信息系统安全工程研究报告 课题如何用SSE-CMM改进过程.doc

1 信息系统安全工程信息系统安全工程 课内研究学习课内研究学习 文档之：研究报告文档之：研究报告 课题名称：课题名称：如何用如何用 sse-cmm 改进过程改进过程 知识单元：知识单元：系统安全工程能力成熟度模型系统安全工程能力成熟度模型 研讨模块：研讨模块：信息安全工程案例信息安全工程案例 计算机学院网络工程系制 2 目 录 目录目录 1.课题概述课题概述3 1.1.1.1.课程学习意义课程学习意义.3 1.2.1.2.课程学习过程课程学习过程.3 2.课题研究学习纲要课题研究学习纲要.3 2.1.课题研究学习目标课题研究学习目标.3 2.1.1.课题学习目标课题学习目标.3 2.1.2.课题研究目标课题研究目标.4 2.1.3.课题研讨目标课题研讨目标.4 2.2.课题研究学习方案课题研究学习方案.4 2.2.1.课题研究学习技术路线课题研究学习技术路线.4 2.2.2.课题研究学习内容要点课题研究学习内容要点.5 3.课题研究学习内容课题研究学习内容.5 3.13.1 sse-cmmsse-cmm 基础知识基础知识 .5 3.1.1.系统安全过程能力成熟度模型简介系统安全过程能力成熟度模型简介.5 3.1.2.、系统安全工程过程、系统安全工程过程.6 3.1.3.sse-cmm的体系结构的体系结构6 3.1.4.cmm介绍介绍6 3.1.5.用改进过程的通用做法用改进过程的通用做法.7 3.3.用改进过程的案例和办法用改进过程的案例和办法 8 3.33.3sse-cmmsse-cmm 发展的历史、现状和未来发展的历史、现状和未来 11 3.3.1sse-cmm发展的历史发展的历史.11 3.3.2 sse-cmm发展的现状发展的现状11 3.3.3 sse-cmm发展的未来发展的未来11 参考文献及简介参考文献及简介11 参考文献列表参考文献列表11 参考文献简介参考文献简介12 4.考核结果考核结果15 3 1. 课题概述课题概述 1.1.1.1. 课程学习意义课程学习意义 本课题研究内容主要基于教材的第二章节系统安全能力成熟度模型进行 展开，属于信息安全工程案例这一研讨模块。课题研究的重点是如何运用 sse-cmm 改进工程实施的工程，由于系统安全能力成熟度模型是目前系统 工程领域认可度最高，使用最为广泛的一种系统安全工程实施能力评估方法， 因此具有重要的研究价值和学习意义，通过本课题的研究学习，可以让学习 者对系统安全工程的实施过程有一个整体的认识和把握，并且对于如何运用 sse-cmm 改进过程有一个深入的了解，这对于掌握之后的信息安全过程实 施和信息安全风险评估等章节都具有重要而积极地意义。 1.2.1.2. 课程学习过程课程学习过程 1.学习课本关于 sse-cmm 的知识。 2. 查找有关资料了解和掌握信息安全工程能力成熟度模型的实施和 分析方法。 3. 寻找运用 sse-cmm 改进过程的工程实例加以分析学习研究。 4. 制作 sse-cmm 的应用实例 ppt 并加以讲解。 5. 讨论并编写开题报告和研讨报告。 2.课题研究学习纲要课题研究学习纲要 2.1.课题研究学习目标课题研究学习目标 2.1.1.课题学习目标课题学习目标 1) 理解 sse-cmm 的基本知识。 2) 了解系统安全工程的一般过程。 3) 通过案例分析掌握如何用 sse-cmm 改进过程。 4) 了解一般信息安全工程实施的基本思想和方法。 5）认识 sse-cmm 未来发展的趋势。 4 2.1.2.课题研究目标课题研究目标 1) 理解 sse-cmm 项目组织构成； 2) 了解 sse-cmm 项目现状； 3) 了解 sse-cmm 的体系结构； 4) 理解使用 sse-cmm 改进过程的案例分析； 5) 掌握在组织中使用 sse-cmm 改进过程的方法； 6) 了解 sse-cmm 的未来发展与展望。 2.1.3.课题研讨目标课题研讨目标 1) sse-cmm 与其它类似模型的区别和优势。 