第七课-信息系统安全保障体系结构标准-信息安全体系结构课件.ppt

1、12 3 介绍介绍 NIST FISMA相关计划相关计划 安全控制安全控制 安全认证和认可安全认证和认可 摘要摘要456 高度交互的环境，全球网络中遍布强大的高度交互的环境，全球网络中遍布强大的计算设备和互联的大系统计算设备和互联的大系统 联邦机构在日常中总与工业界、个体公民、联邦机构在日常中总与工业界、个体公民、州和地方政府以及其他国家政府相往来州和地方政府以及其他国家政府相往来 当今系统和网络的复杂性为信息技术的生当今系统和网络的复杂性为信息技术的生产商和消费者带来了巨大的安全挑战产商和消费者带来了巨大的安全挑战7 Internet上到处都有功能强大的攻击工具，上到处都有功能强大的攻击工具

2、，任何人都可得到任何人都可得到 大众之间已经拥有了能花得起钱、功能强大众之间已经拥有了能花得起钱、功能强大的计算平台，足以发起复杂的攻击大的计算平台，足以发起复杂的攻击 制造一起危害性特别严重的攻击事件所花制造一起危害性特别严重的攻击事件所花费的技能和熟练度并不高费的技能和熟练度并不高后果后果:攻击的攻击的熟练度熟练度在增长，但攻击者的在增长，但攻击者的熟练度熟练度要求却不高。要求却不高。8 要在有限的预算内对信息系统给予足够要在有限的预算内对信息系统给予足够的保护的保护 要改变现在的习惯：要改变现在的习惯：“先连上先连上然后才问是否安全然后才问是否安全”要在下述方面制定标准要在下述方面制定标

3、准:信息系统安全控制信息系统安全控制 用于评估这些控制的有效性的验证流用于评估这些控制的有效性的验证流程程9建设更安全的系统，需要建设更安全的系统，需要 精心定义的系统级安全要求和安全规范精心定义的系统级安全要求和安全规范 精心设计的组件产品精心设计的组件产品 良好的系统安全工程实践经验良好的系统安全工程实践经验 合格的系统安全工程师合格的系统安全工程师 用于产品用于产品/系统测试、评价和评估的适宜系统测试、评价和评估的适宜准则准则 综合的系统安全规划和生命周期管理综合的系统安全规划和生命周期管理10安全链中的各节安全链中的各节（基于技术的若干例子）基于技术的若干例子）访问控制机制访问控制机制

4、 标识和鉴别设备标识和鉴别设备 审计机制审计机制 加密机制加密机制 防火墙防火墙 智能卡智能卡 生物认证生物认证安全链中的各节安全链中的各节（基于非技术的若干例子）（基于非技术的若干例子）物理安全物理安全 人员安全人员安全 流程安全流程安全 风险管理风险管理 安全策略安全策略 安全规划安全规划 应急规划应急规划攻击者寻找的是最弱的环节攻击者寻找的是最弱的环节你的最弱环节何在？你的最弱环节何在？11建立更安全系统的工作需要如下方面来促进建立更安全系统的工作需要如下方面来促进 标准化的安全要求和规范标准化的安全要求和规范 政府发起的保护轮廓开发项目政府发起的保护轮廓开发项目 私营部门对保护轮廓的贡

5、献私营部门对保护轮廓的贡献 组件级的产品测试和评估项目组件级的产品测试和评估项目 NIAP CC评估和认证制度评估和认证制度 NIST密码模块认证项目密码模块认证项目 安全实施指南安全实施指南 NIST特别出版物特别出版物 国防部安全技术实施指南国防部安全技术实施指南 国家安全局安全参考指南国家安全局安全参考指南 安全认证和认可安全认证和认可1213 “每一个联邦机构应该开发、记录并实现一每一个联邦机构应该开发、记录并实现一个机构级的信息安全项目，以向用来支撑本个机构级的信息安全项目，以向用来支撑本机构的运行及资产的信息和信息系统提供信机构的运行及资产的信息和信息系统提供信息安全，包括那些由另

6、一个联邦机构、合同息安全，包括那些由另一个联邦机构、合同商或其他来源提供或管理的信息和信息系商或其他来源提供或管理的信息和信息系统统”2002 2002年信息安全管理法案年信息安全管理法案14 制定标准，供联邦机构对其信息和信息系统分制定标准，供联邦机构对其信息和信息系统分类时所用，针对相应的风险级提供适度的信息类时所用，针对相应的风险级提供适度的信息安全安全 制定指南，建议各种信息和信息系统如何归入制定指南，建议各种信息和信息系统如何归入FIPS 199中提出的类别之中中提出的类别之中 为每一类别的信息和信息系统制定最小的信息为每一类别的信息和信息系统制定最小的信息安全要求（管理、运行和技术

