系统安全工程能力成熟度模型.ppt

系统安全工程能力成熟度模型 各个小节情况 3 1安全工程概述3 2SSE CMM 系统安全工程能力成熟度模型 基础3 3SSE CMM的体系结构3 4SSE CMM应用 3 1安全工程概述 随着社会对信息依赖程度的增长 信息的保护变得越来越重要 网络 计算机 业务应用甚至企业间的广泛互联和互操作特性正在成为产品和系统安全的主要驱动力 安全的关注点已从维护保密的政府数据 到更广泛的应用 如金融交易 合同协议 个人信息和互联网信息 因此 非常有必要考虑和确定各种应用的潜在安全需求 潜在的需求实例包括信息或数据的机密性 完整性和可用性等直至系统安全的保障 3 1安全工程概述 信息系统安全工程是美国军方在20世纪90年代初发布的信息安全工程方法 其重点是通过实施系统工程过程来满足信息保护的需求 主要包括 发掘信息保护需求 定义信息保护系统 设计信息保护系统 实施信息保护系统 评估信息保护系统的有效性 3 1 1安全工程 安全工程涉及到系统和应用的开发 集成 操作 管理 维护和进化以及产品的开发 交付和升级等各个方面 在企业和商务过程中的定义 管理和重建中必须强调安全的因素 这样安全工程才能够在系统 产品或服务中得以体现 安全工程是一个正在进化的项目 经过总结 SSE CMM认为安全工程是一个正在不断发展的学科领域 当前尚不存在一个精确的 得到业界一致认可的安全工程定义 3 1 1安全工程 然而 SSE CMM还是通过对安全工程的目标概述而对安全工程做了全方位刻画 获取对企业的安全风险的理解 根据已识别的安全风险建立一组平衡的安全要求 将安全要求转换成安全指南 将其集成到一个实施的活动中和系统配置或运行的定义中 3 1 1安全工程 在正确有效的安全机制下建立信心和保证 判断系统中和系统运行时残留的安全脆弱性对运行的影响是否可容忍 即可接受的风险 将所有项目和专业活动集成到一个可共同理解系统安全可信性的程度 3 1 2安全工程的相关概念 1 安全工程组织各种不同类型的组织都会涉及到安全工程活动 包括 开发者 产品销售商 购买者 获取组织或最终用户 安全评估组织 系统认证者 产品评估者和运行许可批准者 集成商 系统管理员 可信第三方 认证授权 咨询 服务组织 2 安全工程的生命周期 在整个生命周期中执行的安全工程活动如下 前期概念 开发和定义 证明与证实 工程实施 开发和制造 生产和部署 运行和支持 淘汰 3 安全工程与其他项目的关系 安全工程活动与许多其他项目息息相关 包括企业工程 系统工程 软件工程 人力因素工程 通信工程 硬件工程 测试工程和系统管理等 因为运行安全的保证和可接受性是开发者 集成商 买主 用户 评估机构和其他组织之间建立的 所以安全工程活动必须要与其他外部实体进行协调 也正是因为存在这些与其他部分的接口并贯穿于组织的各个方面 所以安全工程比其他工程更加复杂 4 安全工程的特点 下面列出了一些有可能需要的安全相关领域 运行安全运行环境的安全以及对安全运行态势的维护 信息安全涉及到信息及其在操作和处理中的安全维护 网络安全涉及到网络硬件 软件和协议的保护 包括网络上通信信息的安全 物理安全侧重于建筑物和物理场所的保护 4 安全工程的特点 人员安全与人有关 还涉及到人员的可信度及他们对安全问题的意识 管理安全涉及到安全的管理因素和管理系统的安全 通信安全与安全域之间的信息通信有关 尤其是信息在传输介质上流动时的保护 辐射安全涉及到所有机器设备产生的不期望的电磁信号 这些电磁信号可能会将信息传输到安全域外部 计算机安全尤其涉及到各种类型的安全计算设备 4 安全工程的特点 SSE CMM对安全工程特点的考察是有积极意义的 不过 虽然SSE CMM声称将从这些安全领域汲取营养 但它显然将安全工程与这些安全领域进行了分离 这种分离对于及时确立安全工程范畴和重点是必要的 但不利于从整体上看待信息安全问题 这也是其后信息安全界不得不横向比较各类信息安全方法的原因 3 2SSE CMM基础 3 2 1SSE CMM简介 SSE CMM是一种衡量系统安全工程实施能力的方法 是一种使用面向工程过程的方法 SSE CMM模型抽取了一组好的工程实施并定义了过程的能力 SSE CMM主要用于指导系统安全工程的完善和改进 使系统安全工程成为一个清晰定义的 成熟的 可管理的 可控制的 有效的和可度量的学科 3 2 1SSE CMM简介 SSE CMM模型是系统安全工程实施的度量标准 它覆盖了 工程的整个生命周期 包括工程开发 运行 维护和终止 管理 组织和工程活动等的组织 与其他规范如系统 软件 硬件 人的因素 测试工程 系统管理 运行和维护等规范并行的相互作用 与其他组织 包括获取 系统管理 认证 认可和评估组织 的相互作用 3 2 1SSE CMM简介 SSE CMM模型及其评价方法可达到以下几点目的 将投资主要集中于安全工程工具开发 人员培训 过程定义 管理活动及改善等方面 基于能力的保证 也就是说这种可信性建立在对一个工程组织的安全实施与过程成熟性的信任之上的 通过比较竞标者的能力水平及相关风险 可有效地选择合格的安全工程实施者 3 2 1SSE CMM简介 SSE CMM描述的是 为确保实施较好的安全工程 过程必须具备的特征 SSE CMM描述的对象不是具体的过程或结果 而是工业中的一般实施 3 2 1SSE CMM简介 这个模型是安全工程实施的标准 它主要涵盖以下内容 它强调的是分布于整个安全工程生命周期中各个环节的安全工程活动 包括概念定义 需求分析 设计 开发 集成 安装 运行 维护及更新 它应用于安全产品开发者 安全系统开发者及集成者 还包括提供安全服务与安全工程的组织 它适用于各种类型 规模的安全工程组织 如商业 政府及学术界 3 2 1SSE CMM简介 