信息安全工程全册配套课件.ppt

1、信息安全工程全册配套课件信息安全工程全册配套课件信息安全工程北航计算机学院北航计算机学院3主要内容主要内容5. 5. 信息安全工程管理与测评信息安全工程管理与测评4. 4. 信息安全方案设计信息安全方案设计3. 3. 信息安全风险评估与安全策略信息安全风险评估与安全策略2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMM SSE-CMM 1. 1. 信息安全工程基础信息安全工程基础6. 6. 访问控制与审计技术要点访问控制与审计技术要点基础基础基础内容基础验收教材与主要参考书教材与主要参考书(1)教材n赵俊阁主编，信息安全工程，武汉大学出版社，2008(2) 重要参考书n赵战

2、生等主编，信息安全保密教程，中国科技大学出版社，2006n施峰主编，信息安全保密基础教程，北京理工大学出版社，2008n胡志昂主编，信息系统等级保护安全建设方案设计实现与应用，电子工业出版社，2010北航计算机学院北航计算机学院4作业、考试与成绩评定作业、考试与成绩评定(1) 作业按相关内容完成作业（分析报告或设计方案）(2) 考试主要是概念巩固、基本单元知识(3) 成绩评定：100分制考勤占：10%作业占：60%考试占：30%北航计算机学院北航计算机学院5北航计算机学院北航计算机学院6课程重点课程重点需求需求风险与策略重点重点方案方案What & HowInstructorInstructo

3、r 刘连忠 Tel：010-82317897 Office: Room G-802 Email: lz_ QQ & Wechat: 2366996071北航计算机学院北航计算机学院71. 1. 信息安全工程基础信息安全工程基础1.1 1.1 信息系统建设过程信息系统建设过程1.2 1.2 常见信息安全问题：信息、系统及关联问题常见信息安全问题：信息、系统及关联问题1.3 1.3 信息安全工程概念信息安全工程概念1.4 1.4 信息安全工程建设流程信息安全工程建设流程1.5 1.5 安全工程生命周期安全工程生命周期1.6 1.6 安全工程特点安全工程特点1.7 1.7 信息安全管理与测评机构信息

4、安全管理与测评机构1.8 1.8 信息安全及保密标准法规与合规性问题信息安全及保密标准法规与合规性问题北航计算机学院北航计算机学院81.1 1.1 信息系统建设过程信息系统建设过程1.2 1.2 常见信息安全问题：信息、系统及关联问题常见信息安全问题：信息、系统及关联问题1.3 1.3 信息安全工程概念信息安全工程概念1.4 1.4 信息安全工程建设流程信息安全工程建设流程1.5 1.5 安全工程生命周期安全工程生命周期1.6 1.6 安全工程特点安全工程特点1.7 1.7 信息安全管理与测评机构信息安全管理与测评机构1.8 1.8 信息安全及保密标准法规与合规性问题信息安全及保密标准法规与合

5、规性问题北航计算机学院北航计算机学院91.1 1.1 信息系统建设过程信息系统建设过程1.1.1 1.1.1 周期阶段周期阶段(1) 企业架构方法企业架构方法(Enterprise Architecture)：1) 四大架构：四大架构：业务架构、信息架构、应用架构、技业务架构、信息架构、应用架构、技术架构术架构2) 三大体系：三大体系：安全体系安全体系、标准规范体系、运维体系、标准规范体系、运维体系(2) 建设计划建设计划1) 目的目的2) 资源资源3) 费用费用4) 进度进度北航计算机学院北航计算机学院101.2 1.2 常见信息安全问题：信息、系统及关联问常见信息安全问题：信息、系统及关联

6、问题题1.2.1 1.2.1 安全属性安全属性 1) 1) 机密性：机密性：确保信息不暴露给未授权的实体或进程确保信息不暴露给未授权的实体或进程 2) 2) 完整性：完整性：只有得到允许的人才能修改数据，并且能只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改够判别出数据是否已被篡改 3) 3) 可用性：可用性：得到授权的实体在需要时可访问数据，即得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作攻击者不能占用所有的资源而阻碍授权者的工作 4) 4) 可控性：可控性：可以控制授权范围内的信息流向及行为方可以控制授权范围内的信息流向及行为方式式 5) 5)

