第8章 信息安全工程（二）

 8.2 信息安全系统

我们用一个“宏观”三维空间图来反映信息安全系统的体系架构及其构成。

信息系统三维模型：

·x轴是：安全机制

·Y轴是：OSI网络参考模型

·z轴是：安全服务

由X、Y、Z三个轴形成的信息安全系统三维空间就是信息系统的“安全空间”。

随着网络逐层扩展，这个空间不仅范围逐步加大，安全的内涵也更加丰富。

安全空间的五大属性：认证、权限、完整、加密、不可否认。

8.2.1 安全机制

安全机制包含基础设施安全、平台安全、数据安全、通信安全、应用安全、运行安全、管理安全、授权和审计安全、安全防范体系等。

(1)基础设施安全。基础设施安全主要包括机房安全、场地安全、设施安全、动力系统安全、灾难预防与恢复等。

(2)平台安全。平台安全主要包括操作系统漏洞检测与修复、网络基础设施漏洞检测与修复、通用基础应用程序漏洞检测与修复、网络安全产品部署等。

(3)数据安全。数据安全主要包括介质与载体安全保护、数据访问控制、数据完整性、数据可用性、数据监控和审计、数据存储与备份安全等。

(4)通信安全。通信安全主要包括通信线路和网络基础设施安全性测试与优化、安装网络加密设施、设置通信加密软件、设置身份鉴别机制、设置并测试安全通道、测试各项网络协议运行漏洞等。

(5)应用安全。应用安全主要包括业务软件的程序安全性测试 (Bug 分析)、业务交往的防抵赖测试、业务资源的访问控制验证测试、业务实体的身份鉴别检测、业务现场的备份与恢复机制检查，以及业务数据的唯一性与一致性及防冲突检测、业务数据的保密性测试、业务系统的可靠性测试、业务系统的可用性测试等。

(6)运行安全。运行安全主要包括应急处置机制和配套服务、网络系统安全性监测、网络安全产品运行监测、定期检查和评估、系统升级和补丁提供、跟踪最新安全漏洞及通报、灾难该复机制与预防、系统改造管理、网络安全专业技术咨询服务等。

(7)管理安全。管理安全主要包括人员管理、培训管理、应用系统管理、软件管理、设备管理、文档管理、数据管理、操作管理、运行管理、机房管理等。

(8)授权和审计安全。授权安全是指以向用户和应用程序提供权限管理和授权服务为目标，主要负责向业务应用系统提供授权服务管理，提供用户身份到应用授权的映射功能，实现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制。

(9)安全防范体系。组织安全防范体系的建立，就是使得组织具有较强的应急事件处理能力，其核心是实现组织信息安全资源的综合管理，即 EISRM 。组织安全防范体系的建立可以更好地发挥以下6项能力，包括预警 (Warn)、保护(Protect)、检测(Detect)、反应(Response)、恢复(Recover) 和反击(Counter-attack)，即综合的 WPDRRC信息安全保障体系。

组织可以结合 WPDRRC 能力模型，从人员、技术、政策(包括法律、法规、制度、管理)三大要素来构成宏观的信息网络安全保障体系结构的框架，主要包括组织机构的建立人员的配备、管理制度的制定、安全流程的明确等，并切实做好物理安全管理、中心机房管理、主机安全管理、数据库安全管理、网络安全管理、网络终端管理、软件安全管理、授权和访问控制管理、审计和追踪管理，确保日常和异常情况下的信息安全工作持续、有序地开展。

8.2.2 安全服务

安全服务包括对等实体认证服务、访问控制服务、数据保密服务、数据完整性服务、数据源点认证服务、禁止否认服务和犯罪证据提供服务等。

(1)对等实体认证服务。用于两个开放系统同等层中的实体建立链接或数据传输时，对对方实体的合法性、真实性进行确认，以防假冒。

(2)访问控制服务。访问控制是指通信双方应该能够对通信的过程、通信的内容具有不同强度的控制能力，其目的在于保护信息免于被未经授权的实体访问，这是有效和高效通信的保障。其中，访问的含义较为宽泛，对程序的读、写、修改、执行等都属于访问的范畴。访问控制可分为自主访问控制、强制访问控制、基于角色的访问控制。实现机制可以是基于访问控制属性的访问控制表、基于安全标签或用户和资源分档的多级访问控制等。

