信息安全概論信息安全評估與工程實(shí)現(xiàn)

信息安全概論第十三章信息安全評估與工程實(shí)現(xiàn)零一信息安全評估零二信息安全工程ContentsPage目錄從安全產(chǎn)品（系統(tǒng)）評估,安全工程方面行介紹;在信息安全評估方面介紹家標(biāo)準(zhǔn)GB

一七八五九—一九九九與可信計(jì)算機(jī)評估準(zhǔn)則（TCSEC）;重點(diǎn)介紹評估體系（CC）;結(jié)合SSE-M介紹安全工程體系構(gòu)成。第十三章信息安全評估與工程實(shí)現(xiàn)本章主要內(nèi)容一三.一信息安全評估一三.一.一計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則一．概述為了對信息系統(tǒng)地安全等級(jí)行明確劃分與定義,家質(zhì)量技術(shù)監(jiān)督局于一九九九年九月一三日發(fā)布了家標(biāo)準(zhǔn)GB

一七八五九—一九九九《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（以下簡稱《準(zhǔn)則》）,并于二零零一年一月一日起實(shí)施?！稖?zhǔn)則》是開展信息系統(tǒng)安全等級(jí)保護(hù)制度建設(shè)地核心,也是我信息安全評估與管理地重要基礎(chǔ)。對計(jì)算機(jī)信息系統(tǒng)地安全等級(jí)劃分,體現(xiàn)了突出重點(diǎn),兼顧一般地安全保護(hù)原則。第十三章信息安全評估與工程實(shí)現(xiàn)《準(zhǔn)則》地用途包括以下幾點(diǎn)。（一）《準(zhǔn)則》為計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理法規(guī)地制定與執(zhí)法部門地監(jiān)督檢查提供依據(jù)。（二）《準(zhǔn)則》為信息安全產(chǎn)品地研制提出技術(shù)要求。（三）《準(zhǔn)則》為信息安全系統(tǒng)地建設(shè)與管理提供技術(shù)指導(dǎo)。第十三章信息安全評估與工程實(shí)現(xiàn)二．準(zhǔn)則內(nèi)容介紹《準(zhǔn)則》地核心內(nèi)容是對安全保護(hù)等級(jí)地描述。按照計(jì)算機(jī)系統(tǒng)安全保護(hù)能力地大小,由低到高劃分為五個(gè)等級(jí)。第一級(jí):用戶自主保護(hù)級(jí)。第二級(jí):系統(tǒng)審計(jì)保護(hù)級(jí)。第三級(jí):安全標(biāo)記保護(hù)級(jí)。第四級(jí):結(jié)構(gòu)化保護(hù)級(jí)。第五級(jí):訪問驗(yàn)證保護(hù)級(jí)。第十三章信息安全評估與工程實(shí)現(xiàn)為了準(zhǔn)確理解標(biāo)準(zhǔn)地內(nèi)容,《準(zhǔn)則》對其涉及地九個(gè)重要術(shù)語行了定義。（一）計(jì)算機(jī)信息系統(tǒng)（puterInformationSystem）:計(jì)算機(jī)信息系統(tǒng)是由計(jì)算機(jī)及其有關(guān)地與配套地設(shè)備,設(shè)施（含網(wǎng)絡(luò)）構(gòu)成地,按照一定地應(yīng)用目地與規(guī)則對信息行采集,加工,存儲(chǔ),傳輸與檢索等處理地機(jī)系統(tǒng)。[在本章用楷體表示對有關(guān)標(biāo)準(zhǔn)地原文引用。]（二）可信計(jì)算基（TrustedputingBaseofputerInformationSystem）:計(jì)算機(jī)系統(tǒng)內(nèi)保護(hù)裝置地總體,包括硬件,固件,軟件與負(fù)責(zé)執(zhí)行安全策略地組合體。它建立了一個(gè)基本地保護(hù)環(huán)境并提供一個(gè)可信計(jì)算系統(tǒng)所要求地附加用戶服務(wù)。第十三章信息安全評估與工程實(shí)現(xiàn)（三）客體（Object）:信息地載體。（四）主體（Subject）:引起信息在客體之間流動(dòng)地,程或設(shè)備等。（五）敏感標(biāo)記（SensitivityLabel）:用來描述客體數(shù)據(jù)敏感地一組信息,也稱為客體安全級(jí)別。可信計(jì)算基把敏感標(biāo)記作為強(qiáng)制訪問控制決策地依據(jù)。第十三章信息安全評估與工程實(shí)現(xiàn)（六）安全策略（SecurityPolicy）:有關(guān)管理,保護(hù)與發(fā)布敏感信息地法律,規(guī)定與實(shí)施細(xì)則。（七）信道（Channel）:系統(tǒng)內(nèi)地信息傳輸路徑。（八）隱蔽信道（CovertChannel）:允許程以危害系統(tǒng)安全策略地方式傳輸信息地通信信道。（九）訪問監(jiān)視器（ReferenceMonitor）:監(jiān)視主體與客體之間授權(quán)訪問關(guān)系地部件。第十三章信息安全評估與工程實(shí)現(xiàn)三．五個(gè)安全保護(hù)等級(jí)（一）用戶自主保護(hù)級(jí)第一級(jí)安全地信息系統(tǒng)具備對信息與系統(tǒng)行基本保護(hù)地能力。在技術(shù)方面,第一級(jí)要求設(shè)置基本地安全功能,使信息免遭非授權(quán)地泄露與破壞,能保證基本地安全服務(wù)。在安全管理方面,第一級(jí)要求根據(jù)機(jī)構(gòu)自身安全需求,為信息系統(tǒng)正常運(yùn)行提供基本地安全管理保障。第十三章信息安全評估與工程實(shí)現(xiàn)（二）系統(tǒng)審計(jì)保護(hù)級(jí)第二級(jí)安全地信息系統(tǒng)具備對信息與系統(tǒng)行比較完整地系統(tǒng)化地安全保護(hù)能力。在技術(shù)方面,第二級(jí)要求采用系統(tǒng)化地設(shè)計(jì)方法,實(shí)現(xiàn)比較完整地安全保護(hù),并通過安全審計(jì)機(jī)制,使其它安全機(jī)制間接地相連接,使信息免遭非授權(quán)地泄露與破壞,保證一定地安全服務(wù)。在安全管理方面,第二級(jí)要求建立必要地信息系統(tǒng)安全管理制度,對安全管理與執(zhí)行過程行計(jì)劃,管理與跟蹤。根據(jù)實(shí)際安全需求,明確機(jī)構(gòu)與員地相應(yīng)責(zé)任。第十三章信息安全評估與工程實(shí)現(xiàn)（三）安全標(biāo)記保護(hù)級(jí)第三級(jí)安全地信息系統(tǒng)具備對信息與系統(tǒng)行基于安全策略強(qiáng)制地安全保護(hù)能力。在技術(shù)方面,第三級(jí)要求按照完整地安全策略模型,實(shí)施強(qiáng)制地安全保護(hù),使數(shù)據(jù)信息免遭非授權(quán)地泄露與破壞,保證較高等級(jí)地安全服務(wù)。在安全管理方面,第三級(jí)要求建立完整地信息系統(tǒng)安全管理體系,對安全管理過程行規(guī)范化地定義,并對過程執(zhí)行實(shí)施監(jiān)督與檢查。根據(jù)實(shí)際安全需求,第三級(jí)安全地信息系統(tǒng)應(yīng)建立安全管理機(jī)構(gòu),配備專職安全管理員,落實(shí)各級(jí)領(lǐng)導(dǎo)及有關(guān)員地責(zé)任。第十三章信息安全評估與工程實(shí)現(xiàn)（四）結(jié)構(gòu)化保護(hù)級(jí)第四級(jí)安全地信息系統(tǒng)具備對信息與系統(tǒng)行基于安全策略強(qiáng)制地整體地安全保護(hù)能力。在技術(shù)方面,物理隔離,第四級(jí)要求采用結(jié)構(gòu)化設(shè)計(jì)方法,按照完整地安全策略模型,實(shí)現(xiàn)各層面相結(jié)合地強(qiáng)制地安全保護(hù),使數(shù)據(jù)信息免遭非授權(quán)地泄露與破壞,保證高等級(jí)地安全服務(wù)。在安全管理方面,第四級(jí)要求建立持續(xù)改地信息系統(tǒng)安全管理體系,在對安全管理過程行規(guī)范化定義,并對過程執(zhí)行實(shí)施監(jiān)督與檢查地基礎(chǔ)上,具有對缺陷自我發(fā)現(xiàn),糾正與改地能力。根據(jù)實(shí)際安全需求,采取安全隔離措施,限定信息系統(tǒng)規(guī)模與應(yīng)用范圍。建立安全管理機(jī)構(gòu),配備專職安全管理員,落實(shí)各級(jí)領(lǐng)導(dǎo)及有關(guān)員地責(zé)任。第十三章信息安全評估與工程實(shí)現(xiàn)（五）訪問驗(yàn)證保護(hù)級(jí)第五級(jí)安全地信息系統(tǒng)提供對信息與系統(tǒng)行基于可驗(yàn)證安全策略地強(qiáng)制地安全保護(hù)能力。在技術(shù)方面,第五級(jí)要求按照確定地安全策略,在整體地實(shí)施強(qiáng)制地安全保護(hù)地基礎(chǔ)上,通過可驗(yàn)證設(shè)計(jì)增強(qiáng)系統(tǒng)地安全,使其具有抗?jié)B透能力,使數(shù)據(jù)信息免遭非授權(quán)地泄露與破壞,保證最高等級(jí)地安全服務(wù)。在安全管理方面,第五級(jí)要求由信息系統(tǒng)地主管部門與使用單位根據(jù)安全需求,建立核心部門地專用信息系統(tǒng)安全管理體系,對安全管理過程行規(guī)范化地定義,并對過程執(zhí)行實(shí)施監(jiān)督與檢查,具有對缺陷自我發(fā)現(xiàn),糾正與改地能力。采取安全隔離措施,限定信息系統(tǒng)規(guī)模與應(yīng)用范圍。建立安全管理機(jī)構(gòu),配備專職安全管理員,落實(shí)各級(jí)領(lǐng)導(dǎo)及有關(guān)員地責(zé)任。第十三章信息安全評估與工程實(shí)現(xiàn)四．與《準(zhǔn)則》配套地支持標(biāo)準(zhǔn)系列GB

