信息安全工程总结

章节总览：

• 第一章 信息安全工程

• 第二章 ISSE过程

• 第三章 SSE-CMM过程

• 第四章 信息安全等级保护

• 第五章 信息安全管理

• 第六章 信息安全风险评估

• 第七章 信息安全策略

英文关键词对照：

• SDLC：系统开发生命周期
• PDRR（信息保障安全模型）：保护、检测、响应和恢复
• ISSE：信息系统安全工程
• SSE-CMM：信息安全工程能力成熟度模型
• IDEAL（SSE-CMM应用：过程改进）：初始化、诊断、建立、执行和学习
• ISMS：信息安全管理体系
• PDCA（戴明环循环模型）：“规划、实施、检查、处置”
• 风险评估算法：
  • OCTAVE法
  • Analytic Hierarchy Process：层次分析法
• PPDR（安全策略模型）：策略、防护、检测、响应

下载

• 本文PDF下载：点击这里👈
• 期末总结PPT课件下载：点击这里👈
• 练习题及答案下载：点击这里👈

第一章：信息安全工程

信息安全工程：

研究如何建立能够面对错误、攻击和灾难的可靠信息系统。

信息安全工程与软件工程的区别：

• 软件工程： 保证事情发生；
• 信息安全工程：保证事情不能发生。

信息安全的目标：

• 设备安全：信息系统设备安全
• 数据安全：确保数据本身的安全属性
• 行为安全：主体行为的过程和结果
• 内容安全：语义层次安全

信息保障

关注的是信息系统整个生命周期的保护、检测、响应和恢复等安全机制，即PDRR安全模型。

信息系统安全保障模型：

一、保障要素：

1. 技术
2. 工程
3. 管理
4. 人员

二、生命周期：

1. 计划组织
2. 开发采购
3. 实施交付
4. 运行维护
5. 废弃

三、安全特性：

1. 机密性
2. 完整性
3. 可用性

第二章：ISSE过程

信息系统安全工程（ISSE）

ISSE概念

信息系统安全工程（ISSE）是对信息系统建设中涉及的多种要素按照系统论的科学方法来进行操作的一种安全工程理论，

ISSE的指导思想

将安全工程与信息系统开发集成。

ISSE过程图

信息安全需求的挖掘

了解用户的工作任务需求、相关政策、法规、标准、惯例，以及在使用环境中受到的威胁

• 了解信息保护需求
• 掌握信息系统威胁
• 考虑信息安全策略

信息系统安全的定义

定义信息安全系统：确定信息安全系统将要保护什么，如何完成其功能，以及描述信息安全系统的边界和环境的联系情况。

ISSE的基本功能

• 安全规划与控制
• 确定安全需求
• 支持安全设计
• 分析安全操作
• 支持安全生命周期
• 管理安全风险

信息系统安全保障工程实施简要框架

第三章 SSE-CMM

SSE-CMM概述

• 信息安全工程能力成熟度模型（SSE-CMM）描述了一个组织的安全工程过程的本质特征。

• SSE-CMM是从工程实现中所观察到的经验抽象而成，并没有规定一个特定的过程或顺序。

• SSE-CMM重要用途在于对信息安全工程能力进行评估，因而该模型是信息安全工程实施的通用评估标准。

SSE-CMM体系结构—过程域

SSE-CMM 包含三类过程域：

1. 安全工程过程域
2. 项目过程域：
   1. 目标1：确保项目的质量，这不但要考虑系统的质量，而且还要考虑用于构造系统的过程域的质量 。
   2. 目标2：对项目的技术工作进行有效的管理，这涉及对技术工作的计划和监控。
3. 组织过程域：
   1. 为安全工程提供支持
   2. 指导产品开发方向
   3. 安全工程过程的标准化

SSE-CMM基本单元

与基于时间维的ISSE过程不同，SSE-CMM是将通用的安全工程过程分为三个不同的基本单元：

1. 风险
2. 工程
3. 信任度

风险

安全工程的主要目标之一就是减轻风险

风险包含了威胁、脆弱性和影响。

工程

SSE-CMM认为安全工程跟其他学科一样，都要经历概念、设计、实现、测试、配置、操作、维护和淘汰等过程，这体现了对ISSE的继承。

SSE-CMM中与工程相关的过程域：

信任度

信任度是指满足安全需求的信心程度，通常是以论据的形式进行交流。

SSE-CMM结构描述

SSE-CMM模型设计成具有两个维数，分别称为“域”和“能力”

