详细安全设计
实施系统安全
实施系统安全的目的是构造、购买、集成、验证组 成信息保护子系统的配置项集合并使之生效。

安全工程实施（PEI） 协调安全（PCS） 监控安全态势（PMP） 管理安全控制（PAC） 验证和证实安全（PVV） 建立保证论据（PBA）
有效性评估
有效性评估的目的是保证信息系统能够满足用户的 安全要求。 评估活动在系统生命期内任何时间都可进行，以支 持在已知环境中对开发、维护和运行系统做出决策。
1 设计安全模型 2 设计安全体系结构
2018/10/27
CNITSEC
详细安全设计（PDD）



信息系统安全工程师分析设计的约束条件，分析折 衷办法，进行详细的系统和安全设计并考虑生命周 期支持；检查所有系统安全需求落实到了组件。最 终的详细安全设计结果为实现系统提供充分的组件 和接口描述信息。 详细安全设计是方案设计的关键，是将从需求分析 、风险分析直到得出的安全需求落实到安全机制、 安全组件和安全产品等，对不可接受的风险的全面 应对措施、安全问题详细解决方案的制订过程。 信息安全过程规范元素
证据
指定安全要求 其他多个PA
保证论据
证据


2018/10/27
保证是指安全需要得到满足的信任程度 SSE-CMM的信任程度来自于安全工程过程可 重复性的结果质量。
CNITSEC
安全工程过程能力的成熟度
1
非正式 执行
2
计划与跟踪
3
充分定义
4
量化控制
5
连续改进
公共特性
•执行 基本 实施
•计划执行 •定义标准过程 •规范化执行 •协调安全实施 •跟踪执行 •执行已定义的过程 •验证执行
2、生命周期各阶段过程域介绍
生命周期与相关的过程域 各个过程域介绍

2018/10/27
CNITSEC
生命周期 挖掘安全需求
描述 本阶段的目标是帮助用户理解信息系统的任务需求， 确定安全策略。 挖掘安全需求涉及用通用语言描述信息系统的任务 需求及所需要的信息安全保护策略。 在信息系统安全过程中，必须安全要求其进行合理 定义，以便信息系统结构概念能够在集成的、一致的系 统工程过程中得以开发。
GP2.1.3 —文档化过程 GP2.1.4 —提供工具 GP2.1.5 —保证培训
能力级别2：计划和跟踪
公共特征2.2 — 规范化执行 公共特征2.3 — 验证执行 公共特征2.4 — 跟踪执行 公共特征3.1 – 定义标准过程 公共特征 3.2 – 执行已定义过程
GP2.1.6 —规划过程 GP2.2.1 — 使用计划、标准和程序 GP2.2.2 —进行配置管理 GP 2.3.1 — 验证过程一致性 GP 2.3.2 — 审计工作产品 GP 2.4.1 —使用测量跟踪 GP 2.4.2 — 采取修正措施 GP 3.1.1 – 过程标准化 GP 3.1.2 – 裁剪标准过程 GP 3.2.1 –使用充分定义的过程
2018/10/27
评估威胁（PAT）

评估威胁过程类的目的在于识别安全威胁及其性 质和特征。 目标:对系统安全的威胁进行标识和特征化。 信息安全过程规范元素
1． 识别自然威胁 2． 识别人为威胁 3． 识别威胁的测量块 4． 评估威胁影响的效力 5． 评估威胁的可能性 6． 监视威胁及其特征
能力级别4：定量控制
公共特征4.2 – 客观地管理执行 公共特征 5.1 – 改进组织27 公共特征 5.2 – 改进过程有效性
GP 5.2.2 – 消除缺陷原因
CNITSEC
GP 5.2.3 – 连续改进已定义过程
安全工程生命周期
2018/10/27
CNITSEC
风险信息
PA02：评估影响
影响信息 impact

2018/10/27
风险就是有害事件发生的可能性 一个有害事件有三个部分组成：威胁、脆弱性和影响。 CNITSEC
工程
风险信息
PA10 指定安全要求 PA08 监视安全态势
需求、策略等
PA07 协调安全
配置信息
PA09 提供安全输入
PA01 管理安全控制
CNITSEC
课程内容
1.
2. 3.
信息系统安全工程一般概念 信息系统安全工程过程域介绍 信息系统安全工程的实践
2018/10/27
CNITSEC
1、信息安全工程一般概念
我们当前的形势与问题 安全问题产生的根源与环节 如何达到系统的安全 安全工程过程 安全工程过程能力的成熟度 信息安全工程生命周期
2018/10/27
CNITSEC
评估脆弱性（PAV）
在于识别和特征化系统的安全脆弱性。
目标获得对一确定环境中系统安全脆弱性的
理解。 信息安全过程规范元素
1.选择脆弱性分析方法 2.识别脆弱性 3.收集脆弱性数据 4.合成系统脆弱性 5.监视脆弱性及其特征的不间断变化。
2018/10/27
安全工程
中国信息安全产品测评认证中心
自我介绍

