第七课-信息系统安全保障体系结构标准-信息安全体系结构课件

《第七课-信息系统安全保障体系结构标准-信息安全体系结构课件》由会员分享，可在线阅读，更多相关《第七课-信息系统安全保障体系结构标准-信息安全体系结构课件（91页珍藏版）》请在装配图网上搜索。

1、,,,,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,,*,*,,信息安全体系结构,第七课,北京交通大学 计算机学院,20,11,年,11,月,,1,信息安全体系结构第七课北京交通大学 计算机学院1,信息系统安全保障体系结构标准：,IEEE P 1700: ISSAA Standard,,,2,信息系统安全保障体系结构标准：IEEE P 1700: IS,,介绍,NIST FISMA,相关计划,安全控制,安全认证和认可,摘要,,3,介绍3,第,I,部分,,介绍,,4,第I部分介绍4,IEEE P 1700: ISSAA Standard,是正在制定

2、中的信息系统安全标准，其贯彻了美国联邦政府信息安全认证认可的工作思路（也符合美国,《,信息安全管理法,》,（,fisma,）的要求）,,5,IEEE P 1700: ISSAA Standard是正在,现状,高度交互的环境，全球网络中遍布强大的计算设备和互联的大系统,联邦机构在日常中总与工业界、个体公民、州和地方政府以及其他国家政府相往来,当今系统和网络的复杂性为信息技术的生产商和消费者带来了巨大的安全挑战,,6,现状高度交互的环境，全球网络中遍布强大的计算设备和互联的大系,攻击的便利性,Internet,上到处都有功能强大的攻击工具，任何人都可得到,大众之间已经拥有了能花得起钱、功能强大的计

3、算平台，足以发起复杂的攻击,制造一起危害性特别严重的攻击事件所花费的技能和熟练度并不高,,后果:攻击的,熟练度,在增长，但攻击者的,熟练度,要求却不高。,,7,攻击的便利性Internet上到处都有功能强大的攻击工具，任,如今的挑战,要在有限的预算内对信息系统给予足够的保护,要改变现在的习惯：,“,先连上……然后才问是否安全,”,要在下述方面制定标准:,信息系统安全控制,用于评估这些控制的有效性的验证流程,,8,如今的挑战要在有限的预算内对信息系统给予足够的保护8,保障信息系统,建设更安全的系统，需要 ——,精心定义的系统级安全要求和安全规范,精心设计的组件产品,良好的系统安全工程实践经验,合

4、格的系统安全工程师,用于产品/系统测试、评价和评估的适宜准则,综合的系统安全规划和生命周期管理,,9,保障信息系统建设更安全的系统，需要 ——9,安全链,,,安全链中的各节,（,基于技术的若干例子）,,访问控制机制,,标识和鉴别设备,,审计机制,,加密机制,,防火墙,,智能卡,,生物认证,安全链中的各节,（基于非技术的若干例子）,,物理安全,,人员安全,,流程安全,,风险管理,,安全策略,,安全规划,,应急规划,攻击者寻找的是最弱的环节……你的最弱环节何在？,,10,安全链安全链中的各节安全链中的各节攻击者寻找的是最弱的环节…,支持性工具和项目,建立更安全系统的工作需要如下方面来促进——,标准

5、化的安全要求和规范,政府发起的保护轮廓开发项目,私营部门对保护轮廓的贡献,组件级的产品测试和评估项目,NIAP CC,评估和认证制度,NIST,密码模块认证项目,安全实施指南,NIST,特别出版物,国防部安全技术实施指南,国家安全局安全参考指南,安全认证和认可,,11,支持性工具和项目建立更安全系统的工作需要如下方面来促进——1,第,II,部分,,NIST FISMA,相关计划,,12,第II部分NIST FISMA相关计划12,FISMA,综述,“每一个联邦机构应该开发、记录并实现一个机构级的信息安全项目，以向用来支撑本机构的运行及资产的信息和信息系统提供信息安全，包括那些由另一个联邦机构

