2018/7/5第3章安全集成的實施信息安全保障人員認證22摘要信息系統安全集成工程是信息系統安全工程的一個子集。信息系統安全集成工程可以理解為系統安全工程、軟件工程、系統集成及安全管理等諸多領域的融合。12018/7/5信息安全保障人員認證目錄安全集成實施過程框架安全需求安全設計安全實施安全測評安全監視與評審改進3信息安全保障人員認證43.1安全集成實施過程框架信息系統安全集成是工程活動，也可以是安全服務，即安全集成的交付物可以是系統、產品甚至是服務。信息系統安全集成服務是“信息系統集成過程中的安全需求界定、安全設計、安全實施、安全保障等活動。采用信息系統安全工程的方法和理論，將安全單元、安全產品部件進行集成的活動”。信息系統安全集成服務將信息系統集成工程分為了安全需求界定、安全設計、安全實施和安全保障四個階段。22018/7/5信息安全保障人員認證5安全集成服務與工程安全需求界定階段包含了符合性要求和風險評估2個環節；安全設計階段包含了措施盤點、措施計劃和集成與安全設計3個環節；安全實施階段包括了措施實施和工程實施2個環節；安全保障階段包括了安全測評、監視、評審與改進

4個環節。信息安全保障人員認證6安全集成的階段與環節階段模式需求分析安全設計安全實施安全保障安全的集成符合性要求風險評估措施盤點措施計劃措施實施監視評審改進集成的安全集成與安全設計工程實施安全測評監視

評審

改進32018/7/5兩種模式的關系符合性要求改進

風險評估集成與評審 安全設計監視

工程實施安全評測評審改進監視7符合性要求措施實施風險評估措施盤點措施計劃信息安全保障人員認證信息安全保障人員認證8系統安全工程與安全集成工程階段信息系統安全集成 系統安全工程集成安全安全集成工程過程風險過程保障過程需求分析階段符合性要求√√風險評估√√設計階段安全設計措施盤點√措施計劃√√實施階段工程實施措施實施√√安全保障階段安全測評√√√監視√√評審√√改進√42018/7/5信息安全保障人員認證91.界定安全需求2.確定服務合同確定服務人員和組織簽訂保密協議集成準備方案設計建設實施安全保證1.安全方案設計管理安全控制措施安全協調3.安全監控驗證和確認安全建立保證論據安全集成服務過程信息安全保障人員認證安全管理與安全集成工程基本安全需求原則主要領導負責原則全員參與原則系統方法原則

持續改進原則

依法管理原則

分權和授權原則分級保護原則管理與技術并重原則自保護和國家監管結合原則101234567891052018/7/5信息安全保障人員認證113.2安全需求安全需求分析的目的明確地識別組織的有關被集成信息系統的安全需求，并與各方達成安全共識信息安全保障人員認證123.2安全需求理解客戶的安全需求法律、政策、標準、外部影響和約束條件安全風險，明確風險評估的方法、確定風險接受準則、確立安全風險級別識別被集成系統的目的，以便確定安全來龍去脈捕獲被集成系統運行的高層次安全視圖捕獲定義被集成系統安全的高層次目標定義一組一致的要求，用以規定將要在被集成系統實現的保護就所規定的安全需求與客戶需要相匹配達成協議62018/7/5信息安全保障人員認證13安全現狀分析安全現狀分析的主要工作對開展安全集成前信息系統的安全現狀進行全面的評價和分析的活動。信息安全保障人員認證14安全現狀分析安全現狀分析的主要目的識別目前信息系統在信息安全保障方面所存在的缺陷和不足，信息系統現存的安全風險，理解安全集成項目所需要解決的安全問題72018/7/5信息安全保障人員認證15安全現狀分析內容業務現狀實體對象的安全風險保障環節的建設情況資源現狀管理現狀信息安全保障人員認證16策略與符合性符合性要求信息安全策略要求安全組織保障法律法規、規章制度、標準與規范發布、管理和保護其信息安全而制定的一組規章、規范和措施的總合，是對系統內信息資源使用和

管理規則的正式描述，是所有使用和管理系統內

信息資源的人員都必須遵守的規則安全保障體系建設除了接受國家信息安全管理機關（如：公安部門、保密部門、密碼管理部門等）宏觀管理外，在系統內部還應建立自己的信息安全組織保障體系，它包含組織、制度、崗位和人員。82018/7/5信息安全保障人員認證17系統信息安全分析信息安全風險評估是“依據有關信息安全技術與管理標準，對信息系統及由其處理、傳輸和存儲的信息的機密性、完

