CIS信息安全工程概述

CISP-18-信息安全工程中国信息安全测评中心2010年10月知识体系介绍项目实施、管理与实践安全工程基础知识体知识域安全工程模型与标准知识类信息安全工程信息安全工程监理与实践信息安全工程项目实施与管理系统工程基础质量管理基础ISSE信息系统安全工程系统安全能力成熟度模型SSE-CMM能力成熟度模型基础项目管理基础信息系统安全保障评估框架-工程保障部分学习目标了解系统工程、质量管理、能力成熟度模型和项目管理基本概念可以用“信息系统安全工程”（ISSE）的方法考虑信息安全工程的实施理解并运用“信息安全工程能力成熟度模型”（SSE-CMM）指导信息安全工程的实施掌握IT项目管理中的重要安全措施和实践方法理解信息安全工程监理的概念、意义和实践方法一、信息安全工程基础安全工程基础系统工程基础质量管理基础项目管理基础能力成熟度模型基础系统工程基础钱学森：“系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法，使一种对所有系统都具有普遍意义的科学方法”以人参与系统为研究对象根据系统的目的和总体发展要求应用自然科学和社会科学的思想、理论、方法和手段对系统功能和构成要素、结构、信息、控制进行分析与综合最终达到系统的圆满实现系统工程不是基本理论，也不属于技术实现，而是一种方法论系统工程基础系统工程具有以下特点：系统工程不同于一般的工程技术学科，如水利工程、机械工程等“硬”工程；系统工程偏重于工程的组织与经营管理一类“软”科学的研究。系统工程涉及各种学科、各个领域的各种内容，因此它是跨越不同学科的综合性科学。以整体的、综合的、关联的、科学的、实践的观点来看待研究对象在解决一个具体项目时，它要求把项目或过程分成几大步骤，而每个步骤又按一定的程序展开。这就保证了系统思想在每个部分、每个环节上体现出来。

任何系统都是人、设备和过程的有机组合，其中人是最主要的因素。因此在应用系统工程的方法处理系统问题时，要以人为中心。质量管理基础质量质量指产品或服务，满足规定或需要的特征。它既包括有形产品也包括无形产品；既包括产品内在的特性、也包括产品外在的特性。即包括了产品的适用性和符合性的全部内涵。质量控制（QC）是对生产的全部过程加以控制，是面的控制，不是点的控制。为保证产品过程或服务质量，必须采取一系列的作业、技术、组织、管理等有关活动，这些都属于质量控制的范畴质量管理（QM）它指对确定和达到质量所必须的职能和活动的管理，其管理职能主要是负责质量方针政策的制订和实施等质量管理基础ISO9000族标准并不是产品的技术标准，而是针对组织的管理结构、人员、技术能力、各项规章制度、技术文件和内部监督机制等一系列体现组织保证产品及服务质量的管理措施的标准。具体地讲ISO9000族标准就是在以下四个方面规范质量管理：

1.机构：标准明确规定了为保证产品质量而必须建立的管理机构及职责权限。

2.程序：组织的产品生产必须制定规章制度、技术标准、质量手册、质量体系、操作检查程序，并使之文件化。

3.过程：质量控制是对生产的全部过程加以控制，是面的控制，不是点的控制。从根据市场调研确定产品、设计产品、采购原材料，到生产、检验、包装和储运等，其全过程按程序要求控制质量。并要求过程具有标识性、监督性、可追溯性。

4.总结：不断地总结、评价质量管理体系，不断地改进质量管理体系，使质量管理呈螺旋式上升。

项目管理基础所谓项目管理，就是项目的管理者，在有限的资源约束下，运用系统的观点、方法和理论，对项目涉及的全部工作进行有效地管理。即从项目的投资决策开始到项目结束的全过程进行计划、组织、指挥、协调、控制和评价，以实现项目的目标。项目管理的要素：质量进度成本

能力成熟熟度模型型基础CMM––CapabilityMaturityModel现代统计计过程控控制理论论表明通过过强调生生产过程程的高质质量和在在过程中中组织实实施的成成熟性可可以低成成本地生生产出高高质量产产品；所有成功功企业的的共同特特点是都都具有一一组严格格定义、、管理完完善、可可测可控控从而高高度有效效的业务务过程；；CMM模型抽取取了这样样一组好好的工程程实践并并定义了了过程的的“能力力”；能力成熟熟度模型型过程能力力方案：单个过程程域或一一系列过过程域组织机构构可以灵灵活选择择改进哪哪个过程程域和改改进至什什么程度度组织机构构成熟度方方案跨组织机机构的一系列已已建立的的过程域域提供预定定义的路路线图，，组织机机构基于于已验证证的过程程组和顺顺序进行行改进StagedML1ML2ML3ML4ML5ContinuousPAPA过程域能能力012345PA能力级别别和成熟熟度级别别Continuous

Staged能力级别成熟度级别0IncompleteN/A1PerformedInitial2ManagedManaged3DefinedDefined4QuantitativelyManagedQuantitatively