6、、合同商或其他来源提供或管理的信息和信息系统……”,,,——,2002,年信息安全管理法案,,13,FISMA综述 “每一个联邦机构应该开发、记录并实现一个机,FISMA,为,NIST,提出的任务,制定标准，供联邦机构对其信息和信息系统分类时所用，针对相应的风险级提供适度的信息安全,制定指南，建议各种信息和信息系统如何归入,FIPS 199,中提出的类别之中,为每一类别的信息和信息系统制定最小的信息安全要求（管理、运行和技术类安全控制）,,14,FISMA 为NIST提出的任务制定标准，供联邦机构对其信息,国家政策,管理和预算办公室（,OMB）A-130,通告《联邦信息资源管理》要求各联邦机

7、构：,制定安全计划,确保适宜的官员被分配了安全责任,在系统运行之前对其进行授权，并在此后定期进行重授权,,,15,国家政策管理和预算办公室（OMB）A-130通告《联邦信息资,认证认可计划的目标,第,I,阶段：,,制定如下方面的标准和指南：,联邦信息和信息系统的分类,为联邦信息系统选择和规定安全控制,验证联邦信息系统安全控制的有效性,第,II,阶段：,,建立一个国家级的、由经过认可的机构组成的网络，能够基于,NIST,标准和指南提供成本有效的、高质量的安全评估服务,,16,认证认可计划的目标第I阶段： 制定如下方面的标准和指南：16,巨大的益处,更加一致和可比的信息系统安全控制规范,更加一致、

8、可比和可重复的信息系统级评估,为负责授权的官员提供更加完备和可靠的安全相关信息,更好地理解复杂的信息系统及其相关风险和脆弱性,更多更好的安全认证服务,,17,巨大的益处更加一致和可比的信息系统安全控制规范17,总体框架图,信息安全项目,,机构的信息和信息系统,,,,,,SP 800-37 SP 800-53A,安全控制有效 性的验证 （认证）,通过安全测试与评估，衡量信息系统中安全控制的有效性,根据保密性、完整性和可用性方面存在的风险程度，定义信息和信息系统的类别,信息和信息系统分类,,,FIPS 199

9、 SP 800-60,记录安全需求以及规划中或已部署的信息和信息系统保护安全控制,安全规划,,SP 800-18,分析信息系统的威胁和脆弱性以及机构的运行和资产可能因保密性、完整性和可用性的损失而遭到的潜在影响和危害,风险评估,,SP 800-30,安全授权,（,认可）,基于控制的有效性和残余风险，机构的高级官员授权信息系统可以处理、存储或传输信息,,SP 800-37,安全控制的选择和实施,,,,规划中或已经部署的用来保护信息与信息系统的管理、技术和运行控制（即安全措施和对策）,,FIPS 200,,SP 800-53,,18,总体框架图信息安全项目 SP 800-37 SP

10、,分类标准,NIST FISMA,要求 #1,制定标准，用于供联邦机构对其信息和信息系统,分类,时所用，针对相应的风险级提供适度的信息安全,与联邦的整体体系结构相联系，在参考模型中体现,安全可追踪性,,,19,分类标准NIST FISMA要求 #1制定标准，用于供联邦,成果,各机构将具有一种标准化的手段来判断哪些基线安全控制是在有效地保护信息和信息系统时所需的，以：,,完成机构的使命,保护机构的资产,,维护机构的日常职能,,保护个人,,20,成果各机构将具有一种标准化的手段来判断哪些基线安全控制是在有,适用性,FIPS 199,适用于：,联邦政府内除下列信息外的所有信息：根据修订过的1295

11、8号行政令或此前的任何相关命令，或根据修订过的1954年《原子能法案》要求得到保护，防止未授权泄露，且被标识为涉密状态的信息,除根据美国法典第44编第3542(,b)(2),定义的国家安全系统外的所有的联邦信息系统,,21,适用性FIPS 199适用于：21,安全目标,保密性,“,信息的访问和披露要经过授权，包括保护个人隐私和专属信息的手段。”,[,美国法典第44编第3542款,],完整性,“,防止对信息进行不适当的修改或破坏，包括确保信息的不可否认性和真实性。,”,[,美国法典第44编第3542款,],可用性,“,确保可以及时可靠地访问和使用信息。,”,[,美国法典第44编第3542款,],