整性和可用性等安全屬性進行評價的過程。它要評估資產

面臨的威脅以及威脅利用脆弱性導致安全事件的可能性，

并結合安全事件所涉及的資產價值來判斷安全事件一旦發

生對組織造成的影響。”。識別資產識別脆弱性識別威脅評估影響信息安全保障人員認證18兩種思路傳統思路有哪些資產？資產由哪些脆弱性？有哪些威脅？CISAW風險管理業務不期望的結果有哪些？原因是什么？與數據、載體、環境和邊界的關系？相關對象的原因是什么？92018/7/5信息安全保障人員認證19評估階段工具/表格類型資產識別資產調查表資產管理工具主動探測工具威脅識別IDSIPS流量分析工具審計工具威脅調查表脆弱性識別訪談漏洞掃描工具各類檢查表滲透測試工具集安全措施確認安全控制措施調查表安全意識調查表綜合風險分析風險分析工具風險評估工具及資料準備識別資產分類示例數據保存在信息媒介上的各種數據資料，包括源代碼、數據庫數據、系統文檔、運行管理規程、計劃、報告、用戶手冊、各類紙質的文檔等軟件系統軟件：操作系統、數據庫管理系統、語句包、開發系統等應用軟件：辦公軟件、數據庫軟件、各類工具軟件等源程序：各種共享源代碼、自行或合作開發的各種代碼等硬件網絡設備：路由器、網管、交換機等計算機設備：大型機、小型機、服務器、工作站、臺式計算機、便攜計算機等存儲設備：磁帶機、磁盤列陣、磁帶、光盤、軟盤、移動硬盤等傳輸線路：光纖、雙絞線等保障設備：UPS、變電設備等、空調、保險柜、文件柜、門禁、消防設備等安全保障設備：防火墻、入侵檢測系統、身份鑒別等其他：打印機、復印機、掃描儀、傳真機等服務信息服務：對外依賴該系統開展的各類服務網絡服務：對各種網絡設備、設施提供的網絡連接服務辦公服務：為提高效率而開發的管理信息系統，包括各種內部配置管理、文件流轉管理等服務人員掌握重要信息和核心業務的人員，如主機維護主管、網絡維護主管及應用項目經理等其他企業形象、客戶關系等

20

信息安全保障人員認證102018/7/5信息安全保障人員認證21評估威脅識別由自然因素產生的適用的威脅識別由人為因素（無意或有意）產生的適用的威脅識別在特定環境中合適的測量單位和適用范圍針對人為因素產生的威脅，評估威脅著的能力和動機評估威脅事件發生的可能性監視威脅特征分布中正在發生的變化以及其特征的變更信息安全保障人員認證22評估脆弱性類型識別對象識別內容技術脆弱性物理環境從機房場地、機房防火、機房供配電、機房防靜電、機房接地與防雷、電磁防護、通信線路的保護、機房區域防護、機房設備管理等方面進行識別網絡結構從網絡結構設計、邊界保護、外部訪問控制策略、內部訪問控制策略、網絡設備安全配置等方面進行識別系統軟件從補丁安裝、物理保護、用戶賬號、口令策略、資源共享、事件審計、訪問控制、新系統配置、注冊表加固、網絡安全、系統管理等方面進行識別應用中間件從協議安全、交易完整性、數據完整性等方面進行識別。應用系統從審計機制、審計存儲、訪問控制策略、數據完整性、通信、鑒別機制、密碼保護等方面進行識別管理脆弱性技術管理從物理和環境安全、通信與操作管理、訪問控制、系統開發組織管理從安全策略、組織安全、資產分類與控制、人員安全、符合性等方面進行識別112018/7/5信息安全保障人員認證23評估影響識別和分析由系統支撐的運行、業務或使命能力，并且排列優先順序識別支持核心運行能力或系統安全目標的系統資產，并且描述其特征選擇用于評估的影響度量項必要時，識別選擇用于評估的度量項與度量項轉換因子之間的關系使用多個度量項或者（適當時）整理的度量項來識別不希望事件的不希望影響，并且描述其特征監視影響正在發生的變化信息安全保障人員認證24評估安全風險選擇用于對已定義環境中系統的安全風險進行分析、評估和比較的方法、技術和準則識別威脅、脆弱性、影響三者評估與每個暴露的發生相關的風險評估與暴露的風險相關的總的不確定性按優先權排列風險監視風險特征分布中正在發生的變化以及其特征的變化122018/7/5信息安全保障人員認證25業務安全需求業務是指集成后信息系統所支撐的組織的活動，是信息系統安全保障的本質對象。如何實現對業務的保護是安全需求的主要內容之一。不同的領域，不同行業對業務的保護的側重點有所不同。信息安全保障人員認證26過程輸出客戶安全需求陳述安全約束條件安全輪廓預期的威脅環境評價目標（對象）運行系統的概念概念性安全體系結構運行/環境安全策略系統安全策略安全相關要求可追蹤性矩陣批準的安全目標安全相關的要求基線132018/7/5信息安全保障人員認證273.3安全設計1.總體思路要求信息系統安全集成建設需從整體性、動態性、層次性、過程性和相對安全的幾個角度綜合考慮和設計。整體性