• 域维：包含了共同定义安全工程的实施活动，这些实施在SSE-CMM模型中称为“基本实践” 组件。
• 能力维：表示的实践代表了组织对过程的管理和制度化能力，它们称为“通用实践” 。通用实践是基本实践过程中必须要完成的活动。

过程域与基本实践的关系

公共特征与通用实践的关系

能力级别代表安全工程组织的成熟级别

SSE-CMM模型作用

SSE-CMM包含的各项工程实践（基本实践和通用实践）涵盖了广泛的安全内容，适用于所有以某种形式实践安全工程的组织，而不管生命周期、范围、环境或者专业。

SSE-CMM可用于以下三种场合

1. 过程改进
2. 能力评估
3. 信任度提升

SSE-CMM应用—过程改进

IDEAL方法—初始化（Initiating）、诊断（Diagnosing）、建立（Establishing）、执行（Acting）和学习（Learning）

目的：周期性地评估系统的安全状态，不断改进组织的安全工程过程。

SSE-CMM应用—能力评估

评估方法（SSAM，SSE-CMM Appraisal Method）文档用于指导评估，并给出了评估方法的基本前提，以提供如何将模型用于工程过程能力评估的环境信息。

SSE-CMM应用—信任度提升

在SSE-CMM项目所定义的目标中，以下目标与客户的需求紧密相联系：

1. 提供了一种度量和增强方法。
2. 提供了一种备选的信任度保证方法。
3. 提供了一个参考标准。

ISSE与SSE-CMM的比较

ISSE的功能过程与SSE-CMM的过程域的对应关系

第四章 信息安全等级保护

概念

指对涉及国计民生的基础信息网络和重要信息系统按其重要程度及实际安全需求合理投入，分级进行保护，分类指导，分阶段实施。

等级保护的核心观念是保护重点、适度安全。

信息系统安全等级保护目的

规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设。

国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。

信息系统安全等级保护原则

1. 自主保护原则：自主确定、自行实施；
2. 重点保护原则：集中资源、关键信息系统；
3. 同步建设原则：同步规划和设计安全方案；
4. 动态调整原则：因需而变

信息系统的安全保护等级

1. 第一级 用户自主保护级：用户自主控制资源访问
2. 第二级 系统审计保护级：访问行为需要被审计
3. 第三级 安全标记保护级：通过标记实现强制访问控制
4. 第四级 结构化保护级：可信计算机结构化
5. 第五级 访问验证保护级：所有的过程都需要验证

定级要素：

1. 等级保护对象受到破坏时所侵害的客体
2. 对客体造成侵害的程度。

受侵害的客体（三个方面）

1. 公民、法人和其他组织的合法权益
2. 社会秩序、公共利益
3. 国家安全

侵害的程度：

1. 一般损害
2. 严重损害
3. 特别严重损害

《信息系统安全等级保护基本要求》

基本要求的组织方式：

• 针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求。
• 根据实现方式的不同，基本安全要求分为基本技术要求和基本管理要求两大类。

根据信息系统所承载的业务应用的不同安全需求，采用不同的安全保护等级。

对不同的信息系统或同一信息系统中的不同安全域进行不同程度的安全保护，以实现对信息系统及其所存储、传输和处理的数据信息在安全保护方面，达到确保重点，照顾一般，适度保护，合理共享的目标。

