isse-信息安全工程

1、.,信息安全工程-ISSE,Last Modified: 2012.12,.,一、概述,1、什么是信息安全工程； 2、為什么需要信息安全工程； 3、信息安全工程的發(fā)展；,.,什么是信息安全工程,信息安全保障問題的解決既不能只依靠純粹的技術(shù)，也不能靠簡單的安全產(chǎn)品的堆砌，它要依賴復雜的系統(tǒng)工程信息安全工程； 信息安全工程是采用工程的概念、原理、技術(shù)和方法，來研究、開發(fā)、實施與維護信息系統(tǒng)安全的過程，它是將經(jīng)過時間考驗證明是正確的工程實施流程、管理技術(shù)和當前能夠得到的最好的技術(shù)方法相結(jié)合的過程。,.,為什么需要信息安全工程,信息安全的現(xiàn)狀是比較脆弱的，在安全體制、安全管理等各個方面存在的問題十分嚴

2、重而突出，且不容樂觀； 但也可以看到，從20世紀90年代中期到21世紀初，無論是政府部門、企業(yè)，還是個人用戶，安全意識明顯增強。在Internet發(fā)展的短短幾年，人們對安全的理解，從早期的安全就是殺毒防毒，到后來的安全就是安裝防火墻，到現(xiàn)在的購買系列安全產(chǎn)品，在一步一步地加深。但是應該注意到，這些理解依然存在著“頭痛醫(yī)頭，腳痛醫(yī)腳”的片面性，沒有將信息安全問題作為一個系統(tǒng)工程來考慮對待； 由于信息安全保障問題的極端復雜性（具體表現(xiàn)在以下六個特性），因此在信息系統(tǒng)建設(shè)中必須遵循信息安全工程方法；,.,信息安全的特性,1）信息安全具有社會性 信息安全問題具有前所未有的廣泛性和綜合性，由于可能影響到

3、安全的因素不斷增多，即使是一個簡單的信息系統(tǒng)，也往往因為人機交互而涉及到組織結(jié)構(gòu)、人員、物理安全、培訓等方面的要求； 在面對每一個信息系統(tǒng)的安全保障問題時，都要考慮這個系統(tǒng)與非技術(shù)因素的交互，將其放在整個社會化的環(huán)境下考慮； 2）信息安全具有全面性 信息安全問題需要全面考慮，系統(tǒng)安全程度取決于系統(tǒng)最薄弱的環(huán)節(jié)；,.,信息安全的特性,3）信息安全具有過程性或生命周期性 一個完整的安全過程至少應包括安全目標與原則的確定、風險分析、需求分析、安全策略研究、安全體系結(jié)構(gòu)的研究、安全實施領(lǐng)域的確定、安全技術(shù)與產(chǎn)品的測試與選型、安全工程的實施、安全工程的實施監(jiān)理、安全工程的測試與運行、安全意識的教育與技術(shù)

4、培訓、安全稽核與檢查、應急響應等，這一個過程是一個完整的信息安全工程的生命周期，經(jīng)過安全稽核與檢查后，又形成新一輪的生命周期，是一個不斷往復的不斷上升的螺旋式安全模型；,.,信息安全的特性,4）信息安全具有動態(tài)性 信息技術(shù)在發(fā)展，黑客水平也在提高，安全策略、安全體系、安全技術(shù)也必須動態(tài)地調(diào)整，在最大程度上使安全系統(tǒng)能夠跟上實際情況的變化發(fā)揮效用，使整個安全系統(tǒng)處于不斷更新、不斷完善、不斷進步的動態(tài)過程中 ； 5）信息安全具有層次性 需要用多層次的安全技術(shù)、方法與手段，分層次地化解安全風險；,.,信息安全的特性,6）信息安全具有相對性 安全是相對的，沒有絕對的安全可言； 首先，安全的動態(tài)性決定了

