1、ICS 35.040 L 80 道昌中华人民共和国国家标准GB/T 20261-2006 信息技术系统安全工程能力成熟度模型Information technology-Systems security engineering一Capability maturity model (ISO/IEC 21827: 2002 , MOD) 2006-03-14发布中华人民共和国国家质量监督检验检痊总局中国国家标准化管理委员会2006-07-01实施发布G/T 20261一2006目次EN11255666778口uumn刃剑mUMMUMN咄咄咄臼臼盯I例惯本基全咱行踪. 四川制制险据势人帮崎剧柏棚以制
2、附刷构控风性论态辅全确用正划善量续目主结全响全胁弱障全全全安和通非策妥定持项项主盟例硝问暇俩一MMM帧跟阳椭阪翩翩和一一一一一和静阳U的排构H过附例节、评、评、评、评古协也唱一一附u12345附注捎用义因程致编结程程M惯一一一一一一一一一一性级级级级级性全-H引定u原工一的系工工C表本LdorLdb升起.等等等等等范安.性和发全见准体全全巴总基00000000OAA规则肋肋胁力肋规述般川剧围范语景开安意标型安安岱汇全mmmmmmmmmppum总自白白白自职综-p言言范规术背123本模1234安123456789川口录123456录123前引1234AhAh4.566.6.n队队71111111
3、1111附人AAAAA附旦旦B.GB/T 20261一2006B. 4 PA13-管理配置MB.5 PA14一一管理项目风险66B.6 PA15-监督和控制技术工作B. 7 PA16-策划技术工作B. 8 PA17一一定义组织系统工程过程76B. 9 PA18-改进组织系统工程过程78B.10 PA19-管理产品线演化.80B.ll PA20-管理系统工程支持环境mB. 12 PA21-提供持续发展的技能和知识MB.13 PA22-与供方协调.88 附录c(资料性附录)能力成熟度模型概念.91 C.1 概述.91 C.2 过程改进 91 C.3 预期结果. 92 C.4 常见误解. 92 C.
4、5 关键概念. 93 E G/T 20261-2006 前言本标准修改采用ISO/IEC21827: 2002(信息技术系统安全工程能力成熟度模型)(英文版).主要修改内容如下:一一在2规范性引用文件中增加GB/T20000. 1、GB/T9387.2、GB/T18336. 1和GB/T11457; 一一-在2规范性引用文件中将ISO/IEC15504、ISO/IEC15288的引用版本修改为最新版本;一一在3术语和定义中增加了惯例作为3.24条,原国际标准中3.24条以后的术语编号依次下移;排除原国际标准中存在的错误。例如图5中横纵坐标的含义标识顺序颠倒,本标准中不存在分析候选解决方案这个过
5、程域。本标准是系统安全工程的一个过程参考模型,关注的是信息技术安全领域内某个或若干个相关系统实现安全的需求,其主要内容描述了用来实现信息技术安全的过程,尤其是过程的成熟度。本标准的附录A和附录B为规范性附录,附录C为资料性附录。本标准由中华人民共和国信息产业部提出。本标准由全国信息技术标准化技术委员会归口。本标准起草单位:中国电子技术标准化研究所、中国电子科技集团公司第三十研究所、北京思乐信息技术有限公司。本标准主要起草人:周平、吴源俊、王新杰、魏忠。mu GB/T 20261-2006 引在计算机程序开发中一一元论是操作系统软件、安全管理和执行功能、软件、应用程序中间件各种各样的组织实施安全
6、工程。因此,产品开发者、服务提供者、系统集成者、系统管理者,甚至是安全专家都要求有合适的方法和惯例。在这些组织中,有些组织涉及高层次问题(例如涉及运行使用或系统体系结构).另一些组织则关注低层次问题(例如,机制选择或者设计).还有些组织两者都有。许多组织可能专门研究某种特定类型的技术,或者某个专业范畴(例如,航海)。SSE-CMM1)是针对所有这些组织而设计的。使用SSE-CMM并不意味着一个组织就比另一个组织更关注安全,也不意味着任何SSE-CMM使用方法是必须的。组织的业务核心也不会因为使用SSE-CMM而发生偏离。根据组织的业务核心,使用某些(而不是全部)己定义的安全工程惯例。除此之外,