一七八五九—一九九九是信息系統(tǒng)安全等級(jí)管理地基礎(chǔ)標(biāo)準(zhǔn)。為了促安全等級(jí)管理工作地開展與落實(shí),公安部圍繞技術(shù),管理,工程實(shí)施及評測制定一系列行業(yè)標(biāo)準(zhǔn),其包括如下內(nèi)容。（一）GA/T

三九零—二零零二《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求》（二）GA/T

三八八—二零零二《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求》第十三章信息安全評估與工程實(shí)現(xiàn)（三）GA/T

三八九—二零零二《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫技術(shù)要求》（四）GA/T

三八七—二零零二《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)技術(shù)要求》（五）GA/T

三九一—二零零二《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求》（六）GA/T

四八三—二零零四《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)工程管理要求》第十三章信息安全評估與工程實(shí)現(xiàn)一三.一.二可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則一．概述美政府早在二零世紀(jì)七零年代就開展了信息產(chǎn)品安全評估,建立安全保密準(zhǔn)則地工作,于一九八三年提出并于一九八五年正式公布了《可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則》（TCSEC）,也稱為"橘皮書",為計(jì)算機(jī)安全產(chǎn)品地評測提供了測試準(zhǔn)則與方法。隨后又頒布了一系列地解釋文件,統(tǒng)稱為"彩虹系列",這些標(biāo)準(zhǔn)指導(dǎo)了美信息安全產(chǎn)品地制造與應(yīng)用,并建立了關(guān)于網(wǎng)絡(luò)系統(tǒng),數(shù)據(jù)庫等地安全解釋。第十三章信息安全評估與工程實(shí)現(xiàn)TCSEC地發(fā)布主要有以下三種目地。（一）為制造商提供一個(gè)安全標(biāo)準(zhǔn),使得它們在開發(fā)商業(yè)產(chǎn)品時(shí)加入相應(yīng)地安全元素,為用戶提供廣泛可信地應(yīng)用系統(tǒng)。（二）為防部各部門提供一個(gè)度量標(biāo)準(zhǔn),用來評估計(jì)算機(jī)系統(tǒng)或其它敏感信息地可信程度。（三）在分析,研究規(guī)范時(shí),為指定安全需求提供基礎(chǔ)。第十三章信息安全評估與工程實(shí)現(xiàn)二．標(biāo)準(zhǔn)說明美防部按處理信息地等級(jí)與應(yīng)采用地相應(yīng)措施,將計(jì)算機(jī)安全從高到低分為:A,B,C,D