7、不可否认性：不可否认性：对信息的操作是不可抵赖的对信息的操作是不可抵赖的 信息自身的保护问题北航计算机学院北航计算机学院111.2 1.2 常见信息安全问题：信息、系统及关联问常见信息安全问题：信息、系统及关联问题题1.2.2 1.2.2 信息系统常见安全问题信息系统常见安全问题 (1) (1) 自然事件破坏自然事件破坏 地震、洪灾、风灾、雪灾、火灾、战争地震、洪灾、风灾、雪灾、火灾、战争 (2) (2) 人为操作问题人为操作问题 意外：设计缺陷、开发意外：设计缺陷、开发、疏忽与误操作、无意识泄密疏忽与误操作、无意识泄密 有意：有意：主动攻击（物理、网络）、内部恶意泄愤、间主动攻击（物理、网络

8、）、内部恶意泄愤、间谍谍 (3) (3) 网络安全网络安全 1) 1) 利用软件自身弱点：恶意代码、病毒、木马、钓鱼利用软件自身弱点：恶意代码、病毒、木马、钓鱼等等 2) 2) 利用网络及安全设备缺陷和漏洞：破坏、瘫痪等利用网络及安全设备缺陷和漏洞：破坏、瘫痪等北航计算机学院北航计算机学院121.2 1.2 常见信息安全问题：信息、系统及关联问常见信息安全问题：信息、系统及关联问题题1.2.3 1.2.3 信息安全问题分类信息安全问题分类 1) 1) 按问题来源按问题来源 内部攻击内部攻击（尤其涉密网络）、（尤其涉密网络）、外部攻击外部攻击（与互联网相连（与互联网相连） 2) 2) 按攻击类型

9、按攻击类型 冒充：冒充：冒充实体（系统、用户、进程）身份慎发起攻冒充实体（系统、用户、进程）身份慎发起攻击击 重放：重放：复制信息重放伪装，如身份信息重放复制信息重放伪装，如身份信息重放 篡改：篡改：信息次序、时序、流向、内容、形式（完整性信息次序、时序、流向、内容、形式（完整性） 抵赖：抵赖：信息发出者、接收者或系统操作者事后否认信息发出者、接收者或系统操作者事后否认 非法访问：非法访问：未经授权使用信息或系统未经授权使用信息或系统 窃取：窃取：非法获得秘密信息（机密性）：美安全局光缆非法获得秘密信息（机密性）：美安全局光缆窃密窃密北航计算机学院北航计算机学院131.2 1.2 常见信息安全

10、问题：信息、系统及关联问常见信息安全问题：信息、系统及关联问题题 2) 2) 按攻击类型按攻击类型 截收：截收：搭线、电磁信号接收、音频接收、窃听装置等搭线、电磁信号接收、音频接收、窃听装置等 木马：木马：破坏系统、获取身份和权限、窃取并发送信息破坏系统、获取身份和权限、窃取并发送信息 拒绝服务（拒绝服务（DOSDOS）：）：通过大量访问或利用漏洞，使系统通过大量访问或利用漏洞，使系统 失去正常工作能力或交出控制权（可用性失去正常工作能力或交出控制权（可用性） 病毒：病毒：利用宿主程序隐藏，破坏系统功能（可用性）利用宿主程序隐藏，破坏系统功能（可用性） 其他：其他：钓鱼网站钓鱼网站 北航计算机

11、学院北航计算机学院141.2 1.2 常见信息安全问题：信息、系统及关联问常见信息安全问题：信息、系统及关联问题题 3) 3) 按问题原因按问题原因 设计问题：设计问题：软件漏洞、后门；系统设计缺陷软件漏洞、后门；系统设计缺陷 用户问题：用户问题：不良习惯（不良习惯（UIDUID、口令策略）、口令策略） 、点击不明文件、点击不明文件 网络防护漏洞：网络防护漏洞：体系不全，出现短板效应体系不全，出现短板效应 特权用户：特权用户：无意之失，恶意为之，被收买无意之失，恶意为之，被收买 敌对势力：敌对势力：破门而入、安装装置、大数据分析破门而入、安装装置、大数据分析 北航计算机学院北航计算机学院151