Managed5OptimizingOptimizing常用的CMM模模型SoftwareCMMstaged softwaredevelopmentSystemEngineeringCMM continuoussystemengineeringSystemEngineeringCapabilityModelcontinuous systemengineeringSoftwareAcquisitionCMMstaged softwareacquisitionSystemSecurityEngineeringCMM continuoussecurityengineeringPersonalSoftwareProcess stagedindividualsoftwaredevelopmentFAA-iCMMcontinuous softwareengineering,systemsengineering,andacquisitionIPD-CMM hybridintegratedproductdevelopmentPeopleCMM stagedworkforceSPICEModelcontinuous softwaredevelopment标准背景景能力成熟熟模型应应用范畴畴CMM能力成熟熟模型SW-CMM软件能力力成熟模模型SE-CMM系统工程程能力成成熟模型型SSE-CMM信息系统安安全工程能能力成熟模模型SSAM信息系统安安全工程能能力成熟性性模型评估方法评定软件工程汽车、照相相机、手表和钢铁铁业安全工程。。。。。。。。。。。。。。二、ISSE信息系系统安全工工程SE-系统统工程过程程DISCOVERNEEDSDEFINESYSTEMREQUIREMENTSDESIGNSYSTEMARCHITECTUREDEVELOPDETAILEDDESIGNIMPLEMENTSYSTEM发掘需求定义系统要求定义系统体系结构开发详细设计实现系统用户/用户代表评估有效性系统安全工工程（SSE）SystemSecurityEngineering;是系统工程程的一个子子集，遵从从系统工程程的思想，，包括一般般性原则和和规律；系统安全工工程的主要要目标是：：了解企业现现存的安全全风险；根据已识别别的安全风风险建立一一组平衡的的安全需求求；综合各种工工程学科的的努力将安安全需求转转化为贯穿穿系统生命命周期的工工程实施指指南；通过正确有有效的安全全机制来保保证安全系系统的信任任度达到组组织的要求求；确保系统的的残余风险险在可容许许的范围之之内；涉及众多层层面的安全全问题，与与其他工程程密切相关关，如软件件工程等；；系统生命周周期中的ISSESA系统采购SE系统工程SSEISSE任务需求的的确定概念研究和和确定演示和确认认设计和制造造产品/部署和运行行/支持确定安全能能力需求分析安全要要求和研究究安全概念念设计系统安安全体系结结构实现安全设设计并进行行系统安全全测试实施安全操操作和生命命周期支持持MS0MS1MS2MS3确定任务能能力要求研究配选的的系统概念念系统设计规规范设计、制造造、集成和和测试系统运行和和生命周期期支持使命需求明明细（MNS）候选系统评评审（ASR）系统要求评评审（SRRSFR）基本设计评评审、关键键设计评审审、系统验验证评审（（PDR、CDR、SVR）物理配置评评审（PCA）三、系统安全能能力成熟度度模型SSE-CMM能力成熟度度模型SSE-CMM（（ISO/IECIS21827）SSE-CMM概述述系统安全工工程能力成成熟模型（（SystemsSecurityEngineeringCapabilityMaturityModel），描述了了一个组织的系统安全工工程过程必须包含的的基本特征，这些特征征是完善的的安全工程程保证，也是系统统安全工程程实施的度量标准，同时还是是一个易于于理解的评评估系统安安全工程实实施的框架。目的促进安全工工程成为一一个确定的的、成熟的的和可度量量的学科：：通过区分投投标者的能能力级别和和相关的计计划风险来来选择合格的的安全工程程提供商；工程组把投资集中在安全全工程工具具、培训、、过程定义义、管理实实施和改进进上；基于能力的的保证，也就是说说，信赖是是基于对工工程组织安安全工程实实践和过程程成熟的信信心SSE-CMM概述述安全系统和和工程的特特性连续性-以前获得的的知识将用用于将来重复性-保证项目可可成功重复复实施的方方法高效率性-可帮助开发发者和评价价者都更有有效率工作作的方法保证-落实安全需需求的信心心期待结果改进可预见性改进可控制性改进过程有效性性安全工程对对于任何工工程活动均均是清晰定定义的、可可管理的、、可测量的的、可控制制的并且是是高效率的的。SSE-CMM覆盖盖范围SSE-CMM涉及到可信信产品或者者系统整个生命周周期的安全工程程活动，其其中包括概概念定义、、需求分析析、设计、、开发、集集成、安装装、运行、、维护和终终止。整个组织，，包括管理理、组织和和工程活动动等；与其它规范范并行的相相互作用，，包括系统统、软硬件件、人、测测试工程、、系统管理理、运行和和维护等；；与其它组织织的相互作作用，包括括获取、系系统管理、、认证认可可和评估组组织等；SSE-CMM可应用于所所有类型和和大小的安全工程机机构，如商务机机构、政府府机构和学学术机构。。SSE-CMM适用用对象工程组织（（EngineeringOrganization）包括系统集集成商、应应用开发商商、产品和和服务提供供商；工程组织利利用其对自自己的工程程能力进行行自我评估估；采购组织（（AcquiringOrganization）包括采购系系统、产品品以及从外外部/内部资源和和最终用户户处获取服服务的组织织；采购组织通通过其来判判别一个供供应者组织织的的系统统安全工程程能力，识识别该组织织供应的产产品和系统统的可信任任性；评估组织（（EvaluationOrganization）包括认证组组织、系统统授权组织织、系统和和产品评估估组织等；；评估组织使使用SSE-CMM作为工作基基础，以便便建立被评评估组织整整体能力的的信任度，，该信任度度是系统和和产品的安安全保证要要素。