1、第3章 安全集成的实施本章结构 3.1 安全集成实施过程框架 3.2 安全需求 3.3 安全设计 3.4 安全实施 3.5 安全测评 3.6 安全监视与评审 3.7 改进 3.8 本章小结3.1 安全集成实施过程框架 3.1.1 安全集成概述 3.1.2 系统安全工程与安全集成工程 3.1.3 安全管理与安全集成工程3.1.1 安全集成概述 1.安全集成服务与工程 阶段阶段模式模式需求分析需求分析安全设计安全设计安全实施安全实施安全保障安全保障安全的集成安全的集成符合性要求风险评估措施盘点措施计划措施实施监视评审改进集成的安全集成的安全集成与安全设计工程实施安全测评监视评审改进 2.安全集成工
2、程过程3.1.2 系统安全工程与安全集成工程阶段阶段信息系统安全集成信息系统安全集成系统安全工程系统安全工程安全集成集成安全工程过程风险过程保障过程需求分析阶段需求分析阶段符合性要求 风险评估 设计阶段设计阶段安全设计措施盘点 措施计划 实施阶段实施阶段工程实施措施实施 安全保障阶段安全保障阶段安全测评 监视 评审 改进 3.1.3 安全管理与安全集成工程 基本安全需求原则 主要领导负责原则 全员参与原则 系统方法原则 持续改进原则 依法管理原则 分权和授权原则 分级保护原则 管理与技术并重原则 自保护和国家监管结合原则3.2 安全需求 3.2.1 安全现状分析 3.2.2 策略与符合性 3.
3、2.3 系统信息安全风险分析 3.2.4 业务安全需求 3.2.5 过程输出3.2.1 安全现状分析 1.业务现状 2.实体对象的安全风险 3.保障环节的建设情况 4.资源现状 5.管理现状3.2.2 策略与符合性 1.符合性要求(法律法规、规章制度、标准与规范)2.信息安全策略要求 3.安全组织保障3.2.3 系统信息安全风险分析 1.识别资产分类示例数据保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等软件系统软件:操作系统、数据库管理系统、语句包、开发系统等应用软件:办公软件、数据库软件、各类工具软件等源程序:各种共享源
4、代码、自行或合作开发的各种代码等硬件网络设备:路由器、网管、交换机等计算机设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等存储设备:磁带机、磁盘列阵、磁带、光盘、软盘、移动硬盘等传输线路:光纤、双绞线等保障设备:UPS、变电设备等、空调、保险柜、文件柜、门禁、消防设备等安全保障设备:防火墙、入侵检测系统、身份鉴别等其他:打印机、复印机、扫描仪、传真机等服务信息服务:对外依赖该系统开展的各类服务网络服务:对各种网络设备、设施提供的网络连接服务办公服务:为提高效率而开发的管理信息系统,包括各种内部配置管理、文件流转管理等服务人员掌握重要信息和核心业务的人员,如主机维护主管、网络维护主
5、管及应用项目经理等其他企业形象、客户关系等 2.评估威胁 识别由自然因素产生的适用的威胁;识别由人为因素(无意或有意)产生的适用的威胁;识别在特定环境中合适的测量单位和适用范围;针对人为因素产生的威胁,评估威胁着的能力和动机;评估威胁事件发生的可能性;监视威胁特征分布中正在发生的变化以及其特征的变更。3.评估脆弱性类型识别对象识别内容技术脆弱性物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别系统软件从补丁安装