2) 让大家了解 sse-cmm 的体系结构和基本理论。包括： 1. 基本模型 2. 域维/安全过程区 3. 能力维/公共特性 4. 能力级别 5. 体系结构的组成 3) 分析一个用 sse-cmm 改进过程的案例。包括： 1. 工程简介 2. 改进实施过程 3. 启示研究 4) 探讨更全面的用 sse-cmm 改进过程的办法。 2.2.课题研究学习方案课题研究学习方案 2.2.1.课题研究学习技术路线课题研究学习技术路线 2.2.1.1学习思路 通过学习理论知识并结合实例加以分析，讨论并进行研讨，撰写报告。 2.2.1.2研究学习方法 a学习理论 b小组讨论 c研讨讲解 5 d报告撰写 2.2.1.3理论技术基础 信息安全工程 2.2.1.4. 研究学习内容模块的划分和设计 a. sse-cmm 基本知识体系结构 b. sse-cmm 的适用对象和覆盖范围 c. 应用 sse-cmm 改进的案例 d. sse-cmm 改进的案例的分析 e. sse-cmm 下一步的发展。 图图 1.使用 sse-cmm 改进过程基本方法示意图 2.2.2.课题研究学习内容要点课题研究学习内容要点 1.什么是 cmm 能力成熟度模型？ 现代统计过程控制理论表明通过强调生产过程的高质量和在过程中组织实施 的成熟性可以低成本地生产出高质量产品；所有成功企业的共同特点是都具有一 组严格定义、管理完善、可测可控从而高度有效的业务过程；cmm 模型抽取了 这样一组好的工程实践并定义了过程的“能力” 。 2.什么是 sse 系统安全工程？ system security engineering;即系统安全工程是系统工程的一个子集，遵从系 统工程的思想，包括一般性原则和规律；系统安全工程的主要目标是： 基本实践基本实践 角色分配角色分配 组织结构组织结构 安全工程安全工程 工作产品工作产品 生命周期生命周期 通用实践通用实践 可 靠 的 组 织 过 程 6 1）了解企业现存的安全风险； 2）根据已识别的安全风险建立一组平衡的安全需求； 3）综合各种工程学科的努力将安全需求转化为贯穿系统生命周期的工程实 施指南； 4）通过正确有效的安全机制来保证安全系统的信任度达到组织的要求； 5）确保系统的残余风险在可容许的范围之内； 6）涉及众多层面的安全问题，与其他工程密切相关，如软件工程等； 3. sse-cmm 的主要概念 4. 3. 课题研究学习内容课题研究学习内容 3.13.1 sse-cmmsse-cmm 基础知识基础知识 3.1.1.系统安全过程能力成熟度模型简介系统安全过程能力成熟度模型简介 系统安全工程能力成熟模型（systems security engineering capability maturity model） ，描述了一个组织的系统安全工程过程必须包含的基本特征，这些特征是 完善的安全工程保证，也是系统安全工程实施的度量标准，同时还是一个易于理 解的评估系统安全工程实施的框架。 系统安全过程能力成熟度模型的适用对象： 工程组织（engineering organization） 包括系统集成商、应用开发商、产品和服务提供商； 工程组织利用其对自己的工程能力进行自我评估； 采购组织（acquiring organization） 包括采购系统、产品以及从外部/内部资源和最终用户处获取服务的组织； 采购组织通过其来判别一个供应者组织的的系统安全工程能力，识别该组织 供应的产品和系统的可信任性； 评估组织（evaluation organization） 包括认证组织、系统授权组织、系统和产品评估组织等； 评估组织使用 sse-cmm 作为工作基础，以便建立被评估组织整体能力的信 任度，该信任度是系统和产品的安全保证要素。 7 3.1.2.系统安全工程过程系统安全工程过程 主要包括风险、工程、保证三个方面。风险就是有害事件发生的可能性。一 个有害事件有三个部分组成：威胁、脆弱性和影响。 保证是指安全需要得到满 足的信任程度。se-cmm 的信任程度来自于安全工程过程可重复性的结果质量。 