第2章信息系统安全工程(ISSE)

《第2章信息系统安全工程(ISSE)》由会员分享，可在线阅读，更多相关《第2章信息系统安全工程(ISSE)（69页珍藏版）》请在文档大全上搜索。

1、1 1第2章ISSE过程2.1概述概述2.2发掘信息安全需求发掘信息安全需求2.3定义信息安全系统定义信息安全系统2.4设计信息安全系统设计信息安全系统2.5实施信息安全系统实施信息安全系统2.6评估信息安全系统评估信息安全系统2.7ISSE的基本功能的基本功能2.8ISSE实施框架实施框架2.9ISSE实施的案例实施的案例本章小结本章小结2 2信息系统安全工程(ISSE)是对信息系统建设中涉及的多种要素按照系统论的科学方法来进行操作的一种安全工程理论，是系统工程学、系统采购、风险管理、认证和鉴定以及生命周期的支持过程的一部分，是系统工程过程的一个自然扩展。2.1概述概述3 3作为一种系统工程

2、技术，ISSE不仅可以用来设计、实现独立的软硬件系统，还可以为集成的计算机系统的设计和重构提供服务。它可以与设计者和工程人员提供的设计要素，以及面向开发者、管理者、用户的接口相结合，在投资额度和成本的限制下，使整体系统获得最大的安全性能。这也反映了对待ISSE的实施方法，即总的指导思想是将安全工程与信息系统开发集成起来。ISSE是系统工程(SE)的一个子部分。4 4通常SE可以分为发掘需求、定义系统、设计系统和实施系统4个阶段，以及贯穿于各阶段的评估有效性部分，如图1-10所示，而ISSE过程也分为发掘信息安全需求、定义信息安全系统、设计信息安全系统、实施信息安全系统和评估信息安全系统等阶段。

3、ISSE与SE的关系如图2-1所示。5 5图2-1ISSE与SE的关系6 6ISSE贯穿于系统工程的全过程，这些过程都具有公共的要素：发现需求、定义系统功能、设计系统元素、开发和安装系统、评估系统有效性等。ISSE的主要活动包括：(1) 分析并描述信息保障的用户愿望。(2) 在系统工程过程的早期，基于愿望产生信息保障的需求。(3) 确定信息保护的级别，以一个可接受的信息保障的风险水准来满足要求。(4) 根据需求，构建一个功能上的信息保障体系结构。(5) 根据物理体系结构和逻辑体系结构分配信息保障的具体功能。7 7(6) 设计信息系统，实现信息保障的功能构架。(7) 考虑成本、规划、进度和操作的

4、适宜性及有效性等因素，平衡信息保障风险与其他的ISSE问题。(8) 研究与其他的信息保障和系统工程原则如何进行权衡。(9) 将ISSE过程与系统工程和采购过程集成。(10) 测试与评估系统，验证是否达到设计保护的要求和信息保障的需求。(11) 创建并保留标准化的文档。8 8(12) 为用户部署系统，并根据其需要，调整系统，继续进行生命周期内的安全支持。为确保信息保障能顺利地被纳入到整个系统，应该从设计系统工程之初便考虑ISSE，应当随着系统工程的每一个步骤，考虑信息保护的对象、保护需求、功能、构架、设计、实现以及测试等各方面技术和非技术的因素，使信息保障能够在特定系统中得到最好的优化。ISSE

5、的体系结构是一个顺序结构，前一项的结果是后一项的输入，具有严格的顺序性，是按照时间维的发展。违背这种顺序性将导致系统建设的盲目性，最终会导致信息系统安全工程建设的失败。9 9ISSE过程首先要了解用户的工作任务需求、相关政策、法规、标准、惯例，以及在使用环境中受到的威胁，然后确认系统的用户、他们的行为特点、在信息保护生命周期各阶段的角色、责任和权力等。信息保护的需求应该来自用户的角度，并且不能对系统的设计和实施有过度的限制。一般是通过了解任务的信息保护需求、掌握对信息系统的威胁和考虑信息安全策略等过程来发掘信息安全的需求，如图2-2所示。2.2发掘信息安全需求发掘信息安全需求10 10图2-2