7、类安全控制）安全要求（管理、运行和技术类安全控制）15管理和预算办公室（管理和预算办公室（OMB）A-130通告联邦通告联邦信息资源管理要求各联邦机构：信息资源管理要求各联邦机构：制定安全计划制定安全计划 确保适宜的官员被分配了安全责任确保适宜的官员被分配了安全责任 在系统运行之前对其进行授权，并在此后定在系统运行之前对其进行授权，并在此后定期进行重授权期进行重授权 16 第第I阶段：阶段：制定如下方面的标准和指南：制定如下方面的标准和指南：联邦信息和信息系统的分类联邦信息和信息系统的分类为联邦信息系统选择和规定安全控制为联邦信息系统选择和规定安全控制验证联邦信息系统安全控制的有效性验证联邦信

8、息系统安全控制的有效性 第第II阶段：阶段：建立一个国家级的、由经过认建立一个国家级的、由经过认可的机构组成的网络，能够基于可的机构组成的网络，能够基于NIST标标准和指南提供成本有效的、高质量的安全准和指南提供成本有效的、高质量的安全评估服务评估服务17 更加一致和可比的信息系统安全控制规范更加一致和可比的信息系统安全控制规范 更加一致、可比和可重复的信息系统级评估更加一致、可比和可重复的信息系统级评估 为负责授权的官员提供更加完备和可靠的安全为负责授权的官员提供更加完备和可靠的安全相关信息相关信息 更好地理解复杂的信息系统及其相关风险和脆更好地理解复杂的信息系统及其相关风险和脆弱性弱性 更

9、多更好的安全认证服务更多更好的安全认证服务18信息安全项目信息安全项目机构的信息和信息系统机构的信息和信息系统 SP 800-37 SP 800-53A安全控制有效安全控制有效 性的验证性的验证 （认证）（认证）通过安全测试与评估，衡量信息系统中安全控制的有效性根据保密性、完整性和可用性方面存在的风险程度，定义信息和信息系统的类别信息和信息系统分类信息和信息系统分类 FIPS 199 SP 800-60记录安全需求以及规划中或已部署的信息和信息系统保护安全控制安全规划安全规划 SP 800-18分析信息系统的威胁和脆弱性以及机构的运行和资产可能因保密性、完整性和可用性的损失而遭到的潜在影响和危

10、害风险评估风险评估 SP 800-30安全授权安全授权 （认可）认可）基于控制的有效性和残余风险，机构的高级官员授权信息系统可以处理、存储或传输信息 SP 800-37安全控制的选择和实安全控制的选择和实施施规划中或已经部署的用来保护信息与信息系统的管理、技术和运行控制（即安全措施和对策）FIPS 200 SP 800-5319 制定标准，用于供联邦机构对其信息和信制定标准，用于供联邦机构对其信息和信息系统息系统分类分类时所用，针对相应的风险级提时所用，针对相应的风险级提供适度的信息安全供适度的信息安全 与联邦的整体体系结构相联系，在参考模与联邦的整体体系结构相联系，在参考模型中体现型中体现安

11、全可追踪性安全可追踪性20 各机构将具有一种标准化的手段来判断哪些各机构将具有一种标准化的手段来判断哪些基线安全控制是在有效地保护信息和信息系基线安全控制是在有效地保护信息和信息系统时所需的，以：统时所需的，以：完成机构的使命完成机构的使命 保护机构的资产保护机构的资产 维护机构的日常职能维护机构的日常职能 保护个人保护个人21FIPS 199适用于：适用于：联邦政府内除下列信息外的所有信息：根据联邦政府内除下列信息外的所有信息：根据修订过的修订过的12958号行政令或此前的任何相关号行政令或此前的任何相关命令，或根据修订过的命令，或根据修订过的1954年原子能法案年原子能法案要求得到保护，防

12、止未授权泄露，且被标识要求得到保护，防止未授权泄露，且被标识为涉密状态的信息为涉密状态的信息 除根据美国法典第除根据美国法典第44编第编第3542(b)(2)定义的定义的国家安全系统外的所有的联邦信息系统国家安全系统外的所有的联邦信息系统22 保密性保密性“信息的访问和披露要经过授权，包括保护个人隐信息的访问和披露要经过授权，包括保护个人隐私和专属信息的手段。私和专属信息的手段。”美国法典第美国法典第44编第编第3542款款 完整性完整性“防止对信息进行不适当的修改或破坏，包括确保防止对信息进行不适当的修改或破坏，包括确保信息的不可否认性和真实性。信息的不可否认性和真实性。”美国法典第美国法典

13、第44编第编第3542款款 可用性可用性“确保可以及时可靠地访问和使用信息。确保可以及时可靠地访问和使用信息。”美国法典美国法典第第44编第编第3542款款 23保密性保密性损失损失 非授权泄漏信息非授权泄漏信息完整性完整性损失损失 非授权修改或破坏信息非授权修改或破坏信息可用性可用性损失损失 无法使用信息或信息系统无法使用信息或信息系统24 当下列情况发生时，可能的影响为当下列情况发生时，可能的影响为低低保密性、完整性或可用性的损失会给组织的运行、保密性、完整性或可用性的损失会给组织的运行、资产或个人带来资产或个人带来有限的负面影响有限的负面影响。进一步解释进一步解释:例如，有限的负面影响意

