信息平安工程-ISSELastModified:2021.12一、概述1、什么是信息平安工程；2、為什么需要信息平安工程；3、信息平安工程的開展；什么是信息平安工程為什么需要信息平安工程信息平安的特性信息平安的特性信息平安的特性信息平安的特性信息平安工程的開展早期的信息平安工程方法理論來自于系統(tǒng)工程(SE)過程方法；美國軍方最早在系統(tǒng)工程理論根底之上開發(fā)了信息系統(tǒng)平安工程〔ISSE〕，并于1994年2月28日發(fā)表了?信息系統(tǒng)平安工程手冊v1.0?；后來，在信息系統(tǒng)平安工程方法的開展上，出現(xiàn)了第二種思路：過程能力成熟度的方法，其根底是CMM〔能力成熟度模型〕；信息平安工程的開展開掘信息保護(hù)需求定義系統(tǒng)平安要求信息系統(tǒng)平安工程師要將信息保護(hù)需求分配到系統(tǒng)中。系統(tǒng)平安的背景環(huán)境、概要性的系統(tǒng)平安CONOPS以及基線平安要求均應(yīng)得到確定；在確定系統(tǒng)的平安背景環(huán)境時，需要定義系統(tǒng)的邊界以及對SE的接口，并要將平安功能分配到目標(biāo)系統(tǒng)和外部系統(tǒng)中，標(biāo)識出目標(biāo)系統(tǒng)和外部系統(tǒng)之間的數(shù)據(jù)流以及這些數(shù)據(jù)流的保護(hù)需求。IMM中的信息管理需求以及IPP中的信息保護(hù)需求均要在目標(biāo)系統(tǒng)和外部系統(tǒng)中進(jìn)行分配。在外部系統(tǒng)中的功能分配必須得到系統(tǒng)所有者的同意；信息系統(tǒng)平安工程師要確保所選擇的解決方案集能夠滿足任務(wù)或業(yè)務(wù)的平安需求，系統(tǒng)邊界已經(jīng)得到協(xié)調(diào)，并確保平安風(fēng)險可以到達(dá)可接受的級別。信息系統(tǒng)平安工程師將向客戶提交平安背景環(huán)境、平安CONOPS以及系統(tǒng)平安要求，并得到客戶的認(rèn)同；設(shè)計(jì)系統(tǒng)平安體系結(jié)構(gòu)信息系統(tǒng)平安工程師要與系統(tǒng)工程師合作，一起分析待建系統(tǒng)的體系結(jié)構(gòu)，完成功能的分析和分配，同時分配平安效勞，并選擇平安機(jī)制。信息系統(tǒng)平安工程師還應(yīng)確定平安系統(tǒng)的組件或要素，將平安功能分配給這些要素，并描述這些要素間的關(guān)系；在本項(xiàng)活動中，信息系統(tǒng)平安工程師要與系統(tǒng)工程師合作，確保平安要求能正確地流向體系結(jié)構(gòu)，且體系結(jié)構(gòu)不會對平安造成削弱；信息系統(tǒng)平安工程師要負(fù)責(zé)向目標(biāo)系統(tǒng)和外部系統(tǒng)分配平安要求，并確保外部系統(tǒng)可以支持這些平安要求；信息系統(tǒng)平安工程師還要在此項(xiàng)活動中確定高層平安機(jī)制〔例如加密和數(shù)字簽名〕，這樣，平安機(jī)制間的依賴性，例如密鑰管理和加密，才能得到討論和分配。信息系統(tǒng)平安工程師還要將平安機(jī)制與平安效勞的強(qiáng)度相匹配，落實(shí)設(shè)計(jì)中的約束因素，分析并記錄下發(fā)現(xiàn)的缺乏，實(shí)施互依賴分析，確定平安機(jī)制的可行性，并評估這些平安機(jī)制中存在的任何剩余風(fēng)險；開展詳細(xì)的平安設(shè)計(jì)信息系統(tǒng)平安工程師應(yīng)分析設(shè)計(jì)約束和均衡取舍，完成詳細(xì)的系統(tǒng)和平安設(shè)計(jì)，并考慮生命周期的支持。信息系統(tǒng)平安工程師應(yīng)將所有的系統(tǒng)平安要求跟蹤至系統(tǒng)組件，直至無一遺漏。最終的詳細(xì)平安設(shè)計(jì)結(jié)果應(yīng)反映出組件和接口標(biāo)準(zhǔn)，為系統(tǒng)實(shí)現(xiàn)時的采辦工作提供充分的信息。