1、,单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,1,第,17-18,章 安全框架与评估标准,华南理工大学电子商务学院本科课程,电子商务安全与保密,1,2,本章要点:,风险评估的要素和基本流程,CC,和,BS7799,安全规范,SSE-CMM,计算机系统等级保护制度,2,3,安全设计和安全域,/
2、,等级保护的结合,等级,组织体系,管理体系,技术体系,机构,建设,人员,管理,制度,管理,风险,管理,资产,管理,技术,管理,安全,评估,安全,防护,入侵,检测,应急,恢复,1,2,3,4,5,安全体系的全面性,措施分级保护、适度安全,强度分级,三分技术,七分管理,3,4,OSI,的安全体系结构,网络信息系统安全体系结构,4,5,信息安全评估及相关标准,信息安全评估,定义,:,信息安全评估是对一个构件、产品、子系统或系统的安全属性进行的技术评价,通过评估判断该构件、产品、子系统或系统是否满足一组特定的要求,产品安全评估,信息系统安全评估,5,6,风险评估的目的,了解组织的安全现状,分析组织的安
3、全需求,建立信息安全管理体系的要求,制订安全策略和实施安防措施的依据,组织实现信息安全的必要的、重要的步骤,6,7,.,风险的四个要素:,资产及其价值,威胁,脆弱性,现有的和计划的控制措施,资产的分类,电子信息资产,软件资产,物理资产,人员,公司形象和名誉,威胁举例:,黑客入侵和攻击,病毒和其他恶意程序,软硬件故障,人为误操作,自然灾害如:地震、火灾、爆炸等,盗窃,网络监听,供电故障,后门,未授权访问,7,8,脆弱性,是与信息资产有关的弱点或安全隐患。,脆弱性本身并不对资产构成危害,但是在一定条件得到满足时,脆弱性会被威胁加以利用来对信息资产造成危害。,脆弱性举例:,系统漏洞,程序,Bug,专
4、业人员缺乏,不良习惯,系统没有进行安全配置,物理环境不安全,缺少审计,缺乏安全意识,后门,.,风险的四个要素:,8,9,安全评估模型,9,10,安全评估模型,10,11,安全评估模型,11,12,风险评估的一般工作流程,12,13,风险评估的一般工作流程,13,14,风险评估的一般工作流程,14,15,评估工具,评估工具目前存在以下几类:,扫描工具:包括主机扫描、网络扫描、数据库扫描,用于分析系统的常见漏洞;,入侵检测系统(,IDS,):用于收集与统计威胁数据;,渗透性测试工具:黑客工具,用于人工渗透,评估系统的深层次漏洞;,主机安全性审计工具:用于分析主机系统配置的安全性;,安全管理评价系统
5、:用于安全访谈,评价安全管理措施;,风险综合分析系统:在基础数据基础上,定量、综合分析系统的风险,并且提供分类统计、查询、,TOP N,查询以及报表输出功能;,评估支撑环境工具,:,评估指标库、知识库、漏洞库、算法库、模型库。,15,16,信息技术安全评估准则发展过程,可信计算机系统评估准则,TCSEC,信息技术安全评估准则,ITSEC,通用准则,CC,(,ISO 15408,、,GB/T18336),计算机信息系统安全保护等级划分准则,BS7799,、,ISO17799,信息技术 安全技术 信息技术安全性评估准则,ISO13335 IT,安全管理指南,SSE-CMM,系统安全工程能力成熟度模
6、型,我国的信息安全标准制定情况,标准介绍,保障信息安全有三个支柱,一个是技术、一个是管理、一个是法律法规。国家的法律法规,有专门的部门在研究和制定和推广。根据国务院,27,号文件,对信息安全实施分级安全保护的规定出台后,各有关部门都在积极制定相关的制度和法规,当前被普遍采用的技术标准的是,CC/ISO 15408,,管理体系标准是,ISO 17799/BS 7799,。,16,17,GB 18336 idt ISO/IEC 15408,信息技术安全性评估准则,IATF,信息保障技术框架,ISSE,信息系统安全工程,SSE-CMM,系统安全工程能力成熟度模型,BS 7799,ISO/IEC 17
7、799,信息安全管理实践准则,其他相关标准、准则,例如:,ISO/IEC 15443,COBIT,。,系统认证和认可标准和实践,例如:美国,DITSCAP,中国信息安全产品测评认证中心,相关文档和系统测评认证实践,技术准则,(信息技术系统评估准则),管理准则,(信息系统管理评估准则),过程准则,(信息系统安全工程评估准则),信息系统安全保障评估准则,与现有标准关系,信息系统安全保障评估准则,17,18,信息技术安全评估准则发展过程,1999,年,GB 17859,计算机信息系统安全保护等级划分准则,1991,年欧洲信息技术安全性评估准则(,ITSEC,),国际通用准则,1996,年(,CC1.