14、味着保密性、例如，有限的负面影响意味着保密性、完整性或可用性的损失可能：（完整性或可用性的损失可能：（i）引起使命能力）引起使命能力的降低，其程度和持续时间使组织仍能够履行其主的降低，其程度和持续时间使组织仍能够履行其主要职能，但职能的效果有了明显的下降；（要职能，但职能的效果有了明显的下降；（ii）对）对组织的资产造成较小的破坏；（组织的资产造成较小的破坏；（iii）造成了较小）造成了较小的金融损失；（的金融损失；（iv）对人员造成了较小的不利影）对人员造成了较小的不利影响。响。25 当下列情况发生时，可能的影响为当下列情况发生时，可能的影响为中中保密性、完整性或可用性的损失会给组织的运行、

15、保密性、完整性或可用性的损失会给组织的运行、资产或个人带来资产或个人带来较大的负面影响较大的负面影响。进一步解释进一步解释:例如，较大的负面影响意味着保密性、例如，较大的负面影响意味着保密性、完整性或可用性的损失可能：（完整性或可用性的损失可能：（i）引起使命能力）引起使命能力的较大降低，其程度和持续时间使组织仍能够履行的较大降低，其程度和持续时间使组织仍能够履行其主要职能，但职能的效果有了较大的下降；（其主要职能，但职能的效果有了较大的下降；（ii）对组织的资产造成较大的破坏；（对组织的资产造成较大的破坏；（iii）造成了较）造成了较大的金融损失；（大的金融损失；（iv）对人员造成了较大的不

16、利）对人员造成了较大的不利影响，但不涉及到生命或肢体的损失。影响，但不涉及到生命或肢体的损失。26 当下列情况发生时，可能的影响为当下列情况发生时，可能的影响为高高保密性、完整性或可用性的损失会给组织的运行、资产保密性、完整性或可用性的损失会给组织的运行、资产或个人带来或个人带来严重的或灾难性的负面影响严重的或灾难性的负面影响。进一步解释进一步解释:例如，严重的灾难性的负面影响意味着保例如，严重的灾难性的负面影响意味着保密性、完整性或可用性的损失可能：（密性、完整性或可用性的损失可能：（i）引起使命能）引起使命能力的巨大降低，其程度和持续时间使组织已无法履行其力的巨大降低，其程度和持续时间使组

17、织已无法履行其一项或多项主要职能；（一项或多项主要职能；（ii）对组织的资产造成巨大的）对组织的资产造成巨大的破坏；（破坏；（iii）造成了巨大的金融损失；（）造成了巨大的金融损失；（iv）对人员）对人员造成了严重的或灾难性的不利影响，涉及到了生命或肢造成了严重的或灾难性的不利影响，涉及到了生命或肢体的损失。体的损失。27低低中中高高保密性保密性信息的非授权泄露信息的非授权泄露会给组织的运行、会给组织的运行、资产或个人带来有资产或个人带来有限的负面影响。限的负面影响。信息的非授权泄露信息的非授权泄露会给组织的运行、会给组织的运行、资产或个人带来较资产或个人带来较大的负面影响。大的负面影响。信息

18、的非授权泄露信息的非授权泄露会给组织的运行、会给组织的运行、资产或个人带来严资产或个人带来严重的或灾难性的负重的或灾难性的负面影响。面影响。完整性完整性信息的非授权修改信息的非授权修改或破坏会给组织的或破坏会给组织的运行、资产或个人运行、资产或个人带来有限的负面影带来有限的负面影响。响。信息的非授权修改信息的非授权修改或破坏会给组织的或破坏会给组织的运行、资产或个人运行、资产或个人带来较大的负面影带来较大的负面影响。响。信息的非授权修改信息的非授权修改或破坏会给组织的或破坏会给组织的运行、资产或个人运行、资产或个人带来严重的或灾难带来严重的或灾难性的负面影响。性的负面影响。可用性可用性信息或信

19、息系统无信息或信息系统无法访问、无法使用法访问、无法使用会给组织的运行、会给组织的运行、资产或个人带来有资产或个人带来有限的负面影响。限的负面影响。信息或信息系统无信息或信息系统无法访问、无法使用法访问、无法使用会给组织的运行、会给组织的运行、资产或个人带来较资产或个人带来较大的负面影响。大的负面影响。信息或信息系统无信息或信息系统无法访问、无法使用法访问、无法使用会给组织的运行、会给组织的运行、资产或个人带来严资产或个人带来严重的或灾难性的负重的或灾难性的负面影响。面影响。举例举例:对使命而言很关键的信息及信息系统对使命而言很关键的信息及信息系统将信息及信息将信息及信息系统的类型映系统的类型

