# 系统安全工程
> **一、系统安全工程基础**
> 理解系统安全工程的概念及系统安全工程的必要性。
>
> **二、系统安全工程理论基础**
> 了解系统工程思想、项目管理方法、质量管理体系、能力成熟度模型等基础理论;
> 理解能力成熟度模型的基本思想及相关概念。
>
> **三、系统安全工程能力成熟度模型**
> 了解系统安全工程能力成熟度模型基本概念;
> 了解系统安全工程能力成熟度模型的体系结构及域维、能力维相关概念。
>
> **四、SSE-CMM安全工程过程**
> 掌握风险过程包括的评估威胁、评估脆弱性、评估影响及评估安全风险这四个过程区域及其基本实施;
> 掌握工程过程包括的确定安全需求、提供安全输入、管理安全控制、监控安全态势及协调安全五个过程区域及其基本实施;
> 掌握保证过程中验证和证实安全及建立保证论据两个过程区域及其基本实施。
>
> **五、SSE-CMM安全工程能力**
> 理解能力成熟度级别的概念;
> 掌握1~5级不同成熟度级别应具有的公共特征。
### 一、系统安全工程基础
#### 1、什么是安全工程
- 采用工程的概念、原理、技术和方法,来研究、开发、实施与维护信息系统安全的过程。
- 信息化建设活动中有关加强系统安全性活动的集合。
- 良好安全工程的四个方面。
- 策略
- 机制
- 保证
- 动机
#### 2、为什么需要系统安全工程
- 信息系统安全保障要素之一
- 解决信息系统生命周期的“过程安全”问题
- 信息安全是信息化的有机组成部分,必须与信息化同步规划、同步建设、同步使用。
- 信息系统的建设是一项系统工程,具有复杂性,安全工程是以最优费效比提供并满足安全需求。
> 最优费效比(Best Cost-Effectiveness Ratio)是指在成本和效果之间找到一个最佳平衡点,以最小的成本投入获得最大的效果产出。这个概念广泛应用于工程、经济、医疗、管理等多个领域。
- 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
——《中华人民共和国网络安全法》
### 二、系统安全工程理论基础
#### 1、什么是系统工程
- 以大型复杂系统为研究对象,按一定目的进行设计开发、管理与控制,以期达到总体效果最优的理论与方法。
#### 2、系统工程的概念
- 系统工程不是基本理论,也不属于技术实现,而是一种方法论。
- 从学科体系上讲,系统工程不属于基本理论,也不属于技术基础,它所研究的重点是方法论。
- 方法论具有普适性原则。
- 系统工程是一门高度综合性的管理工程技术,不同于一般的工程技术学科,如水利工程、机械工程等“硬”工程;系统工程偏重于工程的组织与经营管理一类“软”科学的研究。
#### 3、霍尔三维结构图
- 时间维
> 时间维中的任何一个阶段都可以包括逻辑维的所有步骤、用到知识维的所有知识。
- 逻辑维
- 知识维
#### 4、项目管理
1. **什么是项目管理**
- 项目管理者在有限的资源约束下,运用系统的观点、方法和理论,对项目涉及的全部工作进行有效管理。
- 约束:任何影响项目成功的因素
- 三重约束(传统):时间 + 成本 + 质量
- 三重约束(新):时间/成本 + 质量 + 范围
- PMBOOK:项目管理知识体系指南
- 人力资源管理 = 资源管理 + 相关方管理
- 项目管理是系统工程思想针对具体项目的实践应用。
2. **项目管理的知识领域**
- 范围、时间、成本、质量、人力资源、沟通、风险、采购、集成
3. **项目的过程控制**
- 启动、计划、执行、控制、收尾
#### 5、质量管理
1. **质量管理基本概念**
- 质量:是一组固有特性满足要求的程度
- 质量的固有特性:明确质量需求、隐含质量需求
- 质量管理:为了实现质量目标,而进行的所有管理性质的活动
2. **质量管理体系**
