CISP-3-信息系统安全工程

信息安全工程及管理 信息安全工程,中国信息安全产品测评认证中心（CNITSEC） CISP-3-信息安全工程（培训样稿）,目录,1. 什么是信息系统安全工程？ 2. 为什么需要ISSE？ 3. 系统工程 4. ISSE的阶段 5 ISSE功能 6 信息系统安全工程总结,系统变得更加复杂; 独立的系统开始连网; 计算在分布式的多个处理器上进行; 对网络有多级安全要求; 对信息访问有公开和合作的需求; IT的复杂性已从技术问题转到商务和法律问题.,信息系统发生什么变化?,信息系统安全工程是这样的一个过程：它解决用户的信息保障需求，是系统工程学、系统采购、风险管理、认证和认可以及生命期支持的一部分。它是系统工程过程的自然扩展。 这些过程都有公共要素：发现需求、定义系统功能、设计系统单元、开发和安装系统、评估系统有效性、系统采购、风险管理、认证和认可、生命期安全支持等。,1. 什么是信息系统安全工程？,信息是一家机构的资产，与其它资产一样，应受到保护。信息安全的作用是保护信息不受大范围威胁所干扰，使机构业务能够畅顺，减少损失及提供最大的投资回报和商机。 信息可以有多种存在方式，可以写在纸上、储存在电子文档里，也可以用邮递或电子手段发送，可以在电影上放映或者说话中提到。无论信息以何种方式表示、共享和存储，都应当适当地保护起来。,什么是信息系统安全?,ISSE是系统工程和方法论。 ISSE是系统安全工程、系统工程、系统采购在信息系统安全方面的具体体现。 ISSE是系统工程和系统建设的必不可少的组成部分。 ISSE是对系统工程生命期的安全风险控制,信息系统安全工程的内涵,2. 为什么需要ISSE？,社会对信息系统的依赖程度逐渐加强、信息的价值在增加、开放和安全的矛盾突出。 信息系统本身存在固有的弱点使其易于受到各种攻击（蓄意、无意）。 信息系统逐渐从专用系统向通用(现货)系统过渡，信息系统安全专业人员将和开发人员、系统集成人员、用户有更加紧密的合作的前提条件。 ISSE是CC、SSE-CMM在实际工程上的体现。 规范信息系统安全建设的需要 实施信息系统安全测评认证的需要 实施国家信息安全规范、规定、标准的需要,3. 系统工程,系统工程：,系统工程是一种跨学科的方法，它以开发并验证一个系统产品（或处理系统）能满足最终用户需求为目的。,系统工程包括：,开发包括需求分析、系统设计、部件设计和集成。 生产包括试制和最终生产 认证包括演示、试验、审查和分析 部署 运行（使用） 支持和培训 拆除,系统工程过程,发现任务需求 确定系统功能 进行系统设计 部署系统 系统有效性评估,系统工程包括下面五个过程：,输入 需求分析 功能分析和配置 综合 系统分析和控制 输出,系统工程过程,输入:,客户需求/要求 任务 有效性手段 环境 限制 技术基础 来自前阶段的输出 项目判决要求 有关专用和标准的要求,需求分析:,分析任务和环境 识别功能要求 性能和设计限制要求的确定和精练,功能分析和配置:,分解成更低层次的功能 把要求配置到所有功能级 确定功能接口 确定和集成功能体系结构,综合:,从功能到物理的转换 确定替代系统的概念: 配置项 系统单元(要素) 确定物理接口 确定优选产品和过程解决方案,折中研究 有效性分析 风险管理 配置管理 数据管理 基于性能的进程管理,系统分析和控制:,输出:,随阶段而变的: 判决支持数据 系统体系结构 规范 基线,ISSE的最终体现：,项目所必须的安全要求 在用户、测评人员以及客户可接受的风险水平上满足要求。 精心的支持用户，谨慎地剪裁以满足客户要求。 作为一种运作，应把安全尽早地结合到系统工程中去。 