1、CISP-18-信息安全工程中國信息安全測評中心2010年10月第1頁，共90頁。知識體系介紹項目實施、管理與實踐安全工程基礎(chǔ)知識體知識域安全工程模型與標準知識類信息安全工程信息安全工程監(jiān)理與實踐信息安全工程項目實施與管理系統(tǒng)工程基礎(chǔ)質(zhì)量管理基礎(chǔ)ISSE信息系統(tǒng)安全工程系統(tǒng)安全能力成熟度模型SSE-CMM能力成熟度模型基礎(chǔ)項目管理基礎(chǔ)信息系統(tǒng)安全保障評估框架-工程保障部分第2頁，共90頁。學(xué)習(xí)目標了解系統(tǒng)工程、質(zhì)量管理、能力成熟度模型和項目管理基本概念可以用“信息系統(tǒng)安全工程”（ISSE）的方法考慮信息安全工程的實施理解并運用“信息安全工程能力成熟度模型”（SSE-CMM）指導(dǎo)信息安全工程的實

2、施掌握IT項目管理中的重要安全措施和實踐方法理解信息安全工程監(jiān)理的概念、意義和實踐方法第3頁，共90頁。一、信息安全工程基礎(chǔ)第4頁，共90頁。安全工程基礎(chǔ)系統(tǒng)工程基礎(chǔ)質(zhì)量管理基礎(chǔ)項目管理基礎(chǔ)能力成熟度模型基礎(chǔ)第5頁，共90頁。系統(tǒng)工程基礎(chǔ)錢學(xué)森：“系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、試驗、使用的科學(xué)方法，使一種對所有系統(tǒng)都具有普遍意義的科學(xué)方法”以人參與系統(tǒng)為研究對象根據(jù)系統(tǒng)的目的和總體發(fā)展要求應(yīng)用自然科學(xué)和社會科學(xué)的思想、理論、方法和手段對系統(tǒng)功能和構(gòu)成要素、結(jié)構(gòu)、信息、控制進行分析與綜合最終達到系統(tǒng)的圓滿實現(xiàn)系統(tǒng)工程不是基本理論，也不屬于技術(shù)實現(xiàn)，而是一種方法論第6頁，共90頁。系統(tǒng)工

3、程基礎(chǔ)系統(tǒng)工程具有以下特點：系統(tǒng)工程不同于一般的工程技術(shù)學(xué)科，如水利工程、機械工程等“硬”工程；系統(tǒng)工程偏重于工程的組織與經(jīng)營管理一類“軟”科學(xué)的研究。系統(tǒng)工程涉及各種學(xué)科、各個領(lǐng)域的各種內(nèi)容，因此它是跨越不同學(xué)科的綜合性科學(xué)。以整體的、綜合的、關(guān)聯(lián)的、科學(xué)的、實踐的觀點來看待研究對象在解決一個具體項目時，它要求把項目或過程分成幾大步驟，而每個步驟又按一定的程序展開。這就保證了系統(tǒng)思想在每個部分、每個環(huán)節(jié)上體現(xiàn)出來。 任何系統(tǒng)都是人、設(shè)備和過程的有機組合，其中人是最主要的因素。因此在應(yīng)用系統(tǒng)工程的方法處理系統(tǒng)問題時，要以人為中心。第7頁，共90頁。質(zhì)量管理基礎(chǔ)質(zhì)量質(zhì)量指產(chǎn)品或服務(wù)，滿足規(guī)定或需

4、要的特征。它既包括有形產(chǎn)品也包括無形產(chǎn)品；既包括產(chǎn)品內(nèi)在的特性、也包括產(chǎn)品外在的特性。即包括了產(chǎn)品的適用性和符合性的全部內(nèi)涵。質(zhì)量控制（QC）是對生產(chǎn)的全部過程加以控制，是面的控制，不是點的控制。為保證產(chǎn)品過程或服務(wù)質(zhì)量，必須采取一系列的作業(yè)、技術(shù)、組織、管理等有關(guān)活動，這些都屬于質(zhì)量控制的范疇 質(zhì)量管理（QM）它指對確定和達到質(zhì)量所必須的職能和活動的管理，其管理職能主要是負責質(zhì)量方針政策的制訂和實施等 第8頁，共90頁。質(zhì)量管理基礎(chǔ)ISO9000族標準并不是產(chǎn)品的技術(shù)標準，而是針對組織的管理結(jié)構(gòu)、人員、技術(shù)能力、各項規(guī)章制度、技術(shù)文件和內(nèi)部監(jiān)督機制等一系列體現(xiàn)組織保證產(chǎn)品及服務(wù)質(zhì)量的管理措施

5、的標準。 具體地講ISO9000族標準就是在以下四個方面規(guī)范質(zhì)量管理： 1.機構(gòu)：標準明確規(guī)定了為保證產(chǎn)品質(zhì)量而必須建立的管理機構(gòu)及職責權(quán)限。 2.程序：組織的產(chǎn)品生產(chǎn)必須制定規(guī)章制度、技術(shù)標準、質(zhì)量手冊、質(zhì)量體系、操作檢查程序，并使之文件化。 3.過程：質(zhì)量控制是對生產(chǎn)的全部過程加以控制，是面的控制，不是點的控制。從根據(jù)市場調(diào)研確定產(chǎn)品、設(shè)計產(chǎn)品、采購原材料，到生產(chǎn)、檢驗、包裝和儲運等，其全過程按程序要求控制質(zhì)量。并要求過程具有標識性、監(jiān)督性、可追溯性。 4.總結(jié)：不斷地總結(jié)、評價質(zhì)量管理體系，不斷地改進質(zhì)量管理體系，使質(zhì)量管理呈螺旋式上升。 第9頁，共90頁。項目管理基礎(chǔ)所謂項目管理，就是