12、.3 1.3 信息安全工程概念信息安全工程概念1.3.1 1.3.1 立体保障立体保障 攻：攻击外在的潜在威胁 防：采用各种安全防御措施和技术产品 测：对现有风险和漏洞进行检查和测试 控：对现有各类资源进行权限控制，对各种可能的关键点进行管制（包括使用技术措施和产品） 管：依安全规范管理机构、人员、制度和流程 评：对系统的安全及技术、人员、制度进行安全评估和合规性检查 北航计算机学院北航计算机学院161.3 1.3 信息安全工程概念信息安全工程概念1.3.2 1.3.2 信息安全分类信息安全分类 (1) 实体（物理）安全：设备、设施、场地（机房） (2) 运行安全：评估、审计、备份、应急等 (

13、3) 数据（信息）安全：鉴别、访问控制、审计、加密、 数字签名、搞抵赖、防泄露等 (4) 安全管理：法规、组织、人员、过程管理等 信息安全过程：工程、风险、保证信息安全过程：工程、风险、保证保证论据保证论据风险信息风险信息产品或服务产品或服务工程过程工程过程Engineering保证过程保证过程Assurance风险过程风险过程Risk1.3 1.3 信息安全工程概念信息安全工程概念北航计算机学院北航计算机学院17北航计算机学院北航计算机学院181.3 1.3 信息安全工程概念信息安全工程概念1.3.3 1.3.3 信息安全工程信息安全工程 (1) 范畴： 基于法律法规，在用户安全需求和风险评

14、估的基础上，制订完善合理的安全策略，并合理确定信息系统的安全等级，设计系统的安全架构和技术与管理方案，选择适当的产品和技术，通过工程实施和监管，实现系统的安全目标。 北航计算机学院北航计算机学院191.3 1.3 信息安全工程概念信息安全工程概念1.3.3 1.3.3 信息安全工程信息安全工程 (2) 质量控制 1) ISO 9000 质量管理体系。 2) SSE-CMM 采用安全工程能力成熟度模型进行全程工程管理。 3) 资质管理 通过资质认证保证安全工程服务水平。 北航计算机学院北航计算机学院201.4 1.4 信息安全工程建设流程信息安全工程建设流程1.4.1 1.4.1 项目流程项目流

15、程v编制工程建设书（评审）或项目任务书v编制可研报告（评审）v确定监理单位参与后续过程v设计安全方案（评审）v确定系统安全集成单位，编制项目实施方案v工程实施及验收v系统测评及开通v系统维护北航计算机学院北航计算机学院211.4 1.4 信息安全工程建设流程信息安全工程建设流程1.4.2 1.4.2 工作流程工作流程风险分析与评估安全需求分析安全策略制订安全体系设计安全工程监理安全工程实施北航计算机学院北航计算机学院221.5 1.5 安全工程生命周期安全工程生命周期 安全工程生命周期：从信息保护的角度安全工程生命周期：从信息保护的角度 22发掘信息保护需求定义系统安全要求详细安全设计系统安全

16、体系设计实现系统安全评估信息保护的有效性北航计算机学院北航计算机学院231.6 1.6 安全工程特点安全工程特点v 全面性：综合考虑，全面考虑，防止短板v 过程与周期性：系统过程与生命同期v 动态性：不断完善与更新v 层次性：立体防御v 相对性：不追求绝对安全v 继承性：系统和措施的继承北航计算机学院北航计算机学院241.7 1.7 信息安全管理与测评机构信息安全管理与测评机构1.7.1 1.7.1 国家层面国家层面 (1) (1) 领导机构：领导机构： 中央网络安全和信息化领导小组（中央网络安全和信息化领导小组（2014.22014.2） 组长：组长：习近平习近平 副组长：副组长：李克强、刘

17、云山李克强、刘云山 成员：成员：2222名（名（1212位党和国家领导人位党和国家领导人+10+10位正位正部）部） (2) (2) 办事机构：办事机构： 中央网络安全和信息化领导小组办公室中央网络安全和信息化领导小组办公室 主任：主任：鲁炜鲁炜 （国家互联网信息办公室（国家互联网信息办公室主任）主任） 副主任：副主任：徐麟、王秀军（女）、任贤良、徐麟、王秀军（女）、任贤良、庄荣文庄荣文涉密集成： 甲、乙级北航计算机学院北航计算机学院251.7 1.7 信息安全管理与测评机构信息安全管理与测评机构1.7.2 1.7.2 业务管理部门业务管理部门(1) 公安部：安全产品测评与销售许可发放(2)