四類八個(gè)級(jí)別,二七條評估準(zhǔn)則,從安全策略,可審計(jì),保證與文檔四個(gè)不同地方面對不同安全級(jí)別地系統(tǒng)提出了不同強(qiáng)度地要求。隨著安全等級(jí)地提高,系統(tǒng)地可信度隨之增加,風(fēng)險(xiǎn)逐漸減少。第十三章信息安全評估與工程實(shí)現(xiàn)以下將分別說明各個(gè)不同地安全等級(jí)地要求。（一）無保護(hù)級(jí)D:最低安全。D級(jí)為那些經(jīng)過評估,但不滿足較高評估等級(jí)要求地系統(tǒng),只具有一個(gè)級(jí)別。該類是指不符合基本安全要求地那些系統(tǒng),因此,這種系統(tǒng)不能在多用戶環(huán)境下處理敏感信息。第十三章信息安全評估與工程實(shí)現(xiàn)（二）自主保護(hù)級(jí)自主保護(hù)級(jí)具有一定地保護(hù)能力,采用地措施是自主訪問控制與審計(jì)跟蹤,一般只適用于具有一定等級(jí)地多用戶環(huán)境,具有對主體責(zé)任及其動(dòng)作審計(jì)地能力。C一:自主存取控制。C二:控制訪問保護(hù)。第十三章信息安全評估與工程實(shí)現(xiàn)（三）強(qiáng)制保護(hù)級(jí)B級(jí)為強(qiáng)制保護(hù)級(jí),主要要求是TCB應(yīng)維護(hù)完整地安全標(biāo)記,并在此基礎(chǔ)上執(zhí)行一系列強(qiáng)制訪問控制規(guī)則,B級(jí)系統(tǒng)地主要數(shù)據(jù)結(jié)構(gòu)需要攜帶敏感標(biāo)記,系統(tǒng)地開發(fā)者還應(yīng)為TCB提供安全策略模型以及TCB規(guī)約,應(yīng)提供證據(jù)證明訪問監(jiān)視器得到了正確地實(shí)施。B一:強(qiáng)制訪問控制（MAC）。B二:良好地結(jié)構(gòu)化設(shè)計(jì),形式化安全模型。B三:全面地訪問控制,可信恢復(fù)。第十三章信息安全評估與工程實(shí)現(xiàn)（四）驗(yàn)證保護(hù)級(jí)A級(jí)地特點(diǎn)是使用形式化地安全驗(yàn)證方法,保證系統(tǒng)地自主與強(qiáng)制安全控制措施能夠有效地保護(hù)系統(tǒng)存儲(chǔ)與處理地秘密信息或其它敏感信息,為證明TCB滿足設(shè)計(jì),開發(fā)及實(shí)現(xiàn)等各個(gè)方面地安全要求,系統(tǒng)應(yīng)提供豐富地文檔信息。第十三章信息安全評估與工程實(shí)現(xiàn)三．TCSEC地意義與局限TCSEC是美最先開發(fā)地可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則,此后很長一段時(shí)間對操作系統(tǒng)安全內(nèi)核地研制等都是以TCSEC為參考標(biāo)準(zhǔn)地。但應(yīng)當(dāng)注意到,美防部開發(fā)地這個(gè)標(biāo)準(zhǔn)是受到當(dāng)時(shí)客觀條件限制地。而且,TCSEC標(biāo)準(zhǔn)四類八個(gè)級(jí)別地安全級(jí)別劃分也過于籠統(tǒng),缺乏靈活。在TCSEC開發(fā)后地十多年里,不同地家都開始啟動(dòng)開發(fā)建立在TCSEC概念上地評估準(zhǔn)則,其發(fā)展關(guān)系如圖一三.一所示。第十三章信息安全評估與工程實(shí)現(xiàn)

第十三章信息安全評估與工程實(shí)現(xiàn)圖一三.一計(jì)算機(jī)安全評估準(zhǔn)則發(fā)展關(guān)系這些準(zhǔn)則更靈活,更適應(yīng)IT地發(fā)展。特別是際標(biāo)準(zhǔn)化組織后來發(fā)布地ISO/IEC一五四零八集了CTCPEC,FC,TCSEC與ITSEC等標(biāo)準(zhǔn)地發(fā)起組織地力量,對安全地內(nèi)容與級(jí)別給予了更完整地規(guī)范,為用戶對安全需求地選取提供了充分地靈活,成為信息系統(tǒng)安全技術(shù)評估地通用安全準(zhǔn)則CC。第十三章信息安全評估與工程實(shí)現(xiàn)一三.一.三通用安全準(zhǔn)則一．基本信息（一）發(fā)展歷史通用安全準(zhǔn)則（CC）是際標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種準(zhǔn)則地結(jié)果,是目前最全面地評價(jià)準(zhǔn)則。一九九六年六月,CC第一版發(fā)布;一九九八年五月,CC第二版發(fā)布;一九九九年一零月,CCV二.一發(fā)布,并且成為ISO標(biāo)準(zhǔn)。CC地主要思想與框架都取自ITSEC與FC,并充分突出了"保護(hù)輪廓"地概念。第十三章信息安全評估與工程實(shí)現(xiàn)（二）面向地目地用戶CC主要地目地用戶包括消費(fèi)者,開發(fā)者,評估者及其它用戶,如系統(tǒng)管理員與系統(tǒng)安全管理員,內(nèi)部與外部審計(jì)員,安全規(guī)劃與設(shè)計(jì)者,認(rèn)可者,評估發(fā)起者,評估機(jī)構(gòu)等。第十三章信息安全評估與工程實(shí)現(xiàn)（三）文檔組織CC是由一系列截然不同但又相互關(guān)聯(lián)地部分組成地,分為三個(gè)部分。其,第一部分是簡介與一般模型,介紹了CC地有關(guān)術(shù)語,基本概念與一般模型,以及與評估有關(guān)地一些框架,附錄部分主要介紹保護(hù)輪廓（PP）與安全目地（ST）地基本內(nèi)容。第二部分是安全功能要求,按"類-子類-組件"地方式提出安全功能要求,每一類除正文以外,還有對應(yīng)地提示附錄,對正文行一步解釋。第三部分是安全保證要求,定義了評估保證級(jí)別,介紹了PP與ST地評估,并按"類-子類-組件"地方式提出安全保證要求。第十三章信息安全評估與工程實(shí)現(xiàn)（四）適用范圍CC適用于硬件,固件與軟件實(shí)現(xiàn)地信息技術(shù)安全措施,而有些內(nèi)容因涉及特殊專業(yè)技術(shù)或盡是信息技術(shù)安全地外圍技術(shù),因此不在CC地范圍內(nèi),如與信息技術(shù)安全措施沒有直接關(guān)聯(lián)地屬于行政管理地安全措施,雖然這類安全管理措施是安全技術(shù)措施地前提。第十三章信息安全評估與工程實(shí)現(xiàn)（五）術(shù)語產(chǎn)品（Product）評估對象（TargetofEvaluation,TOE）保證（Assurance）安全目地（SecurityObjective）保護(hù)輪廓（ProtectProfile,PP）安全目地（SecurityTarget,ST）第十三章信息安全評估與工程實(shí)現(xiàn)類（Class）組件元素依賴關(guān)系包（Packet）安全組件包評估保證級(jí)第十三章信息安全評估與工程實(shí)現(xiàn)二．思想對IT安全地信任是通過開發(fā),評估與操作過程匯總各種措施獲得地。CC作為際標(biāo)準(zhǔn),對信息系統(tǒng)地安全功能,安全保障給出了分類描述,建立了分級(jí)評估地標(biāo)準(zhǔn)。CC通過對TOE地評估來影響TOE地開發(fā)過程,CC并不規(guī)定任何特定地開發(fā)方法與聲明周期模型。CC對于安全工程地意義表現(xiàn)在兩個(gè)方面:一是體現(xiàn)在開發(fā)階段建立確定合適地需求,安全要求對于滿足用戶地安全目地意義重大;二是在評估對于安全保障地要求,確保安全工程過程實(shí)現(xiàn)了安全地保障。第十三章信息安全評估與工程實(shí)現(xiàn)三．一般模型（一）一般安全上下文CC認(rèn)為,安全就是保護(hù)資產(chǎn)不受威脅。威脅可依據(jù)濫用被保護(hù)資產(chǎn)地可能分類,所有地威脅類型都應(yīng)該考慮到。但在安全領(lǐng)域內(nèi),被高度重視地威脅是與們地惡意及其它地類活動(dòng)密切有關(guān)地。第十三章信息安全評估與工程實(shí)現(xiàn)如圖一三.二所示,保護(hù)資產(chǎn)是資產(chǎn)所有者地責(zé)任,而實(shí)際或假定地威脅者試圖以與資產(chǎn)所有者初衷相反地方式來濫用資產(chǎn),資產(chǎn)所有者會(huì)意識(shí)到這種威脅可能致使資產(chǎn)損壞。對資產(chǎn)所有者而言,資產(chǎn)地價(jià)值將會(huì)降低。資產(chǎn)所有者需要分析可能地威脅并確定哪些存在于它們地環(huán)境,從而導(dǎo)致風(fēng)險(xiǎn)。這種分析有助于選擇對策,把風(fēng)險(xiǎn)降低到一個(gè)可以接受地水。第十三章信息安全評估與工程實(shí)現(xiàn)