12、,22,安全目标保密性22,可能的损失类型,保密性,损失,,非授权泄漏信息,完整性,损失,,非授权修改或破坏信息,可用性,损失,,无法使用信息或信息系统,,23,可能的损失类型保密性损失23,可能的影响,当下列情况发生时，可能的影响为,低,——,保密性、完整性或可用性的损失会给组织的运行、资产或个人带来,有限的负面影响,。,进一步解释,: 例如，有限的负面影响意味着保密性、完整性或可用性的损失可能：（,i,）引起使命能力的降低，其程度和持续时间使组织仍能够履行其主要职能，但职能的效果有了明显的下降；（,ii,）对组织的资产造成较小的破坏；（,iii,）造成了较小的金融损失；（,iv,）对人员造

13、成了较小的不利影响。,,24,可能的影响当下列情况发生时，可能的影响为低——24,可能的影响,当下列情况发生时，可能的影响为,中,——,保密性、完整性或可用性的损失会给组织的运行、资产或个人带来,较大的负面影响,。,进一步解释,: 例如，较大的负面影响意味着保密性、完整性或可用性的损失可能：（,i,）引起使命能力的较大降低，其程度和持续时间使组织仍能够履行其主要职能，但职能的效果有了较大的下降；（,ii,）对组织的资产造成较大的破坏；（,iii,）造成了较大的金融损失；（,iv,）对人员造成了较大的不利影响，但不涉及到生命或肢体的损失。,,25,可能的影响当下列情况发生时，可能的影响为中——2

14、5,可能的影响,当下列情况发生时，可能的影响为,高,——,保密性、完整性或可用性的损失会给组织的运行、资产或个人带来,严重的或灾难性的负面影响,。,进一步解释,: 例如，严重的灾难性的负面影响意味着保密性、完整性或可用性的损失可能：（,i,）引起使命能力的巨大降低，其程度和持续时间使组织已无法履行其一项或多项主要职能；（,ii,）对组织的资产造成巨大的破坏；（,iii,）造成了巨大的金融损失；（,iv,）对人员造成了严重的或灾难性的不利影响，涉及到了生命或肢体的损失。,,26,可能的影响当下列情况发生时，可能的影响为高——26,安全分类,,低,中,高,,保密性,信息的非授权泄露会给组织的运行、

15、资产或个人带来有限的负面影响。,信息的非授权泄露会给组织的运行、资产或个人带来较大的负面影响。,信息的非授权泄露会给组织的运行、资产或个人带来严重的或灾难性的负面影响。,,,完整性,信息的非授权修改或破坏会给组织的运行、资产或个人带来有限的负面影响。,信息的非授权修改或破坏会给组织的运行、资产或个人带来较大的负面影响。,,信息的非授权修改或破坏会给组织的运行、资产或个人带来严重的或灾难性的负面影响。,,可用性,信息或信息系统无法访问、无法使用会给组织的运行、资产或个人带来有限的负面影响。,信息或信息系统无法访问、无法使用会给组织的运行、资产或个人带来较大的负面影响。,信息或信息系统无法访问、无

16、法使用会给组织的运行、资产或个人带来严重的或灾难性的负面影响。,举例: 对使命而言很关键的信息及信息系统,将信息及信息系统的类型映射到,FIPS 199,安全类别之中,,,27,安全分类低中高信息的非授权泄露会给组织的运行、资产或个人带来,安全分类,举例: 对使命而言很关键的信息及信息系统,将信息及信息系统的类型映射到,FIPS 199,安全类别之中,,对高影响系统的基线安全控制,,低,中,高,,保密性,信息的非授权泄露会给组织的运行、资产或个人带来有限的负面影响。,信息的非授权泄露会给组织的运行、资产或个人带来较大的负面影响。,信息的非授权泄露会给组织的运行、资产或个人带来严重的或灾难性的负

17、面影响。,,,完整性,信息的非授权修改或破坏会给组织的运行、资产或个人带来有限的负面影响。,信息的非授权修改或破坏会给组织的运行、资产或个人带来较大的负面影响。,,信息的非授权修改或破坏会给组织的运行、资产或个人带来严重的或灾难性的负面影响。,,可用性,信息或信息系统无法访问、无法使用会给组织的运行、资产或个人带来有限的负面影响。,信息或信息系统无法访问、无法使用会给组织的运行、资产或个人带来较大的负面影响。,信息或信息系统无法访问、无法使用会给组织的运行、资产或个人带来严重的或灾难性的负面影响。,,,28,安全分类举例: 对使命而言很关键的信息及信息系统将信息及信息,映射指南,,NIST F

