第3章-信息安全工程能力成熟度模型(SSE-CMM)ppt课件.ppt

《第3章-信息安全工程能力成熟度模型(SSE-CMM)ppt课件.ppt》由会员分享，可在线阅读，更多相关《第3章-信息安全工程能力成熟度模型(SSE-CMM)ppt课件.ppt（121页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、1 1第3章SSE-CMM工程3.1概述概述3.2SSE-CMM体系结构体系结构3.3SSE-CMM应用应用3.4ISSE与与SSE-CMM的比较的比较本章小结本章小结2 2信息安全工程能力成熟度模型(SSE-CMM)描述了一个组织的安全工程过程的本质特征。为了确保信息系统工程的良好安全性能，这些特征是必需的。SSE-CMM是由工程实现中所观察到的经验抽象而成，并没有限制一个特定的过程或顺序，3.1概述概述3 3这与ISSE基于时间维而限制特定的工程过程与步骤有很大不同，它的用途主要体现在对信息安全工程能力进行评估。该模型是信息安全工程实施的通用评估标准，包含以下内容：(1) 工程的整个生命周

2、期，包括系统开发、实施、运行、维护及淘汰等。(2) 整个组织机构的管理、组织和工程活动等。(3) 与其他学科和领域的紧密联系及作用，包括系统、软硬件、人类活动、测试工程，以及系统管理、运行和维护等。(4) 与其他组织机构的相互作用，包括信息获取、系统管理、产品认证与认可、可信度评估等。4 4通常，用户和安全产品的提供商都非常关注和重视安全产品、安全系统及安全服务的改进，并将其作为一项工程来实施。在安全工程领域中，已经有一些约定俗成的被广泛接受的准则，但这些准则缺少对产品、系统和服务的评估标准与方法，缺少一个能够全面评估安全工程实施的框架。SSE-CMM提供了这种框架，可以作为衡量系统安全性的标

3、准，以提高安全工程准则应用的性能。SSE-CMM的目标就是把安全工程发展成为一种有完整定义的、成熟的和可测量的工程学科。5 53.1.1SSE-CMM适用范围适用范围SSE-CMM规定了整个可信产品或安全系统生命周期的工程活动，包括概念定义、需求分析、设计、开发、集成、安装、运行、维护及淘汰。SSE-CMM可应用于安全产品开发商、安全系统开发商和集成商，以及提供安全服务和安全工程的组织机构，如金融、政府、学术等机构。尽管SSE-CMM是一个明确的信息安全工程模型，能够明显提升安全工程的能力，但并不意味着它独立于其他工程准则之外，相反，SSE-CMM提供了一种集成观观念。6 6在工程准则中，安全

4、问题无处不在，信息安全需要综合所有可行的工程过程，如系统、软硬件、人为因素等，通过定义相应的模型组件来适应这些情况，例如“基本实践”组件定义了安全工程活动中的协调对象和机制，能够将安全和其他工程准则与一个工程组织内的工作组整合起来。7 73.1.2SSE-CMM的用户的用户SSE-CMM的用户涉及到安全工程各类组织或机构，包括产品开发商、服务提供商、系统集成商、系统管理员、安全专家等。这些SSE-CMM用户涉及的工程事务层面不同，有的负责处理一些高级事务(例如系统的体系结构或系统的操作运行)，有的负责处理一些低级事务(例如安全产品的选型与设计)，还有的这两级事务都做。这些组织能够根据特定的形式

5、或特殊的联系来区分不同的用户，并能根据需要进行重新组合。8 8根据不同组织的实际情况，模型所定义的某些安全工程实践将会起作用，但不是全部，并且这些组织需要从模型不同的实践之间的联系来决定他们的应用。以下是SSE-CMM在各种组织中的应用说明：(1) 安全服务提供商。在这里，SSE-CMM可用来衡量组织的信息安全工程过程能力，即测量服务提供商执行风险评估的过程能力。在系统的开发和集成时，要对该组织发现和分析安全脆弱性的能力，以及对操作的影响进行评估。在操作过程中，还要对该组织的系统安全监控能力、系统脆弱性发现和分析的能力进行评估。9 9(2) 安全策略制定者。SSE-CMM模型包含了如何决定和分

6、析安全脆弱性、评估操作影响、为其他组织或人员提供输入和指南等安全工程实践元素，对于安全策略制定者而言，制定安全策略的能力就是通过对SSE-CMM中各项工程实践元素的掌握能力来体现。因此，安全策略制定者应该充分理解和掌握这些实践元素之间的关系。(3) 产品开发商。SSE-CMM包含了许多如何理解客户安全需求的实践元素，这有助于产品开发商通过使用SSE-CMM来了解客户的需求。10 10因为对于产品开发的一系列过程虽有一些普适的安全要求，但有时产品之外的客户特定使用环境和使用方法会直接影响产品的设计、开发、发布和维护等过程。(4) 特定工业部门。每一个工业部门都有独特的任务和文化风格。通过最大程度