在费用、进度、实用性和有效性的综合考虑中要平衡考虑安全风险管理和ISSE的其它方面。 将INFOSEC的有关科目和能力要求与其它各种限制同时折中考虑,4. ISSE的阶段,4.1 先期概念阶段,目的：确定用户的任务需求。指出信息系统应具备的安全能力； 提供的文件：任务能力需求报告（MNS），作为系统安全要求和规范的出发点。由用户和ISSE参与者共同起草。 MNS的内容不一定实现，它只是一个目标,本阶段与ISSE有关的活动：,运行任务各种问题的调查； 安全威胁类型调查； 找出国家和地方安全法规的限制； 根据安全目标确定的能力，考虑可能的进度； 如果可能确定供应商。,4.2概念阶段,目的：信息系统概念层面的系统安全方案的探索,决定哪些方案可能满足任务要求，选出要进一步讨论的方案。 目标：信息系统安全建设的参与各方进行可选系统评审（ASR）对每个可能的代替方案进行审查，看其能否满足用户安全需求、是否符合有关的要求和规范以及信息系统有关的所有问题都要调研，有冲突的地方都要解决。本阶段结束要得到初步的系统技术、成本、安全风险方面的情况以及信息系统工程建设和管理战略。,本阶段与ISSE有关的活动：,为系统威胁评估提供数据,预计系统不同阶段的安全威胁。 提出系统安全备选方案，根据任务能力需求报告（MNS）作出技术、费用、进度风险的评估。 帮助用户提出安全运行需求报告，该报告包括为使系统安全有效运行所需的性能和功能要求，还要包括国家管理部门有关规定、政策方面的限制。 提供生命期安全支持计划、安全保障计划以及安全风险管理计划的数据。,制定测评认证以及评估计划 确定是否需要新的信息安全技术 初步安全风险评估及评估报告 提供认证/认可数据（C &A),4.3 要求阶段,目的：提出正式的信息系统安全需求报告为系统设计和测试做好准备，对主要问题取得共识。 目标：提出一份系统安全需求评审报告（SRR），它是一份包括系统所有安全需求指标的草案。 文件对系统的功能、性能、互操作性、接口要求都要做描述，并要对能否达到要求提出检验手段。,系统要求评审包括的内容：,将用户的安全需求转化为系统功能和性能需求以及安全方案的设计限制； 评估技术验证的方法和进程； 对风险确认和量化的评估以及风险管理办法的评估； 关键技术的评估； 评估系统安全需求的覆盖面进行评估； 审查系统规范草案以及相关的认证措施。,4.4 系统设计阶段,目的：完成系统的顶层设计，决定组成系统的配置项，定下系统指标，使正式的系统工程开始。 目标：提供一份系统功能（设计）评审报告（SFR），报告包括正式开发前必须的系统指标,系统功能（设计）评审（）包括的内容,确保系统功能和性能要求和有关的限制。 对系统的功能和物理体系进行评估 对系统的指标和功能基线不断完善、更新 评估设计方案是否满足用户要求,本阶段与ISSE有关的活动：,完善系统的安全需求（是否有新的安全威胁） 分析系统的安全要求以及到配置项的安全要求，确保满足整个系统的安全要求 评审系统设计安全方案的技术原理 详细确定信息系统安全验证和确认（&V)有关的要求和战略 完善与安全有关的采购和工程管理计划、策略 系统特有的安全风险评估 为认证和认可（&)提供数据,4.5初步设计阶段,目的：系统的设计要求和指标都分配到配置项（CI）。 目标：提供初步设计评审报告（PDR），该报告包括对每个系统配置项的软件和硬件的评审，为大多数系统的配置项建立了分配基线。