20、映射到射到FIPS 199安全类别之中安全类别之中28举例举例:对使命而言很关键的信息及信息系统对使命而言很关键的信息及信息系统将信息及信息将信息及信息系统的类型映系统的类型映射到射到FIPS 199安全类别之中安全类别之中对高影响系统的基对高影响系统的基线安全控制线安全控制低低中中高高保密性保密性信息的非授权泄露信息的非授权泄露会给组织的运行、会给组织的运行、资产或个人带来有资产或个人带来有限的负面影响。限的负面影响。信息的非授权泄露信息的非授权泄露会给组织的运行、会给组织的运行、资产或个人带来较资产或个人带来较大的负面影响。大的负面影响。信息的非授权泄露信息的非授权泄露会给组织的运行、会给

21、组织的运行、资产或个人带来严资产或个人带来严重的或灾难性的负重的或灾难性的负面影响。面影响。完整性完整性信息的非授权修改信息的非授权修改或破坏会给组织的或破坏会给组织的运行、资产或个人运行、资产或个人带来有限的负面影带来有限的负面影响。响。信息的非授权修改信息的非授权修改或破坏会给组织的或破坏会给组织的运行、资产或个人运行、资产或个人带来较大的负面影带来较大的负面影响。响。信息的非授权修改信息的非授权修改或破坏会给组织的或破坏会给组织的运行、资产或个人运行、资产或个人带来严重的或灾难带来严重的或灾难性的负面影响。性的负面影响。可用性可用性信息或信息系统无信息或信息系统无法访问、无法使用法访问、

22、无法使用会给组织的运行、会给组织的运行、资产或个人带来有资产或个人带来有限的负面影响。限的负面影响。信息或信息系统无信息或信息系统无法访问、无法使用法访问、无法使用会给组织的运行、会给组织的运行、资产或个人带来较资产或个人带来较大的负面影响。大的负面影响。信息或信息系统无信息或信息系统无法访问、无法使用法访问、无法使用会给组织的运行、会给组织的运行、资产或个人带来严资产或个人带来严重的或灾难性的负重的或灾难性的负面影响。面影响。29 制定指南，建议各种信息和信息系统如何归入制定指南，建议各种信息和信息系统如何归入FIPS 199中提出的类别之中中提出的类别之中 NIST还制定了：还制定了：SP

23、 800-60如何将各种信息和信息系如何将各种信息和信息系统映射到安全类别的指南统映射到安全类别的指南30 为每一类别的信息和信息系统制定最为每一类别的信息和信息系统制定最小的信息安全要求（管理、运行和技小的信息安全要求（管理、运行和技术类安全控制）术类安全控制）NIST还制定了：还制定了：FIPS 200联邦信息系统最小联邦信息系统最小安全控制安全控制31 提供了大量的信息系统安全控制（并入了提供了大量的信息系统安全控制（并入了NIST SP 800-26、DoD8500、D/CID6-3、ISO/IEC 17799、GAO FISCAM、HHS-CMS）为为FIPS 199中各个类别的信息

24、系统建议了基线中各个类别的信息系统建议了基线（最小）安全控制（最小）安全控制 提供了供各机构裁剪机线安全控制的指南提供了供各机构裁剪机线安全控制的指南32 定期测试和评估信息安全策略、流程以及定期测试和评估信息安全策略、流程以及措施（管理、运行、技术类安全控制）的措施（管理、运行、技术类安全控制）的有效性。有效性。NIST发布了：发布了：SP 800-37联邦信息系统安全认证和认可指联邦信息系统安全认证和认可指南南SP 800-53A联邦信息系统安全有效性验证联邦信息系统安全有效性验证技术和流程技术和流程33 建立了用以对联邦政府行政部门内的信息系统建立了用以对联邦政府行政部门内的信息系统进行

25、认证和认可的指南（包括任务和子任务）进行认证和认可的指南（包括任务和子任务）可适用于可适用于FISMA中定义的非国家安全系统中定义的非国家安全系统 替代了替代了FIPS 10234 提供了标准化的技术和流程，用于独立的认证提供了标准化的技术和流程，用于独立的认证人员去验证安全控制的有效性人员去验证安全控制的有效性 为为SP 800-53中的每一种安全控制提供了单一的中的每一种安全控制提供了单一的基线验证流程基线验证流程 允许各机构附加其它的验证技术和流程允许各机构附加其它的验证技术和流程35信息安全项目信息安全项目机构的信息和信息系统机构的信息和信息系统 SP 800-37 SP 800-53

