 信息安全过程规范元素
1.选择风险分析方法 2. 识别威胁/弱点/影响的组合。 3. 评估与上述组合相关的风险。 4.评估上述组合及风险的总体不确定性。 5.排列风险的优先级。 6. 监视风险的系列和特征的变化。

2018/10/27
CNITSEC
我们当前的形势与问题
网络互联的全球化 政府，商业和个人使用网络 网络系统的复杂性提出了很大安全挑战 信息系统面临来自外部的威胁与风险 如何提供对于信息系统安全的信心？ 如何评价信息系统的安全保障能力或水 平？

2018/10/27
CNITSEC
CNITSEC
课程内容
1.
2. 3.
信息系统安全工程一般概念 信息系统安全工程过程域介绍 信息系统安全工程的实践
2018/10/27
CNITSEC
1、信息安全工程一般概念
我们当前的形势与问题 安全问题产生的根源与环节 如何达到系统的安全 安全工程过程 安全工程过程能力的成熟度 信息安全工程生命周期
GP2.1.3 —文档化过程 GP2.1.4 —提供工具 GP2.1.5 —保证培训
能力级别2：计划和跟踪
公共特征2.2 — 规范化执行 公共特征2.3 — 验证执行 公共特征2.4 — 跟踪执行 公共特征3.1 – 定义标准过程 公共特征 3.2 – 执行已定义过程
GP2.1.6 —规划过程 GP2.2.1 — 使用计划、标准和程序 GP2.2.2 —进行配置管理 GP 2.3.1 — 验证过程一致性 GP 2.3.2 — 审计工作产品 GP 2.4.1 —使用测量跟踪 GP 2.4.2 — 采取修正措施 GP 3.1.1 – 过程标准化 GP 3.1.2 – 裁剪标准过程 GP 3.2.1 –使用充分定义的过程
安全工程
中国信息安全产品测评认证中心
自我介绍

刘作康 CNITSEC
E-mail: liuzuokang@263.net


2018/10/27
CNITSEC
课程目标
了解信息系统安全工程一般概念 了解信息系统安全工程的生命周期 初步掌握应该如何进行信息系统安全工 程

2018/10/27
2018/10/27
CNITSEC
系统定义（PSD）
信息系统使命 信息系统概述 信息系统标识
信息系统环境描述
信息系统评估边界和接口描述 信息系统安全域描述 组织机构描述 管理体系 管理制度、法规描述 系统资产描述
信息系统详细描述 •管理体系 •技术体系 •业务体系
网络基础设施描述 技术体系 技术应用描述 适用技术标准描述 主要业务应用描述 业务体系 业务流程描述 业务信息流描述 CNITSEC
2018/10/27
CNITSEC
安全工程过程
产品或服务
工程过程 Engineering
保证过程 Assurance
风险过程 Risk
保证论据
风险信息
2018/10/27
CNITSEC
风险
PA04：评估威胁
威胁信息 threat
PA03：评估安全风险
PA05：评估脆弱性
脆弱性信息 vulnerability
1 分配安全机制 2 确定安全产品 3 系统接口设计和优化 3 提供安全工程指南
2018/10/27
CNITSEC
安全工程实施（PEI）



信息系统安全工程师把系统设计转移到运行，参与对 所有系统问题的多学科综合分析，并为认证认可活动 提供输入。 安全工程实施不仅包括系统的建设和安装调试，也包 括系统的测试和交付过程，为系统用户提供必要的培 训和一些安全运行维护管理手册是系统安全可靠运行 所必需的 信息安全过程规范元素
解决方案、指导等

2018/10/27
安全工程与其它科目一样，它是一个包括概念、设计、实现、 测试、部署、运行、维护、退出的完整过程。 SSE-CMM强调安全工程是一个大的项目队伍中的一部分，需 要与其它科目工程师的活动相互协调。
CNITSEC
保证
PA11 验证和证实安全 PA06 建立保证论据
安全问题产生的根源与环节
－理论 －设计 －实现 －生产与集成 －使用与运行维护
2018/10/27
CNITSEC
如何达到系统的安全
建立更安全的系统需要： 充分定义的系统安全需求和安全规范 设计良好的组成产品 健全的系统安全工程实践 合格的系统安全工程师 全面的系统安全规划和生命周期管理 对于产品/系统测试，评估，认证的合适 尺度
•建立可测量的 质量目标 •客观地管理过 程的执行
•改进组织能 力 •改进过程的 有效性
2018/10/27
CNITSEC
能力级别0 ：未实施
能力级别1：非正式实施
公共特征 1.1 —执行基本实施
GP1.1.1 — 执行过程
GP2.1.1 —分派资源 GP2.1.2 —分配责任
公共特征2.1 — 规划执行
能力级别4：定量控制
公共特征4.2 – 客观地管理执行 公共特征 5.1 – 改进组织能力
能力级别5 ：连续改进
2018/10/27 公共特征 5.2 – 改进过程有效性
GP 5.2.2 – 消除缺陷原因
CNITSEC
GP 5.2.3 – 连续改进已定义过程
安全工程生命周期
2018/10/27
CNITSEC
2018/10/27
评估威胁（PAT）

评估威胁过程类的目的在于识别安全威胁及其性 质和特征。 目标:对系统安全的威胁进行标识和特征化。 信息安全过程规范元素
1． 识别自然威胁 2． 识别人为威胁 3． 识别威胁的测量块 4． 评估威胁影响的效力 5． 评估威胁的可能性 6． 监视威胁及其特征
2、生命周期各阶段过程域介绍
生命周期与相关的过程域 各个过程域介绍

2018/10/27
CNITSEC
生命周期 挖掘安全需求
描述 本阶段的目标是帮助用户理解信息系统的任务需求， 确定安全策略。 挖掘安全需求涉及用通用语言描述信息系统的任务 需求及所需要的信息安全保护策略。 在信息系统安全过程中，必须安全要求其进行合理 定义，以便信息系统结构概念能够在集成的、一致的系 统工程过程中得以开发。