動態性

層次性

過程性

相對安全信息安全保障人員認證283.3安全設計2.主要內容措施盤點（管理措施、配置措施、技術措施）安全設計142018/7/5信息安全保障人員認證29總體設計識別并優化業務流程梳理并優化數據流設計并確定載體互聯方案設計并落實環境互通方案設計并審核信息安全保障方案設計并落實資源及管理整合方案信息安全保障人員認證30措施盤點與計劃1.管理措施2.技術措施技術措施可以通過軟件和硬件兩種形式體現，這些產品根據相關標準分為如下8個類別：物理安全類、主機安全類、網絡安全類、邊界安全類、應用安全類、數據安全類、安全管理與支持類。3.措施計劃措施計劃的主要內容是安全產品、單元、部件的部署方案的設計。152018/7/5一級分類二級分類信息安全保障人員認證編號類別編號類別A物理安全A1環境安全A2設備安全A3介質安全B主機安全B1身份認證B2主機防護B3防惡意代碼B4操作系統安全C網絡安全C1通信安全C2網絡監測C3內容安全D邊界安全D1邊界隔離D2入侵防范D3邊界訪問控制D4網絡終端安全E應用安全E1應用服務安全E2應用服務安全支持F數據安全F1數據平臺安全F2備份與恢復G安全管理與支持G1綜合審計G2應急響應支持G3密碼支持G4風險評估G5安全管理31信息安全保障人員認證32數據安全設計1.數據安全措施技術措施包括：安全數據庫，數據庫安全部件，數據備份與恢復、內容過濾與控制、信息防泄露等產品用于數據安全。2.數據安全設計數據安全設計從數據的生命周期的各個階段、數據安全屬性以及信息安全保障的6個環節的安全設計來進行系統分析。162018/7/5信息安全保障人員認證33載體安全設計1.載體安全措施（技術措施、管理措施）2.載體安全設計載體的安全設計需從系統安全需求出發，結合總體設計、載體互通設計及載體相關安全功能的考慮來進行綜合設計。信息安全保障人員認證34環境安全設計1.環境安全措施（區域防護、災備防護、身份認證、入侵檢測、訪問控制、病毒防治、特定代碼防護、安全操作系統、操作系統安全部件、可用性保障、安全監控、安全審計等）2.環境安全設計（物理環境、主機計算環境、應用層計算環境、網絡環境）172018/7/5信息安全保障人員認證35邊界安全設計1.邊界安全措施（物理邊界、網絡邊界、計算環境邊界）2.物理邊界的安全設計（安防設備、門禁設備及其相關的管理措施）3.網絡邊界的安全設計（機房安全設計技術與規范、防火墻技術、入侵檢測技術、網閘技術等。）信息安全保障人員認證36過程輸出安全工程域其他學科之間的協議所需輸入的描述安全設計準則安全實現規則文檔編制要求系統體系結構的安全視圖安全設計文檔安全模型安全體系結構信任分析權衡分析研究結果和建議端到端的權衡分析研究結果體系結構建議設計建議實現建議安全體系結構建議保護原理設計標準、原則、原理編碼標準管理員手冊用戶手冊安全概述系統配置說明書182018/7/5信息安全保障人員認證373.4

安全實施安全實施是工程組對安全設計方案付諸實踐的環節，其主要內容包括對現有系統利用安全措施進行加固；對新的信息系統進行編碼實現、測試等開發工作。信息安全保障人員認證措施實施1.實施工作確定并明確實施方案及后備方案明確實施的安全原則識別并管理實施風險制定應急響應預案

提供安全輸入明確資源配置2.常見的配置及管理措施 操作系統配置措施

數據庫系統配置措施WEB服務器的安全設置38192018/7/5信息安全保障人員認證39安全工程實施1.實施原則2.安全編碼基本概念

方法與措施安全編碼意識培養安全編碼技術（內存安全、線程進程安全、異常處理安全、輸入安全、國際化安全、面向對象編程安全、Web編程安全）信息安全保障人員認證40過程輸出安全實施的指導原則實施計劃與方案實施方案識別實施計劃審核實施日志202018/7/5信息安全保障人員認證413.5

