如何用SSECMM改进过程研究报告

《信息系统安全工程》课内研究学习文档之：研究报告课题名称：如何用SSE-CMM改善过程知识单元：系统安全工程能力成熟度模型研讨模块：信息安全工程案例计算机学院网络工程系制

目录目录1. 课题概述 31.1. 课程学习意义 31.2. 课程学习过程 32. 课题研究学习纲要 32.1. 课题研究学习目的 32.1.1. 课题学习目的 32.1.2. 课题研究目的 42.1.3. 课题研讨目的 42.2. 课题研究学习方案 42.2.1. 课题研究学习技术路线 42.2.2. 课题研究学习内容要点 53. 课题研究学习内容 53.1SSE-CMM基础知识 53.1.1. 系统安全过程能力成熟度模型介绍 53.1.2. 、系统安全工程过程 63.1.3. SSE-CMM的体系构造 63.1.4. CMM介绍 63.1.5. 用ＳＳＥ－ＣＭＭ改善过程的通用做法 73.２用ＳＳＥ－ＣＭＭ改善过程的案例和方法 83.3 SSE-CMM发展的历史、现状和将来 113.3.1SSE-CMM发展的历史 113.3.2SSE-CMM发展的现状 113.3.3SSE-CMM发展的将来 11参考文献及介绍 11参考文献列表 11参考文献介绍 124. 考核成果 15课题概述课程学习意义本课题研究内容重要基于教材的第二章节系统安全能力成熟度模型进行展开，属于信息安全工程案例这一研讨模块。课题研究的重点是如何运用SSE-CMM改善工程实施的工程，由于系统安全能力成熟度模型是现在系统工程领域承认度最高，使用最为广泛的一种系统安全工程实施能力评定办法，因此含有重要的研究价值和学习意义，通过本课题的研究学习，能够让学习者对系统安全工程的实施过程有一种整体的认识和把握，并且对于如何运用SSE-CMM改善过程有一种进一步的理解，这对于掌握之后的信息安全过程实施和信息安全风险评定等章节都含有重要而主动地意义。课程学习过程1.学习课本有关SSE-CMM的知识。查找有关资料理解和掌握信息安全工程能力成熟度模型的实施和分析办法。寻找运用SSE-CMM改善过程的工程实例加以分析学习研究。制作SSE-CMM的应用实例ppt并加以解说。讨论并编写开题报告和研讨报告。课题研究学习纲要 课题研究学习目的课题学习目的1) 理解SSE-CMM的基本知识。2) 理解系统安全工程的普通过程。3) 通过案例分析掌握如何用SSE-CMM改善过程。4)理解普通信息安全工程实施的基本思想和办法。5）认识SSE-CMM将来发展的趋势。 课题研究目的1) 理解SSE-CMM项目组织构成；2) 理解SSE-CMM项目现状；3) 理解SSE-CMM的体系构造；4) 理解使用SSE-CMM改善过程的案例分析；5) 掌握在组织中使用SSE-CMM改善过程的办法；6) 理解SSE-CMM的将来发展与展望。 课题研讨目的1) SSE-CMM与其它类似模型的区别和优势。2) 让大家理解SSE-CMM的体系构造和基本理论。涉及：1. 基本模型2. 域维/安全过程区3. 能力维/公共特性4. 能力级别5. 体系构造的构成3) 分析一种用SSE-CMM改善过程的案例。涉及：1. 工程介绍2. 改善实施过程3. 启示研究4) 探讨更全方面的用SSE-CMM改善过程的方法。 课题研究学习方案 课题研究学习技术路线2.2.1.1．学习思路通过学习理论知识并结合实例加以分析，讨论并进行研讨，撰写报告。2.2.1.2．研究学习办法a．学习理论b．小组讨论c．研讨解说d．报告撰写2.2.1.3．理论技术基础信息安全工程2.2.1.4.研究学习内容模块的划分和设计a.SSE-CMM基本知识体系构造b.SSE-CMM的合用对象和覆盖范畴c.应用SSE-CMM改善的案例 d.SSE-CMM改善的案例的分析 e.SSE-CMM下一步的发展。++++++=基本实践角色分派组织构造安全工程工作产品生命周期通用实践可靠的组织可靠的组织过程图1.使用SSE-CMM改善过程基本办法示意图 课题研究学习内容要点1.什么是CMM能力成熟度模型？当代统计过程控制理论表明通过强调生产过程的高质量和在过程中组织实施的成熟性能够低成本地生产出高质量产品；全部成功公司的共同特点是都含有一组严格定义、管理完善、可测可控从而高度有效的业务过程；CMM模型抽取了这样一组好的工程实践并定义了过程的“能力”。