系统安全工程能力成熟度模型简介

时间：2022-10-24 百科知识版权反馈

【摘要】：系统安全工程是系统工程的一个子集，而信息系统安全工程是系统安全工程的一个子集，其安全体系和策略必须遵从系统安全工程的一般性原则和规律。2002年，国际标准化组织正式公布了系统安全能力成熟度模型的标准，即ISO/IEC 21827-2002 《Information Technology-Systems Security Engineering-Capability Maturity Model》。尽管SSE-CMM模型是一个用以改善和评估安全工程能力的独特的模型，但这并不意味着安全工程将游离于其他工程领域之外进行实施。

2.2.1　系统安全工程能力成熟度模型简介

系统安全工程是系统工程的一个子集，而信息系统安全工程是系统安全工程的一个子集，其安全体系和策略必须遵从系统安全工程的一般性原则和规律。

SSE-CMM是一种衡量系统安全工程实施能力的方法，是一种使用面向工程过程的方法。SSE-CMM模型抽取了这样一组“好的”工程实施并定义了过程的“能力”。SSE-CMM主要用于指导系统安全工程的完善和改进，使系统安全工程成为一个清晰定义的、成熟的、可管理的、可控制的、有效的和可度量的学科。

SSE-CMM模型是系统安全工程实施的度量标准，它覆盖了：

●整个生命期，包括工程开发、运行、维护和终止。

●管理、组织和工程活动等的组织。

●与其他规范如系统、软件、硬件、人的因素、测试工程、系统管理、运行和维护等规范并行的相互作用。

●与其他组织（包括获取、系统管理、认证、认可和评估组织）的相互作用。

1.SSE-CMM发展

1994年4月启动的SSE-CMM项目，力求在原有CMM的基础上，通过对安全工作过程进行管理的途径将系统安全工程转变为一个完好定义的、成熟的、可测量的先进学科。1996年10月，模型第一版问世，主管单位随即选择了五家公司对模型进行了长达一年的试用，并依据试用经验，将模型进行了几次更新。1998年10月，SSE-CMM的2.0版本公布使用，稍后提交国际标准化组织申请作为国际标准。2002年，国际标准化组织正式公布了系统安全能力成熟度模型的标准，即ISO/IEC 21827-2002 《Information Technology-Systems Security Engineering-Capability Maturity Model（SSE-CMM）》。

SSE-CMM确定了一个评价安全工程实施的综合框架，提供了度量与改善安全工程学科应用情况的方法。SSE-CMM项目的目标是将安全工程发展为一整套有定义的、成熟的及可度量的学科。SSE-CMM模型及其评价方法可达到以下几点目的：

●将投资主要集中于安全工程工具开发、人员培训、过程定义、管理活动及改善等方面。

●基于能力的保证，也就是说这种可信性建立在对一个工程组的安全实施与过程成熟性的信任之上的。

●通过比较竞标者的能力水平及相关风险，可有效地选择合格的安全工程实施者。

SSE-CMM描述的是，为确保实施较好的安全工程，过程必须具备的特征，SSE-CMM描述的对象不是具体的过程或结果，而是工业中的一般实施。这个模型是安全工程实施的标准，它主要涵盖以下内容：

●它强调的是分布于整个安全工程生命周期中各个环节的安全工程活动，包括概念定义、需求分析、设计、开发、集成、安装、运行、维护及更新。

●它应用于安全产品开发者、安全系统开发者及集成者，还包括提供安全服务与安全工程的组织。

●它适用于各种类型、规模的安全工程组织，如商业、政府及学术界。

尽管SSE-CMM模型是一个用以改善和评估安全工程能力的独特的模型，但这并不意味着安全工程将游离于其他工程领域之外进行实施。SSE-CMM模型强调的是一种集成，它认为安全性问题存在于各种工程领域之中，同时也包含在模型的各个组件之中。

SSE-CMM适用于开发者、评估者、系统集成者、系统管理者、各类安全专家等。根据目标读者的不同，可选择使用该标准已定义的一组安全工程实施过程。换句话说，SSE-CMM模型适用于所有从事某种形式安全工程的组织，可以不必考虑产品的生命周期、组织的规模、领域及特殊性。这一模型通常以下述三种方式来应用：

●过程改进——可以使一个安全工程组织对其安全工程能力的级别有一个认识，于是可设计出改善的安全工程过程，这样就可以提高他们的安全工程能力。

●能力评估——使一个客户组织可以了解其提供商的安全工程过程能力。

●保证——通过声明提供一个成熟过程所应具有的各种依据，使得产品、系统、服务更具可信性。

目前，SSE-CMM已经成为西方发达国家政府、军队和要害部门组织和实施安全工程的通用方法，是系统安全工程领域里成熟的方法体系，在理论研究和实际应用方面具有举足轻重的作用。