信息系统安全防护按照边界安全防护、网络环境安全防护、主机安全防护和应用防护4个层次进行防护措施设计。

安全域

指同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网或网络。

信息系统安全域的划分主要考虑因素：

1. 业务和功能特性
2. 安全特性的要求
3. 参照现有状况

第五章 信息安全管理

概念

是指导和控制组织内部关于信息安全风险的相互协调活动。

内容

是对一个组织机构中信息系统的生命周期全过程实施符合安全等级责任要求的管理。包括：信息安全风险管理、设施的安全管理、信息的安全管理、运行的安全管理。

信息安全管理的原则

1. 规范化原则
2. 系统化原则
3. 综合保障原则
4. 以人为本原则
5. 预防原则
6. 风险评估原则
7. 动态原则
8. 成本效益原则

信息安全管理的安全因素

信息安全管理模型

信息安全管理体系

信息安全管理体系（ISMS）

是组织在一定范围内建立的信息安全方针和目标，以及为实现这些方针和目标所采用的方法和文件体系。

PDCA（戴明环）循环模型：
“规划（Plan）-实施（Do）-检查（Check）-处置（Act）”

ISMS的特点

1. 强调基于系统、全面和科学的风险评估，体现以预防控制为主的思想。
2. 强调全过程的动态控制，达到控制成本与风险的平衡。
3. 强调关键资产的信息安全保护，保持组织的竞争优势和运作持续性。

ISMS的建设过程

1. ISMS的准备。
2. ISMS的建立。
3. ISMS的实施和运行。
4. ISMS的监视和评审。
5. ISMS的保持和改进。
6. ISMS的认证。

信息安全管理体系的建立

实施ISMS风险评估

风险评估为控制目标与控制措施的选择提供依据，也是对安全控制的效果进行测量和评价的主要方法。

风险评估是对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估，即利用适当的风险评估工具，包括定性和定量的方法，确定资产风险等级和优先控制顺序等。

风险评估的过程：

1. 风险识别
2. 风险评估

实施ISMS风险评估1——风险识别

风险识别的范围：

1. ISMS范围内的信息资产及其估价，以及资产负责人。
2. 信息资产面临的威胁，以及威胁发生的可能性与潜在影响。
3. 可被威胁利用的脆弱性，以及被利用的难易程度。

信息安全管理体系监视和评审

监视和评审过程

1. 执行监视、评审规程和其他控制措施。
2. 定期评审ISMS的有效性。
3. 测量控制措施的有效性，验证安全要求是否被满足。
4. 定期进行风险评估的评审，以及对残余风险和已确定的可接受的风险级别进行评审。
5. 定期进行ISMS内部审核和管理评审。

ISMS内部审核

1. 内部审核要确定ISMS的控制目标、控制措施、过程和程序是否达到如下要求：
2. 符合标准，以及相关法律法规的要求。
3. 符合已识别的信息安全要求，例如安全目标、安全漏洞、风险控制等。
4. 得到有效地实施和保持。
5. 按期望运行。

ISMS管理评审

• 组织的最高管理者应该按照计划的时间间隔（至少每年一次）评审信息安全管理体系，以确保其持续的适宜性、充分性和有效性。
• 管理评审过程，应确保收集到必要的信息，以供管理者对包括ISMS改进的机会和变更的需要，以及安全方针和安全目标等在内进行评价，评审结果应清楚地写入文件，并保持记录。

管理评审的时机：

• 一般每年做一次管理评审，有的认证机构每半年有一次监督审核，因此企业每六个月做一次管理评审。但若发生以下情况，应适时进行管理评审：
  • 在进行第三方认证之前。
  • 企业内、外部环境发生较大变化时。
  • 新的ISMS进行正式运行时。
  • 其他必要的时候，如发生重大信息安全事故时。

第六章 信息安全风险评估

概念及目的

信息安全风险评估概念

是参照风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。

风险评估的最终目的

帮助选择安全防护措施，将风险降低到可接受的程度，提高信息安全保障能力。

风险评估是信息安全管理体系的核心环节，是信息安全保障体系建设过程中的重要评价方法和决策机制。

风险评估的原则：

1. 可控性原则：人员、工具、项目过程可控。
2. 可靠性原则：根据标准和规定，有据可查。
3. 完整性原则：全面。
4. 最小影响原则：不影响组织的正常业务。
5. 时间与成本有效原则：平衡合理。
6. 保密原则

