1.3 信息安全工程

本节首先对信息安全工程的基本概念进行一个基本说明，对其发展历程进行介绍，然后说明借鉴系统工程（SE）来开发形成信息安全工程的过程，对安全工程的两种实施方法ISSE和SSE-CMM进行简要介绍，最后对整个信息安全所涉及的理论技术进行概述。

1.3.1 信息安全工程的概念

为了解决信息安全保障的问题，我们不能单纯地依靠技术或安全产品的堆砌来实现，还应依赖于复杂的系统工程——信息安全工程。

信息安全工程是采用工程的概念、原理、技术和方法，来研究、开发、实施与维护信息系统安全的过程，它将经过时间证明是正确的工程实践流程、管理技术和当前能够得到的最好的技术方法相结合，来解决信息安全保障问题。

我们在日常生活当中，可以遇到很多需要有严格的安全保障的信息系统，例如，银行的ATM系统、网上支付系统、学生成绩管理系统。若ATM系统出了问题，则会破坏经济秩序；若网上支付系统出了问题，则会影响用户的利益；成绩管理系统出了问题则会影响学校的教学管理。一些系统问题则会产生更为严重的后果，比如核武器控制系统一旦出问题，则会危及人类的生存。

信息安全工程有着清晰的研究范畴，包括其实现目标、原理和适用范围，风险评估的方法和手段、安全体系结构的构建、安全方案的实施等。同时，由于信息安全工程是系统工程，就必须用系统工程的概念来对待和处理信息安全问题。工程实施单位需要从工程的角度考虑系统安全需求分析，系统安全的定义、设计、实施和评估等过程；管理单位则建议采用信息安全工程能力成熟度模型（SSE-CMM）来对相关的实施过程进行评估。只有这样才能保证整个信息系统的安全。

1.3.2 信息安全工程的发展

在很久之前，人们根据长期实践的经验把各种保密方法用于战争、商业情报等方面来保证信息的安全性，由此形成了原始的信息安全工程思想。但是，信息安全工程真正作为一门现代化的学科还是从20世纪90年代后开始的。随着系统科学和系统工程的兴起和发展，信息安全工程也随之蓬勃发展，这也与管理科学、信息论以及计算机技术等现代科学技术的出现密不可分。

系统工程（SE）是系统学科的一个应用分支学科，它的兴起与管理学科的发展、信息论、控制论以及计算机的出现相互联系，也和生产生活的发展相关联。它是在完成大规模的复杂工程和科学研究等任务时为解决相应的系统问题而出现的。最早的信息安全工程就来源于系统工程，如图1-8所示。

使用系统工程研究问题一般优先考虑系统的整体框架，而后进入详细的设计，即先进行系统的总体设计，然后进行各子系统或具体问题的研究。系统工程方法是以系统整体功能最优为目标，通过对系统的综合、分析构造系统模型来调整改进系统的结构，使之达到整体最优。其研究是以系统思想为指导，采取的理论和方法综合集成各学科、各领域的理论和方法。系统工程研究强调多学科协作，根据研究问题涉及的学科和专业范围，组成一个合理的知识结构体系。

信息系统安全工程（Information System Security Engineering，ISSE）是美国军方根据系统工程（SE）过程的原理，面向信息安全开发的方法学，与SE之间是映射关系。美国军方于1994年2月28日发布了《信息系统安全工程手册V1.0》，随后发布了一系列相关的军标和指令。

由于ISSE由系统工程发展而来，因而仍沿袭了以时间维来划分工程元素的方法学，由此暴露出了一些不足之处：很多安全要求应该在整个工程过程中来实现，尤其是信息安全保证的要求，而ISSE对其缺乏有针对性的讨论；此外，信息安全的内容极其复杂，一次完整的信息安全工程过程往往会涉及多个复杂的安全领域，而有些领域的时间过程性不明显，所以以时间维为线索的描述方式不适合反映这些内容。

之后，在ISSE的发展上，出现了第二种思路：过程能力成熟度的方法，其基础是CMM（能力成熟度模型）。

1986年11月，美国软件工程研究所（Software Engineering Institute，SEI）在Mitre公司的协助下，着手开发过程成熟度框架，用于帮助机构改进其软件过程，并提供一种能够用来评价软件承制方能力的方法。1987年9月，SEI发布了软件过程成熟度框架的一个简短描述，不久后，该框架在被过程工程领域誉为软件过程之父的Humphrey所著的《软件过程管理》中做了扩充。CMM的1.0版在1991年8月由卡内基-梅隆大学软件工程研究所发布。虽然CMM还不够完善，但它代表了软件行业大多数人的想法，并且CMM确实能够帮助软件组织改进软件质量。

系统安全工程-能力成熟度模型SSE-CMM（Systems Security Engineering Capability Maturity Model），起源于美国国家安全局（NSA）在1993年4月提出的一个专门应用于系统工程的能力成熟模型（CMM）的构思，其目的是建立和完善一套成熟的、可度量的安全工程过程。该模型定义了一个组织的安全工程过程必须包含的本质特征，这些特征是完善的安全工程保证。1996年10月发布了SSE-CMM的1.0版本，继而在1997年春制定完成了SSE-CMM评定方法的1.0版本；1999年4月，形成了SSE-CMMV2.0和SSE-CMM评定方法V2.0；2002年3月，SSE-CMM得到了ISO的采纳，成为ISO的标准——ISO/IEC 21827。

