CISP18信息安全工程new课件

1、CISP-18-信息安全工程中国信息安全测评中心2010年10月第1页，共90页。知识体系介绍项目实施、管理与实践安全工程基础知识体知识域安全工程模型与标准知识类信息安全工程信息安全工程监理与实践信息安全工程项目实施与管理系统工程基础质量管理基础ISSE信息系统安全工程系统安全能力成熟度模型SSE-CMM能力成熟度模型基础项目管理基础信息系统安全保障评估框架-工程保障部分第2页，共90页。学习目标了解系统工程、质量管理、能力成熟度模型和项目管理基本概念可以用“信息系统安全工程”（ISSE）的方法考虑信息安全工程的实施理解并运用“信息安全工程能力成熟度模型”（SSE-CMM）指导信息安全工程的实

2、施掌握IT项目管理中的重要安全措施和实践方法理解信息安全工程监理的概念、意义和实践方法第3页，共90页。一、信息安全工程基础第4页，共90页。安全工程基础系统工程基础质量管理基础项目管理基础能力成熟度模型基础第5页，共90页。系统工程基础钱学森：“系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法，使一种对所有系统都具有普遍意义的科学方法”以人参与系统为研究对象根据系统的目的和总体发展要求应用自然科学和社会科学的思想、理论、方法和手段对系统功能和构成要素、结构、信息、控制进行分析与综合最终达到系统的圆满实现系统工程不是基本理论，也不属于技术实现，而是一种方法论第6页，共90页。系统工

3、程基础系统工程具有以下特点：系统工程不同于一般的工程技术学科，如水利工程、机械工程等“硬”工程；系统工程偏重于工程的组织与经营管理一类“软”科学的研究。系统工程涉及各种学科、各个领域的各种内容，因此它是跨越不同学科的综合性科学。以整体的、综合的、关联的、科学的、实践的观点来看待研究对象在解决一个具体项目时，它要求把项目或过程分成几大步骤，而每个步骤又按一定的程序展开。这就保证了系统思想在每个部分、每个环节上体现出来。 任何系统都是人、设备和过程的有机组合，其中人是最主要的因素。因此在应用系统工程的方法处理系统问题时，要以人为中心。第7页，共90页。质量管理基础质量质量指产品或服务，满足规定或需

4、要的特征。它既包括有形产品也包括无形产品；既包括产品内在的特性、也包括产品外在的特性。即包括了产品的适用性和符合性的全部内涵。质量控制（QC）是对生产的全部过程加以控制，是面的控制，不是点的控制。为保证产品过程或服务质量，必须采取一系列的作业、技术、组织、管理等有关活动，这些都属于质量控制的范畴 质量管理（QM）它指对确定和达到质量所必须的职能和活动的管理，其管理职能主要是负责质量方针政策的制订和实施等 第8页，共90页。质量管理基础ISO9000族标准并不是产品的技术标准，而是针对组织的管理结构、人员、技术能力、各项规章制度、技术文件和内部监督机制等一系列体现组织保证产品及服务质量的管理措施

5、的标准。 具体地讲ISO9000族标准就是在以下四个方面规范质量管理： 1.机构：标准明确规定了为保证产品质量而必须建立的管理机构及职责权限。 2.程序：组织的产品生产必须制定规章制度、技术标准、质量手册、质量体系、操作检查程序，并使之文件化。 3.过程：质量控制是对生产的全部过程加以控制，是面的控制，不是点的控制。从根据市场调研确定产品、设计产品、采购原材料，到生产、检验、包装和储运等，其全过程按程序要求控制质量。并要求过程具有标识性、监督性、可追溯性。 4.总结：不断地总结、评价质量管理体系，不断地改进质量管理体系，使质量管理呈螺旋式上升。 第9页，共90页。项目管理基础所谓项目管理，就是

6、项目的管理者，在有限的资源约束下，运用系统的观点、方法和理论，对项目涉及的全部工作进行有效地管理。即从项目的投资决策开始到项目结束的全过程进行计划、组织、指挥、协调、控制和评价，以实现项目的目标。项目管理的要素：质量进度成本 第10页，共90页。能力成熟度模型基础CMM Capability Maturity Model现代统计过程控制理论表明通过强调生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品；所有成功企业的共同特点是都具有一组严格定义、管理完善、可测可控从而高度有效的业务过程；CMM模型抽取了这样一组好的工程实践并定义了过程的“能力”；第11页，共90页。能力成熟