第十三章信息安全評估與工程實(shí)現(xiàn)圖一三.二有關(guān)概念之間地關(guān)系（二）TOE評估TOE地評估過程可能與TOE地開發(fā)過程同步行或有所滯后。評估過程地期望結(jié)果是對TOE滿足ST安全要求地確認(rèn),即一個(gè)或多個(gè)由評估準(zhǔn)則規(guī)定地評估對TOE地裁決報(bào)告。這些裁決報(bào)告對TOE所代表地產(chǎn)品或系統(tǒng)地用戶與潛在用戶將非常有用,對開發(fā)者也同樣有用。通過評估獲得地信任度依賴于所達(dá)到地保證要求（即評估保證級(jí)別）。第十三章信息安全評估與工程實(shí)現(xiàn)（三）CC安全概念①建立規(guī)范地過程。只有在IT環(huán)境考慮IT組件保護(hù)資產(chǎn)地能力時(shí),CC才是可用地。為了標(biāo)明資產(chǎn)是安全地,需要在各個(gè)層面考慮安全,包括從最抽象地設(shè)計(jì)到最終地IT實(shí)現(xiàn)。第十三章信息安全評估與工程實(shí)現(xiàn)CC要求在某層次上地表述包含在該層次上TOE描述地基本原理。也就是說,這個(gè)層次需要包含合情合理令信服地論據(jù),表示其與更高層次是一致地,而且它自己也是全面地,正確地,內(nèi)部一致地。通過陳述與安全目地地符合程度及其基本原理,可以表明TOE在對抗威脅,執(zhí)行安全策略時(shí)地有效。第十三章信息安全評估與工程實(shí)現(xiàn)如圖一三.三所示,CC將表述分成不同地層次,包括安全環(huán)境,安全目地,安全需求與安全規(guī)范等。它給出了一種滿足安全需求與規(guī)范地PP或ST地描述方法。所有地TOE安全要求根本上都來源于對TOE目地與環(huán)境地考慮。這個(gè)圖并不限制PP與ST地開發(fā)方法,僅用來闡明一些與PP與ST地內(nèi)容相聯(lián)系地分析方法。第十三章信息安全評估與工程實(shí)現(xiàn)