8、0,),1998,年(,CC2.0,),1985,年美国可信计算机系统评估准则(,TCSEC,),1993,年 加拿大可信计算机产品评估准则(,CTCPEC,),1993,年美国联邦准则(,FC 1.0,),1999,年 国际标准,ISO/IEC 15408,1989,年 英国,可信级别标准,(,MEMO 3 DTI,),德国评估标准(,ZSEIC,),法国评估标准,(,B-W-R BOOK,),2001,年 国家标准,GB/T 18336,信息技术安全性评估准则,idt iso/iec15408,1993,年美国,NIST,的,MSFR,18,19,CC,的适用范围,CC,定义了评估信息技术
9、产品和系统安全型所需的基础准则,是度量信息技术安全性的基准,针对在安全评估过程中信息技术产品和系统的安全功能及相应的保证措施提出的一组通用要求,使各种相对独立的安全评估结果具有可比性。,该标准适用于对信息技术产品或系统的安全性进行评估,不论其实现方式是硬件、固件还是软件,还可用于指导产品和系统开发。,该标准的主要目标读者是用户、开发者、评估者。,19,20,CC,内容,CC,吸收了个先进国家对现代信息系统安全的经验和知识,对信息系统安全的研究和应用定来了深刻的影响。它分为三部分:,第一部分介绍,CC,的基本概念和基本原理;,第二部分提出了安全功能要求;,第三部分提出了非技术性的安全保证要求。,
10、20,21,CC,内容,后两部分构成了,CC,安全要求的全部:安全功能要求和安全保证要求,其中安全保证的目的是为了确保安全功能的正确性和有效性,这是从,ITSEC,和,CTCPEC,中吸收的。同时,CC,还从,FC,中吸收了保护轮廓的,(PP),的概念,从而为,CC,的应用和发展提供了最大可能的空间和自由度。,CC,定义了作为评估信息技术产品和系统安全性的基础准则,提出了目前国际上公认的表述信息技术安全性的结构,即:,安全要求,=,规范产品和系统安全行为的,功能要求,+,解决如何正确有效的实施这些功能的,保证要求,。,21,22,CC,的关键概念,22,23,23,24,通用准则,CC,第二部
11、分:安全功能要求,CC,的第二部分是安全功能要求,对满足安全需求的诸安全功能提出了详细的要求,另外,如果有超出第二部分的安全功能要求,开发者可以根据,“,类,-,族,-,组件,-,元素,”,的描述结构表达其安全要求,并附加在其,ST,中,24,25,通用准则,CC,第二部分:安全功能要求,25,26,通用准则,CC,第二部分:安全功能要求,26,27,通用准则,CC,第二部分:安全功能要求,27,28,通用准则,CC,第二部分:安全功能要求,28,29,安全功能需求层次关系,功能和保证要求以,“,类,族,组件,”,的结构表述,组件作为安全要求的最小构件块,可以用于,“,保护轮廓,”,、,“,安
12、全目标,”,和,“,包,”,的构建,例如由保证组件构成典型的包,“,评估保证级包,”,。,29,30,通用准则,CC,:第三部分 评估方法,CC,的第三部分是评估方法部分,共包括,10,个类。维护类提出了保证评估过的受测系统或产品运行于所获得的安全级别上的要求,只有七个安全保证类是(评估对象),TOE,的评估类别,30,31,通用准则,CC,:第三部分 评估方法,31,32,通用准则,CC,:第三部分 评估方法,32,33,通用准则,CC,:第三部分 评估方法,33,34,通用准则,CC,:第三部分 评估方法,34,35,通用准则,CC,:第三部分 评估方法,35,36,通用准则,CC,七个安
13、全保证类,ACM,类:配置管理,CM,自动化,CM,能力,CM,范围,ADO,类:交付和运行,交付,安装、生成和启动,ADV,类:开发,功能规范,高层设计,实现表示,TSF,内部,低层设计,表示对应性,安全策略模型,36,37,AGD,类:指南文档,管理员指南,用户指南,ALC,类:生命周期支持,开发安全,缺陷纠正,生命周期定义,工具和技术,ATE,类:测试,覆盖范围,深度,功能测试,独立性测试,AVA,类:脆弱性评定,隐蔽信道分析,误用,TOE,安全功能强度,脆弱性分析,通用准则,CC,37,38,通用准则,CC,安全保证要求部分提出了七个评估保证级别(,Evaluation Assuran