5、所謂的安全只能是相對于過去的安全，相對未來而言，當前的安全很可能會表現(xiàn)為不安全； 其次，安全不是目的，安全措施應該與保護的信息與網(wǎng)絡(luò)系統(tǒng)的價值相稱，因此，實施信息安全工程要充分權(quán)衡風險威脅與防御措施的利弊與得失，在安全級別與投資代價之間取得一個企業(yè)能夠接受的平衡點，人們追求的是在適度風險下的相對安全，而非絕對的安全；,.,信息安全工程的發(fā)展,早期的信息安全工程方法理論來自于系統(tǒng)工程(SE)過程方法； 美國軍方最早在系統(tǒng)工程理論基礎(chǔ)之上開發(fā)了信息系統(tǒng)安全工程（ISSE），并于1994年2月28日發(fā)表了信息系統(tǒng)安全工程手冊v1.0； 后來，在信息系統(tǒng)安全工程方法的發(fā)展上，出現(xiàn)了第二種思路：過程能力

6、成熟度的方法，其基礎(chǔ)是CMM（能力成熟度模型）；,.,信息安全工程的發(fā)展,CMM的1.0版在1991年8月由卡內(nèi)基-梅隆大學軟件工程研究所發(fā)布； 同期，NSA也開始了對信息安全工程能力的研究，并選取了CMM的思想作為其方法學，正式啟動了SSE-CMM系統(tǒng)安全工程能力成熟度模型研究項目； 1996年10月發(fā)布了SSE-CMM的1.0版本，繼而在1997年春制定完成了SSE-CMM評定方法的1.0版本； 1999年4月，形成了SSE-CMMv2.0和SSE-CMM評定方法v2.0； 2002年3月，SSE-CMM得到了ISO的采納，成為ISO的標準ISO/IEC 21827，冠名為信息技術(shù)系統(tǒng)安全

7、工程能力成熟度模型；,.,發(fā)掘信息保護需求,明確機構(gòu)任務(wù)信息的保護需求； 考察信息系統(tǒng)面臨的威脅； 根據(jù)信息威脅和信息保護政策、法規(guī)和標準制定信息保護策略；,.,定義系統(tǒng)安全要求,信息系統(tǒng)安全工程師要將信息保護需求分配到系統(tǒng)中。系統(tǒng)安全的背景環(huán)境、概要性的系統(tǒng)安全CONOPS以及基線安全要求均應得到確定； 在確定系統(tǒng)的安全背景環(huán)境時，需要定義系統(tǒng)的邊界以及對SE的接口，并要將安全功能分配到目標系統(tǒng)和外部系統(tǒng)中，標識出目標系統(tǒng)和外部系統(tǒng)之間的數(shù)據(jù)流以及這些數(shù)據(jù)流的保護需求。IMM中的信息管理需求以及IPP中的信息保護需求均要在目標系統(tǒng)和外部系統(tǒng)中進行分配。在外部系統(tǒng)中的功能分配必須得到系統(tǒng)所有者

8、的同意； 信息系統(tǒng)安全工程師要確保所選擇的解決方案集能夠滿足任務(wù)或業(yè)務(wù)的安全需求，系統(tǒng)邊界已經(jīng)得到協(xié)調(diào)，并確保安全風險可以達到可接受的級別。信息系統(tǒng)安全工程師將向客戶提交安全背景環(huán)境、安全CONOPS以及系統(tǒng)安全要求，并得到客戶的認同；,.,設(shè)計系統(tǒng)安全體系結(jié)構(gòu),信息系統(tǒng)安全工程師要與系統(tǒng)工程師合作，一起分析待建系統(tǒng)的體系結(jié)構(gòu)，完成功能的分析和分配，同時分配安全服務(wù)，并選擇安全機制。信息系統(tǒng)安全工程師還應確定安全系統(tǒng)的組件或要素，將安全功能分配給這些要素，并描述這些要素間的關(guān)系； 在本項活動中，信息系統(tǒng)安全工程師要與系統(tǒng)工程師合作，確保安全要求能正確地流向體系結(jié)構(gòu)，且體系結(jié)構(gòu)不會對安全造成削弱

9、； 信息系統(tǒng)安全工程師要負責向目標系統(tǒng)和外部系統(tǒng)分配安全要求，并確保外部系統(tǒng)可以支持這些安全要求； 信息系統(tǒng)安全工程師還要在此項活動中確定高層安全機制（例如加密和數(shù)字簽名），這樣，安全機制間的依賴性，例如密鑰管理和加密，才能得到討論和分配。信息系統(tǒng)安全工程師還要將安全機制與安全服務(wù)的強度相匹配，落實設(shè)計中的約束因素，分析并記錄下發(fā)現(xiàn)的不足，實施互依賴分析，確定安全機制的可行性，并評估這些安全機制中存在的任何殘余風險；,.,開展詳細的安全設(shè)計,信息系統(tǒng)安全工程師應分析設(shè)計約束和均衡取舍，完成詳細的系統(tǒng)和安全設(shè)計，并考慮生命周期的支持。信息系統(tǒng)安全工程師應將所有的系統(tǒng)安全要求跟蹤至系統(tǒng)組件，直至無