2.什么是SSE系统安全工程？SystemSecurityEngineering;即系统安全工程是系统工程的一种子集，遵从系统工程的思想，涉及普通性原则和规律；系统安全工程的重要目的是：1）理解公司现存的安全风险；2）根据已识别的安全风险建立一组平衡的安全需求；3）综合多个工程学科的努力将安全需求转化为贯穿系统生命周期的工程实施指南；4）通过对的有效的安全机制来确保安全系统的信任度达成组织的规定；5）确保系统的残存风险在可允许的范畴之内；6）涉及众多层面的安全问题，与其它工程亲密有关，如软件工程等；3.SSE-CMM的重要概念4.课题研究学习内容3.1SSE-CMM基础知识系统安全过程能力成熟度模型介绍系统安全工程能力成熟模型（SystemsSecurityEngineeringCapabilityMaturityModel），描述了一种组织的系统安全工程过程必须包含的基本特性，这些特性是完善的安全工程确保，也是系统安全工程实施的度量原则，同时还是一种易于理解的评定系统安全工程实施的框架。系统安全过程能力成熟度模型的合用对象：工程组织（EngineeringOrganization）涉及系统集成商、应用开发商、产品和服务提供商；工程组织运用其对自己的工程能力进行自我评定；采购组织（AcquiringOrganization）涉及采购系统、产品以及从外部/内部资源和最后顾客处获取服务的组织；采购组织通过其来鉴别一种供应者组织的的系统安全工程能力，识别该组织供应的产品和系统的可信任性；评定组织（EvaluationOrganization）涉及认证组织、系统授权组织、系统和产品评定组织等；评定组织使用SSE-CMM作为工作基础，方便建立被评定组织整体能力的信任度，该信任度是系统和产品的安全确保要素。系统安全工程过程重要涉及风险、工程、确保三个方面。风险就是有害事件发生的可能性。一种有害事件有三个部分构成：威胁、脆弱性和影响。确保是指安全需要得到满足的信任程度。SE-CMM的信任程度来自于安全工程过程可重复性的成果质量。图2.安全工程过程图图3.风险评定内容图图4.工程过程内容图图5.确保模块内容图SSE-CMM的体系构造SSE-CMM体系构造设计的目的是清晰的从管理和制度化特性中分离出安全工程的基本特性，采用域（Domain）和能力（Capability）的两维构造。横轴“域维”聚集了定义安全工程的全部实践活动，涉及大概60项基本实践（BP，BasePractice），这些BP又被组织成11个过程区域（PA）。11个PA可能出现在安全系统生命周期的各个阶段，并不规定其先后次序。图6.域维构造图过程区域（PA，ProcessArea）过程区域是过程的一种单位，是由某些基本实施（BP，BasePractice）构成的，这些BP共同实施以达成该PA的目的。这些BP是强制性的，只有全部成功执行，才干满足PA规定的目的；SSE-CMM包含三类过程区域：工程、项目和组织三类。纵轴“能力维”代表组织能力，由过程管理与制度化能力构成。什么是过程能力（ProcessCapability）一种过程与否能够达成预期效果的度量办法，即执行一种过程的成熟度级别划分；过程能力的作用：过程能力可协助组织预见达成过程目的的能力，如果一种组织某个过程的能力级别低，意味着完毕该过程投入的成本，实现的进度、功效和质量都是不稳定的；或者说过程能力越高则达成预定的成本、进度、功效和质量目的的就越有把握共设立6个能力级别，每个能力级别由一组能够反映过程能力变化的公共特性（CF，CommonFeature）来定义，这些CF合用于全部PA，每一种CF又能够由若干项通用实践（GP，GenericPractice）来描述。能力级别的划分CMM介绍CMM–CapabilityMaturityModel即能力成熟度模型。当代统计过程控制理论表明通过强调生产过程的高质量和在过程中组织实施的成熟性能够低成本地生产出高质量产品。全部成功公司的共同特点是都含有一组严格定义、管理完善、可测可控从而高度有效的业务过程。CMM模型抽取了这样一组好的工程实践并定义了过程的“能力”。