图 2.安全工程过程图 图 3.风险评估内容图 8 图 4.工程过程内容图 图 5.保证模块内容图 3.1.3.sse-cmm 的体系结构的体系结构 sse-cmm 体系结构设计的目标是清晰的从管理和制度化特征中分离出安全 工程的基本特征，采用域（domain）和能力（capability）的两维结构。 横轴“域维”汇集了定义安全工程的所有实践活动，包括大约 60 项基本实 践（bp，base practice） ，这些 bp 又被组织成 11 个过程区域（pa） 。11 个 pa 可 能出现在安全系统生命周期的各个阶段，并不规定其先后顺序。 9 图 6.域维结构图 过程区域（pa，process area） 过程区域是过程的一种单位，是由一些基本实施（bp，base practice）组成 的，这些 bp 共同实施以达到该 pa 的目标。这些 bp 是强制性的，只有全部成功 执行，才能满足 pa 规定的目标； sse-cmm 包含三类过程区域：工程、项目和组织三类。 纵轴“能力维”代表组织能力，由过程管理与制度化能力构成。什么是过程 能力（process capability）一个过程是否可以达到预期效果的度量方法，即执行 一个过程的成熟度级别划分； 过程能力的作用： 过程能力可帮助组织预见达到过程目标的能力，如果一个组织某个过程的能 力级别低，意味着完成该过程投入的成本，实现的进度、功能和质量都是不稳定 的；或者说过程能力越高则达到预定的成本、进度、功能和质量目标的就越有把 握 共设置 6 个能力级别，每个能力级别由一组能够反映过程能力变化的公共特 征（cf，common feature）来定义，这些 cf 适用于所有 pa，每一个 cf 又可以 由若干项通用实践（gp，generic practice）来描述。 10 能力级别的划分 3.1.4.cmm 介绍介绍 cmm capability maturity model 即能力成熟度模型。 现代统计过程控制理论表明通过强调生产过程的高质量和在过程中组织实施 的成熟性可以低成本地生产出高质量产品。 所有成功企业的共同特点是都具有一组严格定义、管理完善、可测可控从而 高度有效的业务过程。 cmm 模型抽取了这样一组好的工程实践并定义了过程的“能力” 。 11 达到要求： 关注持续的过程改进 过程已测量和控制 为企业刻画过程 为项目刻画过程 过程不可预测和控制 定义级-3 优化级-5 定量管理级-4 管理级-2 初始级-1 sse-cmm 模型与其它同类模型的关系： sse-cmm 是 cmm 模型里面的一个分支，其主要适用于信息系统安全工程领域，是 cmm 下安全工程领域的一个分支。 图 7. 能力成熟度模型的应用 12 3.1.5.用改进过程的通用做法用改进过程的通用做法 sse-cmm 可应用于所有从事某种形式的安全工程组织，这种应用与生命期、 范围、环境或专业无关。该模型适用于以下三种方式： “评定” ，允许获取组织了解潜在项目参加者的组织层次上的安全工程过程 能力。 “改进” ，使安全工程组织获得自身安全工程过程能力级别的认识，并不断 地改进其能力。 “保证” ，通过有根据地使用成熟过程，增加可信产品、系统和服务的可信 度。 sse-cmm 的使用评定： 为评定收集数据广泛、严格，每个数据有充分的证据； 决定实施安全工程过程的能力； 为评定定义了安全工程环境； 在评定巧妙地使用了 sse-cmm 体系结构中的两个方面。 sse-cmm 评估方法： sse-cmm appraisal method（ssam） 是一种组织或项目级的评估方法，通过多种数据采集方法来或区域待评估组 织或项目相关的实践过程的信息，目的在于取得一个真实实践的基线 （baseline）或基准（benchmark） ，创建并支持用于改进的要素； 数据采集方法：问卷、访谈、证据复审； 评估阶段：规划（planning） ，准备（preparation） ，现场（on-site） ，报告 （reporting） ； 安全基本实践的过程： 13 表一、安全基本实践一 14 表二、安全基本实践二 15 表三、项目和组织的基本实践一 16 表四、项目和组织的基本实践二 3.3.