7、地减少部门角色的独特性、依赖性和组织结构的关联性，SSE-CMM可以容易地解释或转化各行业和部门自己特定的语言及文化，方便不同行业和部门之间的沟通与交流。11 113.1.3SSE-CMM的用途的用途SSE-CMM及其评估方法有以下用途：(1) 工程组织作为评估他们的安全工程实践和提出改进意见的工具。(2) 安全工程评估组织作为建立基于组织能力信任度的基础。(3) 用户作为评估产品提供商安全工程能力的标准机制。12 123.1.4使用使用SSE-CMM的好处的好处目前，信息安全产品、服务等在市场上一般以两种方式出现：已评估的产品和未经过评估的产品。由于产品评估的周期漫长且费用昂贵，因此，已评估

8、的产品往往因进入市场缓慢而落后于安全需求，不能解决当前面临的威胁，而对于未评估的产品，购买者和用户只能依赖于产品的安全说明，在参考其他用户对该产品评估的基础上做出判断和选择，具有购买方自己负责的特点。在这种情况下，要求各组织以更成熟的方式来实施安全工程，使用安全产品，尤其要注意以下因素。13 13(1) 持久性：未来的应用需要利用在以前应用中获得的知识。(2) 可重复性：确保工程能够安全地重复操作的方法。(3) 效率性：保证开发商和评估组织的工作效率。(4) 可信性：对安全需求已获得满足所具有的信心。为了达到以上目标，需要一种机制能够引导组织理解和改进他们的安全工程实践。为了满足这种机制的要求

9、，SSE-CMM被设计成安全工程实践的形式，并且以提高安全系统、可信任产品以及安全工程服务的质量和可用性，降低发布成本为目标，特别地，SSE-CMM对以下组织很有好处：14 14(1) 工程组织。工程组织包括系统集成商、应用开发商、产品销售商以及服务提供商，SSE-CMM对这些组织带来的好处是：减少可重复、可预测过程和实践所带来的重复性劳动。获得公众对其真正的工程实施能力的认可，尤其是在资源选择方面。关注于提升组织的资质(成熟度)和改进能力。15 15(2) 采办组织。采办组织包括从内部/外部资源采办系统、产品和服务的组织以及最终用户。SSE-CMM对这些组织带来的好处是：可重复使用的建议语言

10、和评估方法的标准文本。降低选择不合格产品的风险。减少对基于工业标准的统一评估的异议。在产品和服务中实现可预测、可重复的可信度。16 16(3) 评估组织。评估组织包括认证机构、系统认可机构、产品评估机构、产品估价机构。SSE-CMM对这些组织带来的好处是：过程评估结果的可重复性，系统或产品改进的独立性。在安全工程以及与其他学科集成中获得信任度。基于对能力的信任，可以减少安全评估的工作量。17 173.2.1基本概念基本概念1. 安全工程的定义安全工程的定义SSE-CMM认为安全工程是一个不断发展的学科领域，当前还没有一个准确的、公认的安全工程定义，然而，可以对它进行这样一些概括性的描述来达到对

11、安全工程的全方位的刻画：3.2SSE-CMM体系结构体系结构18 18(1) 获取与企业相关的安全风险的理解。(2) 建立一套与标识出的安全风险相平衡的安全需求集。(3) 将安全需求转变为安全指导，并将它集成到一个项目的多个方法域的行为中，以及一个系统配置或操作的描述中。(4) 建立对安全机制的正确性和有效性的信心或信任度。19 19(5) 判断系统中残存的安全弱点对系统运行的影响是否可以容忍(即风险是否可以接受)。(6) 集成所有工程学科和专业中的成果，从而形成对一个系统可信任的综合理解。20202. 安全工程组织安全工程组织安全工程组织是一个笼统的概念，泛指对安全工程活动进行实践的各类组织

12、单位，包括：开发商，产品销售商，集成商，购买方(例如采购机构或最终用户)，安全评估机构(例如系统认证、产品测评、使用授权机构等)，系统管理员，可信第三方(例如CA)，咨询/服务机构等。21 213. 安全工程与其他学科安全工程与其他学科在实施中，安全工程必须始终与很多的其他学科发生联系，如：企业计划工程，系统工程，软件工程，人的因素工程，通信工程，硬件工程，测试工程，系统管理等。22224. 安全工程专业领域安全工程专业领域安全工程和信息安全是当前安全和商业环境中的推动性学科，其他一些更加传统的安全学科，如物理安全和人身安全也不应被忽视。要想得到更加有效的实施结果，安全工程就必须从这些传统的安

