信息安全工程02：安全工程能力成熟度模型SSE-CMM - 2015秋new.ppt

1、信息安全工程计算机学院 刘连忠2015秋北航计算机学院北航计算机学院2主要内容主要内容5. 5. 信息安全工程管理与测评信息安全工程管理与测评4. 4. 信息安全方案设计信息安全方案设计3. 3. 信息安全风险评估与安全策略信息安全风险评估与安全策略 2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMM SSE-CMM 1. 1. 信息安全工程基础信息安全工程基础6. . 6. . 访问控制与审计技术要点访问控制与审计技术要点基础基础基础内容基础验收北航计算机学院北航计算机学院3课程重点课程重点需求需求风险与策略重点重点方案方案What & How2. 2. 安全工程能力成熟

2、度模型安全工程能力成熟度模型SSE-CMMSSE-CMM2.1 2.1 系统工程基础与能力成熟度模型系统工程基础与能力成熟度模型2.1.1系统工程基础 钱学森：“系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法，使一种对所有系统都具有普遍意义的科学方法” 以人参与系统为研究对象 根据系统的目的和总体发展要求 应用自然科学和社会科学的思想、理论、方法和手段 对系统功能和构成要素、结构、信息、控制进行分析与综合 最终达到系统的圆满实现系统工程不是基本理论，也不属于技术实现，而是一种方法论北航计算机学院北航计算机学院42. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMM

3、SSE-CMM2.1.1 系统工程基础北航计算机学院北航计算机学院52. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院62. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM2.1 2.1 系统工程与能力成熟度模型基础系统工程与能力成熟度模型基础2.1.2 能力成熟度模型基础能力成熟度模型基础 CMM Capability Maturity Model 现代统计过程控制理论现代统计过程控制理论表明通过强调生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品。 所有成功企业的共同特点是都

4、具有一组严格定义、管理完善、可测可控从而高度有效的业务过程； CMM模型抽取了这样一组好的工程实践并定义了过程的“能力”。北航计算机学院北航计算机学院72. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMMCMMI OriginationCMMI Origination：n CMMICMMI思想根植于以下思想、技术、方法思想根植于以下思想、技术、方法软件工程理论和方法软件工程理论和方法项目管理技术和方法项目管理技术和方法全面质量管理思想全面质量管理思想持续过程改进思想持续过程改进思想其它一般管理思想和方法其它一般管理思想和方法n 形成了一套体系严谨的形成了一套体系

5、严谨的“Generally Accepted Best Generally Accepted Best Practices”Practices”n 已成为事实上软件（已成为事实上软件（Software-IntensiveSoftware-Intensive）行业最广泛）行业最广泛的标准（的标准（SW-CMMSW-CMM）北航计算机学院北航计算机学院8标准背景标准背景2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMMCMMI HistoryCMMI Historyn 试图从过程和管理的角度解决软件危机n CMM = Capability Maturity Mod

6、el，能力成熟度模型n CMMI前身是1991年SEI发布的SW-CMM V1.0，1993年SW-CMM V1.1n 其后，一些其它能力成熟度模型被陆续开发 SA-CMM：软件采办成熟度模型 SE-CMM：系统工程成熟度模型 IPD-CMM：集成的产品开发成熟度模型 People CMM：人力资源管理成熟度模型n 2002年，CMMI（CMM Integration）for SW/SE/IPPD/SS V1.1发布n 2006年，CMMI for Development V1.2北航计算机学院北航计算机学院10能力成熟模型应用范畴能力成熟模型应用范畴CMM能力成熟模型能力成熟模型SW-CMM

7、软件能力成熟模型软件能力成熟模型SE-CMM系统工程能力成熟模型系统工程能力成熟模型SSE-CMMSSE-CMM信息系统安全工程能力成熟模型信息系统安全工程能力成熟模型SSAMSSAM信息系统安全工程能力成熟性模型信息系统安全工程能力成熟性模型评估方法评估方法评定评定软件工程软件工程汽车、照相机、汽车、照相机、手表和钢铁业手表和钢铁业安全工程安全工程。SSAM: Systems Securtiy Engineering Capability Maturity Model Appraisal Method北航计算机学院北航计算机学院112. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SS

