信息安全工程

信息安全工程 培训机构培训讲师

信息安全工程概述 课程内容信息安全工程基础理论信息安全工程理论背景信息安全工程基础理论简介知识域知识子域知识体

ISSE过程 评估信息保护的有效性设计系统安全体系结构确定系统安全要求实施系统安全 SSE-CMM体系与原理安全工程过程安全工程能力开展详细安全设计发掘信息保护需求课程内容安全工程能力成熟度模型信息系统安全工程生命周期信息安全工程方法知识子域信息安全工程监理模型信息安全工程监理监理阶段目标与各方职责知识域知识体知识子域

学习目标 • 了解信息安全工程的基本概念 • 掌握系统安全工程能力成熟度模型（SSE-CMM），能应用SSE-CMM指导开展信息安全工程建设、改进安全服务质量

知识域：信息安全工作理论背景 • 知识域：信息安全工程基础 • 知识子域：信息安全工程概述 • 了解信息安全工程的重要性和意义（政策要求和案例） • 了解信息安全工程的基本原则 • 了解系统工程、项目管理、质量管理、能力成熟度基本概念

信息安全工程概述 • 信息安全工程是信息安全保障的重要组成部分，但是却被广泛忽视 • 等级保护—技术、管理 • 传统风险评估—资产\威胁\脆弱性 • 从普通管理者的角度看信息安全状况是“重技术、轻管理”；从一般安全人员看信息安全是“重应用、轻安全”；从专业人员的角度看信息安全的状况是“重要素、轻过程”，情况更严重。 • 信息安全工程就是要解决信息系统生命周期的“过程安全”问题

信息化建设中的案例 • A公司开展家用电话自助刷卡支付业务 • 用户可以通过其网站查询个人付款信息 • 第三方安全测平发现该网站存在SQL注入漏洞，可以泄露用户交易信息

信息化建设中的案例（续） • 当初外包开发此网站的公司已经倒闭 • A公司技术人员对网站系统开发情况不了解，没有能力消除该漏洞。公司董事会研究最终决定，为保护用户隐私，暂时不再为用户提供网上交易信息查询服务！

需要牢记在心的原则 • 信息安全工程是信息化建设必要的有机组成部分 • 信息安全建设必须同信息化建设“同步规划、同步实施” • “重功能、轻安全”，“先建设、后安全”都是信息化建设的大忌 • 信息安全工程是信息安全保障工作中不可或缺的环节

支撑信息安全工程的理论基础 • 系统工程思想 • 项目管理方法 • 质量管理体系 • 能力成熟度模型

什么是系统工程 • 钱学森：“系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法，是一种对所有系统都具有普遍意义的科学方法” • 系统工程不是基本理论，也不属于技术实现，而是一种方法论 • 系统工程不同于一般的工程技术学科，如水利工程、机械工程等“硬”工程；系统工程偏重于工程的组织与经营管理一类“软”科学的研究 • 一个系统的功能由要素—结构—环境组成，在要素和环境不变的情况下就要在结构上下功夫

系统工程基础 • 霍尔三维结构图知识维（专业、行业）工程技术医学社会科学规划逻辑维（工作步骤）计划时间维（阶段、进程）系统开发制造安装运行更新系统指标设计明确问题系统综合系统分析最优化决策实施计划

项目管理 • 所谓项目管理，就是项目的管理者，在有限的资源约束下，运用系统的观点、方法和理论，对项目涉及的全部工作进行有效地管理。即从项目的投资决策开始到项目结束的全过程进行计划、组织、指挥、协调、控制和评价，以实现项目的目标。 • 可以说项目管理是系统工程思想针对具体项目的实践应用。

质量管理基本概念 • 质量 • 质量指产品或服务，满足规定或需要的特征。它既包括有形产品也包括无形产品；既包括产品内在的特性、也包括产品外在的特性。即包括了产品的适用性和符合性的全部内涵。 • 质量控制（QC） • 是对生产的全部过程加以控制，是面的控制，不是点的控制。为保证产品过程或服务质量，必须采取一系列的作业、技术、组织、管理等有关活动，这些都属于质量控制的范畴 • 质量管理（QM） • 质量管理是指为了实现质量目标，而进行的所有管理性质的活动。在质量方面的指挥和控制活动，通常包括制定质量方针和质量目标以及质量策划、质量控制、质量保证和质量改进。