18、ISMA,要求 #2,制定指南，建议各种信息和信息系统如何归入,FIPS 199,中提出的类别之中,NIST,还制定了：,SP 800-60《,如何将各种信息和信息系统映射到安全类别的指南》,,29,映射指南NIST FISMA要求 #2制定指南，建议各种信,最小安全控制,,NIST FISMA,要求#3,为每一类别的信息和信息系统制定最小的信息安全要求（管理、运行和技术类安全控制）,NIST,还制定了：,FIPS 200《,联邦信息系统最小安全控制》,,30,最小安全控制NIST FISMA要求#3为每一类别的信息和,SP 800-53,,指导如何为联邦信息系统选择和规定安全控制,提供了

19、大量的信息系统安全控制（并入了,NIST SP 800-26、DoD8500、D/CID6-3、ISO/IEC 17799、GAO FISCAM、HHS-CMS）,为,FIPS 199,中各个类别的信息系统建议了基线（最小）安全控制,提供了供各机构裁剪机线安全控制的指南,,31,SP 800-53指导如何为联邦信息系统选择和规定安全控制,认证和认可,定期测试和评估信息安全策略、流程以及措施（管理、运行、技术类安全控制）的有效性。,NIST,发布了：,SP 800-37《,联邦信息系统安全认证和认可指南》,SP 800-53A《,联邦信息系统安全有效性验证技术和流程》,,32,认证和认可定期测

20、试和评估信息安全策略、流程以及措施（管理、运,SP 800-37,,联邦信息系统安全认证和认可指南,建立了用以对联邦政府行政部门内的信息系统进行认证和认可的指南（包括任务和子任务）,可适用于,FISMA,中定义的非国家安全系统,替代了,FIPS 102,,33,SP 800-37联邦信息系统安全认证和认可指南建立了用以,SP 800-53A,,联邦信息系统安全控制有效性验证技术和流程,提供了标准化的技术和流程，用于独立的认证人员去验证安全控制的有效性,为,SP 800-53,中的每一种安全控制提供了单一的基线验证流程,允许各机构附加其它的验证技术和流程,,34,SP 800-53A联邦信息

21、系统安全控制有效性验证技术和流,总体框架图,信息安全项目,,机构的信息和信息系统,,,,,,SP 800-37 SP 800-53A,安全控制有效 性的验证 （认证）,通过安全测试与评估，衡量信息系统中安全控制的有效性,根据保密性、完整性和可用性方面存在的风险程度，定义信息和信息系统的类别,信息和信息系统分类,,,FIPS 199 SP 800-60,记录安全需求以及规划中或已部署的信息和信息系统保护安全控制,安全规划,,SP 800-18,分析信息系统的威胁和脆弱性以及机构的运行和资产可能因保密性、

22、完整性和可用性的损失而遭到的潜在影响和危害,风险评估,,SP 800-30,安全授权,（,认可）,基于控制的有效性和残余风险，机构的高级官员授权信息系统可以处理、存储或传输信息,,SP 800-37,安全控制的选择和实施,,,,规划中或已经部署的用来保护信息与信息系统的管理、技术和运行控制（即安全措施和对策）,,FIPS 200,,SP 800-53,,35,总体框架图信息安全项目 SP 800-37 SP,第,III,部分,安全控制,,36,第III部分安全控制36,安全控制类,包含大约170条,根据类（,classes）,和族（,families）,组织,包括3个级别的安全控

23、制强健性（基本级、增强级、强壮级）,本质上是动态的，允许修改和扩展，以满足不断变化的需求和技术,,37,安全控制类包含大约170条37,安全控制,管理控制,针对,IT,系统的安全管理以及系统风险管理,运行控制,针对主要由人（与系统相对）来实施和执行的安全机制,技术控制,针对包含在计算机系统中并由计算机系统来执行的安全机制,,38,安全控制管理控制38,管理控制,风险管理,安全规划,系统和服务的采办,安全控制的检查,处理授权,,39,管理控制风险管理39,运行控制,人员安全,介质保护,物理和环境保护,应急规划和运行,管理配置,事件响应,,40,运行控制人员安全40,运行控制,硬件和软件维护,系统

