信息安全系統(tǒng)工程ISSE

1、一、概述1、什么是信息安全工程2、為什么需要信息安全工程3、信息安全工程的發(fā)展什么是信息安全工程信息安全保障問題的解決既不能只依靠純粹的技術(shù)，也不能靠簡單的安全產(chǎn)品的堆砌，它要依賴復(fù)雜的系統(tǒng)工程信息安全工程。信息安全工程：是采用工程的概念、原理、技術(shù)和方法，來研究、開發(fā)、實施與維護信息系統(tǒng)安全的過程，它是將經(jīng)過時間考驗證明是正確的工程實施流程、管理技術(shù)和當前能夠得到的最好的技術(shù)方法相結(jié)合的過程。為什么需要信息安全工程信息安全的現(xiàn)狀是比較脆弱的，在安全體制、安全管理等各個方面存在的問題十分嚴重而突出，且不容樂觀；但也可以看到，從20世紀90年代中期到21世紀初，無論是政府部門、企業(yè)，還是個人用戶

2、，安全意識明顯增強在Internet發(fā)展的短短幾年，人們對安全的理解，從早期的安全就是殺毒防毒，到后來的安全就是安裝防火墻，到現(xiàn)在的購買系列安全產(chǎn)品，在一步一步地加深。但是應(yīng)該注意到，這些理解依然存在著“頭痛醫(yī)頭，腳痛醫(yī)腳”的片面性，沒有將信息安全問題作為一個系統(tǒng)工程來考慮對待；由于信息安全保障問題的極端復(fù)雜性，因此在信息系統(tǒng)建設(shè)中必須遵循信息安全工程方法。信息安全的復(fù)雜性1）信息安全具有社會性信息安全問題具有前所未有的廣泛性和綜合性，由于可能影響到安全的因素不斷增多，即使是一個簡單的信息系統(tǒng)，也往往因為人機交互而涉及到組織結(jié)構(gòu)、人員、物理安全、培訓(xùn)等方面的要求；在面對每一個信息系統(tǒng)的安全保障

3、問題時，都要考慮這個系統(tǒng)與非技術(shù)因素的交互，將其放在整個社會化的環(huán)境下考慮。2）信息安全具有全面性信息安全問題需要全面考慮，系統(tǒng)安全程度取決于系統(tǒng)最薄弱的環(huán)節(jié)。信息安全的復(fù)雜性（續(xù)）3）信息安全具有過程性或生命周期性一個完整的安全過程至少應(yīng)包括安全目標與原則的確定、風(fēng)險分析、需求分析、安全策略研究、安全體系結(jié)構(gòu)的研究、安全實施領(lǐng)域的確定、安全技術(shù)與產(chǎn)品的測試與選型、安全工程的實施、安全工程的實施監(jiān)理、安全工程的測試與運行、安全意識的教育與技術(shù)培訓(xùn)、安全稽核與檢查、應(yīng)急響應(yīng)等，這一個過程是一個完整的信息安全工程的生命周期。經(jīng)過安全稽核與檢查后，又形成新一輪的生命周期，是一個不斷往復(fù)的不斷上升的螺

4、旋式安全模型。信息安全的復(fù)雜性（續(xù)）4）信息安全具有動態(tài)性信息技術(shù)在發(fā)展，黑客水平也在提高，安全策略、安全體系、安全技術(shù)也必須動態(tài)地調(diào)整，在最大程度上使安全系統(tǒng)能夠跟上實際情況的變化發(fā)揮效用，使整個安全系統(tǒng)處于不斷更新、不斷完善、不斷進步的動態(tài)過程中。5）信息安全具有層次性信息系統(tǒng)的構(gòu)成本身就是層次性的（主要有物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理等層面），需要用多層次的安全技術(shù)、方法與手段，分層次地化解安全風(fēng)險。信息安全的復(fù)雜性（續(xù)）6）信息安全具有相對性安全是相對的，沒有絕對的安全可言；首先，安全的動態(tài)性決定了所謂的安全只能是相對于過去的安全，相對未來而言，當前的安全很可能會表現(xiàn)為不安全；其次，安全

5、不是目的，安全措施應(yīng)該與保護的信息與網(wǎng)絡(luò)系統(tǒng)的價值相稱，因此，實施信息安全工程要充分權(quán)衡風(fēng)險威脅與防御措施的利弊與得失，在安全級別與投資代價之間取得一個企業(yè)能夠接受的平衡點，人們追求的是在適度風(fēng)險下的相對安全，而非絕對的安全。信息安全工程的發(fā)展早期的信息安全工程方法理論來自于系統(tǒng)工程(SE)過程方法。美國軍方最早在系統(tǒng)工程理論基礎(chǔ)之上開發(fā)了信息系統(tǒng)安全工程（ISSE），并于1994年2月28日發(fā)表了信息系統(tǒng)安全工程手冊v1.0。ISSE由系統(tǒng)工程過程發(fā)展而來，因而其風(fēng)格仍然沿襲了以時間維劃定工程元素的方法學(xué)，這也暴露出了一些不足：信息安全工程的發(fā)展（續(xù)）1）很多安全要求應(yīng)該貫徹在整個工程過程之

