信息安全工程

1、信息安全工程,中國信息安全測評中心,課程內(nèi)容,知識域,安全工程概述,信息安全工程是信息安全保障的重要組成部分，但是卻被廣泛忽視 等級保護技術(shù)、管理 傳統(tǒng)風(fēng)險評估資產(chǎn)威脅脆弱性 從普通管理者的角度看信息安全狀況是“重技術(shù)、輕管理”；從一般安全人員看信息安全是“重應(yīng)用、輕安全”；從專業(yè)人員的角度看信息安全的狀況是“重要素、輕過程”，情況更嚴重。 信息安全工程就是要解決信息系統(tǒng)生命周期的“過程安全”問題,從生活中的案例開始,消防通道設(shè)計規(guī)范規(guī)定“商住樓中住宅的疏散樓梯應(yīng)獨立設(shè)置” 右圖是一家門市，為應(yīng)付消防檢查自行搭建的消防通道,安全工程的重要性,如果在大樓的設(shè)計和實施階段沒有考慮消防，把樓蓋完了，

2、再去設(shè)置消防通道，必然會導(dǎo)致成本的上升和安全性的下降 安全工程在信息化建設(shè)中的重要性有過之而無不及,信息化建設(shè)中的案例,A公司開展家用電話自助刷卡支付業(yè)務(wù),用戶可以通過其網(wǎng)站查詢個人付款信息,第三方安全測平發(fā)現(xiàn)該網(wǎng)站存在SQL注入漏洞，可以泄露用戶交易信息,信息化建設(shè)中的案例（續(xù),當(dāng)初外包開發(fā)此網(wǎng)站的公司已經(jīng)倒閉,A公司技術(shù)人員對網(wǎng)站系統(tǒng)開發(fā)情況不了解，沒有能力消除該漏洞。公司董事會研究最終決定，為保護用戶隱私，暫時不再為用戶提供網(wǎng)上交易信息查詢服務(wù),國家政策要求,關(guān)于加強信息安全保障工作的意見明確要求“信息安全建設(shè)是信息化的有機組成部分，必須與信息化同步規(guī)劃、同步建設(shè)。各地區(qū)各部門在信息化建

3、設(shè)中，要同步考慮信息安全建設(shè)，保證信息安全設(shè)施的運行維護費用。,國家發(fā)展改革委關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知的中心思想是：電子政務(wù)工程建設(shè)項目必須同步考慮安全問題，提供安全專項資金，信息安全風(fēng)險評估結(jié)論是項目驗收的重要依據(jù),需要牢記在心的原則,安全工程是信息化建設(shè)必要的有機組成部分 信息安全建設(shè)必須同信息化建設(shè)“同步規(guī)劃、同步實施” “重功能、輕安全”，“先建設(shè)、后安全”都是信息化建設(shè)的大忌 信息安全工程是信息安全保障工作中不可或缺的環(huán)節(jié),安全工程能力成熟度模型（SSE-CMM,SSE-CMM體系與原理 了解SSE-CMM的適用范圍； 了解域維與能力維的關(guān)系。 安全

4、工程能力評價 理解各個信息安全工程能力級別的含義,為什么要學(xué)習(xí)安全工程能力成熟度模型,SSE-CMM為信息安全工程過程改進建立一個框架模型 通過SSE-CMM的學(xué)習(xí)了解 信息安全工程中通常要實施的活動有哪些，即信息安全工程中包括的過程有哪些 評價和改進這些過程的指標(biāo)是什么，即實施信息安全工程應(yīng)當(dāng)追求的過程能力,什么是系統(tǒng)安全工程,系統(tǒng)安全工程尚不存在統(tǒng)一的定義 系統(tǒng)安全工程的主要目標(biāo)是： 獲得對企業(yè)安全風(fēng)險的理解 根據(jù)已識別的風(fēng)險確定安全需求 將安全需求轉(zhuǎn)換成指導(dǎo)系統(tǒng)開發(fā)、集成和維護的指導(dǎo)原則 通過正確有效的安全控制措施建立信息和保證 判斷系統(tǒng)的殘留風(fēng)險是否可以接受 注意：不能將系統(tǒng)安全工程理