,初步设计评审包括的内容：,找出没有考虑到的或没有被每个IC满足的系统方面的安全要求 确保CI、子系统的问题得到解决 评审风险管理，确保风险在可接受的水平 对系统物理体系结构的集成进行评估，确定内部、外部接口和互操作性 证实集成后的系统设计满足功能基线要求和用户要求,评审CI层面的参数和接口规范的定义及其他方面的问题 对已有的安全方案进行复查，使之与CI的要求一致 确认CI（无论是开发的或是买来的）的指标满足系统安全要求 为认证和认可（C& A）继续提供数据 检查系统各方面的问题,本阶段与ISSE有关的活动,4.6 详细设计阶段,目的：完成没有现货的设备和系统的设计 目标：提供系统关键设计评审报告（CDR），该报告包括构成系统的各个配置项的具体设计（相关软件和硬件的设计评审和文件）,关键设计评审包括的内容：,找出配置项和关键设计都没有解决的问题 考虑系统与其他系统的兼容性 确认系统和CI设计是完整的 确认和证明系统设计要求、接口要求、系统限制与可以验证的结论相一致 建立每个CI的分配基线,本阶段与ISSE有关的活动,通过关键设计安全方案和具体软件以及工程设计的评审，实现系统和CI层面的安全设计 检查关键设计提出的安全方案的技术原理 准备信息系统安全的测试和评估要求（系统的、软件的、硬件的） 跟踪或参与与系统设计/开发有关的安全保障机构,确定并证明每个CI的设计、CI间的接口设计能够满足系统安全要求 准备好绝大多数生命期安全保障方案的内容，包括培训计划、应急培训计划的有关内容 评审更新安全风险与威胁的预测，评审请求的任何改动 提供认证和认可（C & A)过程的数据,4.7 实现和测试阶段,目的：准备好所有开发和非开发产品并把所有产品（CI）集成为一个完整系统并检查确认继承的系统符合要求。 目标：提供一个系统确认评审报告（SVR），确定所建的系统与要求相一致，能满足任务的需求,更新系统安全威胁评估，预测系统的使用寿命 安全方案实现后系统和CI的安全要求和限制以及相关的机制 跟踪或参与和本阶段有关的安全保障机构 完善系统运行程序和生命期安全支持计划 准备正式的系统确认评审的安全风险评估 为认证和认可（C&A）提供数据 最终检查系统的所有问题,本阶段与ISSE有关的活动,4.8 配置审计阶段,目的：从系统层面审查每个CI都进行了配置审计，把建好的系统与前面各阶段的记录文件相比较，所有大的偏差和问题都得到解决，。 目标：提供物理配置审计报告（PCA），该报告包括所有配置审计的结果和解决系统出现偏差的办法（CI的产品基线包括一份认可文件，其中有CI的功能、性能、物理结构等的要求）。,本阶段与ISSE有关的活动,最后确认系统的生产/部署计划能满足信息系统安全要求 根据信息系统安全要求，进一步评审CI产品的指标以及相关的设计资料 最终确定系统运行安全规则和安全支持计划 为认证和认可过程提供数据,4.9运行和支持阶段,目的：系统开始部署、运行直到系统被拆除，ISSE一直发挥作用，确保系统安全得到维护。它包括处理系统在现场运行时出现的安全问题以及采取措施保证系统的安全水平在系统运行期间不会下降。,本阶段与ISSE有关的活动,监测系统的安全性能，包括安全事件报告 进行用户安全培训，并对安全培训进行评估 监视与安全有关的部件的拆除处理 监测新发现的对系统安全的攻击、系统所受威胁的变化以及其它与安全风险有关的因素,监测安全部件的后勤支持，支持与安全有关的维护培训 评估大大小小的系统改动对安全造成的影响 监测系统物理和功能配置是否影响系统的安全风险 为重新进行的认证和认可过程提供数据,5 ISSE功能,5.1 ISSE基本功能的概念,是与ISSE相关的各种典型活动：,这些活动要在系统生命周期各个阶段并行地、反复地进行。各活动之间是相互协调的。,在系统开发的不同阶段涉及ISSE各功能的程度也不一样。每个ISSE功能至少有三种模式： 为实现功能作准备； 实现功能； 当系统发生变动或有新情况出现时要做出相应改变。