13、全领域以及其他安全相关领域汲取营养。以下是可能需要的安全专业相关领域。(1) 运行安全：以运行环境的安全以及维护一种安全运行状态为目标。(2) 信息安全：涉及到信息及其在操作和处理过程中的安全。2323(3) 网络安全：涉及到网络硬件、软件和协议的保护，包括对网络上所传输信息的保护。(4) 物理安全：重点是对建筑物和物理场所的保护。(5) 人身安全：与人，以及人的可信度和安全意识相关。(6) 管理安全：涉及到安全的管理因素和管理系统的安全。(7) 通信安全：与安全域之间的信息通信有关，尤其是信息在传输介质上的传输保护。2424(8) 辐射安全：处理机器设备产生的可能会将信息泄露到外部的非预期电

14、磁信号上。(9) 计算机安全：涉及到各类计算设备的安全。25253.2.2SSE-CMM的过程域的过程域与基于时间维的ISSE过程不同，SSE-CMM是将通用的安全工程过程分为三个不同的基本单元：风险、工程和信任度。尽管这些单元之间不可能相互独立，但有必要将它们分开考虑，它们体现了这样一种层次关系：首先，风险过程标识出所开发的产品或系统中存在的危险，并对这些危险进行优先级排序；其次，工程过程利用所有工程方法确定并实施针对危险可能导致的问题解决方案；2626最后，信任度过程为解决方案建立起信任度，并将这种信任度传达给客户，如图3-1所示。SSE-CMM的三个基本单元协同工作，共同确保安全工程能够

15、达到安全目标。2727图3-1安全工程过程的三个基本单元28281. 风险风险安全工程的主要目标之一就是减轻风险，风险评估是识别尚未发生的潜在问题的过程，应通过检查威胁和脆弱性发生的可能性及有害事件发生的潜在影响来评估。一般来说，可能性中必然包含不确定性的因素，而这个不确定因素又随环境变化而变化，这就意味着，可能性只在某种特定的条件下才能预测，此外，对特定风险影响的评估也是不确定的，因为有害事件可能不会像预测的那样发生。因为这些因素具有很大的不确定性，所以与之相关的准确预测和安全设计及证明都非常困难。2929一个有害事件通常由3个部分组成：威胁、脆弱性和负面影响。脆弱性是资源本身的属性，它可以

16、被一种威胁所利用。威胁和脆弱性缺少其中任何一个，就可以避免有害事件，风险也就不存在了。风险管理是处理和制止风险的过程，并为系统建立一个可接受的风险水平，它是安全管理的一个重要组成部分。安全风险包含了威胁、脆弱性和负面影响，如图3-2所示，图中SSE-CMM的几个过程域(如PA04、PA05、PA02等)可以用来分析系统受到的威胁、脆弱性、负面影响和相关的风险。3030图3-2风险过程包含了威胁、脆弱性和影响31 31实施安全措施可以减轻风险，处理威胁、降低脆弱性和减少影响，但不可能消除所有的风险或者完全消除某种特定的风险，这是因为消除风险要付出巨大的代价，且不能排除相关的不确定性。因此，系统存

17、留某些风险是不可避免的。在高度不确定的环境中，接受风险必会带来诸多的问题，这也使得判断是否接受风险成为一个非常专业的问题。32322. 工程工程虽然SSE-CMM没有按照时间顺序阐述安全工程的过程，但仍在“工程”部分涵盖了工程的各个阶段，这也体现了其对ISSE的继承。SSE-CMM认为安全工程跟其他学科一样，都要经历概念、设计、实现、测试、配置、操作、维护和淘汰等过程。在这个过程之中，安全工程师必须和其他的系统工程组密切合作，需要与其他领域的工程师的活动保持协调。这一过程强调安全工程师是一个大团队中的一员，这样有助于确保将安全整合到一个大过程中，而不是将它变成一个单独的、不相干的活动。图3-3

18、说明了SSE-CMM中与工程相关的过程域。3333图3-3安全是工程过程的集成体3434利用安全风险过程信息，以及关于系统需求、相关法律、政策等信息，安全工程师和客户一起合作确定安全需求。然后，安全工程师便可进一步识别和跟踪特定的安全需求。为安全问题提供解决方案的过程通常涉及到提供并识别所有的备选方案，并对它们进行评估，以确定哪个是最合适的方案。把这个活动与其他工程过程相整合的难度在于，解决方案不能只考虑安全问题，还要考虑许多其他的因素，如成本、性能、技术风险和易用性等，这些决策方案应当将再次出现问题的可能性降低到最小程度，所产生的分析结果也成为信任度工作的重要基础。3535在生命周期的后期，