18、国家保密局：涉密安全产品测评、系统测评、涉密信息系统建设标准制订、涉密信息系统集成及单项资质（软件开发、咨询、布线、屏蔽室、安防、监理等）(3) 国家密码管理局：密码产品研制、生产、销售许可 密码类产品认证测评、电子认证服务管理(4) 安全部：国家安全、场地选择、安全事件查办北航计算机学院北航计算机学院261.7 1.7 信息安全管理与测评机构信息安全管理与测评机构1.7.3 1.7.3 第三方测评认证机构第三方测评认证机构(1) 公安部计算机信息系统安全产品质量监督检验中心 负责网络信息安全产品的检测 发放安全产品销售许可证北航计算机学院北航计算机学院271.7 1.7 信息安全管理与测评机

19、构信息安全管理与测评机构1.7.3 1.7.3 第三方测评认证机构第三方测评认证机构(2) 国家保密科技测评中心（隶属于国家保密局） 省级测评分中心34个 重点行业和领域测评分中心10个主要职能：涉密信息系统测评（合格等级） 安全保密产品检测（认证证书） 参与制订国家保密标准 涉密资质审查（安全集成A/B、单项）北航计算机学院北航计算机学院281.7 1.7 信息安全管理与测评机构信息安全管理与测评机构1.7.3 1.7.3 第三方测评认证机构第三方测评认证机构(3) 国家密码管理局商用密码检测中心主要负责以下四类密码产品和功能的检测： 商用密码产品 数字证书互联互通 信息安全产品 信息安全等

20、级保护北航计算机学院北航计算机学院291.7 1.7 信息安全管理与测评机构信息安全管理与测评机构1.7.3 1.7.3 第三方测评认证机构第三方测评认证机构(4) 中国人民解放军信息安全测评认证中心 对拟进入军队的信息安全保密防护产品及技术系统的安全保密性能进行检测、评估与认证，发布相关产品目录。 产品证书分为：A、B、C三级北航计算机学院北航计算机学院301.7 1.7 信息安全管理与测评机构信息安全管理与测评机构1.7.3 1.7.3 第三方测评认证机构第三方测评认证机构 (5) 中国信息安全测评中心负责： 信息技术产品和系统的安全漏洞分析与信息通报； 党政机关信息网络、重要信息系统的安

21、全风险评估； 信息技术产品、系统和工程建设的安全性测试与评估； 信息安全服务和专业人员的能力评估与资质审核； 信息安全测试评估的理论研究、技术研发、标准研制。1.8 1.8 信息安全及保密标准法规与合规性问信息安全及保密标准法规与合规性问题题1.8.1 国内常用标准体系分类 安全保密军用标准业（军标GJB） 信息安全等级保护标准类（国标GB、行标GA） 涉密信息系统安全保密标准类（国标BMB）北航计算机学院北航计算机学院311.8 1.8 信息安全及保密标准法规与合规性问信息安全及保密标准法规与合规性问题题1.8.2 等级保护系列标准北航计算机学院北航计算机学院321.8 1.8 信息安全及保

22、密标准法规与合规性问信息安全及保密标准法规与合规性问题题1.8.2 等级保护系列标准北航计算机学院北航计算机学院331.8 1.8 信息安全及保密标准法规与合规性问信息安全及保密标准法规与合规性问题题1.8.2 安全等级保护系列标准 信息系统按照其重要性和损害等级，划分为五级。按照相应的等级进行安全防护，叫做安全等级保护。北航计算机学院北航计算机学院341.8 1.8 信息安全及保密标准法规与合规性问信息安全及保密标准法规与合规性问题题1.8.2 等级保护系列标准北航计算机学院北航计算机学院35三维空间1.8 1.8 信息安全及保密标准法规与合规性问信息安全及保密标准法规与合规性问题题1.8.