10、一遺漏。最終的詳細安全設(shè)計結(jié)果應反映出組件和接口規(guī)范，為系統(tǒng)實現(xiàn)時的采辦工作提供充分的信息。,.,開展詳細的安全設(shè)計,在本活動中，信息系統(tǒng)安全工程師將確保對安全體系結(jié)構(gòu)的遵循，實施均衡取舍研究，并定義系統(tǒng)安全的設(shè)計要素，包括： 1） 向系統(tǒng)安全設(shè)計要素中分配安全機制； 2） 確定備選的商業(yè)現(xiàn)貨（COTS）/政府現(xiàn)貨（GOTS）安全產(chǎn)品； 3） 確定需要定制的安全產(chǎn)品； 4）檢驗設(shè)計要素和系統(tǒng)接口（內(nèi)部及外部）； 5） 制定規(guī)范（例如CC的保護輪廓）；,.,實現(xiàn)系統(tǒng)安全,“實現(xiàn)系統(tǒng)安全”的目標是采辦、集成、配置、測試、記錄和培訓，它使系統(tǒng)從設(shè)計轉(zhuǎn)入運行。該項活動的結(jié)束標志是最終系統(tǒng)有效性評估行為

11、，給出系統(tǒng)滿足要求和任務(wù)需求的證據(jù)； 在該階段，信息系統(tǒng)安全工程師將： 1）提供對C&A過程的輸入； 2）驗證系統(tǒng)的確能夠防御此前的威脅評估中確定的威脅； 3）跟蹤或參與信息保護保障機制在系統(tǒng)實現(xiàn)和測試活動中的運用； 4）審查系統(tǒng)的生命周期計劃、運行流程以及運轉(zhuǎn)培訓材料，并向這些文檔提供輸入； 5）實施正式的信息保護評估，為最終的系統(tǒng)有效性評估作出準備； 6）參與對所有系統(tǒng)事項作出的多學科檢查；,.,實現(xiàn)系統(tǒng)安全,選擇需要在解決方案中集成的具體安全產(chǎn)品是本階段的工作任務(wù)之一。這些產(chǎn)品可通過購買、租用、借貸等多種選擇來獲得，影響選擇的因素包括組件成本、可用性、形式以及適宜性。其它的因素包括系統(tǒng)組

12、件的依賴性效果、組件的最低性能可能對系統(tǒng)性能的影響以及組件或替代品在將來的可用性。不能購買的組件必須自制； 所有的接口均需要測試，系統(tǒng)和設(shè)計工程師將撰寫測試流程，并通過集成測試將驗證子系統(tǒng)或系統(tǒng)的性能； 在集成和測試時，重要的一項工作是記錄下安裝、操作、維護和支持的流程；,.,評估信息保護的有效性,評估信息保護的有效性”活動跨越了整個SE/ISSE過程。下表摘要描述了ISSE各項活動中的有效性評估任務(wù)。,.,.,.,四、風險分析,1、資產(chǎn)保護 2、風險管理,.,1、資產(chǎn)保護,任何有效的風險分析始于需要保護的資產(chǎn)和資源的鑒別 資產(chǎn)的類型一般可分成以下4類： 1） 物理資源：物理資源是具有物理形態(tài)

13、的資產(chǎn)。包括工作站、服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備、外圍設(shè)備等，基本上，凡是具有物理形態(tài)的計算資源都是物理資源。 2）知識資源：和物理資源相比，知識資源更難鑒別，因為它只以電子的形式存在。知識資源可以是任何信息的形式，并且在組織的事務(wù)處理中起一定的作用。它包括軟件、財務(wù)信息、數(shù)據(jù)庫記錄以及計劃圖表等。例如，公司通過電子郵件交換信息，這些電子報文的存儲應看成知識資產(chǎn)。,.,資產(chǎn)的類型,3）時間資源：時間也是一個重要的資源，甚至是一個組織最有價值的資源。當評估時間損失對一個組織的影響時，應考慮由于時間損失引起的全部后果。 4）信譽（感覺）資源：在2000年2月，大部分網(wǎng)絡(luò)公司諸如Yahoo、Amazon、