19、安全工程师应当确保产品和系统按已知的风险进行正确地配置，并保证不让新的风险影响系统的安全运行。36363. 信任度信任度信任度是指满足安全需求的信心程度，它是安全工程中的一个非常重要的概念。SSE-CMM中的信任度是众多信任度中的一种，即在安全工程过程中可产生的可重复性信心。这种信心的基点是，成熟的组织比不成熟的组织更有可能产生可重复的工程结果。当然，信任度并不为控制安全风险添加额外的措施，但已经实现的控制将为减少预期风险提供一定程度的信心。信任度也可以被看做是对安全措施的信心。这个信心来源于安全措施的正确性和有效性。3737正确性保证了安全措施设计得以正确实现，有效性则保证了安全措施能够充分

20、满足客户的需要。另外，安全机制的强度也会对这种信心起作用，但要受到保护级别和所追求的信任度级别的限制。信任度通常以论据的形式进行交流，这种论据包括关于系统属性的一系列声明，这些声明都要有相关证据来支持。一般来说，证据都以在安全工程活动期间所开发的文档形式存在。SSE-CMM中的信任度过程如图3-4所示。3838图3-4信任度过程3939SSE-CMM活动的本身就涉及到了产生信任度的相关实例。例如，过程文档就能够说明开发遵循了一个定义良好、成熟的、不断改进的工程过程。安全认证和确认在建立产品或系统的可信度上发挥着重要的作用。此外，在过程域中还有许多典型的工作范例可成为证据或证据的一部分。现代统计

21、过程控制表明，只要注重生产产品所采用的过程，则能够以较好的成本效益比重复地生产出高质量、高信任度的产品。40403.2.3SSE-CMM的结构描述的结构描述SSE-CMM的体系结构是为了便于确定一个安全工程组织在整个安全工程中的过程成熟度而设计的。这个体系结构的目标是为了清晰地从管理和制度化特征中分离出安全工程的基本特征。为了确保这种分离，SSE-CMM模型设计有两个维数，分别称为“域”和“能力”。需要指出的是，SSE-CMM并不要求组织中的项目组或成员必须实施模型中所规定的全部过程，也不要求使用最新和最好的安全工程技术和方法，41 41但是，SSE-CMM要求必须做的是，所有的组织一定要有一

22、个包含模型所描述的基本安全实施过程，当然，组织具有以任何方式产生满足其业务目标的过程和组织结构。42421. 基本模型基本模型SSE-CMM包括“域”和“能力”两个维数。其中域维包含了共同定义安全工程的实施活动，这些实施在SSE-CMM模型中称为“基本实践”(BP，Base Practice)组件。能力维表示的实践代表了组织对过程的管理和制度化能力，称为“通用实践”(GP，Generic Practice)。通用实践是基本实践过程中必须要完成的活动。图3-5描述了基本实践与通用实践之间的关系。图中显示某安全工程组织正在实施“识别系统安全脆弱性”的活动，这是一个基本实践过程，在SSE-CMM中的

23、编号为05.02。4343那么，在判断该组织实施该活动的能力时，需要察看组织是否为这一活动分配了资源，通用实践列表2.1.1“分配资源”对此做出了要求，或者说，成熟的组织应当通过一个专门的过程为他们所从事的活动分配资源，从而确保该活动有效进行。于是，通过把基本实践和通用实践放在两个维上综合考察，便可以检验一个组织执行某项特定活动的能力。4444图3-5基本实践与通用实践之间的关系45452. 基本实践与过程域基本实践与过程域SSE-CMM包含了61个基本实践，归类成11种覆盖安全工程主要领域的过程域(PA，Process Area)。这些基本实践来源于大量的文献资料、实践经验和专家知识，它们都

24、代表了最佳的经过检验的安全工程团体的实践。确定这些基本实践的内容是很复杂的一项工作。因为许多本质上相同的实践活动有着不同的名字，而且这些实践活动在系统生命周期中的出现阶段、抽象水平、执行角色各不相同。4646如果一个组织仅仅在设计阶段或者在一个单一的抽象水平上执行，则不能看做该组织获得了一个基本实践。因此，SSE-CMM避开了这些差异，所确定的基本实践都是本质上良好的、重要的安全工程的实践。基本实践具有如下特性： 在企业的生命周期内应用； 不与其他的基本实践相重叠； 代表了安全团体的“最佳实践”； 不只是简单地反映最新技术； 可适用于多种业务环境并以多种方法运行； 不规定一种特定的方法或工具。

25、4747过程域具有如下特性： 汇集了一个域中的相关活动，便于使用； 与有价值的安全工程服务相关； 在企业的整个生命周期内应用； 能够在多个组织和产品范围内实现； 能够作为一个独立的过程加以改进； 能够被有类似兴趣的工程组改进； 包括了为达到过程域目标所需的所有基本实践。将61个基本实践划分为11个过程域的方法很多。一种方法就是将真实世界模型化，创建能匹配实际安全工程服务的过程域。还有其他的一些方法，例如努力识别出形成基本安全工程架构的概念域等。SSE-CMM综合了这些方法的优势构成了现行的11种过程域。4848以下列出SSE-CMM的11种过程域，它们侧重于安全工程：PA01 监管安全控制 P

