1、1本章要點：風險評估的要素和基本流程CC和BS7799安全規(guī)范SSE-CMM計算機系統(tǒng)等級保護制度2安全設計和安全域/等級保護的結(jié)合安全體系的全面性措施分級保護、適度安全強度分級三分技術，七分管理3OSI的安全體系結(jié)構n網(wǎng)絡信息系統(tǒng)安全體系結(jié)構4信息安全評估及相關標準n信息安全評估n定義:n信息安全評估是對一個構件、產(chǎn)品、子系統(tǒng)或系統(tǒng)的安全屬性進行的技術評價，通過評估判斷該構件、產(chǎn)品、子系統(tǒng)或系統(tǒng)是否滿足一組特定的要求n產(chǎn)品安全評估n信息系統(tǒng)安全評估5風險評估的目的n了解組織的安全現(xiàn)狀n分析組織的安全需求n建立信息安全管理體系的要求n制訂安全策略和實施安防措施的依據(jù)n組織實現(xiàn)信息安全的必要的、

2、重要的步驟6.風險的四個要素：l 資產(chǎn)及其價值l 威脅l 脆弱性l 現(xiàn)有的和計劃的控制措施資產(chǎn)的分類 電子信息資產(chǎn)電子信息資產(chǎn) 軟件資產(chǎn)軟件資產(chǎn) 物理資產(chǎn)物理資產(chǎn) 人員人員 公司形象和名譽公司形象和名譽威脅舉例：黑客入侵和攻擊黑客入侵和攻擊病毒和其他惡意程序病毒和其他惡意程序軟硬件故障軟硬件故障人為誤操作人為誤操作自然災害如：地震、火災、爆炸等自然災害如：地震、火災、爆炸等盜竊盜竊網(wǎng)絡監(jiān)聽網(wǎng)絡監(jiān)聽供電故障供電故障后門后門未授權訪問未授權訪問7脆弱性是與信息資產(chǎn)有關的弱點或安全隱患。是與信息資產(chǎn)有關的弱點或安全隱患。脆弱性本身并不對資產(chǎn)構成危害，但是在一定條件得到滿足時，脆弱性本身并不對資產(chǎn)構成

3、危害，但是在一定條件得到滿足時，脆弱性會被威脅加以利用來對信息資產(chǎn)造成危害。脆弱性會被威脅加以利用來對信息資產(chǎn)造成危害。脆弱性舉例：系統(tǒng)漏洞系統(tǒng)漏洞程序程序Bug專業(yè)人員缺乏專業(yè)人員缺乏不良習慣不良習慣系統(tǒng)沒有進行安全配置系統(tǒng)沒有進行安全配置物理環(huán)境不安全物理環(huán)境不安全缺少審計缺少審計缺乏安全意識缺乏安全意識后門后門.風險的四個要素：8安全評估模型9安全評估模型10安全評估模型11121314評估工具評估工具評估工具目前存在以下幾類：評估工具目前存在以下幾類：n掃描工具：包括主機掃描、網(wǎng)絡掃描、數(shù)據(jù)庫掃描，用掃描工具：包括主機掃描、網(wǎng)絡掃描、數(shù)據(jù)庫掃描，用于分析系統(tǒng)的常見漏洞；于分析系統(tǒng)的常見

4、漏洞；n入侵檢測系統(tǒng)（入侵檢測系統(tǒng)（IDSIDS）：）：用于收集與統(tǒng)計威脅數(shù)據(jù)；用于收集與統(tǒng)計威脅數(shù)據(jù)；n滲透性測試工具：黑客工具，用于人工滲透，評估系統(tǒng)滲透性測試工具：黑客工具，用于人工滲透，評估系統(tǒng)的深層次漏洞；的深層次漏洞；n主機安全性審計工具：用于分析主機系統(tǒng)配置的安全性；主機安全性審計工具：用于分析主機系統(tǒng)配置的安全性；n安全管理評價系統(tǒng)：用于安全訪談，評價安全管理措施；安全管理評價系統(tǒng)：用于安全訪談，評價安全管理措施；n 風險綜合分析系統(tǒng)：在基礎數(shù)據(jù)基礎上，定量、綜合風險綜合分析系統(tǒng)：在基礎數(shù)據(jù)基礎上，定量、綜合分析系統(tǒng)的風險，并且提供分類統(tǒng)計、查詢、分析系統(tǒng)的風險，并且提供分類統(tǒng)

5、計、查詢、TOP N查查詢以及報表輸出功能；詢以及報表輸出功能；n評估支撐環(huán)境工具評估支撐環(huán)境工具: : 評估指標庫、知識庫、漏洞庫、算評估指標庫、知識庫、漏洞庫、算法庫、模型庫。法庫、模型庫。15n信息技術安全評估準則發(fā)展過程信息技術安全評估準則發(fā)展過程 n可信計算機系統(tǒng)評估準則可信計算機系統(tǒng)評估準則TCSECn信息技術安全評估準則信息技術安全評估準則ITSECn通用準則通用準則CC（ISO 15408、GB/T18336)n計算機信息系統(tǒng)安全保護等級劃分準則計算機信息系統(tǒng)安全保護等級劃分準則nBS7799、ISO17799n信息技術信息技術 安全技術安全技術 信息技術安全性評估準則信息技術

6、安全性評估準則nISO13335 IT安全管理指南安全管理指南nSSE-CMM 系統(tǒng)安全工程能力成熟度模型系統(tǒng)安全工程能力成熟度模型n我國的信息安全標準制定情況我國的信息安全標準制定情況標準介紹標準介紹保障信息安全有三個支柱，一個是技術、一個是管理、一個是法律法規(guī)。國家的法律法保障信息安全有三個支柱，一個是技術、一個是管理、一個是法律法規(guī)。國家的法律法規(guī)，有專門的部門在研究和制定和推廣。規(guī)，有專門的部門在研究和制定和推廣。根據(jù)國務院根據(jù)國務院27號文件，對信息安全實施分級安全保護的規(guī)定出臺后，各有關部門都在積號文件，對信息安全實施分級安全保護的規(guī)定出臺后，各有關部門都在積極制定相關的制度和法規(guī)