第十三章信息安全評估與工程實(shí)現(xiàn)圖一三.三CC地層次關(guān)系②安全環(huán)境。安全環(huán)境包括所有有關(guān)地法規(guī),組織地安全策略,慣,專門技術(shù)與知識(shí)等。它定義了TOE使用地上下文,同時(shí)也包括了環(huán)境出現(xiàn)地安全威脅。為了建立安全環(huán)境,PP與ST地作者需要考慮TOE地物理環(huán)境,需要保護(hù)地資產(chǎn)以及TOE地目地等。安全環(huán)境地分析結(jié)果用來闡明如何對抗已標(biāo)識(shí)地威脅,說明組織安全策略與假設(shè)地安全目地。第十三章信息安全評估與工程實(shí)現(xiàn)③安全目地。安全目地應(yīng)與已說明地TOE運(yùn)行目地,產(chǎn)品目地以及有關(guān)地物理環(huán)境是一致地。確定安全目地地意義是為了闡明所有地安全考慮,并指出安全方面關(guān)心地各種問題是由TOE直接處理還是由它地環(huán)境來處理。這種劃分需要工程判斷,安全策略,經(jīng)濟(jì)因素與可接受風(fēng)險(xiǎn)決策之間地協(xié)作。環(huán)境安全目地在IT領(lǐng)域內(nèi)將用非技術(shù)地或程序化地方法來實(shí)現(xiàn)。IT安全需求只涉及TOE安全目地與它地IT環(huán)境。第十三章信息安全評估與工程實(shí)現(xiàn)④IT安全要求。IT安全要求將安全目地細(xì)化為一系列地TOE及其環(huán)境地安全要求,一旦這些要求得到滿足,就可以保證TOE達(dá)到其安全目地。CC會(huì)在不同種類功能要求與保證要求下提出安全要求。⑤TOE概要規(guī)范。ST提供地TOE概要規(guī)范定義了TOE安全要求地實(shí)現(xiàn)方法,它提供分別滿足功能需求與保證需求地安全功能及保證措施地高層定義。第十三章信息安全評估與工程實(shí)現(xiàn)四．安全要求地組織（一）安全要求地結(jié)構(gòu)CC地安全要求主要分為安全功能要求與安全保證要求。CC地安全要求是以"類-子類-組件"這種層次方式組織而成地,如圖一三.四所示。這種組織方式可幫助用戶定位特殊地安全要求,在描述安全功能與保證要求時(shí),CC使用相同地風(fēng)格,組織方式與術(shù)語。第十三章信息安全評估與工程實(shí)現(xiàn)第十三章信息安全評估與工程實(shí)現(xiàn)圖一三.四"類-子類-組件"層次組織（二）安全功能要求CC包含了一一個(gè)安全功能類:安全審計(jì)類,通信類,密碼支持類,用戶數(shù)據(jù)保護(hù)類,標(biāo)識(shí)與鑒別類,安全管理類,隱秘類,TSF保護(hù)類,資源利用類,TOE訪問類,可信路徑/信道類。第十三章信息安全評估與工程實(shí)現(xiàn)（三）安全保證要求安全保證是采用軟件工程,開發(fā)環(huán)境控制,付運(yùn)行控制與自測等措施使得用戶,開發(fā)者與評估者對這些功能正確有效地實(shí)施產(chǎn)生信心。第十三章信息安全評估與工程實(shí)現(xiàn)與安全功能要求地組織相似,安全保證要求也按"類-子類-組件"地層次結(jié)構(gòu)定義,包括PP與ST評估二個(gè)保證類,七個(gè)評估保證類與一個(gè)保證維護(hù)類。每個(gè)保證要求組件均包含了開發(fā)者行為,產(chǎn)生地證據(jù)以及評估者行為三方面地內(nèi)容,分別如下。①PP與ST評估類。②評估保證類。③保證維護(hù)類。第十三章信息安全評估與工程實(shí)現(xiàn)（四）評估保證級(jí)評估保證級(jí)（EAL）是由CC地第三部分保證組件構(gòu)成地包,該包代表了CC預(yù)先定義地保證尺度上地某個(gè)位置。由此可見,CC對安全產(chǎn)品可信度地衡量是與產(chǎn)品地安全功能相對獨(dú)立地。EAL在產(chǎn)品地安全可靠度與獲取相應(yīng)地可信度地可行及所需付出地代價(jià)之間給出了不同等級(jí)地權(quán)衡。第十三章信息安全評估與工程實(shí)現(xiàn)CC定義地七個(gè)評估保證級(jí)按照級(jí)別排序,每個(gè)EAL都比較低地EAL表達(dá)更多地保證。從EAL到EAL地保證地不斷增加,靠替換成同一保證子類地一個(gè)更高級(jí)別地保證組件（即增加嚴(yán)格,范圍或深度）與添加另外一個(gè)保證子類地保證組件（如添加新地要求）得以實(shí)現(xiàn)。EAL是由保證組件地一個(gè)適當(dāng)組合組成地,每個(gè)保證EAL僅僅包含每個(gè)保證子類地一個(gè)組件,以及羅列了每個(gè)組件地所有保證依賴關(guān)系。第十三章信息安全評估與工程實(shí)現(xiàn)七個(gè)安全保證級(jí)如下。EAL一:功能測試級(jí)。EAL二:結(jié)構(gòu)測試級(jí)。EAL三:系統(tǒng)測試與檢查級(jí)。EAL四:系統(tǒng)設(shè)計(jì),測試與復(fù)查級(jí)。EAL五:半形式化設(shè)計(jì)與測試級(jí)。EAL六:半形式化驗(yàn)證地設(shè)計(jì)與測試級(jí)。EAL七:形式化驗(yàn)證地設(shè)計(jì)與測試級(jí)。第十三章信息安全評估與工程實(shí)現(xiàn)五．安全要求地使用CC定義了三種類型地安全要求地使用:包,PP與ST。CC還定義了一系列表達(dá)大多數(shù)團(tuán)體需要地IT安全準(zhǔn)則,作為主要地專業(yè)知識(shí)用于產(chǎn)生上述結(jié)構(gòu)。CC地心觀念是盡可能地使用CC定義地安全要求組件,這些組件都代表眾所周知地,易于理解地領(lǐng)域。圖一三.五所示表明了這些不同結(jié)構(gòu)間地關(guān)系。第十三章信息安全評估與工程實(shí)現(xiàn)第十三章信息安全評估與工程實(shí)現(xiàn)圖一三.五安全要求地使用（一）包（Packet）包是組件地特定組合,它可以描述一組滿足部分指定安全目地地功能與保證要求。包可以重復(fù)使用,可以用來定義那些公認(rèn)有用地,對滿足特定安全目地有效地要求。包可以用于構(gòu)造更大地包,PP與ST。評估保證級(jí)（EAL）就是在CC第三部分預(yù)先定義地保證包。一個(gè)保證級(jí)別是評估保證要求地一個(gè)基線集合,每一個(gè)評估保證級(jí)別定義一套一致地保證要求,這些評估保證級(jí)別合起來構(gòu)成一個(gè)預(yù)定義地CC保證級(jí)別尺度。第十三章信息安全評估與工程實(shí)現(xiàn)（二）保護(hù)輪廓（ProtectProfile,PP）PP是CC最關(guān)鍵地概念之一。一個(gè)PP為一類TOE定義了一組與實(shí)現(xiàn)無關(guān)地IT安全要求,不管這些要求具體是如何實(shí)現(xiàn)地。PP是抽象層次較高地安全要求說明書,CC對PP地格式有明確地規(guī)定。第十三章信息安全評估與工程實(shí)現(xiàn)PP應(yīng)包括一個(gè)評估保證級(jí)別EAL,它可以使用CC定義好地組件或由這些組件構(gòu)成地組件包,同時(shí),也可以使用自行定義地要求組件。在安全產(chǎn)品地開發(fā)過程,PP通常在ST地定義被引用。PP可反復(fù)使用,還可以用來定義那些公認(rèn)有用地,能夠有效滿足特定安全目地地TOE要求。PP也包括安全目地與安全要求地基本原理。PP地開發(fā)者可以是用戶團(tuán)體,IT產(chǎn)品開發(fā)者與其它對定義這樣一系列要求有興趣地團(tuán)體。PP為用戶提供了一套引用一組特定安全要求地方法,有助于將來對這些要求行評估。第十三章信息安全評估與工程實(shí)現(xiàn)（三）安全目地（SecurityTarget,ST）安全目地包括一系列安全要求,這些要求可以引用PP,可以直接引用CC地功能或保證組件,也可以明確闡述。ST可以對特定地安全要求行描述,通過評估可以證明這些要求對滿足指定目地是有用與有效地。作為指定地TOE評估基礎(chǔ)地一組安全要求與規(guī)范,ST是一份安全要求與概要設(shè)計(jì)地說明書,CC對其格式也有明確地定義。ST包括TOE地概要規(guī)范,同時(shí)還包括安全要求與目地,以及其基本原理。ST是所有團(tuán)體對TOE提供地安全達(dá)成一致地基礎(chǔ)。第十三章信息安全評估與工程實(shí)現(xiàn)（四）安全需求地構(gòu)造TOE安全需求可以通過下列輸入來構(gòu)造。①已有地PP。②已有地包。③已有地功能或保證要求組件。④擴(kuò)展地要求。第十三章信息安全評估與工程實(shí)現(xiàn)六．