5、解為專門針對安全作的一個項目，系統(tǒng)安全工程是系統(tǒng)建設(shè)活動中有關(guān)加強系統(tǒng)安全性的活動的集合，是系統(tǒng)獲取開發(fā)活動的子集,什么是SSE-CMM,系統(tǒng)安全工程能力成熟模型（Systems Security Engineering Capability Maturity Model） 描述了一個組織的系統(tǒng)安全工程過程必須包含的基本特征 這些特征是完善的安全工程保證 也是系統(tǒng)安全工程實施的度量標(biāo)準(zhǔn) 同時還是一個評估系統(tǒng)安全工程實施的框架,SSE-CMM的作用,幫助獲取組織（系統(tǒng)、產(chǎn)品的采購方）選擇合格的投標(biāo)者，以統(tǒng)一的標(biāo)準(zhǔn)對安全工程過程進行監(jiān)管提高工程實施質(zhì)量，減少爭議 幫助工程組織（系統(tǒng)開發(fā)和集成商）通

6、過可重復(fù)、可預(yù)測的過程減少返工、提高質(zhì)量、降低成本；改進安全工程實施能力；獲得證明安全工程實施能力的資質(zhì) 幫助認證評估組織獲得獨立于系統(tǒng)和產(chǎn)品的可重用的過程評估標(biāo)準(zhǔn)用來確定被評估者將安全工程集成在系統(tǒng)工程之中，并且其系統(tǒng)安全工程是可信的,SSE-CMM覆蓋范圍,SSE-CMM涉及到可信產(chǎn)品或者系統(tǒng)整個生命周期的安全工程活動，其中包括概念定義、需求分析、設(shè)計、開發(fā)、集成、安裝、運行、維護和終止。 覆蓋整個組織的活動，包括管理、組織和工程活動等，而不僅僅是系統(tǒng)安全的工程活動； 它不是孤立了工程，而是與其它工程并行且相互作用，包括企業(yè)工程、軟件工程、硬件工程、基建工程、人力資源工程、通信工程、測試工

7、程、系統(tǒng)管理等； 與其它組織的相互作用，涉及開發(fā)者、產(chǎn)品供應(yīng)商、集成商、采購者、安全評估組織、資質(zhì)評估認證組織、咨詢服務(wù)商等； SSE-CMM可應(yīng)用于所有類型和大小的安全工程機構(gòu)，如商務(wù)機構(gòu)、政府機構(gòu)和學(xué)術(shù)機構(gòu),SSE-CMM歷史,1993年4月美國國家安全局（NSA）開始醞量 1996年10月出版了SSE-CMM模型的第一個版本，1997年4月出版了評定方法的第一個版本。 從1996年6月到1997年6月進行許多實驗項目 1999年4月出版了第二版。 2002年，ISO/IEC IS 21827 目前，SSE-CMM V3.0 與其配套的評估方法，SSAM,系統(tǒng)安全工程能力成熟度模型評估方法

8、,SSE-CMM的主要概念,過程（Process） 為了達到某一給定目標(biāo)而執(zhí)行的一系列活動，這些活動可以重復(fù)、遞歸和并發(fā)的執(zhí)行 過程區(qū)域（PA，Process Area） 過程的一種單位，由一些基本實施（BP，Base Practice）組成的，這些BP共同實施以達到該PA的目標(biāo)，BP是強制性的，只有全部成功執(zhí)行，才能滿足PA規(guī)定的目標(biāo) SSE-CMM包含三類過程區(qū)域：工程、項目和組織三類,SSE-CMM的主要概念,過程能力（Process Capability） 一個過程是否可以達到預(yù)期效果的度量方法，即執(zhí)行一個過程的成熟度級別劃分 過程能力可幫助組織預(yù)見達到過程目標(biāo)的能力 能力級別 由公共

9、特征組成的過程能力水平的級別劃分 公共特征是由一系列管理、度量和制度方面的活動，可用于決定所有活動的能力水平,SSE-CMM體系結(jié)構(gòu),兩維模型： “域維” 由所有定義的安全工程過程區(qū)構(gòu)成。 “能力維”代表組織實施這一過程的能力,SSE-CMM能力成熟度評價,通過設(shè)置這兩個相互依賴的維，SSE-CMM在各個能力級別上覆蓋了整個安全活動范圍。 給每個PA賦予一個能力級別評分，所得到的兩維圖形便形象地反映一個工程組織整體上的系統(tǒng)安全工程能力成熟度，也間接的反映其工作結(jié)果的質(zhì)量及其安全上的可信度,域維-22個PA分成三個過程區(qū)域類,安全工程涉及到三個過程區(qū)域類 工程過程區(qū)域類 工程過程類中包含11個過

10、程區(qū)域，描述了系統(tǒng)安全工程中實施的與安全直接相關(guān)的活動 組織過程區(qū)域類和項目過程區(qū)域類 組織和項目過程類中包含11個過程區(qū)域，并不直接同系統(tǒng)安全相關(guān)，但常與11個工程過程區(qū)域一起用來度量系統(tǒng)安全隊伍的過程能力成熟度,域維-工程過程區(qū)域類PA,核實和確認安全（Verify and Validate Security,PA11,明確安全需求（Specify Security Needs,PA10,提供安全輸入（Provide Security Input,PA09,監(jiān)視安全態(tài)勢（Monitor Security Posture,PA08,協(xié)調(diào)安全（Coordinate Security,PA07,