14、ce Levels,:,EALs,)分别是:,38,39,通用准则,CC,:,EAL,解释,39,40,通用准则,CC,:,EAL,解释,40,41,CC,的,EAL,与其他标准等级的比较,41,42,BS7799,的历史沿革,1995,年,英国制定国家标准,BS 7799,第一部分:,“,信息安全管理事务准则,”,,并提交国际标准组织,(,ISO),,,成为,ISO DIS 14980,。,1998,年,英国公布,BS 7799,第二部分,“,信息安全管理规范,”,并成为信息安全管理认证的依据;同年,欧盟于,1995,年,10,月公布之,“,个人资料保护指令,自,1998,年,10,月,25
15、,日起正式生效,要求以适当标准保护个人资料,”,。,2000,年,国际标准组织,ISO/IEC JTC SC 27,在日本东京,10,月,21,日通过,BS 7799-1,,,成为,ISO DIS 17799-1,,,2000,年,12,月,1,日正式发布。,目前除英国之外,国际上已有荷兰、丹麦、挪威、瑞典、芬兰、澳大利亚、新西兰、南非、巴西已同意使用,BS 7799,;,日本、瑞士、卢森堡表示对,BS 7799,感兴趣;我国的台湾、香港地区也在推广该标准。,BS 7799(ISO/IEC17799),在欧洲的证书发放量已经超过,ISO9001,。,但是:,ISO17799,不是认证标准,目前
16、正在修订。,BS7799-2,是认证标准,作为国际标准目前正在讨论。,42,43,BS7799,内容:总则,要求各组织建立并运行一套经过验证的信息安全管理体系(,ISMS,),用于解决如下问题:资产的保管、组织的风险管理、管理标的和管理办法、要求达到的安全程度。,建立管理框架,确立并验证管理目标和管理办法时需采取如下步骤:,定义信息安全策略,定义信息安全管理体系的范围,包括定义该组织的特征、地点、资产和技术等方面的特征,进行合理的风险评估,包括找出资产面临的威胁、弱点、对组织的冲击、风险的强弱程度等等,根据组织的信息安全策略及所要求的安全程度,决定应加以管理的风险领域,选出合理的管理标的和管理
17、办法,并加以实施;选择方案时应做到有法可依,准备可行性声明是指在声明中应对所选择的管理标的和管理办法加以验证,同时对选择的理由进行验证,并对第四章中排除的管理办法进行记录,对上述步骤的合理性应按规定期限定期审核。,43,44,BS7799,部分,BS7799-1:1999,信息安全管理实施细则,是组织建立并实施信息安全管理体系的一个指导性的准则,主要为组织制定其信息安全策略和进行有效的信息安全控制提供的一个大众化的最佳惯例。,BS7799-2:2002,信息安全管理体系规范,规定了建立、实施和文件化信息安全管理体系,(ISMS),的要求,规定了根据独立组织的需要应实施安全控制的要求。即本标准适
18、用以下场合,:,组织按照本标准要求建立并实施信息安全管理体系,进行有效的信息安全风险管理,确保商务可持续性发展;作为寻求信息安全管理体系第三方认证的标准。,BS7799,标准第二部分明确提出安全控制要求,标准第一部分对应给出了通用的控制方法(措施),因此可以说,标准第一部分为第二部分的具体实施提供了指南。,BS 7799 Part 2,Corporate Governance,PLAN,DO,ACT,CHECK,风险管理处理,系统控制,内部审计功能,ISO/IEC 17799,44,45,十大管理要项,BS 7799-2:2002,45,46,十大管理要项,BS 7799-2:2002,1,、