7、组织可能需要考虑模型范围内不同惯例之间的关系,以确定它们的可用性。下面的例子说明了各种不同的组织可以把SSE-CMM用于软件、系统、设备开发和运行。安全服务提供者为了测量一个组织执行风险评估的过程能力,要使用几组不同的惯例。在系统开发或集成期间,可能需要评估该组织在确定和分析安全脆弱性以及评估运行影响方面的能力。在运行情况下,可能需要评估该组织在监视系统安全态势、识别和分析安全脆弱性以及评估运行影响方面的能力。对策开发者在一个组集中于对策开发的情况下,可能要通过SSE-CMM的惯例组合来描述组织的过程能力特性。该模型包含若干提出确定和分析安全脆弱性、评估运行影响以及向涉及到的其他组(例如软件组
8、)提供输入和指南的惯例。提供制订对策服务的组需要理解这些惯例之间的关系。产品开发者SS巴CMM包含一些专门针对理解顾客安全需要的惯例。要求与顾客反复商讨,以便确定这些需要。如果某个产品的开发不受特定顾客的约束,该产品的顾客就是一般顾客。在这种情况下,如果要求考虑顾客,可以把产品营销组或其他组作为假想的顾客。安全工程专业人员都明白,产品背景和产品开发方法随产品本身的变化而变化。不过,已经知道有一些与产品和项目背景有关的问题对产品的构思、生产、交付和维护方法有影响。下列问题对SSE-CMM特别有意义: 顾客基本类型(产品、系统或服务); 保障要求(高与低); 对开发和运行组织的支持。下面讨论两类不
9、同顾客基础之间的差别、安全保障要求程度差别和这些差别在SSE-CMM中的影响。所做的讨论作为一个关于某个组织或某个行业部门可能如何确定在其环境中合适地使用SSE-CMM的例子。特定的行业部门N 各个行业反映了其独特的文化、术语和交流风格。通过尽可能降低角色相关性和组织结构关联性,1)CMM和CapabilityMaturity Model均是美国卡内基梅隆大学(CMU)的服务商标,受相关法律和法规的保护。GB/T 20261-2006 可预见SSE-CMM的概念可以容易地由所有行业部门转化成其自身的语言和文化。如何使用SSE-CMMSSE-CMM和应用该模型的方法(例如,评估方法)的预期用途如
10、下:工具工程组织用于评价其安全工程实践和定义改进; 方法一一一安全工程评价组织(例如认证机构和评价机构)用于确定组织能力(作为系统或产品安全保障的输入)信任度; 标准机制一一顾客用于评价提供者的安全工程能力。如果使用模型和评估方法的用户透彻地理解模型的正确用法及其内在的限制条件,则在应用模型进行自我改进和选择供方的过程中可使用该评价技术。关于使用过程评估的其他信息,可以在ISO/IEC15504-4 (信息技术过程评估第4部分:用于过程改进和过程能力确定的使用指南中找到。使用SSE-CMM的好处安全的趋势是从保护涉密的政府数据向包括金融交易、合同协议、个人信息以及互联网在内的更加广泛的利害攸关
11、领域转移。己经出现相应的维护和保护信息的产品、系统和服务的衍生物。这些安全产品和系统一般以两种方式之一进入市场:长期而昂贵的评价或者无需评价。在前一种情况下,可信的产品往往要在确定它们的特性是必要的之后很长时间并且那些己部署的安全系统不再应付当前威胁时,才到达市场。在后一种情况下,获取者和用户必须只依赖产品或者系统开发者或运营商的安全声明。而且,以往的安全工程服务往往都带着这种警告进入市场。这种情况要求组织以更成熟的方式实施安全工程。特别是在生产和准备安全系统和可信产品时,需要下列品质: 连续性一一在以前的工作中获取的知识应用于今后的工作中;可重复性确保项目可以成功重复的方法; 有效性一一有助
12、于开发者和评价者更有效工作的方法; 保障一一指出安全要求的置信度。为了准备这些要求,需要某种机制用于指导组织去了解和改进它们的安全工程实践。正在开发的SSE-CMM,以改进所要交付的安全系统、可信产品和安全工程服务的质量和可用性以及降低其成本为目标,提高安全工程实践水平,以适应这些需求。特别是可预见到有下列好处:对工程组织:工程组织包括系统集成商、应用开发商、产品厂商和服务提供商。对于这些组织来说,SSE-CMM的好处包括: 由于可重复、可预计的过程和惯例使返工减少而带来的节约; 真实执行能力,特别是来源选择方面的信誉; 专注于度量到的组织能力(成熟度)和改进。对于获取组织z获取者包括从外部/
13、内部来源获得系统、产品和服务的组织和最终用户。对于这些组织,SSE-CMM的好处包括: 可重用的标准置标语言和评价手段; 减少选择不合格投标者的风险(性能,费用,进度); 由于以业界标准为基础统一评估,引起的异议不多; 产品或服务达到可预计、可重复的信任程度。V GBjT 20261-2006 对于评价组织z评价组织包括系统认证机构、系统认可机构、产品评价机构和产品评估机构。对于这些组织,SSE-CMM的好处包括: 过程评估结果可重用,与系统或产品变更无关; 安全工程以及与其他学科的集成可信; 用证据证明能力,减少安全评价工作量。M GB/T 20261-2006 信息技术系统安全工程能力成熟