,5.2关于裁剪问题,裁剪实际是对每一个ISSE功能活动的考察. 为了更好的利用资源使活动最佳化,限制增加那些不必要的花费和材料的那些任务.,裁剪的内容包括:,复杂性、不确定性和应急问题； 客户和授权者的风险份额； 成本、进度和人员限制； 合同规定和限制； 客户专门能力等级：技术能力和管理能力 客户的商业实践知识,5.3ISSE基本功能,系统和安全工程管理以及规划活动应当在工程开始就启动。 为了系统地把安全需求嵌入到有效的设计中，应尽早开始规划活动并很好地提供强有力的资金支持 成立由系统安全工程师领导的小组。 有必要的工具和资料。它是ISSE的基本功能.,1).安全规划、控制和小组形成,本阶段的主要工作:,商业决策和工程规划 确定首席ISSE领导 作出与支持ISSE相关的支出的预算 确定进度、合同文件和工程策略的规划、确定及应用以及相关的安全验证和确认活动。如果有些因素发生变化应向决策者报告。 考虑与安全认证和认可小组的关系,确定首席信息系统安全工程师 与物理的、管理的、人事的、运行安全的负责人和组织建立良好的工作关系 首先要同客户建立良好的关系和沟通手段 系统生命期的安全工程师,成立ISSE小组,与管理机构、测评认证机构沟通 安全认证是评价信息系统安全性和其它性能满足安全要求的程度，理想情况下应在系统生命期各阶段完成。 测评认证要与风险评估相关联，在系统生命期内测评人员要不断评审和修正并确定剩余风险。 安全认可规划应在系统生命期开始阶段完成。安全认可是由独立的机构完成。,规划ISSE对C&A提供数据,安全目标和安全要求的描述 安全保障计划 安全威胁分析报告 与安全相关的信息（包括接口规范） 与外部系统接口 安全要求验证的可跟踪矩阵或相关决策数据库信息,ISSE为测评认证提供的内容：,系统安全运行计划、方案和其它分析 生命期 安全支持计划 安全测试或其它验证计划和数据 安全风险评估/风险评审报告 实用产品安全特性文件和产品安全评价报告 测评认证机关人员的介入 系统安全评价和特征数据,用户/同级小组报告： ISSE小组应当随时向客户通报所承担的工作和进展情况或在有可能的情况下为客户进行适当的演示。 机构的管理报告： 在每一个重要项目里程碑评审之前为机构管理人员提供简报，给出有关技术和状态的信息。工程初期简报讨论如何裁剪ISSE过程来适合客户的需要以及安全能力要求和小组完成了什么活动。,ISSE 报告,简报大概包括的内容,有关信息系统安全支持和成果的用户反馈 系统描述 建议的安全方案 安全风险评估结果 进度 ISSE人员配置和其它资源问题 技术策略变化或早期简报得出的风险数据,技术数据库和工具,决策数据库： 确定一种使用和维护技术数据库的方法（可以是一种记录或是在线工程数据库。 一般情况下决策数据库包括以下内容： 综合的系统要求和对配置项的下行配置 接口限制和要求 系统概念、初步设计和详细设计选择方案 选定设计的全部文档 验证,决策准则 商业研究评估 原理图集 模型和仿真 设计图与详图 配置文档和变化控制手段 可跟踪性审计追踪,知识数据库的开发和重用,利用和充实信息系统安全知识库 利用这一渠道达到知识共享,工具的选择和使用,自动化的工程工具的选择和使用非常重要,与采购/签合同有关的规则,采购策略 解决选择最适合该工程和工程环境的获取策略。 规划ISSE小组与系统项目办公室的关系以及需要承包商支持的程度。,需要考虑的问题包括：,最适合的承包合同 ISSE小组参加承包合同的监控的时间 ISSE小组为支持承包合同所需要的费用 把信息系统安全有关材料精练为系统技术标准或工作说明所包含的参考资料（指南、标准、准则、保证） 每个相关合同或任务定单的合同数据要求的原始材料,合同修改和工程变动对ISSE的影响 为技术性能提供的信息系统安全的素材 合同的安全技术规格要求承包商使用的安全登记指南；承包商的许可证等等。