6、中，尤其是信息安全的保證要求，而ISSE對其缺乏有針對性的討論；2）此外，信息安全的內(nèi)容及其龐雜，一次完整的信息安全工程過程，往往會涉及到多個復(fù)雜的安全領(lǐng)域，而有些領(lǐng)域的時間過程性卻不明顯，以時間維為線索的描述方式不適合反映出這些內(nèi)容。后來，在信息系統(tǒng)安全工程方法的發(fā)展上，出現(xiàn)了第二種思路：過程能力成熟度的方法，其基礎(chǔ)是CMM（能力成熟度模型）。信息安全工程的發(fā)展（續(xù)）CMM的1.0版在1991年8月由卡內(nèi)基-梅隆大學(xué)軟件工程研究所發(fā)布。同期，NSA也開始了對信息安全工程能力的研究，并選取了CMM的思想作為其方法學(xué)，正式啟動了SSE-CMM系統(tǒng)安全工程能力成熟度模型研究項目。1996年10月發(fā)

7、布了SSE-CMM的1.0版本，繼而在1997年春制定完成了SSE-CMM評定方法的1.0版本。1999年4月，形成了SSE-CMMv2.0和SSE-CMM評定方法v2.0。2002年3月，SSE-CMM得到了ISO的采納，成為ISO的標準ISO/IEC 21827，冠名為信息技術(shù)系統(tǒng)安全工程能力成熟度模型。二、系統(tǒng)工程(SE)過程1、系統(tǒng)工程過程概況2、通用系統(tǒng)工程過程活動3、系統(tǒng)工程過程的幾個原則2.1 系統(tǒng)工程過程概況挖掘需求定義系統(tǒng)設(shè)計系統(tǒng)體系結(jié)構(gòu)詳細設(shè)計實施系統(tǒng)評估有效性2.2 系統(tǒng)工程過程活動通用SE過程由如下活動構(gòu)成：1、發(fā)掘需求；2、定義系統(tǒng)要求；3、設(shè)計系統(tǒng)體系結(jié)構(gòu)；4、開展

8、詳細設(shè)計；5、實現(xiàn)系統(tǒng)；6、評估有效性。在上圖中，箭頭顯示了信息在不同活動間的流向，但并不一定意味著各活動之間的順序或時間性。用戶/用戶代表并不是一個系統(tǒng)工程活動，之所以標注用戶/用戶代表的原因在于提醒我們，所有的活動中，必須不斷地在系統(tǒng)工程師或信息系統(tǒng)安全工程師與用戶之間進行交流和反饋。2.2.1 發(fā)掘需求系統(tǒng)工程師幫助客戶理解并記錄用來支持其業(yè)務(wù)(business)或任務(wù)(mission)的信息管理的需求(Needs)，信息需求說明可以在信息管理模型(IMM- information management model )中記錄。發(fā)掘需求是SE過程的起點，是針對用戶需求以及用戶環(huán)境中的相關(guān)策

9、略、法規(guī)和標準的一系列判斷。系統(tǒng)工程師要標識所有的用戶及這些用戶與系統(tǒng)的交互，標識他們所扮演的角色、承擔的責(zé)任以及在系統(tǒng)生命周期各階段中的授權(quán)。需求應(yīng)該來自用戶的視角，不應(yīng)該對設(shè)計產(chǎn)生過度的約束，并且要通過用戶語言來進行文檔化。發(fā)掘需求（續(xù)）業(yè)務(wù)(business) /任務(wù)(mission)描述SE或ISSE的全部工作都是為了使一個機構(gòu)的本職業(yè)務(wù)/任務(wù)能夠順利實施；因此，在挖掘需求時，首要的一步就是確定任務(wù)/業(yè)務(wù)的需求，而不是工程或信息安全需求；任務(wù)描述的重點之一是對任務(wù)環(huán)境進行描述。需要考慮的策略和政策在進行系統(tǒng)工程時必須考慮對機構(gòu)具有約束力的政策、法規(guī)和標準；事實上，政策、法規(guī)問題是導(dǎo)致很