> 质量管理体系是组织内部建立的、为实现质量目标所必需的系统性质量管理模式,是组织的一项战略决策。它将资源与过程结合,以过程管理方法进行的系统管理,根据企业特点选用若干体系要素加以组合,一般由与管理活动、资源提供、产品实现以及测量、分析与改进活动相关的过程组成,可以理解为涵盖了从确定顾客需求、设计研制、生产、检验、销售、交付之前全过程的策划、实施、监控、纠正与改进活动的要求,一般以文件化的方式,成为组织内部质量管理工作的要求。
- 指挥和控制一个组织质量相关的管理体系
- 国际标准IS0 9000系列
IS0 99000规范质量管理的四个方面:
- 机构
标准明确规定了为保证产品质量而必须建立的管理机构及职责权限
- 程序
对组织的产品生产必须制定规章制度、技术标准、质量手册、质量体系和操作检查程序,并使之文件化
- 过程
质量控制是对生产的全部过程加以控制,是面的控制,不是点的控制
- 总结
不断地总结、评价质量管理体系,不断地改进质量管理体系,使质量管理呈螺旋式上升
> 过程质量决定产品质量
>
> 产品质量反应过程质量
>
> 质量管理没有终点,只有更好没有最好,PDCA原则。
#### 6、能力成熟度模型
1. **能力成熟度模型(Capability Maturity Model)**
- 一种衡量工程实施能力的方法
- 建立在统计过程控制理论基础上的
> 能力成熟度模型(Capability Maturity Model,CMM)是一种衡量工程实施能力的方法,是一种面向工程过程的方法。
CMM是建立在统计过程控制理论基础上的。
2. **能力成熟度模型基础**
- 现代统计过程控制理论表明通过强调生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品;
- 所有成功企业的共同特点是都具有一组严格定义、管理完善、可测可控从而高度有效的业务过程;
- CMM模型抽取了这样一组好的工程实践并定义了过程的“能力”。
3. **能力成熟度模型基本思想**
- 工程实施组织的能力成熟度等级越高,系统的风险越低。
- CMM为工程的过程能力提供了一个阶梯式的改进框架。
### 三、系统安全工程能力成熟度模型
#### 1、SSE-CMM基础概念
- 什么是系统安全工程能力成熟模型(SSE-CMM)
- 一种衡量SSE实施能力的方法
- 为信息安全工程过程改进建立一个框架模型
- SSE-CMM描述了一个组织的系统安全工程过程必须包含的基本特征。
- 这些特征是完善的安全工程保证
- 也是系统安全工程实施的度量标准
- 还是一个易于理解的评估系统安全工程实施的框架
#### 2、SSE-CMM的作用
1. 获取组织(系统、产品的采购方)
- 帮助选择合格的投标者,以统一的标准对安全工程过程进行监管,提高工程实施质量,减少争议。
2. 工程组织(系统开发和集成商)
- 通过可重复、可预测的过程减少返工、提高质量降低成本;改进安全工程实施能力;获得证明安全工程实施能力的资质。
3. 认证评估组织
- 获得独立于系统和产品的可重用的过程评估标准,用来确定被评估者将安全工程集成在系统工程之中,并且其系统安全工程是可信的。
#### 3、SSE-CMM体系结构
- "域维"由所有定义的安全工程过程区域构成
- "能力维"代表组织实施这一过程的能力
#### 4、域维—过程区域
1. **过程区域(PA,Process Area)**
- 过程区域是过程的一种单位
2. **基本实施(BP,BasePractice)**
- 过程区域由BP组成
- BP是强制实施
> 每个过程区域包括一组表示组织成功执行过程区域的目标。每个过程区域也包括一组集成的基本实施(BasePractice,BP)。基本实施定义了获得过程区域目标的必要步骤,它具有如下特性:
> ★ 应用于整个组织生命周期。
> ★ 和其他BP互不覆盖。
> ★ 代表安全业界“最好的实施”。
> ★ 在业务环境下不指定特定的方法或工具。
3. **过程类**
- SSE-CMM包含22个PA,分为工程、项目、组织三类
#### 5、能力维—过程能力
1. 过程能力(Process Capability)
- 对过程控制程度的衡量方法,采用成熟度级别划分。
2. 过程能力的作用
