2.2.2 系统安全工程过程
SSE-CMM将系统安全工程过程划分为风险过程(Risk process)、工程过程(Engineeing process)和保证过程(Assurance process)三个基本的过程区(如图2-3所示)。它们相互独立,但又有着有机的联系。粗略地说来,风险过程识别出所开发的产品或系统的危险,并对这些危险进行优先级排序。针对危险所面临的安全问题,系统安全工程过程要与其他工程一起来确定和实施解决方案。最后,由安全保证过程建立起解决方案的可信性并向用户转达这种安全可信性。
图2-3 系统安全工程过程的组成部分
总的来说,这三个过程共同实现了系统安全工程过程结果所要达到的安全目标。
(1)风险
系统安全工程的一个主要目标是降低风险。风险就是有害事件发生的可能性及其危害后果。出现不确定因素的可能性取决于各个系统的具体情况。这就意味着这种可能性仅可能在某些限制条件下才可预测。此外,对一种具体风险的影响进行评估,必须要考虑各种不确定因素。因此大多数因素是不能被综合起来准确预报的。在很多情况下,不确定因素的影响是很大的,这就使得对安全的规划和判断变得非常困难。
一个有害事件由威胁、脆弱性和影响三个部分组成。脆弱性包括可被威胁利用的资产性质。如果不存在脆弱性和威胁,则不存在有害事件,也就不存在风险。风险管理是调查和量化风险的过程,并建立组织对风险的承受级别。它是安全管理的一个重要部分。风险管理过程如图2-4所示。
图2-4 风险管理过程
安全措施的实施可以减轻风险。安全措施可针对威胁和脆弱性自身。但无论如何,不可能消除所有威胁或根除某个具体威胁。这主要是因为消除风险所需的代价,以及与风险相关的各种不确定性。因此,必须接受残留的风险。在存在很大不确定性的情况下,由于风险度量不精确的本质特征,在怎样的程度上接受它才是恰当的,往往会成为很大的问题。SSE-CMM过程区包括实施组织对威胁、脆弱性、影响和相关风险进行分析的活动保证。
(2)工程
系统安全工程与其他工程活动一样,是一个包括概念、设计、实现、测试、部署、运行、维护、退出的完整过程(如图2-5所示)。在这个过程中,系统安全工程的实施必须紧密地与其他的系统工程组进行合作。SSE-CMM强调系统安全工程师是一个大项目队伍中的组成部分,需要与其他科目工程师的活动相互协调。这将有助于保证安全成为一个大项目过程中一个部分,而不是一个分离的独立部分。
使用上面所描述的风险管理过程的信息和关于系统需求、相关法律、政策的其他信息,系统安全工程师就可以与用户一起来识别安全需求。一旦需求被识别,系统安全工程师就可以识别和跟踪特定的安全需求。
图2-5 系统安全工程过程
对于安全问题,创建安全解决方案一般包括识别可能选择的方案,然后评估决定哪一种更可能被接受。将这个活动与工程过程的其他活动相结合的困难之处,是解决方案不能只考虑安全问题,还需要考虑其他因素,例如成本、性能、技术风险、使用的简易性等。
在生命期后面的阶段,还要求系统安全工程师适当地配置产品和系统以确保新的风险不会造成系统在不安全状态下运行。
(3)保证
保证是指安全需求得到满足的可信程度(保证过程如图2-6所示)。它是系统安全工程非常重要的产品。保证的形式多种多样。SSE-CMM的可信程度来自于系统安全工程过程可重复性的结果质量。这种可信性的基础是工程组织的成熟性,成熟的组织比不成熟的组织更可能产生出重复的结果。不同保证形式之间的详细关系是目前正在研究的课题。
安全保证并不能增加任何额外的对安全相关风险的抗拒能力,但它能为减少预期安全风险提供信心。安全保证也可看做是安全措施按照需求运行的信心。这种信心来自于措施及其部署的正确性和有效性。正确性保证了安全措施按设计实现了需求,有效性则保证了提供的安全措施可充分地满足用户的安全需求。安全机制的强度也会发挥作用,但其作用却受到保护级别和安全保证程度的制约。
图2-6 保证过程
安全保证通常以安全论据的形式出现。安全论据包括一系列具有系统特性的需求。这些需求都要有证据来支持。证据在系统安全工程活动的正常过程期间获得,并被记录在文档中。
SSE-CMM活动本身涉及到与安全相关证据的产生。例如,过程文件能够表示开发是遵循一个充分定义的成熟度工程过程,这个过程需加以持续改进。安全验证和证实在建立一个可信产品或系统中起到主要作用。
过程区中包括的许多典型工作产品可作为证据或证据的一部分。现代统计过程控制理论表明,如果注重产品的生产过程,则可用较低的成本重复地生产出较高质量和安全保证的产品。工程组织实施活动的成熟能力将会对这个过程产生影响和提供帮助。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