7、度模型过程能力方案：单个过程域或一系列过程域组织机构可以灵活选择改进哪个过程域和改进至什么程度组织机构成熟度方案跨组织机构的一系列已建立的过程域提供预定义的路线图，组织机构基于已验证的过程组和顺序进行改进StagedML 1ML2ML3ML4ML5ContinuousPAPA过程域能力0 1 2 3 4 5PA第12页，共90页。能力级别和成熟度级别Continuous Staged能力级别成熟度级别0IncompleteN/A1PerformedInitial2ManagedManaged3DefinedDefined4Quantitatively ManagedQuantitatively

8、 Managed5OptimizingOptimizing第13页，共90页。常用的CMM模型Software CMMstagedsoftware developmentSystem Engineering CMMcontinuoussystem engineeringSystem Engineering Capability Modelcontinuoussystem engineeringSoftware Acquisition CMMstagedsoftware acquisitionSystem Security Engineering CMMcontinuoussecurity en

9、gineeringPersonal Software Processstagedindividual software developmentFAA-iCMMcontinuoussoftware engineering, systems engineering, and acquisitionIPD-CMMhybridintegrated product developmentPeople CMMstagedworkforce SPICE Modelcontinuoussoftware development第14页，共90页。标准背景第15页，共90页。能力成熟模型应用范畴CMM能力成熟模型

10、SW-CMM软件能力成熟模型SE-CMM系统工程能力成熟模型SSE-CMM信息系统安全工程能力成熟模型SSAM信息系统安全工程能力成熟性模型评估方法评定软件工程汽车、照相机、手表和钢铁业安全工程。第16页，共90页。二、ISSE信息系统安全工程第17页，共90页。SE-系统工程过程DISCOVERNEEDSDEFINESYSTEMREQUIREMENTSDESIGNSYSTEMARCHITECTUREDEVELOPDETAILEDDESIGNIMPLEMENTSYSTEM发掘需求定义系统要求定义系统体系结构开发详细设计实现系统用户/用户代表评估有效性第18页，共90页。系统安全工程（SSE）S

11、ystem Security Engineering;是系统工程的一个子集，遵从系统工程的思想，包括一般性原则和规律；系统安全工程的主要目标是：了解企业现存的安全风险；根据已识别的安全风险建立一组平衡的安全需求；综合各种工程学科的努力将安全需求转化为贯穿系统生命周期的工程实施指南；通过正确有效的安全机制来保证安全系统的信任度达到组织的要求；确保系统的残余风险在可容许的范围之内；涉及众多层面的安全问题，与其他工程密切相关，如软件工程等；第19页，共90页。系统生命周期中的ISSESA系统采购SE系统工程SSEISSE任务需求的确定概念研究和确定演示和确认设计和制造产品/部署和运行/支持确定安全能

12、力需求分析安全要求和研究安全概念设计系统安全体系结构实现安全设计并进行系统安全测试实施安全操作和生命周期支持MS0MS1MS2MS3确定任务能力要求研究配选的系统概念系统设计规范设计、制造、集成和测试系统运行和生命周期支持使命需求明细（MNS）候选系统评审（ASR）系统要求评审（SRR SFR）基本设计评审、关键设计评审、系统验证评审（PDR、CDR、SVR）物理配置评审（PCA）第20页，共90页。三、系统安全能力成熟度模型SSE-CMM第21页，共90页。能力成熟度模型 SSE-CMM（ISO/IEC IS 21827）第22页，共90页。SSE-CMM概述系统安全工程能力成熟模型（Sys

13、tems Security Engineering Capability Maturity Model），描述了一个组织的系统安全工程过程必须包含的基本特征，这些特征是完善的安全工程保证，也是系统安全工程实施的度量标准，同时还是一个易于理解的评估系统安全工程实施的框架。 目的促进安全工程成为一个确定的、成熟的和可度量的学科：通过区分投标者的能力级别和相关的计划风险来选择合格的安全工程提供商；工程组把投资集中在安全工程工具、培训、过程定义、管理实施和改进上；基于能力的保证，也就是说，信赖是基于对工程组织安全工程实践和过程成熟的信心 第23页，共90页。SSE-CMM概述安全系统和工程的特性连续性

