任 雁

（陜西職業(yè)技術(shù)學(xué)院,710000）

0 引言

隨著各種信息安全技術(shù)突飛猛進(jìn)的發(fā)展，現(xiàn)階段的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境日益開(kāi)放，網(wǎng)絡(luò)信息的安全問(wèn)題層出不窮，網(wǎng)絡(luò)信息的安全管理與控制面臨著嚴(yán)峻的挑戰(zhàn)，對(duì)我國(guó)信息化的進(jìn)一步發(fā)展造成了嚴(yán)重的阻礙。在信息系統(tǒng)安全工程管理當(dāng)中，如何確保信息系統(tǒng)的安全，保證信息的保密性和完整性，是我國(guó)在發(fā)展信息化社會(huì)過(guò)程中亟待解決的一個(gè)重要課題。

1 信息系統(tǒng)安全現(xiàn)狀及問(wèn)題

第一，從認(rèn)識(shí)上來(lái)看，我國(guó)對(duì)于信息系統(tǒng)的安全性不夠重視，在進(jìn)行信息系統(tǒng)的建設(shè)前沒(méi)有進(jìn)行信息安全的評(píng)估。

第二，從市場(chǎng)的角度上看，目前我國(guó)市場(chǎng)上具有多種多樣的信息系統(tǒng)安全產(chǎn)品，這些信息系統(tǒng)安全產(chǎn)品之間的功能和質(zhì)量都具有較大的差異，許多產(chǎn)品供應(yīng)商在用戶對(duì)系統(tǒng)的安全產(chǎn)品不夠了解的情況下進(jìn)行產(chǎn)品的推銷(xiāo)，從而為用戶的信息安全埋下了隱患。

第三，從方法上看，到目前為止，我國(guó)對(duì)信息系統(tǒng)的安全進(jìn)行檢測(cè)和評(píng)估主要集中在信息系統(tǒng)建設(shè)以后，導(dǎo)致即便發(fā)現(xiàn)信息系統(tǒng)存在安全問(wèn)題也無(wú)法改進(jìn)和彌補(bǔ)。

第四，從技術(shù)上看，我國(guó)對(duì)信息系統(tǒng)安全的研究尚處于起步階段，在信息安全問(wèn)題的防范方面缺乏有效的技術(shù)防范措施。這幾個(gè)方面的問(wèn)題使得我國(guó)信息系統(tǒng)的安全問(wèn)題面臨著嚴(yán)峻的挑戰(zhàn)。

2 信息安全技術(shù)研究的重要性

隨著我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)用戶的急劇增長(zhǎng)，我國(guó)信息系統(tǒng)的安全面臨著嚴(yán)峻的考驗(yàn)，近幾年來(lái)，不僅在我國(guó)，全球的信息系統(tǒng)安全問(wèn)題層出不窮。而信息系統(tǒng)的安全問(wèn)題不僅僅是個(gè)人和企業(yè)的問(wèn)題，它還涉及到國(guó)家的安全、社會(huì)的公共安全等。因此，不斷加強(qiáng)信息安全技術(shù)的研究，提高我國(guó)信息系統(tǒng)的安全性和可靠性，十分迫切。

針對(duì)嚴(yán)峻的信息系統(tǒng)安全現(xiàn)狀，目前普遍采用的方式主要有物理隔離、防火墻的建設(shè)、訪問(wèn)者身份認(rèn)證、加密等，但是僅從這些方面去考慮還遠(yuǎn)遠(yuǎn)無(wú)法保證信息系統(tǒng)的安全。不斷加強(qiáng)信息系統(tǒng)安全建設(shè)方面的技術(shù)，不斷提高信息安全風(fēng)險(xiǎn)的檢測(cè)和評(píng)估是提高信息系統(tǒng)安全的重要手段。

3 SSE-CMM模型

3.1 SSE-CMM模型的概述

SSE-CMM（Systems Security Engineering Capability Maturity Model）模型的中文全稱是信息安全工程能力成熟度模型，該模型的主要任務(wù)就是評(píng)測(cè)和改進(jìn)整個(gè)信息安全系統(tǒng)整個(gè)生命周期當(dāng)中的安全工程活動(dòng)，到目前為止，這個(gè)模型是信息系統(tǒng)安全工程領(lǐng)域當(dāng)中可靠性較高的針對(duì)性模型。

3.2 基于過(guò)程的SSE-CMM模型

基于過(guò)程的SSE-CMM模型是從成熟框架CMM模型發(fā)展而來(lái)的，SSE-CMM模型把信息系統(tǒng)中的安全工程劃分成三種不同的過(guò)程，分別是風(fēng)險(xiǎn)過(guò)程、工程過(guò)程、信任度過(guò)程，SSE-CMM模型對(duì)這三個(gè)過(guò)程中的關(guān)鍵過(guò)程域以及其安全能力成熟度的等級(jí)進(jìn)行了定義。SSE-CMM模型的過(guò)程域框架如圖1所示。

