返回
系统安全工程能力成熟度模型

系统安全工程能力成熟度模型

ID:40001765

大小:878.50 KB

页数:166页

时间:2019-07-17

系统安全工程能力成熟度模型_第1页
系统安全工程能力成熟度模型_第2页
系统安全工程能力成熟度模型_第3页
系统安全工程能力成熟度模型_第4页
系统安全工程能力成熟度模型_第5页
资源描述:

《系统安全工程能力成熟度模型》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、系统安全工程能力成熟度模型各个小节情况3.1安全工程概述3.2SSE-CMM(系统安全工程能力成熟度模型)基础3.3SSE-CMM的体系结构3.4SSE-CMM应用3.1安全工程概述随着社会对信息依赖程度的增长,信息的保护变得越来越重要。网络、计算机、业务应用甚至企业间的广泛互联和互操作特性正在成为产品和系统安全的主要驱动力。安全的关注点已从维护保密的政府数据,到更广泛的应用,如金融交易、合同协议、个人信息和互联网信息。因此,非常有必要考虑和确定各种应用的潜在安全需求。潜在的需求实例包括信息或数据的机密性、完整性和可用性等直至系统安全的保障

2、。3.1安全工程概述信息系统安全工程是美国军方在20世纪90年代初发布的信息安全工程方法。其重点是通过实施系统工程过程来满足信息保护的需求。主要包括:•发掘信息保护需求;•定义信息保护系统;•设计信息保护系统;•实施信息保护系统;•评估信息保护系统的有效性。3.1.1安全工程安全工程涉及到系统和应用的开发、集成、操作、管理、维护和进化以及产品的开发、交付和升级等各个方面。在企业和商务过程中的定义、管理和重建中必须强调安全的因素,这样安全工程才能够在系统、产品或服务中得以体现。安全工程是一个正在进化的项目,经过总结,SSE-CMM认为安全工程

3、是一个正在不断发展的学科领域,当前尚不存在一个精确的、得到业界一致认可的安全工程定义。3.1.1安全工程然而,SSE-CMM还是通过对安全工程的目标概述而对安全工程做了全方位刻画:•获取对企业的安全风险的理解;•根据已识别的安全风险建立一组平衡的安全要求;•将安全要求转换成安全指南,将其集成到一个实施的活动中和系统配置或运行的定义中;3.1.1安全工程•在正确有效的安全机制下建立信心和保证;•判断系统中和系统运行时残留的安全脆弱性对运行的影响是否可容忍(即可接受的风险)。•将所有项目和专业活动集成到一个可共同理解系统安全可信性的程度。3.1

4、.2安全工程的相关概念1.安全工程组织各种不同类型的组织都会涉及到安全工程活动,包括:•开发者;•产品销售商;•购买者(获取组织或最终用户);•安全评估组织(系统认证者、产品评估者和运行许可批准者);•集成商;•系统管理员;•可信第三方(认证授权);•咨询/服务组织。2.安全工程的生命周期在整个生命周期中执行的安全工程活动如下:•前期概念;•开发和定义;•证明与证实;•工程实施、开发和制造;•生产和部署;•运行和支持;•淘汰。3.安全工程与其他项目的关系安全工程活动与许多其他项目息息相关,包括企业工程、系统工程、软件工程、人力因素工程、通信

5、工程、硬件工程、测试工程和系统管理等。因为运行安全的保证和可接受性是开发者、集成商、买主、用户、评估机构和其他组织之间建立的,所以安全工程活动必须要与其他外部实体进行协调。也正是因为存在这些与其他部分的接口并贯穿于组织的各个方面,所以安全工程比其他工程更加复杂。4.安全工程的特点下面列出了一些有可能需要的安全相关领域:•运行安全运行环境的安全以及对安全运行态势的维护;•信息安全涉及到信息及其在操作和处理中的安全维护;•网络安全涉及到网络硬件、软件和协议的保护,包括网络上通信信息的安全;•物理安全侧重于建筑物和物理场所的保护;4.安全工程的特

6、点•人员安全与人有关,还涉及到人员的可信度及他们对安全问题的意识;•管理安全涉及到安全的管理因素和管理系统的安全;•通信安全与安全域之间的信息通信有关,尤其是信息在传输介质上流动时的保护;•辐射安全涉及到所有机器设备产生的不期望的电磁信号,这些电磁信号可能会将信息传输到安全域外部;•计算机安全尤其涉及到各种类型的安全计算设备4.安全工程的特点SSE-CMM对安全工程特点的考察是有积极意义的。不过,虽然SSE-CMM声称将从这些安全领域汲取营养,但它显然将安全工程与这些安全领域进行了分离。这种分离对于及时确立安全工程范畴和重点是必要的,但不利

7、于从整体上看待信息安全问题。这也是其后信息安全界不得不横向比较各类信息安全方法的原因。3.2SSE-CMM基础3.2.1SSE-CMM简介SSE-CMM是一种衡量系统安全工程实施能力的方法,是一种使用面向工程过程的方法。SSE-CMM模型抽取了一组好的工程实施并定义了过程的能力。SSE-CMM主要用于指导系统安全工程的完善和改进,使系统安全工程成为一个清晰定义的、成熟的、可管理的、可控制的、有效的和可度量的学科。3.2.1SSE-CMM简介SSE-CMM模型是系统安全工程实施的度量标准,它覆盖了:工程的整个生命周期,包括工程开发、运行、维护

8、和终止;管理、组织和工程活动等的组织;与其他规范如系统、软件、硬件、人的因素、测试工程、系统管理、运行和维护等规范并行的相互作用;与其他组织(包括获取、系统管理、认证、认可和评估

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。