用改进过程的案例和办法用改进过程的案例和办法 3.2.1 案例分析案例分析 通过对一个典型的信息安全工程实施案例的研究，分析出用 改进其过程的具体做法和常见原则。下面列举一个通过等级评估 的案例，来做详细说明。 位于加州的软件工程分公司(sed)是 hughes aircraft 下属的一家专门从事地 面系统制造的集团，它是最大的一家指定的开发地面系统的软件机构。sed 的主 要合作伙伴是美国国防部，它从国防部得到了大量的订单。在 hughes sed 里， 有 500 多名专业人才，其中有 10 年至 20 年软件开发经验的人员占 41%，有 20 年以上软件开发经验的专家占 12%，整体实力雄厚。 在年以前，sed 就尝试过建立一些政策、措施来改进软件过程，主 要包括技术和项目的定期审查，数据收集，也要求对产品进行质量的审核。尽管 17 这些审查执行了，但是某些方面还不一至，并且培训方面做的也不完善。 spi 的工作： 从年，cmu 的软件工程研究所（sei）首次对 sed 进行了过程评测， 评测的结果：sed 是一家二级软件开发机构。这次评测同意以下六点需要改进： 技术管理形式化 ；错误数据的收集报告要标准化、集中化 ；填补培训 方面的空白（包括项目管理、内部审核、需求分析、测试和软件质量保证；审查 过程标准化；定义软件工程过程 ；加强软件质量保证（sqa） 到年 sed 第二次参加评测时，他们已经在这些问题的解决上，取得 了很大的进步，成为一家实力很强的三级机构，并努力向第四、第五级靠拢。他 们在二级到三级的转变共用了两年的时间，使用了 75 人月和约$45，000。在 1990 年的评测总结中得出，sed 已经在软件过程改进取得领先地位，并为向更高 级迈进打下一坚实的基础。在这次评测中，又总结了六点希望得到进一步改进： 把软件集成到系统工程中 ；填补计算机辅助的软件工程(case)技术的空 白；扩展大量过程管理(qpm)的规模 ；针对商业目标，优化 qpm ；加大软件需 求的力度 ；确保充分的软件质量保证的支持 sed 在 1992 年五月，用 cmu/sei-87-tr-23 的标准进行了自我评测，结果 是达到了四级成熟度的要求。但是，由于 cmu 公布了新版的 cmm 标准，sed 还需要继续努力才可以达到四级成熟度，是鉴于以下几点得出的： 预测及跟踪错误 ； 分析错误的根本原因； 持续改进审查的效率 ； 原型过程制度化 ； 开发评测的技术 ； spi 的数据结果: sed 在几次评测中得到了许多好处。这些重要好处中有的很难用一个定量的 方法来精确的描述，譬如说：根据已有的数据和事实预测对产品质量影响的能力、 机构员工的士气、精神的增加、技术易于应用和工作条件的改善等等。下面我们 来具体看一下： 1. 生产力生产力 18 以下是几个数据说明，sed 在三级成熟度时，相对于二级时在生产力方面有 的本质的改进。因为早期错误检测可以大量减少重复劳动，所以它对生产力起着 重要的作用。图 1 就清晰的显示了在二级成熟度与三级成熟度之间，在不同的阶 段对错误的发现率。 同样的原因，错误的尽早发现，使着重复工作显著减少。但是，请注意这只 是大量减少了编码前的重复工作，在后面 spi 的其它方面也对重复工作产生了影 响。图 2 可以说明这个问题 由于重复工作开销的减少，使得整个项目预算的准确率上升。随着成熟度的 19 不断提高，平均实际成本已经低于预算成本。 2. 进度进度 经过基于的过程改进后，sed 在项目的符合进度要求方面有 所改善。这儿，通常产品的开发时间都会超过计划，但是可以看出，产品的开发 时间越来越接近进度的要求 3. 商业价值商业价值 第一年的效益是$2,000,000，相对于成本的$400,000 和评测花费的$45,000， 收益是相当可观的，并且这种效益的增长趋势还在继续，评测所产生的效力会在 sed 后来的发展起到重要的作用。 