6、項目的管理者，在有限的資源約束下，運用系統(tǒng)的觀點、方法和理論，對項目涉及的全部工作進行有效地管理。即從項目的投資決策開始到項目結(jié)束的全過程進行計劃、組織、指揮、協(xié)調(diào)、控制和評價，以實現(xiàn)項目的目標。項目管理的要素：質(zhì)量進度成本 第10頁，共90頁。能力成熟度模型基礎(chǔ)CMM Capability Maturity Model現(xiàn)代統(tǒng)計過程控制理論表明通過強調(diào)生產(chǎn)過程的高質(zhì)量和在過程中組織實施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品；所有成功企業(yè)的共同特點是都具有一組嚴格定義、管理完善、可測可控從而高度有效的業(yè)務(wù)過程；CMM模型抽取了這樣一組好的工程實踐并定義了過程的“能力”；第11頁，共90頁。能力成熟

7、度模型過程能力方案：單個過程域或一系列過程域組織機構(gòu)可以靈活選擇改進哪個過程域和改進至什么程度組織機構(gòu)成熟度方案跨組織機構(gòu)的一系列已建立的過程域提供預(yù)定義的路線圖，組織機構(gòu)基于已驗證的過程組和順序進行改進StagedML 1ML2ML3ML4ML5ContinuousPAPA過程域能力0 1 2 3 4 5PA第12頁，共90頁。能力級別和成熟度級別Continuous Staged能力級別成熟度級別0IncompleteN/A1PerformedInitial2ManagedManaged3DefinedDefined4Quantitatively ManagedQuantitatively

8、 Managed5OptimizingOptimizing第13頁，共90頁。常用的CMM模型Software CMMstagedsoftware developmentSystem Engineering CMMcontinuoussystem engineeringSystem Engineering Capability Modelcontinuoussystem engineeringSoftware Acquisition CMMstagedsoftware acquisitionSystem Security Engineering CMMcontinuoussecurity en

9、gineeringPersonal Software Processstagedindividual software developmentFAA-iCMMcontinuoussoftware engineering, systems engineering, and acquisitionIPD-CMMhybridintegrated product developmentPeople CMMstagedworkforce SPICE Modelcontinuoussoftware development第14頁，共90頁。標準背景第15頁，共90頁。能力成熟模型應(yīng)用范疇CMM能力成熟模型

10、SW-CMM軟件能力成熟模型SE-CMM系統(tǒng)工程能力成熟模型SSE-CMM信息系統(tǒng)安全工程能力成熟模型SSAM信息系統(tǒng)安全工程能力成熟性模型評估方法評定軟件工程汽車、照相機、手表和鋼鐵業(yè)安全工程。第16頁，共90頁。二、ISSE信息系統(tǒng)安全工程第17頁，共90頁。SE-系統(tǒng)工程過程DISCOVERNEEDSDEFINESYSTEMREQUIREMENTSDESIGNSYSTEMARCHITECTUREDEVELOPDETAILEDDESIGNIMPLEMENTSYSTEM發(fā)掘需求定義系統(tǒng)要求定義系統(tǒng)體系結(jié)構(gòu)開發(fā)詳細設(shè)計實現(xiàn)系統(tǒng)用戶/用戶代表評估有效性第18頁，共90頁。系統(tǒng)安全工程（SSE）S

11、ystem Security Engineering;是系統(tǒng)工程的一個子集，遵從系統(tǒng)工程的思想，包括一般性原則和規(guī)律；系統(tǒng)安全工程的主要目標是：了解企業(yè)現(xiàn)存的安全風險；根據(jù)已識別的安全風險建立一組平衡的安全需求；綜合各種工程學(xué)科的努力將安全需求轉(zhuǎn)化為貫穿系統(tǒng)生命周期的工程實施指南；通過正確有效的安全機制來保證安全系統(tǒng)的信任度達到組織的要求；確保系統(tǒng)的殘余風險在可容許的范圍之內(nèi)；涉及眾多層面的安全問題，與其他工程密切相關(guān)，如軟件工程等；第19頁，共90頁。系統(tǒng)生命周期中的ISSESA系統(tǒng)采購SE系統(tǒng)工程SSEISSE任務(wù)需求的確定概念研究和確定演示和確認設(shè)計和制造產(chǎn)品/部署和運行/支持確定安全能

12、力需求分析安全要求和研究安全概念設(shè)計系統(tǒng)安全體系結(jié)構(gòu)實現(xiàn)安全設(shè)計并進行系統(tǒng)安全測試實施安全操作和生命周期支持MS0MS1MS2MS3確定任務(wù)能力要求研究配選的系統(tǒng)概念系統(tǒng)設(shè)計規(guī)范設(shè)計、制造、集成和測試系統(tǒng)運行和生命周期支持使命需求明細（MNS）候選系統(tǒng)評審（ASR）系統(tǒng)要求評審（SRR SFR）基本設(shè)計評審、關(guān)鍵設(shè)計評審、系統(tǒng)驗證評審（PDR、CDR、SVR）物理配置評審（PCA）第20頁，共90頁。三、系統(tǒng)安全能力成熟度模型SSE-CMM第21頁，共90頁。能力成熟度模型 SSE-CMM（ISO/IEC IS 21827）第22頁，共90頁。SSE-CMM概述系統(tǒng)安全工程能力成熟模型（Sys

13、tems Security Engineering Capability Maturity Model），描述了一個組織的系統(tǒng)安全工程過程必須包含的基本特征，這些特征是完善的安全工程保證，也是系統(tǒng)安全工程實施的度量標準，同時還是一個易于理解的評估系統(tǒng)安全工程實施的框架。 目的促進安全工程成為一個確定的、成熟的和可度量的學(xué)科：通過區(qū)分投標者的能力級別和相關(guān)的計劃風險來選擇合格的安全工程提供商；工程組把投資集中在安全工程工具、培訓(xùn)、過程定義、管理實施和改進上；基于能力的保證，也就是說，信賴是基于對工程組織安全工程實踐和過程成熟的信心 第23頁，共90頁。SSE-CMM概述安全系統(tǒng)和工程的特性連續(xù)性