7、，當前被普遍采用的技術標準的是極制定相關的制度和法規(guī)，當前被普遍采用的技術標準的是CC/ISO 15408，管理體系標，管理體系標準是準是ISO 17799/ BS 7799。 16GB 18336 idt ISO/IEC 15408信息技術安全性評估準則信息技術安全性評估準則IATF 信息保障技術框架信息保障技術框架ISSE 信息系統(tǒng)安全工程信息系統(tǒng)安全工程SSE-CMM系統(tǒng)安全工程能力成熟度模型系統(tǒng)安全工程能力成熟度模型BS 7799, ISO/IEC 17799信息安全管理實踐準則信息安全管理實踐準則其他相關標準、準則其他相關標準、準則例如：例如：ISO/IEC 15443, COBIT

8、。系統(tǒng)認證和認可標準和實踐系統(tǒng)認證和認可標準和實踐例如：美國例如：美國DITSCAP, 中國信息安全產(chǎn)品測評認證中心中國信息安全產(chǎn)品測評認證中心相關文檔和系統(tǒng)測評認證實踐相關文檔和系統(tǒng)測評認證實踐技術準則技術準則（信息技術系統(tǒng)評估準則）（信息技術系統(tǒng)評估準則）管理準則管理準則（信息系統(tǒng)管理評估準則）（信息系統(tǒng)管理評估準則）過程準則過程準則（信息系統(tǒng)安全工程評估準則）（信息系統(tǒng)安全工程評估準則）信信息息系系統(tǒng)統(tǒng)安安全全保保障障評評估估準準則則與與現(xiàn)現(xiàn)有有標標準準關關系系信息系統(tǒng)安全保障評估準則信息系統(tǒng)安全保障評估準則17信息技術安全評估準則發(fā)展過程1999年 GB 17859 計算機信息系統(tǒng)安全

9、保護等級劃分準則1991年歐洲信息技術安全性評估準則（ITSEC）國際通用準則1996年（CC1.0）1998年（CC2.0）1985年美國可信計算機系統(tǒng)評估準則（TCSEC）1993年 加拿大可信計算機產(chǎn)品評估準則（CTCPEC）1993年美國聯(lián)邦準則（FC 1.0）1999年 國際標準ISO/IEC 154081989年 英國可信級別標準（MEMO 3 DTI）德國評估標準（ZSEIC）法國評估標準（B-W-R BOOK）2001年 國家標準GB/T 18336 信息技術安全性評估準則idt iso/iec154081993年美國NIST的MSFR18CC的適用范圍nCC定義了評估信息技術

10、產(chǎn)品和系統(tǒng)安全型所需的基礎準則，是度量信息技術安全性的基準n針對在安全評估過程中信息技術產(chǎn)品和系統(tǒng)的安全功能及相應的保證措施提出的一組通用要求，使各種相對獨立的安全評估結(jié)果具有可比性。n該標準適用于對信息技術產(chǎn)品或系統(tǒng)的安全性進行評估，不論其實現(xiàn)方式是硬件、固件還是軟件，還可用于指導產(chǎn)品和系統(tǒng)開發(fā)。n該標準的主要目標讀者是用戶、開發(fā)者、評估者。19CC內(nèi)容nCC吸收了個先進國家對現(xiàn)代信息系統(tǒng)安全的經(jīng)驗和知識，對信息系統(tǒng)安全的研究和應用定來了深刻的影響。它分為三部分：n第一部分介紹CC的基本概念和基本原理；n第二部分提出了安全功能要求；n第三部分提出了非技術性的安全保證要求。20CC內(nèi)容n后兩部

11、分構成了CC安全要求的全部：安全功能要求和安全保證要求，其中安全保證的目的是為了確保安全功能的正確性和有效性，這是從ITSEC和CTCPEC中吸收的。同時CC還從FC中吸收了保護輪廓的(PP)的概念，從而為CC的應用和發(fā)展提供了最大可能的空間和自由度。nCC定義了作為評估信息技術產(chǎn)品和系統(tǒng)安全性的基礎準則，提出了目前國際上公認的表述信息技術安全性的結(jié)構，即：安全要求安全要求=規(guī)范產(chǎn)品和系統(tǒng)安全行為的功能要求+解決如何正確有效的實施這些功能的保證要求。21CC的關鍵概念2223通用準則CC 第二部分：安全功能要求nCC的第二部分是安全功能要求，對滿足安全需求的第二部分是安全功能要求，對滿足安全需

12、求的諸安全功能提出了詳細的要求的諸安全功能提出了詳細的要求n另外，如果有超出第二部分的安全功能要求，開發(fā)另外，如果有超出第二部分的安全功能要求，開發(fā)者可以根據(jù)者可以根據(jù)“類類-族族-組件組件-元素元素”的描述結(jié)構表達其安的描述結(jié)構表達其安全要求，并附加在其全要求，并附加在其ST中中24通用準則CC 第二部分：安全功能要求25通用準則CC 第二部分：安全功能要求26通用準則CC 第二部分：安全功能要求27通用準則CC 第二部分：安全功能要求28安全功能需求層次關系功能和保證要求以“類族組件”的結(jié)構表述，組件作為安全要求的最小構件塊，可以用于“保護輪廓”、“安全目標”和“包”的構建，例如由保證組件