SSE CMM适用于开发者 评估者 系统集成者 系统管理者 各类安全专家等 根据目标读者的不同 可选择使用该标准已定义的一组安全工程实施过程 换句话说 SSE CMM模型适用于所有从事某种形式安全工程的组织 可以不必考虑产品的生命周期 组织的规模 领域及特殊性 3 2 1SSE CMM简介 这一模型通常以下述三种方式来应用 过程改进 可以使一个安全工程组织对其安全工程能力的级别有一个认识 于是可设计出改善的安全工程过程 这样就可以提高他们的安全工程能力 能力评估 使一个客户组织可以了解其提供商的安全工程过程能力 保证 通过声明提供一个成熟过程所应具有的各种依据 使得产品 系统 服务更具可信性 3 2 1SSE CMM简介 目前 SSE CMM已经成为西方发达国家政府 军队和要害部门组织和实施安全工程的通用方法 是系统安全工程领域里成熟的方法体系 在理论研究和实际应用方面具有举足轻重的作用 1 CMM概述 CMM的级别可以定义为5个级别 初始级 一般企业皆具有 可重复级 成功的经验可以重复 定义级 一套完整的企业过程 人员自觉遵守 管理级 过程与产品可度量和控制 优化级 过程持续改进 1 初始级别 初始级别 该级别处于混沌的状态 此时不具备稳定的环境用于软件开发和维护 缺乏健全的管理惯例 其软件过程能力无法预计 软件过程是一片混沌 软件过程总是随着软件开发工作的推进而处于变更和调整中 2 可重复级 软件开发的首要问题不是技术问题而是管理问题 因此 可重复级的焦点集中在软件管理过程上 一个可管理的过程则是一个可重复级的过程 一个可重复级的过程则能逐渐进化和成熟 该管理过程包括了需求管理 项目管理 质量管理 配置管理和子合同管理五个方面 3 定义级 定义级的每个阶段内部活动可见 共有7个 关键过程域 分别是机构过程关注 机构过程定义 培训计划 集成软件管理 软件产品工程 组间协调和对等审查 只有当达到了第 级能力成熟度时 才表明这个软件组织的软件能力 成熟 了 4 管理级 第四级的管理是量化的管理 设定定量的质量目标 所有过程都需要建立相应的度量方式 所有产品的质量需有明确的度量指标 这些度量是详尽的 且可用于理解 控制软件过程和产品 这种量化控制将使软件开发真正成为工业生产活动 5 优化级 第五级的目标是达到一个持续改善的境界 是持续优化级 可根据过程执行的反馈信息来改善下一步的执行过程 即优化执行步骤 如果一个企业达到这个级别 那么表明该企业能够根据实际的项目性质 技术等因素 不断调整软件生产过程来达到最佳 2 SSE CMM的发展 1994年4月启动的SSE CMM项目 力求在原有CMM 能力成熟度模型 的基础上 通过对安全工作过程进行管理的途径将系统安全工程转变为一个完好定义的 成熟的 可测量的先进学科 1996年10月 模型第一版问世 主管单位随即选择了五家公司对模型进行了长达一年的试用 并依据试用经验 将模型进行了几次更新 2 SSE CMM的发展 1998年10月 SSE CMM的2 0版本公布使用 稍后提交国际标准化组织申请作为国际标准 2002年 国际标准化组织正式公布了系统安全能力成熟度模型的标准 即ISO IEC21827 2002 InformationTechnology SystemSecurityEngineering CapabilityMaturityModel SSE CMM 3 SSE CMM的用户 安全的趋势是从保护要害部门的保密数据转向广泛的领域 其中包括金融交易 合同 个人信息和互联网 因此用于维护和保护这些信息的产品 系统和服务开始迅速发展 这些安全产品和系统进入市场一般有两种途径 通过长周期且昂贵的评定后进入市场或者不加评估就进入市场 3 SSE CMM的用户 对于前者 安全产品无法及时进入市场来满足用户安全需求 当进入到市场后 产品所具有的安全功能就解决的威胁而言已经过时 对于后者 购买者和用户只能依赖于产品或系统开发者或操作者的安全说明 这造成市场上的安全工程服务都将基于这种空洞的无法律依据的基础 3 SSE CMM的用户 这种情况要求组织以一个更成熟的方式来实施安全工程 特别地 在安全系统和安全产品生产以及操作过程中要求以下特性 连续性 以前获得的知识将用于将来 重复性 保证项目可成功重复实施的方法 有效性 可帮助开发者和评价者都更有效工作的方法 保证 落实安全需求的信心 2 SSE CMM的用户 SSE CMM标准适用于可信产品或系统整个生命期的安全工程活动 其中包括概念定义 需求分析 设计 开发 集成 安装 运行 维护和终止 也可用于安全产品开发者 安全系统开发者 集成商和提供安全服务和安全工程的组织机构 还可应用于所有类型和大小的安全工程机构 如商务机构 政府机构和学术机构 概括起来 SSE CMM主要适用于安全的工程组织 获取组织和评估组织 3 SSE CMM的用户 安全工程组织包含系统集成商 应用开发商 产品提供商和服务提供商 工程组织使用SSE CMM对组织的工程能力进行自我评估 从而使组织通过可重复和可预测的过程和实施来减少返工 提高质量并且降低成本 通过自我评估获得真正的工程能力认可并且可度量组织的资质 成熟度 使组织非常明确过程和实施中不断的改进方法 3 SSE CMM的用户 安全获取组织包含采购系统 产品 以及从外部 内部资源和最终用户获取服务的组织 获取组织使用SSE CMM来判断一个供应者组织的系统安全能力 识别该组织供应的产品和系统的可信任性 以及完成一个工程的可信任性 从而达到以下目的 减少选择不合格投标者的风险 包括性能 成本 工期等风险 有了工业标准的统一评估 减少争议 3 SSE CMM的用户 在产品生产或提供服务过程中 建立起可预测和可重复的可信度 有可重用的标准的提案请求语言 以便对供应者迅速而准确地提出需求 