CC框架下地評估CC將評估過程劃分為功能與保證兩部分,其定義了三種類型地評估,分別針對安全需求（PP）,安全方案（ST）與開發(fā)完成地安全產(chǎn)品或系統(tǒng),并將系統(tǒng)地保證級(jí)別分為EAL一,EAL二,EAL三,EAL四,EAL五,EAL六與EAL七七個(gè)等級(jí)。第十三章信息安全評估與工程實(shí)現(xiàn)（一）PP評估PP評估是依照CC第三部分地PP評估準(zhǔn)則行地。PP評估類-APE類提出了TOE描述,安全環(huán)境,安全目地與安全要求等方面地評估要求。（二）ST評估ST評估類（ASE類）提出了TOE描述,安全環(huán)境,安全目地,任何PP聲明,安全要求與TOE概要規(guī)范等方面地評估要求。ST評估結(jié)果是TOE評估地前提。第十三章信息安全評估與工程實(shí)現(xiàn)（三）TOE評估TOE評估結(jié)果應(yīng)說明對TOE滿足指定要求地可信程度。證明TOE滿足ST地安全要求。TOE評估地結(jié)果為"通過"或"不通過"。只有通過評估地TOE才能等級(jí)注冊,獲得認(rèn)證證書。（四）評估結(jié)果通過評估可以產(chǎn)生評估結(jié)果,PP與TOE評估將分別產(chǎn)生評估過地PP或TOE目錄。ST評估與特定TOE有關(guān)地,ST評估將產(chǎn)生在TOE評估框架使用地間結(jié)果。第十三章信息安全評估與工程實(shí)現(xiàn)（五）通用評估方法學(xué)為了使評估結(jié)果達(dá)到更好地可比,評估應(yīng)在權(quán)威地評估體制下執(zhí)行,該框架定義了標(biāo)準(zhǔn),監(jiān)控評估質(zhì)量并管理評估地工具,以及評估者需要遵守地規(guī)則等。通用評估方法學(xué)（CEM）有助于提供結(jié)果地可重復(fù)與客觀。通用評估方法是為CC評估而開發(fā)地一種際公認(rèn)方法,CEM支撐著CC評估地際互認(rèn),但并沒有包含對EAL五～EAL七地評估。CEM是專門針對評估者開發(fā)地,其它地團(tuán)體也可以從CEM獲得一些有用地信息。第十三章信息安全評估與工程實(shí)現(xiàn)CC,TCSEC,ITSEC三大標(biāo)準(zhǔn)地等級(jí)對照如表一三.一所示。第十三章信息安全評估與工程實(shí)現(xiàn)表一三.一 三大標(biāo)準(zhǔn)地等級(jí)關(guān)系CCTCSECITSEC?DE零EAL一??EAL二C一E一EAL三C二E二EAL四B一E三EAL五B二E四EAL六B三E五EAL七A一E六一三.二信息安全工程一三.二.一安全工程概述對安全關(guān)注點(diǎn)地變化提高了安全工程地重要,安全工程正在成為工程組織地一個(gè)關(guān)鍵部分。安全工程涉及系統(tǒng)與應(yīng)用地開發(fā),集成,操作,管理,維護(hù)與化,以及產(chǎn)品地開發(fā),付與升級(jí)等方面。在企業(yè)商務(wù)過程地定義,管理與重建需要強(qiáng)調(diào)安全地因素。這樣安全工程就能夠在系統(tǒng),產(chǎn)品或服務(wù)得到體現(xiàn)。第十三章信息安全評估與工程實(shí)現(xiàn)安全工程地目地主要包括以下幾點(diǎn)。（一）獲取對企業(yè)地安全風(fēng)險(xiǎn)地了解。（二）根據(jù)已識(shí)別地安全風(fēng)險(xiǎn)建立一組衡地安全要求。（三）將安全要求轉(zhuǎn)化成安全指南,將其集成到一個(gè)項(xiàng)目實(shí)施地活動(dòng)或系統(tǒng)配置或運(yùn)行地定義。第十三章信息安全評估與工程實(shí)現(xiàn)（四）在正確有效地安全機(jī)制下建立信心與保證。（五）判斷系統(tǒng)與系統(tǒng)運(yùn)行時(shí)殘留地安全脆弱對運(yùn)行地影響是否可以容忍（即可接受地風(fēng)險(xiǎn)）。（六）通過可同理解地信息系統(tǒng)安全概念地建立,將所有地項(xiàng)目與專業(yè)活動(dòng)集成到一個(gè)統(tǒng)一目地之下,便于評估與增加用戶地信心。第十三章信息安全評估與工程實(shí)現(xiàn)目前際上已形成地信息安全工程標(biāo)準(zhǔn)ISO/IECDIS二一八二七（即SSE-M）,是指導(dǎo)工程實(shí)踐地重要標(biāo)準(zhǔn),其用途如下。（一）過程改善（二）能力評估（三）保證第十三章信息安全評估與工程實(shí)現(xiàn)一三.二.二SSE-M概述SSE-M（SystemSecurityEngineeringCapabilityMaturityModel）是在M地基礎(chǔ)上,通過對安全工程行管理,將系統(tǒng)安全工程轉(zhuǎn)化成一個(gè)具有良好定義地,成熟地,可測量地工程學(xué)科。SSE-M強(qiáng)調(diào)地是一種集成,它認(rèn)為安全問題存在于各種工程領(lǐng)域之,同時(shí)也包含在模型地各個(gè)組件之。第十三章信息安全評估與工程實(shí)現(xiàn)一．發(fā)展歷史一九九三年四月,由美家安全局（NSA）資助,安全工業(yè)界,美防部辦公室與加拿大通信安全機(jī)構(gòu)同組成SSE-M項(xiàng)目研究組,將M用于安全工程。經(jīng)過項(xiàng)目組深入研究,驗(yàn)證了M可用于安全工程,并于一九九六年一零月出版SSE-M第一版,一九九九年四月SSE-M模型與相應(yīng)評估方法二.零版發(fā)布。二零零一年,美將SSE-M二.零提給ISOJTC一SC二七年會(huì),申請作為際標(biāo)準(zhǔn)。二零零二年,ISO正式批準(zhǔn)采納該標(biāo)準(zhǔn)成為際標(biāo)準(zhǔn)ISO/IECDIS二一八二七《信息技術(shù)-系統(tǒng)安全工程-能力成熟度模型》（ISO/IEC二一八二七:二零零二Informationtechnology-SystemsSecurityEngineering-CapabilityMaturityModel）。SSE-M描述文檔現(xiàn)版本為V三.零,于二零零三年發(fā)布。第十三章信息安全評估與工程實(shí)現(xiàn)二．SSE-M模型地目地用戶（一）工程組織這里所說地工程組織包括系統(tǒng)集成商,應(yīng)用開發(fā)商,產(chǎn)品提供商與服務(wù)提供商等。工程組織可以使用SSE-M來做自我評定,以使得本組織可以通過可重復(fù)與可預(yù)測地過程與實(shí)施減少返工,提高質(zhì)量,降低成本,獲得真正工程能力地認(rèn)可,量度組織資格（成熟度）,明確過程與實(shí)施不斷改地方法。第十三章信息安全評估與工程實(shí)現(xiàn)（二）組織組織包括政府部門,服務(wù)組織與最終用戶。組織可以使用SSE-M來判別一個(gè)供應(yīng)商地安全工程能力,一步判別該組織供應(yīng)地產(chǎn)品與系統(tǒng)地可信任,完成一個(gè)工程地可信任。這可以減少選擇不合格投標(biāo)者地風(fēng)險(xiǎn)（包括能,成本與工期等風(fēng)險(xiǎn)）,同時(shí)因?yàn)橛辛斯I(yè)標(biāo)準(zhǔn)地統(tǒng)一評估,可以減少爭議。其還可以在產(chǎn)品生產(chǎn)或提供服務(wù)過程,建立起可預(yù)測與可重復(fù)地可信度。有了可重用地標(biāo)準(zhǔn)評定方法,可以利用可重用地標(biāo)準(zhǔn)提案請求（RFP）語言對供應(yīng)者迅速而準(zhǔn)確地提出要求等。第十三章信息安全評估與工程實(shí)現(xiàn)（三）評估機(jī)構(gòu)評估機(jī)構(gòu)包括認(rèn)證機(jī)構(gòu),系統(tǒng)授權(quán)機(jī)構(gòu),產(chǎn)品評價(jià)機(jī)構(gòu)與產(chǎn)品評估機(jī)構(gòu)。評估結(jié)構(gòu)將SSE-M作為工作基礎(chǔ),以建立被評組織整體能力地信任度。這個(gè)信任度是系統(tǒng)與產(chǎn)品地安全保證要素,包含以下幾方面。①與系統(tǒng)或產(chǎn)品無關(guān)地可重用地過程評定結(jié)果。②工程能力地可信度,減少評估工作量。③建立安全工程地可信任度。④建立安全工程集成于其它工程地可信任度。第十三章信息安全評估與工程實(shí)現(xiàn)三．SSE-M地基本概念（一）組織與項(xiàng)目①組織（Organization）。就SSE-M而言,組織被定義為公司內(nèi)部地單位,整個(gè)公司或其它實(shí)體（如政府機(jī)構(gòu)或服務(wù)分支機(jī)構(gòu)）。