SSE-CMM历史史1993年4月美国国家家安全局（（NSA）开始酝量量1996年10月出版了SSE-CMM模型的第一一个版本，，1997年4月出版了评评定方法的的第一个版版本。从1996年6月到1997年6月进行许多多实验项目目1999年4月出版了第二二版。目前，SSE-CMMV3.02002年，ISO/IECIS21827SSE-CMM基本本概念过程（Process）为了达到某某一给定目目标而执行行的一系列列活动，这这些活动可可以重复、、递归和并并发的执行行；分为“充分分定义过程程”、“已已定义过程程”和“执执行过程””。过程区域（（PA，ProcessArea）是由一些基基本实践（（BP，BasePractice）组成的，，这些BP共同实施以以达到该PA的目标。这这些BP是强制性的的，只有全全部成功执执行，才能能满足PA规定的目标标；SSE-CMM包含三类过过程区域：：工程、项项目和组织织三类；过程能力（（ProcessCapability）是通过跟踪踪一个过程程达到预期期结果的可可量化范围围；一个组织的的过程能力力可帮助组组织预见项项目达到目目标的能力力，低能力力组织的项项目在达到到预定的成成本、进度度、功能和和质量目标标上会有很很大变化；；SSE-CMM体系系结构SSE-CMM体系结构设设计的目标标是清晰的的从管理和和制度化特特征中分离离出安全工工程的基本本特征，采采用域（Domain）和能力（（Capability）的两维结结构；横轴“域维维”汇集了了定义安全全工程的所所有实践活活动，包括括大约60项基本实践（BP，BasePractice），这些BP又被组织成成11个过程区域域（PA）。11个PA可能出现在在安全系统统生命周期期的各个阶阶段，并不不规定其先先后顺序；；纵轴“能力力维”代表表组织能力力，由过程程管理与制制度化能力力构成。共共设置6个能力级别别，每个能能力级别由由一组能够够反映过程程能力变化化的公共特征（CF，CommonFeature）来定义，，这些CF适用于所有有PA，每一个CF又可以由若若干项通用用实践（GP，GenericPractice）来描述。。SSE-CMM模型型目的：在整整个安全工工程范围内内决定安全全工程组织织的成熟性性两维维模模型型“域域维维””由由所所有有定定义义的的安安全全工工程程过过程程区区构构成成。。这这些些实实施施活活动动称称为为““过过程程区区””。。“能能力力维维””代代表表组组织织能能力力。。这这一一维维由由过过程程管管理理和和制制度度化化能能力力构构成成。。这这些些实实施施活活动动被被称称作作““公公共共特特征征””，，可可在在广广泛泛的的域域中中应应用用。。执执行行一一个个公公共共特特征征是是一一个个组组织织能能力力的的标标志志。。通过过设设置置这这两两个个相相互互依依赖赖的的维维，，SSE-CMM在各各个个能能力力级级别别上上覆覆盖盖了了整整个个安安全全活活动动范范围围。。如果果给给每每个个PA赋予予一一个个能能力力级级别别评评分分，，所所得得到到的的两两维维图图形形便便形形象象地地反反映映一一个个工工程程组组织织整整体体上上的的系系统统安安全全工工程程能能力力成成熟熟度度，，也也间间接接的的反反映映其其工工作作结结果果的的质质量量及及其其安安全全上上的的可可信信度度。。能力维（CapabilityDimension）公共特征（CommonFeatures）域维（DomainDimension）安全过程区（SecurityProcessAreas）公共特征2.4跟踪执行PA05评估脆弱性543210PA01PA02PA03PA04PA05能力级别安全过程区域能力力维维/公公共共特特征征SSE-CMM通过过能能力力级级别别来来确确定定组组织织执执行行、、控控制制、、支支持持和和监监视视安安全全过过程程的的成成熟熟性性；；过程程能能力力由由一一组组通通用用实实践践（（GP，GenericPractice）来来衡衡量量，，是是对对所所有有过过程程通通用用的的，，强强调调对对一一个个过过程程的的管管理理、、度度量量和和制制度度方方面面。。能能力力维维的的GP按照照成成熟熟性性排排序序，，高高级级别别的的GP位于于能能力力维维的的高高端端；；GP被组组成成12个称称作作公公共共特特征征（（CF，CommonFeature）的的逻逻辑辑域域，，每每个个CF包括括一一个个或或多多个个GP；为了了体体现现能能力力级级别别，，将将GP划分分成成5个等等级级，，代代表表组组织织安安全全工工程程能能力力的的不不同同层层次次；；过程程能能力力是是用用来来度度量量各各个个过过程程区区域域PA的，，而而不不是是用用来来度度量量整整个个工工程程组组织织的的，，GP按其其具具有有的的公公共共特特征征和和能能力力级级别别组组织织成成三三级级结结构构。。