26、A02 评估影响 PA03 评估安全风险PA04 评估威胁 PA05 评估脆弱性PA06 构造信任度证据PA07 协调安全PA08 监控安全状况PA09 提供安全输入PA10 确定安全需求PA11 检验和验证安全性4949除上述的过程域外，SSE-CMM还包括了侧重于工程项目和组织实践的其他11类过程域(PA12-PA22)，它们来自系统工程能力成熟度模型(SE-CMM)。这些过程域并不是与安全工程直接相关的，但它们会对安全工程造成影响，因此也常常会受到安全工程组织的青睐。PA12 保证质量PA13 管理配置PA14 管理项目风险PA15 监控和控制技术行为 PA16 规划技术行为 PA17

27、定义组织的系统工程过程5050PA18 改进组织的系统工程过程PA19 管理产品线升级PA20 管理系统工程支持环境PA21 提供当前所需的技能和知识PA22 与提供商协调基本实践着眼于基本的安全工程操作。要注意的是，SSE-CMM没有规定一种特定的过程或顺序，即以上这些过程的编号并不代表特定的顺序。51 51可以采用任何一个单一过程域或过程域组合来评估一个组织。将这些过程域放在一起是为了覆盖安全工程的全部基本实践，并且在过程域之间存在许多内在的联系。图3-6给出了过程域的一般格式。其中，概述是对该过程域的一个简短概括。每个过程域都有一组目标，它们代表了一个成功执行过程域的组织所期望的结果。每

28、个过程域包含一系列的基本实践。各过程域中的基本实践是该过程域中的强制性项目，即一旦选择了该过程域，则其中的基本实践必须得到成功地实现，只有这样才能完成该过程域的目标。在过程域概述之后，详细介绍了其中的每个基本实践。5252 图3-6过程域的一般格式5353 图3-7域维中过程域与基本实践的关系54543. 通用实践与能力级别通用实践与能力级别通用实践是应用于所有过程域中的活动，它们强调过程的管理、度量和制度化。通常，使用通用实践来评估一个组织执行一个过程的能力。如同基本实践被归类成11种过程域一样，通用实践也被归类成12个称为“公共特征”(CF，Common Feature)的逻辑域。这12个

29、公共特征被分为5个能力级别，代表了不断增长的安全工程能力。5555但它与域维中的基本实践不同的是，能力维中的通用实践是依据成熟度来排序的，因此，具有较高过程能力的通用实践处于能力维的顶部。公共特征是用来描述一个组织执行工作过程的特征风格的变化。每个公共特征包含了一个或多个通用实践。最底层的公共特征执行了1.1基本实践，它只是用来检查一个组织是否在一个过程域中执行了所有的基本实践。其余的公共特征包含了一些通用实践，这些通用实践有助于从整体上确定一个工程是如何有效地管理和改进每个过程域。5656表3-1过程能力描述结构表5757通用实践适用于所有的过程。在过程评估中，通用实践根据共同特征和能力级别

30、来分组，用于确定任何过程的能力。图3-8给出了能力级别的一般格式。其中，概述是对该能力级别的一个简短概括。每个级别用一组公共特征来标识，每个公共特征则通过一组确定的通用实践来描述。5858 图3-8能力级别的一般格式5959 图3-9能力维中公共特征与通用实践的关系6060SSE-CMM并未规定执行通用实践的必备条件。通常，一个组织可以自由地选择任何方法或顺序来计划、跟踪、定义、控制和完善他们的过程。但是，由于有一些高级别的通用实践依赖于低级别的通用实践，因此，一个组织应当在达到高级别之前执行低级别的通用实践。61 614. 能力级别能力级别有很多方法可以将实践根据公共特征进行分类，也有很多方

31、法将公共特征划分到多个能力级别中。在分析SSE-CMM能力级别前，有必要深入探讨SSE-CMM的公共特征。公共特征的排序来源于对一些已经存在的过程的实现和制度化的观察。对于一些定义良好的过程，这一点尤其正确。在一个组织能够定义、制作和使用一个过程之前，个别项目应该已经具备一些管理这个过程能力的经验。6262例如，一个组织首先应该对一个项目进行评价，然后才能为整个组织的评价过程进行规范。当然，在有些方面，过程的实施和制度化放在一起考虑以提高工程能力时，可以不考虑前后次序。在评估和改进一个组织的过程能力的过程中，公共特征和能力级别都是很重要的。对于在一个特定的能力级别上为一个特定的过程实现部分公共