19、安全方针:为信息安全提供管理指导和支持;,2,、组织安全:建立信息安全架构,保证组织的内部管理;被第三方访问或外协时,保障组织的信息安全;,3,、资产的归类与控制:明确资产责任,保持对组织资产的适当保护;将信息进行归类,确保信息资产受到适当程度的保护;,4,、人员安全:在工作说明和资源方面,减少因人为错误、盗窃、欺诈和设施误用造成的风险;加强用户培训,确保用户清楚知道信息安全的危险性和相关事项,以便在他们的日常工作中支持组织的安全方针;制定安全事故或故障的反应程序,减少由安全事故和故障造成的损失,监控安全事件并从这种事件中吸取教训;,5,、实物与环境安全:确定安全区域,防止非授权访问、破坏、干
20、扰商务场所和信息;通过保障设备安全,防止资产的丢失、破坏、资产危害及商务活动的中断;采用通用的控制方式,防止信息或信息处理设施损坏或失窃;,46,47,十大管理要项,BS 7799-2:2002,6,、通信和操作方式管理:明确操作程序及其责任,确保信息处理设施的正确、安全操作;加强系统策划与验收,减少系统失效风险;防范恶意软件以保持软件和信息的完整性;加强内务管理以保持信息处理和通讯服务的完整性和有效性通过;加强网络管理确保网络中的信息安全及其辅助设施受到保护;通过保护媒体处理的安全,防止资产损坏和商务活动的中断;加强信息和软件的交换的管理,防止组织间在交换信息时发生丢失、更改和误用;,7,、
21、访问控制:按照访问控制的商务要求,控制信息访问;加强用户访问管理,防止非授权访问信息系统;明确用户职责,防止非授权的用户访问;加强网络访问控制,保护网络服务程序;加强操作系统访问控制,防止非授权的计算机访问;加强应用访问控制,防止非授权访问系统中的信息;通过监控系统的访问与使用,监测非授权行为;在移动式计算和电传工作方面,确保使用移动式计算和电传工作设施的信息安全;,8,、系统开发与维护:明确系统安全要求,确保安全性已构成信息系统的一部份;加强应用系统的安全,防止应用系统用户数据的丢失、被修改或误用;加强密码技术控制,保护信息的保密性、可靠性或完整性;加强系统文件的安全,确保,IT,方案及其支
22、持活动以安全的方式进行;加强开发和支持过程的安全,确保应用系统软件和信息的安全;,9,、商务连续性管理:防止商务活动的中断及保护关键商务过程不受重大失误或灾难事故的影响;,10,、符合:符合法律法规要求,避免刑法、民法、有关法令法规或合同约定事宜及其他安全要求的规定相抵触;加强安全方针和技术符合性评审,确保体系按照组织的安全方针及标准执行;系统审核考虑因素,使效果最大化,并使系统审核过程的影响最小化。,47,ISMS Specifications,ISMS Standards,标准,BS 7799 Part 2,ISMS Guidelines(risk assessment,selection
23、 of controls),GMITS/MICTS,ISO/IEC 18044 Incident handling,PD 3000 series on risk and selection of controls,ISMS Control Catalogues,ISO/IEC 17799,Management system certification and accreditation standards(auditing process,procedures etc),ISO Guide 62,EA7/03,EN45013,EN45012,ISO19011,ISO9001,National
24、schemes and standards,48,ISMS Standards,BS 7799-2:2002,PLAN,DO,ACT,CHECK,PDCA,Model,Design ISMS,Implement&use ISMS,Monitor&review ISMS,Maintain&improve ISMS,Risk based continual improvement framework for information security management,49,PDCA,循环的概念最早是由美国质量管理专家戴明提出来的,所以又称为,“,戴明环,”,。循环即计划()、执行()、检查()