14、 - 以前獲得的知識將用于將來重復(fù)性 - 保證項目可成功重復(fù)實施的方法高效率性 - 可幫助開發(fā)者和評價者都更有效率工作的方法保證 - 落實安全需求的信心期待結(jié)果改進可預(yù)見性改進可控制性改進過程有效性安全工程對于任何工程活動均是清晰定義的、可管理的、可測量的、可控制的并且是高效率的。 第24頁，共90頁。SSE-CMM覆蓋范圍SSE-CMM涉及到可信產(chǎn)品或者系統(tǒng)整個生命周期的安全工程活動，其中包括概念定義、需求分析、設(shè)計、開發(fā)、集成、安裝、運行、維護和終止。整個組織，包括管理、組織和工程活動等；與其它規(guī)范并行的相互作用，包括系統(tǒng)、軟硬件、人、測試工程、系統(tǒng)管理、運行和維護等；與其它組織的相互作用

15、，包括獲取、系統(tǒng)管理、認證認可和評估組織等；SSE-CMM可應(yīng)用于所有類型和大小的安全工程機構(gòu)，如商務(wù)機構(gòu)、政府機構(gòu)和學(xué)術(shù)機構(gòu)。第25頁，共90頁。SSE-CMM適用對象工程組織（Engineering Organization）包括系統(tǒng)集成商、應(yīng)用開發(fā)商、產(chǎn)品和服務(wù)提供商；工程組織利用其對自己的工程能力進行自我評估；采購組織（Acquiring Organization）包括采購系統(tǒng)、產(chǎn)品以及從外部/內(nèi)部資源和最終用戶處獲取服務(wù)的組織；采購組織通過其來判別一個供應(yīng)者組織的的系統(tǒng)安全工程能力，識別該組織供應(yīng)的產(chǎn)品和系統(tǒng)的可信任性；評估組織（Evaluation Organization）包括認

16、證組織、系統(tǒng)授權(quán)組織、系統(tǒng)和產(chǎn)品評估組織等；評估組織使用SSE-CMM作為工作基礎(chǔ)，以便建立被評估組織整體能力的信任度，該信任度是系統(tǒng)和產(chǎn)品的安全保證要素。第26頁，共90頁。SSE-CMM歷史1993年4月美國國家安全局（NSA）開始醞量1996年10月出版了SSE-CMM模型的第一個版本，1997年4月出版了評定方法的第一個版本。從1996年6月到1997年6月進行許多實驗項目 1999年4月出版了第二版。目前，SSE-CMM V3.02002年，ISO/IEC IS 21827第27頁，共90頁。SSE-CMM基本概念過程（Process）為了達到某一給定目標而執(zhí)行的一系列活動，這些活動

17、可以重復(fù)、遞歸和并發(fā)的執(zhí)行；分為“充分定義過程”、“已定義過程”和“執(zhí)行過程”。過程區(qū)域（PA，Process Area）是由一些基本實踐（BP，Base Practice）組成的，這些BP共同實施以達到該PA的目標。這些BP是強制性的，只有全部成功執(zhí)行，才能滿足PA規(guī)定的目標；SSE-CMM包含三類過程區(qū)域：工程、項目和組織三類；過程能力（Process Capability）是通過跟蹤一個過程達到預(yù)期結(jié)果的可量化范圍；一個組織的過程能力可幫助組織預(yù)見項目達到目標的能力，低能力組織的項目在達到預(yù)定的成本、進度、功能和質(zhì)量目標上會有很大變化；第28頁，共90頁。SSE-CMM體系結(jié)構(gòu)SSE-C

18、MM體系結(jié)構(gòu)設(shè)計的目標是清晰的從管理和制度化特征中分離出安全工程的基本特征，采用域（Domain）和能力（Capability）的兩維結(jié)構(gòu)；橫軸“域維”匯集了定義安全工程的所有實踐活動，包括大約60項基本實踐（BP，Base Practice），這些BP又被組織成11個過程區(qū)域（PA）。11個PA可能出現(xiàn)在安全系統(tǒng)生命周期的各個階段，并不規(guī)定其先后順序；縱軸“能力維”代表組織能力，由過程管理與制度化能力構(gòu)成。共設(shè)置6個能力級別，每個能力級別由一組能夠反映過程能力變化的公共特征（CF，Common Feature）來定義，這些CF適用于所有PA，每一個CF又可以由若干項通用實踐（GP，Gener

19、ic Practice）來描述。第29頁，共90頁。SSE-CMM模型目的：在整個安全工程范圍內(nèi)決定安全工程組織的成熟性 兩維模型“域維” 由所有定義的安全工程過程區(qū)構(gòu)成。這些實施活動稱為“過程區(qū)”。“能力維”代表組織能力。這一維由過程管理和制度化能力構(gòu)成。這些實施活動被稱作“公共特征”，可在廣泛的域中應(yīng)用。執(zhí)行一個公共特征是一個組織能力的標志。通過設(shè)置這兩個相互依賴的維，SSE-CMM在各個能力級別上覆蓋了整個安全活動范圍。如果給每個PA賦予一個能力級別評分，所得到的兩維圖形便形象地反映一個工程組織整體上的系統(tǒng)安全工程能力成熟度，也間接的反映其工作結(jié)果的質(zhì)量及其安全上的可信度。能力維（Cap

20、ability Dimension）公共特征（Common Features）域維（Domain Dimension）安全過程區(qū)（Security Process Areas）公共特征2.4跟蹤執(zhí)行PA 05評估脆弱性543210PA01PA02PA03PA04PA05能力級別安全過程區(qū)域第30頁，共90頁。能力維/公共特征SSE-CMM通過能力級別來確定組織執(zhí)行、控制、支持和監(jiān)視安全過程的成熟性；過程能力由一組通用實踐（GP，Generic Practice）來衡量，是對所有過程通用的，強調(diào)對一個過程的管理、度量和制度方面。能力維的GP按照成熟性排序，高級別的GP位于能力維的高端；GP被組成