32、特征而非全部的组织，这个组织通常是在最低层的已经完成的能力级别上操作那个过程。例如，如果一个组织为一些过程域执行了能力级别2上除个别通用实践外的所有实践，则应当将该组织评定为能力级别1。6363如果一个公共特征不属于一个低能力级别上的所有公共特征，则一个组织可能不会获得实现该公共特征的全部好处。一个评估机构在评估一个组织的个别过程时应该考虑这个因素。当一个组织希望通过SSE-CMM改进其过程能力时，该组织可以依次执行各级别中的通用实践行为，这相当于SSE-CMM为组织提供了一个“能力改进路线图”。因此，SSE-CMM的通用实践应当按照公共特征进行归类，并按级别进行排序。6464执行评估的目的是

33、为了确定每个过程域的能力级别，这表明不同的过程域能够且可能存在于不同的能力级别上。因此，组织也可以使用这些过程的特定信息作为一种改进其过程的手段，组织改进过程活动的顺序和优先级应当考虑它的商业目标，商业目标是SSE-CMM的主要推动力。但是，必须有一个根本的活动顺序和基本原理推动着改进工作的逻辑顺序。这个活动顺序表现在SSE-CMM能力级别的公共特征和通用实践上。表3-1已经给出了SSE-CMM包含的5个能力级别，以下进行简要说明。6565(1) Level 1：非正式执行过程。该级别关注于一个组织或工程是否执行了包含基本实践的过程，即“你必须先做它，然后再管理它”。(2) Level 2：计

34、划和跟踪过程。该级别强调一个项目级的定义、计划和执行问题，即“在定义组织范围内的过程之前应当理解项目的相关事项”。(3) Level 3：良好定义过程。该级别着重从组织级上所定义的过程提取学科技术，即“使用从项目中所学到的最好东西来创建组织范围内的过程”。6666(4) Level 4：量化控制过程。该级别重点在于与组织的商业目标相联系的度量方法。尽管一个组织可能很早就开始了采集和使用基本项目测量，但是在达到较高等级之前，并不主张去测量和使用数据，即“在知道它是什么之前你不能测量它”、“只有测量了正确的东西，你的管理和测量才有意义”。(5) Level 5：持续改进过程。该级别将从此前各级的所

35、有管理活动中获得最大的收益，6767并强调组织的文化，以保持所取得的成果，即“一个不断改进的文化需要一个坚实的管理实践、定义的过程和可衡量的目标作为基础”。68683.3.1模型使用模型使用SSE-CMM包含的各项工程实践(基本实践和通用实践)涵盖了很广泛的安全内容，适用于所有以某种形式实践安全工程的组织，而不管生命周期、范围、环境或者专业。通常，SSE-CMM可用于以下三种场合：3.3SSE-CMM应用应用6969(1) 过程改进：使从事安全工程的组织能够了解他们的安全工程过程等级，设计所要改进的安全工程过程，改进他们的安全工程过程能力。(2) 能力评估：使消费者能够了解产品、系统或者服务提

36、供商组织的安全工程过程能力。(3) 信任度评估：通过证据来说明已经使用了成熟的过程，以此来增加对一个产品、系统或服务可信度的信心。为了理解SSE-CMM的模型使用，可以按以下步骤来考察一个组织如何对SSE-CMM中的过程域进行测量：7070(1) 根据组织业务或任务的内容，从11个安全工程过程域(PA01-PA11)、11个项目和组织行为过程域(PA12-PA22)中选择一个合适的过程域。(2) 对于所选择的过程域，考察其摘要描述、目标和基本实践。(3) 询问组织中是否有人正在执行每一个基本实践，当然，没必要亲自参加所有的基本实践，也不要求把过程做得很好，只要有人完成即可。(4) 察看该过程域

37、的目标是否得到了满足，如果所有的基本实践都被执行了，则该过程域的目标已达到。71 71(5) 如果过程域的目标已达到，则可以在公共特征1.1“执行基本实践”列上做上标记(即“执行基本实践”的目的已达到，在所选择的PA上已具备第一级能力)。(6) 考察公共特征2.1“计划执行”中的描述和所包含的通用实践。(7) 对照公共特征2.1“计划执行”中的通用实践，询问组织是否计划执行所选择的过程域。(8) 如果步骤(7)是肯定的，则在公共特征2.1“计划执行”列上做上标记。7272(9) 对于其他的每个公共特征，重复步骤(6)(8)。这样，对该组织执行所选择的过程域的能力就有了一个清楚的了解。(10)