10、多系統(tǒng)工程失敗的主要原因之一。2.2.2 定義系統(tǒng)在該階段，系統(tǒng)工程師必須明確系統(tǒng)要完成的功能，包括該功能的實現(xiàn)應(yīng)達到的程度以及系統(tǒng)的外部接口。由需求到目標、目標到要求以及要求到功能的各個翻譯環(huán)節(jié)均要采用工程語言。目標描述能夠通過描述系統(tǒng)的預(yù)期運行效果而滿足需求，系統(tǒng)工程師必須能將目標同此前提出的需求相聯(lián)系，并且能夠從理論上加以解釋。系統(tǒng)工程師要在該階段考慮一套或多套能夠滿足由客戶提出并記錄在IMM中的系統(tǒng)需求的解決方案集。NEEDSSystemExternalSystemExternalSystemExternalSystemSolution SetNEEDSSystemExternalSy

11、stemExternalSystemExternalSystemSolution SetNEEDSSystemExternalSystemExternalSystemExternalSystemSolution Set定義系統(tǒng)（續(xù)）系統(tǒng)要求可分為功能要求和性能要求功能要求描述系統(tǒng)需要完成的任務(wù)、動作和行為；性能要求包括系統(tǒng)的質(zhì)、量、適用范圍、使用頻度、響應(yīng)性、可靠性、可維護性、可用性等；此外，內(nèi)外接口要求與互操作性要求是系統(tǒng)成員之間或系統(tǒng)與環(huán)境、其他系統(tǒng)之間的互作用概念的重要要求。當明確所有的要求后，系統(tǒng)工程師必須同其它系統(tǒng)負責(zé)人一起評估這些要求的正確性、完整性、一致性、互依賴性、沖突和可測試

12、性。定義系統(tǒng)（續(xù)）在要求的分析過程中，系統(tǒng)工程師要審查可追蹤性文檔，確保發(fā)掘出的所有需求都已經(jīng)分配到了目標或外部系統(tǒng)之中，確保目標系統(tǒng)的背景環(huán)境描述中包含了所有的外部接口和信息流。系統(tǒng)工程師還應(yīng)確保概要性的CONOPS能覆蓋所有的功能性和任務(wù)或業(yè)務(wù)需求，并且系統(tǒng)運行的內(nèi)在風(fēng)險也得到了提及。定義系統(tǒng)（續(xù)）功能（Functions）由要求決定，每個要求將產(chǎn)生一項或幾項功能。功能分析的主要內(nèi)容是分析功能之間或功能與環(huán)境之間的聯(lián)系。有很多方法可以通過圖表來描述功能的相關(guān)聯(lián)系最簡單的圖表是文本功能列表，它通過習(xí)慣性的縮進、標號、字體來描述一系列功能的層次結(jié)構(gòu)。功能列表將對功能進行命名，并且描述其定義、行

13、為、何時被調(diào)用以及輸入輸出。2.2.3 設(shè)計系統(tǒng)體系結(jié)構(gòu)系統(tǒng)工程師應(yīng)該分析待建系統(tǒng)的體系結(jié)構(gòu)，完成功能的分析和分配，同時分配系統(tǒng)的要求，并選擇相關(guān)機制。系統(tǒng)工程師還應(yīng)確定系統(tǒng)中的組件或要素，將功能分配給這些要素，并描述這些要素間的關(guān)系。在SE的“定義系統(tǒng)要求”活動中，系統(tǒng)要求是分配到整個信息系統(tǒng)中的，它只是指明了系統(tǒng)的功能，卻沒有定義系統(tǒng)的組件；而在“設(shè)計系統(tǒng)體系結(jié)構(gòu)”活動中，SE小組將對功能進行分解，選擇具體功能的執(zhí)行組件，這是體系結(jié)構(gòu)設(shè)計的核心內(nèi)容。 -Define System Requirements Target System(all systemfunctions)External

14、SystemSystem InterfacesExternalSystemiatf_3_4a_3004aTarget System(all systemfunctions)ExternalSystemSystem InterfacesExternalSystemiatf_3_4a_3004a Design System Architecture ExternalSystemInternalInterfacesSystem InterfacesSystemDesign ElementsComponentsSystem elementsiatf_3_4b_3004bExternalSystemIn

15、ternalInterfacesSystem InterfacesSystemSystemDesign ElementsComponentsSystem elementsiatf_3_4b_3004b描述了“定義系統(tǒng)要求”與“設(shè)計系統(tǒng)體系結(jié)構(gòu)”的區(qū)別。前者將目標系統(tǒng)視為“黑盒”，后者則創(chuàng)建系統(tǒng)的內(nèi)部結(jié)構(gòu)；設(shè)計系統(tǒng)體系結(jié)構(gòu)（續(xù)）功能分析要將此前的要求分析階段所確定的高層功能分解至低層功能，與高層功能相關(guān)的性能要求也要分解至低層。功能分析的結(jié)果是描述每個產(chǎn)品或項目的邏輯功能或性能。分析的對象包括待建系統(tǒng)的體系結(jié)構(gòu)、功能和過程、接口（內(nèi)部和外部）、元素（組件）、信息的流動情況、環(huán)境和用戶/訪問。上述