14、eBay和B等在受到拒絕服務(wù)攻擊以后，他們的股票價狂跌。雖然這是暫時的，但足以說明消費者和股票持有者對他們的可信度確實存在影響，且可測量。,.,潛在的攻擊源,潛在的網(wǎng)絡(luò)攻擊可來自任何能訪問網(wǎng)絡(luò)的源，這些源之間有很大差異，它依賴于一個組織的規(guī)模以及提供的網(wǎng)絡(luò)訪問的類型。 當作風險分析時，要能識別所有的攻擊源。 這些攻擊源包括內(nèi)部系統(tǒng)、來自辦公室的訪問、通過廣域網(wǎng)聯(lián)到經(jīng)營伙伴的訪問、通過Internet的訪問，以及通過modem池的訪問等。,.,資產(chǎn)的有效保護,資產(chǎn)一旦受到威脅和破壞，就會帶來兩類損失 一類是即時的損失，如由于系統(tǒng)被破壞，員工無法使用，因而降低了勞動生產(chǎn)率；又如，ISP的在線服務(wù)中

15、斷帶來經(jīng)濟上的損失。 另一類是長期的恢復所需花費，也就是從攻擊或失效到恢復正常需要的花費，例如，受到拒絕服務(wù)攻擊，在一定期間內(nèi)資源無法訪問帶來的損失；又如，為了修復受破壞的關(guān)鍵文件所需的花費等。 為了有效保護資產(chǎn)，應盡可能降低資產(chǎn)受危害的潛在代價。另一方面，由于采取一些安全措施，也要付出安全的操作代價。 信息安全最終是一個折中的方案，需要對危害和降低危害的代價進行權(quán)衡。,.,安全強度和安全代價,在評估時要考慮網(wǎng)絡(luò)的現(xiàn)有環(huán)境，以及近期和遠期網(wǎng)絡(luò)發(fā)展變化的趨勢。選用先進的安全體系結(jié)構(gòu)和系統(tǒng)安全平臺可減少安全操作代價，獲得良好的安全強度。 除此之外，要獲得安全強度和安全代價的折中，需要考慮以下因素：

16、 （1）用戶的方便程度。不應由于增加安全強度給用戶帶來很多麻煩。 （2）管理的復雜性。對增加安全強度的網(wǎng)絡(luò)系統(tǒng)要易于配置、管理。 （3）對現(xiàn)有系統(tǒng)的影響。包括增加的性能開銷以及對原有環(huán)境的改變等。 （4）對不同平臺的支持。網(wǎng)絡(luò)安全系統(tǒng)應能適應不同平臺的異構(gòu)環(huán)境的使用。,.,安全強度和安全代價的折中,.,2、風險管理,從本質(zhì)上講，安全就是風險管理。 一個組織者如果不了解其信息資產(chǎn)的安全風險，很多資源就會被錯誤地使用。 通過風險識別，可以知道一些特殊類型的資產(chǎn)價值以及包含這些信息的系統(tǒng)的價值。,.,風險的概念,風險是構(gòu)成安全基礎(chǔ)的基本觀念，風險是丟失需要保護的資產(chǎn)的可能性，如果沒有風險，就不需要安

17、全了。 威脅漏洞風險 風險是威脅和漏洞的綜合結(jié)果。 沒有漏洞的威脅沒有風險，沒有威脅的漏洞也沒有風險。,.,漏洞和威脅的關(guān)系,.,漏洞,漏洞是攻擊的可能的途徑。 漏洞有可能存在于計算機系統(tǒng)和網(wǎng)絡(luò)中，它允許打開系統(tǒng)，使技術(shù)攻擊得逞； 漏洞也有可能存在于管理過程中，它使系統(tǒng)環(huán)境對攻擊開放。 漏洞的多少是由需要打開系統(tǒng)的技術(shù)熟練水平和困難程度來確定的，還要考慮系統(tǒng)暴露的后果 如果漏洞易于暴露，并且一旦受到攻擊，攻擊者可以完全控制系統(tǒng)，則稱高值漏洞或高脆弱性。 如果攻擊者需要對設(shè)備和人員投入很多資源，漏洞才能暴露，并且受到攻擊后，也只能獲取一般信息，而非敏感信息，則稱低值漏洞或低脆弱性。,.,威脅,威