21、12個稱作公共特征（CF，Common Feature）的邏輯域，每個CF包括一個或多個GP；為了體現(xiàn)能力級別，將GP劃分成5個等級，代表組織安全工程能力的不同層次；過程能力是用來度量各個過程區(qū)域PA的，而不是用來度量整個工程組織的，GP按其具有的公共特征和能力級別組織成三級結(jié)構(gòu)。第31頁，共90頁。能力維能力維能力級別加強任何過程能力的實現(xiàn)和制度化實施 一組實施列出管理和制度化過程的相同方面 共同工作的一組公共特征主要加強執(zhí)行一個過程的能力 公共特征通用實踐第32頁，共90頁。計劃執(zhí)行規(guī)范化執(zhí)行跟蹤執(zhí)行驗證執(zhí)行定義標準過程協(xié)調(diào)安全實施執(zhí)行已定義的過程建立可測量的質(zhì)量目標客觀地管理過程的執(zhí)行1

22、非正式執(zhí)行2計劃與跟蹤3充分定義4量化控制5連續(xù)改進執(zhí)行基本實施改進組織能力改進過程的有效性能力級別代表安全工程組織的成熟級別 公共特征僅要求一個過程區(qū)域的所有基本實踐都被執(zhí)行，但對執(zhí)行的結(jié)果無明確要求；強調(diào)過程執(zhí)行前的計劃和執(zhí)行中的檢查，使工程組織可以基于最終結(jié)果的質(zhì)量來管理其實踐活動；要求過程區(qū)域包括的所有基本實踐均應(yīng)依照一組完善定義的操作規(guī)范來進行，即“標準過程”；能夠?qū)こ探M織的表現(xiàn)進行定量的度量和預(yù)測。過程管理成為客觀的和準確的實踐活動為過程行為的高效和實用建立定量目標，可以準確地度量過程持續(xù)改善所收到的效益。第33頁，共90頁。能力級別0 ：未實施能力級別1：非正式實施公共特征 1

23、.1 執(zhí)行基本實施GP1.1.1 執(zhí)行過程能力級別2：計劃和跟蹤公共特征2.1 規(guī)劃執(zhí)行GP2.1.1 分派資源GP2.1.2 分配責任GP2.1.3 文檔化過程GP2.1.4 提供工具GP2.1.5 保證培訓(xùn)GP2.1.6 規(guī)劃過程公共特征2.2 規(guī)范化執(zhí)行GP2.2.1 使用計劃、標準和程序GP2.2.2 進行配置管理公共特征2.3 驗證執(zhí)行GP 2.3.1 驗證過程一致性GP 2.3.2 審計工作產(chǎn)品公共特征2.4 跟蹤執(zhí)行GP 2.4.1 使用測量跟蹤GP 2.4.2 采取修正措施能力級別3：充分定義公共特征3.1 定義標準過程GP 3.1.1 過程標準化GP 3.1.2 裁剪標準過程

24、公共特征 3.2 執(zhí)行已定義過程GP 3.2.1 使用充分定義的過程GP 3.2.2 執(zhí)行缺陷復(fù)查GP 3.2.3 使用充分定義的數(shù)據(jù)公共特征 3.3 協(xié)調(diào)實施GP 3.3.1 執(zhí)行組內(nèi)協(xié)調(diào)GP 3.3.2 執(zhí)行組間協(xié)調(diào)GP 3.3.3 執(zhí)行外部協(xié)調(diào)能力級別4：定量控制公共特征 4.1 建立可測的質(zhì)量目標GP 4.1.1 建立質(zhì)量目標公共特征4.2 客觀地管理執(zhí)行GP 4.2.1 確定過程能力GP 4.2.2 使用過程能力能力級別5 ：連續(xù)改進公共特征 5.1 改進組織能力GP 5.1.1 建立過程效力目標GP 5.1.2 連續(xù)改進標準過程公共特征 5.2 改進過程有效性GP 5.2.1 執(zhí)行

25、因果分析GP 5.2.2 消除缺陷原因GP 5.2.3 連續(xù)改進已定義過程第34頁，共90頁。域維/過程區(qū)域系統(tǒng)安全工程涉及到三類過程區(qū)域PA，即工程（Engineering PA）、組織（Organization PA）和項目（Project PA）過程區(qū)域。組織和項目過程區(qū)域（共11個）并不直接同系統(tǒng)安全相關(guān)，在SE-CMM中定義，但常與SSE-CMM的11個工程過程區(qū)域一起用來度量系統(tǒng)安全隊伍的過程能力成熟度。SSE-CMM將工程過程區(qū)域分為三類，即風險過程、工程過程和保證過程；4個風險過程：PA04評估威脅，PA05評估脆弱性，PA02評估影響，PA03評估安全風險；5個工程過程：PA

26、07，PA10，PA09，PA01，PA08；2個保證過程：PA11，PA06；并不定義各過程區(qū)域在系統(tǒng)安全工程生命周期中出現(xiàn)的順序，而是依照過程區(qū)域的英文字母順序編號；每個過程區(qū)域包括一組集成的基本實踐（BP，Base Practice），BP定義了實現(xiàn)過程區(qū)域目標的必要活動，代表業(yè)界的最佳慣例。第35頁，共90頁。域維過程類域維Base PracticesBase PracticesBase PracticesBase PracticesBase Practices基本實踐Process AreasProcess AreasProcess Areas過程區(qū)工程和安全實施是安全工程過程中必須