24、和数据完整性,安全意识、培训和教育,,41,运行控制硬件和软件维护41,技术控制,标识和鉴别,逻辑访问控制,可追究性（包括审计跟踪）,系统和通信保护,,42,技术控制标识和鉴别42,基线安全控制,三套基线（最小,）,安全控制是为,FIPS 199,中的不同安全类别定义的,在相应基线（即低、中、高）中的每一套安全控制可对抗预计的威胁,对于可以确定的威胁源，基线安全控制可以提供：（,i,）全面的对抗；（,ii,）部分的对抗；或者（,iii,）不对抗,,43,基线安全控制三套基线（最小）安全控制是为FIPS 199中的,基线安全控制,基线安全控制为一个组织在选择安全控制时提供了出发点,安全控制可以由

25、组织根据风险评估的结果和/或特定的安全要求（例如,HIPAA、GLP,法案）进行裁减,,44,基线安全控制基线安全控制为一个组织在选择安全控制时提供了出发,威胁的特征,SP 800-53,根据如下方面刻画了威胁源：,,类型,,能力,,资源,,意图,,45,威胁的特征SP 800-53根据如下方面刻画了威胁源：45,威胁的特征,,攻击类型,本地的,攻击者在物理上需要位于被攻击的信息系统的地点,网络的,攻击者的物理位置不需要位于被攻击的信息系统的地点——攻击者是从网络上发起攻击的,,46,威胁的特征攻击类型本地的46,威胁的特征,,攻击者的能力,攻击者的熟练程度,低：,攻击者只具有普通的,IT,

26、技能，对于待攻击信息系统的了解有限，不使用攻击工具,高：,满足下列两个条件之一（或均满足）：（,i,）使用了成熟的工具（包括可从公共渠道获得的工具）；（,ii,）攻击者使用了高级的攻击技术,对信息系统的访问位置,内部：,攻击者有可能不是信息系统的用户，或者是未授权的用户，也可能是授权的用户,外部：,攻击者不是信息系统的用户，或者是公共用户,,47,威胁的特征攻击者的能力攻击者的熟练程度47,威胁的特征,,攻击者的意图,非恶意的,攻击者的目的不是破坏信息系统或组织，而是出于好奇或厌烦，或者仅仅是因为要挑战智力,恶意的,攻击者具有破坏信息系统或组织的清晰意图，旨在恶意影响组织的运行或资产,,48

27、,威胁的特征攻击者的意图非恶意的48,威胁的特征,,攻击者的资源,少量的,攻击者：,自己指导自己，或自己激励自己,单干（一个人或者是小的团体），没有外部的影响或指导,只有少量的资源（一般少于一百万美元）,,49,威胁的特征攻击者的资源少量的49,威胁的特征,,攻击者的资源,中度的,攻击者：,来自一个团体或组织，但不涉及到国家（例如攻击者是一个涉及商业间谍的公司，或者是一个涉及犯罪或恐怖主义活动的实体）,受到来自集团或组织的领导的充分指导和影响,拥有中度规模的资源（一般少于一千万美元）,,50,威胁的特征攻击者的资源中度的50,威胁的特征,,攻击者的资源,丰富的,攻击者：,来自一个涉及到国

28、家（例如涉及到情报搜集行为、信息战的国家，或是资助恐怖主义的国家）的团体或组织,受到来自集团或组织的领导的充分指导和影响，并直接处在集团或组织的控制之下,拥有大量的资源（一般大于一千万美元）,,51,威胁的特征攻击者的资源丰富的51,安全控制的强健性,基于机制的强度和安全机制在实现时的有效性保障而定义了3种级别的强健性（基本级、增强级、强壮级）,根据安全控制的设计质量、开发方法学、开发过程的成熟性、测试和评估的严格程度而定义了保障,,52,安全控制的强健性基于机制的强度和安全机制在实现时的有效性保障,安全控制示例,,类：管理,,族：安全控制检查,CR-2,脆弱性扫描,,控制目标：,部署并有效