14、 - 以前获得的知识将用于将来重复性 - 保证项目可成功重复实施的方法高效率性 - 可帮助开发者和评价者都更有效率工作的方法保证 - 落实安全需求的信心期待结果改进可预见性改进可控制性改进过程有效性安全工程对于任何工程活动均是清晰定义的、可管理的、可测量的、可控制的并且是高效率的。 第24页，共90页。SSE-CMM覆盖范围SSE-CMM涉及到可信产品或者系统整个生命周期的安全工程活动，其中包括概念定义、需求分析、设计、开发、集成、安装、运行、维护和终止。整个组织，包括管理、组织和工程活动等；与其它规范并行的相互作用，包括系统、软硬件、人、测试工程、系统管理、运行和维护等；与其它组织的相互作用

15、，包括获取、系统管理、认证认可和评估组织等；SSE-CMM可应用于所有类型和大小的安全工程机构，如商务机构、政府机构和学术机构。第25页，共90页。SSE-CMM适用对象工程组织（Engineering Organization）包括系统集成商、应用开发商、产品和服务提供商；工程组织利用其对自己的工程能力进行自我评估；采购组织（Acquiring Organization）包括采购系统、产品以及从外部/内部资源和最终用户处获取服务的组织；采购组织通过其来判别一个供应者组织的的系统安全工程能力，识别该组织供应的产品和系统的可信任性；评估组织（Evaluation Organization）包括认

16、证组织、系统授权组织、系统和产品评估组织等；评估组织使用SSE-CMM作为工作基础，以便建立被评估组织整体能力的信任度，该信任度是系统和产品的安全保证要素。第26页，共90页。SSE-CMM历史1993年4月美国国家安全局（NSA）开始酝量1996年10月出版了SSE-CMM模型的第一个版本，1997年4月出版了评定方法的第一个版本。从1996年6月到1997年6月进行许多实验项目 1999年4月出版了第二版。目前，SSE-CMM V3.02002年，ISO/IEC IS 21827第27页，共90页。SSE-CMM基本概念过程（Process）为了达到某一给定目标而执行的一系列活动，这些活动

17、可以重复、递归和并发的执行；分为“充分定义过程”、“已定义过程”和“执行过程”。过程区域（PA，Process Area）是由一些基本实践（BP，Base Practice）组成的，这些BP共同实施以达到该PA的目标。这些BP是强制性的，只有全部成功执行，才能满足PA规定的目标；SSE-CMM包含三类过程区域：工程、项目和组织三类；过程能力（Process Capability）是通过跟踪一个过程达到预期结果的可量化范围；一个组织的过程能力可帮助组织预见项目达到目标的能力，低能力组织的项目在达到预定的成本、进度、功能和质量目标上会有很大变化；第28页，共90页。SSE-CMM体系结构SSE-C

18、MM体系结构设计的目标是清晰的从管理和制度化特征中分离出安全工程的基本特征，采用域（Domain）和能力（Capability）的两维结构；横轴“域维”汇集了定义安全工程的所有实践活动，包括大约60项基本实践（BP，Base Practice），这些BP又被组织成11个过程区域（PA）。11个PA可能出现在安全系统生命周期的各个阶段，并不规定其先后顺序；纵轴“能力维”代表组织能力，由过程管理与制度化能力构成。共设置6个能力级别，每个能力级别由一组能够反映过程能力变化的公共特征（CF，Common Feature）来定义，这些CF适用于所有PA，每一个CF又可以由若干项通用实践（GP，Gener

19、ic Practice）来描述。第29页，共90页。SSE-CMM模型目的：在整个安全工程范围内决定安全工程组织的成熟性 两维模型“域维” 由所有定义的安全工程过程区构成。这些实施活动称为“过程区”。“能力维”代表组织能力。这一维由过程管理和制度化能力构成。这些实施活动被称作“公共特征”，可在广泛的域中应用。执行一个公共特征是一个组织能力的标志。通过设置这两个相互依赖的维，SSE-CMM在各个能力级别上覆盖了整个安全活动范围。如果给每个PA赋予一个能力级别评分，所得到的两维图形便形象地反映一个工程组织整体上的系统安全工程能力成熟度，也间接的反映其工作结果的质量及其安全上的可信度。能力维（Cap

20、ability Dimension）公共特征（Common Features）域维（Domain Dimension）安全过程区（Security Process Areas）公共特征2.4跟踪执行PA 05评估脆弱性543210PA01PA02PA03PA04PA05能力级别安全过程区域第30页，共90页。能力维/公共特征SSE-CMM通过能力级别来确定组织执行、控制、支持和监视安全过程的成熟性；过程能力由一组通用实践（GP，Generic Practice）来衡量，是对所有过程通用的，强调对一个过程的管理、度量和制度方面。能力维的GP按照成熟性排序，高级别的GP位于能力维的高端；GP被组成

