安全服务项目参考标准(国际、国内)

1、项目参考标准盖特佳公司将依据对安全风险具有良好定义的ISO15408/BS7799/SSE_CMM等国际标准来XXX单位进行安全服务。这些标准是帮助XXX单位计算机信息网络系统构建信息安全管理框架的国际标准。该标准要求各组织建立并运行一套经过验证的信息安全管理体系，用于解决如下问题：资产的保管、组织的风险管理、管理标准和管理办法、要求达到的安全程度等。1）国际安全标准ISO 15408 ISO国际标准化组织于1999年正式发布了ISO/IEC 15408。ISO/IEC JTC 1和Common Criteria Project Organisations共同制订了此标准，此标准等同于Comm

2、on Criteria V2.1。ISO/IEC 15408有一个通用的标题信息技术安全技术IT安全评估准则。此标准包含三个部分：第一部分 介绍和一般模型第二部分 安全功能需求第三部分 安全认证需求ISO/IEC 15408第二部分简介ISO/IEC15408第二部分 安全功能需求，主要归结信息安全的功能需求：1 审计安全审计自动响应、安全审计数据产生、安全审计分析、安全审计评估、安全审计事件选择、安全审计事件存储2 通信源不可否认、接受不可否认3 密码支持密码密钥管理、密码操作4 用户数据保护访问控制策略、访问控制功能、数据鉴别、出口控制、信息流控制策略、信息流控制功能、入口控制、内部安全传

3、输、剩余信息保护、反转、存储数据的完整性、内部用户数据保密传输保护、内部用户数据完整传输保护5 鉴别和认证认证失败安全、用户属性定义、安全说明、用户认证、用户鉴别、用户主体装订6 安全管理安全功能的管理、安全属性管理、安全功能数据管理、撤回、安全属性终止、安全管理角色7 隐私匿名、使用假名、可解脱性、可随意性8 安全功能保护底层抽象及其测试、失败安全、输出数据的可用性、输出数据的保密性、输出数据的完整性、内部数据传输安全、物理保护、可信恢复、重放检测、参考仲裁、领域分割、状态同步协议、时间戳、内部数据的一致性、内部数据复制的一致性、安全自检。9 资源利用容错、服务优先权、资源分配10 访问可选

4、属性范围限制、多并发限制、锁、访问标志、访问历史、session建立11 可信通道/信道内部可信通道、可信通道ISO/IEC 15408第三部分简介ISO/IEC15408第三部分 安全认证需求，主要归结信息安全的认证需求：1. 配置管理2. 分发和操作3. 开发4. 指导文档5. 生命周期支持6. 测试7. 漏洞评估2）国际安全标准BS7799BS 7799信息安全标准是英国的工业、政府和商业共同需求而发展的一个标准，它确保公司发展，实施和估量有效的安全管理时间并为公司贸易内部提供信心。目前此标准是领导英国和国际商业最好的信息安全惯例并受到国际一致好评。因为标准适用于各种类型的组织，公共的或

5、私人的部门和任何商业环境，它的第一部分包含最好的信息安全管理应用并且是国际适用的。关于BS7799成为国际（ISO）标准的评审正在进行。 BS7799的最原始的版本是1995年出版：为了确保它的不过时，所有的标准需要定期地评定。BS 7799：1999是1995版本的一个修订版本和扩展版本：它包含了所有的原始的控制和一套在原有的基础上扩展的新的控制。例如，新版本包括关于电子商务，移动计算机，远程工作和外部采办等领域的控制。 BS 7799分两部分出版：1、BS 7799-1：1999信息安全管理应用程序和2、BS 7799-2：1999信息安全管理系统的规范。它是用于组织实施信息安全管理的一项

6、体制。有10个以文献形式体现各种控制主题，其范围从来自第三方合同的风险识别，报告各种可能的安全事故到密码管理系统和用户培训。这十个章节和它们的客观目标在BS 7799中第二部分中有详细描述，大致可总结为： ? 信息安全方针为信息安全提供管理方向和保障； ? 组织安全建立组织内的管理体系以便安全管理； ? 资产归类和控制维护组织资产的适当保护系统； ? 人员安全减少人为造成的风险； ? 实物和环境安全防止对关于IT服务的未经许可的介入，损伤和干扰服务； ? 通讯和操作管理保证通讯和操作设备的正确和安全维护； ? 访问控制控制对商业信息的访问； ? 系统开发和维护保证安全建造进入安全系统； ? 商