11、建立保證論據(jù)（Build Assurance Argument,PA06,評估脆弱性（Assess Vulnerability,PA05,評估威脅（Assess Threat,PA04,評估安全風(fēng)險（Assess Security Risk,PA03,評估影響（Assess Impact,PA02,管理安全控制（Administer Security Controls,PA01,風(fēng)險過程,工程過程,保證過程,安全工程過程,保證論據(jù),風(fēng)險信息,產(chǎn)品或服務(wù),工程過程 Engineering,保證過程 Assurance,風(fēng)險過程 Risk,風(fēng)險過程,PA04：評估威脅,威脅信息 threat,脆弱

12、性信息 vulnerability,影響信息 impact,風(fēng)險信息,PA05：評估脆弱性,PA02：評估影響,PA03：評估安全風(fēng)險,風(fēng)險就是有害事件發(fā)生的可能性 一個有害事件有三個部分組成：威脅、脆弱性和影響,工程過程,安全工程與其它科目一樣，它是一個包括概念、設(shè)計、實現(xiàn)、測試、部署、運行、維護、退出的完整過程。 SSE-CMM強調(diào)安全工程是一個大的項目隊伍中的一部分，需要與其它科目工程師的活動相互協(xié)調(diào),PA10 確定安全需求,需求、策略等,配置信息,解決方案、指導(dǎo)等,風(fēng)險信息,PA08 監(jiān)控安全態(tài)勢,PA07 協(xié)調(diào)安全,PA01 管理安全控制,PA09 提供安全輸入,保證過程,證據(jù),證據(jù)

13、,保證論據(jù),PA11 驗證和證實安全,指定安全要求,其他多個PA,PA06 建立保證論據(jù),保證是指安全需要得到滿足的信任程度 SSE-CMM的信任程度來自于安全工程過程可重復(fù)性的結(jié)果質(zhì)量,信息安全工程活動小結(jié),系統(tǒng)是干什么用的？ 系統(tǒng)面臨哪些風(fēng)險,需要達到怎樣的安全水平？ 有哪些方法可以達到這樣的安全水平？ 我們的總體思路是什么？ 我們的具體方案是什么？ 按照方案把安全措施都裝好。 保證這些安全措施確實發(fā)揮作用了。 發(fā)生安全事件或安全措施運行不正常得及時發(fā)現(xiàn)。 大家團結(jié)一致，協(xié)調(diào)配合把以上事情做好,過程記錄整理好，證明該干的活都認真的完成了。 驗收測試證明安全措施的功能、性能都達標(biāo)了。 于是領(lǐng)

14、導(dǎo)滿意了，同志們放心了,域維-項目過程區(qū)域類和組織過程區(qū)域類,與供應(yīng)商協(xié)調(diào),PA22,提供持續(xù)發(fā)展的技能和知識,PA21,管理系統(tǒng)工程支持環(huán)境,PA20,管理產(chǎn)品系列進化,PA19,改進組織的系統(tǒng)工程過程,PA18,定義組織的系統(tǒng)工程過程,PA17,計劃技術(shù)活動,PA16,監(jiān)視和控制技術(shù)活動,PA15,管理項目風(fēng)險,PA14,管理配置,PA13,保證質(zhì)量,PA12,項目過程,組織過程,計劃執(zhí)行 規(guī)范化執(zhí)行 跟蹤執(zhí)行 驗證執(zhí)行,定義標(biāo)準(zhǔn)過程 協(xié)調(diào)安全實施 執(zhí)行已定義的過程,建立可測量的質(zhì)量目標(biāo) 客觀地管理過程的執(zhí)行,1,非正規(guī) 執(zhí)行,2,計劃與跟蹤,3,充分定義,4,量化控制,5,連續(xù)改進,執(zhí)行

15、 基本 實施,改進組織能力 改進過程的有效性,能力維能力級別,公共特征,未實施,0,能力級別,能力級別-0級,未執(zhí)行 未執(zhí)行級別沒有公共特征。 這個級別中通常不能成功執(zhí)行過程區(qū)域中的基本實施。此過程的工作產(chǎn)品不易辨別或使用,能力級別-1級,非正規(guī)執(zhí)行級必須首先做它，然后才能管理它 在這一級別，過程區(qū)域的基本實施通常被執(zhí)行，但未經(jīng)過嚴格的計劃和跟蹤，而是基于個人的知識和努力。 該級別包括一個公共特征執(zhí)行基本實施 執(zhí)行了一個過程區(qū)域的基本實施，從而為用戶提供工作產(chǎn)品或服務(wù) 然而工作產(chǎn)品的一致性、性能和質(zhì)量會因為缺乏適當(dāng)控制而存在極大的差異,能力級別-2級,規(guī)劃和跟蹤級在定義組織層面的過程之前，先要

