•32
SSE-CMM的体系结构
通用实施2.1.1:分配资源 能 力 维
基本实施05.02:标识脆弱性
域维
•33
SSE-CMM的安全完备性
SSE-CMM中的系统安全过程：工程过程、风险 过程、保证过程
工程过程：
PA10 “确定安全需求”、PA09 “提供安全输入”、PA01 “管理安 全控制”、PA08 “监视安全态势”、PA07 “协调安全”
保密性 可用性 完整性 不可否认性
•23
威胁树
保密性
线路窃听
内部线路窃听 开放线路窃听
非法访问
饶 过 WEB安 全 机 制 绕过数据库安全机制
窃取数据文件
业务数据导入时窃取
“攻馅”操作系统 利 用 OA服 务 器 漏 洞 不可信系统导致窃取
人员犯罪
人员不可信 身份假冒
•24
风险分析方法及其问题
风险分析方法：
•20
基于风险管理的实施步骤
彻底地调查企业或组织的资产与资源； 标识可能出现或者潜在的威胁；要把人员
的因素考虑进去； 定义每个威胁的可能性E(x); 定义每个威胁出现引起的损失因子D(x); 评估该威胁引起的风险：D(x)* E(x) 衡量损失与投入等，确定风险的优先级； 根据风险优先级，采取安全措施；
信息安全技术
防火墙技术 入侵检测技术 漏洞扫描技术 防病毒技术
平台安全
物理安全 网络安全 系统安全 数据安全 用户安全 边界安全
•9
我国信息安全标准框架
应用与工程标准
基
管
础
理
标
系统与网络标准
标
准
准
物理安全标准
•10
信息标准内容
基础标准类
信息安全术语、信息安全体系结构、信息安全框架、信息安全模 型、安全技术
BS7799-2
包括两大要求：遵循PDCA这种持续改进管理模 式
信息安全体系要求； 信息安全控制要求
•13
信息技术安全性评估准则
1990年 欧洲信息技术 安全性评估准则
(ITSEC)
1985年 美国可信计算机
系统评估准则 (TCSEC)
1990年 加拿大可信计算 机产品评估准则
(CTCPSEC)
准
准
风风 险险 管分 理析 原与 则对
抗
法机 律构 法人 规事
管 理 标 准
ISO9000
信
息
安
系 列 标 准
全 测
评 认 证
标
准
信 息 安 全 产
品 标 准
•12
信息安全管理标准(BS7799)
BS7799与ISO17799
BS7799-1《信息安全管理实施细则》 BS7799-2《信息安全管理体系规范》
第二阶段： 标识基础结构的弱点
关键组件 当前的技术弱点
第三阶段： 开发安全计划和策略
关键资产的风险 风险度量 保护策略 风险缓和计划
•28
OCTAVE的弱点以及基于安全需求的方法
OCTAVE的弱点
1、基于风险管理方法的固有弱点 2、基础数据完全依赖内部调查
基于安全需求的方法
•31
信息安全工程(SSE-CMM)的体系结构
SSE-CMM是面向过程的信息安全方法学 SSE-CMM的体系结构是其方法学的核心,该模型分为两
维. 横轴定义了11个安全方面的关键过程域(管理安全控制、
评估影响、评估安全风险、评估威胁、评估脆弱性、建 立保证论据、协调安全、监视安全、监视安全态势、提 供安全输入、确定安全需求、验证与确认安全) 纵轴为0-5六个能力成熟度级别。每个级别的判定反映为 一组共同特征(CF),而每个共同特征通过一组确定的通用 实践（GP）来描述；过程能力由GP来衡量。
基础安全标准
环境条件与 平台安全
风险分析与管理
信息安全管理标准
信息安全测 评认证标准
实用信息安 全产品标准
安安 安 保 全全 全 密 体框 机 技 系架 制 术 结标 标 标 构准 准 准
物 系 操 网应 理 统 作 络用 环 运 系 平平 境 行 统 台台 与 安 安 安安 保 全 全 全全
障
标
标
风险管理：OCTAVE 工程角度： SSE-CMM
1985年美国国防部(DoD)公布的《可信计算机系统评估准则》
信息保障(IA)
标志：2000年9月NSA(美国家安全局)发布的《信息保障技术框架》
3.0版，2002年更新为3.1版； 国防部：第8500.1《信息保障》；第8500.2《信息保障的实施》
•6
信息安全——理论体系结构
安全目标：
安
保密性、 完整性、 抗否认性、 可用性
是为确保信息系统体系结构安全，以及与此相关的各 种安全技术、安全服务、安全管理的总和。