18、脅是一個可能破壞信息系統(tǒng)環(huán)境安全的動作或事件。 威脅包含以下3個組成部分： 1）目標：威脅的目標通常是針對安全屬性或安全服務(wù)，包括機密性、完整性、可用性、可審性等。這些目標是在威脅背后的真正理由或動機。 2）代理，代理需要有3個特性 訪問：一個代理必須有訪問所需要的系統(tǒng)、網(wǎng)絡(luò)、設(shè)施或信息的能力。 知識：一個代理必須具有目標的知識，有用的知識包括用戶ID、口令、文件位置、物理訪問過程、員工的名字、訪問電話號碼、網(wǎng)絡(luò)地址、安全程序等。 動機：一個代理對目標發(fā)出威脅，需要有動機，通常動機是考慮代理攻擊目標的關(guān)鍵特性。,.,威脅,根據(jù)代理的3個特性，應該考慮的代理可能是各種各樣的，包括員工、和組織有關(guān)

19、的外部員工、黑客、商業(yè)對手、恐怖分子、罪犯、客戶、訪問者以及自然災害等。 3）事件：事件是代理采取的行為，從而導致對組織的傷害。例如，一個黑客改變一個組織的Web頁面來傷害它。另外要考慮的是假如代理得到訪問會產(chǎn)生什么樣的傷害。 常見的事件如下：對信息、系統(tǒng)、場地濫用授權(quán)訪問；惡意地改變信息； 偶然地改變信息； 對信息、系統(tǒng)、場地非授權(quán)訪問；被動地竊聽通信；等等。,.,風險級別,風險可劃分成低、中、高個級別： 1）低級別風險是漏洞使組織的風險達到一定水平，然而不一定發(fā)生。如有可能應將這些漏洞去除，但應權(quán)衡去除漏洞的代價和能減少的風險損失。 2）中級別風險是漏洞使組織的信息系統(tǒng)或場地的風險（機密性

20、、完整性、可用性、可審性）達到相當?shù)乃剑⑶乙延邪l(fā)生事件的現(xiàn)實可能性。應采取措施去除漏洞。 3）高級別風險是漏洞對組織的信息、系統(tǒng)或場地的機密性、完整性、可用性和可審性已構(gòu)成現(xiàn)實危害，必須立即采取措施去除漏洞。,.,風險識別,對一個組織而言，識別風險除了要識別漏洞和威脅外，還應考慮已有的對策和預防措施,.,識別漏洞,識別漏洞時，從確定對該組織的所有入口開始，也就是尋找該組織內(nèi)的系統(tǒng)和信息的所有訪問點 這些入口包括Internet的連接、遠程訪問點、與其他組織的連接、設(shè)備的物理訪問以及用戶訪問點等。 對每個訪問點識別可訪問的信息和系統(tǒng)，然后識別如何通過入口訪問這些信息和系統(tǒng)，應該包括操作系統(tǒng)和

21、應用程序中所有已知的漏洞。,.,識別現(xiàn)實的威脅,一個目標威脅是對一個已知的目標具有已知的代理、已知的動機、已知的訪問和執(zhí)行已知的事件的組合。 例如，有一個不滿意的員工（代理）希望得到正在該組織進行的最新設(shè)計的知識（動機），該員工能訪問組織的信息系統(tǒng)（訪問），并知道信息存放的位置（知識）。該員工正窺測新設(shè)計的機密并且企圖獲得所需文件。 識別所有的目標威脅是非常費時和困難的?？梢宰兏环N方法，即假設(shè)存在一個威脅的通用水平，這個威脅可能包括任何具有訪問組織信息或系統(tǒng)的可能性的人。,.,檢查對策和預防措施,在分析評估攻擊的可能途徑時，必須同時檢查如果漏洞真正存在，相應環(huán)境采取的對策和預防措施。這些預防措施包括防火墻、防病毒軟件、訪問控制、雙因子身份鑒別系統(tǒng)、仿生網(wǎng)絡(luò)安全程序、用于訪問設(shè)備的卡讀出器、文件訪問控制、對員工進行安全培訓等。 對于組織內(nèi)的每個訪問點都應有相應的預防措施。例如，該組織有一個Internet連接，這就提供了訪問該組織內(nèi)