25、和处理(),它是一个标准的管理工作程序,也是进行质量管理的四个步骤。,(计划):即根据用户的要求,制定相应的技术经济指标、质量目标,以及实现这些目标的具体措施和方法。,(执行):按照所制定的计划和措施付诸实施。,(检查):对照计划,检查执行的情况和效果,及时发现问题。,(处理):根据检查结果采取措施,巩固成绩,吸取教训,防止重蹈覆辙,并将未解决的问题转到下一次循环中去。,50,循环有两个特点:,大环套小环,能应用于企业的各个方面和各个层次,整个企业的质量管理运作是一个大的循环,而其中的某一车间或部门乃至个人的行动也按循环进行,形成大环套小环的综合循环系统,相互推动。,螺旋式上升,每次循环都不是
26、在原地踏步,而是每次循环都能解决一些问题,下次循环就在一个较高的层面上进一步解决新的问题。所以,它在不断循环的同时,还在不断上升,呈螺旋上升状态。,51,52,第一步 制订信息安全方针,BS7799-2,对,ISMS,的要求:,组织应定义信息安全方针。,信息安全是指保证信息的保密性、完整性和可用性不受破坏。建立信息安全管理体系的目标是对公司的信息安全进行全面管理。,信息安全方针是由组织的最高管理者正式制订和发布的该组织的信息安全的目标和方向,用于指导信息安全管理体系的建立和实施过程。,要经最高管理者批准和发布,体现了最高管理者对信息安全的承诺与支持,要传达给组织内所有的员工,要定期和适时进行评
27、审,目的和意义,为组织提供了关注的焦点,指明了方向,确定了目标;,确保信息安全管理体系被充分理解和贯彻实施;,统领整个信息安全管理体系。,建立,ISMS,框架,52,53,第一步 制订信息安全方针,信息安全方针的内容,包括但不限于:,组织对信息安全的定义,信息安全总体目标和范围,最高管理者对信息安全的承诺与支持的声明,符合相关标准、法律法规、和其它要求的声明,对信息安全管理的总体责任和具体责任的定义,相关支持文件,注意事项,简单明了,易于理解,可实施,避免太具体,建立,ISMS,框架,53,54,第二步 确定,ISMS,范围,BS7799-2,对,ISMS,的要求:,组织应定义信息安全管理体系
28、的范围,范围的边界应依据组织的结构特征、地域特征、资产和技术特点来确定。,可以根据组织的实际情况,将组织的一部分定义为信息安全管理范围,也可以将组织整体定义为信息安全管理范围;,信息安全管理范围必须用正式的文件加以记录。,ISMS,范围文件,文件是否明白地描述了信息安全管理体系的范围,范围的边界和接口是否已清楚定义,建立,ISMS,框架,54,55,第三步 风险评估,BS7799-2,对,ISMS,的要求:,组织应进行适当的风险评估,风险评估应识别资产所面对的威胁、脆弱性、以及对组织的潜在影响,并确定风险的等级。,是否执行了正式的和文件化的风险评估?,是否经过一定数量的员工验证其正确性?,风险
29、评估是否识别了资产的威胁、脆弱性和对组织的潜在影响?,风险评估是否定期和适时进行?,建立,ISMS,框架,55,56,第四步 风险管理,BS7799-2,对,ISMS,的要求:,组织应依据信息安全方针和组织要求的安全保证程度来确定需要管理的信息安全风险。,根据风险评估的结果,选择风险控制方法,将组织面临的风险控制在可以接受的范围之内。,是否定义了组织的风险管理方法?,是否定义了所需的信息安全保证程度?,是否给出了可选择的控制措施供管理层做决定?,建立,ISMS,框架,56,57,第五步 选择控制目标和控制措施,BS7799-2,对,ISMS,的要求:,组织应选择适当的控制措施和控制目标来满足风
30、险管理的要求,并证明选择结果的正确性。,选择控制措施的示意图,选择的控制措施是否建立在风险评估的结果之上?,是否能从风险评估中清楚地看出哪一些是基本控制措施,哪一些是必须的,哪一些是可以考虑选择的控制措施?,选择的控制措施是否反应了组织的风险管理战略?,针对每一种风险,控制措施都不是唯一的,要根据实际情况进行选择,建立,ISMS,框架,安全问题,安全需求,控制目标,控制措施,解决,指出,定义,被满足,57,58,第五步 选择控制目标和控制措施,BS7799-2,对,ISMS,的要求:,未选择某项控制措施的原因,风险原因,-,没有识别出相关的风险,财务原因,-,财务预算的限制,环境原因,-,安全