13、構成典型的包“評估保證級包”。29通用準則CC：第三部分 評估方法nCC的第三部分是評估方法部分，共包括的第三部分是評估方法部分，共包括10個類。維個類。維護類提出了保證評估過的受測系統(tǒng)或產(chǎn)品運行于所獲護類提出了保證評估過的受測系統(tǒng)或產(chǎn)品運行于所獲得的安全級別上的要求得的安全級別上的要求n只有七個安全保證類是（評估對象）只有七個安全保證類是（評估對象）TOE的評估類別的評估類別 30通用準則CC：第三部分 評估方法31通用準則CC：第三部分 評估方法32通用準則CC：第三部分 評估方法33通用準則CC：第三部分 評估方法34通用準則CC：第三部分 評估方法35通用準則CC七個安全保證類七個安全

14、保證類1.ACM類：配置管理類：配置管理nCM 自動化自動化nCM 能力能力nCM 范圍范圍2.ADO類：交付和運行類：交付和運行n交付交付n安裝、生成和啟動安裝、生成和啟動3.ADV類：開發(fā)類：開發(fā)n功能規(guī)范功能規(guī)范n高層設計高層設計n實現(xiàn)表示實現(xiàn)表示nTSF內(nèi)部內(nèi)部n低層設計低層設計n表示對應性表示對應性n安全策略模型安全策略模型364.AGD類：指南文檔類：指南文檔n管理員指南管理員指南n用戶指南用戶指南5.ALC類：生命周期支持類：生命周期支持n開發(fā)安全開發(fā)安全n缺陷糾正缺陷糾正n生命周期定義生命周期定義n工具和技術工具和技術6.ATE類：測試類：測試n覆蓋范圍覆蓋范圍n深度深度n功能

15、測試功能測試n獨立性測試獨立性測試7.AVA類：脆弱性評定類：脆弱性評定n隱蔽信道分析隱蔽信道分析n誤用誤用4.TOE安全功能強度安全功能強度n脆弱性分析脆弱性分析通用準則CC37通用準則CC 安全保證要求部分提出了七個評估保證級安全保證要求部分提出了七個評估保證級別（別（Evaluation Assurance Levels：EALs）分別是：）分別是：38通用準則CC： EALEAL解釋解釋39通用準則CC： EAL解釋解釋40CC的EAL與其他標準等級的比較41BS7799的歷史沿革n1995年，英國制定國家標準BS 7799第一部分：“信息安全管理事務準則”，并提交國際標準組織(ISO

16、)，成為ISO DIS 14980。n1998年，英國公布BS 7799第二部分“信息安全管理規(guī)范”并成為信息安全管理認證的依據(jù)；同年，歐盟于1995年10月公布之“個人資料保護指令，自1998年10月25日起正式生效，要求以適當標準保護個人資料”。n2000年，國際標準組織 ISO/IEC JTC SC 27在日本東京10月21日通過BS 7799-1，成為 ISO DIS 17799-1，2000年12月1日正式發(fā)布。 n目前除英國之外，國際上已有荷蘭、丹麥、挪威、瑞典、芬蘭、澳大利亞、新西蘭、南非、巴西已同意使用BS 7799；日本、瑞士、盧森堡表示對BS 7799感興趣；我國的臺灣、香

17、港地區(qū)也在推廣該標準。nBS 7799(ISO/IEC17799)在歐洲的證書發(fā)放量已經(jīng)超過ISO9001。但是：nISO17799 不是認證標準，目前正在修訂。nBS7799-2 是認證標準，作為國際標準目前正在討論。42BS7799內(nèi)容：總則n要求各組織建立并運行一套經(jīng)過驗證的信息安全管理體系（ISMS），用于解決如下問題：資產(chǎn)的保管、組織的風險管理、管理標的和管理辦法、要求達到的安全程度。n建立管理框架n確立并驗證管理目標和管理辦法時需采取如下步驟：n定義信息安全策略n定義信息安全管理體系的范圍，包括定義該組織的特征、地點、資產(chǎn)和技術等方面的特征n進行合理的風險評估，包括找出資產(chǎn)面臨的威

18、脅、弱點、對組織的沖擊、風險的強弱程度等等n根據(jù)組織的信息安全策略及所要求的安全程度，決定應加以管理的風險領域n選出合理的管理標的和管理辦法，并加以實施；選擇方案時應做到有法可依n準備可行性聲明是指在聲明中應對所選擇的管理標的和管理辦法加以驗證，同時對選擇的理由進行驗證，并對第四章中排除的管理辦法進行記錄n對上述步驟的合理性應按規(guī)定期限定期審核。43BS7799部分nBS7799-1:1999 信息安全管理實施細則是組織建立并實施信息安全管理體系的一個指導性的準則， 主要為組織制定其信息安全策略和進行有效的信息安全控制提供的一個大眾化的最佳慣例。nBS7799-2:2002 信息安全管理體系規(guī)

19、范規(guī)定了建立、實施和文件化信息安全管理體系(ISMS)的要求，規(guī)定了根據(jù)獨立組織的需要應實施安全控制的要求。即本標準適用以下場合: 組織按照本標準要求建立并實施信息安全管理體系，進行有效的信息安全風險管理，確保商務可持續(xù)性發(fā)展； 作為尋求信息安全管理體系第三方認證的標準。 nBS7799標準第二部分明確提出安全控制要求，標準第一部分對應給出了通用的控制方法（措施），因此可以說，標準第一部分為第二部分的具體實施提供了指南。 BS 7799 Part 2Corporate GovernancePLANDOACTCHECK風險管理處理風險管理處理系統(tǒng)控制系統(tǒng)控制內(nèi)部審計功能內(nèi)部審計功能ISO/IEC

20、 1779944十大管理要項 BS 7799-2:200245十大管理要項 BS 7799-2:2002 1、 安全方針：為信息安全提供管理指導和支持；2、 組織安全：建立信息安全架構，保證組織的內(nèi)部管理；被第三方訪問或外協(xié)時，保障組織的信息安全；3、 資產(chǎn)的歸類與控制：明確資產(chǎn)責任，保持對組織資產(chǎn)的適當保護；將信息進行歸類，確保信息資產(chǎn)受到適當程度的保護；4、人員安全：在工作說明和資源方面，減少因人為錯誤、盜竊、欺詐和設施誤用造成的風險；加強用戶培訓，確保用戶清楚知道信息安全的危險性和相關事項，以便在他們的日常工作中支持組織的安全方針；制定安全事故或故障的反應程序，減少由安全事故和故障造成的