6、、物理保护、用户账号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别应用中间件从协议安全、交易完整性、数据完整性等方面进行识别。应用系统从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别管理脆弱性技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别组织管理从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别 4.评估影响 识别和分析由系统支撑的运行、业务或使命能力,并且排列优先顺序;识别支持核心运行能力或系统安全目标的系统资产,并且描述其特征;选择用于评
7、估的影响度量项;必要时,识别选择用于评估的度量项与度量项转换因子之间的关系;使用多个度量项或者(适当时)整理的度量项来识别不希望事件的不希望影响,并且描述其特征;监视影响正在发生的变化。5.评估安全风险 选择用于对已定义环境中系统的安全风险进行分析、评估和比较的方法、技术和准则;识别威胁、脆弱性、影响三者;评估与每个暴露的发生相关的风险;评估与暴露的风险相关的总的不确定性;按优先权排列风险;监视风险特征分布中正在发生的变化以及其特征的变化。3.2.4 业务安全需求 业务是指集成后信息系统所支撑的组织的活动,是信息系统安全保障的本质对象。如何实现对业务的保护是安全需求的主要内容之一。不同的领域,
8、不同行业对业务的保护的侧重点有所不同。3.2.5 过程输出1.客户安全需求陈述2.安全约束条件3.安全轮廓4.预期的威胁环境5.评价目标(对象)6.运行系统的概念7.概念性安全体系结构8.运行/环境安全策略9.系统安全策略10.安全相关要求11.可追踪性矩阵12.批准的安全目标13.安全相关的要求基线3.3 安全设计 3.3.1 概述 3.3.2 总体设计 3.3.3 措施盘点与计划 3.3.4 数据安全设计 3.3.5 在他安全设计 3.3.6 环境安全设计 3.3.7 边界安全设计 3.3.8 过程输出3.3.1 概述 1.总体思路 要求信息系统安全集成建设需从整体性、动态性、层次性、过程
9、性和相对安全的几个角度综合考虑和设计。2.主要内容 措施盘点(管理措施、配置措施、技术措施)安全设计3.3.2 总体设计 1.识别并优化业务流程 2.梳理并优化数据流 3.设计并确定载体互联方案 4.设计并落实环境互通方案 5.设计并审核信息安全保障方案 6.设计并落实资源及管理整合方案3.3.3 措施盘点与计划 1.管理措施 2.技术措施 技术措施可以通过软件和硬件两种形式体现,这些产品根据相关标准分为如下8个类别:物理安全类、主机安全类、网络安全类、边界安全类、应用安全类、数据安全类、安全管理与支持类。3.措施计划 措施计划的主要内容是安全产品、单元、部件的部署方案的设计。3.3.4 数据
10、安全设计 1.数据安全措施 技术措施包括:安全数据库,数据库安全部件,数据备份与恢复、内容过滤与控制、信息防泄露等产品用于数据安全。2.数据安全设计 数据安全设计从数据的生命周期的各个阶段、数据安全属性以及信息安全保障的6个环节的安全设计来进行系统分析。3.3.5 载体安全设计 1.载体安全措施(技术措施、管理措施)2.载体安全 设计 载体的安全设计需从系统安全需求出发,结合总体设计、载体互通设计及载体相关安全功能的考虑来进行综合设计。3.3.6 环境安全设计 1.环境安全措施(区域防护、灾备防护、身份认证、入侵检测、访问控制、病毒防治、特定代码防护、安全操作系统、操作系统安全部件、可用性保障
11、、安全监控、安全审计等)2.环境安全设计(物理环境、主机计算环境、应用层计算环境、网络环境)3.3.7 边界安全设计 1.边界安全措施(物理边界、网络边界、计算环境边界)2.物理边界的安全设计(安防设备、门禁设备及其相关的管理措施)3.网络边界的安全设计(机房安全设计技术与规范、防火墙技术、入侵检测技术、网闸技术等。)3.3.8 过程输出1.安全工程域其他学科之间的协议2.所需输入的描述3.安全设计准则4.安全时限规则5.文档编制要求6.系统体系结构的安全视图7.安全设计文档8.安全模型9.安全体系结构10.信任分析11.权衡分析研究结果和建议12.端到端的权衡分析研究结果13.体系结构建议1