有可重用的标准的评估方法 3 SSE CMM的用户 安全评估组织包含认证组织 系统授权组织 系统和产品评估组织等 评估组织使用SSE CMM作为工作基础 以建立被评组织整体能力的信任度 3 SSE CMM的用户 这个信任度是系统和产品的安全保证要素 评估组织使用SSE CMM的目的如下 获得独立于系统或产品的可重用的过程评定结果 获得能力表现的可信度 减少评估工作量 建立系统安全工程中的可信任度 建立系统安全工程集成于其他工程中的可信任度 4 SSE CMM的项目组织 SSE CMM项目进展来自于安全工程业界 美国国防部办公室和加拿大通信安全机构积极参与和共同的投入 并得到NSA 国家安全局 的部分赞助和配合 SSE CMM项目组织结构包括一个指导组 评定方法组 模型维护组 生命期支持组 轮廓 保证和度量组 赞助 规划和采用组以及关键人员评审和业界评审 SSE CMM项目结构如下图所示 图SSE CMM项目组织 指导组 评定方法组 轮廓 保证和度量组 模型维护组 赞助 规划和采用组 生命期支持组 关键人员评审 业界评审 4 SSE CMM的项目组织 指导组在促进SSE CMM被广泛接受和采纳的同时 监督指导SSE CMM的工作过程 产品定义和项目进展 评定方法组负责维护SSE CMM的评定方法 其中包括开发第三方的评定方法 当需要时 评定方法组还负责计划 支持和分析一个实验程序来测试第三方的评定方法 轮廓 保证和度量组的任务是调查和确认轮廓的概念 确定并文档化SSE CMM实施保证的作用 鉴别和验证关于使用SSE CMM的安全和过程的度量方式 4 SSE CMM的项目组织 模型维护组负责维护模型 包括确保过程区覆盖所有业界内的安全活动 将SSE CMM与其他模型的冲突减少到最少 在模型文档中精确描述SSE CMM与其他模型的关系 赞助 规划和采用组负责贯彻赞助选择 在需要时 包括为一个组织进行计划和定义以维护SSE CMM 并开发和维护完整的项目时间表 促进和促使各种感兴趣的团体使用SSE CMM 4 SSE CMM的项目组织 生命期支持组负责开发和建立一个评定者资格和评定组织可比性机制 负责设计和实现一个数据库 用于维护评估数据以及准备和发布如何解释和维护这些数据的指南 关键人员评审提供正式评审责任承诺并按时提供对SSE CMM项目工作产品的评审意见 业界评审也可以评审工作产品 但无须正式的责任承诺 3 2 2系统安全工程过程 SSE CMM将安全工程划分为3个基本的过程区域 即风险 工程和保证 如下图所示 图安全工程过程的3个主要部分 3 2 2系统安全工程过程 人们可以独立地考虑它们 但这绝不意味它们之间有截然不同的区分 在最简单的级别上 风险过程识别出所开发的产品或系统的危险性 并对这些危险性进行优先级排序 3 2 2系统安全工程过程 针对危险性所面临的问题 安全工程过程要与其他工程一起来确定和实施解决方案 最后 由安全保证过程来建立对最终实施的解决方案的信任并向顾客转达这种安全信任 这3个部分共同实现了安全工程过程所要达到的安全目标 1 风险 安全工程的主要目标是降低风险 风险就是有害事件发生的可能性 风险评估的过程如下图所示 图风险评估的过程 1 风险 安全措施的实施可以减轻风险 安全措施可以针对威胁 脆弱性 影响和风险自身 但不能消除所有威胁或根除某个具体威胁 这主要是因为风险消除的代价和相关的不确定性 因此 必须接受残留的风险 在存在很高的不确定情况下 风险不精确的本质使得接受残留的风险成为很大的难题 1 风险 一个不确定因素发生的可能性依赖于具体情况 这就意味着这种可能性仅能在某种限制下预测 此外 对一种具体风险的影响评估也要考虑各种不确定因素 就像有害事件并不一定产生一样 因此大多数因素是不能被综合起来准确预报的 在很多情况下 不确定因素的影响是很大的 这会使对安全的计划和判断工作变得非常困难 1 风险 有害事件由3个部分组成 即威胁 脆弱性和影响 如果不存在脆弱性和威胁 则不存在有害事件 也就不存在风险 风险管理是调查和量化风险的过程 而且建立了组织对风险的承受级别 它是安全管理的一个重要部分 2 工程 安全工程与其他项目一样 它是一个包括概念 设计 实现 测试 部署 运行 维护和退出的完整过程 工程过程如下图所示 风险信息 图3 4安全工程过程 2 工程 在这个过程中 安全工程的实施必须紧密地与其他部分的系统工程组合作用 SSE CMM强调安全工程师是一个大的项目队伍中的一部分 需要与其他项目工程师的活动相互协调 这会有助于保证安全成为一个大的项目过程中的一部分 而不是一个分开的独立活动 2 工程 安全工程师可以使用上述风险过程的信息和关于系统需求 相关法律和政策的其他信息 与顾客一起提出安全需求 一旦需求被提出 安全工程师就可以识别和跟踪特定的安全需求 对于安全问题 创建安全解决方案一般包括提出可能选择的方案 然后评估决定哪一种更可以被接受等过程 2 工程 将这个活动与后面工程活动相结合的难点是解决方案不能只考虑安全问题 还需要考虑其他因素 其中包括成本 性能 技术风险和是否容易使用等 这些决定应加以收集 尽可能减少重复 在生命期后面的阶段 安全工程师根据监控到的风险来适当地配置系统 以确保新的风险不会使系统运行处于不安全状态 3 保证 保证是指安全需要得到满足的信任程度 它是安全工程非常重要的产品 得到保证的过程如下图所示 验证并证实安全 其他过程 证据 构成保证论据 图得到保证的过程 3 保证 安全保证可以看作是安全措施按照要求运行的信心 这种信息来自于正确性和有效性 正确性保证了安全措施按设计实现需求 有效性则保证了提供的安全措施可充分地满足顾客的安全需要 安全机制的强调也会起作用 但会受到保护级别和安全保证程度的制约 3 保证 安全保证通常以安全论据的形式出现 