23、2 等级保护系列标准北航计算机学院北航计算机学院361.8 1.8 信息安全及保密标准法规与合规性问信息安全及保密标准法规与合规性问题题1.8.3 分级保护系列标准 (1) 国家保密等级共分五级： 公开、内部、秘密、机密、绝密 (2) 在涉及密码产品时又分为： 普密：秘密和机密 核密：绝密 (3) 保密标准分为： 产品测评类、系统技术要求与方案类、系统测评类、工程监理类、安全管理类北航计算机学院北航计算机学院371.8 1.8 信息安全及保密标准法规与合规性问信息安全及保密标准法规与合规性问题题1.8.3 分级保护系列标准 分级保护： 在涉密信息系统建设中，按照不同的密级分别采取技术和管理措施

24、，对涉密系统和涉密信息进行安全防护。 目的：降低管理难度和成本 比较：原来没有分级保护规定时，按最高密级防护北航计算机学院北航计算机学院381.8 1.8 信息安全及保密标准法规与合规性问信息安全及保密标准法规与合规性问题题1.8.4 安全合规性（Complaince） 对照相关安全保密标准，检查信息安全系统建设和管理是否符合相关标准或规范的规定北航计算机学院北航计算机学院39信息安全工程计算机学院 刘连忠2015秋北航计算机学院北航计算机学院42主要内容主要内容5. 5. 信息安全工程管理与测评信息安全工程管理与测评4. 4. 信息安全方案设计信息安全方案设计3. 3. 信息安全风险评估与安

25、全策略信息安全风险评估与安全策略 2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMM SSE-CMM 1. 1. 信息安全工程基础信息安全工程基础6. . 6. . 访问控制与审计技术要点访问控制与审计技术要点基础基础基础内容基础验收北航计算机学院北航计算机学院43课程重点课程重点需求需求风险与策略重点重点方案方案What & How2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM2.1 2.1 系统工程基础与能力成熟度模型系统工程基础与能力成熟度模型2.1.1系统工程基础 钱学森：“系统工程是组织管理系统规划、研究、制造、试验、使用的科

26、学方法，使一种对所有系统都具有普遍意义的科学方法” 以人参与系统为研究对象 根据系统的目的和总体发展要求 应用自然科学和社会科学的思想、理论、方法和手段 对系统功能和构成要素、结构、信息、控制进行分析与综合 最终达到系统的圆满实现系统工程不是基本理论，也不属于技术实现，而是一种方法论北航计算机学院北航计算机学院442. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM2.1.1 系统工程基础北航计算机学院北航计算机学院452. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院462. 2. 安全工程能力成熟

27、度模型安全工程能力成熟度模型SSE-CMMSSE-CMM2.1 2.1 系统工程与能力成熟度模型基础系统工程与能力成熟度模型基础2.1.2 能力成熟度模型基础能力成熟度模型基础 CMM Capability Maturity Model 现代统计过程控制理论现代统计过程控制理论表明通过强调生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品。 所有成功企业的共同特点是都具有一组严格定义、管理完善、可测可控从而高度有效的业务过程； CMM模型抽取了这样一组好的工程实践并定义了过程的“能力”。北航计算机学院北航计算机学院472. 2. 安全工程能力成熟度模型安全工程能力成熟度模型

28、SSE-CMMSSE-CMMCMMI OriginationCMMI Origination：n CMMICMMI思想根植于以下思想、技术、方法思想根植于以下思想、技术、方法软件工程理论和方法软件工程理论和方法项目管理技术和方法项目管理技术和方法全面质量管理思想全面质量管理思想持续过程改进思想持续过程改进思想其它一般管理思想和方法其它一般管理思想和方法n 形成了一套体系严谨的形成了一套体系严谨的“Generally Accepted Best Generally Accepted Best Practices”Practices”n 已成为事实上软件（已成为事实上软件（Software-Int

29、ensiveSoftware-Intensive）行业最广泛）行业最广泛的标准（的标准（SW-CMMSW-CMM）北航计算机学院北航计算机学院48标准背景标准背景2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMMCMMI HistoryCMMI Historyn 试图从过程和管理的角度解决软件危机n CMM = Capability Maturity Model，能力成熟度模型n CMMI前身是1991年SEI发布的SW-CMM V1.0，1993年SW-CMM V1.1n 其后，一些其它能力成熟度模型被陆续开发 SA-CMM：软件采办成熟度模型 SE-CMM