能力力维维能力力维维能力力级级别别加强强任任何何过过程程能力力的的实实现现和制度度化实实施施一组组实实施施列列出出管管理理和制制度度化化过过程程的的相相同方方面面共同同工工作作的的一一组组公公共共特征征主主要要加加强强执执行行一一个过过程程的的能能力力公共特征通用实践计划划执执行行规范范化化执执行行跟踪踪执执行行验证证执执行行定义义标标准准过过程程协调调安安全全实实施施执行已定义的的过程建立可测量的的质量目标客观地管理过过程的执行1非正式执行2计划与跟踪3充分定义4量化控制5连续改进执行基本实施改进组织能力力改进过程的有有效性能力级别代代表安全工程程组织的成熟熟级别公共特征仅要求一个过过程区域的所所有基本实践践都被执行，，但对执行的的结果无明确确要求；强调过程执行行前的计划和和执行中的检检查，使工程程组织可以基基于最终结果果的质量来管管理其实践活活动；要求过程区域域包括的所有有基本实践均均应依照一组组完善定义的的操作规范来来进行，即““标准过程””；能够对工程组组织的表现进进行定量的度度量和预测。。过程管理成成为客观的和和准确的实践践活动为过程行为的的高效和实用用建立定量目目标，可以准准确地度量过过程持续改善善所收到的效效益。能力级别0：未实施

能力级别1：非正式实施公共特征1.1—执行基本实施GP1.1.1—执行过程能力级别2：计划和跟踪公共特征2.1—规划执行GP2.1.1—分派资源GP2.1.2—分配责任GP2.1.3—文档化过程GP2.1.4—提供工具GP2.1.5—保证培训GP2.1.6—规划过程公共特征2.2—规范化执行GP2.2.1—使用计划、标准和程序GP2.2.2—进行配置管理公共特征2.3—验证执行GP2.3.1—验证过程一致性GP2.3.2—审计工作产品公共特征2.4—跟踪执行GP2.4.1—使用测量跟踪GP2.4.2—采取修正措施能力级别3：充分定义公共特征3.1–定义标准过程GP3.1.1–过程标准化GP3.1.2–裁剪标准过程公共特征3.2–执行已定义过程GP3.2.1–使用充分定义的过程GP3.2.2–执行缺陷复查GP3.2.3–使用充分定义的数据公共特征3.3–协调实施GP3.3.1–执行组内协调GP3.3.2–执行组间协调GP3.3.3–执行外部协调能力级别4：定量控制公共特征4.1–建立可测的质量目标GP4.1.1–建立质量目标公共特征4.2–客观地管理执行GP4.2.1–确定过程能力GP4.2.2–使用过程能力能力级别5：连续改进公共特征5.1–改进组织能力GP5.1.1–建立过程效力目标GP5.1.2–连续改进标准过程公共特征5.2–改进过程有效性GP5.2.1–执行因果分析GP5.2.2–消除缺陷原因GP5.2.3–连续改进已定义过程域维/过程区区域系统安全工程程涉及到三类类过程区域PA，即工程（EngineeringPA）、组织（OrganizationPA）和项目（ProjectPA）过程区域。。组织和项目目过程区域（（共11个）并不直接接同系统安全全相关，在SE-CMM中定义，但常常与SSE-CMM的11个工程过程区区域一起用来来度量系统安安全队伍的过过程能力成熟熟度。SSE-CMM将工程过程区区域分为三类类，即风险过过程、工程过过程和保证过过程；4个风险过程：：PA04评估威胁，PA05评估脆弱性，，PA02评估影响，PA03评估安全风险险；5个工程过程：：PA07，PA10，PA09，PA01，PA08；2个保证过程：：PA11，PA06；并不定义各过过程区域在系系统安全工程程生命周期中中出现的顺序序，而是依照照过程区域的的英文字母顺顺序编号；每个过程区域域包括一组集集成的基本实实践（BP，BasePractice），BP定义了实现过过程区域目标标的必要活动动，代表业界界的最佳惯例例。域维过程类域维BasePracticesBasePracticesBasePracticesBasePracticesBasePractices基本实践ProcessAreasProcessAreasProcessAreas过程区工程和安全实实施是安全工程过程中必须存在在的性质，指出特殊过程区的目目的并属于该该过程区每个过程区（（PA）是一组相关关安全工程过程程的性质，当当这些性质全部实施施后则能够达达到过程区定义的目目的。一组过程区指指出活动的同同一通用区工程过程区域域核实和确认安安全（VerifyandValidateSecurity）PA11明确安全需求求（SpecifySecurityNeeds）PA10提供安全输入入（ProvideSecurityInput）PA09监视安全态势势（MonitorSecurityPosture）PA08协调安全（CoordinateSecurity）PA07建立保证论据据（BuildAssuranceArgument)PA06评估脆弱性（（AssessVulnerability）PA05评估威胁（AssessThreat）PA04评估安全风险险（AssessSecurityRisk)PA03评估影响（AssessImpact）PA02管理安全控制制（AdministerSecurityControls）PA01风险过程工程过程保证过程安全工程SSE-CMM将安全工程划划分为三个基基本的过程区区域：风险，，工程，保证证风险过程：是要确定产品或者系统统的危险性，并对这些危危险性进行优优先级排序工程过程：是针对面临临的危险性，，安全工程过过程与相关工程过程一起来确定并实施解解决方案保证过程：是建立起对解方案的的信任，并把这种信信任传达给用户安全工程过程程保证论据风险信息产品或服务工程过程Engineering保证过程Assurance风险过程Risk风险PA04：评估威胁威胁信息threat脆弱性信息vulnerability影响信息impact风险信息PA05：评估脆弱性性PA02：评估估影响响PA03：评估估安全全风险险风险就就是有有害事事件发发生的的可能能性一个有有害事事件有有三个个部分分组成成：威威胁、、脆弱弱性和和影响响。