SSE-CMM模型与其它同类模型的关系：SSE-CMM是CMM模型里面的一种分支，其重要合用于信息系统安全工程领域，是CMM下安全工程领域的一种分支。图7.能力成熟度模型的应用用ＳＳＥ－ＣＭＭ改善过程的通用做法SSE-CMM可应用于全部从事某种形式的安全工程组织，这种应用与生命期、范畴、环境或专业无关。该模型合用于下列三种方式：“评定”，允许获取组织理解潜在项目参加者的组织层次上的安全工程过程能力。“改善”，使安全工程组织获得本身安全工程过程能力级别的认识，并不停地改善其能力。“确保”，通过有根据地使用成熟过程，增加可信产品、系统和服务的可信度。SSE-CMM的使用评定：为评定收集数据广泛、严格，每个数据有充足的证据；决定实施安全工程过程的能力；为评定定义了安全工程环境；在评定巧妙地使用了SSE-CMM体系构造中的两个方面。SSE-CMM评定办法：SSE-CMMAppraisalMethod（SSAM）是一种组织或项目级的评定办法，通过多个数据采集办法来或区域待评定组织或项目有关的实践过程的信息，目的在于获得一种真实实践的基线（Baseline）或基准（Benchmark），创立并支持用于改善的要素；数据采集办法：问卷、访谈、证据复审；评定阶段：规划（Planning），准备（Preparation），现场（On-site），报告（Reporting）；安全基本实践的过程：表一、安全基本实践一表二、安全基本实践二表三、项目和组织的基本实践一表四、项目和组织的基本实践二3.２用ＳＳＥ－ＣＭＭ改善过程的案例和方法3.2.1案例分析通过对一种典型的信息安全工程实施案例的研究，分析出用ＳＳＥ－ＣＭＭ改善其过程的具体做法和常见原则。下面列举一种通过ＳＳＥ－ＣＭＭ等级评定的案例，来做具体阐明。位于加州的软件工程分公司(SED)是HughesAircraft下属的一家专门从事地面系统制造的集团，它是最大的一家指定的开发地面系统的软件机构。SED的重要合作伙伴是美国国防部，它从国防部得到了大量的订单。在HughesSED里，有500多名专业人才，其中有至软件开发经验的人员占41%，有以上软件开发经验的专家占12%，整体实力雄厚。在１９９７年以前，SED就尝试过建立某些政策、方法来改善软件过程，重要涉及技术和项目的定时审查，数据收集，也规定对产品进行质量的审核。尽管这些审查执行了，但是某些方面还不一至，并且培训方面做的也不完善。SPI的工作：从１９９７年，CMU的软件工程研究所（SEI）初次对SED进行了过程评测，评测的成果：SED是一家二级软件开发机构。这次评测同意下列六点需要改善： 技术管理形式化；错误数据的收集报告要原则化、集中化；弥补培训方面的空白（涉及项目管理、内部审核、需求分析、测试和软件质量确保；审查过程原则化；定义软件工程过程；加强软件质量确保（SQA）到１９９９年SED第二次参加评测时，他们已经在这些问题的解决上，获得了很大的进步，成为一家实力很强的三级机构，并努力向第四、第五级靠拢。他们在二级到三级的转变共用了两年的时间，使用了75人月和约$45，000。在1990年的评测总结中得出，SED已经在软件过程改善获得领先地位，并为向更高级迈进打下一坚实的基础。在这次评测中，又总结了六点但愿得到进一步改善： 把软件集成到系统工程中；弥补计算机辅助的软件工程(CASE)技术的空白；扩展大量过程管理(QPM)的规模；针对商业目的，优化QPM；加大软件需求的力度；确保充足的软件质量确保的支持SED在1992年五月，用CMU/SEI-87-TR-23的原则进行了自我评测，成果是达成了四级成熟度的规定。但是，由于CMU公布了新版的CMM原则，SED还需要继续努力才能够达成四级成熟度，是鉴于下列几点得出的： 预测及跟踪错误； 分析错误的根本因素； 持续改善审查的效率； 原型过程制度化； 开发评测的技术；SPI的数据成果:SED在几次评测中得到了许多好处。这些重要好处中有的很难用一种定量的办法来精确的描述，譬如说：根据已有的数据和事实预测对产品质量影响的能力、机构员工的士气、精神的增加、技术易于应用和工作条件的改善等等。下面我们来具体看一下：1. 生产力下列是几个数据阐明，SED在三级成熟度时，相对于二级时在生产力方面有的本质的改善。由于早期错误检测能够大量减少重复劳动，因此它对生产力起着重要的作用。