第5章 信息系统工程-工程体系架构

5.4.4 工程体系架构

信息系统安全工程(Information Security System Engineering，ISSE)是一门系统工程学,它的主要内容是确定系统和过程的安全风险，并且使安全风险降到最低或使其得到有效控制。

1.ISSE-CMM基础

信息安全系统工程能力成熟度模型(ISSE Capability Maturity Model，ISSE-CMM)是一种衡量信息安全系统工程实施能力的方法，是使用面向工程过程的一种方法。ISSE-CMM 是建立在统计过程控制理论基础上的。统计过程控制理论认为，所有成功组织的共同特点是它们都具有一整套严格定义、管理完善、可测可控的有效业务过程。ISSE-CMM 模型抽取了这样一组“好的”工程，实施并定义了过程的“能力”。ISSE-CMM主要用于指导信息安全系统工程的完善和改进，使信息安全系统工程成为一个清晰定义的、成熟的、可管理的、可控制的、有效的和可度量的学科。

ISSE-CMM模型是信息安全系统工程实施的度量标准，它覆盖了：

• 整个生命周期，包括工程开发、运行、维护和终止；

• 管理、组织和工程活动等的组织；

• 与其他规范如系统、软件、硬件、人的因素、测试工程、系统管理、运行和维护等规范并行的相互作用；

• 与其他组织(包括获取、系统管理、认证、认可和评估组织)的相互作用。

 

ISSE-CMM主要适用于工程组织(Engineering Organizations)、获取组织(AcquiringOrganizations)和评估组织(Evaluation Organizations)。信息安全工程组织包含系统集成商、应用开发商、产品提供商和服务提供商等，这些组织可以使用ISSE-CMM对工程能力进行自我评估。信息安全的获取组织包含采购系统、产品以及从外部/内部资源和最终用户处获取服务的组织，这些组织可以使用ISSE-CMM 来判别一个供应者组织的信息安全系统工程能力，识别该组织供应的产品和系统的可信任性，以及完成一个工程的可信任性。信息安全的评估组织包含认证组织、系统授权组织、系统和产品评估组织等，这些组织可以使用ISSE-CMM作为工作基础，以建立被评组织整体能力的信任度。

2.ISSE过程

一个组织的过程能力可帮助组织预见项目达到目标的能力。位于低能力级组织的项目在达到预定的成本、进度、功能和质量目标上会有很大的变化，而位于高能力组织的项目则完全相反。ISSE 过程的目的是使信息安全系统成为系统工程和系统获取过程整体的必要部分，从而有力地保证用户目标的实现，提供有效的安全措施以满足客户和服务对象的需求，将信息系统安全的安全选项集成到系统工程中，去获得最优的信息安全系统解决方案。为了使信息安全系统具有可实现性并有效力，必须把信息安全系统集成在信息系统生命周期的工程实施过程中，并与业务需求、环境需求、项目计划、成本效益、国家和地方政策、标准、指令保持一致性。这种集成过程将产生一个信息安全系统工程 (ISSE)过程，这一过程能够确认、评估、消除(或控制)已知的或假定的安全威胁可能引起的系统威胁(风险)，最终得到一个可以接受的安全风险等级。在系统设计、开发和运行时，应该运用科学的和工程的原理来确认和减少系统对攻击的脆弱度或敏感性。ISSE 并不是一个独立的过程，它依赖并支持系统工程和获取(保证)过程而且是后者不可分割的一部分。

ISSE 过程的目标是提供一个框架，每个工程项目都可以对这个框架进行裁剪以符合自己特定的需求。ISSE 表现为直接与系统工程功能和事件相对应的一系列信息安全系统工程行为。SSE将信息安全系统工程实施过程分解为:工程过程(Engineering Process)、风险过程(RiskProcess)和保证过程(Assurance Process)三个基本的部分，如图5-13 所示。它们相独立但又有着有机的联系。粗略地说来，在风险过程中，人们识别出所开发的产品或系统风险，并对这些危险进行优先级排序。针对危险所面临的安全问题，信息安全系统工程过程与其他工程一起来确定安全策略和实施解决方案。最后，由安全保证过程建立起解决方案的可信性并向用户转达这种安全可信性。

 