29、实施了用来定期扫描脆弱性的流程和机制。,CR-2.b,基本控制：,机构实施了脆弱性评估工具；开发了评估工具的实施流程，机 构的人员得到了对评估工具的操作培训。机构能够时隔[赋值：时间；例如：每6个月]通过脆弱性检测工具来扫描信息系统，从而测试信息系统的安全态势。,,53,安全控制示例类：管理 族：安全控,安全控制示例,,类：管理,,族：安全控制检查,CR-2,脆弱性扫描,,控制目标：,部署并有效实施了用来定期扫描脆弱性的流程和机制。,CR-2.e,增强的控制：,机构实施了脆弱性评估工具；开发了评估工具的实施流程，机 构的人员得到了对评估工具的操作培训。机构能够时

30、隔[赋值：时间；例如：每6个月]通过脆弱性检测工具来扫描信息系统，从而测试信息系统的安全态势。,,脆弱性扫描工具包括即时升级脆弱性列表的能力。脆弱性列表要至少在每次定期扫描之前得到升级。脆弱性扫描的流程包括：在列表升级时扫描，且当一个重大的新脆弱性被宣布时也要进行扫描。,,,54,安全控制示例类：管理 族：安全控,安全控制示例,,类：管理,,族：安全控制检查,CR-2,脆弱性扫描,,控制目标：,部署并有效实施了用来定期扫描脆弱性的流程和机制。,CR-2.s,强壮的控制：,机构实施了脆弱性评估工具；开发了评估工具的实施流程，机 构的人员得到了对评估工具的操作培训。机

31、构能够时隔[赋值：时间；例如：每6个月]通过脆弱性检测工具来扫描信息系统，从而测试信息系统的安全态势。,,脆弱性扫描工具包括即时升级脆弱性列表的能力。脆弱性列表要至少在每次定期扫描之前得到升级。脆弱性扫描的流程包括：在列表升级时扫描，且当一个重大的新脆弱性被宣布时也要进行扫描。,脆弱性扫描流程还包括确保扫描全面性的手段，不管是在所检查的脆弱性方面，还是在所扫描的信息资源方面。,,55,安全控制示例类：管理 族：安全控,安全要求的映射,判断是否遵循了法律、行政令、指令、政策或规章（例如,HIPAA）,中提出的安全要求，这要将这些要求映射到安全控制中,所选择的安全控制可

32、以在信息系统中实现,安全控制的有效性可以通过安全认证过程得到验证——这将导向安全认可（授权信息系统投入运行）,,56,安全要求的映射判断是否遵循了法律、行政令、指令、政策或规章（,第,IV,部分,,认证和认可,,57,第IV部分认证和认可57,安全认可,,“管理层做出的决策，用来授权一个信息系统投入运行——,,这种授权是由机构的高级官员给予的，与具体的运行环境相吻合，清晰地说明了机构的运行、资产或个人所能接受的风险级别，这些风险是在实施了一致同意地安全控制后仍然存在的……,”,,58,安全认可 “管理层做出的决策，用来授权一个信息系统投入运,安全认证,,“对信息系统的技术类、管理类和运行

33、类安全控制所进行的综合评估——,,这种评估要对安全授权过程提供支持，它将判断安全控制在一个特定环境中的有效性以及信息系统在实施了安全控制之后存在的脆弱性……,”,,59,安全认证 “对信息系统的技术类、管理类和运行类安全控制所,关键角色,授权官员,授权官员的指派代表,信息系统拥有者,信息系统安全官,认证主体,用户代表,注意：机构应当对上述推荐的角色进行裁减。例如，对一个小的组织而言，有可能需要制定更适合组织结构的类似角色。但这些角色的责任分离是重要的，不管组织的规模如何。,,60,关键角色授权官员60,授权官员,检查和批准信息系统的安全计划,基于在安全认证过程中收集的信息来判断机构的运行或

34、资产中存在的残余风险,做出安全认可决策，对认可包签署相关的转交证书（只限授权官员）,检查在对信息系统运行的不断监视中做出的安全状态报告,发起安全重认可决策,,61,授权官员检查和批准信息系统的安全计划61,指派代表,由授权官员选择，用来协调和履行安全认证及认可过程中必需的活动,被授权来对如下事项做出决策：,安全认证和认可活动的规划和资源准备,接受安全计划,判断机构的运行和资产中的残余风险,准备最终的安全认可包,得到授权官员对安全认可证书的签名，将认可包转交给合适的机构官员,,62,指派代表由授权官员选择，用来协调和履行安全认证及认可过程中必,信息系统拥有者,代表了用户的利益,准备安全计划，实施