21、12个称作公共特征（CF，Common Feature）的逻辑域，每个CF包括一个或多个GP；为了体现能力级别，将GP划分成5个等级，代表组织安全工程能力的不同层次；过程能力是用来度量各个过程区域PA的，而不是用来度量整个工程组织的，GP按其具有的公共特征和能力级别组织成三级结构。第31页，共90页。能力维能力维能力级别加强任何过程能力的实现和制度化实施 一组实施列出管理和制度化过程的相同方面 共同工作的一组公共特征主要加强执行一个过程的能力 公共特征通用实践第32页，共90页。计划执行规范化执行跟踪执行验证执行定义标准过程协调安全实施执行已定义的过程建立可测量的质量目标客观地管理过程的执行1

22、非正式执行2计划与跟踪3充分定义4量化控制5连续改进执行基本实施改进组织能力改进过程的有效性能力级别代表安全工程组织的成熟级别 公共特征仅要求一个过程区域的所有基本实践都被执行，但对执行的结果无明确要求；强调过程执行前的计划和执行中的检查，使工程组织可以基于最终结果的质量来管理其实践活动；要求过程区域包括的所有基本实践均应依照一组完善定义的操作规范来进行，即“标准过程”；能够对工程组织的表现进行定量的度量和预测。过程管理成为客观的和准确的实践活动为过程行为的高效和实用建立定量目标，可以准确地度量过程持续改善所收到的效益。第33页，共90页。能力级别0 ：未实施能力级别1：非正式实施公共特征 1

23、.1 执行基本实施GP1.1.1 执行过程能力级别2：计划和跟踪公共特征2.1 规划执行GP2.1.1 分派资源GP2.1.2 分配责任GP2.1.3 文档化过程GP2.1.4 提供工具GP2.1.5 保证培训GP2.1.6 规划过程公共特征2.2 规范化执行GP2.2.1 使用计划、标准和程序GP2.2.2 进行配置管理公共特征2.3 验证执行GP 2.3.1 验证过程一致性GP 2.3.2 审计工作产品公共特征2.4 跟踪执行GP 2.4.1 使用测量跟踪GP 2.4.2 采取修正措施能力级别3：充分定义公共特征3.1 定义标准过程GP 3.1.1 过程标准化GP 3.1.2 裁剪标准过程

24、公共特征 3.2 执行已定义过程GP 3.2.1 使用充分定义的过程GP 3.2.2 执行缺陷复查GP 3.2.3 使用充分定义的数据公共特征 3.3 协调实施GP 3.3.1 执行组内协调GP 3.3.2 执行组间协调GP 3.3.3 执行外部协调能力级别4：定量控制公共特征 4.1 建立可测的质量目标GP 4.1.1 建立质量目标公共特征4.2 客观地管理执行GP 4.2.1 确定过程能力GP 4.2.2 使用过程能力能力级别5 ：连续改进公共特征 5.1 改进组织能力GP 5.1.1 建立过程效力目标GP 5.1.2 连续改进标准过程公共特征 5.2 改进过程有效性GP 5.2.1 执行

25、因果分析GP 5.2.2 消除缺陷原因GP 5.2.3 连续改进已定义过程第34页，共90页。域维/过程区域系统安全工程涉及到三类过程区域PA，即工程（Engineering PA）、组织（Organization PA）和项目（Project PA）过程区域。组织和项目过程区域（共11个）并不直接同系统安全相关，在SE-CMM中定义，但常与SSE-CMM的11个工程过程区域一起用来度量系统安全队伍的过程能力成熟度。SSE-CMM将工程过程区域分为三类，即风险过程、工程过程和保证过程；4个风险过程：PA04评估威胁，PA05评估脆弱性，PA02评估影响，PA03评估安全风险；5个工程过程：PA

26、07，PA10，PA09，PA01，PA08；2个保证过程：PA11，PA06；并不定义各过程区域在系统安全工程生命周期中出现的顺序，而是依照过程区域的英文字母顺序编号；每个过程区域包括一组集成的基本实践（BP，Base Practice），BP定义了实现过程区域目标的必要活动，代表业界的最佳惯例。第35页，共90页。域维过程类域维Base PracticesBase PracticesBase PracticesBase PracticesBase Practices基本实践Process AreasProcess AreasProcess Areas过程区工程和安全实施是安全工程过程中必须

