系统安全工程能力成熟模型评估方法

２００２年５月　第２３卷第５期　通信学报　Ｓ　Ⅷ２３Ｎ０　５　ＪＯＵＲＮＡＬＯＦＣＨＩＮＡＩＮＳＴＩＴＵＴＥＯＦ　Ｍａｙ　２００２　；特约专稿ｉ　＇…～……　系统安全工程ｈ月－，．Ｉ匕：５力成熟模型评估方法　蒋耀平，崔宝灵　王衍华，张建蒙　｛晴尔滨Ｊ＝业大学管理学脘　黑龙汀峙尔滨１５０００１）　摘　要：系统安全工程能力成熟模型评估方法（ＳＳＡＭｊ是利用系统安全工程能力成熟模型　（ＳＳＥ—ＣＭＭ）评价组织的过程能力或，Ｐ、Ｉ　的系统安全工程功能的方法　本文结合ＳＳＡＭ的结构　介绍了使用ＳＳＡＭ的基本过程和思想。　关键词：安全工程：能力成熟模型　评估　中图分类号：Ｘ９１３　４　文献标识码：Ａ　文章编号：１０００－－４３６Ｘ（２００２）０５－００２７—０５　Ａｎ　ｉｎｔｒｏｄｕｃｔｉｏｎ　ｏｆ　ｓｙｓｔｅｍｓ　ｓｅｃｕｒｉｔｙ　ｅｎｇｍｅｅｒ￣ｇ　ｃａｐａｂｉｌｉｔｙ　ｍａｔｕｒｉｔｙ　ｍｏｄｅｌ　ａｐｐｒａｉｓａｌ　ｍｅｔｈｏｄ　Ｙ￣ＡＮＧ　０一ｐｉｎｇ，ＣＵＩ　Ｂａｏ—ｌｉｎｇ，ＷＡＮＧ　Ｙａｈ—ｈｕａ．ＺＨＡＮＧ　Ｊｉａｎ—ｒｏｎｇ　，‘Ｓｃｈ￣ｌ　ｏｆＭａｎａｇｅｎ￣ｎｔ，Ｈａｔ＇ｂｉｎＩｎｓｔｉｔｕｔｅ　ｏｆＴｅｃｈｎｏｌｏｇｙ．Ｈａｒｂｉｎ｝５０００ｌＣｈｉｎａ）　Ａｂｓｔｒａｃｔ：Ｓｙｓｔｅｍｓ　ｓｅｃｕｒｉｔｙ　ｅｎｇｉｎｅｅＯａｔｇ　ｃａｐａｂｉｌｉｔｙ　ｍａｔｕｒｉｔｙ　ｍｏｄｅｌ　ａｐｐｒａｉｓａｌ　ｍｅｔｈｏｄ（ＳＳＡＭ）ｉｓ　ａｎ　ａｐｐｒｏａｃｈ　ｔｏ　ａｐｐｒａｉｓａｌ　ａｌｌ　ｏｒｇａｎｉｚａｔｉｏｎ　ｓ　ｐｒｏｃｅｓｓ　ａｂｉｉｔｌｙ　ｏｒ　ｉｔｓ　ｓｅｃｕｒｉｔｙ　ｅｎｇｉｎｅｅｒｉｎｇ　ｐｒｏｃｅｓｓｅｓ　ｂｙ　ｔｈｅ　ｕｇｅ　ｏｆｔｈｅ　ｓｙｓｔｅｍｓ　ｓｅｃｕｒｉｔｙ　ｅｎｇｉｎｅｅｒｉｎｇ　ｃａｐａｂｉｌｉｔｙ　ｒｎａｔｕｒｉｂ，ｍｏｄｅＩ（ＳＳＥ￣ＣＭＭ）Ｔｈｉｓ　ｐａｐｅｒ　ｇｉｖｅｓ　ａｌｌ　ｉｎｔｒｏｄｕｃｔｉｏｎ　ａｂｏｕｔ　ｔｈｅ　ｂａｓｉｃ　ｐｒｏｃｅｓｓ　ａｎｄｉｄｅａｓｏｆｔｈｅ　ｕｓｉｎｇｏｆｔｈｅ　ＳＳＡＭｆｒｏｍｔｈｅ　ｐｏｉｎｔｏｆｍｏｄｅｌ　ｓｔｒｕｃｔｕｒｅ　Ｋｅｙ　ｗｏｒｄｓ：ｓｅｃｕｒｉｔｙ　ｅｎｇｉｎｅｅｒｉｎｇ；ｃａｐａｂｉｌｉｔｙ　ｍａｔｕｒｉｔｙ　ｍｏｄｅｌ；ａｐｐｒａｉｓｅ　引言　系统安全丁程能力成熟模型评估方法ＳＳＡＭ（ｓｙｓｔｅｍ　ｓｅｃｕｒｉｔｙ　ｅｎｇｉｎｅｅｒｉｎｇ　ｃａｐａｂｉｌｉｔｙ　ｍａｔｕｒｉｔｙ　ｍｏｄｅｌ　ａｐｐｒａｉｓａｌ　ｍｅｔｈｏｄ）是为了在相关的企业中应用系统安全工程能力成熟模型　ＳＳＥ－ＣＭＭ（ｓｙｓｔｅｍ　ｓｅｃｕｒｉｔｙ　ｅｎｇｉｎｅｅｒｉｎｇ　ｃａｐａｂｉｌｉｔｙ　ｍａｔｕｒｉｔｙ　ｍｏｄｅ１）进行评估而开发的，评估的　目的是获得组织或项目内与安全工程相关的实际活动的基准。　