图1就清晰的显示了在二级成熟度与三级成熟度之间，在不同的阶段对错误的发现率。同样的因素，错误的尽早发现，使着重复工作明显减少。但是，请注意这只是大量减少了编码前的重复工作，在背面SPI的其它方面也对重复工作产生了影响。图2能够阐明这个问题由于重复工作开销的减少，使得整个项目预算的精确率上升。随着成熟度的不停提高，平均实际成本已经低于预算成本。2. 进度通过基于ＳＳＥ－ＣＭＭ的过程改善后，SED在项目的符合进度规定方面有所改善。这儿，普通产品的开发时间都会超出计划，但是能够看出，产品的开发时间越来越靠近进度的规定．3. 商业价值第一年的效益是$2,000,000，相对于成本的$400,000和评测耗费的$45,000，收益是相称可观的，并且这种效益的增加趋势还在继续，评测所产生的效力会在SED后来的发展起到重要的作用。4. 吸取的经验： 对软件过程改善的管理承诺是成功的核心； 制订一种活动计划是基础； 机构对过程改善的投入和技术的转变是成功的重要成分； SPI后的许多优势如：员工的士气、合作的精神、工作的质量和公司的文化改善都是很有好处； 自从SED进行过程改善后，出现危机的可能性日趋减小。3.2.2SSE-CMM改善工程的方法SSE-CMM能够用作改善组织安全工程过程的工具，建议采用SEI的IDEAL模型，目的是进入一种评定现在状况、改善、重复的持续循环之中。使用SSE-CMM改善过程常分为下列几个环节。Initiating（初始化）熟悉项目目的和完毕方式，开发业务案例和项目执行办法，获得管理层同意和支持，为成功的改善努力做好铺垫；Diagnosing（诊疗）理解组织现在和盼望的过程成熟度状态，这些是形成组织过程改善行动计划的基础；Establishing（建立）基于努力目的和诊疗阶段开发的建议来制订具体的行动计划，并考虑到多个约束；Acting（操作）即实施阶段，无论是资源还是时间，都需要各方面付出最大程度的努力；Learning（学习）既是本次循环的终止，又是下一次改善过程的开端。对整个过程改善活动进行评定。在一种安全工程实施以前，应先使用这一模型评定实施队伍在一种或几个项目中的体现，从而得出实施队伍的能力评价．这一过程涉及持续一周的与实施队伍直接接触的调研活动．评定活动本身并不复杂，普通只是确认SSE-CMM模型中定义的共同特性与否存在．被评定者必须提交证据以支持自己的论点．在评价一种实施队伍的能力级别中，实施队伍与否满足该级别的全部共同特性是前提，例如某个实施队伍在其实施的过程域上满足了ｎ级的全部共同特性但只满足ｎ＋１级和ｎ＋２级的部分共同特性，其过程能力应当为ｎ级．这也符合安全的“木桶原理”．在一种项目的初始阶段，首先应根据SSE-CMM规定对信息系统存在的脆弱性、可能出现的威胁以及信息系统受到破坏所产生的影响进行风险分析和评定．建议在进行风险分析和评定时增加一种对保护手段评定的过程域，由于SSE-CMM的风险分析未专门评定系统的保护手段，而保护手段在系统中存在的根本目的是将风险控制在可接受的程度内，故应强化对保护手段的评定，该评定过程域普通可从管理安全手段、设备安全手段、人员安全手段、环境安全手段和通信安全手段等几个方面加以考虑．实施队伍必须根据风险分析的成果，有关系统规定，同客户一起定义系统的安全需求和安全方案．普通是由顾客负责定义系统的安全需求，安全需求涉及２个方面，一是具体阐明其系统的安全目的，二是提出对安全系统可靠性规定．而实施队伍根据安全需求文献制订系统的安全方案，叙述安全系统功效及可信度并与顾客的安全需求相对比，以证明该安全系统满足顾客的需要．安全方案必须用品体语言和有力的论据来阐明安全需求中的抽象描述如何逐条地在所评价的系统中得到满足．在综合考虑涉及成本，性能以及使用难易程度等多个因素和多个替代方案之后，问题的解决方案得以创立出来．这个解决方案必须由可信的第三方进行全方面的评定、认证和鉴定．在整个工程实施阶段，应当产生一种可用于过程管理的安全基线，并尽量提高其描述精确度．安全基线是为确保达成安全目的在实施时最少需要满足的基本条件．能够在实施过程中创立一种安全基线库，通过基线库状态对系统进行不间断的监控，以确保明施过程中变更带来的新风险不至于增大到不能接受的程度．安全基线的实施也是模型中有关实施过程的工程化途径．