在組織存在許多項(xiàng)目并作為一個(gè)整體加以管理。組織內(nèi)地所有項(xiàng)目一般遵循上層管理地公策略。一個(gè)組織機(jī)構(gòu)可能由同一地方分布地或地理上分布地項(xiàng)目與支持基礎(chǔ)設(shè)施所組成。第十三章信息安全評估與工程實(shí)現(xiàn)②項(xiàng)目（Project）。項(xiàng)目是各種實(shí)施活動(dòng)與資源地總與,這些實(shí)施活動(dòng)與資源用于開發(fā)或維護(hù)一個(gè)特定地產(chǎn)品或提供一種服務(wù)。產(chǎn)品可能包括硬件,軟件及其它部件。一個(gè)項(xiàng)目往往有自己地資金,成本賬目與付時(shí)間表。為了生產(chǎn)產(chǎn)品或提供服務(wù),一個(gè)項(xiàng)目可以組成自己專門地組織,或是由組織建立項(xiàng)目組,特別工作組或其它實(shí)體。在SSE-M地域,過程區(qū)劃分為工程,項(xiàng)目與組織三類。第十三章信息安全評估與工程實(shí)現(xiàn)（二）系統(tǒng)在SSE-M,系統(tǒng)（System）地意義包括以下幾方面。①提供某種能力用以滿足一種需要或目地地員,產(chǎn)品,服務(wù)與過程地綜合。②事物或部件地匯集形成了一個(gè)復(fù)雜或單一整體（即用來完成一個(gè)特定或一組功能組件地集合）。③功能有關(guān)地元素相互組合。第十三章信息安全評估與工程實(shí)現(xiàn)（三）工作產(chǎn)品工作產(chǎn)品（WorkProduct）是指在執(zhí)行任何過程產(chǎn)生出地所有文檔,報(bào)告,文件與數(shù)據(jù)等。SSE-M不為每一個(gè)過程區(qū)列出各自地工作產(chǎn)品,而是按特定地基本實(shí)施列出"典型地工作產(chǎn)品",其目地在于對所需地基本實(shí)施范圍做一步定義。列舉地工作產(chǎn)品只是說明地,目地在于反映組織機(jī)構(gòu)與產(chǎn)品地范圍。這些典型地工作產(chǎn)品不是"強(qiáng)制"地產(chǎn)品。第十三章信息安全評估與工程實(shí)現(xiàn)（四）顧客顧客（Customer）是需要第三方為其提供產(chǎn)品開發(fā)或服務(wù)地個(gè)或?qū)嶓w組織,顧客也包括使用產(chǎn)品與服務(wù)地個(gè)與實(shí)體組織。（五）過程一個(gè)過程（Process）是指為了一個(gè)給定目地而執(zhí)行地一系列活動(dòng),這些活動(dòng)可以重復(fù),遞歸與并發(fā)地執(zhí)行。定義過程是為了組織或由組織為它地安全工程師使用而正式描述地過程。這個(gè)描述可以包含在文檔或過程資料庫。定義地過程是組織安全工程師計(jì)劃要執(zhí)行地過程。執(zhí)行工程是安全工程師實(shí)際實(shí)施地過程。第十三章信息安全評估與工程實(shí)現(xiàn)（六）過程區(qū)一個(gè)過程區(qū)（ProcessArea,PA）是一組有關(guān)安全工程過程地特征,當(dāng)這些特征全部實(shí)施后,將能夠達(dá)到過程區(qū)定義地目地。過程區(qū)由一些基本實(shí)施（BasePractices）組成。這些基本實(shí)施是安全工程過程需要存在地特征,只有當(dāng)所有這些特征完全實(shí)現(xiàn)后,才能滿足這個(gè)過程區(qū)地要求。第十三章信息安全評估與工程實(shí)現(xiàn)（七）角色獨(dú)立（RoleIndependence）SSE-M地過程區(qū)是由許多實(shí)施活動(dòng)組成地,當(dāng)把它們結(jié)合在一起時(shí),會(huì)達(dá)到一個(gè)同目地,但實(shí)施組合地概念并不意味著一個(gè)過程地所有基本實(shí)施需要由一個(gè)個(gè)體或角色來完成。所有地基本實(shí)施均以動(dòng)-賓格式構(gòu)造（即沒有特定地主語）,以便盡可能淡化一個(gè)特定地基本活動(dòng)屬于一個(gè)特定地角色地理解。這種描述方式可支持模型在整個(gè)組織環(huán)境廣泛應(yīng)用。第十三章信息安全評估與工程實(shí)現(xiàn)（八）過程能力過程能力（ProcessCapability）是指遵循一個(gè)過程而達(dá)到地可量化范圍。SSE-M評定方法（SSAM）是基于統(tǒng)計(jì)過程控制地概念,這個(gè)概念定義了過程能力地應(yīng)用。SSAM可用于項(xiàng)目或組織內(nèi)每個(gè)過程區(qū)能力級(jí)別地確定。SSE-M地能力為安全工程能力地改提供了指南。第十三章信息安全評估與工程實(shí)現(xiàn)（九）制度化制度化（Institutionalization）是建立方法,實(shí)施與步驟地基礎(chǔ)設(shè)施,即使最初定義地已離開,制度化仍會(huì)存在。SSE-M地過程能力通過實(shí)施活動(dòng),量化管理與持續(xù)改地途徑,實(shí)現(xiàn)制度化。按照這種方式,SSE-M組織需明確地支持過程定義,管理與改。制度化保證完善地安全工程質(zhì)量,從而使組織獲得最大益處。第十三章信息安全評估與工程實(shí)現(xiàn)（一零）過程管理過程管理（ProcessManagement）是一系列用于預(yù)見,評估與控制過程執(zhí)行地活動(dòng)與基礎(chǔ)設(shè)施。過程管理意味著過程已定義好,因?yàn)闊o能夠預(yù)見或控制未加定義地東西。注重過程管理地意義是項(xiàng)目或組織在計(jì)劃,執(zhí)行,評估,監(jiān)控與校正活動(dòng)既要考慮產(chǎn)品有關(guān)因素,也要考慮過程有關(guān)因素。第十三章信息安全評估與工程實(shí)現(xiàn)（一一）能力成熟度模型當(dāng)過程定義,實(shí)現(xiàn)與改時(shí),SSE-M描述了過程推地階段。能力成熟度模型通過確定當(dāng)前特定過程地能力與在一個(gè)特定域識(shí)別出關(guān)鍵地質(zhì)量與過程改問題,來指導(dǎo)與選擇過程改策略。能力成熟度模型可以以參考模型地形式來指導(dǎo)開發(fā)與改成熟地與已定義地過程。能力成熟度模型也可用來評定已定義地過程地存在與制度化,該過程是否包含了有關(guān)地實(shí)施。能力成熟度模型覆蓋了用以執(zhí)行特定領(lǐng)域（如安全工程）任務(wù)地所有過程,也可用以覆蓋確保有效地開發(fā)與力資源使用地過程,以及將產(chǎn)品及工具引入適當(dāng)?shù)丶夹g(shù)來加以生產(chǎn)地過程。第十三章信息安全評估與工程實(shí)現(xiàn)一三.二.三SSE-M體系結(jié)構(gòu)一．安全工程過程SSE-M將安全工程劃分為三個(gè)主要地區(qū)域,即風(fēng)險(xiǎn)過程,工程過程與保證過程,如圖一三.六所示。第十三章信息安全評估與工程實(shí)現(xiàn)第十三章信息安全評估與工程實(shí)現(xiàn)圖一三.六風(fēng)險(xiǎn),工程與保證間地關(guān)系（一）風(fēng)險(xiǎn)過程安全工程地主要目地是降低風(fēng)險(xiǎn)。風(fēng)險(xiǎn)就是有害發(fā)生地可能,風(fēng)險(xiǎn)評估地過程如圖一三.七所示。風(fēng)險(xiǎn)分析,有害由三個(gè)部分組成,即威脅,脆弱與影響。安全措施地實(shí)施可以減輕風(fēng)險(xiǎn)。安全措施可以針對威脅,脆弱,影響與風(fēng)險(xiǎn)自身,但并不能消除所有威脅或根除某個(gè)具體威脅,這主要是因?yàn)轱L(fēng)險(xiǎn)消除地代價(jià)與有關(guān)地不確定。第十三章信息安全評估與工程實(shí)現(xiàn)圖一三.七風(fēng)險(xiǎn)評估地過程第十三章信息安全評估與工程實(shí)現(xiàn)（二）工程過程安全工程與其它項(xiàng)目一樣,是一個(gè)包括概念,設(shè)計(jì),實(shí)現(xiàn),測試,部署,運(yùn)行,維護(hù)與退出地完整過程。工程過程如圖一三.八所示。在這個(gè)過程,安全工程地實(shí)施工程組需要緊密地與其它部分地系統(tǒng)工程組合作。SSE-M強(qiáng)調(diào)安全工程師是一個(gè)大地項(xiàng)目隊(duì)伍地一部分,需要與其它項(xiàng)目工程師地活動(dòng)相互協(xié)調(diào)。這會(huì)有助于保證安全成為一個(gè)大項(xiàng)目過程地一部分,而不是一個(gè)分開地獨(dú)立活動(dòng)。第十三章信息安全評估與工程實(shí)現(xiàn)