14、度模型1 范围是用来实现ITS的过程,尤其程,更不必说具体的方法。何信息技术安全指导文件 涉及整个生存再发、集成、安装尽管SSE-CM程学科开展安全工件和硬件)并且通嘈、安全惯例承认有,ISO/ IEC 15504关注本标准与ISO/IE2中的方法和要求。2 规范性引用文件下列文件中的条款通过再如的修改单(不包括勘误的内容)豆究是否可使用这些文件的最新版本。GB/ T 9387 . 2- 1995 信息处理系统(idt ISO 7498-2: 1989) GB/ T 11457 软件工程术语领域内,SSE-CMM关注的目的稳是规定组织使用的具体过GB/ T 18336. 1 信息技术安全技术信
15、息技术安全性评估准则第1部分:简介和一般模型(GB/ T 18336. 1- 200 1, idt ISO/ IEC 15408-1: 1999) GB/ T 20000. 1 标准化工作指南第1部分:标准化和相关活动的通用词汇(GB/T20000. 1-2002,ISO/IEC指南2:1996,MOD)GB/ T 19715. 1一2005信息技术信息技术安全管理指南第1部分:信息技术安全概念和模型(lSO/IECTR 13335-1 :1 996 , IDT) ISO/ IEC 15288 系统工程系统生存周期过程GB/T 20261-2006 ISO/IEC 15443-1 信息技术安全
16、技术IT安全保障框架第1部分:概述和框架ISO/IEC 15504-1信息技术过程评估第1部分:概念和词汇ISO/IEC 15504-2信息技术过程评估第2部分:执行评估ISO/IEC 15504-4 信息技术过程评估第4部分z用于过程改i圭和过程能力确定的使用指南3 术语和定义下面的术语和定义适用于本标准。3. 1 可核查性accountability 确保一个实体的活动能够唯一地追踪到该实体的特性GB/T9387.2一1995J。3.2 认可accreditation 在本标准中:由某个指定的批准机构做出的正式声明:批准某系统采用一系列规定的防护措施按照某特定安全模式运行。3. 3 注:这
17、个定义是安全界普遍接受的定义,在国家标准中更通用的定义是:权威机构正式承认某个团体或者个人胜任执行特定任务的规程GB/T20000. 1J。评估assessment 使用相应的评估方法对照标准验证产品、系统或者服务,以便证实符合性和确定安全保障ISO/IEC 15443-1J。3.4 3.5 3.6 3. 7 资产asset 对组织有价值的任何东西GB/T19715. 1-2005J。保障assurance 可交付件满足其安全目标的置信度GB/T18336. 1J 0 注:这个定义是安全界普遍接受的定义,在国家标准中更通用的定义是:一种活动,其结果是指出某产品、过程或者服务满足规定要求的置信度
18、GB/T20000. 1J。保障论据assurance argument 由证据和推理支持的、清楚地证明各项保障需要是如何得到满足的一组结构化保证声明。保障声明assurance c1aim 系统满足安全需要的断言或支持性断言。这些声明涉及直接威胁(例如,防止系统数据遭受外部攻击)和间接威胁(例如,使系统代码漏洞尽可能小)。3.8 保障证据assurance evidence 可以据以做出保证声明判断或者结论的数据。这类证据可能由观察项、测试结果、分析结果和评估结果构成。3.9 真实性authenticity 确保主体或者资源的身份与声明的身份相符的属性。真实性适用于诸如用户、过程、系统和信息
19、之类实体GB/T19715. 1-2005J。GB/T 20261-2006 3.10 可用性availability 由得到授权的实体按要求进行访问和使用的特性GB/T9387. 2-1995J。3. 11 基线baseline 经过正式评审并且一致同意的、此后将作为未来开发基础的、并且只有通过正式更改控制规程才能够变更的某个规范或者产品GB/T11457J。3. 12 认证certification 在本标准中:为了确定设计和实现满足一组规定的安全要求的程度,而对系统的安全特征和其他防护措施进行全面评价以产生书面结果的过程。3. 13 3. 14 3. 15 3. 16 3. 17 3.