35、风险评估,向机构的认证、认可官员提供信息；确保认证认可过程中所需的合适资源,向认证主体提供与系统相关的必备文档,制定行动计划（和里程碑），减少或消除信息系统中的脆弱性,组合最终的安全认证包，提交给授权官员,,63,信息系统拥有者代表了用户的利益63,信息系统安全官,在所有涉及到信息系统安全的事项中作为系统拥有者的咨询人员,管理信息系统的安全，并在某些情况下还要负责监督系统的日常运行,在如下方面协助系统拥有者：,制定并执行信息系统安全策略,组合安全认证包,管理和控制信息系统的变更，评估这些变更所带来的安全影响,,64,信息系统安全官在所有涉及到信息系统安全的事项中作为系统拥有者,认证主体,对安全

36、计划进行独立评估,评估信息系统中的安全控制，以判断：,这些控制在具体运行环境中的有效性,系统在实施完安全控制后存在的脆弱性,提出校正措施建议，用以减少或消除信息系统中的脆弱性,,65,认证主体对安全计划进行独立评估65,用户代表,代表了用户团体的运行利益和使命要求,标识使命和运行要求,在整个信息系统的生命周期中担当用户团体的联络员,在必要时协助安全认证和认可过程,,66,用户代表代表了用户团体的运行利益和使命要求66,其他的支持性角色,信息安全项目经理,信息拥有者,运行管理员,设备管理员,,,67,其他的支持性角色信息安全项目经理67,类型认证,主应用或通用支撑系统，是硬件、软件和/或固件的通

37、用集合,拟安装在多个位置,,位置,A,位置,B,位置,C,,68,类型认证主应用或通用支撑系统，是硬件、软件和/或固件的通用集,现场认证,主应用或通用支撑系统，具有共同的使命和威胁/脆弱性,一个自包含的位置处有多个组织；他们具有共同的上级,,,69,现场认证主应用或通用支撑系统，具有共同的使命和威胁/脆弱性6,安全认证包,关键文档——,安全计划,安全测试和评估报告,行动和里程碑计划,,70,安全认证包关键文档——70,安全认证包,记录安全认证的结果,向授权官员提供重要的信息，以使其在是否允许信息系统投入运行方面做出可靠的基于风险的决策,使用来自信息系统安全官和认证主体的输入信息,,71,安全认

38、证包记录安全认证的结果71,安全认可决策,全认可,临时认可,拒绝认可,,72,安全认可决策全认可72,全认可,组织的运行和资产中的残余风险被认为完全可被授权官员接受,被认可的信息系统可以在运行中没有任何重大约束或限制,在成本有效性允许的地方，授权官员可能会推荐特定的工作来减少或消除已经发现的脆弱性,,73,全认可组织的运行和资产中的残余风险被认为完全可被授权官员接受,临时认可,组织的运行和资产中的残余风险被认为不是可被完全接受的，但由于使命的原因，系统有强烈的需要投入运行（或继续运行）,在特定的时期和状态下进行受限运行——但被告知系统在这段受限的时期内具有较高的风险,,74,临时认可组织的运行

39、和资产中的残余风险被认为不是可被完全接受的,临时认可,授权官员规定的时期和状态是对信息系统运行的限制,在这段受限授权的时期内，信息系统并未获得认可,最大可允许的时间段应该与,FIPS 199,中规定的安全类别相称,,75,临时认可授权官员规定的时期和状态是对信息系统运行的限制75,临时认可,在受限运行的时间末，信息系统应当满足全认可的要求，否则不能被授权进一步运行,只有在非常极端或有充分理由的情况下，才能被授权官员允许重新临时认可或扩展临时认可期限，但不鼓励这样做,在临时认可的时间段内，安全控制的有效性应该得到监视,,76,临时认可在受限运行的时间末，信息系统应当满足全认可的要求，否,拒绝认可

