信息安全工程-课件.ppt

1、信息安全工程信息安全工程中国信息安全测评中心课程内容课程内容2信息安全工程知识体安全工程生命安全工程生命周期周期SSE-CMM体系与原理体系与原理安全工程过程安全工程过程安全工程能力安全工程能力安全工程能力安全工程能力知识子域发掘信息保护需求发掘信息保护需求开展详细安全设计开展详细安全设计实施系统安全实施系统安全确定系统安全要求确定系统安全要求设计系统设计系统安全体系结构安全体系结构评估评估信息保护的有效性信息保护的有效性知识子域知识域安全工程概述安全工程概述v信息安全工程是信息安全保障的重要组成部分，但是却被广泛忽视 等级保护技术、管理 传统风险评估资产威胁脆弱性v从普通管理者的角度看信息安

2、全状况是“重技术、轻管理”；从一般安全人员看信息安全是“重应用、轻安全”；从专业人员的角度看信息安全的状况是“重要素、轻过程”，情况更严重。v信息安全工程就是要解决信息系统生命周期的“过程安全”问题从生活中的案例开始从生活中的案例开始v消防通道设计规范规定“商住楼中住宅的疏散楼梯应独立设置”v右图是一家门市，为应付消防检查自行搭建的消防通道4安全工程的重要性安全工程的重要性v如果在大楼的设计和实施阶段没有考虑消防，把楼盖完了，再去设置消防通道，必然会导致成本的上升和安全性的下降v安全工程在信息化建设中的重要性有过之而无不及5信息化建设中的案例信息化建设中的案例vA公司开展家用电话自助刷卡支付业

3、务v用户可以通过其网站查询个人付款信息v第三方安全测平发现该网站存在SQL注入漏洞，可以泄露用户交易信息6信息化建设中的案例（续）信息化建设中的案例（续）v当初外包开发此网站的公司已经倒闭vA公司技术人员对网站系统开发情况不了解，没有能力消除该漏洞。公司董事会研究最终决定，为保护用户隐私，暂时不再为用户提供网上交易信息查询服务！7国家政策要求国家政策要求关于加强信息安全保障工作的意见明确要求“信息安全建设是信息化的有机组成部分，必须与信息化同步规划、同步建设。各地区各部门在信息化建设中，要同步考虑信息安全建设，保证信息安全设施的运行维护费用。”国家发展改革委关于加强国家电子政务工程建设项目信息

4、安全风险评估工作的通知的中心思想是：电子政务工程建设项目必须同步考虑安全问题，提供安全专项资金，信息安全风险评估结论是项目验收的重要依据。8需要牢记在心的原则需要牢记在心的原则v安全工程是信息化建设必要的有机组成部分v信息安全建设必须同信息化建设“同步规划、同步实施”v“重功能、轻安全”，“先建设、后安全”都是信息化建设的大忌v信息安全工程是信息安全保障工作中不可或缺的环节9安全工程能力成熟度模型安全工程能力成熟度模型（SSE-CMMSSE-CMM）vSSE-CMM体系与原理 了解SSE-CMM的适用范围；了解域维与能力维的关系。v安全工程能力评价 理解各个信息安全工程能力级别的含义。10为什

5、么要学习安全工程能力成熟度模型为什么要学习安全工程能力成熟度模型vSSE-CMM为信息安全工程过程改进建立一个框架模型v通过SSE-CMM的学习了解 信息安全工程中通常要实施的活动有哪些，即信息安全工程中包括的过程有哪些 评价和改进这些过程的指标是什么，即实施信息安全工程应当追求的过程能力11什么是系统安全工程什么是系统安全工程v系统安全工程尚不存在统一的定义v系统安全工程的主要目标是：获得对企业安全风险的理解 根据已识别的风险确定安全需求 将安全需求转换成指导系统开发、集成和维护的指导原则 通过正确有效的安全控制措施建立信息和保证 判断系统的残留风险是否可以接受v注意：不能将系统安全工程理解