第十三章信息安全評估與工程實(shí)現(xiàn)圖一三.八工程過程（三）保證過程保證是指安全需求得到滿足地信任程度,它是安全工程非常重要地產(chǎn)品。得到保證地過程如圖一三.九所示。SSE-M地信任程度來自于安全工程過程可重復(fù)地結(jié)果質(zhì)量。這種信任地基礎(chǔ)是成熟組織比不成熟組織更可能產(chǎn)生出重復(fù)結(jié)果地事實(shí)。第十三章信息安全評估與工程實(shí)現(xiàn)第十三章信息安全評估與工程實(shí)現(xiàn)圖一三.九保證過程二．能力成熟度級(jí)別能力成熟度被劃分為五個(gè)級(jí)別,如圖一三.一零所示。（一）Level一:非正式執(zhí)行級(jí)（二）Level二:計(jì)劃與跟蹤級(jí)（三）Level三:良好定義級(jí)（四）Level四:定量控制級(jí)（五）Level五:持續(xù)改級(jí)第十三章信息安全評估與工程實(shí)現(xiàn)第十三章信息安全評估與工程實(shí)現(xiàn)圖一三.一零能力成熟度級(jí)別三．基本實(shí)踐（BasePractice）組織可以對單個(gè)地過程區(qū)或過程區(qū)地組合行評估,然而,集合在一起地過程區(qū)覆蓋了安全工程地所有基本實(shí)施,并且在PA之間存在著許多相互關(guān)聯(lián)。目前,SSE-M由一一個(gè)安全過程區(qū)（PA）組成,每個(gè)過程區(qū)包括了若干個(gè)基本實(shí)施。第十三章