信息安全风险评估的内容和要素

风险评估是组织进一步确定信息安全需求和改进信息安全策略的重要途径，属于组织ISMS策划的过程。

信息系统是信息安全风险评估的对象

信息系统中的资产、面临的可能威胁、存在的脆弱性、安全风险及其对业务的影响，以及系统中已有的安全控制措施和安全需求等构成了信息安全风险评估的基本要素。

信息安全风险评估的基本要素

风险评估的相关要素1——资产

资产: 有价值的信息或资源，是策略保护的对象。

资产安全特性的三个要素：信息资产的机密性、完整性和可用性。

资产能够以多种形式存在，包括有形的或无形的、硬件或软件、文档或代码，以及服务或形象等诸多表现形式。

风险评估的相关要素2——威胁

潜在的可能导致信息安全风险事件并对组织及资产造成损害的因素。

威胁必须利用资产固有的脆弱性才能完成对资产的损害，它可能来自人为或非人为的、可能是故意或无意的、可能是来自环境的。（环境+人为）

风险评估的相关要素3——脆弱性

也被称为弱点评估，是信息安全风险评估中的重要内容。

弱点是资产本身具有的，是与信息资产有关的造成风险的内因。

弱点是资产本身固有的，但它本身不会造成损失，它只是一种可能被威胁利用而造成损失的条件或环境。

脆弱性分为技术脆弱性和管理脆弱性。

风险评估的相关要素4——安全风险

指使得威胁可以利用脆弱性，从而直接或间接造成资产损害的一种潜在的影响，并以威胁利用脆弱性导致一系列不期望发生的安全事件来体现。

资产、威胁和脆弱性:是信息安全风险的基本要素，是信息安全风险存在的基本条件，缺一不可。

R = f(a, t, v)，其中R表示安全风险，a表示资产，t表示威胁，v表示脆弱性。

风险评估的相关要素5——影响

主要指安全风险对业务的影响，即威胁利用资产脆弱性导致资产价值损失等不期望发生事件的后果。

影响的后果表现形式：

• 直接形式，如物理介质或设备的损坏、人员的损伤、资金的损失等。
• 间接形式，如公司信用和名誉受损、市场份额减少、承担法律责任等。

风险评估的相关要素6——安全控制措施

指为保护组织资产、防止威胁、减少脆弱性、限制安全事件的影响、加速安全事件的检测及响应而采取的各种实践、过程和机制。

• 安全控制措施的实施领域：
  • 组织政策与资产管理
  • 物理环境
  • 技术控制
  • 人员管理

风险评估的相关要素7——安全需求

指为保证组织业务战略的正常运作而在安全控制措施方面提出的要求。

安全需求来源于以下三个方面：

1. 风险评估的要求。
2. 法律、法规和合同的要求。
3. 业务规则、业务目标和业务信息处理的要求。

风险要素之间的关系

信息安全风险评估过程

风险计算与分析——计算公式

R = R(A, T, V)-Rc = R(P(T, V), I(Ve, Sz)) –Rc

• R ——安全风险

• A ——资产

• T ——威胁

• V ——脆弱性

• Rc ——已有控制所所减少的风险

• Ve ——安全事件所作用的资产价值

• Sz ——脆弱性严重程度

• P ——威胁利用资产的脆弱性导致安全事件的可能性

• I ——安全事件发生后造成的影响

R = R(P(T, V), I(Ve, Sz))

现有安全控制措施的确认

安全控制措施：预防性安全控制措施、检查性安全控制措施和纠正性安全控制措施。

安全控制措施的确认应评估其有效性，即是否真正地降低了系统的脆弱性，抵御了威胁。

• 有效的安全控制措施：继续保持。
• 不适当的安全控制措施：取消、修正或替代。

风险管理处理—安全控制措施的选择

当选择安全控制措施时，要考虑以下因素：

• 控制的成本：安全平衡原则。

• 控制的可用性。

• 已存在的控制：补充、兼容。

• 控制功能的范围和强度。

最终结果只能是降低风险到可接受的水平，或做出正式的管理决策接受风险，其目的是为了控制风险。

控制风险的方法：风险规避、转移风险、降低风险和接受风险。

典型风险评估算法

OCTAVE法

分3个阶段，明确所有评估环节的具体实施及输出结果。

层次分析法（Analytic Hierarchy Process法）

分5个步骤。将一个复杂的多目标决策问题作为一个系统，将目标分解为多个目标或准则，进而分解为多指标（或准则、约束）的若干层次，通过定性指标模糊量化方法算出层次单排序（权数）和总排序，以作为目标（多指标）、多方案优化决策的系统方法。