在执行具体项目时，实施队伍能够根据工程项目的实际需求有选择地执行某些过程域而不是全部．同样，实施队伍也可能需要执行在这11个过程域之外的核心过程．例如能够使用取自系统工程能力成熟模型的11个核心过程域。这11个核心过程域用于信息系统和实施队伍本身的管理，两者之间的配合和协调是通过在同一计划中明确规定接口、确认工程进度和确保信息共享等达成的．另外，在整个实施过程中必须同时由第三方对实施进行检测和评定，以确认工程的安全可信度．在整个工程实施阶段安全基线的制订是核心，不同性质和安全需求的信息系统其安全基线是不的．根据我们在具体实施中的实际经验，在SSE-CMM基础上，给出了制订安全基线的６条原则作为应用参考．安全基线六准则１）安全需求基线２）安全输入基线３）协同安全基线４）安全管理基线５）安全确保参数基线６）监视安全态势基线SSE-CMM发展的历史、现状和将来3.3.1SSE-CMM发展的历史1993年4月美国国家安全局（NSA）开始酝量；1996年10月出版了SSE-CMM模型的第一种版本，1997年4月出版了评定办法的第一种版本。从1996年6月到1997年6月进行许多实验项目。1999年4月出版了第二版。，ISO/IECIS21827推出SSE-CMMV3.0。3.3.2SSE-CMM发展的现状国家质检总局（SBTS）公布了GB/T20261-的SSE-CMM规范。现在，该版本已得到了广泛使用。同时，许多权威部门和大公司根据信息工程建设领域出现的新状况正在对SSE-CMM的原则、内容和体系进行进一步的补充和规范。3.3.3SSE-CMM发展的将来我国国家和军队已经准备将SSE-CMM作为安全产品和信息系统安全性检测和认证的原则之一。随着对SSE-CMM的进一步研究，SSE-CMM在我国将会得到更广泛的应用。参考文献及介绍参考文献列表【1】 沈昌祥.用信息安全工程理论规范信息安全建设【N】.计算机世界，-09-03（B1）【2】 林代茂.信息安全—系统的理论与技术【M】.北京：科学出版社，.【3】 罗万伯,周安民，谭兴烈等.信息安全工程学【M】.北京：电子工业出版社，.【4】 王英梅，王胜开，陈国顺等.信息安全风险评定【5】 张建军，孟亚平.信息安全风险评定探索与实践【6】 吴亚非，李新友.信息安全风险评定【7】 王奕，费洪晓.基于AHP的信息安全风险评定办法研究【8】 刘怀兴，叶尔江等.层次分析法在信息安全风险评定中的应用【9】 张晓伟，金涛.信息安全方略与机制。【10】 10、Boolz-allen & Hamilton.System Security Engineering Capablity Maturity Model(SSE-CMM)version2.0[A].TheNationInformationSystemsSecurityConf【C】.1999.【11】 钱刚，达庆利.基于SSE-CMM模型的信息系统安全工程管理【12】 赵卫东.信息系统生命周期中的安全工程活动研究【13】 刘兰娟，张庆华.信息安全工程理论与实践【14】 沈昌祥，蔡谊.信息安全工程技术【15】 关义章.信息系统安全工程学【16】 陈晓红，罗新星.信息系统教程【17】 戴宗坤.信息系统安全【18】 高德明.信息系统安全工程体系及其应用研究【19】 沈昌祥.信息系统安全工程导论【20】 风险评定技术与办法--案例介绍【21】 需求分析报告案例【22】 网络安全的规划设计【23】 IP网络安全方略报告【24】 在线备份产品测试报告【25】 业务网建设工作方案的报告。参考文献介绍【1】 本书介绍了国内外信息安全风险评定发展的现状，给出了GB/T20984-的重要内容、基础理论、实施流程和组织管理等内容，并对风险评定的基本办法、基础工具、管理控制记忆在等级保护制度建设中的作用等方面进行了叙述。【2】 本书以信息系统生存性卫线索，以信息系统安全工程为框架，重视案例介绍和实践驱动，梳理了信息系统安全工程普遍原则在信息系统生存性研究方面的应用和实践【3】 本书涵盖了信息系统等级保护安全体系构造、核心技术、等级保护模拟平台、信息系统等级保护安全建设方案及应用案例等方面的内容。【4】 书中把信息安全分为三种类型，并分别介绍了三类信息安全的有关技术（涉及密码学、信息隐藏及网络安全技术），最后简朴地介绍了工