16、弄清楚與項目相關(guān)的事項 在這一級別著重于項目層面的定義、規(guī)劃和執(zhí)行問題，PA中BP的執(zhí)行是經(jīng)過規(guī)劃并跟蹤的。 包括四個公共特征： 規(guī)劃執(zhí)行：分配資源、指定責(zé)任、提供工具、將規(guī)劃形成文檔 規(guī)范化執(zhí)行：使用標(biāo)準(zhǔn)和規(guī)程、進行配置管理 驗證執(zhí)行：驗證工作過程、驗證工作產(chǎn)品 跟蹤執(zhí)行：跟蹤過程實施、采取修正措施,能力級別-3級,充分定義級-用項目中學(xué)到的最好的東西來定義組織層面的過程 這個級別著重于規(guī)范化地制定和裁剪組織范圍內(nèi)的標(biāo)準(zhǔn)過程 包括三個公共特征： 定義標(biāo)準(zhǔn)化過程：制定標(biāo)準(zhǔn)化過程，從組織標(biāo)準(zhǔn)化過程中裁剪出針對特定需求的過程 執(zhí)行已定義過程：PA的實施使用充分定義的過程，對執(zhí)行結(jié)果進行缺陷評審，使

17、用充分定義的數(shù)據(jù) 協(xié)調(diào)安全實施：執(zhí)行組內(nèi)協(xié)調(diào)、執(zhí)行組間協(xié)調(diào)、執(zhí)行外部協(xié)調(diào),能力級別-4級,量化控制級 只有知道它是什么才能度量它；當(dāng)被度量的對象是正確的，基于度量的管理才有意義 這一級別注重于通過度量來促進組織目標(biāo)的實現(xiàn)，盡管前面的級別也涉及度量的問題，但是到這一級，度量數(shù)據(jù)在組織層面上被應(yīng)用。 包括兩個公共特征： 建立可測度的質(zhì)量目標(biāo)：為工作產(chǎn)品建立可測度的目標(biāo) 對執(zhí)行情況實施客觀管理：為工作過程能力建立量化測量和改進的標(biāo)準(zhǔn),能力級別-5級,持續(xù)改進級-持續(xù)改進的文化需要以完備的管理、清晰定義的過程和可度量的目標(biāo)為基礎(chǔ)。 該級別強調(diào)根據(jù)已定義的過程執(zhí)行情況的反饋和先進創(chuàng)意與技術(shù)的追蹤，改進執(zhí)

18、行過程，提升工作績效，以更好地滿足業(yè)務(wù)目標(biāo)。 包括兩個特征 改進組織能力：建立過程效能目標(biāo)，持續(xù)改進標(biāo)準(zhǔn)化的過程 改進過程效能：進行因果分析，消除缺陷根源，持續(xù)改進已定義過程,SSE-CMM的使用,SSE-CMM可應(yīng)用于所有從事某種形式的安全工程組織，這種應(yīng)用與生命期、范圍、環(huán)境或?qū)I(yè)無關(guān)。該模型適用于以下三種方式： “評定”，允許獲取組織了解潛在項目參加者的組織層次上的安全工程過程能力。 “改進”，使安全工程組織獲得自身安全工程過程能力級別的認識，并不斷地改進其能力。 “保證”，通過有根據(jù)地使用成熟過程，增加可信產(chǎn)品、系統(tǒng)和服務(wù)的可信度,SSE-CMM的使用評定,SSE-CMM Apprai

19、sal Method（SSAM） 是一種組織或項目級的評估方法，通過多種數(shù)據(jù)采集方法來或區(qū)域待評估組織或項目相關(guān)的實踐過程的信息，目的在于取得一個真實實踐的基線（Baseline）或基準(zhǔn)（Benchmark），創(chuàng)建并支持用于改進的要素； 數(shù)據(jù)采集方法：問卷、訪談、證據(jù)復(fù)審； 評估階段：規(guī)劃（Planning），準(zhǔn)備（Preparation），現(xiàn)場（On-site），報告（Reporting,SSE-CMM評估方法（SSAM,規(guī)劃階段,范圍評定,計劃評定,準(zhǔn)備階段,準(zhǔn)備評定組,分發(fā)調(diào)查表,合并證物,分析證物,和調(diào)查表,查表,現(xiàn)場階段,領(lǐng)導(dǎo)簡報,開幕式,采訪領(lǐng)導(dǎo),專業(yè)人員,分析數(shù)據(jù),確定,調(diào)查結(jié)果

