3-信息安全工程方法学(sse-cmm).ppt

LOGO第三章 信息安全工程方法学北京电子科技学院 信息安全工程应用信息安全系 冯 雁Email: fengy@LOGO工程质量保证v对于一个成熟的安全工程组织而言，工程 过程的质量，直接关系到用户对工程的信 心 v目前对工程过程的评估是通过对工程能力 进行评估的方式来进行的 v在这方面最为著名的评估标准是SSE-CMMLOGOContents系统工程过程1SSE—CMM235ISSELOGO参考文献vSystems Security Engineering Capability Maturity Model (SSE-CMM), Version 3.0, Jun.15, 2003LOGO3.3 SSE-CMMv SSE-CMM概述v SSE-CMM的体系结构v SSE-CMM的应用v SSE-CMM与其他信息安全标准的比较LOGO3.3 SSE-CMMv SSE-CMM概述v SSE-CMM的体系结构v SSE-CMM的应用v SSE-CMM与其他信息安全标准的比较LOGO3.3.1 SSE-CMM概述v 基本概念v 发展历史v 宗旨和目标v 适用对象LOGO基本概念vSSE-CMM：系统安全工程能力成熟度模型 Systems Security Engineering Capability Maturity ModelvSSE-CMM出现的动因§SSE-CMM是CMM 在系统安全工程这个具体领域 应用而产生的一个分支，主要用于评估实施者在信 息安全建设过程中表现出来的能力和水平，可以为 产品开发商改进安全产品、系统和服务的开发提供 帮助，并为安全工程原则的应用提供了一个衡量和 改进的途径。

§质量保证概念在全世界兴起，以软件工程CMM为 代表的CMM思想占据主流地位SE-CMM（系统工程-能力成熟度模型） P-CMM（人员能力成熟度模型） TCMM（可信能力成熟度模型） CMMI（CMM集成） IA-CMM（INFOSEC评估-能力成熟度模型）所有的CMM，都是建立在统计过程控制理 论基础上统计过程控制理论认为，所有 成功企业的共同特点是它们都具有一组严 格定义、管理完善、可测可控从而高度有 效的业务过程CMM模型抽取了这样一组 “好的”工程实践并定义了过程“能力”LOGO基本概念（续）vSSE-CMM描述了一个组织的安全工程过程 必须包含的基本特性，这些特性是完善安 全工程的保证，也是信息安全工程实施的 度量标准，同时还是一个易于理解的评估 系统安全工程的框架LOGO基本概念（续）vSSE-CMM对安全工程做了全方位刻画：§ 获取对企业中安全风险的理解 § 获取安全需求 § 将安全需求转换成安全指南 § 在正确有效的安全机制下建立信心和保证 § 判断系统中是否存在可接受的风险 § 将所有工程过程和专业活动集成为一个对系统安全 可信性的综合理解LOGO发展历史v April 93-December 94 预研（NSA） v January 95 1st公共会议，工作组成立 v March 95 1st工作组会议 v Summer/Fall 96 SSE-CMM 实验项目 v October 96 SSE-CMM v1.0 v Spring 97 评定方法v1.0 v Summer 97 SSE-CMM v1.1，评定方法v1.1 v 14-17 July 97 2nd公共会议 v April 1999 SSE-CMM v2.0，评定方法v2.0 v March 2002 被ISO接受为ISO/IEC 21827 v June 2003 SSE-CMM v3.0项目领导关键 评审专家轮廓/测度/保障工作组指导组模型维护工作组评定方法工作组生命周期支持工作组发起/规划/采纳工作组业内 评审专家SSE-CMM项目结构LOGO宗旨和目标vSSE-CMM宗旨§ 信息安全建设中需要有一个清晰定义的、成熟的且 可测量的要求。

vSSE-CMM目标§ 通过区分投标者的能力级别和相关的计划风险来选 择合格的安全工程提供商； § 有利于工程组把投资集中在安全工程工具、培训、 过程定义、管理实施和改进上； § 提供基于能力的保障，也就是说，用户可以基于对 工程组安全工程实践和过程的成熟度而确保信心 LOGO适用对象v工程组织（Engineering Organization）v获取组织（Acquiring Organization）v评估组织（Evaluation Organization）系统集成商、应用开发商产 品提供商、服务提供商对自己的工程能力进行自我评估从外部/内部资源采购系统、产品和 服务的组织(最终用户)判别一个供应者组织的系统安全工 程能力，识别该组织供应的产品和 系统的可信任性认证组织、系统授权组织 系统和产品评估组织建立被评估组织整体能力的信 任度，该信任度是系统和产品 的安全保证要素LOGO3.3 SSE-CMMv SSE-CMM概述v SSE-CMM的体系结构v SSE-CMM的应用v SSE-CMM与其他信息安全标准的比较LOGO3.3.2 SSE-CMM体系结构v 基本概念v 信息安全工程过程v 基本模型v 基本实施与过程域v 通用实施、公共特征与能力级别LOGO基本概念v过程（Process）n为了达到某一给定目标而执行的一系列活动， 这些活动可以重复、递归和并发地执行。