安全论据包括一组系统性质的要求 这些要求都要有证据来支持 证据是在安全工程活动的正常过程期间获得的并常常记录在文档中 3 2 3SSE CMM的基本概念 为了有助于理解SSE CMM 下面将介绍一些SSE CMM的基本概念 1 组织和项目7 角色独立性2 系统8 过程能力3 工作产品9 制度化4 顾客10 过程管理5 过程11 能力成熟度模型6 过程区 3 2 3SSE CMM的基本概念 1 组织和项目组织和项目这两个术语在SSE CMM中使用的目的是区分组织结构的不同方面 之所以选择这两个术语 是由于大多数使用SSE CMM的人都在使用它们 1 组织和项目 a 组织就SSE CMM而言 组织被定义为公司内部的单位 整个公司或其他实体 如政府机构或服务分支机构 在组织中存在许多项目并作为一个整体加以管理 组织内的所有项目一般遵循上层管理的公共策略 一个组织机构可能由同一地方分布的或地理上分布的项目与支持基础设施所组成 1 组织和项目 b 项目项目是各种实施活动和资源的总和 这些实施活动和资源用于开发或维护一个特定的产品或提供一种服务 产品可能包括硬件 软件及其他部件 一个项目往往有自己的资金 成本账目和交付时间表 为了生产产品或提供服务 一个项目可以组成自己专门的组织 或是由组织建立项目组 特别工作组或其他实体 2 系统 在SSE CMM中 系统可以有如下几种解释 提供某种能力用以满足一种需要或目标的人员 产品 服务和过程的综合 事物或部件的汇集形成了一个复杂或单一整体 即一个用来完成一个特定或一组功能组件的集合 功能相关的元素相互组合 2 系统 一个系统可以是一个硬件产品 硬软件组合产品 软件产品或是一种服务 在整个模型中 系统 是指需要提交给顾客或用户产品的总和 3 工作产品 工作产品是指在执行任何过程中产生出的所有文档 报告 文件和数据等 SSE CMM不为每一个过程区列出各自的工作产品 而是按特定的基本实施列出 典型的工作产品 其目的在于对所需的基本实施范围做进一步定义 列举的工作产品只是说明性的 目的在于反映组织机构和产品的范围 4 顾客 顾客是需要第三方为其提供产品开发或服务的个人或实体组织 顾客也包括使用产品和服务的个人和实体组织 SSE CMM涉及的顾客可以是经商议的或未经商议的 经商议是指依据合同来开发基于顾客规格的一个或一组特定的产品 未经商议是指市场驱动的 即市场真正的或潜在的需求 4 顾客 注意 在SSE CMM环境中 使用产品或服务的个人或实体也属于顾客的范畴 这是和经商议的顾客相关的 因为获得产品和服务的个人和实体并不总是使用这些产品或服务的个人或实体 5 过程 一个过程是指为了一个给定目的而执行的一系列活动 这些活动可以重复 递归和并发地执行 有的活动将输入工作产品转换为输出工作产品提供给其他活动 一个充分定义的过程包括活动定义 每个活动的输入输出定义以及控制活动执行的机制 5 过程 在SSE CMM中涉及到几种类型的过程 其中包括 定义 和 执行 过程 定义的过程是安全工程师计划要执行的过程 执行过程是安全工程师实际实施的过程 6 过程区 一个过程区 ProcessArea PA 是一组相关安全工程过程的特征 当这些特征全部实施后 将能够达到过程区定义的目的 一个过程区由基本实施 BasePractices BP 组成 这些基本实施是安全工程过程中必须存在的特征 只有当所有这些特征完全实现后 才能满足这个过程区的要求 7 角色独立性 SSE CMM的过程区是由许多实施活动组成的 当把它们结合在一起时 会达到一个共同目的 但实施组合的概念并不意味着一个过程的所有基本实施必须由一个个体或角色来完成 所有的基本实施均以动 宾格式构造 即没有特定的主语 以便尽可能淡化一个特定的基本活动属于一个特定的角色的理解 8 过程能力 过程能力是指遵循一个过程而达到的可量化范围 SSE CMM评定方法 SSAM 是一种基于统计过程控制的概念 SSAM可用于项目或组织内每个过程区能力级别的确定 一个组织的过程能力可帮助预见项目目标的可能结果 低过程能力组织的项目在达到预定的成本 进度 功能和质量目标上会有很大的变化 9 制度化 制度化是建立方法 实施和步骤的基础设施和组织文化 即使最初定义的人已离开 制度化仍会存在 制度化提供了通过完善的安全工程性质获得最大益处的途径 10 过程管理 过程管理是一系列用于预见 评估和控制过程执行的活动和基础设施 过程管理意味着过程已定义好 因为无人能够预见或控制未加定义的东西 注重过程管理的含义是项目或组织在计划 执行 评估 监控和校正活动中既要考虑产品相关因素 也要考虑过程相关因素 11 能力成熟度模型 CMM通过确定当前特定过程的能力和在一个特定域中识别出关键的质量和过程改进问题 CMM可以以参考模型的形式来指导开发和改进成熟的和已定义的过程 CMM也可用来评定已定义的过程的存在性和制度化 该过程执行了相关的实施 3 3SSE CMM的体系结构 SSE CMM体系结构的设计是可在整个安全工程范围内决定安全工程组织的成熟性 这个体系结构的目标是清晰地从管理和制度化特征中分离出安全工程的基本特征 为了保证这种分离 这个模型是二维的 分别称为 域 Domain 和 能力 Capability 这个模型要求一个组织机构要有一个适当的过程 这个过程应包括这个模型中所描述的基本安全实施部分 3 3 1基本模型 域维 DomainDimension 或许是两个维中较容易理解的 它仅仅由所有定义安全工程的过程区构成 这些实施活动称为 过程区 PA 能力维 CapabilityDimension 代表组织能力 它由过程管理和制度化能力构成 这些实施活动被称为 公共特征 CommomFeatures 可在广泛的域中应用 3 3 1基本模型 通过设置这两个相互依赖的维 