在我国，自20世纪80年代末开始，随着我国计算机应用的迅速拓展，各个行业、企业的安全需求也开始显现，计算机病毒、内部信息泄漏和系统宕机等现象成为企业不可忽视的问题。20世纪90年代初，世界信息技术革命使许多国家把信息化作为基本国策，美国“信息高速公路”等政策也让中国意识到信息化的重要性，在此背景下我国信息化开始进入较快发展期，中国的计算机安全事业也开始起步。

在这个阶段，一个典型的标志就是计算机安全的法律法规开始出现——1994年公安部颁布了《中华人民共和国计算机信息系统安全保护条例》，这是我国第一个计算机安全方面的法律，较为全面地从法律法规的角度阐述了计算机信息系统安全相关的概念、内涵、管理、监督、责任，这标志着我国信息安全管理发展到计算机与网络信息系统安全管理阶段。中国安全产业起步的另一个重要标志是，在这个时期中，许多企事业单位开始把信息安全作为系统建设中的重要内容之一，加大了投入，开始建立专门的安全部门来开展信息安全工作；一大批基于计算机及网络的信息系统建立起来并开始运行，在部门业务中起到重要作用，成为不可分的部分，如金融与税务业。可以说，企事业界对信息安全的重视对整个信息安全学术发展起到了推动作用，这是产业市场发展的关键之一。

从1999年前后到现在，中国安全产业进入快速发展阶段，逐步走向正轨。其最重要的特征是，就是国家高层领导重视信息安全工作，国家出台了一系列重要政策、措施。1999年国家计算机网络与信息安全管理协调小组和2001年国务院信息化工作办公室成立专门的小组负责网络与信息安全相关事宜的协调、管理与规划，都是国家信息安全走向正轨的重要标志。与此同时，国家在信息安全的法律、规章、原则、方针上都有对应措施。发布了一系列文件。同时，这个阶段安全产业和市场开始迅速发展，增长速度明显加快。1998年中国信息安全市场销售额仅4.5亿元人民币左右，之后十多年间以惊人的速度发展。在2014年，我国信息安全市场达到321.28亿元，全球信息安全市场比2013年增长21%。2015年我国信息安全市场规模达到了410.2亿元。其中，中国自主研发、自主生产的安全设备发展较快，品种也逐步健全。虽然中国网络安全和信息安全产业还是存在不少的问题，还不能说十分的全面，但只要我们继续深入贯彻国家政策，加上党和政府的高度重视与大力支持以及全社会的共同努力，我国信息安全管理必能实现可持续发展。

1.3.3 信息安全工程相关理论技术

信息安全工程是信息安全保障的重要组成部分，但是却被广泛忽视。从普通管理者的角度看，信息安全的状况是“重技术、轻管理”；从一般安全人员看，信息安全的状况是“重应用、轻安全”；从专业人员的角度看，信息安全的状况是“重要素、轻过程”。信息安全工程就是要解决信息系统生命周期的“过程安全”问题。

信息安全的建设是一个系统工程，它要求对信息系统的各个环节进行统一的综合考虑、规划和架构，并要时时兼顾组织内外不断发生的环境因素的变化，任何环节上的安全缺陷都会对系统构成威胁。在这里我们可以引用管理学上的“木桶原理”加以说明。

“木桶原理”指的是：一个木桶由许多块木板组成，如果组成木桶的这些木板长短不一，那么木桶的最大容量不取决于长的木板，而取决于最短的那块木板。这个原理同样适用信息安全。一个组织的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节决定。信息从产生到销毁的生命周期过程中包括了产生、收集、加工、交换、存储、检索、存档、销毁等多个环节，表现形式和载体会发生各种变化，这些环节中的任何一个都可能影响整体信息安全水平。要实现信息安全目标，一个组织必须使构成安全防范体系这只“木桶”的所有木板都要达到一定的长度（水平）。

图1-9显示了信息安全工程中所用到的相关理论与技术。

其中ISSE（信息系统安全工程）和SSE-CMM（系统安全能力成熟度模型）都是信息安全工程的典型实施方法，而这些实施方法都是基于等级保护的。通过等级保护，我们可以对信息系统的安全保护能力进行划分，针对不同级别的安全问题实施相关的保护。风险评估则是通过有效的风险分析，找出系统的弱点及威胁，度量安全风险。在制定安全策略时，我们要结合风险评估所分析出来的安全问题以及相关的需求来制定详细、全面的应对措施和处理方法。信息安全管理控制则是为了将安全管理落实到信息安全建设的各个方面，从而提供对内部人员的管理监督。安全技术则是在实现信息安全保障的各个过程中所用到的一些专业技术，比如通过访问控制、口令技术等来防止未授权用户的访问，通过密码技术来保证信息的完整性、可用性和保密性等，通过防病毒技术来防止计算机病毒对系统的入侵攻击等。

由于信息安全是一个多层面、多因素的、综合的、动态的过程，如果组织凭着一时的需求，想当然地去制定一些控制措施和引入某些技术产品，都难免存在挂一漏万、顾此失彼的问题，使得信息安全这只“木桶”出现若干“短木块”，从而无法提高安全水平。正确的做法是遵循国内外相关信息安全标准与最佳实践过程，考虑到组织对信息安全的各个层面的实际需求，在风险分析的基础上引入恰当控制措施，针对不同的安全等级制定相应的安全策略，将各种安全技术和方法运用到其中，从而实现信息安全的有效管理。