27、存在的性質(zhì)，指出特殊過程區(qū)的目的并屬于該過程區(qū) 每個過程區(qū)（PA）是一組相關(guān)安全工程過程的性質(zhì)，當這些性質(zhì)全部實施后則能夠達到過程區(qū)定義的目的。一組過程區(qū)指出活動的同一通用區(qū) 第36頁，共90頁。工程過程區(qū)域核實和確認安全（Verify and Validate Security）PA11明確安全需求（Specify Security Needs）PA10提供安全輸入（Provide Security Input）PA09監(jiān)視安全態(tài)勢（Monitor Security Posture）PA08協(xié)調(diào)安全（Coordinate Security）PA07建立保證論據(jù)（Build Assurance

28、 Argument)PA06評估脆弱性（Assess Vulnerability）PA05評估威脅（Assess Threat）PA04評估安全風險（Assess Security Risk)PA03評估影響（Assess Impact）PA02管理安全控制（Administer Security Controls）PA01風險過程工程過程保證過程第37頁，共90頁。安全工程SSE-CMM將安全工程劃分為三個基本的過程區(qū)域：風險，工程，保證風險過程：是要確定產(chǎn)品或者系統(tǒng)的危險性，并對這些危險性進行優(yōu)先級排序工程過程：是針對面臨的危險性，安全工程過程與相關(guān)工程過程一起來確定并實施解決方案保證過程

29、：是建立起對解方案的信任，并把這種信任傳達給用戶 第38頁，共90頁。安全工程過程保證論據(jù)風險信息產(chǎn)品或服務(wù)工程過程Engineering保證過程Assurance風險過程Risk第39頁，共90頁。風險PA04：評估威脅威脅信息threat脆弱性信息vulnerability影響信息impact風險信息PA05：評估脆弱性PA02：評估影響PA03：評估安全風險風險就是有害事件發(fā)生的可能性一個有害事件有三個部分組成：威脅、脆弱性和影響。 第40頁，共90頁。工程安全工程與其它科目一樣，它是一個包括概念、設(shè)計、實現(xiàn)、測試、部署、運行、維護、退出的完整過程。SSE-CMM強調(diào)安全工程是一個大的項

30、目隊伍中的一部分，需要與其它科目工程師的活動相互協(xié)調(diào)。 PA10指定安全要求需求、策略等配置信息解決方案、指導(dǎo)等風險信息PA08監(jiān)視安全態(tài)勢PA07協(xié)調(diào)安全PA01管理安全控制PA09提供安全輸入第41頁，共90頁。保證證據(jù)證據(jù)保證論據(jù)PA11驗證和證實安全指定安全要求其他多個PAPA06建立保證論據(jù)保證是指安全需要得到滿足的信任程度SSE-CMM的信任程度來自于安全工程過程可重復(fù)性的結(jié)果質(zhì)量。 第42頁，共90頁。PA01-管理安全控制BP01.01建立安全職責BP01.02管理安全配置BP01.03管理安全意識、培訓(xùn)和教育大綱BP01.04管理安全服務(wù)及控制機制PA02-評估影響B(tài)P02.

31、01對影響進行優(yōu)先級排列BP02.02識別系統(tǒng)資產(chǎn)BP02.03選擇影響的度量標準BP02.04標識度量標準關(guān)系BP02.05識別和特征化影響B(tài)P02.06監(jiān)視影響PA03-評估安全風險BP03.01選擇風險分析方法BP03.02識別暴露BP03.03評估暴露的風險BP03.04評估總體不確定性BP03.05風險優(yōu)先級排列BP03.06監(jiān)視風險及其特征PA04-評估威脅BP04.01識別自然威脅BP04.02識別人為威脅BP04.03識別威脅的測量塊BP04.04評估威脅影響的效力BP04.05評估威脅的可能性BP04.06監(jiān)視威脅及其特征PA05-評估脆弱性BP05.01選擇脆弱性分析方法B

32、P05.02識別脆弱性BP05.03收集脆弱性數(shù)據(jù)BP05.04合成系統(tǒng)脆弱性BP05.05監(jiān)視脆弱性及其特定PA06-建立保證論據(jù)BP06.01識別保證目標BP06.02定義保證策略BP06.03控制保證證據(jù)BP06.04分析證據(jù)BP06.05提供保證論據(jù)安全基本實踐第43頁，共90頁。PA07-協(xié)調(diào)安全BP07.01定義協(xié)調(diào)目標BP07.02識別協(xié)調(diào)機制BP07.03促進協(xié)調(diào)BP07.04協(xié)調(diào)安全決定和建議PA08-監(jiān)視安全態(tài)勢BP08.01分析事件記錄BP08.02監(jiān)視變化BP08.03識別安全突發(fā)事件BP08.04監(jiān)視安全防護措施BP08.05檢查安全態(tài)勢BP08.06管理安全突發(fā)事件

33、響應(yīng)BP08.07保護安全監(jiān)視的記錄數(shù)據(jù)PA09-提供安全輸入BP09.01理解安全輸入要求BP09.02確定安全約束和考慮BP09.03識別安全選項BP09.04分析工程選項的安全性BP09.05提供安全工程指南BP09.06提供運行安全指南PA10-指定安全要求BP10.01獲得對顧客安全需求的理解BP10.02識別可用的法律、策略和約束BP10.03識別系統(tǒng)安全關(guān)聯(lián)性BP10.04收集系統(tǒng)運行的安全思想BP10.05收集安全的高層目標BP10.06定義安全相關(guān)需求BP10.07達成安全協(xié)議PA11-驗證和證實安全BP11.01識別驗證和證實的目標BP11.02定義驗證和證實方法BP11.