圖1 SSE-CMM模型的過(guò)程域框架

在這個(gè)模型中，圖b的橫軸指的是這個(gè)信息系統(tǒng)安全工程的過(guò)程域，縱軸是11個(gè)過(guò)程域的5個(gè)能力成熟度等級(jí)。根據(jù)這個(gè)模型的框架對(duì)整個(gè)信息系統(tǒng)安全工程中的風(fēng)險(xiǎn)過(guò)程、工程過(guò)程、信任度過(guò)程都評(píng)定能力成熟度等級(jí)，此時(shí)得到的二維圖便能夠把信息系統(tǒng)工程隊(duì)伍實(shí)施信息系統(tǒng)安全工程的能力成熟度形象的反映出來(lái)，也能間接的將信息系統(tǒng)安全工程的可信度反映出來(lái)。采用SSE-CMM模型對(duì)信息系統(tǒng)安全工程進(jìn)行風(fēng)險(xiǎn)的評(píng)估，該模型所認(rèn)定的安全風(fēng)險(xiǎn)事件包括了3個(gè)組成部分，分別是安全威脅、系統(tǒng)的脆弱性、風(fēng)險(xiǎn)事件所造成的影響，在SSE-CMM模型中，只有具備這三個(gè)要素才能稱之為信息系統(tǒng)工程安全風(fēng)險(xiǎn)。SSE-CMM模型中的安全機(jī)制就是把信息系統(tǒng)中的工程安全風(fēng)險(xiǎn)控制在系統(tǒng)能夠接受的范圍之內(nèi)。SSE-CMM模型所定義的風(fēng)險(xiǎn)過(guò)程包括了評(píng)估威脅過(guò)程、評(píng)估系統(tǒng)脆弱性過(guò)程、評(píng)估風(fēng)險(xiǎn)事件的影響過(guò)程、評(píng)估系統(tǒng)安全風(fēng)險(xiǎn)過(guò)程。

4 SSE-CMM模型的構(gòu)建和應(yīng)用

4.1 SSE-CMM模型的構(gòu)建

根據(jù)上述SSE-CMM模型的作用過(guò)程在信息系統(tǒng)安全工程中構(gòu)建SSE-CMM模型的具體步驟如下所示。

第一步，對(duì)信息系統(tǒng)的安全工程風(fēng)險(xiǎn)進(jìn)行分析，進(jìn)行工程的風(fēng)險(xiǎn)分析時(shí)，要從現(xiàn)行的信息系統(tǒng)工程的風(fēng)險(xiǎn)入手，然后采取科學(xué)、先進(jìn)的風(fēng)險(xiǎn)分析方法進(jìn)行風(fēng)險(xiǎn)的分析。

第二步，要確定目標(biāo)，及要明確信息系統(tǒng)安全工程所提出的系統(tǒng)安全要求，這個(gè)安全要求是信息系統(tǒng)建設(shè)過(guò)程中、設(shè)計(jì)、建設(shè)、使用以及安全風(fēng)險(xiǎn)評(píng)估和監(jiān)管的主要依據(jù)。

第三步，對(duì)信息系統(tǒng)的二維視圖進(jìn)行描述，即需要明確的、簡(jiǎn)潔的對(duì)信息系統(tǒng)中的安全系統(tǒng)進(jìn)行描述，談后根據(jù)描述給出信息安全系統(tǒng)的拓?fù)鋱D和邊界的劃分，邊界的劃分包括了系統(tǒng)的典型構(gòu)造、系統(tǒng)的應(yīng)用劃分等，并對(duì)系統(tǒng)內(nèi)的數(shù)據(jù)和需要保護(hù)的財(cái)產(chǎn)、系統(tǒng)的環(huán)境等進(jìn)行描述。

第四步，建立信息安全系統(tǒng)的基線。

第五步，制定相關(guān)的信息安全系統(tǒng)構(gòu)建策略，這些策略包括系統(tǒng)的物理安全策略、網(wǎng)絡(luò)完全策略、系統(tǒng)應(yīng)用安全策略等。

第六步，對(duì)信息系統(tǒng)的安全工程建設(shè)進(jìn)行整體的設(shè)計(jì)，其中設(shè)計(jì)是必須保證信息系統(tǒng)安全系統(tǒng)的整體框架是全方位和綜合性的，并增強(qiáng)每個(gè)層次和劃分區(qū)域的安全防御能力，從而實(shí)現(xiàn)一體化的信息安全系統(tǒng)。

4.2 SSE-CMM模型的應(yīng)用原則

第一，安全需求的基線。包括了用戶的安全需求、對(duì)系統(tǒng)安全具有影響的法律法規(guī)和政策等，保證系統(tǒng)的安全需求與法律和政策中的保持一致，并且保證用戶的需求與系統(tǒng)的安全需求保持一致。

第二，安全輸入的基線。

第三，協(xié)同安全的基線。

第四，安全管理的基線。在安全管理基線方面包括以下幾點(diǎn)：一、要將信息系統(tǒng)的安全控制責(zé)任以文檔化的形式傳達(dá)給每位相關(guān)者；二、對(duì)于信息系統(tǒng)的安全控制有關(guān)的軟件配置進(jìn)行定義和管理；三、對(duì)用戶和管理人員進(jìn)行安全控制和管理的培訓(xùn)和宣教。

第五，安全保證參數(shù)的基線。包括確定安全保證的目標(biāo)、制定相關(guān)的保證策略、對(duì)安全保證證據(jù)金屬分析等。

5 結(jié)語(yǔ)

總之，針對(duì)我國(guó)現(xiàn)階段所面臨的信息系統(tǒng)安全工程問(wèn)題，不僅要加強(qiáng)信息系統(tǒng)安全工程的管理，在技術(shù)方面也要進(jìn)行深入的研究，我國(guó)現(xiàn)階段的信息系統(tǒng)安全技術(shù)尚處于初級(jí)起步的階段，要保證我國(guó)信息系統(tǒng)的安全，不斷推進(jìn)我國(guó)的信息化進(jìn)程，需要對(duì)以SSE-CMM模型為代表的安全技術(shù)進(jìn)行進(jìn)一步的研究和開(kāi)發(fā)。

[1]張菊玲.基于SSE-CMM的定量信息安全風(fēng)險(xiǎn)評(píng)估模型研究[D].新疆大學(xué).2010.12.89-92

[2]李志民；叢琳；鄭穎；潘明惠；偏瑞琪.基于SSE-CMM的電力信息安全工程評(píng)估[J].電力系統(tǒng)自動(dòng)化.2012.23.214-215.