26、A安全控制有效安全控制有效 性的验证性的验证 （认证）（认证）通过安全测试与评估，衡量信息系统中安全控制的有效性根据保密性、完整性和可用性方面存在的风险程度，定义信息和信息系统的类别信息和信息系统分类信息和信息系统分类 FIPS 199 SP 800-60记录安全需求以及规划中或已部署的信息和信息系统保护安全控制安全规划安全规划 SP 800-18分析信息系统的威胁和脆弱性以及机构的运行和资产可能因保密性、完整性和可用性的损失而遭到的潜在影响和危害风险评估风险评估 SP 800-30安全授权安全授权 （认可）认可）基于控制的有效性和残余风险，机构的高级官员授权信息系统可以处理、存储或传输信息

27、SP 800-37安全控制的选择和实安全控制的选择和实施施规划中或已经部署的用来保护信息与信息系统的管理、技术和运行控制（即安全措施和对策）FIPS 200 SP 800-533637 包含大约包含大约170条条 根据类（根据类（classes）和族（和族（families）组织组织 包括包括3个级别的安全控制强健性（基本级、增个级别的安全控制强健性（基本级、增强级、强壮级）强级、强壮级）本质上是动态的，允许修改和扩展，以满足不本质上是动态的，允许修改和扩展，以满足不断变化的需求和技术断变化的需求和技术38 管理控制管理控制 针对针对IT系统的安全管理以及系统风险管理系统的安全管理以及系统风险

28、管理 运行控制运行控制 针对主要由人（与系统相对）来实施和执行的安全针对主要由人（与系统相对）来实施和执行的安全机制机制 技术控制技术控制 针对包含在计算机系统中并由计算机系统来执行的针对包含在计算机系统中并由计算机系统来执行的安全机制安全机制39 风险管理风险管理 安全规划安全规划 系统和服务的采办系统和服务的采办 安全控制的检查安全控制的检查 处理授权处理授权40 人员安全人员安全 介质保护介质保护 物理和环境保护物理和环境保护 应急规划和运行应急规划和运行 管理配置管理配置 事件响应事件响应41 硬件和软件维护硬件和软件维护 系统和数据完整性系统和数据完整性 安全意识、培训和教育安全意识

29、、培训和教育42 标识和鉴别标识和鉴别 逻辑访问控制逻辑访问控制 可追究性（包括审计跟踪）可追究性（包括审计跟踪）系统和通信保护系统和通信保护43 三套基线（最小三套基线（最小）安全控制是为安全控制是为FIPS 199中的中的不同安全类别定义的不同安全类别定义的 在相应基线（即低、中、高）中的每一套安全在相应基线（即低、中、高）中的每一套安全控制可对抗预计的威胁控制可对抗预计的威胁 对于可以确定的威胁源，基线安全控制可以提对于可以确定的威胁源，基线安全控制可以提供：（供：（i）全面的对抗；（）全面的对抗；（ii）部分的对抗；或）部分的对抗；或者（者（iii）不对抗）不对抗44 基线安全控制为一

30、个组织在选择安全控制时提基线安全控制为一个组织在选择安全控制时提供了出发点供了出发点 安全控制可以由组织根据风险评估的结果和安全控制可以由组织根据风险评估的结果和/或特定的安全要求（例如或特定的安全要求（例如HIPAA、GLP法案）法案）进行裁减进行裁减45 SP 800-53根据如下方面刻画了威胁源：根据如下方面刻画了威胁源：类型类型 能力能力 资源资源 意图意图46 本地的本地的 攻击者在物理上需要位于被攻击的信攻击者在物理上需要位于被攻击的信息系统的地点息系统的地点 网络的网络的 攻击者的物理位置不需要位于被攻击攻击者的物理位置不需要位于被攻击的信息系统的地点的信息系统的地点攻击者是从网

31、攻击者是从网络上发起攻击的络上发起攻击的47 攻击者的熟练程度攻击者的熟练程度 低：低：攻击者只具有普通的攻击者只具有普通的IT技能，对于待攻击信技能，对于待攻击信息系统的了解有限，不使用攻击工具息系统的了解有限，不使用攻击工具 高：高：满足下列两个条件之一（或均满足）：（满足下列两个条件之一（或均满足）：（i）使用了成熟的工具（包括可从公共渠道获得的工使用了成熟的工具（包括可从公共渠道获得的工具）；（具）；（ii）攻击者使用了高级的攻击技术）攻击者使用了高级的攻击技术 对信息系统的访问位置对信息系统的访问位置 内部：内部：攻击者有可能不是信息系统的用户，或者攻击者有可能不是信息系统的用户，或

32、者是未授权的用户，也可能是授权的用户是未授权的用户，也可能是授权的用户 外部：外部：攻击者不是信息系统的用户，或者是公共攻击者不是信息系统的用户，或者是公共用户用户48 非恶意的非恶意的 攻击者的目的不是破坏信息系统或组织，而攻击者的目的不是破坏信息系统或组织，而是出于好奇或厌烦，或者仅仅是因为要挑战是出于好奇或厌烦，或者仅仅是因为要挑战智力智力 恶意的恶意的 攻击者具有破坏信息系统或组织的清晰意图，攻击者具有破坏信息系统或组织的清晰意图，旨在恶意影响组织的运行或资产旨在恶意影响组织的运行或资产49 少量的少量的 攻击者：攻击者：自己指导自己，或自己激励自己自己指导自己，或自己激励自己单干（一