工程安全工工程与与其它它科目目一样样，它它是一一个包包括概概念、、设计计、实实现、、测试试、部部署、、运行行、维维护、、退出出的完完整过过程。。SSE-CMM强调安全工工程是是一个个大的的项目目队伍伍中的的一部部分，需要要与其其它科科目工工程师师的活活动相相互协协调。。PA10指定安安全要要求需求、、策略略等配置信信息解决方方案、、指导导等风险信信息PA08监视安安全态态势PA07协调安安全PA01管理安安全控控制PA09提供安安全输输入保证证据证据保证论论据PA11验证和和证实实安全全指定安安全要要求其他多多个PAPA06建立保保证论论据保证是是指安安全需需要得得到满满足的的信任任程度度SSE-CMM的信任任程度度来自自于安安全工工程过过程可可重复复性的的结果果质量量。PA01-管理安全控制BP01.01建立安全职责BP01.02管理安全配置BP01.03管理安全意识、培训和教育大纲BP01.04管理安全服务及控制机制PA02-评估影响BP02.01对影响进行优先级排列BP02.02识别系统资产BP02.03选择影响的度量标准BP02.04标识度量标准关系BP02.05识别和特征化影响BP02.06监视影响PA03-评估安全风险BP03.01选择风险分析方法BP03.02识别暴露BP03.03评估暴露的风险BP03.04评估总体不确定性BP03.05风险优先级排列BP03.06监视风险及其特征PA04-评估威胁BP04.01识别自然威胁BP04.02识别人为威胁BP04.03识别威胁的测量块BP04.04评估威胁影响的效力BP04.05评估威胁的可能性BP04.06监视威胁及其特征PA05-评估脆弱性BP05.01选择脆弱性分析方法BP05.02识别脆弱性BP05.03收集脆弱性数据BP05.04合成系统脆弱性BP05.05监视脆弱性及其特定PA06-建立保证论据BP06.01识别保证目标BP06.02定义保证策略BP06.03控制保证证据BP06.04分析证据BP06.05提供保证论据安全基基本实实践PA07-协调安全BP07.01定义协调目标BP07.02识别协调机制BP07.03促进协调BP07.04协调安全决定和建议PA08-监视安全态势BP08.01分析事件记录BP08.02监视变化BP08.03识别安全突发事件BP08.04监视安全防护措施BP08.05检查安全态势BP08.06管理安全突发事件响应BP08.07保护安全监视的记录数据PA09-提供安全输入BP09.01理解安全输入要求BP09.02确定安全约束和考虑BP09.03识别安全选项BP09.04分析工程选项的安全性BP09.05提供安全工程指南BP09.06提供运行安全指南PA10-指定安全要求BP10.01获得对顾客安全需求的理解BP10.02识别可用的法律、策略和约束BP10.03识别系统安全关联性BP10.04收集系统运行的安全思想BP10.05收集安全的高层目标BP10.06定义安全相关需求BP10.07达成安全协议PA11-验证和证实安全BP11.01识别验证和证实的目标BP11.02定义验证和证实方法BP11.03执行验证BP11.04执行证实BP11.05提供验证和证实的结果安全基基本实实践项目及及组织织过程程区域域SSE-CMM采用用了SE-CMM定定义的的项目目和组组织过过程区区域，，这些些PA是用用来解解释通通用实实践的的重要要参考考资料料；每个此此类过过程区区域都都包含含“安安全性性考虑虑”的的内容容，说说明了了应用用到安安全工工程相相关的的过程程区域域中时时需要要考虑虑的因因素，，也指指出了了对SSE-CMM过程程区域域的参参考引引用；；项目和和组织织过程程区域域与供应应商协协调（（CoordinatewithSuppliers）PA22提供持持续发发展的的技能能和知知识（（ProvideOngoingSkillandKnowledge）PA21管理系系统工工程支支持环环境（（ManageSystemsEngineeringSupportEnvironment）PA20管理产产品系系列进进化（（ManageProductLineEvolution）PA19改进组组织的的系统统工程程过程程（ImproveOrganization’’sSystemsEngineeringProcess）PA18定义组组织的的系统统工程程过程程（DefineOrganization’sSystemsEngineeringProcess)PA17计划技技术活活动（（PlanTechnicalEffort）PA16监视和和控制制技术术活动动（MonitorandControlTechnicalEffort）PA15管理项项目风风险（（ManageProjectRisk)PA14管理配配置（（ManageConfiguration）PA13保证质量（（EnsureQuality）PA12项目过程组织过程PA12-质量保证BP12.01监视所定义过程的依从性BP12.02测量工作产品质量BP12.03测量过程质量BP12.04分析质量测量BP12.05得到参与BP12.06发起改进质量的活动