-实施中的几个问题

2.5.2　SSE-CMM实施中的几个问题

1.评估安全风险

评估安全风险的目的在于识别出一给定环境中涉及对某一系统有依赖关系的安全风险。这一过程区着重于确定一些风险，这些风险是基于对运行能力和可用资源在抗威胁方面的脆弱程度的已有理解上的。这一工作特别涉及对出现暴露的可能性进行识别和评估。“暴露”一词指的是可能对系统造成重大伤害的威胁、脆弱性和影响的组合。在系统生命期的任何时候都可进行这一系列活动，以便支持在一已知环境中开发、维护和运行该系统有关的决策。也就是：

●获得对在一给定环境中运行该系统相关的安全风险的理解。

●按照给定的方法论优先考虑风险问题。

安全风险多为将会出现不希望事件的影响的可能性。当其论及与费用和进度有关的项目风险时，安全风险特别涉及对一系统的资产和能力的影响。

风险总是包括一种依赖于某一特定情况而变化的不确定因素。这就意味着安全风险只能在某一限度内被预测。此外，对某一特定风险进行的评估也会具有相关的不确定性，例如，不希望事件并不一定出现。因此，很多因素都具有不确定性，例如对与风险有关的预测的准确性就不确定，在许多情况下，这些不确定性可以很大，这就使得安全的规划和调整非常困难。

可以降低与特定情况相关的不确定性的任何措施都具有相当重要性，有鉴于此，保证是重要的，因为它间接地降低了该系统的风险。

由本过程区产生的风险信息，取决于来自PA01的威胁信息，来自PA02的脆弱性信息和来自PA03的影响信息。当涉及收集威胁、脆弱性和影响信息的活动分别组合成单独的PA时，它们是互相依存的。其目标在于寻找认为是足够危险的威胁、脆弱性和影响的组合，从而证明相应行动的合理性。这一信息形成了在PA01中定义安全需要的基础以及由PA02提供的安全输入。

由于风险环境要经历变化，因此必须对其进行定期监视，以保证由本过程区生成的风险理解始终得以维持。

实施清单包括：

●BP.03.01　选择用于分析、评估和比较给定环境中系统安全风险所依据的方法、技术和准则。

●BP.03.02　识别威胁/脆弱性/影响三组合（暴露）。

●BP.03.03　评估与出现暴露相关的风险。

●BP.03.04　评估与该暴露风险相关的总体不确定性。

●BP.03.05　排列风险的优先顺序。

●BP.03.06　监视风险频谱及其特征的不断变化。

2.评估威胁

评估威胁过程区的目的在于识别安全威胁及其性质和特征。 也就是对系统安全的威胁进行标识和特征化。

许多方法和方法论可用于进行威胁评估。确定使用那一种方法论的重要考虑因素是该方法论如何与被选定的风险评估过程中其他部分所使用的方法论进行衔接和工作。

本过程区产生的威胁信息与脆弱性信息和影响信息一起使用。当这些涉及收集威胁、脆弱性和影响信息的工作已组合成单独的PA时，它们是相互依存的。其目的在于寻找被认为是足够危险的威胁、脆弱性和影响的组合，从而证明相应行动的合理性。因此，搜索威胁就根据现有的相应脆弱性和影响进行某些延伸。

由于威胁可能发生变化，因此必须定期地对其进行监视，以保证由本过程区所产生的安全理解始终得到维持。

基本实施清单包括：

●识别由自然因素所引起的适当威胁。

●识别由人为因素所引起的适当威胁，偶然的或故意的。

●识别在一特定环境中合适的测量块和适用范围。

●评估由人为因素引起的威胁影响的能力和动机。

●评估威胁事件出现的可能性。

●监视威胁频谱的变化以及威胁特征的变化。

3.评估影响

评估影响的目的在于识别对该系统有关系的影响，并对发生影响的可能性进行评估。影响可能是有形的，例如税收或财政罚款的丢失；或可能是无形的，例如声誉和信誉的损失，也就是对该系统风险的安全影响进行标识和特征化。

影响是意外事件的后果，对系统资产产生影响，可由故意行为或偶然原因引起。这一后果可能毁灭某些资产，危及该IT系统以及丧失机密性、完整性、可用性、可记录性、可鉴别性或可靠性。间接后果可以包括财政损失、市场份额或公司形象的损失。对影响是被允许在意外事件的结果与防止这些意外事件所需安全措施费用之间达成平衡。必须对发生意外事件的频率予以考虑，特别重要的是，即使每一次影响新引起的损失并不大，但长期积累的众多意外事件的影响总和，则可造成严重损失。影响的评估是评估风险和选择安全措施的要素。

当涉及与收集威胁、脆弱性和影响信息有关的活动被综合成单个PA后，它们是相互依存的。目的在于寻找认为是有足够风险的威胁、脆弱性和影响的组合，以证明新采取的措施是合理的。因此，对影响的搜索应通过现有相应的威胁和脆弱性进行一定延伸。

由于影响要经历变化，必须定期进行监视，以保证由本过程区产生的理解始终得到维持。

基本实施清单包括：

●BP.02.01　对系统操纵的运行、商务或任务的影响进行识别、分析和优先级排列。

●BP.02.02　对支持系统的关键性运行能力或安全目标的系统资产进行识别和特征化。

●BP.02.03　选择用于评估的影响度量标准。

●BP.02.04　对选择的用于评估的度量标准及其转换因子（如有要求）之间的关系进行标识。

●BP.02.05　标识和特征化影响。

●BP.02.06　监视所有影响中的不断变化。

4.管理安全控制

管理安全控制的目的在于保证集成到系统设计中的已计划的系统安全，确实由最终系统在运行状态下达到。

其目标是恰当地配置和使用安全控制。

本过程区描述了管理和维护开发环境和运行系统的安全控制机制所需要的那些活动，这个过程区进一步有助于保证在整个时间内不降低安全级别，一个新设备的控制管理应该集成到现有设备的控制中去。

基本实施清单包括：

●BP.01.01：建立安全控制的职责和责任并通知到组织中的每一个人。

●BP.01.02：管理系统控制的配置。

●BP.01.03：管理所有的用户和管理员的安全意识、培训和教育大纲。

●BP.01.04：管理安全服务及控制机制的定期维护和管理。