中国信息安全产品测评认证中心在对信息系统和信息安全服务资质进行测评认证时，结合我国信息安全服务提供商的总体水平和安全意识，根据GB/T 18336-2001《信息技术　安全技术　信息技术安全性评估准则》和ISO/IEC 21827-2002《系统安全工程能力成熟度模型》，制定了《信息系统安全保障通用评估框架》和《信息安全服务评估准则》。

2.SSE-CMM的用户

安全的趋势是从保护要害部门的保密数据转向涉及更广泛的领域，其中包括金融交易、合同、个人信息和互联网。因此用于维护和保护这些信息的产品、系统和服务开始迅速发展。这些安全产品和系统进入市场一般有两种途径：通过长周期且昂贵的评定后进入市场或者不加评估就进入市场。对于前者，安全产品无法及时进入市场来满足用户安全需求，当进入到市场后，产品所具有安全功能就解决的威胁而言已经过时。对于后者，购买者和用户只能依赖于产品或系统开发者或操作者的安全说明，这造成市场上的安全工程服务都将基于这种空洞的无法律依据的基础。

这种情况要求组织以一个更成熟的方式来实施安全工程。特别地，在安全系统和安全产品生产和操作过程中要求以下特性：

●连续性——以前获得的知识将用于将来；

●重复性——保证项目可成功重复实施的方法；

●有效性——可帮助开发者和评价者都更有效工作的方法；

●保证——落实安全需求的信心。

为了达到这些要求，需要有一个机制来指导组织机构去理解和改进其安全工程实施。SSE-CMM正是出于这个目的，用于改进安全工程实施的现状，以达到提高安全系统、安全产品和安全工程服务的质量和可用性并降低成本的目的。

SSE-CMM描述了一个组织的系统安全工程过程必须包含的基本特性，这些特性是完善系统安全工程的保证，也是系统安全工程实施的度量标准，同时还是一个易于理解的评估系统安全工程实施的框架。

如前所述，SSE-CMM标准适用于可信产品或系统整个生命期的安全工程活动，其中包括概念定义、需求分析、设计、开发、集成、安装、运行、维护和终止；也可用于安全产品开发者、安全系统开发者、集成商和提供安全服务和安全工程的组织机构；还可应用于所有类型和大小的安全工程机构，如商务机构、政府机构和学术机构。概括起来，SSE-CMM主要适用于安全的工程组织（Engineering Organizations）、获取组织（Acquiring Organizations）和评估组织（Evaluation Organizations）。

工程组织包含系统集成商、应用开发商、产品提供商和服务提供商等。工程组织使用SSE-CMM对工程能力进行自我评估，从而使组织：

●通过可重复和可预测的过程和实施来减少返工、提高质量与降低成本；

●获得真正的工程能力认可；

●可度量组织的资质（成熟度）；

●非常明确过程和实施中不断的改进方法。

获取组织包含采购系统、产品，以及从外部/内部资源和最终用户处获取服务的组织。

获取组织使用SSE-CMM来判别一个供应者组织的系统安全工程能力，识别该组织供应的产品和系统的可信任性，以及完成一个工程的可信任性，从而达到：

●减少选择不合格投标者的风险（包括性能、成本、工期等风险）；

●有了工业标准的统一评估，减少争议；

●在产品生产或提供服务过程中，建立起可预测和可重复的可信度；

●有可重用的标准的提案请求（RFP，Request for Proposal）语言，以便对供应者迅速而准确地提出需求；

●有可重用的标准的评估方法。

评估组织包含认证组织、系统授权组织、系统和产品评估组织等。

评估组织使用SSE-CMM作为工作基础，以建立被评组织整体能力的信任度。这个信任度是系统和产品的安全保证要素。

评估组织使用SSE-CMM的目的是：

●获得独立于系统或产品的可重用的过程评定结果；

●获得能力表现的可信度，减少评估工作量；

●建立系统安全工程中的可信任度；

●建立系统安全工程集成于其他工程中的可信任度。

3.SSE-CMM的项目组织

SSE-CMM项目进展来自于安全工程业界、美国国防部办公室和加拿大通信安全机构积极参与和共同的投入，并得到NSA的部分赞助和配合。SSE-CMM项目结构包括一个指导组、评定方法组、模型维护组、生命期支持组；轮廓、保证和度量组；赞助、规划和采用组以及关键人员评审和业界评审。SSE-CMM项目结构如图2-2所示。