21、損失，監(jiān)控安全事件并從這種事件中吸取教訓；5、實物與環(huán)境安全：確定安全區(qū)域，防止非授權訪問、破壞、干擾商務場所和信息；通過保障設備安全，防止資產(chǎn)的丟失、破壞、資產(chǎn)危害及商務活動的中斷；采用通用的控制方式，防止信息或信息處理設施損壞或失竊；46十大管理要項 BS 7799-2:2002 6、通信和操作方式管理：明確操作程序及其責任，確保信息處理設施的正確、安全操作；加強系統(tǒng)策劃與驗收，減少系統(tǒng)失效風險；防范惡意軟件以保持軟件和信息的完整性；加強內(nèi)務管理以保持信息處理和通訊服務的完整性和有效性通過；加強網(wǎng)絡管理確保網(wǎng)絡中的信息安全及其輔助設施受到保護；通過保護媒體處理的安全，防止資產(chǎn)損壞和商務活動

22、的中斷；加強信息和軟件的交換的管理，防止組織間在交換信息時發(fā)生丟失、更改和誤用；7、訪問控制：按照訪問控制的商務要求，控制信息訪問；加強用戶訪問管理，防止非授權訪問信息系統(tǒng)；明確用戶職責，防止非授權的用戶訪問；加強網(wǎng)絡訪問控制，保護網(wǎng)絡服務程序；加強操作系統(tǒng)訪問控制，防止非授權的計算機訪問；加強應用訪問控制，防止非授權訪問系統(tǒng)中的信息；通過監(jiān)控系統(tǒng)的訪問與使用，監(jiān)測非授權行為；在移動式計算和電傳工作方面，確保使用移動式計算和電傳工作設施的信息安全；8、系統(tǒng)開發(fā)與維護：明確系統(tǒng)安全要求，確保安全性已構成信息系統(tǒng)的一部份；加強應用系統(tǒng)的安全，防止應用系統(tǒng)用戶數(shù)據(jù)的丟失、被修改或誤用；加強密碼技術控

23、制，保護信息的保密性、可靠性或完整性；加強系統(tǒng)文件的安全，確保IT方案及其支持活動以安全的方式進行；加強開發(fā)和支持過程的安全，確保應用系統(tǒng)軟件和信息的安全； 9、商務連續(xù)性管理：防止商務活動的中斷及保護關鍵商務過程不受重大失誤或災難事故的影響；10、符合：符合法律法規(guī)要求，避免刑法、民法、有關法令法規(guī)或合同約定事宜及其他安全要求的規(guī)定相抵觸；加強安全方針和技術符合性評審，確保體系按照組織的安全方針及標準執(zhí)行；系統(tǒng)審核考慮因素，使效果最大化，并使系統(tǒng)審核過程的影響最小化。 ISMS Specifications ISMS Standards標準BS 7799 Part 2ISMS Guideli

24、nes (risk assessment, selection of controls) GMITS/MICTSISO/IEC 18044 Incident handling PD 3000 series on risk and selection of controlsISMS Control Catalogues ISO/IEC 17799Management system certification and accreditation standards (auditing process, procedures etc) ISO Guide 62EA7/03 EN45013EN4501

25、2 ISO19011ISO9001National schemes and standardsISMS StandardsBS 7799-2:2002PLANDOACTCHECKPDCA ModelDesign ISMSImplement & use ISMSMonitor & review ISMSMaintain & improve ISMSRisk based continual improvement framework for information security management PDCA循環(huán)的概念最早是由美國質(zhì)量管理專家戴明提出來的，所以又稱為“戴

26、明環(huán)”。循環(huán)即計劃（）、執(zhí)行（）、檢查（）和處理（），它是一個標準的管理工作程序，也是進行質(zhì)量管理的四個步驟。（計劃）：即根據(jù)用戶的要求，制定相應的技術經(jīng)濟指標、質(zhì)量目標，以及實現(xiàn)這些目標的具體措施和方法。（執(zhí)行）：按照所制定的計劃和措施付諸實施。（檢查）：對照計劃，檢查執(zhí)行的情況和效果，及時發(fā)現(xiàn)問題。（處理）：根據(jù)檢查結(jié)果采取措施，鞏固成績，吸取教訓，防止重蹈覆轍，并將未解決的問題轉(zhuǎn)到下一次循環(huán)中去。循環(huán)有兩個特點：大環(huán)套小環(huán)，能應用于企業(yè)的各個方面和各個層次，整個企業(yè)的質(zhì)量管理運作是一個大的循環(huán)，而其中的某一車間或部門乃至個人的行動也按循環(huán)進行，形成大環(huán)套小環(huán)的綜合循環(huán)系統(tǒng)，相互推動。螺旋

27、式上升，每次循環(huán)都不是在原地踏步，而是每次循環(huán)都能解決一些問題，下次循環(huán)就在一個較高的層面上進一步解決新的問題。所以，它在不斷循環(huán)的同時，還在不斷上升，呈螺旋上升狀態(tài)。51 第一步第一步 制訂信息安全方針制訂信息安全方針BS7799-2對對ISMS的要求：的要求：組織應定義信息安全方針。組織應定義信息安全方針。信息安全是指保證信息的保密性、完整性和可用性不受破壞。建立信息安全管理體系的目標是對公司的信息安全進行全面管理。信息安全方針是由組織的最高管理者正式制訂和發(fā)布的該組織的信息安全的目標和方向，用于指導信息安全管理體系的建立和實施過程。要經(jīng)最高管理者批準和發(fā)布體現(xiàn)了最高管理者對信息安全的承諾