34、03執(zhí)行驗證BP11.04執(zhí)行證實BP11.05提供驗證和證實的結(jié)果安全基本實踐第44頁，共90頁。項目及組織過程區(qū)域SSE-CMM采用了SE-CMM定義的項目和組織過程區(qū)域，這些PA是用來解釋通用實踐的重要參考資料；每個此類過程區(qū)域都包含“安全性考慮”的內(nèi)容，說明了應(yīng)用到安全工程相關(guān)的過程區(qū)域中時需要考慮的因素，也指出了對SSE-CMM過程區(qū)域的參考引用；第45頁，共90頁。項目和組織過程區(qū)域與供應(yīng)商協(xié)調(diào)（Coordinate with Suppliers）PA22提供持續(xù)發(fā)展的技能和知識（Provide Ongoing Skill and Knowledge）PA21管理系統(tǒng)工程支持環(huán)境（

35、Manage Systems Engineering Support Environment）PA20管理產(chǎn)品系列進化（Manage Product Line Evolution）PA19改進組織的系統(tǒng)工程過程（Improve Organizations Systems Engineering Process）PA18定義組織的系統(tǒng)工程過程（Define Organizations Systems Engineering Process)PA17計劃技術(shù)活動（Plan Technical Effort）PA16監(jiān)視和控制技術(shù)活動（Monitor and Control Technical Ef

36、fort）PA15管理項目風險（Manage Project Risk)PA14管理配置（Manage Configuration）PA13保證質(zhì)量（Ensure Quality）PA12項目過程組織過程第46頁，共90頁。PA12-質(zhì)量保證BP12.01監(jiān)視所定義過程的依從性BP12.02測量工作產(chǎn)品質(zhì)量BP12.03測量過程質(zhì)量BP12.04分析質(zhì)量測量BP12.05得到參與BP12.06發(fā)起改進質(zhì)量的活動BP12.07檢測修正行為要求PA13-管理配置BP13.01建立配置管理方法BP13.02溝通配置狀況PA14-管理項目風險BP14.01開發(fā)風險管理方法BP14.02標識風險BP14

37、.03評估風險BP14.04復(fù)查風險評估BP14.05執(zhí)行風險降低活動BP14.06跟蹤風險降低活動BP14.07監(jiān)視影響PA15-監(jiān)控技術(shù)活動BP15.01指導(dǎo)技術(shù)活動BP15.02跟蹤項目資源BP15.03跟蹤技術(shù)參數(shù)BP15.04復(fù)查項目執(zhí)行BP15.05分析項目問題BP15.06采取修正行動PA16-規(guī)劃技術(shù)活動BP16.01識別自然威脅BP16.02識別關(guān)鍵資源BP16.03估計項目范圍BP16.04估算項目費用BP16.05確定工程過程BP16.06識別技術(shù)活動BP16.07定義項目接口BP16.08開發(fā)項目進度表BP16.09設(shè)立技術(shù)參數(shù)BP16.10開發(fā)技術(shù)管理計劃BP16.1

38、1復(fù)查并認可工程計劃項目和組織的基本實踐第47頁，共90頁。PA17-定義組織的系統(tǒng)工程過程BP17.01制定過程目標BP17.02收集過程資產(chǎn)BP17.03開發(fā)組織的系統(tǒng)工程過程BP17.04定義剪裁指南PA18-改進組織的系統(tǒng)工程過程BP18.01評定過程BP18.02規(guī)劃過程改進BP18.03改變標準過程BP18.04溝通過程改進PA19-管理產(chǎn)品系列進化BP19.01分析事件記錄BP19.02定義產(chǎn)品進化BP19.03標識新產(chǎn)品技術(shù)BP19.04適應(yīng)開發(fā)過程BP19.05確保關(guān)鍵組件的可用性BP19.06插入產(chǎn)品技術(shù)PA20-管理系統(tǒng)工程支持環(huán)境BP20.01維持技術(shù)認識BP20.02

39、確定支持需求BP20.03獲得系統(tǒng)工程支持環(huán)境BP20.04剪裁系統(tǒng)工程支持環(huán)境BP20.05插入新技術(shù)BP20.06維護環(huán)境BP20.07監(jiān)視系統(tǒng)工程支持環(huán)境PA21-提供不斷發(fā)展的技能和知識BP21.01識別培訓(xùn)要求BP21.02選擇知識或技能的獲取模式BP21.03確保技能和知識的可用性BP21.04準備培訓(xùn)材料BP21.05培訓(xùn)人員BP21.06評估培訓(xùn)的有效性BP21.07維護培訓(xùn)記錄PA22-與供應(yīng)商協(xié)調(diào)BP22.01識別系統(tǒng)的組件或服務(wù)BP22.02標識勝任的供應(yīng)商或銷售商BP22.03選擇供應(yīng)商或銷售商BP22.04提供期望BP22.05維持溝通項目和組織的基本實踐第48頁，共

40、90頁。SSE-CMM的使用SSE-CMM可應(yīng)用于所有從事某種形式的安全工程組織，這種應(yīng)用與生命期、范圍、環(huán)境或?qū)I(yè)無關(guān)。該模型適用于以下三種方式：“評定”，允許獲取組織了解潛在項目參加者的組織層次上的安全工程過程能力。“改進”，使安全工程組織獲得自身安全工程過程能力級別的認識，并不斷地改進其能力。“保證”，通過有根據(jù)地使用成熟過程，增加可信產(chǎn)品、系統(tǒng)和服務(wù)的可信度。第49頁，共90頁。SSE-CMM的使用評定為評定收集數(shù)據(jù)廣泛、嚴格，每個數(shù)據(jù)有充分的證據(jù)決定實施安全工程過程的能力為評定定義了安全工程環(huán)境在評定巧妙地使用了SSE-CMM體系結(jié)構(gòu)中的兩個方面第50頁，共90頁。SSE-CMM評估