30、：系统工程成熟度模型 IPD-CMM：集成的产品开发成熟度模型 People CMM：人力资源管理成熟度模型n 2002年，CMMI（CMM Integration）for SW/SE/IPPD/SS V1.1发布n 2006年，CMMI for Development V1.2北航计算机学院北航计算机学院50能力成熟模型应用范畴能力成熟模型应用范畴CMM能力成熟模型能力成熟模型SW-CMM软件能力成熟模型软件能力成熟模型SE-CMM系统工程能力成熟模型系统工程能力成熟模型SSE-CMMSSE-CMM信息系统安全工程能信息系统安全工程能力成熟模型力成熟模型SSAMSSAM信息系统安全工程能信息

31、系统安全工程能力成熟性模型力成熟性模型评估方法评估方法评定评定软件工程软件工程汽车、照相机、汽车、照相机、手表和钢铁业手表和钢铁业安全工程安全工程。SSAM: Systems Securtiy Engineering Capability Maturity Model Appraisal Method北航计算机学院北航计算机学院512. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院52能力成熟度模型能力成熟度模型过程能力过程能力方案：方案： 单个过程域或一系列过程域 组织机构可以灵活选择改进哪个过程域和改进至什么程度组织机构组织机构

32、成熟度方案成熟度方案 跨机构的一系列已建立的过程域 提供预定义路线图，组织机构基于已验证的过程组和顺序进行改进StagedML 1ML2ML3ML4ML5ContinuousPAPA过程域能力过程域能力0 1 2 3 4 5PA2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM2.1.2 能力成熟度模型基础能力成熟度模型基础北航计算机学院北航计算机学院53能力级别和成熟度级别能力级别和成熟度级别ContinuousContinuous StagedStaged能力级别能力级别成熟度级别成熟度级别0 0IncompleteIncompleteN/AN/A1 1P

33、erformedPerformedInitialInitial2 2ManagedManagedManagedManaged3 3DefinedDefinedDefinedDefined4 4Quantitatively ManagedQuantitatively ManagedQuantitativelyQuantitatively ManagedManaged5 5OptimizingOptimizingOptimizingOptimizing能力成熟度模型：能力成熟度模型：SSESSE-CMM-CMM（ISO/IEC IS 21827ISO/IEC IS 21827）北航计算机学院北航计

34、算机学院542. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院55 2.1.3 SSE-CMM概述 系统安全工程能力成熟模型（Systems Security Engineering Capability Maturity Model），描述了一个组织组织的系系统安全工程过程统安全工程过程必须包含的基本特征基本特征，这些特征是完善的安全工程保证保证，也是系统安全工程实施的度量标准，同时还是一个易于理解的评估系统安全工程实施的框架。 目的：促进安全工程成为一个确定的、成熟的和可度量的学科： 通过区分投标者的能力级别和相关的计划风险来选

35、择合格的安全工程提供商； 工程组把投资集中在安全工程工具、培训、过程定义、管理实施和改进上； 基于能力的保证，也就是说，信赖是基于对工程组织安全工程实践和过程成熟的信心 2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院56 2.1.3 SSE-CMM概述u安全系统和工程的特性 连续性连续性 - 以前获得的知识将用于将来 重复性重复性 - 保证项目可成功重复实施的方法 高效率性高效率性 - 可帮助开发者和评价者都更有效率工作的方法 保证保证 - 落实安全需求的信心u期待结果 改进可预见性可预见性 改进可控制性可控制性 改进过程有效性

36、过程有效性u安全工程对于任何工程活动均是清晰定义的、可管理的、可测量的、可控制的并且是高效率的。 SSE-CMM覆盖范围n SSE-CMM涉及到可信产品或者系统整个生命周期整个生命周期的安全工程活动，其中包括概念定义、需求分析、设计、开发、集成、安装、运行、维护和终止。n 整个组织，包括管理、组织和工程活动等；n 与其它规范并行的相互作用，包括系统、软硬件、人、测试工程、系统管理、运行和维护等；n 与其它组织的相互作用，包括获取、系统管理、认证认可和评估组织等；n SSE-CMM可应用于所有类型和大小的安全工程机构安全工程机构，如商务机构、政府机构和学术机构。2. 2. 安全工程能力成熟度模型