8、E-CMMSSE-CMM北航计算机学院北航计算机学院12能力成熟度模型能力成熟度模型过程能力过程能力方案：方案： 单个过程域或一系列过程域 组织机构可以灵活选择改进哪个过程域和改进至什么程度组织机构组织机构成熟度方案成熟度方案 跨机构的一系列已建立的过程域 提供预定义路线图，组织机构基于已验证的过程组和顺序进行改进StagedML 1ML2ML3ML4ML5ContinuousPAPA过程域能力过程域能力0 1 2 3 4 5PA2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM2.1.2 能力成熟度模型基础能力成熟度模型基础北航计算机学院北航计算机学院13能

9、力级别和成熟度级别能力级别和成熟度级别ContinuousContinuous StagedStaged能力级别能力级别成熟度级别成熟度级别0 0IncompleteIncompleteN/AN/A1 1PerformedPerformedInitialInitial2 2ManagedManagedManagedManaged3 3DefinedDefinedDefinedDefined4 4Quantitatively ManagedQuantitatively ManagedQuantitativelyQuantitatively ManagedManaged5 5OptimizingO

10、ptimizingOptimizingOptimizing能力成熟度模型：能力成熟度模型：SSESSE-CMM-CMM（ISO/IEC IS 21827ISO/IEC IS 21827）北航计算机学院北航计算机学院142. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院15 2.1.3 SSE-CMM概述 系统安全工程能力成熟模型（Systems Security Engineering Capability Maturity Model），描述了一个组织组织的系系统安全工程过程统安全工程过程必须包含的基本特征基本特征，这些特征是完善

11、的安全工程保证保证，也是系统安全工程实施的度量标准，同时还是一个易于理解的评估系统安全工程实施的框架。 目的：促进安全工程成为一个确定的、成熟的和可度量的学科： 通过区分投标者的能力级别和相关的计划风险来选择合格的安全工程提供商； 工程组把投资集中在安全工程工具、培训、过程定义、管理实施和改进上； 基于能力的保证，也就是说，信赖是基于对工程组织安全工程实践和过程成熟的信心 2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院16 2.1.3 SSE-CMM概述u安全系统和工程的特性 连续性连续性 - 以前获得的知识将用于将来 重复性重

12、复性 - 保证项目可成功重复实施的方法 高效率性高效率性 - 可帮助开发者和评价者都更有效率工作的方法 保证保证 - 落实安全需求的信心u期待结果 改进可预见性可预见性 改进可控制性可控制性 改进过程有效性过程有效性u安全工程对于任何工程活动均是清晰定义的、可管理的、可测量的、可控制的并且是高效率的。 SSE-CMM覆盖范围n SSE-CMM涉及到可信产品或者系统整个生命周期整个生命周期的安全工程活动，其中包括概念定义、需求分析、设计、开发、集成、安装、运行、维护和终止。n 整个组织，包括管理、组织和工程活动等；n 与其它规范并行的相互作用，包括系统、软硬件、人、测试工程、系统管理、运行和维护

13、等；n 与其它组织的相互作用，包括获取、系统管理、认证认可和评估组织等；n SSE-CMM可应用于所有类型和大小的安全工程机构安全工程机构，如商务机构、政府机构和学术机构。2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院17SSE-CMM适用对象u 工程组织（Engineering Organization） 包括系统集成商、应用开发商、产品和服务提供商； 工程组织利用其对自己的工程能力进行自我评估；u 采购组织（Acquiring Organization） 包括采购系统、产品以及从外部/内部资源和最终用户处获取服务的组织； 采

14、购组织通过其来判别一个供应者组织的的系统安全工程能力，识别该组织供应的产品和系统的可信任性；u 评估组织（Evaluation Organization） 包括认证组织、系统授权组织、系统和产品评估组织等； 评估组织使用SSE-CMM作为工作基础，以便建立被评估组织整体能力的信任度，该信任度是系统和产品的安全保证要素。北航计算机学院北航计算机学院182. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院192. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMMSSE-CMMSSE-CMM历史历史n 1993