,预先计划的产品改进策略 该策略是对已获取系统所做的计划的未来改进。其原因可能是无法负担的费用或者由于技术原因把重大风险推迟以便在以后的工作中开发。,工程文档编制规划 编制的文档涉及几乎所有的安全问题，如系统级和产品级技术规范、系统测试计划、获取和后勤支持计划。 安全风险评估报告是信息系统安全特有的报告。,信息系统安全保证计划是用与信息系统安全相关的保证技术把安全功能要求同相关的可测度的强度级别和/或依赖级别结合到一起。 安全保证计划应当是一种方法用来确定保护什么，如何将它划分等级，然后如何保证给予它同等级的安全保护。,信息系统安全保证计划,并非构成系统的所有功能都要求相同强度和可信度，因此安全保证计划应当确定保证等级的类别（如高、中、低）、每个类别的相关技术和标准。 在这方面国家应当制定一些公用标准（如橘皮书）。,安全需求的确定是ISSS过程中非常重要的环节，只有明确了用户的安全需求才能制定信息系统的安全目标和相应的安全策略。 一般情况下有两种安全需求： 用户的非专业的安全需求，反映了用户的实际情况。 以工程观点提出的规范化的安全需求，是从安全专业角度提出的，要与用户见面 并征得用户的同意。,2).安全需求的确定,系统级运行安全需求的确定 从用户观点提出的系统级安全需求； 与运行有关的系统级安全需求； 与功能和性能有关的系统级安全需求； 需求不对设计进行规定，但是要有任务能力需求说明来定义和用文档来确认。,系统级安全需求的确定,系统级需求分析和规范,目的是为精确确定系统每个主要功能的安全要求和其它要求。 需求分析的结果要在运行要求文档中以一种详细的系统规范加以确认。 多数的需求确定活动一旦通过里程碑评审、折衷决策风险分析提炼、决策者的批准就被认为是完全的。功能基线也被确定，他描述系统的功能、性能、互操作性、接口要求、所需的验证。,系统需求的定义和可跟踪性,系统需求分析是依据对客户需求、要求和目标、任务、人、产品和过程的预期使用环境、限制和效率的分析确定系统特有的特征。它应当被用户理解和承认。,系统需求分析的各类型要求：,功能要求：为必要的任务、行动必须完成的活动。 性能要求：表示任务或功能必须被执行的程度，如质量、数量、覆盖范围、及时性和容易性来量度。 接口要求：为功能的、性能的、电气的、环境的、人员和物理的要求和限制，接口存在于两种或多种功能、系统单元、CI或系统之间的共同边界上 互操作性：规定系统、单元向别的系统、单元提供服务的能力或从别的系统、单元接受服务的能力以及共同有效运行的能力。,导出的要求：是在综合初步产品或过程方案在相关商业研究和验证期间确定的特征，但是又不能从任务需求说明追逐出来的要求。但是，这些要求是系统实现预定功能所必不可少的，因此要在系统总体要求内用文件确定。 设计限制：是开发者/集成者在分配性能要求和/或综合系统因素时必须遵守的边界条件。这些限制可能是外部强加的，也可能是内部强加的。其实例包括：形式、适配、功能、接口、技术工艺、材料、标准化、费用和时间,安全需求分析,安全法规和策略的解释： 第一次信息系统安全的需求分析活动应包括全面审查和考虑适用规定和政策法令。 需要解释大量的法规、法令、规定、机构的政策、政府有关保护机密信息的指南、国家标准等等。其目的是保证系统充分实现强制性规定以及相关的指南得到遵守。 安全的接口控制/设计规范以及系统安全操作程序、限制和控制都应当作为系统产品和过程方案在整个开发周期内的ISSE活动过程中产生出来。