1)工程过程

信息安全系统工程与其他工程活动一样，是一个包括概念、设计、实现、测试、部署、运行、维护、退出的完整过程，如图 5-14 所示。在这个过程中，信息安全系统工程的实施必须紧密地与其他的系统工程组进行合作。ISSE-CMM强调信息安全系统工程是一个大项目队伍中的组成部分，需要与其他科目工程的活动相互协调。这将有助于保证安全成为一个大项目过程中一个部分，而不是一个分离的独立部分。

 

使用上面所描述的风险管理过程的信息和关于系统需求、相关法律、政策的其他信息，信息安全系统工程就可以与用户一起来识别安全需求。一旦需求被识别，信息安全系统工程就可以识别和跟踪特定的安全需求。

对于信息安全问题，创建信息安全解决方案一般包括识别可能选择的方案，然后评估决定哪一种更可能被接受。将这个活动与工程过程的其他活动相结合，不但要解决方案的安全问题还需要考虑成本、性能、技术风险、使用的简易性等因素。

2)风险过程

信息安全系统工程的一个主要目标是降低信息系统运行的风险。风险就是有害事件发生的可能性及其危害后果。出现不确定因素的可能性取决于各个信息系统的具体情况。这就意味着这种可能性仅可能在某些限制条件下才可预测。此外，对一种具体风险的影响进行评估，必须要考虑各种不确定因素。因此大多数因素是不能被综合起来准确预报的。在很多情况下，不确定因素的影响是很大的，这就使得对安全的规划和判断变得非常困难。

一个有害事件由威胁、脆弱性和影响三个部分组成。脆弱性包括可被威胁利用的资产性质。如果不存在脆弱性和威胁，则不存在有害事件，也就不存在风险。风险管理是调查和量化风险的过程,并建立组织对风险的承受级别。它是安全管理的一个重要部分。风险管理过程，如图 5-15所示。

 

安全措施的实施可以减轻风险，但无论如何，不可能消除所有威胁或根除某个具体威胁。这主要是因为消除风险所需的代价，以及与风险相关的各种不确定性。因此，必须接受残留的风险。在存在很大不确定性的情况下，由于风险度量不精确的本质特征，在怎样的程度上接受它才是恰当的，往往会成为很大的问题。ISSE-CMM 过程域包括实施组织对威胁、脆弱性、影响和相关风险进行分析的活动保证。

3)保证过程

保证过程是指安全需求得到满足的可信程度，它是信息安全系统工程非常重要的产品，保证过程如图 5-16 所示。保证的形式多种多样。ISSE-CMM 的可信程度来自于信息安全系统工程实施过程可重复性的结果质量。这种可信性的基础是工程组织的成熟性，成熟的组织比不成熟的组织更可能产生出重复的结果。

 

安全保证并不能增加任何额外的对安全相关风险的抗拒能力，但它能为减少预期安全风险提供信心。安全保证也可看作是安全措施按照需求运行的信心。这种信心来自于措施及其部署的正确性和有效性。正确性保证了安全措施按设计实现了需求，有效性则保证了提供的安全措施可充分地满足用户的安全需求。安全机制的强度也会发挥作用，但其作用却受到保护级别和安全保证程度的制约。

3.ISSE-CMM体系结构

ISSE-CMM的体系结构完全适应整个信息安全系统工程范围内决定信息安全工程组织的成熟性。这个体系结构的目标是为了落实安全策略，而从管理和制度化突出信息安全工程的基本特征。为此，该模型采用两维设计，其中一维是“域”(Domain)，另一维是“能力”(Capability)。

1)域维/安全过程域

域维汇集了定义信息安全工程的所有实施活动，这些实施活动称为过程域。能力维代表组织能力，它由过程管理能力和制度化能力构成。这些实施活动被称作公共特性，可在广泛的域中应用。执行一个公共特性是一个组织能力的标志。通过设置这两个相互依赖的维，ISSE-CMM 在各个能力级别上覆盖了整个信息安全活动范围。

ISSE包括6个基本实施，这些基本实施被组织成11个信息安全工程过程域，这些过程域覆盖了信息安全工程所有主要领域。安全过程域的设计是为了满足信息安全工程组织广泛的需求。划分信息安全工程过程域的方法有许多种。典型的做法之一就是将实际的信息安全工程服务模型化，即原型法，以此创建与信息安全工程服务相一致的过程域。其他的方法可以是识别概念域，它们将识别的这些域形成相应的基本信息安全工程构件模块。每一个过程域包括一组表示组织成功执行过程域的目标，每一个过程域也包括一组集成的基本实施，基本实施定义了获得过程域目标的必要步骤。