33、个人或者是小的团体），没有外部单干（一个人或者是小的团体），没有外部的影响或指导的影响或指导只有少量的资源（一般少于一百万美元）只有少量的资源（一般少于一百万美元）50 中度的中度的 攻击者：攻击者：来自一个团体或组织，但不涉及到国家（例来自一个团体或组织，但不涉及到国家（例如攻击者是一个涉及商业间谍的公司，或者如攻击者是一个涉及商业间谍的公司，或者是一个涉及犯罪或恐怖主义活动的实体）是一个涉及犯罪或恐怖主义活动的实体）受到来自集团或组织的领导的充分指导和影受到来自集团或组织的领导的充分指导和影响响拥有中度规模的资源（一般少于一千万美元）拥有中度规模的资源（一般少于一千万美元）51 丰富的丰富

34、的 攻击者：攻击者：来自一个涉及到国家（例如涉及到情报搜集来自一个涉及到国家（例如涉及到情报搜集行为、信息战的国家，或是资助恐怖主义的行为、信息战的国家，或是资助恐怖主义的国家）的团体或组织国家）的团体或组织受到来自集团或组织的领导的充分指导和影受到来自集团或组织的领导的充分指导和影响，并直接处在集团或组织的控制之下响，并直接处在集团或组织的控制之下拥有大量的资源（一般大于一千万美元）拥有大量的资源（一般大于一千万美元）52 基于机制的强度和安全机制在实现时的有效基于机制的强度和安全机制在实现时的有效性保障而定义了性保障而定义了3种级别的强健性（基本级、种级别的强健性（基本级、增强级、强壮级）

35、增强级、强壮级）根据安全控制的设计质量、开发方法学、开根据安全控制的设计质量、开发方法学、开发过程的成熟性、测试和评估的严格程度而发过程的成熟性、测试和评估的严格程度而定义了保障定义了保障53CR-2脆弱性扫描脆弱性扫描控制目标：控制目标：部署并有效实施了用来定期扫描脆弱性的流程和机制。部署并有效实施了用来定期扫描脆弱性的流程和机制。CR-2.b 基本控制：基本控制：机构实施了脆弱性评估工具；开发了评估工具的实施流程，机机构实施了脆弱性评估工具；开发了评估工具的实施流程，机 构的人员得到了对评估工具的操作培训。机构能够时隔构的人员得到了对评估工具的操作培训。机构能够时隔赋值：时间；例如：每赋值

36、：时间；例如：每6个月个月通过脆弱性检测工具来扫描信息系统，从而测试信息系统的安全态势。通过脆弱性检测工具来扫描信息系统，从而测试信息系统的安全态势。54CR-2脆弱性扫描脆弱性扫描控制目标：控制目标：部署并有效实施了用来定期扫描脆弱性的流程和机制。部署并有效实施了用来定期扫描脆弱性的流程和机制。CR-2.e 增强的控制：增强的控制：机构实施了脆弱性评估工具；开发了评估工具的实施流程，机构实施了脆弱性评估工具；开发了评估工具的实施流程，机机 构的人员得到了对评估工具的操作培训。机构能够时隔构的人员得到了对评估工具的操作培训。机构能够时隔赋值：时间；例如：赋值：时间；例如：每每6个月个月通过脆弱

37、性检测工具来扫描信息系统，从而测试信息系统的安全态势。通过脆弱性检测工具来扫描信息系统，从而测试信息系统的安全态势。脆弱性扫描工具包括即时升级脆弱性列表的能力。脆弱性列表要至少在每次定期脆弱性扫描工具包括即时升级脆弱性列表的能力。脆弱性列表要至少在每次定期扫描之前得到升级。脆弱性扫描的流程包括：在列表升级时扫描，且当一个重大扫描之前得到升级。脆弱性扫描的流程包括：在列表升级时扫描，且当一个重大的新脆弱性被宣布时也要进行扫描。的新脆弱性被宣布时也要进行扫描。55CR-2脆弱性扫描脆弱性扫描控制目标：控制目标：部署并有效实施了用来定期扫描脆弱性的流程和机制。部署并有效实施了用来定期扫描脆弱性的流程