,安全威胁评估,安全威胁评估定义为：敌方有意利用对信息或系统造成损害的环境、行动或事件的能力、意图、攻击目标和方法。即要考虑内部和外部人员的故意安全威胁，也要考虑误操作或偶然的误用。 ISSE应当与用户一道，帮助他们在系统威胁评估报告（STAR）中准确描述有关信息系统安全威胁。,STAR包括的内容：,信息和信息系统的安全威胁 其它各种类型的威胁 得到证明的威胁 可以支持的假设威胁 开发期间的威胁,任务安全目标,安全目标代表最高级的安全定义 安全目标由系统用户陈述 安全目标可能适用于任务的许多方面或只适用于任务的某一部分,安全服务分类：,保密性 访问控制 完整性 数据完整性 系统完整性 鉴别 可用性 不可抵赖性 安全管理,信息流、功能和价值,了解系统及其处理信息的重要性是非常重要的。工作的内容是：由于系统资源或系统处理的信息的丧失、泄露或修改对任务、人的生命和开销产生的影响。为此，必须确定和分析系统处理或存储信息的功能、流向和价值。,安全需求定义综述,同安全有关的运行需求分析,确认一个系统的安全能力需求非常重要。它有助于系统开发人员了解必须完成的工作以及涉及到的人员或机构（用户、采购ISSE小组、测评认证代表）要认识到这些都是用户自己的要求。 安全能力需求应包含系统的最高安全需求，它将影响未来系统如何管理、保护和分发信息以及信息如何同其它信息接口。,ISSE需求活动,确定用户安全能力需求后，将进行连续的、正式的安全需求分析，最终得到每一项安全功能的安全要求。 要仔细研究所有的安全需求，研究其完整性、不一致性和相互依赖性。 由于系统体系结构的演变，必须不断评审和精练安全需求。 ISSE必须识别出同安全功能需求目标相关联的安全性能需求。,先期概念阶段和概念阶段的ISSE 的需求活动,本阶段要支持确定面向用户的运行安全要求，其中包括必要的安全约束。 主要问题是； 定义要求活动，包括必要的安全约束； 识别和解决信息系统安全要求和其它系统要求之间的相互依赖性和折中方案。,概念阶段结束时应初步完成以下工作： 项目的技术范围、成本范围、进度范围； 粗略的系统运行概念和体系结构； 运行要求文档 采购和工程管理计划 高层验证计划 后勤支持计划,确定系统要求的基线（在SRR中被批准）并制定出系统规范草案。要求定义必须完成什么样的功能和什么样的约束。系统规范反映系统要求在一组功能领域的配置； 为批准要求基线准备好安全要求并向系统规范草案提供信息系统安全数据,要求阶段ISSE的需求活动,确立由系统体系结构确定的内部和外部的接口和协议的安全要求； 保证安全要求有效的反映客户的安全需求并直接跟踪先前的需求层次； 识别出需要开发的新技术并监控其开发过程，确保满足预期的安全要求。,完成系统的基本设计,把安全要求分配给体系结构中确定的CI集合为最终目标。 保证系统规范充分的表达出安全要求； 在适当场合下确认验证和验证要求并建立和审查文档； 审查完成的技术成果以保证其符合要求，满足预期的信息系统安全要求。,系统设计阶段ISSE的需求活动,从初步设计到配置审计的ISSE的需求活动,初步设计评审全面定义CI和接口，要提交CI和接口的安全要求以及验证条款作为系统配置基线的一部分，保证内部接口和协议满足安全要求； 证明系统部件的,安全需求的可追踪性,随着系统的发展将会产生新的安全需求； 子需求必须从主需求导出； 可追踪性必须保证子需求包括在主需求中。,3).安全设计支持,系统设计必须能够确定系统要实现什么功 能以及如何实现这些功能，这通常是一个 复杂的过程。