- 衡量组织达到过程目标的能力;
- 成熟度低,成本、进度、功能和质量都不稳定;
- 成熟度高,达到预定的成本、进度、功能和质量目标的就越有把握。
> 注意:一个组织机构可随意以他们所选择的方式和次序来计划、跟踪、定义、控制和改进他们的过程。然而,由于一些较高级别的通用实施依赖于较低级别的通用实施,因此,组织机构在试图达到较高级别之前,应首先实现较低级别通用实施。
#### 6、SSE-CMM能力成熟度评价体系
- 通过设置这两个相互依赖的维,SSE-CMM在各个能力级别上覆盖了整个安全活动范围。
- 给每个PA赋予一个能力级别评分,所得到的两维图形便形象地反映一个工程组织整体上的系统安全工程能力成熟度,也间接的反映其工作结果的质量及其安全上的可信度。
> 木桶理论,按最低的算。
### 四、SSE-CMM的安全工程过程
#### 1、域维-SSE-CMM的过程控制
1. **工程类**
- 11个PA,描述了系统安全工程中实施的与安全直接相关的活动。
2. **组织和项目过程类**
- 11个PA,并不直接同系统安全相关,但常与11个工程过程区域一起用来度量系统安全队伍的过程能力成熟度。
| 风险过程 4个 | 工程过程 5个 | 保证过程 2个 |
| -------------------------------------------------------- | ----------------------------------------------------------- | ------------------------------------------------------------ |
#### 2、工程类过程之间关系
- 11个PA分为风险过程、工程过程、保证过程。
#### 3、风险过程
1. **调查和量化风险的过程**
2. **PA04:评估威胁**
识别和描述系统面临的安全威胁及其特征
- BP.04.01 识别由自然因素所引[起的有关威胁
- BP.04.02 识别由人为因素所引起的有关威胁
- BP.04.03 制定评判威胁的测度单位
- BP.04.04 评估威胁源的动机和能力
- BP.04.05 评估威胁事件出现的可能性
- BP.04.06 监控威胁的变化
3. **PA05:评估脆弱性**
识别和描述系统存在的脆弱性及其特征
- BP.05.01 选择识别和描述系统脆弱性的方法、技术和标准
- BP.05.02 识别系统存在的脆弱性
- BP.05.03 收集与脆弱性特征有关的数据
- BP.05.04 对脆弱性进行综合分析,评判脆弱性或脆弱性组合可能带来的危害
- BP.05.05 监控脆弱性的变化
4. **PA02:评估影响**
识别和描述安全事件造成的影响
- BP.02.01 对运行、业务或任务指令进行识别、分析和优先级排列
- BP.02.02 识别系统资产
- BP.02.03 选择用于评估影响的度量标准
- BP.02.04 标识度量标准以及(若需要)度量标准转换因子之间的关系
- BP.02.05 识别影响
- BP.02.06 监控影响中发生的变化
5. **PA03:评估安全风险**
识别和描述系统面临的安全风险
- BP.03.01 选择风险所依据的方法、技术和准则
- BP.03.02 识别威胁/脆弱性/影响三组合(暴露)
- BP.03.03 评估与每个暴露有关的风险
- BP.03.04 评估总体不确定性
- BP.03.05 风险优先级排列
- BP.03.06 监控风险的变化
#### 4、工程过程
- 安全工程是一个包括概念、设计、实现、测试、部署、运行、维护、退出的完整过程。
- SSE-CMM强调安全工程师是一个大的项目队伍中的一部分,需要与其它科目工程师的活动相互协调。
1. **PA10:确定安全需求**
本过程区域实现依赖的7项基本实施
- BP.10.01 获得对顾客安全需求的理解
- BP.10.02 识别可用的法律、策略、标准、外部影响和约束
- BP.10.03 识别系统用途,以确定其安全关联性