38、和机制。CR-2.s 强壮的控制：强壮的控制：机构实施了脆弱性评估工具；开发了评估工具的实施流程，机构实施了脆弱性评估工具；开发了评估工具的实施流程，机机 构的人员得到了对评估工具的操作培训。机构能够时隔构的人员得到了对评估工具的操作培训。机构能够时隔赋值：时间；例如：赋值：时间；例如：每每6个月个月通过脆弱性检测工具来扫描信息系统，从而测试信息系统的安全态势。通过脆弱性检测工具来扫描信息系统，从而测试信息系统的安全态势。脆弱性扫描工具包括即时升级脆弱性列表的能力。脆弱性列表要至少在每次定期脆弱性扫描工具包括即时升级脆弱性列表的能力。脆弱性列表要至少在每次定期扫描之前得到升级。脆弱性扫描的流程

39、包括：在列表升级时扫描，且当一个重大扫描之前得到升级。脆弱性扫描的流程包括：在列表升级时扫描，且当一个重大的新脆弱性被宣布时也要进行扫描。的新脆弱性被宣布时也要进行扫描。脆弱性扫描流程还包括确保扫描全面性的手脆弱性扫描流程还包括确保扫描全面性的手段，不管是在所检查的脆弱性方面，还是在所扫描的信息资源方面。段，不管是在所检查的脆弱性方面，还是在所扫描的信息资源方面。56 判断是否遵循了法律、行政令、指令、政策或规章判断是否遵循了法律、行政令、指令、政策或规章（例如（例如HIPAA）中提出的安全要求，这要将这些要求中提出的安全要求，这要将这些要求映射到安全控制中映射到安全控制中 所选择的安全控制可

40、以在信息系统中实现所选择的安全控制可以在信息系统中实现 安全控制的有效性可以通过安全认证过程得到验证安全控制的有效性可以通过安全认证过程得到验证这将导向安全认可（授权信息系统投入运行）这将导向安全认可（授权信息系统投入运行）5758 “管理层做出的决策，用来授权一个信管理层做出的决策，用来授权一个信息系统投入运行息系统投入运行这种授权是由机构的高级官员给予的，与具体的运行这种授权是由机构的高级官员给予的，与具体的运行环境相吻合，清晰地说明了机构的运行、资产或个人环境相吻合，清晰地说明了机构的运行、资产或个人所能接受的风险级别，这些风险是在实施了一致同意所能接受的风险级别，这些风险是在实施了一致

41、同意地安全控制后仍然存在的地安全控制后仍然存在的”59 “对信息系统的技术类、管理类和运行对信息系统的技术类、管理类和运行类安全控制所进行的综合评估类安全控制所进行的综合评估这种评估要对安全授权过程提供支持，它将判断安全这种评估要对安全授权过程提供支持，它将判断安全控制在一个特定环境中的有效性以及信息系统在实施控制在一个特定环境中的有效性以及信息系统在实施了安全控制之后存在的脆弱性了安全控制之后存在的脆弱性”60 授权官员授权官员 授权官员的指派代表授权官员的指派代表 信息系统拥有者信息系统拥有者 信息系统安全官信息系统安全官 认证主体认证主体 用户代表用户代表注意：机构应当对上述推荐的角色进

42、行裁减。例如，对一个小的组织而言，有可能需要制定更适合组织结构的类似角色。但这些角色的责任分离是重要的，不管组织的规模如何。61 检查和批准信息系统的安全计划检查和批准信息系统的安全计划 基于在安全认证过程中收集的信息来判断机构的运行基于在安全认证过程中收集的信息来判断机构的运行或资产中存在的残余风险或资产中存在的残余风险 做出安全认可决策，对认可包签署相关的转交证书做出安全认可决策，对认可包签署相关的转交证书（只限授权官员）（只限授权官员）检查在对信息系统运行的不断监视中做出的安全状态检查在对信息系统运行的不断监视中做出的安全状态报告报告 发起安全重认可决策发起安全重认可决策62 由授权官员

43、选择，用来协调和履行安全认证及认可过由授权官员选择，用来协调和履行安全认证及认可过程中必需的活动程中必需的活动 被授权来对如下事项做出决策：被授权来对如下事项做出决策：安全认证和认可活动的规划和资源准备安全认证和认可活动的规划和资源准备接受安全计划接受安全计划判断机构的运行和资产中的残余风险判断机构的运行和资产中的残余风险 准备最终的安全认可包准备最终的安全认可包 得到授权官员对安全认可证书的签名，将认可包转交得到授权官员对安全认可证书的签名，将认可包转交给合适的机构官员给合适的机构官员63 代表了用户的利益代表了用户的利益 准备安全计划，实施风险评估准备安全计划，实施风险评估 向机构的认证、

44、认可官员提供信息；确保认证认可过向机构的认证、认可官员提供信息；确保认证认可过程中所需的合适资源程中所需的合适资源 向认证主体提供与系统相关的必备文档向认证主体提供与系统相关的必备文档 制定行动计划（和里程碑），减少或消除信息系统中制定行动计划（和里程碑），减少或消除信息系统中的脆弱性的脆弱性 组合最终的安全认证包，提交给授权官员组合最终的安全认证包，提交给授权官员64 在所有涉及到信息系统安全的事项中作为系统拥有在所有涉及到信息系统安全的事项中作为系统拥有者的咨询人员者的咨询人员 管理信息系统的安全，并在某些情况下还要负责监管理信息系统的安全，并在某些情况下还要负责监督系统的日常运行督系统的