20、,產(chǎn)生排等,級的輪廓,管理記錄,工作結(jié)束,報告階段,產(chǎn)生最終,報告,向發(fā)起者報,告評定結(jié)果,管理評定,實物,報告取得的,經(jīng)驗教訓(xùn),SSE-CMM的使用改進,SSE-CMM可以用作改進組織安全工程過程的工具，建議采用SEI的IDEAL模型進行 Initiating（初始化） 熟悉項目目標(biāo)和完成方式，開發(fā)業(yè)務(wù)案例和項目執(zhí)行方法，獲得管理層批準(zhǔn)和支持，為成功的改進努力做好鋪墊； Diagnosing（診斷） 理解組織當(dāng)前和期望的過程成熟度狀態(tài)，這些是形成組織過程改進行動計劃的基礎(chǔ)； Establishing（建立） 基于努力目標(biāo)和診斷階段開發(fā)的建議來制定詳細的行動計劃，并考慮到各種約束； Actin

21、g（操作） 即實施階段，無論是資源還是時間，都需要各方面付出最大程度的努力； Learning（學(xué)習(xí)） 既是本次循環(huán)的終止，又是下一次改進過程的開端。對整個過程改進活動進行評估,課程內(nèi)容,知識域,信息系統(tǒng)安全工程,了解系統(tǒng)生命周期的概念和組成階段：發(fā)掘信息保護需求、確定系統(tǒng)安全要求、設(shè)計系統(tǒng)安全體系結(jié)構(gòu)、開展詳細安全設(shè)計、實施系統(tǒng)安全、評估信息保護的有效性 理解ISSE的含義：將系統(tǒng)工程思想應(yīng)用于信息安全領(lǐng)域，在系統(tǒng)生命周期的各階段充分考慮和實施安全措施,ISSE（Information System Security Engineering,ISSE過程,42,ISSE安全工程過程,ISSE

22、過程,ISSE原理,分為問題空間和解決問題空間 問題空間是由客戶的任務(wù)或業(yè)務(wù)需求確定的 系統(tǒng)工程師和信息系統(tǒng)安全工程師確定解決問題空間，它是由問題空間推導(dǎo)出來的,ISSE過程,發(fā)掘信息保護需求,確定系統(tǒng)安全要求,設(shè)計系統(tǒng)安全體系結(jié)構(gòu),開展詳細安全設(shè)計,評估信息保護有效性,實施系統(tǒng)安全,發(fā)掘信息保護需求,本階段的主要活動 界定范圍 分析業(yè)務(wù)/任務(wù) 識別基線（相關(guān)法律、法規(guī)、政策等要求） 識別風(fēng)險 記錄需求 獲得用戶/使用者的許可,發(fā)掘信息保護需求,發(fā)掘信息保護需求過程,發(fā)掘信息保護需求,發(fā)掘信息保護需求主體,發(fā)掘信息保護需求,風(fēng)險評估結(jié)果是安全需求的重要決定因素 一切工程皆有需求 信息安全工程的

23、需求并不是工程的起點 信息安全工程的需求應(yīng)從風(fēng)險評估結(jié)果分析中得出 需求與風(fēng)險的一致性越強，則需求越準(zhǔn)確 因此信息安全工程應(yīng)從風(fēng)險著手，制定需求，這也符合信息安全保障（IA）的思想 規(guī)范信息安全工程，必須從規(guī)范需求入手,發(fā)掘信息保護需求實例1,專項安全評估,服務(wù)器端深度評估,常規(guī)安全評估,按照銀監(jiān)會電子銀行系統(tǒng)安全評估指引中要求的內(nèi)容開展評估。 安全策略、內(nèi)控制度、風(fēng)險管理、系統(tǒng)安全性、業(yè)務(wù)持續(xù)性、應(yīng)急計劃、風(fēng)險預(yù)警體,通過最直接的方式，最直觀的發(fā)現(xiàn)系統(tǒng)存在的安全隱患。 應(yīng)用安全驗證測試滲透測試,環(huán)境安全檢測 程序?qū)崿F(xiàn)安全檢測 業(yè)務(wù)保障安全檢測,安全編譯選項檢測、BANNED API檢測、反逆