BP12.07检测修正行为要求PA13-管理配置BP13.01建立配置管理方法BP13.02沟通配置状况PA14-管理项目风险BP14.01开发风险管理方法BP14.02标识风险BP14.03评估风险BP14.04复查风险评估BP14.05执行风险降低活动BP14.06跟踪风险降低活动BP14.07监视影响PA15-监控技术活动BP15.01指导技术活动BP15.02跟踪项目资源BP15.03跟踪技术参数BP15.04复查项目执行BP15.05分析项目问题BP15.06采取修正行动PA16-规划技术活动BP16.01识别自然威胁BP16.02识别关键资源BP16.03估计项目范围BP16.04估算项目费用BP16.05确定工程过程BP16.06识别技术活动BP16.07定义项目接口BP16.08开发项目进度表BP16.09设立技术参数BP16.10开发技术管理计划BP16.11复查并认可工程计划项目和组织织的基本实实践PA17-定义组织的系统工程过程BP17.01制定过程目标BP17.02收集过程资产BP17.03开发组织的系统工程过程BP17.04定义剪裁指南PA18-改进组织的系统工程过程BP18.01评定过程BP18.02规划过程改进BP18.03改变标准过程BP18.04沟通过程改进PA19-管理产品系列进化BP19.01分析事件记录BP19.02定义产品进化BP19.03标识新产品技术BP19.04适应开发过程BP19.05确保关键组件的可用性BP19.06插入产品技术PA20-管理系统工程支持环境BP20.01维持技术认识BP20.02确定支持需求BP20.03获得系统工程支持环境BP20.04剪裁系统工程支持环境BP20.05插入新技术BP20.06维护环境BP20.07监视系统工程支持环境PA21-提供不断发展的技能和知识BP21.01识别培训要求BP21.02选择知识或技能的获取模式BP21.03确保技能和知识的可用性BP21.04准备培训材料BP21.05培训人员BP21.06评估培训的有效性BP21.07维护培训记录PA22-与供应商协调BP22.01识别系统的组件或服务BP22.02标识胜任的供应商或销售商BP22.03选择供应商或销售商BP22.04提供期望BP22.05维持沟通项目和组织织的基本实实践SSE-CMM的使使用SSE-CMM可应用于所所有从事某某种形式的的安全工程程组织，这这种应用与与生命期、、范围、环环境或专业业无关。该该模型适用用于以下三三种方式：：“评定”，允许获获取组织了了解潜在项项目参加者者的组织层层次上的安安全工程过过程能力。。“改进”，使安全全工程组织织获得自身身安全工程程过程能力力级别的认认识，并不不断地改进进其能力。。“保证”，通过有有根据地使使用成熟过过程，增加加可信产品品、系统和和服务的可可信度。SSE-CMM的使使用

评定定为评定收集集数据广泛泛、严格，，每个数据据有充分的的证据决定实施安安全工程过过程的能力力为评定定义义了安全工工程环境在评定巧妙妙地使用了了SSE-CMM体体系结构中中的两个方方面SSE-CMM评估估方法SSE-CMMAppraisalMethod（SSAM）是一种组织织或项目级级的评估方方法，通过过多种数据据采集方法法来或区域域待评估组组织或项目目相关的实实践过程的的信息，目目的在于取取得一个真真实实践的的基线（Baseline）或基准（（Benchmark），创建并并支持用于于改进的要要素；数据采集方方法：问卷卷、访谈、、证据复审审；评估阶段：：规划（Planning），准备（（Preparation），现场（（On-site），报告（（Reporting）；SSE-CMM评估估方法（SSAM））规划阶段范围评定计划评定准备阶段准备评定组组分发调查表表合并证物分析证物和调查表查表现场阶段领导简报/开幕式采访领导/专业人员分析数据确定调查结果产生排等级的轮廓管理记录工作结束报告阶段产生最终报告向发起者报报告评定结果果管理评定实物报告取得的的经验教训利用SSE-CMM进行过程程改进SSE-CMM可以用作改改进组织安安全工程过过程的工具具，建议采采用SEI的IDEAL模型，目的的是进入一一个评估当当前状况、、改进、重重复的持续续循环之中中。Initiating（初始化））熟悉项目目目标和完成成方式，开开发业务案案例和项目目执行方法法，获得管管理层批准准和支持，，为成功的的改进努力力做好铺垫垫；Diagnosing（诊断）理解组织当当前和期望望的过程成成熟度状态态，这些是是形成组织织过程改进进行动计划划的基础；；Establishing（建立）基于努力目目标和诊断断阶段开发发的建议来来制定详细细的行动计计划，并考考虑到各种种约束；Acting（操作）即实施阶段段，无论是是资源还是是时间，都都需要各方方面付出最最大程度的的努力；Learning（学习）既是本次循循环的终止止，又是下下一次改进进过程的开开端。对整整个过程改改进活动进进行评估。。SSE-CMM的使使用