16、描述通常稱為產(chǎn)品或項目的功能體系結(jié)構(gòu)。功能分析和分配使得可以對系統(tǒng)的功能目的及其實現(xiàn)方式形成更好的理解，并在一定程度上獲知低層功能的優(yōu)先級和沖突。它提供了對于優(yōu)化物理解決方案來說重要的信息。2.2.4 開展詳細設(shè)計系統(tǒng)工程師應(yīng)分析系統(tǒng)的設(shè)計約束和均衡取舍，完成詳細的系統(tǒng)設(shè)計，并考慮生命周期的支持。系統(tǒng)工程師應(yīng)將所有的系統(tǒng)要求跟蹤至系統(tǒng)組件，直至無一遺漏。最終的詳細設(shè)計結(jié)果應(yīng)反映出組件和接口規(guī)范，為系統(tǒng)實現(xiàn)時的采辦工作提供充分的信息。詳細設(shè)計將產(chǎn)生更低層次的產(chǎn)品規(guī)范、具體的工程與接口控制圖、原型、具體的測試計劃與流程和具體的集成后勤支持計劃(ILSP-Integrated Logistics S

17、upport Plan)。2.2.5 實現(xiàn)系統(tǒng)系統(tǒng)工程師將系統(tǒng)從規(guī)范變?yōu)楝F(xiàn)實，該階段的主要活動包括采辦、集成、配置、測試、記錄和培訓(xùn)。采辦本階段的工作必須在開發(fā)或購買能夠滿足詳細設(shè)計規(guī)范的組件這二者之間做出決定。系統(tǒng)工程師必須權(quán)衡兩種方式的利弊并進行深入研究。建設(shè)在本階段，已開發(fā)的系統(tǒng)方法將被轉(zhuǎn)化為一個穩(wěn)定的、可生產(chǎn)的、性價比合理的系統(tǒng)設(shè)計實踐，涉及到了所有產(chǎn)品級的軟件、硬件和固件。該階段在采辦過程完成后進行，即系統(tǒng)的裝配或建設(shè)。實現(xiàn)系統(tǒng)（續(xù)）測試組件開發(fā)后，要接受測試和評估，以確保它們能夠滿足規(guī)范（單元測試）。測試過程和預(yù)期的測試結(jié)果在定義方案之后由工程師寫出。成功的完成組件測試之后，各組件

18、硬件、軟件、固件要進行集成和正確的配置，并作為一個系統(tǒng)接受整體集成測試。集成測試用于驗證較高級的系統(tǒng)性能水平。集成測試可能導(dǎo)致要改變某些系統(tǒng)組件，這將立即反饋給系統(tǒng)設(shè)計，以供其做出判斷。2.2.6 評估有效性各項活動的結(jié)果都要接受評估，其中必須檢測兩個主要因素：1）系統(tǒng)是否達到了任務(wù)的需求？2）系統(tǒng)是否能夠依照機構(gòu)所期望的方式操作？除此之外，還要注意可能影響評估結(jié)果的如下因素：1）互操作性；2）可用性；3）人員培訓(xùn)；4）人機接口；5）建設(shè)和維護成本。2.3 系統(tǒng)工程過程的幾個原則1、始終將問題空間和解決方案空間相分離。2、問題空間要根據(jù)客戶的任務(wù)或業(yè)務(wù)需求來定義。3、解決方案空間要由問題空間相

19、驅(qū)動，并由系統(tǒng)工程師和信息系統(tǒng)安全工程師來定義。始終將問題空間和解決方案空間相分離“問題”是“我們期望系統(tǒng)做什么？”，表示“解決方案”這一概念的約束條件、風(fēng)險、策略和一些界限（值）?！敖鉀Q方案”是“系統(tǒng)怎樣實現(xiàn)我們的期望？”，代表了在開發(fā)系統(tǒng)以滿足用戶需求時所有已經(jīng)結(jié)束的行為和創(chuàng)造出的產(chǎn)品。當我們關(guān)注解決方案時，很容易忽視對問題的注意，這便會導(dǎo)致錯誤問題的解決和錯誤系統(tǒng)的建造。問題空間要根據(jù)客戶的任務(wù)或業(yè)務(wù)需求來定義有些客戶經(jīng)常同工程師討論技術(shù)或?qū)鉀Q方案的想法，而不是告訴工程師問題在哪系統(tǒng)工程師（或信息系統(tǒng)安全工程師）必須把客戶的這些想法放到一邊，發(fā)掘出客戶的基本問題。如果客戶的需求不是基于