20、18 注:这个定义是安全界普遍接受的定义,在国家标准中更通用的定义是:第三方在对产品、过程或者服务符合规定的要求给出书面保障时遵循的规程GB/T20000.口。保密性confidentiality 对于未得到授权的个人、实体或者过程,信息不可用或者不暴露的属性GB/T9387. 2-1995J。一致性consistency 某个系统或构件的各个组成部分或者文档之间的统一、标准化和不矛盾的程度GB/T11457J。正确性correctness 针对规定的安全要求,产品或者系统的表现显示出要求的实现是正确的。顾客customer 供方提供的产品的接收者。注1:在合同条件下,顾客叫做买方。注2:顾客
21、可以是最终顾客、用户、受益人或者买方。有效性effectiveness 系统或者产品的属性,反映系统或产品在其推荐的或者实际的运行使用背景下提供安全的程度。工程组engineering group 对有关某特定工程学科(例如硬件、软件、软件配置管理、软件质量保证、系统、系统测试和系统安全)的项目或组织活动负责的人群(包括管理人员和技术人员)。3.19 证据evidence 过程和/或产品的可直接测量的特征,它体现某具体活动满足规定要求的客观的、明显的物证。3.20 完整性integrity 维护信息和处理方法的准确性和完备性的特性。3.21 维护maintenance 在系统或构件交付后,为了
22、纠正缺陷、改进性能或其他属性,或者为了适应变更的环境,而修改该系统或构件的过程GB/T11457J。3 GB/T 20261-2006 3.22 方法学methodology 定义系统或产品的完整开发途径的标准、规程和支持方法的集合。3. 23 渗透轮廓penetration profile 为实现渗透所要求的活动的定义。3.24 惯例practices 常用的方法、习惯做法或者常规。3. 25 规程procedure 3.26 过程process 把输入转化为输出的3.28 残留凤险residual 在已实现防护措施4阳3.29 凤险risk 某种威胁会利用一种risk analysis 3
23、.31 风险管理risk management 3. 32 安全策略security policy 在本标准中:关于如何在组织及其系统内管理、保护和分发资产(包括敏感信息)的规则、指令和惯例,特别是影响到系统和相关要素的规则、指令和惯例。3. 33 安全相关要求security related requirement 直接影响系统安全运行或者强制执行规定安全策略的要求。3. 34 系统system 具有实物形式和规定目的的、可辨别的离散实体;通过集成相互作用的部件构成,单独的每一个部4 GB/T 20261-2006 件达不到所要求的总体目的ISO/IEC15288J。3.35 3. 36 3
24、. 37 3.38 3.39 3. 40 注1:实际上,系统是在旁观者的眼中的系统并且通常用联合名词来澄清其含义(例如,产品系统、飞机系统)。另一种方式是使用上下文相关的同义词(例如,产品、飞机)简单取代系统一词,不过,这种替代可能使系统原理观点变得模糊。注2:系统在其生存周期中,为了满足自身的需求,可能需要其他系统。例如,一个运作系统可能需要一个系统用于概念化、开发、生产、运行、支持或者处置。威胁threat 威胁者threat agen 故意的或意外的通过检查和脆弱性vul 能够被某种品制用的某个或某也工作产品w 4 背景SSE-CMM描述一/1型没有规定具体的过程或顺 整个生存周期,包括
25、开发、运干J唁 整个组织,包括管理类、组织类和工程过程的基本特性。该模 与其他学科(例如,系统、软件、硬件、人机工程和测试工程,以及系统管理、运行和维护)的并发交互作用; 与其他组织的交互作用,包括获取、系统管理、认证、认可和评价。SSE-CMM的模型描述包括:该模型所依据的原理和体系结构的综述,模型的执行概要,正确使用该模型的建议,模型中包括的惯例,以及模型属性描述。它还包括模型的开发要求。SSE-CMM的评估方法描述用于对照该模型评价一个组织的安全工程能力的过程和工具。4. 1 开发原因顾客和供方都对改进安全产品、系统和服务的开发感兴趣。安全工程领域有一些普遍接受的原则,但是目前缺乏关于评