6、为专门针对安全作的一个项目，系统安全工程是系统建设活动中有关加强系统安全性的活动的集合，是系统获取开发活动的子集12什么是什么是SSE-CMMSSE-CMMv 系统安全工程能力成熟模型（Systems Security Engineering Capability Maturity Model）v 描述了一个组织组织的系统安全工程过程系统安全工程过程必须包含的基本特征基本特征 这些特征是完善的安全工程保证保证 也是系统安全工程实施的度量标准 同时还是一个评估系统安全工程实施的框架13SSE-CMMSSE-CMM的作用的作用v帮助获取组织（系统、产品的采购方）选择合格的投标者，以统一的标准对安全

7、工程过程进行监管提高工程实施质量，减少争议v帮助工程组织（系统开发和集成商）通过可重复、可预测的过程减少返工、提高质量、降低成本；改进安全工程实施能力；获得证明安全工程实施能力的资质v帮助认证评估组织获得独立于系统和产品的可重用的过程评估标准用来确定被评估者将安全工程集成在系统工程之中，并且其系统安全工程是可信的14SSE-CMMSSE-CMM覆盖范围覆盖范围v SSE-CMM涉及到可信产品或者系统整个生命周期的安全工程活动，其中包括概念定义、需求分析、设计、开发、集成、安装、运行、维护和终止。v 覆盖整个组织的活动，包括管理、组织和工程活动等，而不仅仅是系统安全的工程活动；v 它不是孤立了工

8、程，而是与其它工程并行且相互作用，包括企业工程、软件工程、硬件工程、基建工程、人力资源工程、通信工程、测试工程、系统管理等；v 与其它组织的相互作用，涉及开发者、产品供应商、集成商、采购者、安全评估组织、资质评估认证组织、咨询服务商等；v SSE-CMM可应用于所有类型和大小的安全工程机构，如商务机构、政府机构和学术机构。15SSE-CMMSSE-CMM历史历史v 1993年4月美国国家安全局（NSA）开始酝量v 1996年10月出版了SSE-CMM模型的第一个版本，1997年4月出版了评定方法的第一个版本。v 从1996年6月到1997年6月进行许多实验项目 v 1999年4月出版了第二版。

9、v 2002年，ISO/IEC IS 21827v 目前，SSE-CMM V3.0v 与其配套的评估方法，SSAM,系统安全工程能力成熟度模型评估方法16SSE-CMMSSE-CMM的主要概念的主要概念v过程（Process）为了达到某一给定目标而执行的一系列活动，这些活动可以重复、递归和并发的执行v过程区域（PA，Process Area）过程的一种单位单位，由一些基本实施（BP，Base Practice）组成的，这些BP共同实施以达到该PA的目标，BP是强制性的，只有全部成功执行，才能满足PA规定的目标 SSE-CMM包含三类过程区域：工程、项目和组织三类17SSE-CMMSSE-CMM

10、的主要概念的主要概念v过程能力（Process Capability）一个过程是否可以达到预期效果的度量方法，即执行一个过程的成熟度级别划分 过程能力可帮助组织预见达到过程目标的能力v能力级别 由公共特征组成的过程能力水平的级别划分 公共特征是由一系列管理、度量和制度方面的活动，可用于决定所有活动的能力水平18SSE-CMMSSE-CMM体系结构体系结构能力维（Capability Dimension）域维（Domain Dimension）公共特征2.4跟踪执行PA 05评估脆弱性两维模型：“域维”由所有定义的安全工程过程区构成。“能力维”代表组织实施这一过程的能力。19SSE-CMMSSE

11、-CMM能力成熟度评价能力成熟度评价v通过设置这两个相互依赖的维，SSE-CMM在各个能力级别上覆盖了整个安全活动范围。v给每个PA赋予一个能力级别评分，所得到的两维图形便形象地反映一个工程组织整体上的系统安全工程能力成熟度，也间接的反映其工作结果的质量及其安全上的可信度。543210PA01PA02PA03PA04PA05能力级别安全过程区域20域维域维-22-22个个PAPA分成三个过程区域类分成三个过程区域类v安全工程涉及到三个过程区域类 工程过程区域类 工程过程类中包含11个过程区域，描述了系统安全工程中实施的与安全直接相关的活动 组织过程区域类和项目过程区域类 组织和项目过程类中包含