20、其任務(wù)或業(yè)務(wù)需求而提出的，則最終系統(tǒng)可能難以滿足客戶的需求，這樣會導(dǎo)致錯誤系統(tǒng)的建造。解決方案空間要由問題空間相驅(qū)動，并由系統(tǒng)工程師來定義是系統(tǒng)工程師精通系統(tǒng)的解決方案，而不是客戶。如果客戶是解決方案的設(shè)計專家，那就沒必要再去雇用系統(tǒng)工程師了。一個堅持介入設(shè)計工程的客戶很可能會對解決方案帶來限制，影響到系統(tǒng)工程師的靈活性，從而影響到系統(tǒng)的任務(wù)或業(yè)務(wù)支持目標，影響到用戶需求的滿足。三、信息系統(tǒng)安全工程(ISSE)過程1、 ISSE概述2、 ISSE過程ISSE概述ISSE Information Systems Security Engineering。ISSE是發(fā)掘用戶的信息保護需求并隨后設(shè)計

21、和實現(xiàn)信息系統(tǒng)的一門藝術(shù)和科學(xué)，在一定的經(jīng)濟成本和精心設(shè)計下，這些系統(tǒng)便能夠安全地抵御其面對的各種攻擊。ISSE過程是系統(tǒng)工程（SE）的一個組成部分，并應(yīng)當對認證和認可（C&A）過程提供支持。ISSE過程ISSE過程覆蓋了6項活動，它們與通用的SE過程相對應(yīng)：1、發(fā)掘信息保護需求（發(fā)掘需求）；2、定義系統(tǒng)安全要求（定義系統(tǒng)要求）；3、設(shè)計系統(tǒng)安全體系結(jié)構(gòu)（設(shè)計系統(tǒng)體系結(jié)構(gòu)）；4、開展詳細的安全設(shè)計（開展詳細設(shè)計）；5、實現(xiàn)系統(tǒng)安全（實現(xiàn)系統(tǒng)）；6、評估信息保護的有效性（評估有效性）。1、發(fā)掘信息保護需求 在這個過程中，ISSE將首先調(diào)查在信息方面的用戶任務(wù)需求、相關(guān)政策、法規(guī)、標準以及威脅。然

22、后，ISSE將標識信息系統(tǒng)的具體用戶、他們與信息系統(tǒng)和信息的交互作用的實質(zhì)以及他們在信息保護生命周期各階段的角色、責(zé)任和權(quán)力。在此過程中，重要的一步是應(yīng)用“最小權(quán)限”規(guī)則，用戶只能接觸為完成其工作所必不可少的過程和信息。信息保護需求應(yīng)該來自于用戶的視角，并且不能對系統(tǒng)的設(shè)計和實施造成過度的限制。任 務(wù) 信 息威脅分析政策信息保護策略系 統(tǒng) 需 求系統(tǒng)保護需求任務(wù)、安全威脅和政策對信息保護需求的影響2、定義系統(tǒng)安全要求信息系統(tǒng)安全工程師要將信息保護需求分配到系統(tǒng)中系統(tǒng)安全的背景環(huán)境、概要性的系統(tǒng)安全CONOPS以及基線安全要求均應(yīng)得到確定。在確定系統(tǒng)的安全背景環(huán)境時，需要定義系統(tǒng)的邊界以及對SE

23、的接口，并要將安全功能分配到目標系統(tǒng)和外部系統(tǒng)中，標識出目標系統(tǒng)和外部系統(tǒng)之間的數(shù)據(jù)流以及這些數(shù)據(jù)流的保護需求IMM中的信息管理需求以及IPP中的信息保護需求均要在目標系統(tǒng)和外部系統(tǒng)中進行分配，在外部系統(tǒng)中的功能分配必須得到系統(tǒng)所有者的同意。定義系統(tǒng)安全要求（續(xù)）信息系統(tǒng)安全工程師要確保所選擇的解決方案集能夠滿足任務(wù)或業(yè)務(wù)的安全需求，系統(tǒng)邊界已經(jīng)得到協(xié)調(diào)，并確保安全風(fēng)險可以達到可接受的級別。信息系統(tǒng)安全工程師將向客戶提交安全背景環(huán)境、安全CONOPS以及系統(tǒng)安全要求，并得到客戶的認同。3、設(shè)計系統(tǒng)安全體系結(jié)構(gòu)信息系統(tǒng)安全工程師要與系統(tǒng)工程師合作，一起分析待建系統(tǒng)的體系結(jié)構(gòu)，完成功能的分析和分配