信息安全风险评估方法

1. 基本风险评估
2. 详细风险评估
3. 综合风险评估

第七章 信息安全策略

信息安全策略概述

是在整体的安全策略的控制和引导下，在综合运用防护工具的同时，利用检测工具了解和评估系统的安全状态，通过适当的反应将系统调整到“最安全”和“风险最低”的状态。

防护、检测和响应组成了一个完整的、动态的安全循环，在安全策略的指导下保证信息系统的安全。

PPDR模型是基于时间的安全理论为基础，用时间来衡量一个体系的安全性和安全能力。提高系统的防护时间；降低检测时间和响应时间。

PPDR

PPDR= Policy、Protection、Detection、Response

• Policy：模型的核心。防护、检测和响应是根据安全策略实施的。
• Protection：根据系统可能出现的安全问题而采取的措施。
• Detection：攻击者穿透防护系统时，检测发挥作用。检测是动态响应的依据。
• Response：事件处理。包括应急响应和灾难恢复。

计算机安全研究组织SANS描述：

• 为了保护存储在计算机中的信息，安全策略要确定必须做什么，一个好的策略有足够多‘做什么’的定义，以便于执行者确定‘如何做’，并且能够进行度量和评估。
• 一组规则，描述了一个组织要实现的信息安全目标和实现这些信息安全目标的途径。
• 信息安全策略提供：信息保护的内容和目标，信息保护的职责落实，实施信息保护的方法，事故的处理。

信息安全策略的分类

• 总体安全策略（或企业信息安全策略）
• 问题安全策略
• 功能安全策略

信息安全策略的内容

物理和环境安全策略

安全区域：

根据信息安全的分层管理，将支持涉密信息或关键业务活动的设备放置在安全区域中。

设备安全：

对支持涉密信息或关键业务过程（包括备份设备和存储过程）的设备应该适当地在物理上进行保护以避免安全威胁和环境危险。

物理访问控制：

信息安全管理部门应建立访问控制程序，控制并限制所有对计算机及信息系统计算、存储和通信系统设施的物理访问。

建筑和环境的安全管理

确保计算机处理设施能正确的、连续的运行，必须在安全区域内建立环境状况监控机制。

保密室、计算机房访问记录管理

应设立物理访问记录，信息安全管理部门应定期检查物理访问记录本，以确保正确使用了这项控制。

计算机和网络运行管理策略

• 制定管理和操作所有计算机和网络所必需的职责和规程
  控制对信息处理设施和系统的变动
• 对计算机介质进行控制，必要时使用物理保护
• 鉴别和网络安全（人员、设备、网络连接、网络服务、网络拓扑结构等的鉴别）
• 操作人员应保留日志记录。
• 对错误及时报告并采取措施予以纠正
• 确保网络信息可用性、数据安全性、网络服务的有效性，避免非法访问
• 计算机和信息系统应制定有关使用电子邮件的策略（数字签名策略、加密策略、生物识别策略）
• 预防和检查（包括实时扫描/过滤和定期检查）
• 确定需要备份的内容、备份时间以及备份方式，建立有效的备份、恢复机制。

安全策略的制定原则

不同的信息系统采取不同的安全策略，同时要考虑安全策略的控制成本、策略本身的安全保障以及策略的可靠性与业务的灵活性等方面的平衡。制定信息安全策略时，遵循以下原则：

• 完整性原则。
• 一致性原则。
• 动态性原则。

安全策略的制定流程

安全策略的制定以系统工程建设来对待，系统开发的生命周期是实现这一目标的途径。当进行一项安全策略的制定工程时，可以用SDLC过程对其进行指导：

• 调查与分析阶段。
• 设计阶段。
• 实施阶段。
• 维护阶段。

信息安全策略实施与管理

策略管理方法

1. 集中式管理
2. 分布式管理

策略规范

1. 高层抽象策略
2. 规范层策略
3. 底层策略