28、與支持要傳達給組織內(nèi)所有的員工要定期和適時進行評審目的和意義目的和意義為組織提供了關注的焦點，指明了方向，確定了目標；確保信息安全管理體系被充分理解和貫徹實施；統(tǒng)領整個信息安全管理體系。建立建立ISMS框架框架52 第一步第一步 制訂信息安全方針制訂信息安全方針信息安全方針的內(nèi)容信息安全方針的內(nèi)容包括但不限于：組織對信息安全的定義組織對信息安全的定義信息安全總體目標和范圍信息安全總體目標和范圍最高管理者對信息安全的承諾與支持的聲明最高管理者對信息安全的承諾與支持的聲明符合相關標準、法律法規(guī)、和其它要求的聲明符合相關標準、法律法規(guī)、和其它要求的聲明對信息安全管理的總體責任和具體責任的定義對信息安

29、全管理的總體責任和具體責任的定義相關支持文件相關支持文件注意事項注意事項 簡單明了簡單明了 易于理解易于理解 可實施可實施 避免太具體避免太具體建立建立ISMS框架框架53 第二步第二步 確定確定ISMSISMS范圍范圍BS7799-2對ISMS的要求：組織應定義信息安全管理體系的范圍，范圍的邊界應依據(jù)組織的結(jié)構特征、地域特征、資產(chǎn)和技術特點來確定。可以根據(jù)組織的實際情況，將組織的一部分定義為信息安全管理范圍，也可以將組織整體定義為信息安全管理范圍；信息安全管理范圍必須用正式的文件加以記錄。ISMS范圍文件 文件是否明白地描述了信息安全管理體系的范圍 范圍的邊界和接口是否已清楚定義建立建立IS

30、MS框架框架54 第三步第三步 風險評估風險評估BS7799-2對對ISMS的要求：的要求：組織應進行適當?shù)娘L險評估，風險評估應識別資產(chǎn)所面對的威脅、脆弱性、以及對組織的潛在影響，并確定風險的等級。是否執(zhí)行了正式的和文件化的風險評估？是否經(jīng)過一定數(shù)量的員工驗證其正確性？風險評估是否識別了資產(chǎn)的威脅、脆弱性和對組織的潛在影響？風險評估是否定期和適時進行？建立建立ISMS框架框架55第四步第四步 風險管理風險管理BS7799-2對對ISMS的要求：的要求：組織應依據(jù)信息安全方針和組織要求的安全保證程度來確定需要管理的信息安全風險。根據(jù)風險評估的結(jié)果，選擇風險控制方法，將組織面臨的風險控制在可以接受

31、的范圍之內(nèi)。是否定義了組織的風險管理方法？是否定義了所需的信息安全保證程度？是否給出了可選擇的控制措施供管理層做決定？建立建立ISMS框架框架56第五步第五步 選擇控制目標和控制措施選擇控制目標和控制措施BS7799-2對對ISMS的要求：的要求：組織應選擇適當?shù)目刂拼胧┖涂刂颇繕藖頋M足風險管理的要求，并證明選擇結(jié)果的正確性。選擇控制措施的示意圖選擇的控制措施是否建立在風險評估的結(jié)果之上？是否能從風險評估中清楚地看出哪一些是基本控制措施，哪一些是必須的，哪一些是可以考慮選擇的控制措施？選擇的控制措施是否反應了組織的風險管理戰(zhàn)略？針對每一種風險，控制措施都不是唯一的，要根據(jù)實際情況進行選擇建立建

32、立ISMS框架框架安全問題安全需求控制目標控制措施解決指出定義被滿足57第五步第五步 選擇控制目標和控制措施選擇控制目標和控制措施BS7799-2對對ISMS的要求：的要求：未選擇某項控制措施的原因風險原因- 沒有識別出相關的風險財務原因- 財務預算的限制環(huán)境原因- 安全設備、氣候、空間等技術- 某些控制措施在技術上不可行文化- 社會環(huán)境的限制時間- 某些要求目前無法實施其它- ？建立建立ISMS框架框架58第六步第六步 準備適用聲明準備適用聲明BS7799-2對對ISMS的要求：的要求：組織應準備適用聲明，記錄已選擇的控制措施和理由，以及未選擇的控制措施及其理由。在選擇了控制目標和控制措施后

33、，對實施某項控制目標、措施和不實施某項控制目標、措施進行記錄，并對原因進行解釋的文件。建立建立ISMS框架框架未來實現(xiàn)公司ISMS適用聲明59BS7799與CC的比較nBS 7799完全從管理角度制定，并不涉及具體的安全技術，實施不復雜，主要是告訴管理者一些安全管理的注意事項和安全制度，例如磁盤文件交換和處理的安全規(guī)定、設備的安全配置管理、工作區(qū)進出的控制等一些很容易理解的問題。這些管理規(guī)定一般的單位都可以制定，但要想達到BS 7799的全面性則需要一番努力。n同BS 7799相比，信息技術安全性評估準則(CC)和美國國防部可信計算機評估準則(TCSEC)等更側(cè)重于對系統(tǒng)和產(chǎn)品的技術指標的評估

34、系統(tǒng)和產(chǎn)品的技術指標的評估；系統(tǒng)安全工程能力成熟模型(SSE-CMM)更側(cè)重于對安全產(chǎn)品開發(fā)、安對安全產(chǎn)品開發(fā)、安全系統(tǒng)集成等安全工程過程的管理全系統(tǒng)集成等安全工程過程的管理。在對信息系統(tǒng)日常安全日常安全管理方面，BS 7799的地位是其他標準無法取代的。n總的來說，BS7799涵蓋了安全管理所應涉及的方方面面，全面而不失可操作性，提供了一個可持續(xù)提高的信息安全管理環(huán)境。推廣信息安全管理標準的關鍵在重視程度和制度落實方面。它是目前可以用來達到一定預防標準的最好的指導標準。60nSSE-CMM是系統(tǒng)安全工程能力成熟模型（是系統(tǒng)安全工程能力成熟模型（Systems Security Enginee