26、价安全工程惯例的综合性框架。SSE-CMM通过确定这样一个框架,提供了一个G/T 20261一2006测量和改进安全工程原则应用性能的方式。必须强调的是,安全工程是一门独特的学科,要求专门的知识、技能和过程为开发安全工程特有的能力成熟度模型提供保证。这种要求并不与安全工程是在系统工程背景下实施的前提相悖。事实上,妥善定义和公认的系统工程活动可以使安全工程在各种背景下有效开展。现代统计过程控制认为,通过强调产品生产过程的质量以及那些过程固有的组织实践行为的成熟度,能够更划算地生产出质量更高的产品。倘若增加安全系统和可信产品开发要求的费用和时间,将保证过程更有效。安全系统的运行和维护依赖于人和技术
27、的结合过程。强调所使用的过程的质量以及这些过程内在的组织实践行为的成熟度,能够更划算地管理这些依赖关系。SSE-CMM项目的目标是使安全工程提升成为一门得到定义的、成熟的和可度量的学科。SSE-CMM和评估方法的开发是为了促成: 各个工程组关注安全工程工具、培训、过程定义、管理实践以及改进领域内的投资; 基于能力的保障,即基于工程组的安全惯例和过程的成熟度的置信度的可信性; 通过按能力等级和与之相关的风险来区分投标者,选择有合适资格的安全工程供方。4.2 安全工程的重要性随着社会对信息的依赖性的增加,信息的保护变得日益重要。需要许多产品、系统和服务来维护和保护信息。安全工程的焦点已经从主要保护
28、政府涉密数据的安全扩展到包括金融交易、契约协定、个人信息以及互联网在内的更广泛的应用领域。这些趋势提高了安全工程的重要性。4.3 意见一致SSE-CMM由50多个组织共同开发,其中有许多跨国公司。这个项目的代表来自好几个国家,特别是澳大利亚、加拿大、欧洲和美国。此外,通过各种各样的聚会形式(包括会议上的介绍和分组讨论)以及公众互联网网站www.sse- cmm. org , SSE-CMM项目在不断地寻找新的参与者。这些参与者被组成一个指导组和若干工作组。大部分开发工作由工作组执行,指导组负责推进整个项目和批准项目可交付件。SSE-CMM是通过意见一致的过程开发的。所有成员组织都可以派代表参加
29、工作组会议,并且大多数成员都是这样做的。在休会期间,通过电子方式把对项目的贡献发送给工作组的所有成员。会议每月召开一次,讨论、修改和商定各项提议。任何必要的投票结果都记录在每次会议发布的工作组会议纪要中。这些记录得到维护。每个SSE-CMM版本首先要由承担开发任务的工作组批准。然后经过指导组评审和批准。指导组批准修改版本后,发送给从广大ITS团体进选的一大批关键评审员评审和评论。然后每个版本都要发布供公众评审和反馈意见。根据从广大关键评审员和团体收集到的反馈意见,指导组对该版SSE-CMM的最终发布做出决定。SSE-CMM首先是在工作组一级、接着是在指导组一级、然后是在关键评审员一级、最后是在
30、团体一级得到批准。因此,从本质上来说,它得到了四个级别的批准。通过在不同应用领域运用该模型进行试评估,进一步得到对该模型的附加的一致意见和批准。公共准则项目的候选保障工作组(AAWG)评审SSE-CMM的适用性,确定其是否适合作为通过评价提供保障的换代版本,同时把信息技术系统安全团体的一致意见反馈给本项目。模型的每次重大发布都由许多彼此无关的、没有介入该模型开发的评审人员评审。他们的意见经过整理、评审,然后吸收到模型中。最后,每个文档版本都要经受公众的评审、委员会草案文件评审和两次专题讨论,并且接收和处理各条意见。5 本标准的编排结构第4章讨论了本标准的一些背景和制定本标准的原因。第6章说明S