7、业连续性管理防止商业活动中断及保护关键商业过程不受重大失误或灾难事故的影响； ? 遵守避免任何违反法令、法规、合同约定及其他安全要求的行为。3）系统安全工程能力成熟模型(SSE-CMM)系统安全工程 信息系统安全工作覆盖面广，涉及诸多领域和学科，必须以系统工程的思想来处理。系统安全工程旨在了解企业存在的安全风险，建立一组平衡的安全需求，融合各种工程学科的努力将此安全需求转换为贯穿系统整个生存期的工程实施指南。系统安全工程还需对安全机制的正确性和有效性做出诠释，证明安全系统的信任度能够达到企业的要求，或系统遗留的安全薄弱性在可容许范围之内。 系统安全工程与系统中各类人员均有关系，包括系统开发人员

8、、集成人员、管理人员、设备采购人员、产品销售人员、评审认证人员、服务提供人员等。系统安全工程活动贯穿整个生存期，包括构想、概念和定义、示范和有效性探讨、工程开发和制造、生产和安装、操作和支持，直至系统退役。系统安全工程涉及到众多方面的安全问题，如计算机安全、网络安全、通讯安全、信息安全、操作安全、管理安全、物理安全、辐射安全、人员安全等。好的系统安全工程实践可以有效地提高一个工程队伍的生产率。以安全产品开发为例。根据一个1996年的统计，美国高技术产品开发项目中只有百分之十能够做到“时间不超，预算不超”。余下的有百分之五十超过计划一倍到两倍，百分之十超过计划两倍以上，百分之三十永远未能完成。显

9、然改善一个产品开发队伍的工程实践的质量对企业收益的影响是巨大的。好的系统安全工程实践也可以提高一个工程队伍的（可）信任度，使其在安全工程项目竞投中处于有力地位。 系统安全工程能力成熟模型 系统安全工程能力成熟模型（Systems Security Engineering Capability Maturity Model简称SSE_CMM）是一种衡量安全工程实践能力的方法，是一种使用面向工程过程的方法。CMM是建立在统计过程控制理论基础上的。统计过程控制理论发现，所有成功的企业的共同特点是它们都具有一组严格定义、完善管理、可测可控从而高度有效的工作过程。CMM模型抽取了这样一组“好的”工作工程

10、并定义了过程的“能力”。1994年4月美国国家安全局与美国国防部、加拿大通讯安全局一起，汇聚超过六十个国内、外厂家的努力，启动了称作“系统安全工程能力成熟模型（SSE_CMM）”的项目。这一项目力求在原有能力成熟模型（CMM）的基础上，通过对安全工作过程进行管理的途径将系统安全工程转变为一个完好定义的、成熟的、可测量的先进学科。1996年10月，模型的第一个版本问世。主管单位选择了五家公司对该模型进行了长达一年的试用，并依据试用中积累的经验、教训将模型进行了几次更新。最新版本（SSE_CMM版本2.0）于1998年10月公布，稍后提交国际标准化组织申请作为国际标准。SSE_CMM模型是CMM在

11、一个具体领域 - 系统安全工程领域 - 中应用而产生的一个变种。SSE_CMM模型在系统安全工程领域内抽取了一组“良好”工作实践，由此定义了十一项良好安全工程过程（称“过程域”）。这十一个过程域可能出现在安全系统生存期的各个阶段，故SSE_CMM模型并不规定它们之间的顺序。与此同时，模型设置了六个能力成熟级别。每个能力成熟级别由一组能够反映过程能力变化的通用特征来定义。这些通用特征适用于所有过程域。于是，从整体上说SSE_CMM模型定义了一个“两维”的架构。横轴上有十一个系统安全工程过程域，纵轴上有六个能力成熟级别。如果给每个过程域赋予一个能力成熟级别的评分，所得到的“两维”图形便形象地反应了