35、ring Capability Maturity Model）的縮寫，它描述了）的縮寫，它描述了一個組織的安全工程過程必須包含的本質(zhì)特征，這些特征是一個組織的安全工程過程必須包含的本質(zhì)特征，這些特征是完善的安全工程的保證。盡管完善的安全工程的保證。盡管SSE-CMM沒有規(guī)定一個特定沒有規(guī)定一個特定的過程和步驟，但是它匯集了工業(yè)界常見的實施方法。本模的過程和步驟，但是它匯集了工業(yè)界常見的實施方法。本模型是安全工程實施的標準度量準則，它覆蓋了：型是安全工程實施的標準度量準則，它覆蓋了：n整個生命期，包括開發(fā)、運行、維護和終止；整個生命期，包括開發(fā)、運行、維護和終止；n整個組織，包括其中的管理、組織

36、和工程活動；整個組織，包括其中的管理、組織和工程活動；n與其它規(guī)范并行的相互作用，如系統(tǒng)、軟件、硬件、人的因素、與其它規(guī)范并行的相互作用，如系統(tǒng)、軟件、硬件、人的因素、測試工程、系統(tǒng)管理、運行和維護等規(guī)范；測試工程、系統(tǒng)管理、運行和維護等規(guī)范；n與其它機構的相互作用，包括采辦、系統(tǒng)管理、認證、認可和評與其它機構的相互作用，包括采辦、系統(tǒng)管理、認證、認可和評估機構。估機構。n在在SSE-CMM模型描述中，提供了對所基于的原理、體系結(jié)模型描述中，提供了對所基于的原理、體系結(jié)構的全面描述；模型的高層綜述；適當運用此模型的建議；構的全面描述；模型的高層綜述；適當運用此模型的建議；包括在模型中的實施以及

37、模型的屬性描述。它還包括了開發(fā)包括在模型中的實施以及模型的屬性描述。它還包括了開發(fā)該模型的需求。該模型的需求。SSE-CMM評定方法部分描述了針對評定方法部分描述了針對SSE-CMM來評價一個組織的安全工程能力的過程和工具。來評價一個組織的安全工程能力的過程和工具。 SSE-CMM61安全工程過程的三個組成部分安全工程過程的三個組成部分 Risk Process 風險過程 Assurance Process 保證過程 Engineering Process 工 程 過 程保證論據(jù) 風險信息 產(chǎn)品或服務 SSE-CMM過程區(qū)域62nSSE-CMM將安全工程劃分為三個基本的過程將安全工程劃分為三個

38、基本的過程區(qū)域：風險，工程，保證。它們可以獨立地區(qū)域：風險，工程，保證。它們可以獨立地加以考慮，但這決不意味它們之間有截然不加以考慮，但這決不意味它們之間有截然不同的區(qū)分。在最簡單的級別上，風險過程識同的區(qū)分。在最簡單的級別上，風險過程識別出所開發(fā)的產(chǎn)品或系統(tǒng)的危險性并對這些別出所開發(fā)的產(chǎn)品或系統(tǒng)的危險性并對這些危險性進行優(yōu)先級排序。針對危險性所面臨危險性進行優(yōu)先級排序。針對危險性所面臨的問題，安全工程過程要與其它工程一起來的問題，安全工程過程要與其它工程一起來確定和實施解決方案。最后，由安全保證過確定和實施解決方案。最后，由安全保證過程來建立對解決方案的信任并向顧客轉(zhuǎn)達這程來建立對解決方案的

39、信任并向顧客轉(zhuǎn)達這種安全信任。種安全信任。 SSE-CMM過程區(qū)域63 PA: Assess Threat PA04: 評估威脅 威脅信息 PA: Assess Security Risk PA03: 評估安全風險 PA: Assess Vulnerability PA05: 評估脆弱性 脆弱性信息 PA: Assess Impact PA02: 評估影響 I 影響信息 風險信息 風險過程64n安全措施的實施可以減輕風險。安全措施可針對威脅、安全措施的實施可以減輕風險。安全措施可針對威脅、脆弱性、影響和風險自身。但無論如何，并不能消除脆弱性、影響和風險自身。但無論如何，并不能消除所有威脅或根除

40、某個具體威脅。這主要是因為風險消所有威脅或根除某個具體威脅。這主要是因為風險消除的代價和相關的不確定性。因此，必須接受殘留的除的代價和相關的不確定性。因此，必須接受殘留的風險。在存在很高的不確定性的情況下，由于風險的風險。在存在很高的不確定性的情況下，由于風險的不精確的本質(zhì)，因此是否接受風險是需要慎重對待的不精確的本質(zhì)，因此是否接受風險是需要慎重對待的大問題。大問題。SSE-CMM過程域包括威脅、脆弱性、影響過程域包括威脅、脆弱性、影響和相關風險進行分析的活動保證。和相關風險進行分析的活動保證。 風險過程65 Specify Security Needs PA10：確安全需求 要求、政策等.

41、Administer Security Controls PA01： 管理安全控制 Provide Security Input PA09：提供安全輸入 配置信息 Coordinate Security PA07：協(xié)調(diào)安全 解決方案、指導等 風險信息 Monitor Security Posture PA08：監(jiān)視安全態(tài)勢 工程過程66n安全工程與其它科目一樣，它是一個包括概念、設計、安全工程與其它科目一樣，它是一個包括概念、設計、實現(xiàn)、測試、部署、運行、維護、退出的完整過程。實現(xiàn)、測試、部署、運行、維護、退出的完整過程。在這個過程中，安全工程的實施必須緊密地與其它的在這個過程中，安全工程的實