31、SE-CMM的体系结构和系6 GBjT 20261-2006 统安全工程的角色。第7章详细描述系统安全工程过程域和基本惯例。附录A描述能力成熟度等级和通用惯例,附录B描述项目类和组织类过程域以及基本惯例。附录C阐述能力成熟度模型的概念。在使用SSE-CMM时,也可以应用ISO/IECTR 15504-4。6 模型体系结构SSE-CMM是若干广为人知的安全工程惯例的汇编。为了便于理解这个模型,要求一些安全工程背景知识。这个部分提供安全工程的高层次描述,然后说明模型的体系结构如何反映这种基本认识。6. 1 安全工程6. 1. 1 什么是安全工程网络、计算机、应用软件,甚至企业之间的互连和互操作的普
32、遍推进使安全在所有的系统和产品中扮演的角色显得越来越关键。安全的焦点已经从保护政府涉密数据扩展到包括金融交易、契约协定、个人信息和互联网在内的更广泛的应用领域。为此,有必要针对所有应用考虑潜在的安全需要并且做出相应的决定。所要考虑的安全需要的例子包括保密性、完整性、可用性,可核查性、隐私和保障。安全问题焦点的转移提高了安全工程的重要性。安全工程正成为一门越来越重要的学科,并且应该是多学科并发工程队伍里的一个关键组成部分。这种情况适用于系统和应用项目的开发、集成、运行、管理、维护和演化,以及产品的开发、交付和评价。安全关注的内容必须在企业和业务过程的定义、管理和再工程中提出。然而,安全工程可以在
33、某个系统、产品中或作为一个服务交付。6. 1. 2 安全工程的描述安全工程是一门发展中的学科。正因为如此,目前还没有一个在业界内意见一致的精确定义。不过,还是给出一般性的描述。安全工程的一些目标是: 了解与企业有关的安全风险F 按照已识别的风险确立一组均衡的安全需要; 把安全需要转变成安全指南,以纳入某个项目实施的其他学科活动中和某个系统配置或运行的描述中; 确定安全机制的正确性和有效性的置信度或保障; 确定由于系统或它的运行中残留的安全脆弱性而对运行造成的影响是可以容忍的(可接受的风险); 从对系统可信性的综合理解上统筹考虑所有工程学科和专业的工作。6. 1. 3 安全工程组织安全工程活动由
34、各种类型的组织实施,例如: 开发者; 产品销售商P 集成商; 获取方(获取组织或者最终用户); 安全评价组织(系统认证机构、产品评定机构,或者运行认可机构); 系统管理员; 可信的第三方(认证机构); 咨询/服务组织。6. 1.4 安全工程生存周期在下列所有的生存周期阶段都要推进安全工程活动: 概念阶段;7 G/T 20261-2006 开发阶段; 生产阶段; 使用阶段; 支持阶段; 退役阶段。6. 1. 5 安全工程和其他学科安全工程活动和许多其他学科相关联,包括: 企业工程; 系统工程; 软件工程; 人机工程; 通信工程; 硬件工程; 测试工程; 系统管理。6. 1.6 安全工革尽管在当前
35、I忽视其他传统安很可能需要的几物理安全睛 人员安全一一 管理安全-d 通信安全一一关系到保护; 发射安全一一处理由所有那些能惯有陪遥挝磊壤以 计算机安全一一专门对付各种类型的安全计算设备。6. 2 安全工程过程综述些界面和必需的业学科分支在它面的清单列出了SSE-CMM把安全工程划分为三个基本领域:风险、工程和保障,见图1。虽然这些领域不是相互独立的,但可以单独研究。在最简单的层次上,风险过程识别所开发的产品或系统的内在危险并且排列优先顺序。针对这些危险所呈现的问题,安全工程过程与其他工程学科一起确定和实现相应的解决方案。最后,保障过程确立安全解决方案的置信度并且把这样的置信度传递给顾客。GB
36、/T 20261-2006 工程过程保障过程风险过程i量保障论据固1安全工程过程有三个主要的领域总而言之,这三个领域一起工作,它们的共同目标是确保安全工程过程的结果达到上述各个目标。6.2.1 凤险安全工程的一个主要目标是减少风险。风险评估是识别那些尚未发生的问题的过程。通过检查威胁和脆弱性的可能性以及研究不希望事件的潜在影响来评估风险,见图2。上述可能性存在一个不确定因素,它将随具体情况的变化而变。这就是说,这种可能性只能是在一定的限制范围内才能够预测到。此外,由于不希望事件可能不会如期发生,因此所评估的某特定风险的影响也有相应的不确定度。因为,相对于它们的预计准确性而言,可能存在大量的不确