12、一个工程队伍整体上的系统安全工程能力成熟性，也间接地反映了这个工程队伍工作结果的质量及其工作结果在安全上的（可）信任度。 系统安全工程能力成熟模型的内容 系统安全工程能力成熟模型（下称模型）将各种系统安全工程任务抽象、分划为十一个有明显特征的子任务（或称区域）。为完成一个子任务所需要实施的一组工程实践称作一个过程域（process area或PA）。模型为每个过程域定义了一组确定的基本实践（basic practice或BP），并规定每一个这样的基本实践都是完成该子任务所不可缺少的。同一个工程队伍执行同一个过程，每次执行的结果质量仍可能不同。模型将这个变化范围定义为工程队伍的过程能力。“成熟”

13、的工程队伍，每次执行同一任务结果质量的变化范围比较“不成熟”的队伍为小。这里的一个条件是过程完成的结果质量必须是可以度量的。模型定义了五个过程能力级别。每个级别的判定反映为一组共同特性（common feature，或CF），而每个共同特性进而通过一组通用实践（generic practice，或GP）来描述。我们反复使用工程队伍这个词。工程队伍指执行过程或接受过程能力评定的一个组织机构。一个工程队伍可以是整个企业，可以是企业的一个部门，也可以是一个项目组。系统安全工程涉及到三种过程域：工程过程域、队伍（organization）过程域和项目（project）过程域。后两类过程域并不直接同系统

14、安全相关，故不是模型的一部分，而是在CMM的另一个变种 - 软件工程能力成熟模型（SE_CMM）- 中定义的。但他们常同SSE_CMM的十一个过程域一起用来量度一个系统安全队伍的过程能力成熟性。 SSE_CMM将系统安全工程过程分为三类：风险过程、工程过程和信任度过程。风险是某种不想见到的事件发生并对系统造成影响的可能性。根据模型这些足以成为风险的事件有三个组成部分：威胁、系统脆弱性和事件造成的影响。一般而言这三种因素必须全都存在才足以造成风险（风险值大于零）。例如，不安全的系统但如无威胁存在，或不幸事件发生但不造成影响，都不考虑成是风险。对威胁、系统脆弱性和事件影响的分析引向对系统风险的分析

15、。而安全机制在系统中存在的根本目的便是将系统遗留风险控制在可接受的程度内。模型中定义了四个风险过程：PA04评价威胁，PA05评价脆弱性，PA02评价影响，及PA03评价安全风险。 安全工程不是一个独立的实体，而是更大更一般过程的一个部分。例如，安全系统集成通常是系统集成的一个组成部分。SSE_CMM强调系统安全工程与其他工程学科的合作和协调（安全协调过程域）。根据风险分析的结果，以及有关系统需求、可应用的法律法规、方针政策等信息，安全工程队伍同客户一起定义识别系统的安全需求（说明安全需求过程域）。在综合考虑了包括成本、性能、技术风险及使用难易程度等各种因素和各种替代方案之后，问题的解决方案得

16、以创建出来（提供安全输入过程域）。之后，安全工程队伍须保证安全机制配置正确，运行正常（管理安全机制过程域），并对系统进行不间断的监测，以保证新风险不至于增大到不能接受的地步（监督安全态势过程域）。上述五个工程过程域在模型中分别为PA07，PA10，PA09，PA01，PA08。 SSE_CMM在信任度问题上强调对于安全工程过程结果质量可重复性的信任度。信任度过程不增加额外的系统安全机制，而只是通过对现有系统安全机制正确性和有效性的测试及验证（PA11），借鉴其他各过程域的工作产品，构造系统安全信任度的论据（PA06）。SSE_CMM并不定义各过程域在系统安全工程生存期中出现的顺序。过程域实际上

17、是依照过程域名的英文字母顺序来编号的。 过程能力由一组通用实践（GP）来衡量。通用实践顾名思义是对所有过程通用的。通用实践按其具有的共同特性及能力级别组织成三级结构：通用实践 共同特性 能力级别。注意过程能力是用来度量每个过程域的，而不是用来度量整个工程队伍的。SSE_CMM定义了六个能力级别。当一个工程队伍不能执行一个过程域中的基本实践时，该过程域的过程能力是0级。于是严格说来能力0级并不是真正的能力级别，因为它不包含任何通用实践，也完全不需要被测量。其余的五个能力级别为：能力级别1：非正式执行的过程。能力级别1仅仅要求一个过程域的所有基本实践都被执行了，而对执行的结果如何并无明确要求。能力级别2：计划并跟踪的过程。这一级强调过程执行前的计划和执行中的检查。这