27、存在的性质，指出特殊过程区的目的并属于该过程区 每个过程区（PA）是一组相关安全工程过程的性质，当这些性质全部实施后则能够达到过程区定义的目的。一组过程区指出活动的同一通用区 第36页，共90页。工程过程区域核实和确认安全（Verify and Validate Security）PA11明确安全需求（Specify Security Needs）PA10提供安全输入（Provide Security Input）PA09监视安全态势（Monitor Security Posture）PA08协调安全（Coordinate Security）PA07建立保证论据（Build Assurance

28、 Argument)PA06评估脆弱性（Assess Vulnerability）PA05评估威胁（Assess Threat）PA04评估安全风险（Assess Security Risk)PA03评估影响（Assess Impact）PA02管理安全控制（Administer Security Controls）PA01风险过程工程过程保证过程第37页，共90页。安全工程SSE-CMM将安全工程划分为三个基本的过程区域：风险，工程，保证风险过程：是要确定产品或者系统的危险性，并对这些危险性进行优先级排序工程过程：是针对面临的危险性，安全工程过程与相关工程过程一起来确定并实施解决方案保证过程

29、：是建立起对解方案的信任，并把这种信任传达给用户 第38页，共90页。安全工程过程保证论据风险信息产品或服务工程过程Engineering保证过程Assurance风险过程Risk第39页，共90页。风险PA04：评估威胁威胁信息threat脆弱性信息vulnerability影响信息impact风险信息PA05：评估脆弱性PA02：评估影响PA03：评估安全风险风险就是有害事件发生的可能性一个有害事件有三个部分组成：威胁、脆弱性和影响。 第40页，共90页。工程安全工程与其它科目一样，它是一个包括概念、设计、实现、测试、部署、运行、维护、退出的完整过程。SSE-CMM强调安全工程是一个大的项

30、目队伍中的一部分，需要与其它科目工程师的活动相互协调。 PA10指定安全要求需求、策略等配置信息解决方案、指导等风险信息PA08监视安全态势PA07协调安全PA01管理安全控制PA09提供安全输入第41页，共90页。保证证据证据保证论据PA11验证和证实安全指定安全要求其他多个PAPA06建立保证论据保证是指安全需要得到满足的信任程度SSE-CMM的信任程度来自于安全工程过程可重复性的结果质量。 第42页，共90页。PA01-管理安全控制BP01.01建立安全职责BP01.02管理安全配置BP01.03管理安全意识、培训和教育大纲BP01.04管理安全服务及控制机制PA02-评估影响BP02.

31、01对影响进行优先级排列BP02.02识别系统资产BP02.03选择影响的度量标准BP02.04标识度量标准关系BP02.05识别和特征化影响BP02.06监视影响PA03-评估安全风险BP03.01选择风险分析方法BP03.02识别暴露BP03.03评估暴露的风险BP03.04评估总体不确定性BP03.05风险优先级排列BP03.06监视风险及其特征PA04-评估威胁BP04.01识别自然威胁BP04.02识别人为威胁BP04.03识别威胁的测量块BP04.04评估威胁影响的效力BP04.05评估威胁的可能性BP04.06监视威胁及其特征PA05-评估脆弱性BP05.01选择脆弱性分析方法B

32、P05.02识别脆弱性BP05.03收集脆弱性数据BP05.04合成系统脆弱性BP05.05监视脆弱性及其特定PA06-建立保证论据BP06.01识别保证目标BP06.02定义保证策略BP06.03控制保证证据BP06.04分析证据BP06.05提供保证论据安全基本实践第43页，共90页。PA07-协调安全BP07.01定义协调目标BP07.02识别协调机制BP07.03促进协调BP07.04协调安全决定和建议PA08-监视安全态势BP08.01分析事件记录BP08.02监视变化BP08.03识别安全突发事件BP08.04监视安全防护措施BP08.05检查安全态势BP08.06管理安全突发事件

33、响应BP08.07保护安全监视的记录数据PA09-提供安全输入BP09.01理解安全输入要求BP09.02确定安全约束和考虑BP09.03识别安全选项BP09.04分析工程选项的安全性BP09.05提供安全工程指南BP09.06提供运行安全指南PA10-指定安全要求BP10.01获得对顾客安全需求的理解BP10.02识别可用的法律、策略和约束BP10.03识别系统安全关联性BP10.04收集系统运行的安全思想BP10.05收集安全的高层目标BP10.06定义安全相关需求BP10.07达成安全协议PA11-验证和证实安全BP11.01识别验证和证实的目标BP11.02定义验证和证实方法BP11.