24、，同時分配安全服務(wù)，并選擇安全機制。信息系統(tǒng)安全工程師還應(yīng)確定安全系統(tǒng)的組件或要素，將安全功能分配給這些要素，并描述這些要素間的關(guān)系在本項活動中，信息系統(tǒng)安全工程師要與系統(tǒng)工程師合作，確保安全要求能正確地流向體系結(jié)構(gòu)，且體系結(jié)構(gòu)不會對安全造成削弱。設(shè)計系統(tǒng)安全體系結(jié)構(gòu)（續(xù)）信息系統(tǒng)安全工程師要負責(zé)向目標系統(tǒng)和外部系統(tǒng)分配安全要求，并確保外部系統(tǒng)可以支持這些安全要求。信息系統(tǒng)安全工程師還要在此項活動中確定高層安全機制（例如加密和數(shù)字簽名），這樣，安全機制間的依賴性，例如密鑰管理和加密，才能得到討論和分配。信息系統(tǒng)安全工程師還要將安全機制與安全服務(wù)的強度相匹配，落實設(shè)計中的約束因素，分析并記錄下發(fā)

25、現(xiàn)的不足，實施互依賴分析，確定安全機制的可行性，并評估這些安全機制中存在的任何殘余風(fēng)險。4、開展詳細的安全設(shè)計信息系統(tǒng)安全工程師應(yīng)分析設(shè)計約束和均衡取舍，完成詳細的系統(tǒng)和安全設(shè)計，并考慮生命周期的支持。信息系統(tǒng)安全工程師應(yīng)將所有的系統(tǒng)安全要求跟蹤至系統(tǒng)組件，直至無一遺漏。最終的詳細安全設(shè)計結(jié)果應(yīng)反映出組件和接口規(guī)范，為系統(tǒng)實現(xiàn)時的采辦工作提供充分的信息。開展詳細的安全設(shè)計（續(xù)）在本活動中，信息系統(tǒng)安全工程師將確保對安全體系結(jié)構(gòu)的遵循，實施均衡取舍研究，并定義系統(tǒng)安全的設(shè)計要素，包括：1） 向系統(tǒng)安全設(shè)計要素中分配安全機制；2） 確定備選的商業(yè)現(xiàn)貨（COTS）/政府現(xiàn)貨（GOTS）安全產(chǎn)品；3）

26、 確定需要定制的安全產(chǎn)品；4）檢驗設(shè)計要素和系統(tǒng)接口（內(nèi)部及外部）；5） 制定規(guī)范（例如CC的保護輪廓）。5、實現(xiàn)系統(tǒng)安全“實現(xiàn)系統(tǒng)安全”的目標是采辦、集成、配置、測試、記錄和培訓(xùn)，它使系統(tǒng)從設(shè)計轉(zhuǎn)入運行。該項活動的結(jié)束標志是最終系統(tǒng)有效性評估行為，給出系統(tǒng)滿足要求和任務(wù)需求的證據(jù)。實現(xiàn)系統(tǒng)安全（續(xù)）在該階段，信息系統(tǒng)安全工程師將：1）提供對認證和認可（C&A）過程的輸入；2）驗證系統(tǒng)的確能夠防御此前的威脅評估中確定的威脅；3）跟蹤或參與信息保護保障機制在系統(tǒng)實現(xiàn)和測試活動中的運用；4）審查系統(tǒng)的生命周期計劃、運行流程以及運轉(zhuǎn)培訓(xùn)材料，并向這些文檔提供輸入；5）實施正式的信息保護評估，為最終的

27、系統(tǒng)有效性評估作出準備；6）參與對所有系統(tǒng)事項作出的多學(xué)科檢查。實現(xiàn)系統(tǒng)安全（續(xù)）選擇需要在解決方案中集成的具體安全產(chǎn)品是本階段的工作任務(wù)之一。這些產(chǎn)品可通過購買、租用、借貸等多種選擇來獲得，影響選擇的因素包括組件成本、可用性、形式以及適宜性。其它的因素包括系統(tǒng)組件的依賴性效果、組件的最低性能可能對系統(tǒng)性能的影響以及組件或替代品在將來的可用性。不能購買的組件必須自制。所有的接口均需要測試，系統(tǒng)和設(shè)計工程師將撰寫測試流程，并通過集成測試將驗證子系統(tǒng)或系統(tǒng)的性能在集成和測試時，重要的一項工作是記錄下安裝、操作、維護和支持的流程。6、評估信息保護的有效性評估信息保護的有效性活動跨越了整個SE/ISS

28、E過程，下表摘要描述了ISSE各項活動中的有效性評估任務(wù)。 ISSE 活動 評估信息保護的有效性任務(wù)發(fā)掘信息保護需求縱覽整個過程。概述信息模型。描述任務(wù)或業(yè)務(wù)的信息攻擊威脅。針對信息威脅建立安全服務(wù)，確定安全服務(wù)對客戶的相對重要性。得到客戶對本階段活動結(jié)論的認同，作為判斷系統(tǒng)安全有效性的基礎(chǔ)。定義系統(tǒng)安全要求確保所選擇的解決方案集滿足了任務(wù)或業(yè)務(wù)的安全需求。協(xié)調(diào)系統(tǒng)邊界。向客戶提供并展示安全背景環(huán)境、安全CONOPS以及系統(tǒng)安全要求，并獲得客戶的認同。確保預(yù)期的安全風(fēng)險能被客戶接受。設(shè)計系統(tǒng)安全體系結(jié)構(gòu)開展正式的風(fēng)險分析，確保所選擇的安全機制能夠提供所需的安全服務(wù)，并向客戶解釋安全體系結(jié)構(gòu)如何