31、设备、气候、空间等,技术,-,某些控制措施在技术上不可行,文化,-,社会环境的限制,时间,-,某些要求目前无法实施,其它,-,?,建立,ISMS,框架,58,59,第六步 准备适用声明,BS7799-2,对,ISMS,的要求:,组织应准备适用声明,记录已选择的控制措施和理由,以及未选择的控制措施及其理由。,在选择了控制目标和控制措施后,对实施某项控制目标、措施和不实施某项控制目标、措施进行记录,并对原因进行解释的文件。,建立,ISMS,框架,未来实现公司,ISMS,适用声明,59,60,BS7799,与,CC,的比较,BS 7799,完全从管理角度制定,并不涉及具体的安全技术,实施不复杂,主要
32、是告诉管理者一些安全管理的注意事项和安全制度,例如磁盘文件交换和处理的安全规定、设备的安全配置管理、工作区进出的控制等一些很容易理解的问题。这些管理规定一般的单位都可以制定,但要想达到,BS 7799,的全面性则需要一番努力。,同,BS 7799,相比,信息技术安全性评估准则,(,CC),和美国国防部可信计算机评估准则,(,TCSEC),等更侧重于,对,系统和产品的技术指标的评估,;系统安全工程能力成熟模型,(,SSE-CMM),更侧重于,对安全产品开发、安全系统集成等安全工程过程的管理,。在对信息系统,日常安全,管理方面,,BS 7799,的地位是其他标准无法取代的。,总的来说,,BS779
33、9,涵盖了安全管理所应涉及的方方面面,全面而不失可操作性,提供了一个可持续提高的信息安全管理环境。推广信息安全管理标准的关键在重视程度和制度落实方面。它是目前可以用来达到一定预防标准的最好的指导标准。,60,61,SSE-CMM,是系统安全工程能力成熟模型(,Systems Security Engineering Capability Maturity Model,),的缩写,它描述了一个组织的安全工程过程必须包含的本质特征,这些特征是完善的安全工程的保证。尽管,SSE-CMM,没有规定一个特定的过程和步骤,,但是它汇集了工业界常见的实施方法。本模型是安全工程实施的标准度量准则,它覆盖了:,
34、整个生命期,包括开发、运行、维护和终止;,整个组织,包括其中的管理、组织和工程活动;,与其它规范并行的相互作用,如系统、软件、硬件、人的因素、测试工程、系统管理、运行和维护等规范;,与其它机构的相互作用,包括采办、系统管理、认证、认可和评估机构。,在,SSE-CMM,模型,描述中,提供了对所基于的原理、体系结构的全面描述;模型的高层综述;适当运用此模型的建议;包括在模型中的实施以及模型的属性描述。它还包括了开发该模型的需求。,SSE-CMM,评定方法,部分描述了针对,SSE-CMM,来评价一个组织的安全工程能力的过程和工具。,SSE-CMM,61,62,安全工程过程的三个组成部分,SSE-CM
35、M,过程区域,62,63,SSE-CMM,将安全工程划分为三个基本的过程区域:风险,工程,保证。它们可以独立地加以考虑,但这决不意味它们之间有截然不同的区分。在最简单的级别上,风险过程识别出所开发的产品或系统的危险性并对这些危险性进行优先级排序。针对危险性所面临的问题,安全工程过程要与其它工程一起来确定和实施解决方案。最后,由安全保证过程来建立对解决方案的信任并向顾客转达这种安全信任。,SSE-CMM,过程区域,63,64,风险过程,64,65,安全措施的实施可以减轻风险。安全措施可针对威胁、脆弱性、影响和风险自身。但无论如何,并不能消除所有威胁或根除某个具体威胁。这主要是因为风险消除的代价和