37、定因素,所以安全性的策划和判断可能是非常困难的。以一种经济的方式局部处理这个问题的一种方法就是实现相关的技术以检测不希望事件的发生。一个不希望事件由三个部分构成:威胁、脆弱性和影响。脆弱性是可能被某个威胁利用的资产属性,包括各种弱点。如果既没有威胁也没有脆弱性,就可以没有不希望事件,因此也就没有风险。风险管理是评估和量化风险并且为组织确定合理风险级别的过程。管理风险是安全管理的一个重要组成部分。引j国-电画画PA02: 评估影响画固2安全凤险过程包括威胁、脆弱性和影响9 GB/T 20261-2006 通过采取防护措施缓解风险,可能涉及威胁、脆弱性、影响或者风险本身。然而,缓解所有风险或者完全
38、缓解某特定风险的所有各个方面是不可行的。这在很大程度上取决于风险缓解成本以及相关的不确定性。因此,总是必须接受某些残留风险。在不确定度比较高的情况下,由于其不确定性,风险接受就很成问题。处于风险接受者控制下的少数几个领域中的一个是有关系统的不确定性。SSE-CMM过程域包括的活动有助于确保供方组织分析威胁、脆弱性、影响以及相关的风险。6. 2.2 工程就像其他的工程学科一样,安全工程是一个由概念、设计、实施、测试、部署、运行、维护和退役等阶段推进的过程。在这整个过程中,安全工程师必须与系统工程队伍的其他部分紧密配合开展工作。SSE-CMM强调安全工程师是一个更大团队的完整部分,需要与其他学科的
39、工程师协调他们的活动。这有助于确保安全成为这个更大过程的一个组成部分,而不是一个独立而又独特的活动。根据上述风险过程的信息,以及其他有关系统需求的信息、相关的法律和政策、安全工程师和顾客一起确定安全需要,见图3。一旦确定需要,安全工程师要确定和眼踪具体的需求。建立安全问题解决方案的过程通常包括确定可行的候选方案,然后评估候选方案,以便决定哪一个是最可行的。使这项活动与工程过程的其他活动相整合的困难在于不可能单独就安全注意事项选择解决方案。相反,有各种各样的其他注意事项必须予以考虑,包括成本、性能、技术风险,以及使用的简便性等。一般情况下,应该就这些考虑做出决定,以便尽量减少反复。所产生的这些分
40、析结果也为各项保障工作奠定了重要基础。风险信息PAI0. 规定安全需要圄TE主画配置信息圄解决方案、指南,等等固3安全是整个工程过程的一个完整的组成部分在生存周期后面阶段,需要安全工程师确保按照已经觉察到的风险正确地配置产品和系统,确保新的风险不会使系统的运行不安全。6.2. 3 保障保障被定义为安全性需要得到满足的置信度美国国家标准和技术协会,1994年9月0 保障是非常重要的安全工程产品。存在多种形式的保障。SSE-CMM的一个贡献是提出了安全工程过程结果的可重复性的置信度。这个置信度的基础是:一个成熟的组织比一个不成熟的组织更有可能重复这些结果,见图4。不同的保障形式之间的详细关系正在研
41、究之中。保障并不增加任何遏制安全风险的控制手段,而是提供那些已经实施的控制手段将减小预期风险的置信度。也可以把保障看成是防护措施将发挥预期作用的置信度。这个置信度来源于正确性和有效性。正确性是指防护措施按设计实现各项需求的性质。有效性是指防护措施提供的安全服务满足顾客的安全需要的性质。安全机制的强度也是保证的一部分,但是受到所寻求的保护和保障级别的节制。10 GB/T 20261-2006 PAll: 验证和确认安全罩PA06: 建立保障论据E言保障论据其他过程域证据图4保障过程建立一个确定置信度的论据保障往往以固定形式的论据来传达。这个论据包括一组有关系统属性的声明。这些声明有证据给予支持。