12、11个过程区域，并不直接同系统安全相关，但常与11个工程过程区域一起用来度量系统安全队伍的过程能力成熟度21域维域维-工程过程区域类工程过程区域类PAPA核实和确认安全（Verify and Validate Security）PA11明确安全需求（Specify Security Needs）PA10提供安全输入（Provide Security Input）PA09监视安全态势（Monitor Security Posture）PA08协调安全（Coordinate Security）PA07建立保证论据（Build Assurance Argument)PA06评估脆弱性（Assess

13、Vulnerability）PA05评估威胁（Assess Threat）PA04评估安全风险（Assess Security Risk)PA03评估影响（Assess Impact）PA02管理安全控制（Administer Security Controls）PA01风险过程工程过程保证过程22安全工程过程安全工程过程保证论据风险信息产品或服务工程过程Engineering保证过程Assurance风险过程Risk23风险过程风险过程PA04：评估威胁威胁信息threat脆弱性信息vulnerability影响信息impact风险信息PA05：评估脆弱性PA02：评估影响PA03：评估安全

14、风险v 风险就是有害事件发生的可能性v 一个有害事件有三个部分组成：威胁、脆弱性和影响。24工程过程工程过程v 安全工程与其它科目一样，它是一个包括概念、设计、实现、测试、部署、运行、维护、退出的完整过程。v SSE-CMM强调安全工程是一个大的项目队伍中的一部分，需要与其它科目工程师的活动相互协调。PA10确定安全需求需求、策略等配置信息解决方案、指导等风险信息PA08监控安全态势PA07协调安全PA01管理安全控制PA09提供安全输入25保证过程保证过程证据证据保证论据PA11验证和证实安全指定安全要求其他多个PAPA06建立保证论据v保证是指安全需要得到满足的信任程度vSSE-CMM的信

15、任程度来自于安全工程过程可重复性的结果质量。26信息安全工程活动小结信息安全工程活动小结系统是干什么用的？系统面临哪些风险？需要达到怎样的安全水平？有哪些方法可以达到这样的安全水平？我们的总体思路是什么？我们的具体方案是什么？按照方案把安全措施都装好。保证这些安全措施确实发挥作用了。发生安全事件或安全措施运行不正常得及时发现。大家团结一致，协调配合把以上事情做好。过程记录整理好，证明该干的活都认真的完成了。验收测试证明安全措施的功能、性能都达标了。于是领导满意了，同志们放心了。27域维域维-项目过程区域类和组织过程区域类项目过程区域类和组织过程区域类与供应商协调PA22提供持续发展的技能和知识

16、PA21管理系统工程支持环境PA20管理产品系列进化PA19改进组织的系统工程过程PA18定义组织的系统工程过程PA17计划技术活动PA16监视和控制技术活动PA15管理项目风险PA14管理配置PA13保证质量PA12项目过程组织过程28计划执行规范化执行跟踪执行验证执行定义标准过程协调安全实施执行已定义的过程建立可测量的质量目标客观地管理过程的执行1非正规执行2计划与跟踪3充分定义4量化控制5连续改进执行基本实施改进组织能力改进过程的有效性能力维能力维能力级别能力级别公共特征未实施0能力级别29能力级别能力级别-0-0级级v未执行v未执行级别没有公共特征。v这个级别中通常不能成功执行过程区域

17、中的基本实施。此过程的工作产品不易辨别或使用30能力级别能力级别-1-1级级v非正规执行级必须首先做它，然后才能管理它v在这一级别，过程区域的基本实施通常被执行，但未经过严格的计划和跟踪，而是基于个人的知识和努力。v该级别包括一个公共特征执行基本实施 执行了一个过程区域的基本实施，从而为用户提供工作产品或服务 然而工作产品的一致性、性能和质量会因为缺乏适当控制而存在极大的差异31能力级别能力级别-2-2级级v规划和跟踪级在定义组织层面的过程之前，先要弄清楚与项目相关的事项v在这一级别着重于项目层面的定义、规划和执行问题，PA中BP的执行是经过规划并跟踪的。v包括四个公共特征：规划执行：分配资源