15、年4月美国国家安全局（NSA）开始酝量n 1996年10月出版了SSE-CMM模型的第一个版本，1997年4月出版了评定方法的第一个版本。n 从1996年6月到1997年6月进行许多实验项目 n 1999年4月出版了第二版。n 目前，SSE-CMM V3.0n 2002年，ISO/IEC IS 21827北航计算机学院北航计算机学院20SSE-CMM基本概念u过程（Process） 为了达到某一给定目标而执行的一系列活动，这些活动可以重复、递归和并发的执行； 分为“充分定义过程”、“已定义过程”和“执行过程”。u过程区域（PA，Process Area） 是由一些基本实践（BP，Base Pr

16、actice）组成的，这些BP共同实施以达到该PA的目标。这些BP是强制性的，只有全部成功执行，才能满足PA规定的目标； SSE-CMM包含三类过程区域：工程、项目和组织三类；u过程能力（Process Capability） 是通过跟踪一个过程达到预期结果的可量化范围； 一个组织的过程能力可帮助组织预见项目达到目标的能力，低能力组织的项目在达到预定的成本、进度、功能和质量目标上会有很大变化；2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院212. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM2.

17、2 SSE-CMM体系结构n SSE-CMM体系结构设计的目标是清晰的从管理和制度化特征中分离出安全工程的基本特征，采用域（Domain）和能力（Capability）的两维结构；n 横轴“域维”汇集了定义安全工程的所有实践活动，包括大约60项基本实践（BP，Base Practice），这些BP又被组织成11个过程区域（PA）。11个PA可能出现在安全系统生命周期的各个阶段，并不规定其先后顺序；n 纵轴“能力维”代表组织能力，由过程管理与制度化能力构成。共设置6个能力级别，每个能力级别由一组能够反映过程能力变化的公共特征（CF，Common Feature）来定义，这些CF适用于所有PA，每

18、一个CF又可以由若干项通用实践（GP，Generic Practice）来描述。北航计算机学院北航计算机学院222. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMMSSE-CMMSSE-CMM模型模型n目的：在整个安全工程范围内决定安全工程组织的成熟性 n两维模型“域维” 由所有定义的安全工程过程区构成。这些实施活动称为“过程区”。“能力维”代表组织能力。这一维由过程管理和制度化能力构成。这些实施活动被称作“公共特征”，可在广泛的域中应用。执行一个公共特征是一个组织能力的标志。n通过设置这两个相互依赖的维，SSE-CMM在各个能力级别上覆盖了整个安全活动范围。n

19、如果给每个PA赋予一个能力级别评分，所得到的两维图形便形象地反映一个工程组织整体上的系统安全工程能力成熟度，也间接的反映其工作结果的质量及其安全上的可信度。能力维（能力维（Capability Dimension）公共特征（公共特征（Common Features）域维（域维（Domain Dimension）安全过程区（安全过程区（Security Process Areas）公共特征公共特征2.4跟踪执行跟踪执行PA 05评估脆弱性评估脆弱性543210PA01PA02PA03PA04PA05能力能力级别级别安全过程区域安全过程区域北航计算机学院北航计算机学院232.3 能力维/公共特征n

20、 SSE-CMM通过能力级别来确定组织执行、控制、支持和监视安全过程的成熟性；n 过程能力由一组通用实践（GP，Generic Practice）来衡量，是对所有过程通用的，强调对一个过程的管理、度量和制度方面。能力维的GP按照成熟性排序，高级别的GP位于能力维的高端；n GP被组成12个称作公共特征（CF，Common Feature）的逻辑域，每个CF包括一个或多个GP；n 为了体现能力级别，将GP划分成5个等级，代表组织安全工程能力的不同层次；n 过程能力是用来度量各个过程区域PA的，而不是用来度量整个工程组织的，GP按其具有的公共特征和能力级别组织成三级结构。2. 2. 安全工程能力成