v过程域（Process Area，PA） § 由一些基本实施（Base Practices，BP）组成， 这些BP共同实施以达到PA的目标 § SSE-CMM包含三类过程域：工程、项目和组 织LOGO基本概念（续）v工作产品（Work Product） § 执行任何过程时产生的所有文档、报告、文件 和数据v过程能力（Process Capability） § 是通过跟踪一个过程能达到预期结果的可量化 范围 § 组织的过程能力可帮助组织预见项目达到目标 的能力LOGO信息安全工程过程vSSE-CMM并不定义各过程域在系统安全工程生命周 期中出现的顺序 v过程域实际上是依照过程域名的英文字母顺序来 编号的 v每个过程域包括一组集成的BP § BP定义了实现过程域目标的必要活动，代表业 界的最佳惯例 § 每个BP都规定了工作产品LOGO信息安全工程过程（续）SSE-CMM将安全工程划分为三类基本的 过程域组：v 风险 v 工程 v 保证三个基本过程域组风险过程工程过程保证过程LOGO基本模型SSE-CMM体系结构的设计目标是清晰地从管理 和制度化特征中分离出安全工程的基本特征为 了保证这种分离， SSE-CMM模型是两维的，分别 称为“域”和“能力” 。

§ 域维汇集了定义安全工程的所有实践活动— 基本实施（BP） § 能力维代表了组织能力，由过程管理和制度 化能力构成，即一系列通用实施（GP）过程 通用实施表现了一个基本实施中应当完成 的活动基本实施与通用实施的关系组织为识别系 统安全脆弱性 配置了资源吗 ？通用实施2.1.1 分配资源基本实施05.02 标志系统安全脆弱性LOGO基本实施和过程域v SSE-CMM域维包含了61个基本实施，这61 个基本实施被归为了11个过程域（PA），它 们涵盖了所有主要的安全工程域这些基本 实施来自于广泛的材料、实践和专家知识 v 此外，SSE-CMM中还定义了11个项目和组 织过程域11个安全工程过程域11个项目和组织过程域过程域03基本实施 01.02过程域02基本实施 01.01安全组织安全项目安全工程过程域01域 维基本实施与过程域的关系LOGO过程域描述格式v PA01——过程域名 v 概述——对该过程域的概括介绍 v 目标——实施该过程域期望达到的目标 v 基本实施列表——说明每一个基本过程的序号和名 称 v 过程域注解——对该过程域的其它说明 v BP.01.01——基本实施名 v 描述性名字——对该基本实施的一句描述 v 描述——对该基本实施的概括 v 工作成果示例——列出了所有可能的输出 v 注解——关于该基本实施的任何其它的注解 v BP.01.02……LOGO过程域举例vvPA05 PA05 评估脆弱性评估脆弱性 § 概述 •评估安全脆弱性的目的在于标识和描述 系统的安全脆弱性。

本过程域包括分析系统 资产、定义具体的脆弱性以及对整个系统的 脆弱性进行评估…… § 目标 •获得对一给定环境中系统安全脆弱性的 理解LOGO过程域举例（续）vvPA05 PA05 评估脆弱性评估脆弱性 § 基本实施清单 •BP05.01 选择脆弱性评估方法 •BP05.02 标识系统安全脆弱性 •BP05.03 收集与脆弱性属性有关的数据 •BP05.04 评估系统脆弱性 •BP05.05 监视脆弱性及其特征的变化 § 过程域注解 ……LOGO过程域举例（续）vBP05.01 选择脆弱性分析方法 § 描述 •本基本实施包括定义系统的脆弱性分析方法，以 对安全脆弱性进行标识和描述…… § 工作结果示例 •脆弱性分析方法——讨论系统安全脆弱性的分析 方法 •脆弱性分析格式——描述脆弱性分析结果的格式 •攻击方法学及其原理——实施攻击测试的目标和 方法 •攻击过程——实施攻击测试的详细步骤 •攻击计划——资源、时间进度和攻击方法描述 •渗透研究——为标识已知或未知的脆弱性而采取 的攻击方法和实施概要 •攻击概要——描述将要实施的具体攻击 § 注解 ……LOGO通用实施、公共特征与能力级别v SSE-CMM能力维由通用实施（GP）构成。

v GP是应用在所有过程中的行为它们针对的是一 个过程的管理、测量和制度化与BP不同，通用 实施的顺序根据成熟度排列在通用实施维中，越 向上，表示成熟级别越高 v 通用实施被归为若干类逻辑域，称为“公共特征” v 若干个公共特征构成了SSE-CMM的能力级别 v 能力级别分为5级，5级的要求则由这些公共特征 所组成通用实施、公共特征、能力级别的关系 Common FeaturesCommon FeaturesGeneric PracticesGeneric Practices通用实施以实施或制度化为手段来 提高工程过程的实施能力通用实施的集合，每一 集合中的公共特征面向 的是同一类过程的管理 和制度化问题若干个公共特征的组合 显示了安全工程过程的 实施能力级别公共特征能力级别5个能力级别及其包含的公共特征LOGO第一级：非正式执行v该级将关注一个机构或项目是否执行了包 含基本实施过程的安全工程该级别的特 点可以描述为“你必须首先做它，然后才能 管理它” v在本级别，过程域中的基本实施通常已得 到了执行但这些基本实施的执行可能未 经过严格的计划和跟踪，而是基于个人的 知识和努力LOGO第二级：计划和跟踪v该级将关注项目层面的定义、规划和执行问题。

该级别的特点可描述为“在定义机构层面的过程之 前，先要理解项目的相关事项” v在本级别上，基本实施的执行要经过规划并被跟 踪执行时要依据具体的流程，并应得到验证 工作结果要符合特定的标准和需求执行情况还 要经过测量，以使机构能够基于这些执行而管理 其活动它与非正式执行级。