6、发掘信息安全需求11 112.2.1了解任务的信息保护需求了解任务的信息保护需求ISSE首先需要考虑系统任务可能受到的各方面的影响(包括人的因素和系统的因素)，以及可能造成的各方面的损失，例如泄密、数据被篡改、服务不可用、操作抵赖等。用户通常都明白他们所需要的任务信息的重要性，但在确定这些信息需要何种保护，以及达到怎样的保护级别时，可能会一筹莫展。为了科学地了解任务的信息保护需求，需要帮助用户弄清楚什么信息在受到了何种破坏时会对系统的任务造成危害。12 12在这种要求下，ISSE需要做的是： 帮助用户对信息处理的过程建模； 帮助用户定义对信息的各种威胁。 帮助用户确定信息的保护次序和等级； 制

7、定信息保护策略； 与用户协调、达成一致。与用户进行交互是ISSE的必不可少的环节，在参考用户意见的基础上，评估信息和系统对任务的重要性，并确保任务需求中包含了信息保护的需求、系统功能中包含了信息保护的功能。这个环节要达到的目标是：一份满足用户在资金、安全、性能、时间等各方面要求的信息系统保护框架，其中至少要包含以下几个方面：13 13(1) 被处理的信息是什么？属于何种类型(涉密信息、金融信息、个人隐私信息等)？(2) 谁有权处理(初始化、查看、修改、删除等)这些信息？(3) 授权用户如何履行其职责？(4) 授权用户使用何种工具(硬件、软件、固件、文档等)进行处理？(5) 用户行为是否需要监督

8、(不可否认)？在这个环节，ISSE的工作需要用户的全程参与，共同研究信息系统的角色，使信息系统更好地满足用户的任务要求。14 142.2.2掌握对信息系统的威胁掌握对信息系统的威胁对信息系统威胁，是指可以利用信息系统的脆弱性，可能造成某个有害结果的事件或对信息系统造成危害的潜在事实。ISSE需要在用户的帮助下，准确、详尽地定义出在信息系统的设计、生产、使用、维护以及销毁的过程中可能受到的威胁。通过分析信息系统的安全需求，找到安全隐患，应该从以下几个方面入手：(1) 检测恶意攻击。指检测人为的、有目的性地破坏行为，这些破坏行为分为主动和被动两种。15 15主动攻击是指以各种方式有选择性地破坏信息

9、，例如修改、删除、伪造、乱序等；被动攻击是指在不干扰系统正常工作情况下，进行侦听、截获、窃取、破译等。(2) 了解安全缺陷。指了解信息系统本身存在的一些安全缺陷，包括网络硬件、通信链路、人员素质、安全标准等原因引起的安全缺陷。(3) 掌握软件漏洞。因为软件的复杂性和编程方法的多样性，导致软件中有意或无意留下的一些漏洞，例如操作系统的安全漏洞、TCP/IP协议的漏洞、网络服务的漏洞等。16 16(4) 分析结构隐患。主要是指网络拓扑结构的安全隐患，因为诸如总线型、星形、环形、树形等结构都有各自的优缺点，都存在相应的安全隐患。掌握对信息的威胁主体，应该涉及以下几个方面： 威胁主体的动机或意图； 威

10、胁主体的能力； 威胁或攻击的途径； 主体及威胁存在的可能性； 影响或后果。17 172.2.3考虑信息安全的策略考虑信息安全的策略在了解了信息保护需求并掌握了系统面临的威胁之后，ISSE需要制定出信息安全策略。信息安全策略需要定义出：要保护什么，用什么保护方法，如何保护。制定策略的时候需要全面考虑相关的国家政策、法规、标准和惯例等。为达成这个目标，策略制定小组不仅需要系统工程师、ISSE工程师、用户代表，还需要信用机构、认证机构、设计专家，甚至是政府机构的参与。信息安全的策略要提供以下几方面：(1) 法律和法规。所要遵循的相关法律和法规的要求。18 18(2) 信息保护的内容和目标。确定要保护

11、的所有信息资源，以及它们的重要性、所面临的主要威胁和需要达到的保护等级。(3) 信息保护的职责落实办法。明确各组织、机构或部门的信息安全保护的责任和义务。(4) 实施信息保护的方法。确定保护信息系统中的各种信息资源的具体方法。(5) 事故的处理。包括应急响应、数据恢复等措施，以及相应的奖惩条款、监督机制等。19 19信息安全策略是分层的，一旦制定后，高层的策略一般是不会改变的，而下层的局部策略是可以根据具体情况而定，但不能与更高层的信息安全策略及其他有关政策相违背。信息安全策略必须由高层管理机构批准并颁布，在策略的贯彻过程中，应该使每个参与者都能够理解策略，并且理解为相同的含义。如果策略在某些