18、、指定责任、提供工具、将规划形成文档 规范化执行：使用标准和规程、进行配置管理 验证执行：验证工作过程、验证工作产品 跟踪执行：跟踪过程实施、采取修正措施32能力级别能力级别-3-3级级v充分定义级-用项目中学到的最好的东西来定义组织层面的过程v这个级别着重于规范化地制定和裁剪组织范围内的标准过程v包括三个公共特征：定义标准化过程：制定标准化过程，从组织标准化过程中裁剪出针对特定需求的过程 执行已定义过程：PA的实施使用充分定义的过程，对执行结果进行缺陷评审，使用充分定义的数据 协调安全实施：执行组内协调、执行组间协调、执行外部协调33能力级别能力级别-4-4级级v量化控制级 只有知道它是什么

19、才能度量它；当被度量的对象是正确的，基于度量的管理才有意义v这一级别注重于通过度量来促进组织目标的实现，尽管前面的级别也涉及度量的问题，但是到这一级，度量数据在组织层面上被应用。v包括两个公共特征：建立可测度的质量目标：为工作产品建立可测度的目标 对执行情况实施客观管理：为工作过程能力建立量化测量和改进的标准34能力级别能力级别-5-5级级v持续改进级-持续改进的文化需要以完备的管理、清晰定义的过程和可度量的目标为基础。v该级别强调根据已定义的过程执行情况的反馈和先进创意与技术的追踪，改进执行过程，提升工作绩效，以更好地满足业务目标。v包括两个特征 改进组织能力：建立过程效能目标，持续改进标准

20、化的过程 改进过程效能：进行因果分析，消除缺陷根源，持续改进已定义过程35SSE-CMMSSE-CMM的使用的使用vSSE-CMM可应用于所有从事某种形式的安全工程组织，这种应用与生命期、范围、环境或专业无关。该模型适用于以下三种方式：“评定评定”，允许获取组织了解潜在项目参加者的组织层次上的安全工程过程能力。“改进改进”，使安全工程组织获得自身安全工程过程能力级别的认识，并不断地改进其能力。“保证保证”，通过有根据地使用成熟过程，增加可信产品、系统和服务的可信度。36SSE-CMMSSE-CMM的使用的使用评定评定v SSE-CMM Appraisal Method（SSAM）v 是一种组织

21、或项目级的评估方法，通过多种数据采集方法来或区域待评估组织或项目相关的实践过程的信息，目的在于取得一个真实实践的基线（Baseline）或基准（Benchmark），创建并支持用于改进的要素；v 数据采集方法：问卷、访谈、证据复审；v 评估阶段：规划（Planning），准备（Preparation），现场（On-site），报告（Reporting）；37SSE-CMMSSE-CMM评估方法（评估方法（SSAMSSAM）规划阶段范围评定计划评定准备阶段准备评定组分发调查表合并证物分析证物和调查表查表现场阶段领导简报/开幕式采访领导/专业人员分析数据确定调查结果产生排等级的轮廓管理记录工作结束

22、报告阶段产生最终报告向发起者报告评定结果管理评定实物报告取得的经验教训38SSE-CMMSSE-CMM的使用的使用改进改进v SSE-CMM可以用作改进组织安全工程过程的工具，建议采用SEI的IDEAL模型进行v Initiating（初始化）熟悉项目目标和完成方式，开发业务案例和项目执行方法，获得管理层批准和支持，为成功的改进努力做好铺垫；v Diagnosing（诊断）理解组织当前和期望的过程成熟度状态，这些是形成组织过程改进行动计划的基础；v Establishing（建立）基于努力目标和诊断阶段开发的建议来制定详细的行动计划，并考虑到各种约束；v Acting（操作）即实施阶段，无论是

23、资源还是时间，都需要各方面付出最大程度的努力；v Learning（学习）既是本次循环的终止，又是下一次改进过程的开端。对整个过程改进活动进行评估。39课程内容课程内容40信息安全工程知识体安全工程生命安全工程生命周期周期SSE-CMM体系与原理体系与原理安全工程过程安全工程过程安全工程能力安全工程能力安全工程能力安全工程能力知识子域发掘信息保护需求发掘信息保护需求开展详细安全设计开展详细安全设计实施系统安全实施系统安全确定系统安全要求确定系统安全要求设计系统设计系统安全体系结构安全体系结构评估评估信息保护的有效性信息保护的有效性知识子域知识域信息系统安全工程信息系统安全工程41l了解系统生命