41、方法SSE-CMM Appraisal Method（SSAM）是一種組織或項目級的評估方法，通過多種數(shù)據(jù)采集方法來或區(qū)域待評估組織或項目相關(guān)的實踐過程的信息，目的在于取得一個真實實踐的基線（Baseline）或基準（Benchmark），創(chuàng)建并支持用于改進的要素；數(shù)據(jù)采集方法：問卷、訪談、證據(jù)復(fù)審；評估階段：規(guī)劃（Planning），準備（Preparation），現(xiàn)場（On-site），報告（Reporting）；第51頁，共90頁。SSE-CMM評估方法（SSAM） 規(guī)劃階段范圍評定計劃評定準備階段準備評定組分發(fā)調(diào)查表合并證物分析證物和調(diào)查表查表現(xiàn)場階段領(lǐng)導(dǎo)簡報/開幕式采訪領(lǐng)導(dǎo)/專業(yè)人員

42、分析數(shù)據(jù)確定調(diào)查結(jié)果產(chǎn)生排等級的輪廓管理記錄工作結(jié)束報告階段產(chǎn)生最終報告向發(fā)起者報告評定結(jié)果管理評定實物報告取得的經(jīng)驗教訓(xùn)第52頁，共90頁。利用SSE-CMM進行過程改進SSE-CMM可以用作改進組織安全工程過程的工具，建議采用SEI的IDEAL模型，目的是進入一個評估當前狀況、改進、重復(fù)的持續(xù)循環(huán)之中。Initiating（初始化）熟悉項目目標和完成方式，開發(fā)業(yè)務(wù)案例和項目執(zhí)行方法，獲得管理層批準和支持，為成功的改進努力做好鋪墊；Diagnosing（診斷）理解組織當前和期望的過程成熟度狀態(tài)，這些是形成組織過程改進行動計劃的基礎(chǔ)；Establishing（建立）基于努力目標和診斷階段開發(fā)的

43、建議來制定詳細的行動計劃，并考慮到各種約束；Acting（操作）即實施階段，無論是資源還是時間，都需要各方面付出最大程度的努力；Learning（學(xué)習(xí)）既是本次循環(huán)的終止，又是下一次改進過程的開端。對整個過程改進活動進行評估。第53頁，共90頁。SSE-CMM的使用改進+=具有成熟改進潛能的組織過程組織環(huán)境由SSE-CMM提供的指南基本實踐角色分配組織結(jié)構(gòu)安全工程工作產(chǎn)品生命周期通用實踐第54頁，共90頁。SSE-CMM 的使用流程來源選擇安全保障軟件廠商服務(wù)硬件廠商系統(tǒng)開發(fā)運營和維護SSE-CMM第55頁，共90頁。信息系統(tǒng)安全保障評估框架共包括四個部分第一部分：簡介和一般模型第二部分：技術(shù)

44、保障第三部分：管理保障第四部分：工程保障第二部分技術(shù)保障安全技術(shù)控制組件技術(shù)架構(gòu)能力級第一部分簡介和一般模型第三部分管理保障安全管理控制組件管理能力級第四部分工程保障安全工程控制組件工程能力級第56頁，共90頁。信息系統(tǒng)安全保障工程概念 信息系統(tǒng)安全保障工程是一門跨學(xué)科的工程管理過程，它是基于對信息系統(tǒng)安全保障需求的發(fā)掘和對安全風險的理解，以經(jīng)濟、科學(xué)的方法來設(shè)計、開發(fā)和建設(shè)信息系統(tǒng)，以便他能滿足用戶安全保障需求的科學(xué)和藝術(shù)。 第57頁，共90頁。信息系統(tǒng)安全保障模型第58頁，共90頁。信息系統(tǒng)安全保障評估框架-工程保障部分生命周期描 述相關(guān)過程域挖掘安全需求本階段建立項目組織，了解系統(tǒng)的上下

45、文環(huán)境，決定開始進行安全工程，制定初步計劃和預(yù)算等。本階段信息系統(tǒng)安全工程師幫助用戶挖掘并理解完成系統(tǒng)的任務(wù)和業(yè)務(wù)所需的信息保護需求。信息保護需求的確定建立在對系統(tǒng)的安全風險分析的基礎(chǔ)上。系統(tǒng)定義（PEN_SDF）評估威脅（PRM_ATT）評估脆弱性（PRM_AVL）評估影響（PRM_AIM）評估安全風險（PRM_ASR）確定安全要求（PEN_ISR）定義安全要求本階段信息系統(tǒng)工程師將已識別出來的信息保護需求落實到各子系統(tǒng)中，包括開發(fā)系統(tǒng)安全上下文，初步的系統(tǒng)安全運行設(shè)想和安全要求基線等。設(shè)計體系結(jié)構(gòu)本階段信息系統(tǒng)安全工程師與系統(tǒng)工程師一起進行分析候選體系結(jié)構(gòu)、分配安全服務(wù)和選擇安全機制，從而

46、完成安全功能分析和落實。信息系統(tǒng)安全工程師選擇適用的組件或元件并把安全功能分配給這些元件，同時描述這些元件之間的關(guān)系。提供安全輸入（PEN_PSI）高層安全設(shè)計（PEN_HSD）詳細安全設(shè)計（PEN_DSD）詳細安全設(shè)計本階段信息系統(tǒng)安全工程師分析設(shè)計的約束條件，分析折衷辦法，進行詳細的系統(tǒng)和安全設(shè)計并考慮生命周期支持。信息系統(tǒng)安全工程師檢查所有系統(tǒng)安全需求落實到了組件。最終的詳細安全設(shè)計結(jié)果為實現(xiàn)系統(tǒng)提供充分的組件和接口描述信息。實現(xiàn)系統(tǒng)安全本階段信息系統(tǒng)安全工程師把系統(tǒng)設(shè)計轉(zhuǎn)移到運行，參與對所有系統(tǒng)問題的多學(xué)科綜合分析，并為認證認可活動提供輸入。例如驗證系統(tǒng)已經(jīng)實現(xiàn)了對抗威脅評估中識別出的