29、滿足安全要求。開展詳細的安全設(shè)計執(zhí)行互依賴分析，比較安全機制的強度，審查所選擇的安全服務(wù)和機制是否能夠?qū)剐畔⑼{。一旦完成設(shè)計，風(fēng)險評估的結(jié)果，尤其是風(fēng)險減緩需求和殘余風(fēng)險，將得到記錄，并獲得客戶的認同。實現(xiàn)系統(tǒng)安全 實施并更新風(fēng)險分析。制定風(fēng)險減緩戰(zhàn)略。標識風(fēng)險可能對任務(wù)帶來的影響，并通知客戶和認可員及認證員。四、風(fēng)險分析1、資產(chǎn)保護2、風(fēng)險管理1、資產(chǎn)保護任何有效的風(fēng)險分析始于需要保護的資產(chǎn)和資源的鑒別。1.1 資產(chǎn)的類型1） 物理資源：物理資源是具有物理形態(tài)的資產(chǎn)包括工作站、服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備、外圍設(shè)備等，基本上，凡是具有物理形態(tài)的計算資源都是物理資源。2）知識資源：和物理資源相比

30、，知識資源更難鑒別，因為它只以電子的形式存在知識資源可以是任何信息的形式，并且在組織的事務(wù)處理中起一定的作用。它包括軟件、財務(wù)信息、數(shù)據(jù)庫記錄以及計劃圖表等。例如，公司通過電子郵件交換信息，這些電子報文的存儲應(yīng)看成知識資產(chǎn)。資產(chǎn)的類型（續(xù)）3）時間資源：時間也是一個重要的資源，甚至是一個組織最有價值的資源當評估時間損失對一個組織的影響時，應(yīng)考慮由于時間損失引起的全部后果。4）信譽（感覺）資源在2000年2月，大部分網(wǎng)絡(luò)公司諸如Yahoo、Amazon、eBay和B等在受到拒絕服務(wù)攻擊以后，他們的股票價狂跌。雖然這是暫時的，但足以說明消費者和股票持有者對他們的可信度確實存在影響，且可測量。1.2

31、 潛在的攻擊源潛在的網(wǎng)絡(luò)攻擊可來自任何能訪問網(wǎng)絡(luò)的源，這些源之間有很大差異，它依賴于一個組織的規(guī)模以及提供的網(wǎng)絡(luò)訪問的類型。當作風(fēng)險分析時，要能識別所有的攻擊源這些攻擊源包括內(nèi)部系統(tǒng)、來自辦公室的訪問、通過廣域網(wǎng)聯(lián)到經(jīng)營伙伴的訪問、通過Internet的訪問，以及通過modem池的訪問等。 1.3 資產(chǎn)的有效保護資產(chǎn)一旦受到威脅和破壞，就會帶來兩類損失1）即時的損失，如由于系統(tǒng)被破壞，員工無法使用，因而降低了勞動生產(chǎn)率。2）長期的恢復(fù)所需花費，也就是從攻擊或失效到恢復(fù)正常需要的花費，例如，受到拒絕服務(wù)攻擊，在一定期間內(nèi)資源無法訪問帶來的損失。為了有效保護資產(chǎn)，應(yīng)盡可能降低資產(chǎn)受危害的潛在代價；

32、另一方面，由于采取一些安全措施，也要付出安全的操作代價信息安全最終是一個折中的方案，需要對危害和降低危害的代價進行權(quán)衡。資產(chǎn)的有效保護（續(xù)）在評估時要考慮網(wǎng)絡(luò)的現(xiàn)有環(huán)境，以及近期和遠期網(wǎng)絡(luò)發(fā)展變化的趨勢選用先進的安全體系結(jié)構(gòu)和系統(tǒng)安全平臺可減少安全操作代價，獲得良好的安全強度。要獲得安全強度和安全代價的折中，需要考慮以下因素：1）用戶的方便程度，不應(yīng)由于增加安全強度給用戶帶來很多麻煩。2）管理的復(fù)雜性，對增加安全強度的網(wǎng)絡(luò)系統(tǒng)要易于配置、管理。3）對現(xiàn)有系統(tǒng)的影響，包括增加的性能開銷以及對原有環(huán)境的改變等。4）對不同平臺的支持，網(wǎng)絡(luò)安全系統(tǒng)應(yīng)能適應(yīng)不同平臺的異構(gòu)環(huán)境的使用。安全強度和安全代價的

