安全成熟度模型

10.1.2　安全成熟度模型

成熟度模型可用来测量组织的解决方案（软件、硬件和系统）的能力和效力。因此它可用于安全评估，以测量针对业界最佳实际的安全体系结构。可以就以下3个方面进行分析：计划、技术和配置、操作运行过程。安全计划包括安全策略、标准、指南以及安全需求。技术和配置的成熟度水平根据选择的特定产品、准则，在组织内的安置以及产品配置而定。操作运行过程包括变更管理、报警和监控，以及安全教育方面。美国Carnegie Mellon大学的软件工程研究所（Software Engineering institute，SEI）制定了系统安全工程能力成熟度模型（System Security Engineering Capability Maturity Model，SSE—CMM）。它将安全成熟度能力级别分成4级，以适应不同级别的安全体系结构，如表10-1所示。

表10-1　安全成熟度能力级别

1.安全计划

一个好的安全体系结构必须建立在一个坚固的安全计划基础之上。计划的文本必须清晰、完整。很多组织的安全策略、标准和指南往往存在以下一些问题：

（1）内容太旧，已过时，不适用于当前的应用。安全策略应每年更新，以适应技术的变化。

（2）文本有很多用户，如开发者、风险管理者、审计人员，所用语言又适用于多种解释。如果陈述太抽象，那么实施时将无效力。

（3）表达不够详细。很多组织的安全策略观念只是一个口令管理。组织安全策略文本中通常缺少信息的等级分类以及访问控制计划文本。

（4）用户需要知道有关安全的文本。如果用户不能方便地获得此文本，就有可能会无意地犯规，然而难以追查责任。

2.技术和配置

当今，市场上有很多安全厂商和安全产品，但是尚没有一个产品能提供完全的安全解决方案。诸如防火墙、IDS、VPN、鉴别服务器等产品都只是解决了有限的问题。安全专业人员应能适当地选择产品，正确地将它们安置在基础设施中，合适地配置和支持。然而，事实并非如此，例如，有人认为只要在需要保护的有价值的资产前放置一个防火墙，就什么问题都能解决。从网络的观点看是正确的，但防火墙不提供应用和平台的保护，也不提供有用的入侵检测信息。

安全产品的合适配置也是一个挑战。有时产品的默认配置是拒绝所有访问，只有清晰的允许规则才能通过通信。安全产品配置的最大挑战是需要有熟练的专业人员来配置和管理。

3.运行过程

运行过程包括安全组件需要的必要支持和维护、变更管理、经营业务的连续性、用户安全意识培训、安全管理以及安全报警与监控等。安全基础设施组件的支持和维护类似于主机和应用服务器所需的支持。允许的变更管理要有能退回到目前工作版本的设施，并且要和经营业务连续性计划协调一致。

安全设备会产生一些不规则的日志信息，这对管理员来说是复杂的，一旦配置有差错，就会阻止访问网络、应用或平台。对各种人员的培训是任何安全体系结构成功的关键。最后，识别安全事故的能力且按照一个逐步升级的过程来恢复是最重要的。

技术变化十分迅速，这给从事于安全事业的人员增加了很多困难，因此选择高水平的人员从事该项工作是必须的。特别是，从事安全培训的专业人员是有效信息安全程序的关键，要使用各种有效媒体进行安全培训。每个企业员工都要接受安全培训，还要对不同的人员（例如安全管理员、最终用户、数据拥有者）有针对性地进行培训。