安全測評安全測評是指對完成實施的信息系統進行安全測試與安全評價。安全測試從包括對信息系統的安全功能測試和安全漏洞測試兩方面。安全功能測試用于確認系統的安全功能的實現；安全漏洞測試針對安全需求，采用模擬攻擊形式進行系統的安全特性實現的驗證與確認。安全評價是結合安全測試的結果，對信息系統的安全性進行評價。信息安全保障人員認證42安全測試與工具1.基本概念安全測試確認計算環境的安全功能、發現計算環境在部署、配置及軟件代碼在設計、實現、操作和管理等方面缺陷的過程。安全功能測試脆弱性測試2.安全測試流程通常安全測試分為測試前的準備階段、安全測試執行階段和測試完成后的數據匯總分析階段三個階段。3.安全測試技術與方法 安全審查技術目標識別與分析技術目標漏洞驗證技術4.安全測試工具212018/7/5信息安全保障人員認證43評價方法與準則1.評價方法依據安全功能和漏洞測試、滲透測試結果，對新系統中的數據對象、載體對象、環境與邊界對象的可用性、機密性、完整性、真實性和不可否認性等安全屬性，依據評價準則進行評價并給出綜合評價結果。2.評價準則結合安全需求、系統安全設計方案，制定數據、載體、環境與邊界的安全屬性的定量或定性的評價準則。信息安全保障人員認證44過程輸出安全測評的指導原則對象清單總體計劃測試方案識別工具準備與識別測評人員與組織安全功能測試設計與測試結果安全性能測試設計與測試結果安全測試的總體評價結果222018/7/5信息安全保障人員認證453.6

安全監視與評審安全監視與評審是安全集成兩種模式中所共有的環節，主要針對安全集成方案實施后的系統安全態勢進行監視，對系統設計方案和計劃的有效性進行評審，包括安全信息系統的安全改進與提升的可能與需求。信息安全保障人員認證46安全態勢監視安全態勢監視的目的是確保識別和報告所有對安全的破壞、試圖破壞或者可能導致安全受到破壞的錯誤。要針對所有可能對系統安全構成影響的因素，監視外部和內部環境。具體目標包括：探測和跟蹤與內部和外部安全有關的事件；按照策略對事件作出響應；根據安全目標識別和處理安全態勢的變化。232018/7/5信息安全保障人員認證47安全驗證與確認驗證和確認安全的目的是確保關于安全的解決方案得到驗證和確認。針對安全要求、體系結構和設計，使用觀察、示范、分析和測試來驗證解決方案。針對顧客的運行安全需要來確認解決方案。信息安全保障人員認證48過程輸出每個設計的描述—日志記錄的組成和來源—事件識別參數—所有當前單一日志記錄報警整體列表—所有當前單一日志記錄報警整體列表……問題報告—不一致處—無效解決方案—測試結果—可追蹤矩陣。242018/7/5信息安全保障人員認證493.7

改進改進環節是安全集成模型的最后一個環節，也是再次集成的需求來源之一和促使再次集成的主要原因之一。改進是持續無止境的，這符合事物螺旋式發展的基本規律。信息安全保障人員認證50持續改進信息系統改進集成能力改進二者的相互關系252018/7/5信息安全保障人員認證51能力自我評估組織的能力成熟度評估分為：規劃、準備、現場和報告

4個階段。規劃階段活動說

明輸出范圍評估提煉模型的過程域以滿足該評估發起者的特殊需求理解發起者的目標收集初步證據證據源于對調查表的回答，它可從評估組織收集得到完成的調查表證據規劃評估為實施已產生并被批準的評估而組織好的計劃和一致同意的方法小組成員評估計劃和調查表信息安全保障人員認證522.準備階段活動說

明輸出準備評估小組這一步保證所有評估小組成員熟悉SSE-CMM，并接受相同的實施評估命令小組支持評估分發調查表將預先確定的調查表分發給工程主管，以便得到被評組織的初步信息完成調查表合并證據匯集調查表回答中表明答案的支持證據和整理調查表數據證據的匯集抄寫調查表數據分析證據/調查表小組對此階段收集的所有證據進行徹底評審，準備在現場階段向工程主管提出的問題向工程主管提出的問題262018/7/5533.現場階段活動說明輸出召開行政會議行政會議為管理層提供評估綜述，并為評估小組提供對該組織機構在評估環境下的看法評估受到支持回答的問題召開開幕式開幕式為參與者提供評估綜述，這也是管理層表示支持評估的時機評估受到支持回答的問題采訪工程主管通過使用探討性問題組織好的采訪技術，評估小組采集有關項目的系統安全工程實施的確認數據采訪筆記數據請求合并來自工程主管的數據小組成員復查他們自己的筆記，討論問題，更新數據跟蹤表單更新數據跟蹤表單調整工程主管的采訪記錄采訪專業人員通過使用探討性問題組織好的采訪技術，評估小組采集有關項目的系統安全工程實施的確認數據采訪筆記數據請求合并來自專業人員的數據小組成員復查自己的筆記，談論問題，更新數據跟蹤表單完成的數據跟蹤