42、施必須緊密地與其它的系統(tǒng)工程隊伍相合作。系統(tǒng)工程隊伍相合作。SSE-CMM強調(diào)安全工程師是強調(diào)安全工程師是一個大的項目隊伍中的一部分，需要與其它科目工程一個大的項目隊伍中的一部分，需要與其它科目工程師的活動相互協(xié)調(diào)。這會有助于保證安全成為一個大師的活動相互協(xié)調(diào)。這會有助于保證安全成為一個大的項目過程中一個整體部分，而不是一個分開的獨立的項目過程中一個整體部分，而不是一個分開的獨立活動。活動。 n在生命周期的后面階段，安全工程師將根據(jù)意識到風在生命周期的后面階段，安全工程師將根據(jù)意識到風險來適當?shù)嘏渲孟到y(tǒng)，以確保新的風險不會造成系統(tǒng)險來適當?shù)嘏渲孟到y(tǒng)，以確保新的風險不會造成系統(tǒng)運行的不安全狀態(tài)。

43、運行的不安全狀態(tài)。 工程過程67 PA: Verify and Validate Security PA11： 驗證和確認安全 驗證和確認后的證據(jù) PA: Build Assurance Argument PA6：建立保證論據(jù) Many other PAs Many other PAs 證據(jù) 保證論據(jù) Many other PAs Many other PAs Many other PAs 其它的 PA 保證過程68n保證是指安全需要得到滿足的信任程度。它是安全工程非常重保證是指安全需要得到滿足的信任程度。它是安全工程非常重要的產(chǎn)品。存在著有許多的保證形式。要的產(chǎn)品。存在著有許多的保證形式。S

44、SE-CMM的信任程度的信任程度來自于安全工程過程可重復性的結(jié)果質(zhì)量。這種信任的基礎是來自于安全工程過程可重復性的結(jié)果質(zhì)量。這種信任的基礎是成熟組織比不成熟組織更可能產(chǎn)生出重復的結(jié)果。不同保證形成熟組織比不成熟組織更可能產(chǎn)生出重復的結(jié)果。不同保證形式之間的詳細關系目前是正在研究的課題。式之間的詳細關系目前是正在研究的課題。 n安全保證并不能添加任何額外的對安全相關風險的抗拒能力，安全保證并不能添加任何額外的對安全相關風險的抗拒能力，但它能為減少預期安全風險控制的執(zhí)行提供信心。但它能為減少預期安全風險控制的執(zhí)行提供信心。 n安全保證也可看作是安全措施按照要求運行的信心。這種信心安全保證也可看作是

45、安全措施按照要求運行的信心。這種信心來自于正確性和有效性。正確性保證了安全措施按設計實現(xiàn)了來自于正確性和有效性。正確性保證了安全措施按設計實現(xiàn)了需求。有效性則保證了提供的安全措施可充分地滿足顧客的安需求。有效性則保證了提供的安全措施可充分地滿足顧客的安全需要。全需要。SSE-CMM體系結(jié)構69nSSE-CMM體系結(jié)構的設計是可在整個安全工程范圍內(nèi)決定安全工程體系結(jié)構的設計是可在整個安全工程范圍內(nèi)決定安全工程組織的成熟性。這個體系結(jié)構的目標是清晰地從管理和制度化特征中組織的成熟性。這個體系結(jié)構的目標是清晰地從管理和制度化特征中分離出安全工程的基本特征。為了保證這種分離，這個模型是兩維的，分離出安

46、全工程的基本特征。為了保證這種分離，這個模型是兩維的，分別稱為分別稱為“域域”和和“能力能力” 。 n重要的是，重要的是，SSE-CMM并不意味著在一個組織中任何項目組或角色必并不意味著在一個組織中任何項目組或角色必須執(zhí)行這個模型中所描述的任何過程，也不要求使用最新的和最好的須執(zhí)行這個模型中所描述的任何過程，也不要求使用最新的和最好的安全工程技術和方法論。然而，這個模型要求是一個組織機構要有一安全工程技術和方法論。然而，這個模型要求是一個組織機構要有一個適當過程，這個過程應包括這個模型中所描述的基本安全實施。組個適當過程，這個過程應包括這個模型中所描述的基本安全實施。組織機構可以以任何方式隨意

47、創(chuàng)建符合他們業(yè)務目標的過程以及組織結(jié)織機構可以以任何方式隨意創(chuàng)建符合他們業(yè)務目標的過程以及組織結(jié)構。構。 nSSE-CMM也并不意味著執(zhí)行通用實施的專門要求。一個組織機構一也并不意味著執(zhí)行通用實施的專門要求。一個組織機構一般可隨意以他們所選擇的方式和次序來計劃、跟蹤、定義、控制和改般可隨意以他們所選擇的方式和次序來計劃、跟蹤、定義、控制和改進他們的過程。然而，由于一些較高級別的通用實施依賴于較低級別進他們的過程。然而，由于一些較高級別的通用實施依賴于較低級別的通用實施，因此組織機構應在試圖達到較高級別之前，應首先實現(xiàn)的通用實施，因此組織機構應在試圖達到較高級別之前，應首先實現(xiàn)較低級別通用實施。

48、較低級別通用實施。SSE-CMM體系結(jié)構70n域維僅僅由定義安全工程的所有實施構成。這些實施稱為域維僅僅由定義安全工程的所有實施構成。這些實施稱為“基本實施基本實施”BP。n能力維代表了若干可表現(xiàn)管理和制度化能力的實施。這些能力維代表了若干可表現(xiàn)管理和制度化能力的實施。這些實施被稱作實施被稱作“通用實施通用實施”GP，可在廣泛的域中應用。通，可在廣泛的域中應用。通用實施表現(xiàn)了一個基本實施中應當完成的活動。用實施表現(xiàn)了一個基本實施中應當完成的活動。n通過設置這兩個相互依賴的維，通過設置這兩個相互依賴的維，SSE-CMM在各個能力級在各個能力級別上覆蓋了整個安全活動范圍。別上覆蓋了整個安全活動范圍