36、相关的不确定性。因此,必须接受残留的风险。在存在很高的不确定性的情况下,由于风险的不精确的本质,因此是否接受风险是需要慎重对待的大问题。,SSE-CMM,过程域包括威胁、脆弱性、影响和相关风险进行分析的活动保证。,风险过程,65,66,工程过程,66,67,安全工程与其它科目一样,它是一个包括概念、设计、实现、测试、部署、运行、维护、退出的完整过程。在这个过程中,安全工程的实施必须紧密地与其它的系统工程队伍相合作。,SSE-CMM,强调安全工程师是一个大的项目队伍中的一部分,需要与其它科目工程师的活动相互协调。这会有助于保证安全成为一个大的项目过程中一个整体部分,而不是一个分开的独立活动。,在
37、生命周期的后面阶段,安全工程师将根据意识到风险来适当地配置系统,以确保新的风险不会造成系统运行的不安全状态。,工程过程,67,68,保证过程,68,69,保证是指安全需要得到满足的信任程度,。,它是安全工程非常重要的产品。存在着有许多的保证形式。,SSE-CMM,的信任程度来自于安全工程过程可重复性的结果质量。这种信任的基础是成熟组织比不成熟组织更可能产生出重复的结果。,不同保证形式之间的详细关系目前是正在研究的课题。,安全保证并不能添加任何额外的对安全相关风险的抗拒能力,但它能为减少预期安全风险控制的执行提供信心。,安全保证也可看作是安全措施按照要求运行的信心。这种信心来自于正确性和有效性。
38、正确性保证了安全措施按设计实现了需求。有效性则保证了提供的安全措施可充分地满足顾客的安全需要。,SSE-CMM,体系结构,69,70,SSE-CMM,体系结构的设计是可在整个安全工程范围内决定安全工程组织的成熟性。这个体系结构的目标是清晰地从,管理和制度化特征,中分离出安全工程的基本特征。为了保证这种分离,,这个模型是两维的,分别称为,“,域,”,和,“,能力,”,。,重要的是,,SSE-CMM,并不意味着在一个组织中任何项目组或角色必须执行这个模型中所描述的任何过程,,也不要求使用最新的和最好的安全工程技术和方法论。然而,这个模型要求是一个组织机构要有一个适当过程,这个过程应包括这个模型中所
39、描述的基本安全实施。组织机构可以以任何方式随意创建符合他们业务目标的过程以及组织结构。,SSE-CMM,也并不意味着执行通用实施的专门要求。一个组织机构一般可随意以他们所选择的方式和次序来计划、跟踪、定义、控制和改进他们的过程。然而,由于一些较高级别的通用实施依赖于较低级别的通用实施,,因此组织机构应在试图达到较高级别之前,应首先实现较低级别通用实施。,SSE-CMM,体系结构,70,71,域维仅仅由定义安全工程的所有实施构成。这些实施称为,“,基本实施,”,BP,。,能力维代表了若干可表现管理和制度化能力的实施。这些实施被称作,“,通用实施,”,GP,,,可在广泛的域中应用。通用实施表现了一
40、个基本实施中应当完成的活动。,通过设置这两个相互依赖的维,,SSE-CMM,在各个能力级别上覆盖了整个安全活动范围。,SSE-CMM,基本模型,71,72,基本实施与通用实施的关系,SSE-CMM,基本模型,72,73,将基本实施和通用实施综合考虑使得可以检查一个机构实施一个特定活动的能力。上图中,感兴趣的人士可能会问:,“,你的机构有足够的资源来查找系统的安全脆弱性吗?,”,如果回答,“,是,”,,则对方显然获知了机构在这方面的能力。,在二维图的所有交叉点上的问题都得到回答后,我们就得到了对一个机构的安全工程能力的总体认识。,SSE-CMM,基本模型,73,74,60,个基本实施被归为的,1
41、1,类,称为过程域。有许多方式将安全工程范畴划分为过程域。一种可能的做法是将真实世界模型化,创建匹配安全工程服务的过程域。其它的方法可以是概念域的方法,这些概念域形成了基础的安全工程建设模块。,SSE-CMM,在确定,11,个过程域的过程中,综合了比较优秀的几种方法。,过程域:,汇集了一个域中的相关活动,与有价值的安全工程服务相关,可在整个组织生命周期中应用,能在多个组织和多类产品范围内实现,能作为一个独立的过程加以改进,能够被感兴趣的组织加以改进,包括了所有需要满足过程域目标的,BP,过程域,74,75,11,个过程域,PA01,管理安全控制,PA02,评估影响,PA03,评估安全风险,PA