21、熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院24能力维能力维能力维能力维能力级别能力级别加强任何过程能力的实现和制度化实施 一组实施列出管理和制度化过程的相同方面 共同工作的一组公共特征主要加强执行一个过程的能力 公共特征公共特征通用实践通用实践2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院25计划执行计划执行规范化执行规范化执行跟踪执行跟踪执行验证执行验证执行定义标准过程定义标准过程协调安全实施协调安全实施执行已定义的过程执行已定义的过程建立可测量的建立可测量的质量目标质量目标客观地管

22、理过客观地管理过程的执行程的执行1非正式非正式执行执行2计划与跟踪计划与跟踪3充分定义充分定义4量化控制量化控制5连续改进连续改进执行执行基本基本实施实施改进组织能改进组织能力力改进过程的改进过程的有效性有效性能力级别：代表安全工程组织的成熟级别 公共特征公共特征仅要求一个过仅要求一个过程区域的所有程区域的所有基本实践都被基本实践都被执行，但对执执行，但对执行的结果无明行的结果无明确要求；确要求；强调过程执行强调过程执行前的计划和执前的计划和执行中的检查，行中的检查，使工程组织可使工程组织可以基于最终结以基于最终结果的质量来管果的质量来管理其实践活动；理其实践活动；要求过程区域要求过程区域包括

23、的所有基包括的所有基本实践均应依本实践均应依照一组完善定照一组完善定义的操作规范义的操作规范来进行，即来进行，即“标准过程标准过程”；能够对工程组能够对工程组织的表现进行织的表现进行定量的度量和定量的度量和预测。过程管预测。过程管理成为客观的理成为客观的和准确的实践和准确的实践活动活动为过程行为的为过程行为的高效和实用建高效和实用建立定量目标，立定量目标，可以准确地度可以准确地度量过程持续改量过程持续改善所收到的效善所收到的效益。益。2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-

24、CMM北航计算机学院北航计算机学院272. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM2.4 域维/过程区域u 系统安全工程涉及到三类过程区域PA，即工程（Engineering PA）、组织（Organization PA）和项目（Project PA）过程区域。 组织和项目过程区域（共11个）并不直接同系统安全相关，在SE-CMM中定义，但常与SSE-CMM的11个工程过程区域一起用来度量系统安全队伍的过程能力成熟度。u SSE-CMM将工程过程区域分为三类，即风险过程、工程过程和保证过程； 4个风险过程：PA04评估威胁，PA05评估脆弱性，PA02评

25、估影响，PA03评估安全风险； 5个工程过程：PA07，PA10，PA09，PA01，PA08； 2个保证过程：PA11，PA06；u 并不定义各过程区域在系统安全工程生命周期中出现的顺序，而是依照过程区域的英文字母顺序编号；u 每个过程区域包括一组集成的基本实践（BP，Base Practice），BP定义了实现过程区域目标的必要活动，代表业界的最佳惯例。2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院28北航计算机学院北航计算机学院292. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM域维域维

26、过程类域维域维Base PracticesBase PracticesBase PracticesBase PracticesBase Practices基本实践Process AreasProcess AreasProcess Areas过程区工程和安全实施是安全工程过安全工程过程中必须存在的性质，程中必须存在的性质，指出特殊过程区的目的并属于该过程区 每个过程区（每个过程区（PAPA）是一组相关）是一组相关安全工程过程的性质，当这些安全工程过程的性质，当这些性质全部实施后则能够达到过性质全部实施后则能够达到过程区定义的目的。程区定义的目的。一组过程区指出活动的同一通用区 北航计算机学院北航

27、计算机学院302. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM工程过程区域工程过程区域核实和确认安全（Verify and Validate Security）PA11明确安全需求（Specify Security Needs）PA10提供安全输入（Provide Security Input）PA09监视安全态势（Monitor Security Posture）PA08协调安全（Coordinate Security）PA07建立保证论据（Build Assurance Argument)PA06评估脆弱性（Assess Vulnerability）PA