49、。 SSE-CMM基本模型71基本實施與通用實施的關系基本實施與通用實施的關系 能力維 （通用實施） 域維 （基本實施） Common Feature Tracking 通用實施 2.1.1： 分配資源 PA 05 Assess Vulnerability 基本實施 05.02： 標識脆弱性 SSE-CMM基本模型72n將基本實施和通用實施綜合考慮使得可以檢將基本實施和通用實施綜合考慮使得可以檢查一個機構實施一個特定活動的能力。上圖查一個機構實施一個特定活動的能力。上圖中，感興趣的人士可能會問：中，感興趣的人士可能會問：“你的機構有足你的機構有足夠的資源來查找系統(tǒng)的安全脆弱性嗎？夠的資源來查找

50、系統(tǒng)的安全脆弱性嗎？”如果如果回答回答“是是”，則對方顯然獲知了機構在這方面，則對方顯然獲知了機構在這方面的能力。的能力。n在二維圖的所有交叉點上的問題都得到回答在二維圖的所有交叉點上的問題都得到回答后，我們就得到了對一個機構的安全工程能后，我們就得到了對一個機構的安全工程能力的總體認識。力的總體認識。SSE-CMM基本模型73n60個基本實施被歸為的個基本實施被歸為的11類，稱為過程域。有許多方式將安全類，稱為過程域。有許多方式將安全工程范疇劃分為過程域。一種可能的做法是將真實世界模型化，工程范疇劃分為過程域。一種可能的做法是將真實世界模型化，創(chuàng)建匹配安全工程服務的過程域。其它的方法可以是概

51、念域的創(chuàng)建匹配安全工程服務的過程域。其它的方法可以是概念域的方法，這些概念域形成了基礎的安全工程建設模塊。方法，這些概念域形成了基礎的安全工程建設模塊。SSE-CMM在確定在確定11個過程域的過程中，綜合了比較優(yōu)秀的幾種方法。個過程域的過程中，綜合了比較優(yōu)秀的幾種方法。n過程域：過程域：n匯集了一個域中的相關活動匯集了一個域中的相關活動n與有價值的安全工程服務相關與有價值的安全工程服務相關n可在整個組織生命周期中應用可在整個組織生命周期中應用n能在多個組織和多類產(chǎn)品范圍內(nèi)實現(xiàn)能在多個組織和多類產(chǎn)品范圍內(nèi)實現(xiàn)n能作為一個獨立的過程加以改進能作為一個獨立的過程加以改進n能夠被感興趣的組織加以改進能

52、夠被感興趣的組織加以改進n包括了所有需要滿足過程域目標的包括了所有需要滿足過程域目標的BP 過程域7411個過程域個過程域nPA01 管理安全控制管理安全控制nPA02 評估影響評估影響nPA03 評估安全風險評估安全風險nPA04 評估威脅評估威脅nPA05 評估脆弱性評估脆弱性nPA06 建立安全論據(jù)建立安全論據(jù)nPA07 協(xié)調(diào)安全性協(xié)調(diào)安全性nPA08 監(jiān)視安全態(tài)勢監(jiān)視安全態(tài)勢nPA09 提供安全輸入提供安全輸入nPA10 確定安全需求確定安全需求nPA11 驗證與確認安全驗證與確認安全 過程域75其它過程域其它過程域PA12 確保質(zhì)量確保質(zhì)量PA13 管理配置管理配置PA14 管理項目

53、風險管理項目風險PA15 監(jiān)視和控制技術工作監(jiān)視和控制技術工作PA16 規(guī)劃技術工作規(guī)劃技術工作PA17 定義機構的系統(tǒng)工程過程定義機構的系統(tǒng)工程過程PA18 改善機構的系統(tǒng)工程過程改善機構的系統(tǒng)工程過程PA19 管理產(chǎn)品線發(fā)展管理產(chǎn)品線發(fā)展PA20 管理系統(tǒng)工程支持環(huán)境管理系統(tǒng)工程支持環(huán)境PA21 提供不斷發(fā)展的技能和知識提供不斷發(fā)展的技能和知識PA22 與提供商相協(xié)調(diào)與提供商相協(xié)調(diào) SSE-CMM還包括其余還包括其余11個與項目和機構活動相個與項目和機構活動相關的過程域。它們來自于關的過程域。它們來自于SE-CMM（系統(tǒng)工程系統(tǒng)工程能力成熟模型）。能力成熟模型）。這些過程域不是與安全這些過

54、程域不是與安全直接相關的，但是它們也直接相關的，但是它們也會對安全造成影響。會對安全造成影響。過程域76第一級：非正式執(zhí)行第一級：非正式執(zhí)行n該級將關注一個機構或項目是否執(zhí)行了包含基本實施過程該級將關注一個機構或項目是否執(zhí)行了包含基本實施過程的安全工程。該級別的特點可以描述為的安全工程。該級別的特點可以描述為“你必須首先做它，你必須首先做它，然后才能管理它然后才能管理它”。 n在本級別，過程域中的基本實施通常已得到了執(zhí)行。但這在本級別，過程域中的基本實施通常已得到了執(zhí)行。但這些基本實施的執(zhí)行可能未經(jīng)過嚴格的計劃和跟蹤，而是基些基本實施的執(zhí)行可能未經(jīng)過嚴格的計劃和跟蹤，而是基于個人的知識和努力。各過程域的工作結(jié)果可用來確認基于個人的知識和努力。各過程域的工作結(jié)果可用來確認基本實施已經(jīng)執(zhí)行。在機構中以個人為單元辨別出某基本實本實施已經(jīng)執(zhí)行。在機構中以個人為單元辨別出某基本實施應被執(zhí)行，并對執(zhí)行的需求及時間達成普遍意見。本級施應被執(zhí)行，并對執(zhí)行的需求及時間達成普遍意見。本級的工作結(jié)果是可標識的。的工作結(jié)果是可標識的。 SSE-CMM的5個能力級別 77第二級：計劃和跟蹤第二級：計劃和跟