SSE CMM在各个能力级别上覆盖了整个安全活动范围 例如 在下图中 评估脆弱性 过程区显示在横坐标中 过程区 3 3 1基本模型 这个过程区代表了所有涉及到安全脆弱性评估的实施活动 这些实施活动是安全风险过程的一部分 跟踪执行 公共特征显示在纵坐标上 它代表了一组涉及到测量的实施活动 这些测量相对于可用计划的过程实施活动 3 3 1基本模型 因此 上图中的每一个方框表示一个组织执行某些安全工程过程的能力 如黑色方框表示组织跟踪执行评估脆弱性过程的能力 通过按这个方式收集安全组织的信息 可建立执行安全工程能力的能力轮廓 3 3 2安全过程区 SSE CMM包括了11个安全工程过程区 这些过程区覆盖了安全工程的主要领域 有许多对安全工程范畴的过程区进行划分的方式 一种可能的做法是将真实世界模型化 创建匹配安全工程服务的过程区 其他的策略可以是识别概念域 这些域形成基本安全工程建筑模块 SSE CMM当前的过程区集合是这些竞争性目标的折中 3 3 2安全过程区 每一个过程区包括一组表示组织成功执行过程区的目标 每一个过程区也包括一组集成的 基本实施 BP 基本实施定义了取得过程区目标的必要步骤 一个过程区 汇集一个域中的相关活动 便于使用 包括有关有价值的安全工程服务 可在整个组织生命期中应用 能在多组织和多产品范围内实现 能作为一个独立过程的改进 能够由类似过程兴趣组进行改进 包括所有需要满足过程区目标的BP 3 3 2安全过程区 由于一些本质相同的活动有不同的名字 因此识别安全工程的BP变得复杂 一些活动出现在生命期的后期 以不同抽象层次或由不同角色的个人来执行 SSE CMM忽略这些差别 仅仅识别基本的 好的安全工程所需要的实施集 因此 如果一个组织机构仅仅在设计阶段或在单一抽象级别上工作 则不 执行 BP 3 3 2安全过程区 现在我们将SSE CMM包括的过程区列举如下 一共11个 注意 下面的过程区是按字母顺序排列的 这是为了避免按生命期或按区域方式排列各个过程区 3 3 2安全过程区 1 PA01管理安全控制其目的在于保证集成到系统设计中的预期的系统安全性确实由最终系统在运行状态下达到 包括四个方面 明确安全职责 管理安全配置 管理培训教材 管理安全服务及控制机制 2 PA02评估影响目的在于识别对系统有关的影响 并对发生影响的可能性进行评估 影响可能是有形的 也可能是无形的 应对影响系统的因素进行优先级排序并实时监控影响的变化 3 PA03评估安全风险性识别某一给定环境中涉及到对某一系统有依赖关系的安全风险 评估暴露的风险 对风险进行优先级排序并监视风险的变化特征 3 3 2安全过程区 4 PA04评估威胁目的是对系统安全的威胁和特征进行识别并标识 评估威胁的影响 并监视威胁的特征变化 5 PA05评估脆弱性本过程首先要识别脆弱性 收集相关证据 然后评估各种脆弱性对系统的影响 进而监视脆弱性的特征变化趋势 6 PA06建立安全论据本过程包括确定保证目标 定义保证策略 提供保证证据 控制保证论据等多个方面 3 3 2安全过程区 7 PA07协调安全性目的在于保证所有相关方都有参与安全工程的意识 这种协调工作涉及到保证所有相关组织之间的开放式交流和沟通 8 PA08监视安全态势目的在于识别出所有已发生和可能发生的安全违规 监视可能影响系统安全的内 外环境因素 9 PA09提供安全输入目的在于为系统的策划者 设计者 实施者或用户提供所需的安全信息 这些信息包括安全体系结构 安全设计和安全实施多个方面 3 3 2安全过程区 10 PA10确定安全要求目的在于明确地识别出与系统安全相关的要求 包括顾客的要求 法律法规的要求等 并最终达成安全协议 11 PA11确认与证实安全目的在于确保解决安全问题的办法已得到验证和证实 应该确定目标 选择方法 收集证据 执行验证并得到结论 3 3 3公共特征 通用实施由称为 公共特征 的逻辑域组成 公共特征分为5个级别 依次表示增加的组织能力 与域维基本实施不同的是 能力维的通用实施按成熟性排序 因此表示高级别的通用实施位于能力维的高端 公共特征设计的目的在于描述组织机构执行工作过程 即这里的安全工程范畴 的主要点 每一个公共特征包括一个或多个通用实施 3 3 3公共特征 通用实施可应用到每一个过程区 SSE CMM应用范畴 但第一个公共特征 执行基本实施 是个例外 其余的公共特征中的通用实施可帮助确定项目管理好坏的程度 并可将每一个过程区作为一个整体加以改进 3 3 4能力级别 将通用实施划分为公共特征 将公共特征划分为能力级别有多种方法 公共特征的排序得益于对现有其他安全实施的实现和制度化 特别是当实施活动有效建立时尤其如此 一个组织应首先尝试对一个项目规模评估过程后 再将其规定为这个组织的过程规范 3 3 4能力级别 公共特征和能力级别无论在评估一个组织过程能力还是改进组织过程能力时都是重要的 当评估一个组织能力时 如果这个组织只执行了一个特定级别的一个特定过程的部分公共特征时 则这个组织对这个过程而言 处于这个级别的最底层 如果高级别的公共特征在一个组织中实施 但其低级别的公共特征未能实施 则这个组织不能获得该级别的所有能力带来的好处 3 3 4能力级别 当一个组织希望改进某个特定过程能力时 能力级别的实施活动可为实施改进的组织提供一个 能力改进路线图 对每一个过程区能力级别的确定 均需执行一次评估过程 这意味着不同的过程区能够或可能存在不同的能力级别 组织可利用这个面向过程的信息 作为侧重于这些过程改进的手段 组织改进过程活动的顺序和优先级应在业务目标里加以考虑 3 3 4能力级别 能力级别代表工程组织的成熟度级别 如下图所示 其中 SSE CMM包含了5个级别 这5个级别的基本内容叙述如下 1非正规实施级 2规划与跟踪级 3充分定义级 4量化控制级 