质量管理规范和主要内容 • ISO9000族标准并不是产品的技术标准，而是针对组织的管理结构、人员、技术能力、各项规章制度、技术文件和内部监督机制等一系列体现组织保证产品及服务质量的管理措施的标准。 • 　　具体地讲ISO9000族标准就是在以下四个方面规范质量管理： • 1.机构：标准明确规定了为保证产品质量而必须建立的管理机构及职责权限。 • 2.程序：组织的产品生产必须制定规章制度、技术标准、质量手册、质量体系、操作检查程序，并使之文件化。 • 3.过程：质量控制是对生产的全部过程加以控制，是面的控制，不是点的控制。从根据市场调研确定产品、设计产品、采购原材料，到生产、检验、包装和储运等，其全过程按程序要求控制质量。并要求过程具有标识性、监督性、可追溯性。 • 4.总结：不断地总结、评价质量管理体系，不断地改进质量管理体系，使质量管理呈螺旋式上升。

能力成熟度模型的概念 • CMM – Capability Maturity Model • 现代统计过程控制理论表明通过强调生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品； • 所有成功企业的共同特点是都具有一组严格定义、管理完善、可测可控从而高度有效的业务过程； • CMM模型抽取了这样一组好的工程实践并定义了过程的“能力”；

能力成熟度模型的应用 SW-CMM 软件能力成熟模型软件工程传统制造业 SE-CMM 系统工程能力成熟模型 CMM 能力成熟模型 SSE-CMM 信息系统安全工程能力成熟模型安全工程评定 SSAM 信息系统安全工程能力成熟性模型评估方法。。。。。。。。。。。。

信息安全工程的有关标准背景

知识域：安全工程能力成熟度模型 • 知识子域： SSE-CMM体系与原理 • 了解SSE-CMM的适用范围 • 了解过程、过程区和过程能力的概念 • 了解域维/安全过程区与能力维/公共特征的关系 • 知识子域：安全工程过程 • 了解过程类、过程区和基本实施的关系 • 理解风险过程、工程过程和保证过程的含义 • 了解各个安全工程过程区的含义 • 知识子域：安全工程能力 • 理解能力级别、公共特征和通用实施的关系 • 理解各个信息安全工程能力级别的含义

安全工程能力成熟度模型的价值 • SSE-CMM为信息安全工程过程改进建立一个框架模型 • 通过SSE-CMM的学习了解 • 信息安全工程通常要实施哪些活动？ • 评价和改进这些过程指标是什么？

什么是SSE-CMM • 系统安全工程能力成熟模型（Systems Security Engineering Capability Maturity Model） • 描述了一个组织的系统安全工程过程必须包含的基本特征 • 这些特征是完善的安全工程保证 • 也是系统安全工程实施的度量标准 • 还是一个易于理解的评估系统安全工程实施的框架

SSE-CMM的作用 • 帮助获取组织（系统、产品的采购方）选择合格的投标者，以统一的标准对安全工程过程进行监管提高工程实施质量，减少争议 • 帮助工程组织（系统开发和集成商）通过可重复、可预测的过程减少返工、提高质量、降低成本；改进安全工程实施能力；获得证明安全工程实施能力的资质 • 帮助认证评估组织获得独立于系统和产品的可重用的过程评估标准用来确定被评估者将安全工程集成在系统工程之中，并且其系统安全工程是可信的

SSE-CMM覆盖范围 • SSE-CMM涉及到可信产品或者系统整个生命周期的安全工程活动，其中包括概念定义、需求分析、设计、开发、集成、安装、运行、维护和终止。 • 覆盖整个组织的活动，包括管理、组织和工程活动等，而不仅仅是系统安全的工程活动； • 它不是孤立了工程，而是与其它工程并行且相互作用，包括企业工程、软件工程、硬件工程、基建工程、人力资源工程、通信工程、测试工程、系统管理等； • 与其它组织的相互作用，涉及开发者、产品供应商、集成商、采购者、安全评估组织、资质评估认证组织、咨询服务商等； • SSE-CMM可应用于所有类型和大小的安全工程机构，如商务机构、政府机构和学术机构。

SSE-CMM发展历史 • 1993年4月美国国家安全局（NSA）开始酝量 • 1996年10月出版了SSE-CMM模型的第一个版本，1997年4月出版了评定方法的第一个版本。 • 从1996年6月到1997年6月进行许多实验项目 • 1999年4月出版了第二版。 • 2002年，ISO/IEC IS 21827 • 目前，SSE-CMM V3.0 • 与其配套的评估方法，SSAM,《系统安全工程能力成熟度模型评估方法》

公共特征2.4 跟踪执行能力维（Capability Dimension） PA 05 评估脆弱性域维（Domain Dimension） SSE-CMM体系结构 • 两维模型： • “域维” 由所有定义的安全工程过程区构成。 • “能力维”代表组织实施这一过程的能力。

域维 Base Practices Base Practices Base Practices Base Practices Base Practices 基本实施 Process Areas Process Areas 过程区 Process Areas 域维 BP,Base Practice。域维的最小单位。如果选择执行其所属的PA，则必须执行它。共129个 PA，Process Area由一些基本实施构成，这些BP共同实施以达到该PA的目标。共22个 PA被分为安全工程类、组织管理类和项目管理类。过程类