联系与区别
信息系统安全：更具有体系性、可设计性、可实现性和 可操作性； 信息安全：更广泛、概念化；不说明任何个体或系统
•4
信息的安全属性以及信息安全特性
信息的安全属性：
保密性(Confidentiality) 完整性(Integrality) 可用性(Availability) 可控性(Controllability) 不可否认性(Non-repudiation)
•21
基于风险分析的几个问题
资产如何识别？ 如何识别和标识威胁？ 威胁的可能性E(x)如何确定？ 损失因子D(x)如何确定？ 风险如何表示？才能确定其优先级？
•22
确定资产以及要求的安全属性
可能的资产：
关键信息系统以及其支撑系统 书面的重要资料 网络 。。。
每个资产的安全属性要求：
主要内容
一.信息安全理论
相关基本概念、理论体系、发展历史、信息安全标准体 系、法律法规、部署与操作
二.信息安全管理
风险管理：OCTAVE 工程角度： SSE-CMM
三.研究现状与个人思考 四.附录-参考文献
•17
信息安全管理方法
弱点评估
信息系统审计
信息安全 管理
信息安全 风险评估
可管理的服 务提供者
全
管
理
平台安全：
物理安全、 网络安全、 系统安全 数据安全、 边界安全、 用户安全
： 安 全 标
准
安全理论：
安全技术：
安
身份认证 访问控制 审计追踪
防火墙技术 漏洞扫描技术 入侵检测技术
全 策 略
安全加密、 数字签名、 消息摘要、 密钥管理
评
•7
信息安全理论基础
密码理论
•30
信息系统安全工程(ISSE)
以时间维(工程过程)为线索描述 参考《信息系统安全工程手册1.0》和信息系统安全工程
学 ISSE过程
发掘信息保护需求（机构、信息系统、信息保护策略） 定义信息保护系统（信息保护目标、背景、信息保护需求、功能
分析） 设计信息保护系统（功能分配、概要设计、详细设计） 实施信息保护系统（采购、建设、测试） 评估信息保护系统的有效性
原因：计算模式的变化 从以计算机为中心—IT为中心—信息为中心
安全需求的驱动： 除资产外，业务要求、法律法规等
•29
从工程角度研究信息安全
信息安全的特性 系统工程
发掘需求定义系统功能设计系统实施系统有效性评估
信息安全工程发展过程：
1994年，美国军方发布《信息系统安全工程手册1.0》 借鉴CMM，1996年发布了SSE-CMM版本1.0 1999年4月，形成了SSE-CMM 2.0版本 2002年11月，SSE-CMM成为ISO标准，ISO/IEC21827
AHP法 工程经验数据方法 问讯表方法 技术性测评工具
存在问题：
无法准确定义威胁的可能性因子E(x) 无法准确定义损失因子D(x)
•25
OCTAVE Approach
OCTAVE:
Operationally Critical Threat,Asset,and Vulnerability Evaluation
属性
阶段1
分析团队
关键资产
增强分析团队技能 关键资产
实践目录
的安全需
通用的威胁配置文件 求
脆弱性目录
对关键资
已定义好的评估活动 产的威胁
已定义好的评估结果 当前的安
评估范围
全实践
后续步骤
当前的组
强调风险
织弱点
重点关注的活动
组织和技术问题
数据加密（对称算法：DES、AES；非对称算法：RSA、ECC） 消息摘要 数字签名 密钥管理
安全理论
身份认证(Authentication) 授权和访问控制(Authorization and Access control) 审计追踪 安全协议
•8
信息安全应用研究
风险过程
PA04 “评估威胁”、PA05 “评估脆弱性”、PA02 “评估影响”、 PA03 “评估安全风险”
保证过程
PA11 “验证与确认安全”、PA06 “建立保证论据”
•34
主要内容
一.信息安全理论
相关基本概念、理论体系、发展历史、信息安全标准体 系、法律法规、部署与操作
二.信息安全管理
1996年 国际通用准则
(CC)
1991年 美国联邦准则
(FC)
1999年 国际标准 (ISO 15408)
•14
法律法规
国家法律
如：中华人民共和国保守国家秘密法 中华人民共和国标准化法、中华人民共和国国家安全法 中华人民共和国产品质量法、维护互联网安全的决定等；