5持续改进级 执行基本实施 规划执行规范化执行确认执行跟踪执行 定义标准过程执行定义的过程协调安全实施 建立可测量的质量标准对执行情况实施客观管理 改进组织能力改进过程的效能 图能力级别代表安全工程组织的成熟度级别 3 3 4能力级别 1级 非正规实施级这个级别着重于一个组织或项目只是执行了包含基本实施的过程 这个级别的能力特点可以描述为 必须首先做它 然后才能管理它 2级 规划和跟踪级这个级别着重于项目层面的定义 规划和执行问题 这个级别的能力特点可描述为 在定义组织层面的过程之前 先要弄清楚与项目相关的事项 3级 充分定义级这个级别着重于规范化地裁剪组织层面的过程定义 这个级别的能力特点可描述为 用项目中学到的最好的东西来定义组织层面的过程 3 3 4能力级别 4级 量化控制级这个级别着重于测量 测量是与组织业务目标紧密联系在一起的 这个级别的能力特点可以描述为 只有知道它是什么 才能测量它 和 当被测量的对象正确时 基于测量的管理才有意义 3 3 4能力级别 5级 持续改进级这个级别从前面各级的所有管理活动中获得发展的力量 并通过加强组织的文明保持这种力量 这一方法强调文明的转变 这种转变又将使方法更有效 这个级别的特点可以描述为 持续性改进的文明需要以完备的管理实施 已定义的过程和可测量的目标作为基础 3 3 5体系结构的组成 上面已经简单地介绍了域维和能力维中的实施活动 现在来描述它们怎么组成模型体系结构 以及能力轮廓 如图下图所示 体系结构的横坐标为过程区 即域维 纵坐标为能力级别 即能力维 这是一个平面坐标系 域方面 基本实施 过程区 过程类 通用实施 公共特征 能力方面 54321 PAPAPAPAPAPAPAPAPA010203040506070810 能力等级 体系结构图 3 3 5体系结构的组成 上图右下角的图为某个组织的能力轮廓 这个图中纵坐标体现了能力的5个级别 横坐标中包含了10个过程区 这个能力轮廓说明了这个组织的能力并不成熟 它有4个过程区 PA01 PA06 PA07 PA10 只有1级 PA03过程区根本没有实施 过程区中执行较好的只有PA02 PA04和PA08 为能力级别3 3 4SSE CMM应用 3 4 1SSE CMM的应用方式3 4 2用SSE CMM改进过程 3 4 1SSE CMM的应用方式 SSE CMM提供了一套业界范围内的标准度量体系 其目的在于建立和促进安全工程成为一种成熟的 可度量的科目 SSE CMM模型及评定方法确保了安全是处理硬件 软件 系统和组织安全问题的工程实施活动后得到的一个完整结果 1 SSE CMM使用范围 有各类组织从事安全工程 其中包括产品开发者 服务提供者 系统集成者 系统管理者 直至安全专家 其中部分组织处理高层问题 处理运行使用或系统体系结构有关的问题 部分组织处理底层问题 机制选择和设计 还有一部分组织涉及这两个层面 SSE CMM的设计可用于所有这些组织 采用SSE CMM并不意味着侧重其中某一个方面优于另一个方面 也不意味着SSE CMM所有方面都需采用 1 SSE CMM使用范围 根据组织关注的焦点 可采用部分而不是全部的已定义安全工程实施过程 此外 组织可能会需要了解不同实施的关系来确定实施过程的适用性 下面说明SSE CMM实施活动如何应用于具有不同业务焦点的组织或团体 1 裁剪SSE CMM SSE CMM模型所定义的元素均认为是安全工程实施的本质要素 但是 并非所有项目和组织需要实施SSE CMM的所有过程区 因此 对于特定项目应该使用裁剪过程以去掉组织安全工程过程中不必要的过程区 使用任何参考模型的任何过程改进均应支持商务目标 而不是指导商务目标 使用SSE CMM的组织应根据商务目标来划分过程区实施的优先顺序 并首先致力于改进最高优先级的过程区 1 裁剪SSE CMM 需要注意的是 裁剪是在过程区的层面上执行的 为了达到一个过程区的目标 应遵循把所有的基本实施都放在适当的位置的思想来策划工程过程 2 安全服务提供者 为测量一个组织的从事风险评估的过程能力 会涉及多个组参与活动 在系统开发或集成期间 需要评估该组织决定与分析安全脆弱性的能力 并且评估运行的影响 在这种运行情况下 评估组织对系统安全态势监控的能力 识别并分析安全脆弱性 以及评估运行的影响 3 防范措施开发者 在一个组以开发防范措施为主的情况下 组织的过程能力使用SSE CMM的实施组合来特征化 该模型包含的实施活动有决定和分析安全脆弱性 评估操作影响和为其他组织 如软件组织 提供输入和指南 提供开发防范措施的服务组织需要理解上述实施间的关系 4 产品开发者 SSE CMM包括致力于获得顾客安全要求的实施 这些安全要求需通过与用户的交互来确定 安全工程的实施者认识到产品开发的环境和方法如同产品本身一样是可变化的 一些已知的关于产品和项目环境的问题会影响到产品的构想 生产 交付和维护 以下问题对SSE CMM具有重要影响 顾客群类型 产品 系统或服务 保证需求 高或低 支持开发和运行的组织 5 特殊的工业部门 每个工业都有自身特殊的文化 术语和交流模式 为减少角色相关性和组织结构的影响 SSE CMM期望能容易地将其概念转化为所有工业部门自身的语言和文化 2 使用SSE CMM进行评定 SSE CMM支持范围广泛的改进活动 包括自身管理评定 或由从内部或外部组织的专家进行的更强要求的内部评定 1 SSE CMM评定大纲SSE CMM的开发是基于如下考虑的 即安全性通常在系统工程相关环境 如大的系统集成者 中实施 1 SSE CMM评定大纲 因此识别出下述评定大纲 系统工程能力评定后 SSE CMM评定可集中于组织的安全工程过程 通过与系统工程能力评定的结合 SSE CMM评定可被裁剪以与SE CMM 系统工程能力成熟度模型 