開展詳細(xì)的平安設(shè)計(jì)在本活動中，信息系統(tǒng)平安工程師將確保對平安體系結(jié)構(gòu)的遵循，實(shí)施均衡取舍研究，并定義系統(tǒng)平安的設(shè)計(jì)要素，包括：1〕向系統(tǒng)平安設(shè)計(jì)要素中分配平安機(jī)制；2〕確定備選的商業(yè)現(xiàn)貨〔COTS〕/政府現(xiàn)貨〔GOTS〕平安產(chǎn)品；3〕確定需要定制的平安產(chǎn)品；4〕檢驗(yàn)設(shè)計(jì)要素和系統(tǒng)接口〔內(nèi)部及外部〕；5〕制定標(biāo)準(zhǔn)〔例如CC的保護(hù)輪廓〕；實(shí)現(xiàn)系統(tǒng)平安“實(shí)現(xiàn)系統(tǒng)平安〞的目標(biāo)是采辦、集成、配置、測試、記錄和培訓(xùn)，它使系統(tǒng)從設(shè)計(jì)轉(zhuǎn)入運(yùn)行。該項(xiàng)活動的結(jié)束標(biāo)志是最終系統(tǒng)有效性評估行為，給出系統(tǒng)滿足要求和任務(wù)需求的證據(jù)；在該階段，信息系統(tǒng)平安工程師將：1〕提供對C&A過程的輸入；2〕驗(yàn)證系統(tǒng)確實(shí)能夠防御此前的威脅評估中確定的威脅；3〕跟蹤或參與信息保護(hù)保障機(jī)制在系統(tǒng)實(shí)現(xiàn)和測試活動中的運(yùn)用；4〕審查系統(tǒng)的生命周期方案、運(yùn)行流程以及運(yùn)轉(zhuǎn)培訓(xùn)材料，并向這些文檔提供輸入；5〕實(shí)施正式的信息保護(hù)評估，為最終的系統(tǒng)有效性評估作出準(zhǔn)備；6〕參與對所有系統(tǒng)事項(xiàng)作出的多學(xué)科檢查；實(shí)現(xiàn)系統(tǒng)平安選擇需要在解決方案中集成的具體平安產(chǎn)品是本階段的工作任務(wù)之一。這些產(chǎn)品可通過購置、租用、借貸等多種選擇來獲得，影響選擇的因素包括組件本錢、可用性、形式以及適宜性。其它的因素包括系統(tǒng)組件的依賴性效果、組件的最低性能可能對系統(tǒng)性能的影響以及組件或替代品在將來的可用性。不能購置的組件必須自制；所有的接口均需要測試，系統(tǒng)和設(shè)計(jì)工程師將撰寫測試流程，并通過集成測試將驗(yàn)證子系統(tǒng)或系統(tǒng)的性能；在集成和測試時，重要的一項(xiàng)工作是記錄下安裝、操作、維護(hù)和支持的流程；評估信息保護(hù)的有效性評估信息保護(hù)的有效性〞活動跨越了整個SE/ISSE過程。下表摘要描述了ISSE各項(xiàng)活動中的有效性評估任務(wù)。四、風(fēng)險分析1、資產(chǎn)保護(hù)2、風(fēng)險管理1、資產(chǎn)保護(hù)任何有效的風(fēng)險分析始于需要保護(hù)的資產(chǎn)和資源的鑒別資產(chǎn)的類型一般可分成以下4類：1〕物理資源：物理資源是具有物理形態(tài)的資產(chǎn)。包括工作站、效勞器、終端、網(wǎng)絡(luò)設(shè)備、外圍設(shè)備等，根本上，但凡具有物理形態(tài)的計(jì)算資源都是物理資源。2〕知識資源：和物理資源相比，知識資源更難鑒別，因?yàn)樗灰噪娮拥男问酱嬖?。知識資源可以是任何信息的形式，并且在組織的事務(wù)處理中起一定的作用。它包括軟件、財務(wù)信息、數(shù)據(jù)庫記錄以及方案圖表等。例如，公司通過電子郵件交換信息，這些電子報文的存儲應(yīng)看成知識資產(chǎn)。資產(chǎn)的類型潛在的攻擊源潛在的網(wǎng)絡(luò)攻擊可來自任何能訪問網(wǎng)絡(luò)的源，這些源之間有很大差異，它依賴于一個組織的規(guī)模以及提供的網(wǎng)絡(luò)訪問的類型。當(dāng)作風(fēng)險分析時，要能識別所有的攻擊源。