37、安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院57SSE-CMM适用对象u 工程组织（Engineering Organization） 包括系统集成商、应用开发商、产品和服务提供商； 工程组织利用其对自己的工程能力进行自我评估；u 采购组织（Acquiring Organization） 包括采购系统、产品以及从外部/内部资源和最终用户处获取服务的组织； 采购组织通过其来判别一个供应者组织的的系统安全工程能力，识别该组织供应的产品和系统的可信任性；u 评估组织（Evaluation Organization） 包括认证组织、系统授权组织、系统和产品评估组织等；

38、 评估组织使用SSE-CMM作为工作基础，以便建立被评估组织整体能力的信任度，该信任度是系统和产品的安全保证要素。北航计算机学院北航计算机学院582. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院592. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMMSSE-CMMSSE-CMM历史历史n 1993年4月美国国家安全局（NSA）开始酝量n 1996年10月出版了SSE-CMM模型的第一个版本，1997年4月出版了评定方法的第一个版本。n 从1996年6月到1997年6月进行许多实验项目 n 1999年

39、4月出版了第二版。n 目前，SSE-CMM V3.0n 2002年，ISO/IEC IS 21827北航计算机学院北航计算机学院60SSE-CMM基本概念u过程（Process） 为了达到某一给定目标而执行的一系列活动，这些活动可以重复、递归和并发的执行； 分为“充分定义过程”、“已定义过程”和“执行过程”。u过程区域（PA，Process Area） 是由一些基本实践（BP，Base Practice）组成的，这些BP共同实施以达到该PA的目标。这些BP是强制性的，只有全部成功执行，才能满足PA规定的目标； SSE-CMM包含三类过程区域：工程、项目和组织三类；u过程能力（Process C

40、apability） 是通过跟踪一个过程达到预期结果的可量化范围； 一个组织的过程能力可帮助组织预见项目达到目标的能力，低能力组织的项目在达到预定的成本、进度、功能和质量目标上会有很大变化；2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院612. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM2.2 SSE-CMM体系结构n SSE-CMM体系结构设计的目标是清晰的从管理和制度化特征中分离出安全工程的基本特征，采用域（Domain）和能力（Capability）的两维结构；n 横轴“域维”汇集了定义

41、安全工程的所有实践活动，包括大约60项基本实践（BP，Base Practice），这些BP又被组织成11个过程区域（PA）。11个PA可能出现在安全系统生命周期的各个阶段，并不规定其先后顺序；n 纵轴“能力维”代表组织能力，由过程管理与制度化能力构成。共设置6个能力级别，每个能力级别由一组能够反映过程能力变化的公共特征（CF，Common Feature）来定义，这些CF适用于所有PA，每一个CF又可以由若干项通用实践（GP，Generic Practice）来描述。北航计算机学院北航计算机学院622. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMMSSE-C

42、MMSSE-CMM模型模型n目的：在整个安全工程范围内决定安全工程组织的成熟性 n两维模型“域维” 由所有定义的安全工程过程区构成。这些实施活动称为“过程区”。“能力维”代表组织能力。这一维由过程管理和制度化能力构成。这些实施活动被称作“公共特征”，可在广泛的域中应用。执行一个公共特征是一个组织能力的标志。n通过设置这两个相互依赖的维，SSE-CMM在各个能力级别上覆盖了整个安全活动范围。n如果给每个PA赋予一个能力级别评分，所得到的两维图形便形象地反映一个工程组织整体上的系统安全工程能力成熟度，也间接的反映其工作结果的质量及其安全上的可信度。能力维（能力维（Capability Dimens

43、ion）公共特征（公共特征（Common Features）域维（域维（Domain Dimension）安全过程区（安全过程区（Security Process Areas）公共特征公共特征2.4跟踪执行跟踪执行PA 05评估脆弱性评估脆弱性543210PA01PA02PA03PA04PA05能力能力级别级别安全过程区域安全过程区域北航计算机学院北航计算机学院632.3 能力维/公共特征n SSE-CMM通过能力级别来确定组织执行、控制、支持和监视安全过程的成熟性；n 过程能力由一组通用实践（GP，Generic Practice）来衡量，是对所有过程通用的，强调对一个过程的管理、度量和制度