4. 吸取的经验：吸取的经验： 对软件过程改进的管理承诺是成功的关键 ； 制订一个活动计划是基础 ； 机构对过程改进的投入和技术的转变是成功的重要成分 ； spi 后的许多优势如：员工的士气、合作的精神、工作的质量和企业的文 化改善都是很有好处 ； 自从 sed 进行过程改进后，出现危机的可能性日趋减小。 3.2.2 sse-cmm 改进工程的办法改进工程的办法 sse-cmm 可以用作改进组织安全工程过程的工具，建议采用 sei 的 ideal 模型，目的是进入一个评估当前状况、改进、重复的持续循环之中。使用 sse- cmm 改进过程常分为以下几个步骤。 initiating（初始化） 熟悉项目目标和完成方式，开发业务案例和项目执行方法，获得管理层批准 和支持，为成功的改进努力做好铺垫； diagnosing（诊断） 理解组织当前和期望的过程成熟度状态，这些是形成组织过程改进行动计划 的基础； establishing（建立） 基于努力目标和诊断阶段开发的建议来制定详细的行动计划，并考虑到各种 约束； 20 acting（操作） 即实施阶段，无论是资源还是时间，都需要各方面付出最大程度的努力； learning（学习） 既是本次循环的终止，又是下一次改进过程的开端。对整个过程改进活动进 行评估。 在一个安全工程实施以前，应先使用这一模型评估实施队伍在一个或几个项 目中的表现，从而得出实施队伍的能力评价这一过程包括持续一周的与实施队 伍直接接触的调研活动评估活动本身并不复杂，一般只是确认 sse-cmm 模型中 定义的共同特性是否存在被评估者必须提交证据以支持自己的论点在评价一 个实施队伍的能力级别中，实施队伍是否满足该级别的所有共同特性是前提，例 如某个实施队伍在其实施的过程域上满足了级的全部共同特性但只满足 级和级的部分共同特性，其过程能力应当为级这也符合安全的“木桶 原理” 在一个项目的初始阶段，首先应根据 sse-cmm 要求对信息系统存在的脆 弱性、可能出现的威胁以及信息系统受到破坏所产生的影响进行风险分析和评 估建议在进行风险分析和评估时增加一个对保护手段评估的过程域，因为 sse- cmm 的风险分析未专门评估系统的保护手段，而保护手段在系统中存在的根本目 的是将风险控制在可接受的程度内，故应强化对保护手段的评估，该评估过程域 一般可从管理安全手段、设备安全手段、人员安全手段、环境安全手段和通信安 全手段等几个方面加以考虑实施队伍必须根据风险分析的结果，有关系统要求， 同客户一起定义系统的安全需求和安全方案一般是由用户负责定义系统的安全 需求，安全需求包括个方面，一是详细说明其系统的安全目标，二是提出对安 全系统可靠性要求而实施队伍依据安全需求文件制订系统的安全方案，阐述安 全系统功能及可信度并与用户的安全需求相对比，以证明该安全系统满足用户的 需要安全方案必须用具体语言和有力的论据来说明安全需求中的抽象描述怎样 逐条地在所评价的系统中得到满足在综合考虑包括成本，性能以及使用难易程 度等各种因素和各种替代方案之后，问题的解决方案得以创建出来这个解决方 案必须由可信的第三方进行全面的评估、认证和鉴定在整个工程实施阶段，应 该产生一个可用于过程管理的安全基线，并尽量提高其描述精确度安全基线是 为保证达到安全目标在实施时至少需要满足的基本条件可以在实施过程中创建 21 一个安全基线库，通过基线库状态对系统进行不间断的监控，以保证实施过程中 变更带来的新风险不至于增大到不能接受的程度安全基线的实施也是模型中有 关实施过程的工程化途径在执行具体项目时，实施队伍可以根据工程项目的实 际需求有选择地执行某些过程域而不是全部同样，实施队伍也可能需要执行在 这 11 个过程域之外的关键过程例如可以使用取自系统工程能力成熟模型的 11 个关键过程域。