24、向保護能力檢測、內(nèi)核驅(qū)動接口安全檢測、文件數(shù)據(jù)處理安全檢測、身份認證安全檢測等14個方面,客戶端深度評估,風(fēng)險評估的覆蓋度和深度，直接影響需求發(fā)掘的廣度和準(zhǔn)確性 網(wǎng)上銀行案例,發(fā)掘信息保護需求實例2,案例 某部委每年開展信息安全風(fēng)險評估工作，定期根據(jù)評估結(jié)果確定信息安全工程建設(shè)項目,邊界防護體系建設(shè),科學(xué)全面的風(fēng)險評估工作是不但保證需求提出的合理性，還是信息安全工程的源頭,發(fā)掘信息保護需求實例3,案例 某單位委托中國信息安全測評中心對其信息安全設(shè)計方案進行評審，希望能夠在網(wǎng)絡(luò)魯棒性、安全性和產(chǎn)品選用的正確性等方面給出評審意見 其信息安全設(shè)計方案中的內(nèi)容全部是對即將建設(shè)系統(tǒng)的愿景描述 中國信息安

25、全測評中心認為無法滿足其評審需求,原因分析：缺少對現(xiàn)有網(wǎng)絡(luò)風(fēng)險的描述，沒有有效的需求提取與分析，無法找出有效的評審依據(jù)或基線，因此無法做到對方案的評審，或者提出的意見是協(xié)助其夯實風(fēng)險識別的過程,發(fā)掘信息保護需求,合理性,符合性,安全工程建設(shè)的需求從哪里來,發(fā)掘信息保護需求,風(fēng)險評估機制的引入，解決了工程建設(shè)需求合理性的問題，符合性的問題如何來解決,發(fā)掘信息保護需求,符合性的問題包括：政策符合性、業(yè)務(wù)目標(biāo)符合性兩個方面 政策符合性：符合法律法規(guī)、政策和標(biāo)準(zhǔn)的要求（如等級保護、BMB） 業(yè)務(wù)目標(biāo)符合性：結(jié)合業(yè)務(wù)和IT特性，提出安全目標(biāo) 因此制定適合本組織/單位的安全基線是十分必要的（與“確定系統(tǒng)安

26、全要求”的內(nèi)容相結(jié)合,發(fā)掘信息保護需求,CSDN5名作案者被拘，同時給予CSDN行政警告處罰，這是落實等級保護制度以來的首例“罰單,發(fā)掘信息保護需求,上述信息系統(tǒng)在政策合規(guī)性方面的要求并不高，但是其安全事件卻產(chǎn)生了較大影響 上述事件都是由于沒有有效識別自身業(yè)務(wù)的安全風(fēng)險（如個人隱私保護），沒有提出安全目標(biāo)、沒有制定安全基線，導(dǎo)致沒有實施原本必要的安全措施而產(chǎn)生的,ISSE過程,發(fā)掘信息保護需求,確定系統(tǒng)安全要求,設(shè)計系統(tǒng)安全體系結(jié)構(gòu),開展詳細安全設(shè)計,實施系統(tǒng)安全,評估信息保護有效性,確定系統(tǒng)安全要求,本階段主要活動 明確保障目標(biāo) 明確系統(tǒng)邊界（網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)） 識別數(shù)據(jù)流 定義安全基線 獲

27、得認可,確定系統(tǒng)安全要求,明確保障目標(biāo)。信息安全是信息化的重要組成部分，信息化是業(yè)務(wù)發(fā)展的重要組成部分，應(yīng)根據(jù)業(yè)務(wù)目標(biāo)和信息系統(tǒng)的目標(biāo)來確定信息安全保障策略,確定系統(tǒng)安全要求,識別系統(tǒng)的背景（邊界、接口、數(shù)據(jù)流等,例：識別網(wǎng)絡(luò)邊界,確定系統(tǒng)安全要求,識別系統(tǒng)的背景（邊界、接口、數(shù)據(jù)流等,例：識別應(yīng)用接口和邊界,確定系統(tǒng)安全要求,識別系統(tǒng)的背景（邊界、接口、數(shù)據(jù)流等,例：識別業(yè)務(wù)流,確定系統(tǒng)安全要求,信息系統(tǒng)用途、架構(gòu)等特征對安全風(fēng)險特征的影響 任何系統(tǒng)都是有風(fēng)險的 同樣一項IT技術(shù)應(yīng)用在不同的業(yè)務(wù)系統(tǒng)中，其風(fēng)險程度不一定相同，甚至千差萬別 同等的應(yīng)用系統(tǒng)，采用不同的技術(shù)架構(gòu)，其安全風(fēng)險也是不同