一个过程域通常需要满足：

• 汇集一个域中的相关活动，以便于使用；

• 就是有关有价值的信息安全工程服务；

• 可在整个组织生命周期中应用；

• 能在多个组织和多个产品范围内实现；

• 能作为一个独立过程进行改进；

• 能够由类似过程兴趣组进行改进；

• 包括所有需要满足过程域目标的基本实施(Base Practices，BP)。

 

基本实施的特性包括：

• 应用于整个组织生命期；

• 和其他BP互相不覆盖；

• 代表安全业界“最好的实施”不是简单地反映当前技术；

• 可在业务环境下以多种方法使用；

• 不指定特定的方法或工具。

 

由基本实施组成的11 个安全工程过程域包括：PA01——实施安全控制、PA02——评估影响、PA03——评估安全风险、PA04——评估威胁、PA05——评估脆弱性、PA06_建立保证论据、PA07——协调安全、PA08——监控安全态、PA09——提供安全输入、PA10——确定安全需求、PA11--验证和证实安全。

ISSE-CMM还包括11 个与项目和组织实施有关的过程域:：PA12——保证质量、PA13——管理配置、PA14——管理项目风险、PA15——监测和控制技术工程项目、PA16——规划技术工程项目、PA17——定义组织的系统工程过程、PA18——改进组织的系统工程过程、PA19——管理产品线的演变、PA20——管理系统工程支持环境、PA21——提供不断更新的技能和知识、PA22——与供应商的协调。

2)能力维/公共特性

通用实施(Generic Practices，GP)，由被称为公共特性的逻辑域组成，公共特性分为5个级别，依次表示增强的组织能力。与域维基本实施不同的是，“能力”维的通用实施按其成熟性排序，因此高级别的通用实施位于能力维的高端。

公共特性设计的目的是描述在执行工作过程(此处即为信息安全工程域) 中组织特征方式的主要变化。每一个公共特性包括一个或多个通用实施。通用实施可应用到每一个过程域(ISSE-CMM 应用范畴)，但第一个公共特性“执行基本实施”例外。其余公共特性中的通用实施可帮助确定项目管理好坏的程度并可将每一个过程域作为一个整体加以改进。公共特性满足每一个级别成熟的信息安全工程特性，如表 5-15 所示。

 

 

 

3)能力级别

将通用实施划分为公共特性，将公共特性划分为能力级别有多种方法。公共特性的排序得益于对现有其他安全实施的实现和制度化，特别是当实施活动有效建立时尤其如此。在一个组织能够明确地定义、裁剪和有效使用一个过程前，单独执行的项目应该获得一些过程执行方面的管理经验例如，一个组织应首先尝试对一个项目规模评估过程后，再将其规定为这个组织的过程规范。有时，当把过程的实施和制度化放在一起考虑可以增强能力时，则无须要求严格地进行前后排序。

公共特性和能力级别无论在评估一个组织过程能力还是改进组织过程能力时都是重要的。当评估一个组织能力时，如果这个组织只执行了一个特定级别的一个特定过程的部分公共特性时，则这个组织对这个过程而言:处于这个级别的最底层。例如，在 2 级能力上，如果缺乏跟踪执行公共特性的经验和能力，那么跟踪项目的执行将会很困难。如果高级别的公共特性在一个组织中实施，但其低级别的公共特性未能实施，则这个组织不能获得该级别的所有能力带来的好处。评估组织在评估一个组织个别过程能力时，应对这种情况加以考虑。

当一个组织希望改进某个特定过程能力时，能力级别的实施活动可为实施改进的组织提供一个“能力改进路线图”。基于这一理由，ISSE-CMM 的实施按公共特性进行组织，并按级别进行排序。对每一个过程域能力级别的确定，均需执行一次评估过程。这意味着不同的过程域能够或可能存在不同的能力级别上。组织可利用这个面向过程的信息，作为侧重于这些过程改进的手段。组织改进过程活动的顺序和优先级应在业务目标里加以考虑。业务目标是如何使用ISSE-CMM 模型的主要驱动力。但是，对典型的改进活动，也存在着基本活动次序和基本的原则。这个活动次序在ISSE-CMM 结构中通过公共特性和能力级别加以定义。能力级别代表工程组织的成熟度级别，如图 5-17 所示。