28、05评估威胁（Assess Threat）PA04评估安全风险（Assess Security Risk)PA03评估影响（Assess Impact）PA02管理安全控制（Administer Security Controls）PA01风险过程工程过程保证过程2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院312.5 安全工程 SSE-CMM将安全工程划分为三个基本的过程区域：风险，工程，保证 风险过程：风险过程：是要确定产品或者系统的风险，并对这些风险进行优先级排序 工程过程工程过程：是针对面临的风险，安全工程过程与相关工程

29、过程一起来确定并实施解决方案 保证过程保证过程：是建立起对解决方案的信任，并把这种信任传达给用户 2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院32 信息安全工程过程信息安全工程过程保证论据保证论据风险信息风险信息产品或服务产品或服务工程过程工程过程Engineering保证过程保证过程Assurance风险过程风险过程Risk2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院33风险风险PA04PA04：评估威胁：评估威胁威胁信息威胁信息threatthreat脆弱

30、性信息脆弱性信息vulnerabilityvulnerability影响信息影响信息impactimpact风险信息风险信息PA05PA05：评估脆弱性：评估脆弱性PA02PA02：评估影响：评估影响PA03PA03：评估安全风险：评估安全风险l 风险就是有害事件发生的可能性l 一个有害事件有三个部分组成：威胁、脆弱性和影响。 2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院34l 安全工程与其它科目一样，它是一个包括概念、设计、实现、测试、部署、运行、维护、退出的完整过程。l SSE-CMM强调安全工程是一个大的项目队伍中的一部

31、分，需要与其它科目工程师的活动相互协调。 PA10PA10指定安全要求指定安全要求需求、策略等需求、策略等配置信息配置信息解决方案、指导等解决方案、指导等风险信息风险信息PA08PA08监视安全态势监视安全态势PA07PA07协调安全协调安全PA01PA01管理安全控制管理安全控制PA09PA09提供安全输入提供安全输入工程工程2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院35证据证据证据证据保证论据保证论据PA11验证和证实安全验证和证实安全指定安全要求指定安全要求其他多个其他多个PAPA06建立保证论据建立保证论据l 保证是

32、指安全需要得到满足的信任程度l SSE-CMM的信任程度来自于安全工程过程可重复性的结果质量。 保证保证2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院36安全基本实践一安全基本实践一2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院37安全基本实践二安全基本实践二2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM2.6 项目及组织过程区域uSSE-CMM采用了SE-CMM定义的项目和组织过程区域，这些PA是用来解释通用实践的重要参考资

33、料；u每个此类过程区域都包含“安全性考虑”的内容，说明了应用到安全工程相关的过程区域中时需要考虑的因素，也指出了对SSE-CMM过程区域的参考引用。2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院39项目和组织过程区域项目和组织过程区域与供应商协调（Coordinate with Suppliers）PA22提供持续发展的技能和知识（Provide Ongoing Skill and Knowledge）PA21管理系统工程支持环境（Manage Systems Engineering Support Environment）PA

34、20管理产品系列进化（Manage Product Line Evolution）PA19改进组织的系统工程过程（Improve Organizations Systems Engineering Process）PA18定义组织的系统工程过程（Define Organizations Systems Engineering Process)PA17计划技术活动（Plan Technical Effort）PA16监视和控制技术活动（Monitor and Control Technical Effort）PA15管理项目风险（Manage Project Risk)PA14管理配置（Mana

35、ge Configuration）PA13保证质量（Ensure Quality）PA12项目过程组织过程2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院40项目和组织的基本实践一项目和组织的基本实践一2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院41项目和组织的基本实践二项目和组织的基本实践二2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院422.7 SSE-CMM的使用 SSE-CMM可应用于所有从

36、事某种形式的安全工程组织，这种应用与生命期、范围、环境或专业无关。该模型适用于以下三种方式： “评定评定”，允许获取组织了解潜在项目参加者的组织层次上的安全工程过程能力。 “改进改进”，使安全工程组织获得自身安全工程过程能力级别的认识，并不断地改进其能力。 “保证保证”，通过有根据地使用成熟过程，增加可信产品、系统和服务的可信度。2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院432.7 SSE-CMM的使用评定n 为评定收集数据广泛、严格，每个数据有充分的证据n 决定实施安全工程过程的能力n 为评定定义了安全工程环境n 在评定巧