12、4.设计建议15.实现建16.安全体系结构建议17.保护原理18.设计标准、原则、原理19.编码标准20.管理员手册21.用户手册22.安全概述23.系统配置说明书3.4 安全实施 3.4.1 措施实施 3.4.2 安全工程实施 3.4.3 过程输出3.4.1 措施实施 1.实施工作 确定并明确实施方案及后备方案 明确实施的安全原则 识别并管理实施风险 制定应急响应预案 提供安全输入 明确资源配置 2.常见的配置及管理措施 操作系统配置措施 数据库系统配置措施 WEB服务器的安全设置3.4.2 安全工程实施 1.实施原则 2.安全编码 基本概念 方法与措施 安全编码意识培养 安全编码技术(内存
13、安全、线程进程安全、异常处理安全、输入安全、国际化安全、面向对象编程安全、Web编程安全)3.4.3 过程输出 1.安全实施的指导原则 2.实施计划与方案 3.实施方案识别 4.实施计划审核 5.实施日志3.5 安全测评 3.5.1 安全测试与工具 3.5.2 评价方法与准则 3.5.3 过程输出3.5.1 安全测试与工具 1.基本概念 安全测试确认计算环境的安全功能、发现计算环境在部署、配置及软件代码在设计、实现、操作和管理等方面缺陷的过程。安全功能测试 脆弱性测试 2.安全测试流程 通常安全测试分为测试前的准备阶段、安全测试执行阶段和测试完成后的数据汇总分析阶段三个阶段。3.安全测试技术与
14、方法 安全审查技术 目标识别与分析技术 目标漏洞验证技术 4.安全测试工具3.5.2 评价方法与准则 1.评价方法 依据安全功能和漏洞测试、渗透测试结果,对新系统中的数据对象、载体对象、环境与边界对象的可用性、机密性、完整性、真实性和不可否认性等安全属性,依据评价准则进行评价并给出综合评价结果。2.评价准则 结合安全需求、系统安全设计方案,制定数据、载体、环境与边界的安全属性的定量或定性的评价准则。3.5.3 过程输出 1.安全测评的指导原则 2.对象清单 3.总体计划 4.测试方案识别 5.工具准备与识别 6.测评人员与组织 7.安全功能测试设计与测试结果 8.安全性能测试设计与测试结果 9
15、.安全测试的总体评价结果3.6 安全监视与评审 3.6.1 安全态势监视 3.6.2 安全验证与确认 3.6.3 过程输出3.6.1 安全态势监视 安全态势监视的目的是确保识别和报告所有对安全的破坏、试图破坏或者可能导致安全受到破坏的错误。要针对所有可能对系统安全构成影响的因素,监视外部和内部环境。具体目标包括:探测和跟踪与内部和外部安全有关的事件;按照策略对事件作出响应;根据安全目标识别和处理安全态势的变化。3.6.2 安全验证与确认 验证和确认安全的目的是确保关于安全的解决方案得到验证和确认。针对安全要求、体系结构和设计,使用观察、示范、分析和测试来验证解决方案。针对顾客的运行安全需要来确
16、认解决方案。3.6.3 过程输出 每个设计的描述日志记录的组成和来源事件识别参数所有当前单一日志记录报警整体列表所有当前单一日志记录报警整体列表问题报告不一致处无效解决方案测试结果可追踪矩阵。3.7 改进 3.7.1 持续改进 3.7.2 能力自我评估 3.7.3 纠正措施 3.7.4 预防措施 3.7.5 过程输出3.7.1 持续改进 1.信息系统改进 2.集成能力改进 3.二者的相互关系3.7.2 能力自我评估 组织的能力成熟度评估分为:规划、准备、现场和报告4个阶段。规划阶段活活 动动说说 明明输输 出出范围评估范围评估提炼模型的过程域以满足该评估发起者的特殊需求理解发起者的目标收集初步