(3)数据保密服务。包括多种保密服务，为了防止网络中各系统之间的数据被截获或被非法存取而泄密，提供密码加密保护。数据保密服务可提供链接方式和无链接方式两种数据保密，同时也可对用户可选字段的数据进行保护。

(4)数据完整性服务。用以防止非法实体对交换数据的修改、插入、删除以及在数据交换，过程中的数据丢失。数据完整性服务可分为：

·带恢复功能的链接方式数据完整性；

·不带恢复功能的链接方式数据完整性；

·选择字段链接方式数据完整性；

·选择字段无链接方式数据完整性；

·无链接方式数据完整性。

(5)数据源点认证服务。用于确保数据发自真正的源点，防止假冒。

(6)禁止否认服务。用以防止发送方在发送数据后否认自己发送过此数据，接收方在收到数据后否认自己收到过此数据或伪造接收数据，由两种服务组成，即不得否认发送和不得否认接收。

(7)犯罪证据提供服务。指为违反国内外法律法规的行为或活动提供各类数字证据、信息线索等。

8.3 工程体系架构

信息安全系统工程(ISSE)是一门系统控制学，它的主要内容是确定系统和过程的安全风险，并且使安全风险降到最低或使其得到有效控制。

8.3.1 安全工程基础

信息安全系统服务于业务应用信息系统，并与之密不可分，但两者又不能混为一谈。信息安全系统不能脱离业务应用信息系统而存在。

信息安全系统的建设是在OSI网络参考模型的各个层面进行的，因此信息

安全系统工程活动离不开其他相关工程，主要包括硬件工程、软件工程、通信及网络工程、数据存储与灾备工程、系统工程、测试工程、密码工程和组织信息化工程等。

8.3.2 ISSE-CMM基础

信息安全系统工程能力成熟度模型 (ISSE-CMM) 是一种衡量信息安全系统工程实施能力的方法，是使用面向工程过程的一种方法。ISSE-CMM是建立在统计过程控制理论基础上的。

SSE-CMM模型是信息安全系统工程实施的度量标准，它覆盖了：

·全生命期，包括工程开发、运行、维护和终止；

·管理、组织和工程活动等的组织；

·与其他规范(如系统、软件、硬件、人的因素、测试工程、系统管理、运行和维护等) 并行的相互作用；

·与其他组织(包括获取、系统管理、认证、认可和评估组织)的相互作用。

ISSE-CMM主要适用于工程组织、获取组织和评估组织。

8.3.3 ISSE过程

ISSE过程的目的是使信息安全系统成为系统工程和系统获取过程整体的必要部分，从而有力地保证用户目标的实现，提供有效的安全措施，以满足客户和服务对象的需求，将信息系统安全的安全选项集成到系统工程中，获得最优的信息安全系统解决方案。

ISSE并不是一个独立的过程，它依赖并支持系统工程和获取(保证)过程，而且是后者不可分割的一部分。

ISSE将信息安全系统工程实施过程分解为：工程过程、风险过程和保证过程三个基本的部分。

1.工程过程

信息安全系统工程过程与其他工程活动一样，是一个包括概念、设计、实现、测试、部署、 运行、维护、退出的完整过程.

2.风险过程

信息安全系统工程的一个主要目标是降低信息系统运行的风险。一个有害事件由威胁、脆弱性和影响3个部分组成。

3.保证过程

保证过程是指安全需求得到满足的可信程度，它是信息安全系统工程非常重要的部分。

8.3.4 ISSME-CMM体系结构

ISSE-CMM的体系结构可以在整个信息安全系统工程范围内决定信息安全工程组织的成熟性。这个体系结构的目标是落实安全策略，从管理和制度化方面突出信息安全工程的基本特征。为此，该模型采用两维设计，其中的一维是“域

(Domain)，另一维是“能力”(Capability)。

1.域维/安全工程过程域

域维汇集了定义信息安全系统工程的所有实施活动，这些实施活动被称为过程域。

能力维代表组织能力，它由过程管理能力和制度化能力构成，这些实施活动被称作公共特性，可在广泛的域中应用。

ISSE包括6个基本实施，这些基本实施被组织成11个信息安全工程过程域，这些过程域覆盖了信息安全系统工程的所有主要领域。

2.能力维/公共特性

通用实施，由被称之为公共特性的逻辑域组成，公共特性分为 5个级别，依次表示增强的组织能力。

3.能力级别