37、妙地使用了SSE-CMM体系结构中的两个方面2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMMSSE-CMMSSE-CMM评估方法：评估方法：SSAMSSAMn SSAM ：SSE-CMM Appraisal Method 是一种组织或项目级的评估方法。 通过多种数据采集方法来获取待评估组织或项目相关的实践过程的信息，目的在于取得一个真实实践的基线（Baseline）或基准（Benchmark），创建并支持用于改进的要素。n 数据采集方法：问卷、访谈、证据复审；n 评估阶段：规划（Planning），准备（Preparation），现场（On-site），报告

38、（Reporting）。北航计算机学院北航计算机学院442. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院45SSE-CMMSSE-CMM评估方法（评估方法（SSAMSSAM） 规划阶段规划阶段范围评定计划评定准备阶段准备阶段准备评定组分发调查表合并证物分析证物和调查表查表现场阶段现场阶段领导简报 /开幕式采访领导 /专业人员分析数据确定调查结果产生排等级的轮廓管理记录工作结束报告阶段报告阶段产生最终报告向发起者报告评定结果管理评定实物报告取得的经验教训2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-C

39、MM北航计算机学院北航计算机学院462.8 利用SSE-CMM进行过程改进 SSE-CMM可以用作改进组织安全工程过程的工具，建议采用SEI的IDEAL模型，目的是进入一个评估当前状况、改进、重复的持续循环之中。n Initiating（初始化）熟悉项目目标和完成方式，开发业务案例和项目执行方法，获得管理层批准和支持，为成功的改进努力做好铺垫；n Diagnosing（诊断）理解组织当前和期望的过程成熟度状态，这些是形成组织过程改进行动计划的基础；n Establishing（建立）基于努力目标和诊断阶段开发的建议来制定详细的行动计划，并考虑到各种约束；n Acting（操作）即实施阶段，无论

40、是资源还是时间，都需要各方面付出最大程度的努力；n Learning（学习）既是本次循环的终止，又是下一次改进过程的开端。对整个过程改进活动进行评估。2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院472.9 信息系统安全保障评估框架：工程保障共包括四个部分 第一部分：简介和一般模型 第二部分：技术保障 第三部分：管理保障 第四部分：工程保障第二部第二部分分技术保技术保障障安全技术控制组安全技术控制组件件技术架构能力技术架构能力级级第一部分第一部分简介和一般模简介和一般模型型第三部第三部分分管理保管理保障障安全管理控制组安全管理控

41、制组件件管理能力管理能力级级第四部第四部分分工程保工程保障障安全工程控制组安全工程控制组件件工程能力工程能力级级2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院48信息系统信息系统安全保障模型安全保障模型工程信息系统安全保障评估框架信息系统安全保障评估框架- -工程保障部分工程保障部分北航计算机学院北航计算机学院492. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM工程保障：信息安全工程过程能力成熟度示例北航计算机学院北航计算机学院502. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE

42、-CMMSSE-CMM2.10 信息系统安全工程： ISSESE-系统工程过程北航计算机学院北航计算机学院51DISCOVERNEEDSDEFINESYSTEMREQUIREMENTSDESIGNSYSTEMARCHITECTUREDEVELOPDETAILEDDESIGNIMPLEMENTSYSTEM发掘需发掘需求求定义系定义系统要求统要求定义系定义系统体系统体系结构结构开发详开发详细设计细设计实现系实现系统统用户用户/用户代表用户代表评估有效性评估有效性2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院522.10.1 2.10

43、.1 信息系统安全工程（信息系统安全工程（ISSEISSE）Information System Security Engineering;n 是系统安全工程、系统工程和系统获取在信息系统安全方面的具体体现n ISSE的目的是使信息系统安全成为系统工程和系统获取过程的必要部分，将信息系统安全集成到系统工程中，以获得最优的信息系统安全解决方案2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院53系统生命周期中的系统生命周期中的ISSEISSE2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机