38、对于其他的每个过程域，重复步骤(2)(9)。这样，最终可得出组织的安全工程能力。以上步骤描述了SSE-CMM的简单使用方法。一般来说，由独立评估者和多个评估参与者做出的评估结论会更加全面和准确。经过上述步骤后，从域维和能力维模型中便可得到如图3-10所示的结果，图中对每个过程区可确定能力级别为0至5。7373图3-10确定过程能力74743.3.2过程改进过程改进SSE-CMM可用于组织的安全工程过程改进，它推荐IDEAL方法初始化(Initiating)、诊断(Diagnosing)、建立(Establishing)、执行(Acting)和学习(Learning)。该方法是由卡内基梅隆大学(

39、Carnegie Mellon University)的软件工程研究所开发，目的是周期性地评估系统的安全状态，不断改进组织的安全工程过程。7575IDEAL方法描述如下：(1) 初始化：为安全工程过程的成功改进奠定基础。(2) 诊断：判断当前的工程过程能力状况。(3) 建立：为实现目标建立详细的行动计划。(4) 执行：根据计划展开行动。(5) 学习：吸取经验，改进过程能力。在上述5个阶段中，各阶段又包含若干不同的活动，所有这些活动构成了完整的、符合生命周期概念的过程改进方法。如图3-11所示。7676图3-11IDEAL方法模型77771. 初始化阶段初始化阶段这是一个安全工程过程改进工作的最

40、初阶段，包括确定改进的促因、设置环境、获得支持和建立基础设施等活动。(1) 确定改进促因。这是任何过程改进中必须经历的第一步。推动一个组织去理解和改进其过程有很多潜在的原因，比如可能是为某一特定的计划执行一个特定的过程(如要与涉密项目承包商合作而需要提高其工程实施能力)。不管推动改进的原因如何，应当从安全角度来理解对现有过程进行检查的目的，这是一个系统安全工程过程改进工作成功的关键。7878(2) 设置环境。设置过程改进环境表明了过程改进工作支持现有商业战略和特殊商业目标的努力是如何因环境变化而受到影响的，并且明确给出这种影响后果。作为一种努力的结果，应当证明预期的改进效果，并暗示其他的主动性

41、和当前工作。(3) 获得支持。在成功的过程改进工作的整个生命周期内，有效和持续的支持是非常重要的。这种支持包括赞助者的财政资源，还包括管理层对项目的重视。7979在缺乏管理支持时，可以主动对当前的管理、努力过程中的动力和阻力进行周期性的评估，从而提供加强改进的证据和支持过程改进所获得的预期效益，这在很大程度上有助于获得支持。(4) 建立基础设施。在工作建议、业务目标、关键支持问题解决之后，还必须建立工程改进的实现机制，即必须有基础设施，特别是项目管理基础设施的支撑。例如至少要选择一个对SSE-CMM和该组织都很熟悉的人来管理项目，必须将资源和特权赋予项目管理组，以执行过程改进任务，这是整个改进

42、过程中的关键。80802. 诊断阶段诊断阶段为了执行过程开发和改进活动，有必要了解一个组织工程过程成熟度的当前及未来期望的状态，这为后续的工作规划提供了重要的信息，包括描述当前及未来成熟度和制定建议等过程。(1) 描述当前及未来成熟度。在某种程度上说，这个步骤是初始化阶段改进促因阶段的一个扩展。推动过程改进工作的商业动力可以理解为改进一个组织的过程质量能够带来很大的利益。81 81改进工作必须建立在深刻理解实际所采用的过程以及这些过程的当前状态与期望状态的差异的基础上，这样组织能更好地标识近期与长期的改进目标、所需要的努力程度以及达到目标的可能性。(2) 制定建议。在分析了组织的当前与未来成熟

43、度的差异之后，可以形成如何改进该组织过程的建议。为了使建议能够对开发过程中所涉及到的组织进行评估，不仅要对组织本身进行深入的了解，还要对过程改进方法进行透彻理解。这一点非常重要，因为如何进行改进的管理决策通常直接反映改进过程的建议。82823. 建立阶段建立阶段该阶段基于工作目标和诊断阶段所形成的建议，开发一个详细的行动计划，这个计划要充分考虑各种限制和不利因素，以及与特定输出和责任相关的优先级。(1) 设置优先级。由于时间限制、可用资源、政策及其他一些因素，不可能同时实现所有的目标，因此，组织必须为过程改进工作建立优先级，显然，优先级会对过程施加重要的直接影响。例如，若在诊断阶段确定了组织的

44、配置管理域比较弱，并且它是客户感兴趣的一个域，那么选择将资源集中于该域应该比改进员工的培训有更高的优先级。8383(2) 制定方法。经过进一步的调查和分析之后，组织可能会发现其初始化阶段的很多认识需要调整。“制定方法”需要将重新定义的目标和建议映射到完成所期望目标的策略上。这些策略包括特定的资源(技术的和非技术的)标识和它们的输入，例如特定的技巧和背景条件。当然，也必须考虑那些不与改进工作直接相关的但可能影响到改进实现的因素。(3) 计划行动。将所有的数据、方法、建议和优先级都整合到一个详细的行动计划中，8484该计划除了包含责任分配、可用资源、特定任务、所使用的追踪工具、工作进度和完成时间之