24、周期的概念和组成阶段：发掘信息保护需求、确定系统安全要求、设计系统安全体系结构、开展详细安全设计、实施系统安全、评估信息保护的有效性l理解ISSE的含义：将系统工程思想应用于信息安全领域，在系统生命周期的各阶段充分考虑和实施安全措施ISSE（Information System Security Engineering）ISSEISSE过程过程42ISSEISSE安全工程过程安全工程过程ISSEISSE过程过程ISSEISSE原理原理v分为问题空间和解决问题空间v问题空间是由客户的任务或业务需求确定的v系统工程师和信息系统安全工程师确定解决问题空间，它是由问题空间推导出来的ISSEISSE过程

25、过程发掘信息保护需求确定系统安全要求设计系统安全体系结构开展详细安全设计评估信息保护有效性实施系统安全发掘信息保护需求发掘信息保护需求v本阶段的主要活动 界定范围 分析业务/任务 识别基线（相关法律、法规、政策等要求）识别风险 记录需求 获得用户/使用者的许可发掘信息保护需求发掘信息保护需求v发掘信息保护需求过程发掘信息保护需求发掘信息保护需求v发掘信息保护需求主体发掘信息保护需求发掘信息保护需求v风险评估结果是安全需求的重要决定因素 一切工程皆有需求 信息安全工程的需求并不是工程的起点 信息安全工程的需求应从风险评估结果分析中得出 需求与风险的一致性越强，则需求越准确 因此信息安全工程应从风

26、险着手，制定需求，这也符合信息安全保障（IA）的思想 规范信息安全工程，必须从规范需求入手发掘信息保护需求发掘信息保护需求实例实例1 1专项安全评估专项安全评估服务器端深度评估服务器端深度评估常规安全评常规安全评估估按照银监会按照银监会电子电子银行系统安全评估银行系统安全评估指引指引中要求的内中要求的内容开展评估。容开展评估。安全策略、内控制安全策略、内控制度、风险管理、系度、风险管理、系统安全性、业务持统安全性、业务持续性、应急计划、续性、应急计划、风险预警体风险预警体 通过最直接的方式通过最直接的方式，最直观的发现系，最直观的发现系统存在的安全隐患统存在的安全隐患。应用安全验证测试应用安全

27、验证测试渗透测试渗透测试 环境安全检测环境安全检测程序实现安全检测程序实现安全检测业务保障安全检测业务保障安全检测安全编译选项检测安全编译选项检测、BANNED API检检测、反逆向保护能测、反逆向保护能力检测、内核驱动力检测、内核驱动接口安全检测、文接口安全检测、文件数据处理安全检件数据处理安全检测、身份认证安全测、身份认证安全检测等检测等14个方面个方面 客户端深度评估客户端深度评估v风险评估的覆盖度和深度，直接影响需求发掘的广度和准确性 网上银行案例发掘信息保护需求发掘信息保护需求实例实例2 2v案例 某部委每年开展信息安全风险评估工作，定期根据评估结果确定信息安全工程建设项目。风险评估

28、结果解决方式市、省、国均可实现网络层未授权的互访部署防火墙产品未授权访问过程没有监控和审计措施部署IDS产品没有能力识别未授权访问所使用恶意程序或代码部署防病毒产品边界防护体系建设边界防护体系建设科学全面的风险评估工作是不但保证需求提出的合理性，科学全面的风险评估工作是不但保证需求提出的合理性，还是信息安全工程的源头还是信息安全工程的源头发掘信息保护需求发掘信息保护需求实例实例3 3v 案例 某单位委托中国信息安全测评中心对其信息安全设计方案进行评审，希望能够在网络鲁棒性、安全性和产品选用的正确性等方面给出评审意见 其信息安全设计方案中的内容全部是对即将建设系统的愿景描述 中国信息安全测评中心

