國(guó)家認(rèn)證認(rèn)可監(jiān)督委員會(huì)批準(zhǔn)認(rèn)證咨詢機(jī)構(gòu)
批準(zhǔn)號(hào):CNCA-Z-01Q-2006-038
聯(lián)系電話
全國(guó):010-56542716
天津:022-27810977
國(guó)家認(rèn)證認(rèn)可監(jiān)督委員會(huì)批準(zhǔn)認(rèn)證咨詢機(jī)構(gòu)
批準(zhǔn)號(hào):CNCA-Z-01Q-2006-038
全國(guó):010-56542716
天津:022-27810977
常見問題&知識(shí)園地
1996年,美國(guó)國(guó)家安全局公布了SSE-CMM的第一個(gè)版本,,1999年4月又公布了新的版本,,系統(tǒng)安全工程能力成熟度模型(System SecurityEngineering-Capability Maturity Model,SSE-CMM),。在SSE-CMM 系統(tǒng)安全工程能力成熟度模型框架中,,把安全工程應(yīng)用到信息系統(tǒng)的開發(fā)、集成,、操作,、管理、維護(hù)和進(jìn)化以及產(chǎn)品的開發(fā),、交付和進(jìn)化,,使安全工程在一個(gè)系統(tǒng)、 一個(gè)產(chǎn)品或一個(gè)服務(wù)中得到實(shí)現(xiàn),。
SSE-CMM將安全工程劃分為三個(gè)基本的過程域:風(fēng)險(xiǎn),,工程,保證,。
這三個(gè)過程域之間可獨(dú)立加以考慮,但它們之間也是相互作用,,共同達(dá)到安全目標(biāo),。而每一個(gè)過程域包括一 組集成的安全過程區(qū)(PA)。
(1)風(fēng)險(xiǎn)過程
SSE-CMM 通過風(fēng)險(xiǎn)過程域來獲取組織對(duì)安全風(fēng)險(xiǎn)的理解,。在風(fēng)險(xiǎn)過程域中,,把風(fēng)險(xiǎn)看作是有害事件發(fā)生的可能性。一個(gè)有害事件或一種具體安全風(fēng)險(xiǎn)的不確定因素由三個(gè)部分組成:威脅,、脆弱性和影響,,如下圖。也就是說風(fēng)險(xiǎn)過程域是由四個(gè)過程區(qū)威脅識(shí)別(PA04),、脆弱性評(píng)估(PA05),、影響評(píng)估(PA02)、評(píng)估安全風(fēng)險(xiǎn)(PA03)組成,。
SSE-CMM 風(fēng)險(xiǎn)過程關(guān)系
(1)風(fēng)險(xiǎn)過程關(guān)系
組織可以對(duì)單個(gè)的過程區(qū)或過程區(qū)的組合進(jìn)行評(píng)估,,但過程區(qū)之間存在著許多的相互關(guān)聯(lián)。威脅識(shí)別產(chǎn)生的 威脅信息,、脆弱性評(píng)估產(chǎn)生脆弱性信息和影響評(píng)估產(chǎn)生的影響信息綜合起來決定著安全風(fēng)險(xiǎn)評(píng)估的結(jié)果,。
評(píng)估威脅過程區(qū)的目的在于識(shí)別安全威脅及其性質(zhì)和特征。但評(píng)估威脅過程產(chǎn)生的威脅信息,,是與來自 PA05的脆弱性信息和來自PA02的影響信息一起使用,。因此威脅評(píng)估就是根據(jù)現(xiàn)有的脆弱性和影響進(jìn)行某些延伸。
評(píng)估脆弱性的目的在于識(shí)別和特征化系統(tǒng)的安全脆弱性,。脆弱性指的是可被開發(fā)利用的系統(tǒng)的一個(gè)方面,,與 任何特殊的威脅或攻擊形成并不相干,。
但脆弱性評(píng)估過程產(chǎn)生的脆弱性信息,是與來自PA04的威脅信息和來自PA02的影響信息一起使用,。因此脆弱性評(píng)估就是根據(jù)現(xiàn)有相應(yīng)威脅和影響情況進(jìn)行某些延伸,。
評(píng)估影響的目的在于識(shí)別危害系統(tǒng)以及喪失機(jī)密性、完整性,、可用性,、可記錄性、可鑒別性或可靠性的影響,,并對(duì)發(fā)生影響的可能性進(jìn)行評(píng)估,。影響可能是有形的,例如稅收或財(cái)產(chǎn)的丟失,,或可能是無形的,,例如聲譽(yù) 和信譽(yù)的損失。但影響評(píng)估過程產(chǎn)生的影響信息,,是與來自PA04的威脅信息和來自PA05的脆弱性信息一起使用,。因此影響評(píng)估就是根據(jù)現(xiàn)有相應(yīng)的脆弱性進(jìn)行一定的延伸。
評(píng)估安全風(fēng)險(xiǎn)的目的在于識(shí)別一給定環(huán)境中涉及到某一系統(tǒng)有依賴關(guān)系的風(fēng)險(xiǎn),,這些風(fēng)險(xiǎn)是基于對(duì)運(yùn)行能力 和可用資源在抗威脅方面和脆弱性程度的已有理解上的,。評(píng)估安全風(fēng)險(xiǎn)的風(fēng)險(xiǎn)信息,取決于PA04中的威脅信息,、PA05中的脆弱性信息和PA02中的影響信息,,確定威脅性、脆弱性和影響危害較大的風(fēng)險(xiǎn)組合,,從而采取合理的相應(yīng)安全措施,。
關(guān)注卓越空間
關(guān)注卓越微博
關(guān)注卓越微信