改进进+++++=具有成熟改改进潜能的的组织过程程组织环境由SSE-CMM提供的指南南基本实践角色分配组织结构安全工程工作产品生命周期通用实践SSE-CMM的使用流程程来源选择安全保障软件厂商服务硬件厂商系统开发运营和维护SSE-CMM信息系统安安全保障评评估框架共包括四个个部分第一部分：：简介和一一般模型第二部分：：技术保障障第三部分：：管理保障障第四部分：：工程保障障第二部分技术保障安全技术控控制组件技术架构能能力级第一部分简介和一般般模型第三部分管理保障安全管理控控制组件管理能力级级第四部分工程保障安全工程控控制组件工程能力级级信息系统安安全保障工工程概念信息系统安安全保障工程是一门跨学学科的工程程管理过程程，它是基基于对信息息系统安全全保障需求求的发掘和和对安全风险的理解，以以经济、科科学的方法法来设计、、开发和建建设信息系系统，以便便他能满足足用户安全全保障需求求的科学和和艺术。信息系统安安全保障模模型信息系统安安全保障评评估框架-工程保障障部分生命周期描述相关过程域挖掘安全需求本阶段建立项目组织，了解系统的上下文环境，决定开始进行安全工程，制定初步计划和预算等。本阶段信息系统安全工程师帮助用户挖掘并理解完成系统的任务和业务所需的信息保护需求。信息保护需求的确定建立在对系统的安全风险分析的基础上。系统定义（PEN_SDF）评估威胁（PRM_ATT）评估脆弱性（PRM_AVL）评估影响（PRM_AIM）评估安全风险（PRM_ASR）确定安全要求（PEN_ISR）定义安全要求本阶段信息系统工程师将已识别出来的信息保护需求落实到各子系统中，包括开发系统安全上下文，初步的系统安全运行设想和安全要求基线等。设计体系结构本阶段信息系统安全工程师与系统工程师一起进行分析候选体系结构、分配安全服务和选择安全机制，从而完成安全功能分析和落实。信息系统安全工程师选择适用的组件或元件并把安全功能分配给这些元件，同时描述这些元件之间的关系。提供安全输入（PEN_PSI）高层安全设计（PEN_HSD）详细安全设计（PEN_DSD）详细安全设计本阶段信息系统安全工程师分析设计的约束条件，分析折衷办法，进行详细的系统和安全设计并考虑生命周期支持。信息系统安全工程师检查所有系统安全需求落实到了组件。最终的详细安全设计结果为实现系统提供充分的组件和接口描述信息。实现系统安全本阶段信息系统安全工程师把系统设计转移到运行，参与对所有系统问题的多学科综合分析，并为认证认可活动提供输入。例如验证系统已经实现了对抗威胁评估中识别出的威胁；追踪与系统实现和测试活动相关的信息保护保障机制；为系统生命周期支持计划、运行规程、培训材料维护提供输入。本阶段信息系统已到位并开始运行，通过定期的评估和不断监视系统的安全状况，确定如何获得更高的安全性能和效率等来满足用户变化的安全需求，进行软硬件升级和修改并进行相应的测试。安全工程实施（PEN_SEE）协调安全（PEN_COS）监视安全态势（PEN_MSP）管理安全控制（PEN_MSC）有效性评估本阶段信息系统安全工程师关注信息保护的有效性----系统是否能够保证其处理的信息的保密性、完整性、可用性、鉴别和不可否认性，确保成功完成使命。验证和确认安全（PAS_VVS）建立保障论据（PAS_EAE）第四部分：：工程保障障

信息安安全工程过过程能力成成熟度示例例三、信息安安全工程的的实施与管管理信息安全保保障工程的的实施与管管理信息安全保保障工程实实施模型与与框架IT项目管理中中的安全考考虑信息系统安安全保障工工程实施通通用模型参见：中国国信息安全全产品测评评认证中心心的“国家家信息安全全测评认证证”，2004年第2期，P6-P14信息系统安安全保障工工程实施框框架XX电子政政务信息系系统安全保保障工程实实践示意意图参见：中国国信息安全全产品测评评认证中心心的“国家家信息安全全测评认证证”，2004年第2期，P6-P14IT项目管管理中的安安全考虑-立项阶段段确立业务对对信息安全全的总体要要求识别各类安安全要求证明安全要要求的正确确性分析、协调调、综合形形成各类文文档信息安全规规划安全需求报报告风险评估报报告立项报告IT项目管管理中的安安全考虑——开发和采采购阶段数据的正确确处理输入数据的的校验范围之外的的值无效数据类类型丢失或不完完整的数据据未授权或非非法的输入入：防止缓缓冲区溢出出和代码注注入数据处理过过程控制处理的时间间顺序发生故障后后运行的程程序系统失效或或处理错误误后的恢复复输出数据的的验证输出的去向向正确数据的准确确性、完备备性和精确确性IT项目管管理中的安安全考虑——开发和采采购阶段加密控制选择适当的的加密算法法类型、强强度和质量量选择加密的的通信线路路和加密内内容制定密钥管管理的方法法密钥的分发发方式密钥的保存存密钥的更新新方式密钥遗失、、泄露和破破坏后的处处理方法密钥的撤销销和销毁IT项目管理理中的安全考考虑—开发和和采购阶段系统资源的安安全系统软件安装装控制：选择择安全的系统统软件、安装装必要的组件件、防止盗版版的安装、及及时更新系统测试数据据的保护：尽尽量不用真实实生产数据，，如果必须用用，注意对拷拷贝过程进行行控制、对测测试系统的访访问控制、测测试之后信息息清除、有效效的审计措施施应用系统源代代码保护：运行系统尽量量不保留源代代码对源代码库进进行访问控制制管理向程序员员发布源代码码源代码库的有有效审计IT项目管理理中的安全考考虑—实施阶阶段项目变更管理理建立严格清晰晰的变更程序序变更时要对变变更原因和变变更的影响进进行评估必要时在测试试系统中进行行测试变更要形成文文档记录IT项目管理理中的安全考考虑—交付和和废弃交付过程初验试运行终验交付后持续的风险评评估和安全加加固废弃信息的彻底清清除四、信息安全全工程监理信息安全工程程监理参考模模型监理咨询阶段段及其目标招招标阶段工程招标阶段段的主要监理理目标协助业主单位位明确信息安安全工程需求，确定工程建建设目标；促使承建单位位编制的信息安全方案案符合国家和业业主单位的相相关规定，满满足需求，合合理可行；促使业主单位位、承建单位位所签定合同在技术、经济济上的合理性性；监理咨询阶段段及其目标设设计阶段工程设计阶段段的主要监理理目标加强工程实施方案案的合法性、合合理性、与安安全工程需求求和设计方案案的符合性；；促使工程计划划、设计方案案满足工程需需求，符合相相关的法律、、法规和标准准，并与工程程建设合同相相符，具有可可验证性。