29、认为无法满足其评审需求 原因分析：缺少对现有网络风险的描述，没有有效的需求提取与分析，无法找出有效的评审依据或基线，因此无法做到对方案的评审，或者提出的意见是协助其夯实风险识别的过程。发掘信息保护需求发掘信息保护需求合理性合理性符合性符合性安全工程建安全工程建设的需求从设的需求从哪里来？哪里来？发掘信息保护需求发掘信息保护需求v风险评估机制的引入，解决了工程建设需求合理性的问题，符合性的问题如何来解决？国家政策法规和合同协议等符合性要求也是安全需求的重要决定因素发掘信息保护需求发掘信息保护需求v符合性的问题包括：政策符合性、业务目标符合性两个方面 政策符合性：符合法律法规、政策和标准的要求（如

30、等级保护、BMB）业务目标符合性：结合业务和IT特性，提出安全目标 因此制定适合本组织/单位的安全基线是十分必要的（与“确定系统安全要求”的内容相结合）发掘信息保护需求发掘信息保护需求CSDN5名作案者被拘，同时给予CSDN行政警告处罚，这是落实等级保护制度以来的首例“罚单”。发掘信息保护需求发掘信息保护需求v上述信息系统在政策合规性方面的要求并不高，但是其安全事件却产生了较大影响v上述事件都是由于没有有效识别自身业务的安全风险（如个人隐私保护），没有提出安全目标、没有制定安全基线，导致没有实施原本必要的安全措施而产生的ISSEISSE过程过程发掘信息保护需求确定系统安全要求设计系统安全体系结

31、构开展详细安全设计实施系统安全评估信息保护有效性确定系统安全要求确定系统安全要求v本阶段主要活动 明确保障目标 明确系统边界（网络、应用、数据）识别数据流 定义安全基线 获得认可确定系统安全要求确定系统安全要求v明确保障目标。信息安全是信息化的重要组成部分，信息化是业务发展的重要组成部分，应根据业务目标和信息系统的目标来确定信息安全保障策略我们保障的目标是：业务安全，我们保障的目标是：业务安全，而不是简单的而不是简单的IT安全安全确定系统安全要求确定系统安全要求v识别系统的背景（边界、接口、数据流等）例：识别网络边界确定系统安全要求确定系统安全要求v识别系统的背景（边界、接口、数据流等）例：识

32、别应用接口和边界确定系统安全要求确定系统安全要求v识别系统的背景（边界、接口、数据流等）例：识别业务流确定系统安全要求确定系统安全要求v信息系统用途、架构等特征对安全风险特征的影响 任何系统都是有风险的 同样一项IT技术应用在不同的业务系统中，其风险程度不一定相同，甚至千差万别 同等的应用系统，采用不同的技术架构，其安全风险也是不同的确定系统安全要求确定系统安全要求66高风险高风险低风险低风险网上银行系统和某公司的内部办公系统，同样采用Oracle数据库，但是两个系统面临的安全风险是完全不同的确定系统安全要求确定系统安全要求同样部署在省级单位的*系统数据库，在A省采用汇聚交换机，集中管理方式；

33、在B省采用直连核心交换机，分散管理方式。两种不同的部署方式，也使得其面临的风险迥异A省省B省省确定系统安全要求确定系统安全要求v综上，从信息安全工程/保障的角度定义或描述信息系统时，应以保障业务安全的思想为基础，清楚认识业务安全风险以及为业务提供服务/支撑的信息系统的安全风险，从而科学、全面地认识信息系统及其安全属性。ISSEISSE过程过程发掘信息保护需求确定系统安全要求设计系统安全体系结构开展详细安全设计实施系统安全评估信息保护有效性设计系统安全体系结构设计系统安全体系结构v定义与设计的区别设计系统安全体系结构设计系统安全体系结构v设计步骤设计系统安全体系结构设计系统安全体系结构v该阶段的