- BP.10.04 捕捉系统运行的安全视图
- BP.10.05 捕捉高层的安全目标
- BP.10.06 定义安全相关需求
- BP.10.07 达成安全协议
2. **PA09 : 提供安全输入**
此过程区域包括以下6项基本实施
- BP.09.01 理解安全输入需求
- BP.09.02 确定安全约束和需要考虑的问题
- BP.09.03 识别安全解决方案
- BP.09.04 分析工程可选方案的安全性
- BP.09.05 提供安全工程指南
- BP.09.06 提供运行安全指南
3. **PA01:管理安全控制**
此过程区域包括以下4项基本实施
- BP.01.01 建立安全职责
- BP.01.02 管理安全配置
- BP.01.03 管理安全意识、培训和教育大纲
- BP.01.04 安全服务及控制机制的管理
4. **PA08:监控安全态势**
此过程区域包括以下7项基本实施
- BP.08.01 分析事件记录
- BP.08.02 监视变化
- BP.08.03 识别安全突发事件
- BP.08.04 监控安全防护措施的有效性
- BP.08.05 审核安全态势
- BP.08.06 管理对安全突发事件的响应
- BP.08.07 保护安全监视的记录数据
5. **PA07:协调安全**
此过程区域包括以下4项基本实施
- BP.07.01 定义协调目标
- BP.07.02 识别协调机制
- BP.07.03 促进协调
- BP.07.04 协调安全决定和建议
#### 5、保证过程
- 保证是指安全需要得到满足的信任程度。
- SSE-CMM的信任程度来自于安全工程过程可重复性的结果质量。
1. **PA11:验证和证实安全**
此过程区域包括以下5项BP
- BP.11.01 识别验证和证实的目标
- BP.11.02 定义验证和证实方法
- BP.11.03 执行验证
- BP.11.04 执行证实
- BP.11.05 提供验证和证实的结果
2. **PA06:建立保证论据**
本过程区域包括以下5项基本实施
- BP.06.01 识别保证目标
- BP.06.02 定义保证策略
- BP.06.03 控制保证证据
- BP.06.04 分析证据
- BP.06.05 提供保证论据
### 五、SSE-CMM的安全工程能力
- 组织的过程管理和制度化能力的强弱
#### 1、能力级别—1级:非正规执行级
- 该级别过程区域的基本实施均被执行,但未经过严格的计划和跟踪,而是基于个人的知识和努力
- 该级别包括一个公共特征——执行基本实施
- 所有BP以某种方式执行
- 工作产品的一致性、性能和质量会因为缺乏适当控制而存在极大的差异
#### 2、能力级别—2级:规划和跟踪级
> 规划和跟踪是管理特征的体现。
- 该级别包括四个公共特征:
- 规划执行:分配资源、指定责任、提供工具、将规划形成文档;
- 规范化执行:使用标准和规程、进行配置管理;
- 跟踪执行:跟踪过程实施、采取修正措施;
- 验证执行:马验证工作过程、验证工作产品。
#### 3、能力级别—3级:充分定义级
- 该级别包括三个公共特征(考点):
- 定义标准化过程:制定标准化过程,从组织标准化过程中裁剪出针对特定需求的过程;
- 执行已定义过程:PA的实施使用充分定义的过程,对执行结果进行缺陷评审,使用充分定义的数据;
- 协调安全实施:执行组内协调、执行组间协调、执行外部协调。
#### 4、能力级别—4级:量化控制级
> ★ 量化是精细化管理的体现。
> ★ 精细化管理:
> ① 不能测量就不能控制;
> ② 不能控制就不能改进;
> ③ 不能改进就不能生存。
- 该级别包括两个公共特征:
- 建立可测量的质量目标:为工作产品建立可测度的目标
- 对执行情况实施客观管理:为工作过程能力建立量化测量和改进的标准
#### 5、能力级别—5级:持续改进级
- 该级别包括两个特征
- 改进组织能力:建立过程有效性目标,持续改进标准过程
- 改进过程有效性:进行因果分析,消除缺陷根源持续改进已定义过程