40、,机构运行或资产中的残余风险被授权官员认为不可接受,拒绝认可中，信息系统不能得到认可，不能投入运行——如果信息系统已经在运行，则所有的活动应当停止,应当立即发起矫正行为，以处理信息系统安全控制中的重大缺陷,,77,拒绝认可机构运行或资产中的残余风险被授权官员认为不可接受77,认可包,转达最终的认可决策,根据认证包中提供的信息构建,由下列内容组成：,认可决策证书,用来支持认可决策的原理,对系统拥有者指定的具体期限和状态,,安全认证和认可文档中的内容（尤其是与系统脆弱性有关的信息）应当得到标记，并根据机构的策略得到妥善保护。,,78,认可包转达最终的认可决策78,认证和认可过程,启动阶段,认证阶段

41、,认可阶段,持续监视阶段,,79,认证和认可过程启动阶段79,启动阶段,,关键问题,安全计划中制定的,FIPS 199,安全类是否正确？,执行计划是否正确地标识了安全认证和认可活动所需的资源？,安全计划中是否正确地阐述了预期的安全风险？,如果预期的风险是正确的，那么这些风险是否可接受？,,80,启动阶段关键问题安全计划中制定的FIPS 199安全类是否,启动阶段,,,主要任务,准备,通知有关各方并标识资源,安全计划的分析、更新和接受,,81,启动阶段 主要任务准备81,认证阶段,,关键问题,信息系统中有哪些实际的脆弱性？,已经实施或计划实施哪些具体的矫正行动来减少或消除信息系统中的脆弱性？

42、,,,82,认证阶段关键问题信息系统中有哪些实际的脆弱性？82,认证阶段,,主要任务,安全控制的验证,安全认证文档,,,83,认证阶段主要任务安全控制的验证83,认可阶段,,关键问题,信息系统中实际的脆弱性是如何解释成机构的运行和资产中的实际风险的？,风险可以接受吗？,,84,认可阶段关键问题信息系统中实际的脆弱性是如何解释成机构的运,认可阶段,,主要任务,安全认可决策,安全认可文档,,,85,认可阶段主要任务安全认可决策85,持续监视阶段,,关键问题,信息系统中的任何变更是如何影响系统中当前已经发现的脆弱性的？,如果已经影响到了脆弱性，机构的运行或资产中的风险是否受到了信息系统变更的

43、影响？,或,根据联邦政策或本机构的政策，信息系统需要进行重认可的时间段是否已经过期？,,86,持续监视阶段关键问题信息系统中的任何变更是如何影响系统中当,持续监视阶段,,主要任务,配置管理和控制,对安全控制的持续验证,状态报告和文档记录,,,87,持续监视阶段主要任务配置管理和控制87,第,V,部分,摘要,,88,第V部分摘要88,NIST,标准和指南,旨在推动和促进——,更加一致和可比的信息系统安全控制规范,更加一致和可比的信息系统安全控制规范,更加一致、可比和可重复的信息系统级评估,为负责授权的官员提供更加完备和可靠的安全相关信息,更好地理解复杂的信息系统及其相关风险和脆弱性,更多更

44、好的安全认证服务,,89,NIST标准和指南旨在推动和促进——89,总体框架图,信息安全项目,,机构的信息和信息系统,,,,,,SP 800-37 SP 800-53A,安全控制有效 性的验证 （认证）,通过安全测试与评估，衡量信息系统中安全控制的有效性,根据保密性、完整性和可用性方面存在的风险程度，定义信息和信息系统的类别,信息和信息系统分类,,,FIPS 199 SP 800-60,记录安全需求以及规划中或已部署的信息和信息系统保护安全控制,安全规划,,SP 800-18,分析信息系统的威胁和脆弱性以及机构的运行和资产可能因保密性、完整性和可用性的损失而遭到的潜在影响和危害,风险评估,,SP 800-30,安全授权,（,认可）,基于控制的有效性和残余风险，机构的高级官员授权信息系统可以处理、存储或传输信息,,SP 800-37,安全控制的选择和实施,,,,规划中或已经部署的用来保护信息与信息系统的管理、技术和运行控制（即安全措施和对策）,,FIPS 200,,SP 800-53,,90,总体框架图信息安全项目 SP 800-37 SP,谢谢大家！,,91,谢谢大家！91,