34、主要活动 分析体系结构 选择安全机制类型 设计安全体系结构 修改、选择、确认安全体系设计设计系统安全体系结构设计系统安全体系结构v信息安全建设必须与信息系统建设同步设计 安全是信息系统建设过程的重要组成部分，忽视了安全的信息化建设是不完整的 信息系统建设与信息安全建设同步设计可以避免重复投资，增强效益设计系统安全体系结构设计系统安全体系结构v案例1 某单位在信息化建设立项阶段，高举风险评估、等级保护大旗，提出“以风险评估为依据、以等级保护为基准”，保障信息化建设的安全性，却在预算中没有风险评估经费；在需求书中明确了边界防护安全需求，却没有后续的安全设计。访谈其管理人员得到回答：“安全只是保障信

35、息化经费能够充足的一种手段”安全不能只停留在立项报告、风险评估报告和需求书中，不是为了通过评审和立项需要而做的“假把式”设计信息保护系统设计信息保护系统v案例2 某单位网络扩容和安全建设项目，首先更换了交换机设备，欲再使用802.1X认证技术部署网络准入产品，发现新增交换机无法匹配网络准入产品的认证机制，于是再次更换全部楼层交换，问题得到解决。这表面上是产品的普适性问题，根源是信息化建设在设计、部署过程缺乏统一的安全考虑。信息系统建设与信息安全建设同步设计可以避免重复投资，增强效益设计系统安全体系结构设计系统安全体系结构v根据安全需求有针对性地设计安全措施是非常必要的 安全设计要依据安全需求

36、安全设计要具备可行性和一定的前瞻性 达到风险需求设计的一致性和协调性设计信息保护系统设计信息保护系统v案例3 某行业欲解决病毒防治问题，在部署了防病毒软件后，提出建立病毒爆发事前预警机制，于是开展了部署“防病毒预警”产品。病毒预警的功能实际上就是病毒日志的汇总和统计 所谓预警，目前只能做到用前5天的数据，预测后1天的病毒，且误差在2天左右 病毒预警产品只支持特定品牌的防病毒软件 诸多省级单位为了适应该预警系统，更换了原有的防病毒软件，使特定品牌的病毒软件“统一江湖”安全设计要具备可行性设计系统安全体系结构设计系统安全体系结构设计系统安全体系结构设计系统安全体系结构v信息安全设计要注重高效性 安

37、全产品不是万能药 技术管理并重，疏导结合的思想应在设计中予以充分体现发掘信息保护需求确定系统安全要求设计系统安全体系结构开展详细安全设计实施系统安全评估信息保护有效性ISSEISSE过程过程开展详细安全设计开展详细安全设计v本阶段的主要活动 确保详细设计遵循结构设计 选择具体的安全产品/服务 设计安全产品/服务中应具备的安全机制（如配置策略等）制定实施操作指南 取得认可开展详细安全设计开展详细安全设计v 在开展详细安全设计应注意的主要环节：数据的正确处理 输入数据的校验 范围之外的值 无效数据类型 丢失或不完整的数据 未授权或非法的输入：防止缓冲区溢出和代码注入 数据处理过程控制 处理的时间顺

38、序 发生故障后运行的程序 系统失效或处理错误后的恢复 输出数据的验证 输出的去向正确 数据的准确性、完备性和精确性开展详细安全设计开展详细安全设计v在开展详细安全设计应注意的主要环节：加密控制 选择适当的加密算法类型、强度和质量 选择加密的通信线路和加密内容 制定密钥管理的方法 密钥的分发方式 密钥的保存 密钥的更新方式 密钥遗失、泄露和破坏后的处理方法 密钥的撤销和销毁开展详细安全设计开展详细安全设计v在开展详细安全设计应注意的主要环节：系统资源的安全 系统软件安装控制：选择安全的系统软件、安装必要的组件、防止盗版的安装、及时更新 系统测试数据的保护：尽量不用真实生产数据，如果必须用，注意对

39、拷贝过程进行控制、对测试系统的访问控制、测试之后信息清除、有效的审计措施 应用系统源代码保护：运行系统尽量不保留源代码 对源代码库进行访问控制 管理向程序员发布源代码 源代码库的有效审计ISSEISSE过程过程发掘信息保护需求确定系统安全要求设计系统安全体系结构开展详细安全设计实施系统安全评估信息保护有效性实施系统安全实施系统安全v该阶段的主要活动 实现详细设计 检验实现效果（功能的可用性、安全的有效性等）根据安全设计对实现进行验证 参与系统组件的集成，确保其满足了系统安全规范，且未改变组件的规范 参与系统组件的配置，确保安全特性已经激活，且安全参数已得到正确设置，能够提供所需的安全服务 记录