44、学院北航计算机学院54ISSE作什么事情？l 获取业务所必需的安全需求l 确定系统所有者、监管方和最终用户可接受的安全风险l 设计（选择和裁减）信息系统安全工程l 在系统建设实施过程中尽早将安全因素结合进去l 综合考虑费用、进度、适用性、有效性和其他约束条件，辩证地考虑风险管理问题l 将安全工作集成到系统工程和获取工程中l 创建并保留标准化的文档l 在现场部署后，继续进行生命周期内的安全支持2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM2.10.2 信息系统安全工程的实施与管理(1) 信息安全保障工程的实施与管理信息安全保障工程实施模型与框架IT项目管理中

45、的安全考虑北航计算机学院北航计算机学院552. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM信息系统安全保障工程实施通用模型北航计算机学院北航计算机学院562. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM信息系统安全保障工程实施框架北航计算机学院北航计算机学院572. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM某电子政务信息系统安全保障工程实践示意图北航计算机学院北航计算机学院582. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM2.10.2 IT项目管理

46、中的安全考虑(1) 立项阶段u确立业务对信息安全的总体要求u识别各类安全要求u证明安全要求的正确性u分析、协调、综合形成各类文档 信息安全规划信息安全规划 安全需求报告安全需求报告 风险评估报告风险评估报告 立项报告立项报告北航计算机学院北航计算机学院592. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院602.10.2 IT项目管理中的安全考虑(2)开发和采购阶段u 数据的正确处理 输入数据的校验 范围之外的值范围之外的值 无效数据类型无效数据类型 丢失或不完整的数据丢失或不完整的数据 未授权或非法的输入：防止缓冲区溢出和代码注入

47、未授权或非法的输入：防止缓冲区溢出和代码注入 数据处理过程控制 处理的时间顺序处理的时间顺序 发生故障后运行的程序发生故障后运行的程序 系统失效或处理错误后的恢复系统失效或处理错误后的恢复 输出数据的验证 输出的去向正确输出的去向正确 数据的准确性、完备性和精确性数据的准确性、完备性和精确性2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM2.10.2 IT项目管理中的安全考虑(2)开发和采购阶段u 加密控制 选择适当的加密算法类型、强度和质量 选择加密的通信线路和加密内容 制定密钥管理的方法 密钥的分发方式密钥的分发方式 密钥的保存密钥的保存 密钥的更新方式

48、密钥的更新方式 密钥遗失、泄露和破坏后的处理方法密钥遗失、泄露和破坏后的处理方法 密钥的撤销和销毁密钥的撤销和销毁北航计算机学院北航计算机学院612. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院622.10.2 IT项目管理中的安全考虑(2)开发和采购阶段u系统资源的安全 系统软件安装控制：选择安全的系统软件、安装必要的组件、防止盗版的安装、及时更新 系统测试数据的保护：尽量不用真实生产数据，如果必须用，注意对拷贝过程进行控制、对测试系统的访问控制、测试之后信息清除、有效的审计措施 应用系统源代码保护： 运行系统尽量不保留源代码运

49、行系统尽量不保留源代码 对源代码库进行访问控制对源代码库进行访问控制 管理向程序员发布源代码管理向程序员发布源代码 源代码库的有效审计源代码库的有效审计2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院632.10.2 IT项目管理中的安全考虑(3)实施阶段u项目变更管理 建立严格清晰的变更程序 变更时要对变更原因和变更的影响进行评估 必要时在测试系统中进行测试 变更要形成文档记录2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院642.10.2 IT项目管理中的安全考虑

50、(4)交付和废弃阶段u交付过程 初验初验 试运行试运行 终验终验u交付后 持续的风险评估和安全加固持续的风险评估和安全加固u废弃 信息的彻底清除信息的彻底清除2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM2.11 信息安全工程监理北航计算机学院北航计算机学院65信息安全工程监理参考模型信息安全工程监理参考模型2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM2.11.1 工程招标阶段：主要监理目标 协助业主单位明确信息安全工程需求需求，确定工程建设目标； 促使承建单位编制的信息安全方案信息安全方案符合国家和业主单位的相关规