44、方面。能力维的GP按照成熟性排序，高级别的GP位于能力维的高端；n GP被组成12个称作公共特征（CF，Common Feature）的逻辑域，每个CF包括一个或多个GP；n 为了体现能力级别，将GP划分成5个等级，代表组织安全工程能力的不同层次；n 过程能力是用来度量各个过程区域PA的，而不是用来度量整个工程组织的，GP按其具有的公共特征和能力级别组织成三级结构。2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院64能力维能力维能力维能力维能力级别能力级别加强任何过程能力的实现和制度化实施 一组实施列出管理和制度化过程的相同方面

45、共同工作的一组公共特征主要加强执行一个过程的能力 公共特征公共特征通用实践通用实践2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院65计划执行计划执行规范化执行规范化执行跟踪执行跟踪执行验证执行验证执行定义标准过程定义标准过程协调安全实施协调安全实施执行已定义的过程执行已定义的过程建立可测量的建立可测量的质量目标质量目标客观地管理过客观地管理过程的执行程的执行1非正式非正式执行执行2计划与跟踪计划与跟踪3充分定义充分定义4量化控制量化控制5连续改进连续改进执行执行基本基本实施实施改进组织能改进组织能力力改进过程的改进过程的有效性有

46、效性能力级别：代表安全工程组织的成熟级别 公共特征公共特征仅要求一个过仅要求一个过程区域的所有程区域的所有基本实践都被基本实践都被执行，但对执执行，但对执行的结果无明行的结果无明确要求；确要求；强调过程执行强调过程执行前的计划和执前的计划和执行中的检查，行中的检查，使工程组织可使工程组织可以基于最终结以基于最终结果的质量来管果的质量来管理其实践活动；理其实践活动；要求过程区域要求过程区域包括的所有基包括的所有基本实践均应依本实践均应依照一组完善定照一组完善定义的操作规范义的操作规范来进行，即来进行，即“标准过程标准过程”；能够对工程组能够对工程组织的表现进行织的表现进行定量的度量和定量的度量和

47、预测。过程管预测。过程管理成为客观的理成为客观的和准确的实践和准确的实践活动活动为过程行为的为过程行为的高效和实用建高效和实用建立定量目标，立定量目标，可以准确地度可以准确地度量过程持续改量过程持续改善所收到的效善所收到的效益。益。2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院672. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM2.4 域维/过程区域u 系统安全工程涉及到三类过程区域PA，即工程（Enginee

48、ring PA）、组织（Organization PA）和项目（Project PA）过程区域。 组织和项目过程区域（共11个）并不直接同系统安全相关，在SE-CMM中定义，但常与SSE-CMM的11个工程过程区域一起用来度量系统安全队伍的过程能力成熟度。u SSE-CMM将工程过程区域分为三类，即风险过程、工程过程和保证过程； 4个风险过程：PA04评估威胁，PA05评估脆弱性，PA02评估影响，PA03评估安全风险； 5个工程过程：PA07，PA10，PA09，PA01，PA08； 2个保证过程：PA11，PA06；u 并不定义各过程区域在系统安全工程生命周期中出现的顺序，而是依照过程区域

49、的英文字母顺序编号；u 每个过程区域包括一组集成的基本实践（BP，Base Practice），BP定义了实现过程区域目标的必要活动，代表业界的最佳惯例。2. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM北航计算机学院北航计算机学院68北航计算机学院北航计算机学院692. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM域维域维过程类域维域维Base PracticesBase PracticesBase PracticesBase PracticesBase Practices基本实践Process AreasProcess A

50、reasProcess Areas过程区工程和安全实施是安全工程过安全工程过程中必须存在的性质，程中必须存在的性质，指出特殊过程区的目的并属于该过程区 每个过程区（每个过程区（PAPA）是一组相关）是一组相关安全工程过程的性质，当这些安全工程过程的性质，当这些性质全部实施后则能够达到过性质全部实施后则能够达到过程区定义的目的。程区定义的目的。一组过程区指出活动的同一通用区 北航计算机学院北航计算机学院702. 2. 安全工程能力成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM工程过程区域工程过程区域核实和确认安全（Verify and Validate Security）PA11明