刘作康 CNITSEC
E-mail: liuzuokang@


2018/10/27
CNITSEC
课程目标
了解信息系统安全工程一般概念 了解信息系统安全工程的生命周期 初步掌握应该如何进行信息系统安全工 程

2018/10/27
CNITSEC
评估影响（PAI）


评估影响的目的在于识别对该系统有关系的影 响，并对发生影响的可能性进行评估。影响可 能是有形的，例如税收或财政罚款的丢失，或 可能是无形的，例如声誉和信誉的损失。 信息安全过程规范元素
1.对影响力进行优先级排序 2.识别系统资产 3.选择影响的度量标准 4.标识度量标准关系 5.识别和特征化影响 6.监视影响中的变化
2018/10/27
CNITSEC
安全工程过程
产品或服务
工程过程 Engineering
保证过程 Assurance
风险过程 Risk
保证论据
风险信息
2018/10/27
CNITSEC
风险
PA04：评估威胁
威胁信息 threat
PA03：评估安全风险
PA05：评估脆弱性
脆弱性信息 vulnerability
安全问题产生的根源与环节
－理论 －设计 －实现 －生产与集成 －使用与运行维护
2018/10/27
CNITSEC
如何达到系统的安全
建立更安全的系统需要： 充分定义的系统安全需求和安全规范 设计良好的组成产品 健全的系统安全工程实践 合格的系统安全工程师 全面的系统安全规划和生命周期管理 对于产品/系统测试，评估，认证的合适 尺度
2018/10/27
CNITSEC
系统定义（PSD）
信息系统使命 信息系统概述 信息系统标识
信息系统环境描述
信息系统评估边界和接口描述 信息系统安全域描述 组织机构描述 管理体系 管理制度、法规描述 系统资产描述
信息系统详细描述 •管理体系 •技术体系 •业务体系
网络基础设施描述 技术体系 技术应用描述 适用技术标准描述 主要业务应用描述 业务体系 业务流程描述 业务信息流描述 CNITSEC
能力级别3：充分定义
GP 3.2.2 –执行缺陷复查 GP 3.2.3 – 使用充分定义的数据 GP 3.3.1 –执行组内协调
公共特征 3.3 – 协调实施 公共特征 4.1 – 建立可测的质量目标
GP 3.3.2 – 执行组间协调 GP 3.3.3 – 执行外部协调 GP 4.1.1 – 建立质量目标 GP 4.2.1 – 确定过程能力 GP 4.2.2 – 使用过程能力 GP 5.1.1 – 建立过程效力目标 GP 5.1.2 – 连续改进标准过程 GP 5.2.1 – 执行因果分析
2018/10/27
CNITSEC
评估安全风险（PAR）


评估安全风险的目的在于识别出一给定环境中 涉及到对某一系统有依赖关系的安全风险。 目标获得对在一给定环境中运行该系统相关的 安全风险的理解。 信息安全过程规范元素
1.选择风险分析方法 2. 识别威胁/弱点/影响的组合。 3. 评估与上述组合相关的风险。 4.评估上述组合及风险的总体不确定性。 5.排列风险的优先级。 6. 监视风险的系列和特征的变化。
1 分配安全机制 2 确定安全产品 3 系统接口设计和优化 3 提供安全工程指南
2018/10/27
CNITSEC
安全工程实施（PEI）



信息系统安全工程师把系统设计转移到运行，参与对 所有系统问题的多学科综合分析，并为认证认可活动 提供输入。 安全工程实施不仅包括系统的建设和安装调试，也包 括系统的测试和交付过程，为系统用户提供必要的培 训和一些安全运行维护管理手册是系统安全可靠运行 所必需的 信息安全过程规范元素
相关过程域 系统定义（PSD） 评估威胁（PAT） 评估脆弱性（PAV） 评估影响（PAI） 评估安全风险（PAR） 确定安全要求（PSR）
定义安全要求
设计体系结构
设计体系结构涉及从概要规范往下到低层实现不同的抽 象级别上对信息系统的体系结构逐步进行细化。
详细安全设计，应该详细说明信息系统的设计方案， 包含产生低层产品规范，或者完成开发中的配置项的设 计，或者规定并调整所购买的配置项的选择。 提供安全输入（PPI） 高层安全设计（PHD） 详细安全设计（PDD）
2018/10/27
提供安全输入（PPI）


提供安全输入的目的在于为信息系统的规划者 、设计者、实施者或用户提供他们所需的安全 信息。这些信息包括安全体系结构、设计或实 施选择以及安全指南 信息安全过程规范元素