这 11 个关键过程域用于信息系统和实施队伍本身的管理，两者 之间的配合和协调是通过在同一计划中明确规定接口、确认工程进度和确保信息 共享等达到的此外，在整个实施过程中必须同时由第三方对实施进行检测和评 定，以确认工程的安全可信度在整个工程实施阶段安全基线的制定是核心，不 同性质和安全需求的信息系统其安全基线是不的根据我们在具体实施中的实际 经验，在 sse-cmm 基础上，给出了制定安全基线的条原则作为应用参考 安全基线六准则 ）安全需求基线 ）安全输入基线 ）协同安全基线 ）安全管理基线 ）安全保证参数基线 ）监视安全态势基线 3.33.3sse-cmmsse-cmm 发展的历史、现状和未来发展的历史、现状和未来 3.3.1sse-cmm 发展的历史发展的历史 1993 年 4 月美国国家安全局（nsa）开始酝量； 1996 年 10 月出版了 sse-cmm 模型的第一个版本，1997 年 4 月出版了评定 方法的第一个版本。 从 1996 年 6 月到 1997 年 6 月进行许多实验项目 。 1999 年 4 月出版了第二版。 2002 年，iso/iec is 21827 推出 sse-cmm v3.0。 3.3.2 sse-cmm 发展的现状发展的现状 2006 年国家质检总局（sbts）发布了 gb/t 20261-2006 的 sse-cmm 规范。 22 目前，该版本已得到了广泛使用。同时，许多权威部门和大公司根据信息工程建 设领域出现的新情况正在对 sse-cmm 的标准、内容和体系进行进一步的补充和 规范。 3.3.3 sse-cmm 发展的未来发展的未来 我国国家和军队已经准备将 sse-cmm 作为安全产品和信息系统安全性检测 和认证的标准之一。随着对 sse-cmm 的进一步研究，sse-cmm 在我国将会得 到更广泛的应用。 参考文献及简介参考文献及简介 参考文献列表参考文献列表 【1】 沈昌祥.用信息安全工程理论规范信息安全建设【n】.计算机世界， 2001-09-03（b1） 【2】 林代茂.信息安全系统的理论与技术【m】.北京：科学出版社， 2008. 【3】 罗万伯,周安民，谭兴烈等.信息安全工程学【m】.北京：电子工 业出版社，2002. 【4】 王英梅，王胜开，陈国顺等.信息安全风险评估 【5】 张建军，孟亚平.信息安全风险评估探索与实践 【6】 吴亚非，李新友.信息安全风险评估 【7】 王奕，费洪晓.基于 ahp 的信息安全风险评估方法研究 【8】 刘怀兴，叶尔江等.层次分析法在信息安全风险评估中的应用 【9】 张晓伟，金涛.信息安全策略与机制。 【10】 10、boolz-allen &hamilton.systemsecurityengineering capablity maturitymodel(sse-cmm)version 2.0a.the nation information systems security conf【c】.1999. 【11】 钱刚，达庆利.基于 sse-cmm 模型的信息系统安全工程管理 【12】 赵卫东.信息系统生命周期中的安全工程活动研究 【13】 刘兰娟，张庆华.信息安全工程理论与实践 23 【14】 沈昌祥，蔡谊.信息安全工程技术 【15】 关义章.信息系统安全工程学 【16】 陈晓红，罗新星.信息系统教程 【17】 戴宗坤.信息系统安全 【18】 高德明.信息系统安全工程体系及其应用研究 【19】 沈昌祥.信息系统安全工程导论 【20】 风险评估技术与方法-案例介绍 【21】 需求分析报告案例 【22】 网络安全的规划设计 【23】 ip 网络安全策略报告 【24】 在线备份产品测试报告 【25】 业务网建设工作方案的报告。 参考文献简介参考文献简介 【1】 本书介绍了国内外信息安全风险评估发展的现状，给出了 gb/t20984-2007 的主要内容、基础理论、实施流程和组织管理等内容，并对 风险评估的基本方法、基础工具、管理控制记忆在等级保护制度建设中的作 用等方面进行了阐述。 【2】 本书以信息系统生存性卫线索，以信息系统安全工程为框架，注 重案例介绍和实践驱动，梳理了信息系统安全工程普遍原则在信息系统生存 性研