公共特征 通用实践能力维能力级别能力维 GP，Generic Practice 管理、度量和制度方面的活动，可用于决定所有活动的能力水平 CF，Common Feature由GP组成的逻辑域由公共特征组成的过程能力水平的级别划分。0-5共6个级别

5 4 3 能力级别 2 1 0 PA01 PA02 PA03 PA04 PA05 安全过程区域 SSE-CMM能力成熟度评价 • 通过设置这两个相互依赖的维，SSE-CMM在各个能力级别上覆盖了整个安全活动范围。 • 给每个PA赋予一个能力级别评分，所得到的两维图形便形象地反映一个工程组织整体上的系统安全工程能力成熟度，也间接的反映其工作结果的质量及其安全上的可信度。

域维-22个PA分成三类 • 系统安全工程涉及到三个过程类 • 工程过程类（Engineering） • 组织过程类（Organization） • 项目过程类（Project） • 工程过程类中包含11个过程区域，描述了系统安全工程中实施的与安全直接相关的活动 • 组织和项目过程类中包含11个过程区域，并不直接同系统安全相关，但常与11个工程过程区域一起用来度量系统安全队伍的过程能力成熟度

域维-工程类PA PA01 管理安全控制（Administer Security Controls） PA02 评估影响（Assess Impact） PA03 评估安全风险（Assess Security Risk) PA04 评估威胁（Assess Threat） PA05 评估脆弱性（Assess Vulnerability） PA06 建立保证论据（Build Assurance Argument) PA07 协调安全（Coordinate Security）风险过程 PA08 监视安全态势（Monitor Security Posture）工程过程 PA09 提供安全输入（Provide Security Input）保证过程 PA10 明确安全需求（Specify Security Needs） PA11 核实和确认安全（Verify and Validate Security）

域维-项目类和组织类PA PA12 保证质量 PA13 管理配置 PA14 管理项目风险 PA15 监视和控制技术活动 PA16 计划技术活动 PA17 定义组织的系统工程过程 PA18 改进组织的系统工程过程 PA19 管理产品系列进化 PA20 管理系统工程支持环境项目过程 PA21 提供持续发展的技能和知识组织过程 PA22 与供应商协调

过程类之间的相互关系 产品或服务工程过程 Engineering 保证过程 Assurance 风险过程 Risk 保证论据风险信息

风险过程 • 风险就是有害事件发生的可能性 • 一个有害事件有三个部分组成：威胁、脆弱性和影响。 PA04：评估威胁威胁信息 threat PA03：评估安全风险 PA05：评估脆弱性风险信息脆弱性信息 vulnerability PA02：评估影响影响信息 impact

PA04：评估威胁 • 识别和描述系统面临的安全威胁及其特征 • 识别自然因素所引起的有关威胁 • 识别人为因素所引起的有关威胁 • 制定评判威胁的测度单位，即用什么指标来衡量威胁的高低 • 评估威胁源的动机和能力，即攻击者对系统有多大兴趣，攻击者拥有的知识、技能、工具和其它资源 • 评估威胁事件出现的可能性 • 监控威胁的变化

PA05：评估脆弱性 • 识别和描述系统存在的脆弱性及其特征 • 选择识别和描述系统脆弱性的方法、技术和标准 • 识别系统中存在的脆弱性 • 收集与脆弱性特征有关的数据 • 对脆弱性进行综合分析，评判脆弱性或脆弱性组合可能带来的危害 • 监控脆弱性的变化

PA02：评估影响 • 识别和描述安全事件造成的影响 • 识别系统中的资产 • 选择用于评估影响的度量标准 • 识别潜在的影响，列出描述影响的清单 • 对影响进行分析和优先级排序 • 监控影响中发生的变化

PA03：评估安全风险 • 识别和描述系统面临的安全风险 • 选择风险分析的方法、技术和标准 • 识别威胁/脆弱性/影响的三组合（暴露） • 评估与每个暴露有关的风险 • 对风险进行优先级排序及安全措施需求清单 • 监控风险的变化

风险过程 • 关于风险过程的相关理论和实践问题，在《信息安全风险管理》课程中有详细描述。 • 另：安全工程中的风险三要素是影响、威胁和脆弱性；风险管理中的风险三要素是资产、威胁和脆弱性。两者并不矛盾，“影响”即指对“资产”安全的影响。但应正确理解“资产”的内涵和外延。

工程过程 风险信息 • 安全工程与其它科目一样，它是一个包括概念、设计、实现、测试、部署、运行、维护、退出的完整过程。 • SSE-CMM强调安全工程是一个大的项目队伍中的一部分，需要与其它科目工程师的活动相互协调。 PA10 确定安全需求 PA08 监控安全态势 PA07 协调安全需求、策略等配置信息 PA01 管理安全控制 PA09 提供安全输入解决方案、指导等