47、威脅；追蹤與系統(tǒng)實現(xiàn)和測試活動相關(guān)的信息保護保障機制；為系統(tǒng)生命周期支持計劃、運行規(guī)程、培訓(xùn)材料維護提供輸入。本階段信息系統(tǒng)已到位并開始運行，通過定期的評估和不斷監(jiān)視系統(tǒng)的安全狀況，確定如何獲得更高的安全性能和效率等來滿足用戶變化的安全需求，進行軟硬件升級和修改并進行相應(yīng)的測試。安全工程實施（PEN_SEE）協(xié)調(diào)安全（PEN_COS）監(jiān)視安全態(tài)勢（PEN_MSP）管理安全控制（PEN_MSC）有效性評估本階段信息系統(tǒng)安全工程師關(guān)注信息保護的有效性-系統(tǒng)是否能夠保證其處理的信息的保密性、完整性、可用性、鑒別和不可否認性，確保成功完成使命。驗證和確認安全（PAS_VVS）建立保障論據(jù)（PAS_EA

48、E）第59頁，共90頁。第四部分：工程保障信息安全工程過程能力成熟度示例第60頁，共90頁。三、信息安全工程的實施與管理第61頁，共90頁。信息安全保障工程的實施與管理信息安全保障工程實施模型與框架IT項目管理中的安全考慮第62頁，共90頁。信息系統(tǒng)安全保障工程實施通用模型參見：中國信息安全產(chǎn)品測評認證中心的“國家信息安全測評認證”，2004年第2期，P6-P14第63頁，共90頁。信息系統(tǒng)安全保障工程實施框架 第64頁，共90頁。XX電子政務(wù)信息系統(tǒng)安全保障工程實踐示意圖參見：中國信息安全產(chǎn)品測評認證中心的“國家信息安全測評認證”，2004年第2期，P6-P14第65頁，共90頁。IT項目管

49、理中的安全考慮-立項階段確立業(yè)務(wù)對信息安全的總體要求識別各類安全要求證明安全要求的正確性分析、協(xié)調(diào)、綜合形成各類文檔信息安全規(guī)劃安全需求報告風險評估報告立項報告第66頁，共90頁。IT項目管理中的安全考慮開發(fā)和采購階段數(shù)據(jù)的正確處理輸入數(shù)據(jù)的校驗范圍之外的值無效數(shù)據(jù)類型丟失或不完整的數(shù)據(jù)未授權(quán)或非法的輸入：防止緩沖區(qū)溢出和代碼注入數(shù)據(jù)處理過程控制處理的時間順序發(fā)生故障后運行的程序系統(tǒng)失效或處理錯誤后的恢復(fù)輸出數(shù)據(jù)的驗證輸出的去向正確數(shù)據(jù)的準確性、完備性和精確性第67頁，共90頁。IT項目管理中的安全考慮開發(fā)和采購階段加密控制選擇適當?shù)募用芩惴愋汀姸群唾|(zhì)量選擇加密的通信線路和加密內(nèi)容制定密鑰

50、管理的方法密鑰的分發(fā)方式密鑰的保存密鑰的更新方式密鑰遺失、泄露和破壞后的處理方法密鑰的撤銷和銷毀第68頁，共90頁。IT項目管理中的安全考慮開發(fā)和采購階段系統(tǒng)資源的安全系統(tǒng)軟件安裝控制：選擇安全的系統(tǒng)軟件、安裝必要的組件、防止盜版的安裝、及時更新系統(tǒng)測試數(shù)據(jù)的保護：盡量不用真實生產(chǎn)數(shù)據(jù)，如果必須用，注意對拷貝過程進行控制、對測試系統(tǒng)的訪問控制、測試之后信息清除、有效的審計措施應(yīng)用系統(tǒng)源代碼保護：運行系統(tǒng)盡量不保留源代碼對源代碼庫進行訪問控制管理向程序員發(fā)布源代碼源代碼庫的有效審計第69頁，共90頁。IT項目管理中的安全考慮實施階段項目變更管理建立嚴格清晰的變更程序變更時要對變更原因和變更的影響

51、進行評估必要時在測試系統(tǒng)中進行測試變更要形成文檔記錄第70頁，共90頁。IT項目管理中的安全考慮交付和廢棄交付過程初驗試運行終驗交付后持續(xù)的風險評估和安全加固廢棄信息的徹底清除第71頁，共90頁。四、信息安全工程監(jiān)理第72頁，共90頁。信息安全工程監(jiān)理參考模型第73頁，共90頁。監(jiān)理咨詢階段及其目標招標階段工程招標階段的主要監(jiān)理目標協(xié)助業(yè)主單位明確信息安全工程需求，確定工程建設(shè)目標；促使承建單位編制的信息安全方案符合國家和業(yè)主單位的相關(guān)規(guī)定，滿足需求，合理可行；促使業(yè)主單位、承建單位所簽定合同在技術(shù)、經(jīng)濟上的合理性；第74頁，共90頁。監(jiān)理咨詢階段及其目標設(shè)計階段工程設(shè)計階段的主要監(jiān)理目標加強

52、工程實施方案的合法性、合理性、與安全工程需求和設(shè)計方案的符合性；促使工程計劃、設(shè)計方案滿足工程需求，符合相關(guān)的法律、法規(guī)和標準，并與工程建設(shè)合同相符，具有可驗證性。協(xié)助業(yè)主單位、承建單位消除設(shè)計文檔在進入工程實施前可預(yù)見的缺陷。第75頁，共90頁。監(jiān)理咨詢階段及其目標實施階段工程實施階段的主要監(jiān)理目標加強工程實施方案的合法性、合理性、與設(shè)計方案的符合性；促使工程中所使用的產(chǎn)品和服務(wù)符合承建合同及國家相關(guān)法律、法規(guī)和標準；明確工程實施計劃，對于計劃的調(diào)整必須合理、受控；促使工程實施過程滿足承建合同的要求，并與工程設(shè)計方案、工程計劃相符；第76頁，共90頁。監(jiān)理咨詢階段及其目標驗收階段工程驗收階段的主要監(jiān)理目