集成 当执行独立的系统工程能力评定时 SSE CMM的评定应从高于安全性的角度 考虑是否存在支持安全工程的过程项目和组织基础 2 SSE CMM评定方法 SSAM SSE CMM评定方法 SSAM 和进行评定的一些支持材料在 SSE CMM评定方法描 SSECMM97 文件中有全面的描述 SSAM是组织层面或项目层面的评定方法 该方法的特征是采用多重数据收集方法 从选择组织机构中或从选择作为评定的项目中 获取过程实施方面的信息 2 SSE CMM评定方法 SSAM SSAM第一个发布版本中的确定目的为 收集组织或项目内与安全工程相关实际实施的基线 过程状态的快照 或基准 创建或支持组织结构的多层次改进动力 SSAM可被裁剪以适用于组织或项目需要 SSAM描述文档中提供了一些裁剪方面的指南 2 SSE CMM评定方法 SSAM SSAM评定包括以下几个步骤 准备 准备阶段期间 获得发起人的承诺并协商评定细节 现场 现场评定阶段期间 由内部和外部评定人员组成的评定队伍举行启动会议 使所有评定人员熟悉评定过程 评定后 评定后 经发起人认可 评定组向其他人员报告获得的结果和评定的输出 3 决定实施安全工程过程的能力 下图说明了过程区 基本实施 和公共特征 通用实施 如何用于决定安全工程的过程能力 对每个过程区 过程能力的级别为0 5 1 2 0 3 4 5 PA07PA06PA05 PA04PA03PA02PA01 PA21PA20PA19PA18 4 确定安全工程环境 评估一个组织机构的第一步是决定该组织安全工程实施环境 安全工程可在任何工程环境下实施 尤其是系统 软件和通信工程等环境 SSE CMM期望适用于所有环境 环境的确定是为了决定 哪个过程区适用于这个组织 怎样解释过程区 如开发相对于运行环境 哪个人员需要参与评定 5 在评定中使用结构的两个方面 建立一个组织从事安全工程过程轮廓的第一步是通过他们的执行过程 确定在组织内是否实现了基本安全工程过程 所有基本实施 第二步是按照通用实施 考察基本实施 以评估所实现过程的管理和制度化 基本实践 情况 通过考虑基本实施和通用实施 可产生过程能力轮廓 它能够帮助组织决定适用于其商务目的的最有效的过程改进活动 5 在评定中使用结构的两个方面 一般而言 评定由针对通用实施的每一个过程区评价组织 基本实施应被视为提出主题基本方面的指南 相关的通用实施涉及将基本实施应用于项目 牢记对每个过程区通用实施的应用将产生对主体过程区的唯一解释 6 序列 在项目生命期执行组织过程时 许多过程区将多次被使用 当需要把一个过程区的目的结合到项目或组织的过程中时 就实施而言过程区应视为一个源 在评定中 总是记住SSE CMM不意味着一个序列 序列应根据组织或项目所选择的生命期和其他商务参数决定 3 4 2用SSE CMM改进过程 1 改进过程首先是分析组织环境 组织在第一次定义过程时经常忽略许多内部和中间的过程或产品 一个组织应通过适当的精确性来将当前的过程状态确定为基线 基线建立的过程最好在六个月到一年之间 随着时间该过程可以得到改进 组织必须有一个稳定的基线用以决定未来的变化是否包括过程的改进 对于不实际实现的过程改进是没有意义的 1 改进过程 安全工程组织可以由工程师来定义过程 这可能包括与系统工程 软件工程 硬件工程及其他科目的接口 设计符合组织商务要求过程的第一步是理解当过程实现时需考虑的商务 产品和组织环境 1 改进过程 显然 理解SSE CMM被应用的文化和商务环境 是成功进行过程设计的关键 然后是增加角色和结构信息 下图说明了设计一个可实行和可支持的过程 需要对SSE CMM过程区和公共属性添加因素 可靠的组织过程 基本实施 通用实施 角色定义 组织结构 生命周期 安全工程工作产品 组织机构的环境因素 由SSE CMM提供的指导 图成功的过程设计因素 1 改进过程 为了创建完善的 将来可合理改进的组织层面过程 需要考虑组织机构的环境因素 这些因素包括角色定义 组织结构 安全工程工作产品以及在SSE CMM通用实施和基本实施指南下定义的生命期 2 期望结果 基于对软件与其他行业的对比 过程和产品的改进的一些结果是可预见的 具体分析如下 1 改进可预见性随着组织的成熟 第一个可期待的改进是可预见性 随着能力的提高 项目目标与实际结果之间的差异将会减少 例如 处于1级的组织通常会很大程度地延误他们项目原始计划的交付日期 而当组织处于较高能力级别时 它应能够以较高的精确度预见项目成本和进度的结果 2 期望结果 2 改进可控制性随着组织的成熟 第二个可期待的改进是可控制性 随着过程能力的提高 增加的结果将被用于建立更准确地修订目标 对不同的修正活动的评估可基于当前过程经验和其他项目过程结果 以便选择最好的控制测量应用 2 期望结果 3 改进过程有效性随着组织的成熟 第三个可期待的改进是过程有效性 目标结果随着组织成熟性的提高而改进 低级组织 由于有大量的为纠正错误而重做的工作 因此开发时间会变长 相反 较高成熟级别的组织 通过增加过程的有效性和减少昂贵的重复工作 可缩短整个开发时间 3 常见误解 1 CMM定义了工程过程一个通常的错误概念是认为CMM只定义了一个特殊的过程 而实际上CMM对于组织机构而言是一个如何定义过程 如何随着时间不断改进所定义的过程的指南 3 常见误解 2 CMM是手册或培训指南CMM目的在于为组织机构改进他们所执行的特定工程能力 如安全工程 提供一个指南 而不是用来帮助个人改进他们特定的工程技巧的手册或培训指南 3 常见误解 3 SSE CMM是产品评价的替代用CMM来评价组织级别来代替产品的评估或系统认证是不太可能的 但是 CMM模型无疑能够采取由第三方对CMM评价认为脆弱的方面进行分析 3 常见误解 4 需要太多的文档当阅读一种CMM时 