45、日常运行 在如下方面协助系统拥有者：在如下方面协助系统拥有者：制定并执行信息系统安全策略制定并执行信息系统安全策略组合安全认证包组合安全认证包管理和控制信息系统的变更，评估这些变更所带管理和控制信息系统的变更，评估这些变更所带来的安全影响来的安全影响65 对安全计划进行独立评估对安全计划进行独立评估 评估信息系统中的安全控制，以判断：评估信息系统中的安全控制，以判断：这些控制在具体运行环境中的有效性这些控制在具体运行环境中的有效性系统在实施完安全控制后存在的脆弱性系统在实施完安全控制后存在的脆弱性 提出校正措施建议，用以减少或消除信息系统中的提出校正措施建议，用以减少或消除信息系统中的脆弱性脆

46、弱性66 代表了用户团体的运行利益和使命要求代表了用户团体的运行利益和使命要求 标识使命和运行要求标识使命和运行要求 在整个信息系统的生命周期中担当用户团体的联络在整个信息系统的生命周期中担当用户团体的联络员员 在必要时协助安全认证和认可过程在必要时协助安全认证和认可过程67 信息安全项目经理信息安全项目经理 信息拥有者信息拥有者 运行管理员运行管理员 设备管理员设备管理员68 主应用或通用支撑系统，是硬件、软件和主应用或通用支撑系统，是硬件、软件和/或固件的或固件的通用集合通用集合 拟安装在多个位置拟安装在多个位置位置位置 A位置位置 B位置位置 C69 主应用或通用支撑系统，具有共同的使命

47、和威胁主应用或通用支撑系统，具有共同的使命和威胁/脆脆弱性弱性 一个自包含的位置处有多个组织；他们具有共同的上一个自包含的位置处有多个组织；他们具有共同的上级级70关键文档关键文档 安全计划安全计划 安全测试和评估报告安全测试和评估报告 行动和里程碑计划行动和里程碑计划71 记录安全认证的结果记录安全认证的结果 向授权官员提供重要的信息，以使其在是否允向授权官员提供重要的信息，以使其在是否允许信息系统投入运行方面做出可靠的基于风险许信息系统投入运行方面做出可靠的基于风险的决策的决策 使用来自信息系统安全官和认证主体的输入信使用来自信息系统安全官和认证主体的输入信息息72 全认可全认可 临时认可

48、临时认可 拒绝认可拒绝认可73 组织的运行和资产中的残余风险被认为完全组织的运行和资产中的残余风险被认为完全可被授权官员接受可被授权官员接受 被认可的信息系统可以在运行中没有任何重被认可的信息系统可以在运行中没有任何重大约束或限制大约束或限制 在成本有效性允许的地方，授权官员可能会在成本有效性允许的地方，授权官员可能会推荐特定的工作来减少或消除已经发现的脆推荐特定的工作来减少或消除已经发现的脆弱性弱性74 组织的运行和资产中的残余风险被认为不是可组织的运行和资产中的残余风险被认为不是可被完全接受的，但由于使命的原因，系统有强被完全接受的，但由于使命的原因，系统有强烈的需要投入运行（或继续运行）

49、烈的需要投入运行（或继续运行）在特定的时期和状态下进行受限运行在特定的时期和状态下进行受限运行但被但被告知系统在这段受限的时期内具有较高的风险告知系统在这段受限的时期内具有较高的风险75 授权官员规定的时期和状态是对信息系统运行授权官员规定的时期和状态是对信息系统运行的限制的限制 在这段受限授权的时期内，信息系统并未获得在这段受限授权的时期内，信息系统并未获得认可认可 最大可允许的时间段应该与最大可允许的时间段应该与FIPS 199中规定的中规定的安全类别相称安全类别相称76 在受限运行的时间末，信息系统应当满足全认在受限运行的时间末，信息系统应当满足全认可的要求，否则不能被授权进一步运行可的

50、要求，否则不能被授权进一步运行 只有在非常极端或有充分理由的情况下，才能只有在非常极端或有充分理由的情况下，才能被授权官员允许重新临时认可或扩展临时认可被授权官员允许重新临时认可或扩展临时认可期限，但不鼓励这样做期限，但不鼓励这样做 在临时认可的时间段内，安全控制的有效性应在临时认可的时间段内，安全控制的有效性应该得到监视该得到监视77 机构运行或资产中的残余风险被授权官员认机构运行或资产中的残余风险被授权官员认为不可接受为不可接受 拒绝认可中，信息系统不能得到认可，不能拒绝认可中，信息系统不能得到认可，不能投入运行投入运行如果信息系统已经在运行，则如果信息系统已经在运行，则所有的活动应当停止