,安全设计支持内容：,确定安全体系结构； 确定关键技术； 确定设计限制； 非技术的安全设计手段； 分布式安全服务； 接口问题,关键技术的确定,考虑是否开发或使用任何必要的新技术来满足系统的安全要求; 必须事先考虑要开发的技术,以便有充足的开发时间和解决技术难题.,设计限制,要明确影响和限制实现所要求的安全服务对系统设计的限制。 这些约束包括： 系统工作环境、系统工作方式、任务功能的敏感性和重要性、接口和互操作性。 一些支持性要求也可能限制系统的设计，如可移植性要求、生存性要求、培训、标准化等。,非技术的安全设计措施,安全设计不仅考虑技术措施而且也要考虑非技术的安全措施。,先期概念和概念阶段安全设计支持,在先期概念阶段很少用安全设计支持； 在后选系统评审（ASR）时，要开发若干备选的概念级的系统设计，它是由产品和过程解决方案适当混合组成的。通过对代替方案的反复比较，进行折中分析使体系结构得到足够的精练,要求和系统设计阶段的安全设计支持,在这两个阶段期间，要完成系统的最终设计并按技术规范形成文档。,制造或购买的判决,是制造还是购买要在操作功能和特性、费用、进度、风险进行全面的折中后最终决定。要对产品进行充分调查。,初步设计阶段到配置阶段的安全设计支持,通过初步设计评审最终确定制造/购买； CI的设计/选择/分配； 建立CI集成和测试系统，检查出现的任何变化。 评估安全对CI的影响并确定附加的安全要求能否被满足。,运行和支持阶段安全设计支持,在系统运行期间，由于主要和次要的系统修改来改善系统设计方案。,4).安全运行分析,安全运行分析将影响产品过程和系统安全要求的解决方案.安全运行概念分析和定义是系统工程和ISSE过程的综合,是为认证和认可提供关键数据的.,系统生命期内安全运行分析要有以下文档:,设计评审说明 培训材料和文件 人的接口要求 系统环境假设规范 程序和政策文档,反复应用于系统生命期内的安全运行分析的焦点:,确定与其他系统进行交互的环境要素; 确定扮演的角色(系统用户、系统维护人员、系统管理员、假定的威胁代理）； 确定自动化角色（数据源点、数据发散点、远程应用操作员、网络服务命令发起者） 确定在其任务环境中与操作系统交互的方法和方式。,要考虑的典型情况是：,在正常和不正常条件下启动和关机； 系统和人对错误条件或安全事件的环境反应； 系统/组件失灵时，要在一个或多个预先计划好的退化方式下维持运行； 可在不同模式下运行；,对安全事件或自然灾害的响应/恢复模式 系统对关键性和常见的外部和内部事件的反应。,分析角色,用户 安装者、维护者 管理者 威胁代理,5). 生命期安全支持,与用户一起开发一些机制以提供维护系统安全状态的长期能力。也就是监督在系统整个生命期的各阶段的计划，包括开发、生产、现场工作、维护、培训和拆除。,生命期安全支持的开发方法,生命期安全支持的内容： 监控系统安全 系统安全评估 配置管理 安全培训 后勤和维修 较小和较大的修改 系统拆除,系统生命期安全支持计划：,对于ISSE小组来讲，考虑的问题包括： 在开发、测试、使用期间对系统进行监控以确保与安全要求持续的一致，不能在可接受的范围之外增加额外的风险。 系统培训一定要涉及安全特性和限制，这样才能保证在日益增多的安全风险中操作员和维护产生错误的可能性受到控制并且可以接受。,追踪与安全有关的组成单元的处理指令，使其遵守相应的法规和规则，不能增加安全风险。 保证配置管理过程是适当的，以避免引起在没有适当批准的情况下使安全风险上升。 确定与系统偶然性运行计划相匹配的系统安全偶然性计划,以便使系统承受更大的风险。,为系统提供安全评价，专门发现系统的安全漏洞和薄弱环节，弥补这些安全漏洞和薄弱环节提高系统安全防护能力。 保证后勤和维护能够支持系统中与安全有关的组件的需要，使其不能引起安全风险的增加。