45、外，还应包括针对任何可能发生问题的应急计划和替代策略等。85854. 执行阶段执行阶段与其他阶段相比，执行阶段不论从资源上还是在时间上都要付出最大程度的努力。执行阶段包括创建解决方案、测试解决方案、完善解决方案和实施解决方案等步骤。(1) 创建解决方案。每一个改进步骤和解决方案都是在可用信息、实际资源、前期工作的基础上建立的。解决方案是一个技术工作组“最好设想”的工作成果，反映出对组织的工作能力，以及相互影响的有关问题等因素的全部理解，涉及到工具、过程、知识、技能等因素。在创建解决方案时，要仔细考察组织结构、组织业务、任务分配、安全工程工作产品等背景信息，并回答如下一些问题：8686在组织中是

46、如何实施安全工程的？用哪种生命周期模型作为过程的框架来使用？组织结构是如何支持项目的？如何处理支持功能(例如由项目处理还是由组织处理)？组织中的管理者、实施者是如何发挥作用的？待改进的过程对于组织的成功有多大的重要性？8787(2) 测试解决方案。通常，解决方案的第一次尝试是很少成功的。因此，所有的解决方案在应用于一个组织之前必须经过测试。测试的方法依赖于问题的性质、组织的资源等因素，测试过程中可能要将所提议的改进介绍给组织中的多个小组，并确认假设。(3) 完善解决方案。经过测试之后，解决方案可能需要进一步优化完善，以改正所发现的问题，并补充合理的新内容。这是一个权衡和取舍的过程，由于时间和资

47、源的限制，不可能提出十分完美的解决方案，即优秀的可能不实用。8888(4) 实施解决方案。一旦完善后的解决方案被接受，并且在时间和资源得到保证的条件下，解决方案便可以被正式实施。实施可能发生在由组织的各种目标所决定的方法中。89895. 学习阶段学习阶段学习阶段既是一次过程改进工作的终结，又是下一个过程改进工作的初始阶段。这个阶段与贯穿于整个过程的记录细节和参与提出建议的能力一样富有建设性。(1) 分析与验证。与此前建立的目标相比较，检验过程改进的效果，确定过程改进工作是否成功。有时还要对过程改进的效率进行评价，并判断是否需要进一步改进该过程。最后，收集、总结和证明所学习的内容。9090(2)

48、 提出未来建议。分析与验证的重要目的之一，就要根据对改进工作的分析，将所学习的内容转换成完善下一步改进工作的行动建议。这些行动建议将为其他改进工作提供宝贵的资料和经验。91 913.3.3能力评估能力评估SSE-CMM是为了广泛地支持各种改进活动而构建的，包括自我管理评估，或由组织内部和外部专家进行的内部评估。虽然主要是用于内部过程改进，但SSE-CMM还可用于评价一个潜在的厂家执行安全工程过程的能力。对于能力评估，推荐使用SSE-CMM模型。1. SSE-CMM评估说明评估说明SSE-CMM是伴随着对安全的理解而发展的，即安全通常是在系统工程环境中进行实践的，9292安全系统工程服务提供商可

49、能作为单独的行为来执行安全工程，并且与系统工程、软件工程或其他工程工作相协调的活动来实施。因此，对于SSE-CMM评估有以下要求：(1) 当系统工程能力评估之后，SSE-CMM评估可侧重于该组织内部的安全工程过程。(2) 与系统工程能力评估相关联，SSE-CMM评估可以与SE-CMM有机地结合。(3) 当系统工程能力评估被独立执行时，SSE-CMM的评估应当超越安全来检查组织中的有关项目和组织基础是否对安全工程过程提供支持。93932. SSE-CMM评估方法评估方法SSE-CMM并不要求使用任何特殊的评估方法。然而，SSE-CMM要求其评估方法能够最大限度地发挥模型的效用。SSE-CMM专门

50、设计了一个评估方法(SSAM，SSE-CMM Appraisal Method)文档用于指导评估，并给出了评估方法的基本前提，以提供如何将模型用于工程过程能力评估的环境信息。为了更好地发挥SSAM在支持SSE-CMM能力评估方面的应用，SSE-CMM应用组提出了许多方法，例如要求提供工程过程的能力证据等。94943. SSAM的概述的概述SSAM是一种组织级或项目级的评估方法。SSAM可以被裁剪，以满足组织或项目的具体需要。它采用了多种数据收集方法，以获得待评估组织或项目的过程实施的能力信息。数据的收集由以下几个方面组成：(1) 直接反映模型内容的调查问卷。(2) 与关键人员的一系列有组织或随