34、03执行验证BP11.04执行证实BP11.05提供验证和证实的结果安全基本实践第44页，共90页。项目及组织过程区域SSE-CMM采用了SE-CMM定义的项目和组织过程区域，这些PA是用来解释通用实践的重要参考资料；每个此类过程区域都包含“安全性考虑”的内容，说明了应用到安全工程相关的过程区域中时需要考虑的因素，也指出了对SSE-CMM过程区域的参考引用；第45页，共90页。项目和组织过程区域与供应商协调（Coordinate with Suppliers）PA22提供持续发展的技能和知识（Provide Ongoing Skill and Knowledge）PA21管理系统工程支持环境（

35、Manage Systems Engineering Support Environment）PA20管理产品系列进化（Manage Product Line Evolution）PA19改进组织的系统工程过程（Improve Organizations Systems Engineering Process）PA18定义组织的系统工程过程（Define Organizations Systems Engineering Process)PA17计划技术活动（Plan Technical Effort）PA16监视和控制技术活动（Monitor and Control Technical Ef

36、fort）PA15管理项目风险（Manage Project Risk)PA14管理配置（Manage Configuration）PA13保证质量（Ensure Quality）PA12项目过程组织过程第46页，共90页。PA12-质量保证BP12.01监视所定义过程的依从性BP12.02测量工作产品质量BP12.03测量过程质量BP12.04分析质量测量BP12.05得到参与BP12.06发起改进质量的活动BP12.07检测修正行为要求PA13-管理配置BP13.01建立配置管理方法BP13.02沟通配置状况PA14-管理项目风险BP14.01开发风险管理方法BP14.02标识风险BP14

37、.03评估风险BP14.04复查风险评估BP14.05执行风险降低活动BP14.06跟踪风险降低活动BP14.07监视影响PA15-监控技术活动BP15.01指导技术活动BP15.02跟踪项目资源BP15.03跟踪技术参数BP15.04复查项目执行BP15.05分析项目问题BP15.06采取修正行动PA16-规划技术活动BP16.01识别自然威胁BP16.02识别关键资源BP16.03估计项目范围BP16.04估算项目费用BP16.05确定工程过程BP16.06识别技术活动BP16.07定义项目接口BP16.08开发项目进度表BP16.09设立技术参数BP16.10开发技术管理计划BP16.1

38、1复查并认可工程计划项目和组织的基本实践第47页，共90页。PA17-定义组织的系统工程过程BP17.01制定过程目标BP17.02收集过程资产BP17.03开发组织的系统工程过程BP17.04定义剪裁指南PA18-改进组织的系统工程过程BP18.01评定过程BP18.02规划过程改进BP18.03改变标准过程BP18.04沟通过程改进PA19-管理产品系列进化BP19.01分析事件记录BP19.02定义产品进化BP19.03标识新产品技术BP19.04适应开发过程BP19.05确保关键组件的可用性BP19.06插入产品技术PA20-管理系统工程支持环境BP20.01维持技术认识BP20.02

39、确定支持需求BP20.03获得系统工程支持环境BP20.04剪裁系统工程支持环境BP20.05插入新技术BP20.06维护环境BP20.07监视系统工程支持环境PA21-提供不断发展的技能和知识BP21.01识别培训要求BP21.02选择知识或技能的获取模式BP21.03确保技能和知识的可用性BP21.04准备培训材料BP21.05培训人员BP21.06评估培训的有效性BP21.07维护培训记录PA22-与供应商协调BP22.01识别系统的组件或服务BP22.02标识胜任的供应商或销售商BP22.03选择供应商或销售商BP22.04提供期望BP22.05维持沟通项目和组织的基本实践第48页，共

40、90页。SSE-CMM的使用SSE-CMM可应用于所有从事某种形式的安全工程组织，这种应用与生命期、范围、环境或专业无关。该模型适用于以下三种方式：“评定”，允许获取组织了解潜在项目参加者的组织层次上的安全工程过程能力。“改进”，使安全工程组织获得自身安全工程过程能力级别的认识，并不断地改进其能力。“保证”，通过有根据地使用成熟过程，增加可信产品、系统和服务的可信度。第49页，共90页。SSE-CMM的使用评定为评定收集数据广泛、严格，每个数据有充分的证据决定实施安全工程过程的能力为评定定义了安全工程环境在评定巧妙地使用了SSE-CMM体系结构中的两个方面第50页，共90页。SSE-CMM评估