33、折中為了有效保護資產(chǎn)，需要性能良好的安全系統(tǒng)結(jié)構(gòu)和安全系統(tǒng)平臺，能以小的安全代價換取高的安全強度。2、風(fēng)險管理從本質(zhì)上講，安全就是風(fēng)險管理一個組織者如果不了解其信息資產(chǎn)的安全風(fēng)險，很多資源就會被錯誤地使用。風(fēng)險管理提供信息資產(chǎn)評估的基礎(chǔ)通過風(fēng)險識別，可以知道一些特殊類型的資產(chǎn)價值以及包含這些信息的系統(tǒng)的價值。2.1 風(fēng)險的概念風(fēng)險是構(gòu)成安全基礎(chǔ)的基本觀念，指丟失需要保護的資產(chǎn)的可能性如果沒有風(fēng)險，就不需要安全了。風(fēng)險威脅漏洞風(fēng)險是威脅和漏洞的綜合結(jié)果。沒有漏洞的威脅沒有風(fēng)險，沒有威脅的漏洞也沒有風(fēng)險。漏洞和威脅的關(guān)系漏洞漏洞是攻擊的可能途徑漏洞有可能存在于計算機系統(tǒng)和網(wǎng)絡(luò)中，它允許打開系統(tǒng)，使

34、技術(shù)攻擊得逞；漏洞也有可能存在于管理過程中，它使系統(tǒng)環(huán)境對攻擊開放。漏洞的多少是由需要打開系統(tǒng)的技術(shù)熟練水平和困難程度來確定的，還要考慮系統(tǒng)暴露的后果如果漏洞易于暴露，并且一旦受到攻擊，攻擊者可以完全控制系統(tǒng)，則稱高值漏洞或高脆弱性。如果攻擊者需要對設(shè)備和人員投入很多資源，漏洞才能暴露，并且受到攻擊后，也只能獲取一般信息，而非敏感信息，則稱低值漏洞或低脆弱性。威脅威脅是一個可能破壞信息系統(tǒng)環(huán)境安全的動作或事件。威脅包含以下3個組成部分：1）目標：威脅的目標通常是針對安全屬性或安全服務(wù)，包括機密性、完整性、可用性、可審性等。這些目標是在威脅背后的真正理由或動機。2）代理（攻擊主體），有3個特性訪

35、問：代理必須有訪問所需要系統(tǒng)、網(wǎng)絡(luò)、設(shè)施或信息的能力。知識：代理必須具有目標的知識，有用的知識包括用戶ID、口令、文件位置、物理訪問過程、員工的名字、訪問電話號碼、網(wǎng)絡(luò)地址、安全程序等。動機：一個代理對目標發(fā)出威脅，需要有動機，通常動機是考慮代理攻擊目標的關(guān)鍵特性。威脅（續(xù)）根據(jù)代理的3個特性，應(yīng)該考慮的代理可能是各種各樣的，包括員工、和組織有關(guān)的外部員工、黑客、商業(yè)對手、恐怖分子、罪犯、客戶、訪問者以及自然災(zāi)害等。3）事件（攻擊行為）：事件是代理采取的行為，從而導(dǎo)致對組織的傷害例如，一個黑客改變一個組織的Web頁面來傷害它。另外要考慮的是假如代理得到訪問會產(chǎn)生什么樣的傷害。常見的事件如下：對

36、信息、系統(tǒng)、場地濫用授權(quán)訪問；惡意地改變信息； 偶然地改變信息； 對信息、系統(tǒng)、場地非授權(quán)訪問；被動地竊聽通信；等等。風(fēng)險級別風(fēng)險可劃分成低、中、高個級別：1）低級別風(fēng)險是漏洞使組織的風(fēng)險達到一定水平，然而不一定發(fā)生。如有可能應(yīng)將這些漏洞去除，但應(yīng)權(quán)衡去除漏洞的代價和能減少的風(fēng)險損失。2）中級別風(fēng)險是漏洞使組織的信息系統(tǒng)或場地的風(fēng)險（機密性、完整性、可用性、可審性）達到相當?shù)乃?，并且已有發(fā)生事件的現(xiàn)實可能性。應(yīng)采取措施去除漏洞。3）高級別風(fēng)險是漏洞對組織的信息、系統(tǒng)或場地的機密性、完整性、可用性和可審性已構(gòu)成現(xiàn)實危害，必須立即采取措施去除漏洞。2.2 風(fēng)險識別對一個組織而言，識別風(fēng)險除了要識別漏洞和威脅外，還應(yīng)考慮已有的對策和預(yù)防措施2.2.1 識別漏洞識別漏洞時，從確定對該組織的所有入口開始，也就是尋找該組織內(nèi)的系統(tǒng)和信息的所有訪問點這些入口包括Internet的連接、遠程訪問點、與其他組織的連接、設(shè)備的物理訪問以及用戶訪問點等。