42、04,评估威胁,PA05,评估脆弱性,PA06,建立安全论据,PA07,协调安全性,PA08,监视安全态势,PA09,提供安全输入,PA10,确定安全需求,PA11,验证与确认安全,过程域,75,76,其它过程域,PA12,确保质量,PA13,管理配置,PA14,管理项目风险,PA15,监视和控制技术工作,PA16,规划技术工作,PA17,定义机构的系统工程过程,PA18,改善机构的系统工程过程,PA19,管理产品线发展,PA20,管理系统工程支持环境,PA21,提供不断发展的技能和知识,PA22,与提供商相协调,SSE-CMM,还包括其余,11,个与项目和机构活动相关的过程域。它们来自于,S
43、E-CMM,(,系统工程,能力成熟模型)。,这些过程域不是与安全直接相关的,但是它们也会对安全造成影响。,过程域,76,77,第一级:非正式执行,该级将关注一个机构或项目是否执行了包含基本实施过程的安全工程。该级别的特点可以描述为,“,你必须首先做它,然后才能管理它,”,。,在本级别,过程域中的基本实施通常已得到了执行。但这些基本实施的执行可能未经过严格的计划和跟踪,而是基于个人的知识和努力。各过程域的工作结果可用来确认基本实施已经执行。在机构中以个人为单元辨别出某基本实施应被执行,并对执行的需求及时间达成普遍意见。本级的工作结果是可标识的。,SSE-CMM,的,5,个能力级别,77,78,第
44、二级:计划和跟踪,该级将关注项目层面的定义、规划和执行问题。该级别的特点可描述为,“,在定义机构层面的过程之前,先要理解项目的相关事项,”,。,在本级别上,基本实施的执行要经过规划并被跟踪。执行时要依据具体的流程,并应得到验证。工作结果要符合特定的标准和需求。执行情况还要经过测量,以使机构能够基于这些执行而管理其活动。它与非正式执行级的主要区别是过程的实施要经过规划和管理。,SSE-CMM,的,5,个能力级别,78,79,第三级:充分定义,该级将关注于在机构层面上从既定过程中实施已融合了各个专业领域知识的裁剪结果。该级别的特点可描述为,“,用项目中学到的最好的东西来创建机构层面的过程,”,。,
45、在本级别,基本实施应按照充分定义的过程来执行,执行过程中将使用已获批准的、经裁剪的标准。本级与第,2,级,“,计划和跟踪级,”,的主要区别在于本级将利用机构范围内的标准化过程来规划和管理安全工程过程。,SSE-CMM,的,5,个能力级别,79,80,第四级:量化控制,该级将关注于测量,它是与机构的业务目标紧密联系在一起的。这个级别的特点可以描述为,“,只有你知道它是什么,你才能测量它,”,以及,“,当你测量正确的对象时,基于测量的管理才有意义,”,。,对过程执行情况的详细测量将在本级中进行收集和分析。这将形成对过程能力的量化理解,使机构有能力去预测过程的执行。本级中,过程执行的管理是客观的,工
46、作结果的质量是量化的。本级与充分定义级的主要区别在于所定义的过程是可量化理解和控制的。,SSE-CMM,的,5,个能力级别,80,81,第五级:连续改进,该级将从此前各级的所有管理活动中获得最大的收益,并强调机构的文化,以保持所取得的成果。该级别的特点可以描述为,“,一个持续改进的文化需要以良好的管理措施、既定过程和可测量的目标为基础,”,。,在本级别,有关工程过程效果和效率的量化执行目标已经基于机构的业务目标而建立。过程的执行以及试验性的新概念和新技术产生了量化反馈,从而使基于这些目标的连续的过程改进得到了实现。本级与量化控制级的主要区别在于,在本级中,基于对这些过程变化效果的量化理解,工程中既定过程和标准过程将得到不断的改进和提高。,SSE-CMM,的,5,个能力级别,81,82,系统安全等级,a),第一级为自主保护级,b),第二级为指导保护级,c),第三级为监督保护级,d),第四级为强制保护级,e),第五级为专控保护级,计算机系统等级保护制度,82,83,实施的基本过程,计算机系统等级保护制度,83,84,安全规划设计,计算机系统等级保护制度,84,85,安全规划设计,计算机系统等级保护制度,85,86,安全规划设计,计算机系统等级保护制度,86,
浙ICP备2021020529号-1 | 浙B2-20240490 