,直接或更宽范围内环境的改变影响系统安全形势和解决方案的变化是：,任务和被保护的信息重要性或敏感性的改变，可能导致安全需求和要求的对抗措施的改变。 威胁的改变使系统的安全风险增加或减少。 应用的改变要求不同的安全操作模式。,发现新的安全攻击手段。 破坏安全、破坏系统完整性或通过揭示安全缺陷使授权无效的异常事件或小事件。 新的安全审计、检查和外部评价结果 系统、子系统或组成单元配置的改变或修改。 排除或降低CI。 排除或降低系统过程的对抗性措施 与新的外部接口相连 运行环境的改变 新对抗技术的应用 系统安全授权期满,系统安全监控的部署,系统安全功能在系统运行期间应能被连续监控，通过生命期支持把问题提前设计到系统中。进行折中研究以确定什么样的监控手段可以提供最好的成本-效益并满足可接受的风险。,系统安全评估,最终作出评估的是：系统的拥有者、认可者、安全评估的评估者。 在制定评估建议时要考虑的是：系统是否已经用了被证明了的手段来满足安全要求？以及系统在其环境下面临的威胁、临时的系统安全轮廓是什么样的？找出系统的各种脆弱性，作出要采取什么措施的决定。,配置管理,在生命期某一个给定点上维持一个基线； 系统在不断自然演变； 偶然事件造成的毁坏； 对C&A证据的追踪； 系统资源的有限集合的使用期将增长； 配置项的身份证明 配制控制 配置会计学 配置审计,培训,个人所需的知识和技能 实施对用户使用系统的训练,后勤和维护,给出所要求的任务、设备、技能、人员、材料、服务、供应品和程序的定义，保证系统最终项目的提供、存放和维修。,系统的修改,重大修改 修改或其它改变,处理,系统工程处理功能包括： 再生； 材料恢复； 废物利用； 副产品处理。,6).安全风险管理,安全风险是对达到技术性能、成本和进度方面的目的和目标的不确定性的一种度量。,安全风险管理是一个条理化的分析过程,目的是为了确定在什么情况下可能产生错误,评价安全风险以及实现处理安全风险的手段.,安全风险等级：,安全风险等级是用安全事件和安全事件出现概率来分类。,风险源,技术方面: 可行性 可操作性 可生产性 可测试性 系统的有效性 可维修性 技术和材料的可获性,进度方面： 技术资料的可用性 技术成果 里程碑,资源方面: 资源的利用率 资源的保护程度,合同方面: 进度 费用,系统的安全测评和认证,你已经建成了一个安全系统了吗?系统是否在预期的、被指定的、系统现实环境中有可接受的安全风险？,系统验证和确认文档与测试计划和测试程序相组合，通过与分析（包括仿真）、演示、测试、检查相组合将提供所有的安全要求（包括风险与规范要求的一致性、产品和过程的能力、概念的证明、系统级的技术验证、制造过程证明、质量保证和可接受性）,验证和确认,即将现场部署的系统以及每个站点的非技术保护也要检验，这要由安全测评认证机构来进行（包括运行测试和检查、设计文件审查、技术手册审查、安全技术评审、准备就绪和程序的检查、编码检查）,特殊测试： 渗透测试 密码验证测试 安全的独立验证和确认 安全保证分析方法 TEMPEST,初始认证任务:,系统构架分析 软件设计分析 网络连接是否符号规划分析 生命期管理分析 漏洞评估,安全测试和评估 渗透测试 TEMPEST和RED-BLACK核实 确认是否符合通讯安全标准 系统管理分析 站点鉴定调查 意外事故应急计划评估 基于风险的管理评估,最终认证任务:,安全风险管理（SRM）,安全风险管理计划 系统开发早期，制定系统生命期内的安全风险管理计划； 在安全风险判决点的评审要纳入管理计划； 在重大技术事件或裁剪处，规定一些要求实现安全风险评审,安全风险要考虑的主要因素：,覆盖给定系统生命期过程的