這些攻擊源包括內(nèi)部系統(tǒng)、來自辦公室的訪問、通過廣域網(wǎng)聯(lián)到經(jīng)營伙伴的訪問、通過Internet的訪問，以及通過modem池的訪問等。資產(chǎn)的有效保護(hù)資產(chǎn)一旦受到威脅和破壞，就會帶來兩類損失一類是即時的損失，如由于系統(tǒng)被破壞，員工無法使用，因而降低了勞動生產(chǎn)率；又如，ISP的在線效勞中斷帶來經(jīng)濟(jì)上的損失。另一類是長期的恢復(fù)所需花費(fèi)，也就是從攻擊或失效到恢復(fù)正常需要的花費(fèi)，例如，受到拒絕效勞攻擊，在一定期間內(nèi)資源無法訪問帶來的損失；又如，為了修復(fù)受破壞的關(guān)鍵文件所需的花費(fèi)等。為了有效保護(hù)資產(chǎn)，應(yīng)盡可能降低資產(chǎn)受危害的潛在代價。另一方面，由于采取一些平安措施，也要付出平安的操作代價。信息平安最終是一個折中的方案，需要對危害和降低危害的代價進(jìn)行權(quán)衡。平安強(qiáng)度和平安代價在評估時要考慮網(wǎng)絡(luò)的現(xiàn)有環(huán)境，以及近期和遠(yuǎn)期網(wǎng)絡(luò)開展變化的趨勢。選用先進(jìn)的平安體系結(jié)構(gòu)和系統(tǒng)平安平臺可減少平安操作代價，獲得良好的平安強(qiáng)度。除此之外，要獲得平安強(qiáng)度和平安代價的折中，需要考慮以下因素：〔1〕用戶的方便程度。不應(yīng)由于增加平安強(qiáng)度給用戶帶來很多麻煩?！?〕管理的復(fù)雜性。對增加平安強(qiáng)度的網(wǎng)絡(luò)系統(tǒng)要易于配置、管理?！?〕對現(xiàn)有系統(tǒng)的影響。包括增加的性能開銷以及對原有環(huán)境的改變等?！?〕對不同平臺的支持。網(wǎng)絡(luò)平安系統(tǒng)應(yīng)能適應(yīng)不同平臺的異構(gòu)環(huán)境的使用。平安強(qiáng)度和平安代價的折中2、風(fēng)險管理從本質(zhì)上講，平安就是風(fēng)險管理。一個組織者如果不了解其信息資產(chǎn)的平安風(fēng)險，很多資源就會被錯誤地使用。通過風(fēng)險識別，可以知道一些特殊類型的資產(chǎn)價值以及包含這些信息的系統(tǒng)的價值。風(fēng)險的概念風(fēng)險是構(gòu)成平安根底的根本觀念，風(fēng)險是喪失需要保護(hù)的資產(chǎn)的可能性，如果沒有風(fēng)險，就不需要平安了。威脅＋漏洞＝風(fēng)險風(fēng)險是威脅和漏洞的綜合結(jié)果。沒有漏洞的威脅沒有風(fēng)險，沒有威脅的漏洞也沒有風(fēng)險。漏洞和威脅的關(guān)系漏洞威脅威脅風(fēng)險級別風(fēng)險識別對一個組織而言，識別風(fēng)險除了要識別漏洞和威脅外，還應(yīng)考慮已有的對策和預(yù)防措施識別漏洞識別漏洞時，從確定對該組織的所有入口開始，也就是尋找該組織內(nèi)的系統(tǒng)和信息的所有訪問點(diǎn)這些入口包括Internet的連接、遠(yuǎn)程訪問點(diǎn)、與其他組織的連接、設(shè)備的物理訪問以及用戶訪問點(diǎn)等。對每個訪問點(diǎn)識別可訪問的信息和系統(tǒng)，然后識別如何通過入口訪問這些信息和系統(tǒng)，應(yīng)該包括操作系統(tǒng)和應(yīng)用程序中所有的漏洞。識別現(xiàn)實(shí)的威脅檢查對策和預(yù)防措施識別風(fēng)險風(fēng)險測量風(fēng)險測量必須識別出在受到攻擊后該組織需要付出的代價。認(rèn)識到風(fēng)險使該組織付出的代價也是確定如何管理風(fēng)險的決定因素，風(fēng)險永遠(yuǎn)不可能完全去除，風(fēng)險必須管理。代價是多方面的，包括資金、時間、資源、信譽(yù)以及喪失生意等。代價1、資金資金是最顯而易見的風(fēng)險代價，包括損失的生產(chǎn)能力、設(shè)備或金錢的被竊、調(diào)研的費(fèi)用、修理或替換系統(tǒng)