40、实施过程 支持测试与评估（建立测试评估基线、用例等）监督验证、更新风险分析实施系统安全实施系统安全v购买/开发采购v建设、集成v测试、认证实施系统安全实施系统安全v证实已经实现了的系统能够对抗原始风险评估中识别的威胁；初验、试运行、终验等重要工程过程是确保详细安全设计能够落实的重要环节v输入并评审进化系统生命期支持计划、运行程序和维护培训材料；为最终系统有效性评估准备常规信息保护评估 实施系统安全并不单单是技术措施的落实，还包含有后续运维管理（安全管理、风险评估）、人员等多方面的因素实施系统安全实施系统安全v案例1 某部委开展网络改造建设项目，实施方案中安排首先完成网络割接，之后进行防火墙部署

41、和配置，再后进行VLAN划分，导致系统频繁出现网络中断，疲于应急。安全建设是信息化建设的重要保障和基础，不能分割置之实施系统安全实施系统安全v案例2 某部委开展应用系统建设项目，由于在开发过程中没有使用必要的安全控制措施（安全编程、数据正确性处理），导致系统出现诸多注入、溢出等漏洞，危害系统安全。信息化建设中必须引入必要的安全控制手段和措施 安全手段和措施必须与信息化建设同步落实到位实施系统安全实施系统安全v安全工程应重点把握：风险、需求、设计、实施的一致性和协调性风险风险需求需求设计设计实施实施实施系统安全实施系统安全v案例3 某行业开展对重要网络设备和服务器设备的安全审计项目 设计方案中要

42、求各省级单位把核心网络设备、核心系统的主机设备、边界安全设备等纳入审计范围 实施过程中由于产品通用性差、各单位有瞒报数据企图等原因，导致审计范围缩水严重，没有达到预期效果 安全措施部署和实施要依据安全设计实施系统安全实施系统安全v案例4 某行业采购了一批网络行为管理产品，加强对互联网访问的管理和审计 在该产品到货验收时发现，到货产品的外观与送检产品的外观不一致 要求其把到货产品交予检测机构进行比对测试 根据比对测试结果，判断其是否能够在工程中予以继续应用 部署过程应重点关注变更环节信息系统安全工程信息系统安全工程ISSEISSE发掘信息保护需求确定系统安全要求设计系统安全体系结构开展详细安全设

43、计实施系统安全评估信息保护有效性评估信息保护有效性评估信息保护有效性v要在多项活动中评估信息保护的有效性：发掘信息保护需求、定义系统安全要求、定义系统安全体系结构、开展详细的安全设计以及实施系统安全。“评估信息保护的有效性”中的各项任务和子任务已经列入上述的活动中。评估信息保护有效性评估信息保护有效性评估信息保护有效性评估信息保护有效性v信息安全工作需要覆盖系统全生命周期 信息安全工作不是一劳永逸的，需要在全生命周期予以重视 要与风险管理、安全保障等思想相结合，综合认识信息安全问题是覆盖全生命周期v持续的风险评估和风险控制是保障系统安全的必要工作 持续的风险评估是信息安全保障的一项基础性工作 持续的风险评估为新的安全决策和需求提供重要依据持续的风险评估是持续的风险评估是信息安全保障的一信息安全保障的一项基础性工作项基础性工作持续的风险评估为新持续的风险评估为新的安全决策和需求提供的安全决策和需求提供重要依据重要依据评估信息保护系统的有效性评估信息保护系统的有效性ISSEISSE应用情况应用情况v参与对其他信息保护和系统工程学科的综合应用v将ISSE过程与系统工程、采办工程相结合v以验证信息保护设计方案并确认信息保护的需求为目的，对系统进行测试v根据需要对整个过程进行扩充和剪裁，提供系统部署后的进一步测试谢谢，请提问题！谢谢，请提问题！100