协助业主单位位、承建单位位消除设计文文档在进入工工程实施前可可预见的缺陷陷。监理咨询阶段段及其目标实实施阶段工程实施阶段段的主要监理理目标加强工程实施施方案的合法法性、合理性性、与设计方方案的符合性性；促使工程中所所使用的产品品和服务符合合承建合同及及国家相关法法律、法规和和标准；明确工程实施施计划，对于于计划的调整整必须合理、、受控；促使工程实施施过程满足承承建合同的要要求，并与工工程设计方案案、工程计划划相符；监理咨询阶段段及其目标验验收阶段工程验收阶段段的主要监理理目标明确工程项目目测试验收方方案的符合性性（验收目标标、责任双方方、验收提交交清单、验收收标准、验收收方式、验收收环境等）及及可行性；促使工程的最最终功能和性性能符合承建建合同、法律律、法规和标标准的要求；；推动承建单位位所提供的工工程各阶段形形成的技术、、管理文档的的内容和种类类符合相关标标准。招标阶段技术术部分-描述述和证据主要完成证据据用户签认的《需求书》；附件一：监监理方签认的的《需求书报审表表》《信息安全建设设方案》、《方案评审报告告》和《专家评审意见见》；附件一：监监理方签认的的《信息安全建设设方案报审表表》其他证据：《风险评估报告告》等咨询服务：同同承建方、业业主方进行沟沟通、培训；；通过所编制制的相关标准准、规范和指指南文件等协协助承建方和和业主方更好好地编制满足足需求、业务务要求和相关关国家、部门门等政策、法法规标准和行行政要求的相相关文件承建方监理方业主方需求审核需求书需求书报审表表信息安全建设设方案方案评审方案评审报告告信息安全建设设方案报审表表专家评审意见见业主对需求书书进行盖章认认可签认的需求书书监理方协助业业主方进行专专家评审设计阶段监理理流程设计阶段-描描述和证据主要完成证据据：三方签认认的《信息安全工程程实施方案》、《安全工程阶段段测试方案》；附件一：监监理方签认的的《信息安全工程程实施报审表表》，附件二：监监理方签认的的《信息安全工程程阶段测试方方案报审表》其他证据：《风险评估报告告》、《安全工程效益益评估方案》等咨询服务：通通过所编制的的相关标准、、规范和指南南文件等协助助承建方和业业主方更好地地编制满足需需求、业务要要求和相关国国家、部门等等政策、法规规标准和行政政要求的相关关文件承建方监理方业主方方案审核信息安全工程程实施方案信息安全工程程实施方案报报审表对安全工程实实施方案签认认签认的实施方方案方案审核信息安全工程程阶段测试方方案信息安全工程程阶段测试方方案报审表对安全工程阶阶段性测试方方案签认签认的方案实施阶段监理理流程实施阶段-描描述和证据主要完成证据据监理方签认的的《安全工程阶段段实施细则》附件一：监理理方签认的《实施细则报审审表》监理方签认的的《质量管理计划划》附件一：监理理方签认的《质量管理计划划报审表》其他证据：各各种工程实施施过程文件监理工作：依依据实施方案案、实施方案案细则和质量量管理计划对对工程实施过过程进行符合合性监督和检检查承建方监理方业主方安全工程阶段段实施细则审审核安全工程阶段段实施细则实施细则报审审表质量管理计划划质量管理计划划审核质量管理计划划报审表业主确认认可可实施细则业主确认认可可质量管理计计划验收阶段监理理流程验收阶段-描描述和证据主要完成证据据三方签认的《初验、终验验验收方案》附件一：监理理方签认的《初验、终验验验收方案报审审表》三方签认的《初验、终验报报告》附件一：监理理方签认的《初验、终验报报告报审表》其他证据：各各种工程验收收过程文件承建方监理方业主方初验、终验方方案审核初验、终验验验收方案验收方案报审审表初验、终验报报告初验、终验审审核初验、终验报报审表业主签认认方案业主签认认初验、、终验报报告例题1.下列哪项项不是信信息系统统安全工工程能力力成熟度度模型（（SSE-CMM）的主要要过程：：A.风险过程程B.保证过程程C.工程过程程D.评估过程程例题2.下列哪项项是信息息系统安安全工程程能力成成熟度模模型（SSE-CMM）的第3级：A.计划跟踪踪B.量化控制制C.充分定义义D.持续改进进例题3.在应用系系统开发发过程中中，应对对安全问问题予以以足够的的重视。。以下说说法错误误的是:A.在进行新新系统的的测试时时,应对生产产系统中中的数据据进行严严格的控控制B.应用系统统的开发发中，应应注意数数据输入入、处理理和输出出等阶段段对数据据的控制制C.一旦明确确了安全全需求和和设计方方案，在在开发过过程中就就应当严严格遵守守，不能能有任何何改变D.系统或系系统部件件废弃中中产生的的风险，，不能等等闲视之之例题4.信息安全全工程监监理的职职责包括括A.质量控制制、进度度控制、、成本控控制、合合同管理理、信息息管理和和协调B.质量控制制、进度度控制、、成本控控制、合合同管理理和协调调C.确定安全全要求、、认可设设计方案案、监视视安全态态势、建建立保障障证据和和协调D.确定安全全要求、、认可