41、方法SSE-CMM Appraisal Method（SSAM）是一种组织或项目级的评估方法，通过多种数据采集方法来或区域待评估组织或项目相关的实践过程的信息，目的在于取得一个真实实践的基线（Baseline）或基准（Benchmark），创建并支持用于改进的要素；数据采集方法：问卷、访谈、证据复审；评估阶段：规划（Planning），准备（Preparation），现场（On-site），报告（Reporting）；第51页，共90页。SSE-CMM评估方法（SSAM） 规划阶段范围评定计划评定准备阶段准备评定组分发调查表合并证物分析证物和调查表查表现场阶段领导简报/开幕式采访领导/专业人员

42、分析数据确定调查结果产生排等级的轮廓管理记录工作结束报告阶段产生最终报告向发起者报告评定结果管理评定实物报告取得的经验教训第52页，共90页。利用SSE-CMM进行过程改进SSE-CMM可以用作改进组织安全工程过程的工具，建议采用SEI的IDEAL模型，目的是进入一个评估当前状况、改进、重复的持续循环之中。Initiating（初始化）熟悉项目目标和完成方式，开发业务案例和项目执行方法，获得管理层批准和支持，为成功的改进努力做好铺垫；Diagnosing（诊断）理解组织当前和期望的过程成熟度状态，这些是形成组织过程改进行动计划的基础；Establishing（建立）基于努力目标和诊断阶段开发的

43、建议来制定详细的行动计划，并考虑到各种约束；Acting（操作）即实施阶段，无论是资源还是时间，都需要各方面付出最大程度的努力；Learning（学习）既是本次循环的终止，又是下一次改进过程的开端。对整个过程改进活动进行评估。第53页，共90页。SSE-CMM的使用改进+=具有成熟改进潜能的组织过程组织环境由SSE-CMM提供的指南基本实践角色分配组织结构安全工程工作产品生命周期通用实践第54页，共90页。SSE-CMM 的使用流程来源选择安全保障软件厂商服务硬件厂商系统开发运营和维护SSE-CMM第55页，共90页。信息系统安全保障评估框架共包括四个部分第一部分：简介和一般模型第二部分：技术

44、保障第三部分：管理保障第四部分：工程保障第二部分技术保障安全技术控制组件技术架构能力级第一部分简介和一般模型第三部分管理保障安全管理控制组件管理能力级第四部分工程保障安全工程控制组件工程能力级第56页，共90页。信息系统安全保障工程概念 信息系统安全保障工程是一门跨学科的工程管理过程，它是基于对信息系统安全保障需求的发掘和对安全风险的理解，以经济、科学的方法来设计、开发和建设信息系统，以便他能满足用户安全保障需求的科学和艺术。 第57页，共90页。信息系统安全保障模型第58页，共90页。信息系统安全保障评估框架-工程保障部分生命周期描 述相关过程域挖掘安全需求本阶段建立项目组织，了解系统的上下

45、文环境，决定开始进行安全工程，制定初步计划和预算等。本阶段信息系统安全工程师帮助用户挖掘并理解完成系统的任务和业务所需的信息保护需求。信息保护需求的确定建立在对系统的安全风险分析的基础上。系统定义（PEN_SDF）评估威胁（PRM_ATT）评估脆弱性（PRM_AVL）评估影响（PRM_AIM）评估安全风险（PRM_ASR）确定安全要求（PEN_ISR）定义安全要求本阶段信息系统工程师将已识别出来的信息保护需求落实到各子系统中，包括开发系统安全上下文，初步的系统安全运行设想和安全要求基线等。设计体系结构本阶段信息系统安全工程师与系统工程师一起进行分析候选体系结构、分配安全服务和选择安全机制，从而

46、完成安全功能分析和落实。信息系统安全工程师选择适用的组件或元件并把安全功能分配给这些元件，同时描述这些元件之间的关系。提供安全输入（PEN_PSI）高层安全设计（PEN_HSD）详细安全设计（PEN_DSD）详细安全设计本阶段信息系统安全工程师分析设计的约束条件，分析折衷办法，进行详细的系统和安全设计并考虑生命周期支持。信息系统安全工程师检查所有系统安全需求落实到了组件。最终的详细安全设计结果为实现系统提供充分的组件和接口描述信息。实现系统安全本阶段信息系统安全工程师把系统设计转移到运行，参与对所有系统问题的多学科综合分析，并为认证认可活动提供输入。例如验证系统已经实现了对抗威胁评估中识别出的