17、证据收集初步证据证据源于对调查表的回答,它可从评估组织收集得到完成的调查表证据规划评估规划评估为实施已产生并被批准的评估而组织好的计划和一致同意的方法小组成员评估计划和调查表 2.准备阶段活活 动动说说 明明输输 出出准备评估小组准备评估小组这一步保证所有评估小组成员熟悉SSE-CMM,并接受相同的实施评估命令小组支持评估分发调查表分发调查表将预先确定的调查表分发给工程主管,以便得到被评组织的初步信息完成调查表合并证据合并证据汇集调查表回答中表明答案的支持证据和整理调查表数据证据的汇集抄写调查表数据分析证据分析证据/调查表调查表小组对此阶段收集的所有证据进行彻底评审,准备在现场阶段向工程主管提
18、出的问题向工程主管提出的问题 3.现场阶段活活 动动说说 明明输输 出出召开行政会议召开行政会议行政会议为管理层提供评估综述,并为评估小组提供对该组织机构在评估环境下的看法评估受到支持回答的问题召开开幕式召开开幕式开幕式为参与者提供评估综述,这也是管理层表示支持评估的时机评估受到支持回答的问题采访工程主管采访工程主管通过使用探讨性问题组织好的采访技术,评估小组采集有关项目的系统安全工程实施的确认数据采访笔记数据请求合并来自工程主管的数据合并来自工程主管的数据小组成员复查他们自己的笔记,讨论问题,更新数据跟踪表单更新数据跟踪表单调整工程主管的采访记录采访专业人员采访专业人员通过使用探讨性问题组织
19、好的采访技术,评估小组采集有关项目的系统安全工程实施的确认数据采访笔记数据请求合并来自专业人员的数据合并来自专业人员的数据小组成员复查自己的笔记,谈论问题,更新数据跟踪表单完成的数据跟踪表单分析数据跟踪表单分析数据跟踪表单小组进行一次从头开始的对现行数据跟踪表单的评审分析数据跟踪表单开发初步调查结果开发初步调查结果小组使用所有可得到的数据源,产生一张关于组织的系统安全工程实施的初步调查结果清单初步调查结果后续询问表和采访后续询问表和采访小组确定是否应该问其他问题和向谁提问附加的问题和采访开发评分轮廓开发评分轮廓小组成员复查他们自己的笔记,讨论问题,更新数据跟踪表单,产生评分结果草案基于更新数据
20、跟踪表单的评分产生最终调查结果产生最终调查结果小组为满足评估实际情况的调查结果,按优先顺序排序并提供工作方式已排序的调查结果管理评估记录管理评估记录小组提供为发起者保管的新证据并和按合同规定处理不能递交的工具产品评估证据和被处理的中间评估工作产品产生总结报告产生总结报告协理员向被评组织呈现定级和调查结果呈递定级和调查结果 4.报告阶段活活 动动说说 明明输输 出出产生最终报告产生最终报告完成调查结果报告,为发起者产生简报调查结果简报报告评估成果报告评估成果将评估结果提交发起者向发起者介绍简报管理评估实物管理评估实物处理工作产品所有工作产品得到适当处理报告取得的经验教训报告取得的经验教训小组成员
21、讨论评估过程得出经验教训3.7.3 纠正措施 纠正措施可分为管理措施和技术措施两个方面的内容。管理方面纠正措施包括补充和增加管理规章制度、调整资源配置、更改安全需求、安全配置管理等;技术措施较多,具体可分为数据、载体、环境与边界四类纠正措施。具体的工作包括:识别不符合项;确定不符合的原因;评价确保不符合不再发生的措施需求;确定和实施所需要的纠正措施;记录所采取措施的结果;评审所采取的纠正措施。3.7.4 预防措施 识别潜在的不符合及其原因;评价防止不符合发生的措施需求;确定和实施所需要的预防措施;记录所采取措施的结果;评审所采取的预防措施。3.7.5 过程输出 纠正措施报告:给出不符合项清单以及纠正措施;预防措施报告:分析潜在不符合项,并给出具体预防措施。3.8 小结Q&A