42、通常这种证据的形式是安全工程活动正常推进期间产生的文档。SSE-CMM活动本身涉及到与保障相关证据的产生。例如,过程文件编制可以表明开发阶段是否遵循了妥善定义的、成熟的、得到持续改进的工程过程;而安全验证和确认则在建立产品或者系统的可信性的过程中扮演重要角色。各个过程域中的许多工作产品示例将成为保障的一部分或者为证据做贡献。现代统计过程控制认为,通过关注用于生产产品的过程,可以更划算地并且可重复地生产出更高质量和更高保证的产品。组织惯例的成熟度将会影响和促进这个过程。6.3 SSE-CMM体系结构描述设计的SSE-CMM体系结构是为了能够在整个安全工程范围内确定安全工程组织的过程成熟度。这个体
43、系结构的目的是将安全工程过程的基本特性从过程的管理和制度化特性中清楚地分离出来。为了确保分离,模型有域和能力两个维,将在后面描述。需要说明的是,SSE-CMM本身并不意味着一个组织内的任何特定的组或者角色都必须执行模型中所描述的任何过程。也没有要求使用最新的和最好的安全工程技术或者方法。不过,模型要求一个组织把包含有模型中描述的基本安全惯例的过程放在适当位置。在建立组织自己的、满足本组织业务目标的过程和组织结构方面,组织是自由的。6.3. 1 基本模型SSE-CMM有两个维,域和能力。在这两个维中,域维可能是较容易理解的。这个维仅仅由共同定义安全工程的所有惯例构成。这些惯例叫做基本惯例。这些基
44、本惯例的结构和内容将在后面讨论。能力维描述那些表明过程管理和制度化能力的惯例。由于它们适用于很多域,因此这些惯例叫做通用惯例。通用惯例描述的活动应该作为实施基本惯例时的一部分予以执行。图5说明了基本惯例和通用惯例之间的关系。安全工程的一个基本组成部分是安全脆弱性的识别。这项活动在SSE-CMM的基本惯例BP05.02:识别系统安全脆弱性中描述。判定一个组织完成某事的能力的一种方法是检查它们是否具备一个为它们声明正在开展的活动分配资源的过程。成熟组织的这个特征在SSE-CMM的通用惯例GP2.1.1:分配资源中描述。把基本惯例和通用惯例结合在一起,提供一种检查一个组织执行某个特定活动的能力的方法
45、。这里,感兴趣的人可能会问你的组织为识别系统安全脆弱性分配资源吗?如果回答是是,那么调查者就了解到一点这个组织的能力情况。回答所有由于把所有的基本惯例和所有的通用惯例结合在一起而产生的问题,将提供一幅令人满意的、关于该组织的安全工程能力的实况图。11 GB/T 20261-2006 (军事眩耀银川啊摇GP 2. 1. 1 分配资源6.3.2 基本惯例SSE-CMM包盖所有主要安全工中。它们提取自系统持。关于安全的基本安全工程界的最佳由于使用本质上相的抽象层次上,这些活动行。然而,如果某个基本经实现了这个基本惯例。例的基本集合。一个基本惯例: 适用于企业的生存周期; 不和其他基本惯例重叠; 代表
46、安全界的一个最佳惯例; 不是简单地反映最新技术水平; 适用于在不同的业务背景中使用不同的方法; 不指定特定的方法或者工具。已经使用满足广大安全工程组织需要的方法把基本惯例安排到各个过程域中。把安全工程域划分成过程域的方法有许多。一类可能尝试模仿现实世界,创建与各个安全工程服务匹配的各个过程域。另一类策略则试图反映构成安全工程基本构造块的各个概念领域。目前的这些过程域是SSE-CMM在这些对立的目标之间折衷的结果。每一个过程域都有一组目标,这些目标描述了一个成功执行该过程域的组织的期望状态。执行该在11个覆域的过程域供背景和支惯例代表了过程域的基本惯例的组织也应该实现它的目标。12 一个过程域: 为了便于使用,把相关的活动组合到一个域中; 与有价值的安全工程服务相关; 适用于企业的生存周期; 能够在不同的组织和产品背景9=!实施; 能够作为一个独特的过程进行改进; 能够由在该过程中具有相似利害关系的组进行改进; 包含所有为满足该过程域的目标所本惯例,这些过程域如下:SSE-CMM还力成熟度模型改编 PA14管理项 PA15监督和控 PA19管理产品线演化; PA20管理系统工程支持环境; PA21提供持续发展的技能和知识; PA22与供方协调。