28、的,確定系統(tǒng)安全要求,66,網(wǎng)上銀行系統(tǒng)和某公司的內(nèi)部辦公系統(tǒng)，同樣采用Oracle數(shù)據(jù)庫，但是兩個系統(tǒng)面臨的安全風(fēng)險是完全不同的,確定系統(tǒng)安全要求,同樣部署在省級單位的*系統(tǒng)數(shù)據(jù)庫，在A省采用匯聚交換機，集中管理方式；在B省采用直連核心交換機，分散管理方式。兩種不同的部署方式，也使得其面臨的風(fēng)險迥異,A省,B省,確定系統(tǒng)安全要求,綜上，從信息安全工程/保障的角度定義或描述信息系統(tǒng)時，應(yīng)以保障業(yè)務(wù)安全的思想為基礎(chǔ)，清楚認識業(yè)務(wù)安全風(fēng)險以及為業(yè)務(wù)提供服務(wù)/支撐的信息系統(tǒng)的安全風(fēng)險，從而科學(xué)、全面地認識信息系統(tǒng)及其安全屬性,ISSE過程,發(fā)掘信息保護需求,確定系統(tǒng)安全要求,設(shè)計系統(tǒng)安全體系結(jié)構(gòu),開

29、展詳細安全設(shè)計,實施系統(tǒng)安全,評估信息保護有效性,設(shè)計系統(tǒng)安全體系結(jié)構(gòu),定義與設(shè)計的區(qū)別,設(shè)計系統(tǒng)安全體系結(jié)構(gòu),設(shè)計步驟,設(shè)計系統(tǒng)安全體系結(jié)構(gòu),該階段的主要活動 分析體系結(jié)構(gòu) 選擇安全機制類型 設(shè)計安全體系結(jié)構(gòu) 修改、選擇、確認安全體系設(shè)計,設(shè)計系統(tǒng)安全體系結(jié)構(gòu),信息安全建設(shè)必須與信息系統(tǒng)建設(shè)同步設(shè)計 安全是信息系統(tǒng)建設(shè)過程的重要組成部分，忽視了安全的信息化建設(shè)是不完整的 信息系統(tǒng)建設(shè)與信息安全建設(shè)同步設(shè)計可以避免重復(fù)投資，增強效益,設(shè)計系統(tǒng)安全體系結(jié)構(gòu),案例1 某單位在信息化建設(shè)立項階段，高舉風(fēng)險評估、等級保護大旗，提出“以風(fēng)險評估為依據(jù)、以等級保護為基準(zhǔn)”，保障信息化建設(shè)的安全性，卻在預(yù)算

30、中沒有風(fēng)險評估經(jīng)費；在需求書中明確了邊界防護安全需求，卻沒有后續(xù)的安全設(shè)計。訪談其管理人員得到回答：“安全只是保障信息化經(jīng)費能夠充足的一種手段” 安全不能只停留在立項報告、風(fēng)險評估報告和需求書中，不是為了通過評審和立項需要而做的“假把式,設(shè)計信息保護系統(tǒng),案例2 某單位網(wǎng)絡(luò)擴容和安全建設(shè)項目，首先更換了交換機設(shè)備，欲再使用802.1X認證技術(shù)部署網(wǎng)絡(luò)準(zhǔn)入產(chǎn)品，發(fā)現(xiàn)新增交換機無法匹配網(wǎng)絡(luò)準(zhǔn)入產(chǎn)品的認證機制，于是再次更換全部樓層交換，問題得到解決。這表面上是產(chǎn)品的普適性問題，根源是信息化建設(shè)在設(shè)計、部署過程缺乏統(tǒng)一的安全考慮。 信息系統(tǒng)建設(shè)與信息安全建設(shè)同步設(shè)計可以避免重復(fù)投資，增強效益,設(shè)計系統(tǒng)

31、安全體系結(jié)構(gòu),根據(jù)安全需求有針對性地設(shè)計安全措施是非常必要的 安全設(shè)計要依據(jù)安全需求 安全設(shè)計要具備可行性和一定的前瞻性 達到風(fēng)險需求設(shè)計的一致性和協(xié)調(diào)性,設(shè)計信息保護系統(tǒng),案例3 某行業(yè)欲解決病毒防治問題，在部署了防病毒軟件后，提出建立病毒爆發(fā)事前預(yù)警機制，于是開展了部署“防病毒預(yù)警”產(chǎn)品。 病毒預(yù)警的功能實際上就是病毒日志的匯總和統(tǒng)計 所謂預(yù)警，目前只能做到用前5天的數(shù)據(jù)，預(yù)測后1天的病毒，且誤差在2天左右 病毒預(yù)警產(chǎn)品只支持特定品牌的防病毒軟件 諸多省級單位為了適應(yīng)該預(yù)警系統(tǒng)，更換了原有的防病毒軟件，使特定品牌的病毒軟件“統(tǒng)一江湖” 安全設(shè)計要具備可行性,設(shè)計系統(tǒng)安全體系結(jié)構(gòu),設(shè)計系統(tǒng)安