很容易被过多的隐含过程及计划所淹没 CMM模型包括要求对过程和步骤的文档化 并要求保证执行文档化的过程和步骤 4 获得安全保证 1 SSE CMM项目保证目标SSE CMM项目的目标中的三个相对于顾客要求而言特别重要 为将顾客安全要求转化为安全工程提供的可测量并可改进的方法 以有效地生产出满足顾客要求的产品 为不需要正式安全保证的顾客提供了一个可选择的方法 正式安全保证一般通过全面的评估 认证和认可活动来实现 4 获得安全保证 为充分满足顾客的安全要求提供一个标准 应精确记录和理解顾客对安全功能和安全保证的要求 并转化为系统的安全和安全保证需求 这是至关重要的 4 获得安全保证 2 过程证据的角色组织的SSE CMM表示产品或系统的生命期遵循特定的过程 这种 过程证据 可被用于证明产品的可信度 4 获得安全保证 某些类型的证据可比其他证据更清晰地表达它们的声明 与其他类型的证据相比较时 过程证据常常作为支持性的和间接的角色 但是 过程证据可作为广泛和多样的论据 因而其重要性不可低估 4 获得安全保证 至少 成熟组织更可能在同等时间和资金的条件下 可生产出适当安全保证程度的产品 3 4 3使用SSE CMM的一般步骤 1 启动2 诊断3 评估4 应用5 学习 1 启动 实施启动的商务环境越复杂 将过程作为一个整体的要求就越强烈 管理在过程的检查和实施中将起到核心的作用 特别是在这个模型中 管理在启动阶段的支持将为整个过程改进活动确定基调 1 启动 这一阶段是开发 改进生命期后面阶段的基础 如果不执行这个阶段 就很可能忽略一些重要问题 从而导致该模型无效或使用不当 2 诊断 为了进行改进活动 需要对当前状况做某种形式的分析 通过系统安全工程 可以认识到应用或者评定SSE CMM是获得SSE CMM项目的最佳方法 虽然没有为SSE CMM的评定规定特殊方法 但SSAM是一种由 项目 开发出的最有效的模型 SSE CMM 设计出来的评定方法 是可用的 2 诊断 理解组织所处的安全过程后 应提出改进建议 一般情况下 这将由一个小组来完成 小组成员具备关于安全工程 安全分析和实现相关的专业技能 知识和经验 3 评估 分析阶段在本质上是组织的安全过程的基准 在此阶段之后 必须对所推荐的改进提出接收和实现的计划 这些计划必须包括设定优先级 开发实现方法以及过程改进实现的实际计划 4 应用 在一定条件认可后 应提出详细的实现计划 此计划包括组织要求的所有成分 资源 任务 里程碑等 该阶段的适当的管理对生命期是关键的 尤其是优先级设定和方法确定方面 管理在裁决竞争目标和组织内部处于最好的位置 4 应用 在实际实现阶段 改进组织需将前3个阶段确立的改进投入实施 这是十分耗费时间和资源的 没有良好的计划和有力的管理支持是不能完成的 在这个阶段 开始实施特定的过程改进和从建议到实际的转换 这是新旧知识 技能 工具和信息的结合 5 学习 解决方案确定后必须加以测试 当新的或不同的过程会产生有广泛的影响时 缓慢地以有组织的方式逐步实施方案是重要的 组织机构应意识到解决方案可能有未预料到的影响 第一轮的方案 过程理论上可以解决问题但可能在实际的世界上实现时不能够完成预想的目标 因而需要调整 3 4 4系统安全工程能力评估 1 阶段划分安全评估可分为规划 准备 现场和报告4个阶段 每个阶段由多个步骤组成 而且必须在下一个阶段开始之前实行 2 安全评估的结果 安全评估的主要工作成果是调查结果简报和评估报告 调查结果简报包括评分轮廓和调查结果列表 评估报告只写给发起者 其中包括有关每个调查结果的附加细节 以及发起者所需的调查结果暗示的问题 此外 应按照发起者的要求分发最终报告 3 评估参与者的角色和说明 1 发起者组织发起者组织是评估过程的发起人 负责确定评估范围和目的 选择对被评者适用的项目以及剪裁SSE CMM以满足实际需求 2 评估者组织 评估者组织提供实际实施评估的人员 多数情况下 评估者组织帮助发起者选择适合的项目和裁剪SSE CMM以满足其要求 3 被评组织 被评组织就是接受评估的实体 它可以是一个大组织机构中的一个单位 也可以是整个组织机构本身 4 人力需求 主要对发起者 观测员等人工作小时数的一个规划 4 评估类型 1 为获取而评估SSAM的制定是为了促进由第三方实施的评估 但也包含解释自评方法的指南 具体的评估目的包括 有资格的卖方的独立比较分析 为监视目的对现有卖方进行评价 2 为自身改善而评估为自身改善而实施SSE CMM评估 使组织能够洞察自身实施安全工程的能力 4 评估类型 安全工程领域已有一些被充分接受的原则 但目前仍缺少一个易于理解的评估安全工程实施的框架 SSE CMM正是这样的一个框架 它为安全工程原则的应用提供了一个衡量和改进的途径 3 4 5SSE CMM实施的几个问题 1 评估安全风险评估安全风险的目的在于识别出一给定环境中涉及对某一系统有依赖关系的安全风险 这一工作特别涉及对出现暴露的可能性进行识别和评估 2 评估威胁 评估威胁过程区的目的在于识别安全威胁及其性质和特征 也就是对系统安全的威胁进行标识和特征化 3 评估影响 评估影响的目的在于识别对该系统有关系的影响 并对发生影响的可能性进行评估 影响可能是有形的 例如税收或财政罚款的丢失 或者是无形的 例如声誉和信誉的损失 4 管理安全控制 管理安全控制的目的在于保证集成到系统设计中的已计划的系统安全 确实由最终系统在运行状态下达到 其目标是恰当的配置和使用安全控制 小结 国际上通常采用能力成熟度模型 CMM 来评估一个组织的工程能力 而SSE CMM确定了一个评价安全工程实施的综合框架 提供了度量与改善安全工程学科应用情况的方法 本章从SSE CMM的基础出发 给出了其关键概念 体系结构 分析了SSE CMM的应用和系统安全工程评估方法