47、威胁；追踪与系统实现和测试活动相关的信息保护保障机制；为系统生命周期支持计划、运行规程、培训材料维护提供输入。本阶段信息系统已到位并开始运行，通过定期的评估和不断监视系统的安全状况，确定如何获得更高的安全性能和效率等来满足用户变化的安全需求，进行软硬件升级和修改并进行相应的测试。安全工程实施（PEN_SEE）协调安全（PEN_COS）监视安全态势（PEN_MSP）管理安全控制（PEN_MSC）有效性评估本阶段信息系统安全工程师关注信息保护的有效性-系统是否能够保证其处理的信息的保密性、完整性、可用性、鉴别和不可否认性，确保成功完成使命。验证和确认安全（PAS_VVS）建立保障论据（PAS_EA

48、E）第59页，共90页。第四部分：工程保障信息安全工程过程能力成熟度示例第60页，共90页。三、信息安全工程的实施与管理第61页，共90页。信息安全保障工程的实施与管理信息安全保障工程实施模型与框架IT项目管理中的安全考虑第62页，共90页。信息系统安全保障工程实施通用模型参见：中国信息安全产品测评认证中心的“国家信息安全测评认证”，2004年第2期，P6-P14第63页，共90页。信息系统安全保障工程实施框架 第64页，共90页。XX电子政务信息系统安全保障工程实践示意图参见：中国信息安全产品测评认证中心的“国家信息安全测评认证”，2004年第2期，P6-P14第65页，共90页。IT项目管

49、理中的安全考虑-立项阶段确立业务对信息安全的总体要求识别各类安全要求证明安全要求的正确性分析、协调、综合形成各类文档信息安全规划安全需求报告风险评估报告立项报告第66页，共90页。IT项目管理中的安全考虑开发和采购阶段数据的正确处理输入数据的校验范围之外的值无效数据类型丢失或不完整的数据未授权或非法的输入：防止缓冲区溢出和代码注入数据处理过程控制处理的时间顺序发生故障后运行的程序系统失效或处理错误后的恢复输出数据的验证输出的去向正确数据的准确性、完备性和精确性第67页，共90页。IT项目管理中的安全考虑开发和采购阶段加密控制选择适当的加密算法类型、强度和质量选择加密的通信线路和加密内容制定密钥

50、管理的方法密钥的分发方式密钥的保存密钥的更新方式密钥遗失、泄露和破坏后的处理方法密钥的撤销和销毁第68页，共90页。IT项目管理中的安全考虑开发和采购阶段系统资源的安全系统软件安装控制：选择安全的系统软件、安装必要的组件、防止盗版的安装、及时更新系统测试数据的保护：尽量不用真实生产数据，如果必须用，注意对拷贝过程进行控制、对测试系统的访问控制、测试之后信息清除、有效的审计措施应用系统源代码保护：运行系统尽量不保留源代码对源代码库进行访问控制管理向程序员发布源代码源代码库的有效审计第69页，共90页。IT项目管理中的安全考虑实施阶段项目变更管理建立严格清晰的变更程序变更时要对变更原因和变更的影响

51、进行评估必要时在测试系统中进行测试变更要形成文档记录第70页，共90页。IT项目管理中的安全考虑交付和废弃交付过程初验试运行终验交付后持续的风险评估和安全加固废弃信息的彻底清除第71页，共90页。四、信息安全工程监理第72页，共90页。信息安全工程监理参考模型第73页，共90页。监理咨询阶段及其目标招标阶段工程招标阶段的主要监理目标协助业主单位明确信息安全工程需求，确定工程建设目标；促使承建单位编制的信息安全方案符合国家和业主单位的相关规定，满足需求，合理可行；促使业主单位、承建单位所签定合同在技术、经济上的合理性；第74页，共90页。监理咨询阶段及其目标设计阶段工程设计阶段的主要监理目标加强

52、工程实施方案的合法性、合理性、与安全工程需求和设计方案的符合性；促使工程计划、设计方案满足工程需求，符合相关的法律、法规和标准，并与工程建设合同相符，具有可验证性。协助业主单位、承建单位消除设计文档在进入工程实施前可预见的缺陷。第75页，共90页。监理咨询阶段及其目标实施阶段工程实施阶段的主要监理目标加强工程实施方案的合法性、合理性、与设计方案的符合性；促使工程中所使用的产品和服务符合承建合同及国家相关法律、法规和标准；明确工程实施计划，对于计划的调整必须合理、受控；促使工程实施过程满足承建合同的要求，并与工程设计方案、工程计划相符；第76页，共90页。监理咨询阶段及其目标验收阶段工程验收阶段的主要监理目