PA10：确定安全需求 • 根据系统的安全风险，以及政策法规的约束确定系统与安全相关的需求 • 理解系统的用途，判断其安全需求的特点 • 理解系统用户的安全需求 • 识别政策法规和其它约束（如合同）提出的安全需求 • 确定安全需求，包括信息安全的总体目标、系统开发和维护中应当实现的安全目标 • 相关方对安全需求达成一致，并获得系统用户的认可

PA10：确定安全需求 • 一般情况下，用户最初的安全需求均比较模糊。如：符合**政策要求、提高安全保障水平、抵抗一般攻击行为等。 • 如“符合信息安全保障能力级别二级的要求”，就需要从安全措施和保障能力两个角度进行需求分析，并在安全措施设计中兼顾技术、管理、工程三个方面的内容。 • 如“抵抗一般性攻击”，不但要分析威胁源、威胁能力、威胁动机等，还要分析信息系统自身存在的漏洞\脆弱性情况 • 另：任何需求的分析或提出，都必须建立在明确的系统使命基础之上

PA10：确定安全需求 帮助用户梳理需求是一项重要工作，必须依照其业务特点提出合适的安全需求。以下做法均不可取：需求完全靠用户套用其他行业需求照搬标准需求提出过程不能忽略与相关法律法规和标准的符合性问题需要牢记的是：需求分析越细致，与系统使命联系越紧密，安全工程的基础才越牢固

PA09：提供安全输入 • 系统的安全性不是一组安全专业人员可以全部解决的，“提供安全输入”的意思是为系统的规划者、设计者、实施者和用户提供他们所需的安全信息（包括安全架构、安全设计、实施方法和安全指南等），即告诉“其它人”怎么做才能保证系统的安全 • 分析论证系统建设方案的安全性 • 制定安全解决方案 • 为参与系统建设的非安全专业人员提供安全实施指南 • 为系统用户和管理员提供安全运行指南

PA01：管理安全控制 • 确定集成到系统中的安全控制措施确实在系统运行过程中发挥预计的安全功能 • 建立安全控制措施的责任，落实有关责任人 • 对系统安全控制的配置进行管理 • 对系统用户和管理员进行安全意识教育和技能培训 • 对安全服务和控制机制进行定期维护，避免损伤和故障

管理安全控制 • 管理安全控制既是在工程实施过程中要着重把握的环节，解决工程实施完整性问题 • 工程部署各个环节均要落实到位 • 落实人员和职责 • 落实技术产品和技术措施的配置 • 落实培训 • 落实平稳移交（操作、维护、应急、文档等） • 规避工程实施后，只有承建单位了解系统，业主单位不熟悉情况的风险

PA08：监控安全态势 • 及时发现安全措施状态变化及安全事件，并进行适当的处置 • 监控威胁、脆弱性、影响等方面的变化 • 分析安全态势，及时发现需要加强或调整的安全措施 • 监控安全防护措施的功能、性能的有效性 • 及时发现安全突发事件，并作出及时有效的响应 • 分析事件记录，确定事件原因，总结避免再次发生的方法 • 保护安全监控得到的记录数据

PA08：监控安全态势 安全工程实施部署后，应对系统的运行情况进行监控，该部分工作主要在试运行期间完成。监控的内容应包含：新系统是否按照设计要求，有效降低了风险新系统是否对原有系统产生影响，是否引入了新的风险分析新系统在功能和性能上的变化趋势，判断是否需要进一步调整对系统在试运行过程出现的事件进行详细记录和分析，并形成文档 47

PA07：协调安全 • 安全工程不能独立地取得成功，要保证所有部门都有一种参与安全工程的意识 • 确定各部门的职责和关系 • 确定安全工程中的协调机制 • 制定解决冲突的方法，促进协调机制的落实 • 使各部门、各工程实施组了解和接受有关安全的决定和建议

PA07：协调安全 “信息安全人人有责”，特别是在安全工程过程中必须重视工程组织各方的沟通与协调工作，这项工作作用在“工程过程”的全部PA中作为系统承建单位应做到：熟悉工程组织各方的角色（定好位）熟悉业主单位的组织形式和与信息系统相关的各部门职责（踩好点）协助业主单位定义工程组各方职责提供工程项目沟通协调机制的解决方案工程过程中严格执行沟通协调机制 49

保证过程 • 保证是指安全需要得到满足的信任程度 • SSE-CMM的信任程度来自于安全工程过程可重复性的结果质量。 PA11 验证和证实安全 PA06 建立保证论据证据指定安全要求保证论据其他多个PA 证据

信息安全工程

信息安全工程

Presentation Transcript