32、全體系結(jié)構(gòu),信息安全設(shè)計要注重高效性 安全產(chǎn)品不是萬能藥 技術(shù)管理并重，疏導(dǎo)結(jié)合的思想應(yīng)在設(shè)計中予以充分體現(xiàn),發(fā)掘信息保護需求,確定系統(tǒng)安全要求,設(shè)計系統(tǒng)安全體系結(jié)構(gòu),開展詳細安全設(shè)計,實施系統(tǒng)安全,評估信息保護有效性,ISSE過程,開展詳細安全設(shè)計,本階段的主要活動 確保詳細設(shè)計遵循結(jié)構(gòu)設(shè)計 選擇具體的安全產(chǎn)品/服務(wù) 設(shè)計安全產(chǎn)品/服務(wù)中應(yīng)具備的安全機制（如配置策略等） 制定實施操作指南 取得認可,開展詳細安全設(shè)計,在開展詳細安全設(shè)計應(yīng)注意的主要環(huán)節(jié)： 數(shù)據(jù)的正確處理 輸入數(shù)據(jù)的校驗 范圍之外的值 無效數(shù)據(jù)類型 丟失或不完整的數(shù)據(jù) 未授權(quán)或非法的輸入：防止緩沖區(qū)溢出和代碼注入 數(shù)據(jù)處理過程控

33、制 處理的時間順序 發(fā)生故障后運行的程序 系統(tǒng)失效或處理錯誤后的恢復(fù) 輸出數(shù)據(jù)的驗證 輸出的去向正確 數(shù)據(jù)的準(zhǔn)確性、完備性和精確性,開展詳細安全設(shè)計,在開展詳細安全設(shè)計應(yīng)注意的主要環(huán)節(jié)： 加密控制 選擇適當(dāng)?shù)募用芩惴愋汀姸群唾|(zhì)量 選擇加密的通信線路和加密內(nèi)容 制定密鑰管理的方法 密鑰的分發(fā)方式 密鑰的保存 密鑰的更新方式 密鑰遺失、泄露和破壞后的處理方法 密鑰的撤銷和銷毀,開展詳細安全設(shè)計,在開展詳細安全設(shè)計應(yīng)注意的主要環(huán)節(jié)： 系統(tǒng)資源的安全 系統(tǒng)軟件安裝控制：選擇安全的系統(tǒng)軟件、安裝必要的組件、防止盜版的安裝、及時更新 系統(tǒng)測試數(shù)據(jù)的保護：盡量不用真實生產(chǎn)數(shù)據(jù)，如果必須用，注意對拷貝過程

34、進行控制、對測試系統(tǒng)的訪問控制、測試之后信息清除、有效的審計措施 應(yīng)用系統(tǒng)源代碼保護： 運行系統(tǒng)盡量不保留源代碼 對源代碼庫進行訪問控制 管理向程序員發(fā)布源代碼 源代碼庫的有效審計,ISSE過程,發(fā)掘信息保護需求,確定系統(tǒng)安全要求,設(shè)計系統(tǒng)安全體系結(jié)構(gòu),開展詳細安全設(shè)計,實施系統(tǒng)安全,評估信息保護有效性,實施系統(tǒng)安全,該階段的主要活動 實現(xiàn)詳細設(shè)計 檢驗實現(xiàn)效果（功能的可用性、安全的有效性等） 根據(jù)安全設(shè)計對實現(xiàn)進行驗證 參與系統(tǒng)組件的集成，確保其滿足了系統(tǒng)安全規(guī)范，且未改變組件的規(guī)范 參與系統(tǒng)組件的配置，確保安全特性已經(jīng)激活，且安全參數(shù)已得到正確設(shè)置，能夠提供所需的安全服務(wù) 記錄實施過程 支持測試與評估（建立測試評估基線、用例等） 監(jiān)督驗證、更新風(fēng)險分析,實施系統(tǒng)安全,購買/開發(fā)采購 建設(shè)、集成 測試、認證,實施系統(tǒng)安全,證實已經(jīng)實現(xiàn)了的系統(tǒng)能夠?qū)乖硷L(fēng)險評估中識別的威脅； 初驗、試運行、終驗等重要工程過程是確保詳細安全設(shè)計能夠落實的重要環(huán)節(jié) 輸入并評審進化系統(tǒng)生命期支持計劃、運行程序和維護培訓(xùn)材料；為最終系統(tǒng)有效性評估準(zhǔn)備常規(guī)信息保護評估