收稿日期：２００２　叭一１０；修订日期：２００２—０３—２８　作者简介：蒋耀平（１９５２一），男，江苏常州人，国家计算机网络与信息安全管理中心主任，高级工程师，哈　尔滨工业大学博士生，主要研究方向为信息管理系统、网络与信息安全管理。　维普资讯 http://www.cqvip.com

通信学报　２００２年　ＳＳＡＭ包含评估一个组织的系统安全工程过程能力和成熟度所必需的信息及指南，是组　织级或项目级的评估方法。它使用多重数据采集方法获得被评估组织或项目内所实施过程的　相关信息。采集的数据包括：与模型内容直接相关的问卷调查、与过程实施中的主要人员进　行的会谈、进行安全工程证据（ｅｖｉｄｅｎｃｅ）的复核等。　一般而言，实现ＳＳＡＭ评估的参与者包括评估发起组织、评估组织及被评估组织　评估　发起组织是评估过程的发起者，其任务包括定义评估的范围和目标，选择可适用的项目（从　被评估组织中）．裁剪ＳＳＥ．ＣＭＭ，为评估组织提供资金等：评估组织则是执行具体评估任务　的人员：被评估组织可以是整个企业，也可以是企业内的一个或几个部门。　对自评估而言，评估参与者很可能是企业内的员工（他们要分别充当三种不同的角色），　也可以雇佣企业之外的专家做为合作者协助完成评估工作。　总体来讲，使用ＳＳＡＭ进行评估包括计划、准备、现场和报告等４个阶段　２计划阶段　该阶段的目标是建立评估工作的框架，为现场阶段做准备。具体包括以下３个环节：　（１）范围评估（ｓｃｏｐｅ　ａｐｐｒａｉｓａ１）　范围评估包括根据发起人要求定义模型的应用范围、设定摄终期限、建立报告程序、协　助决定相应的项目以及获取其他信息等。具体内容为：决定评估目标，包括确认缺陷、分级、　增强组织能力等：由发起人选择评估小组；定义被评估组织的因素，包括决定将要被评估的　组织或部门、可接受的项目列表、将要会见的人数及人员、报告程序：定义模型及评估方法　的使用ｓｓＡＭ定义了能力水平的标准，但是评估发起人可能希望重新定义这些标准。　（２）收集初步证据　收集初步证据包括决定需要收集什么证据，包括对每个项目的问卷调查以及支持问卷调　查响应的证据　具体内容为：定义证据需求，即由评估组织的协助人员协助评估发起人决定　需要收集什么证据：收集证据——被评估组织的协助人员要确保发起人得到所需要的证据。　（３）计划评估　计划评估包括制定评估计划，建立计划会见人员的可行性，计划评估的逻辑需求，建立　评估小组，与各部门验证计划。具体内容为：由评估组织的协助人员选择评估小组的成员：　定义报告程序——发起人指定评估结果如何报告以及报告给什么人：制定计划——评估组织　协助人和被评估组织协助人协助发起人指定评估的时间框架；定义后勤——被评估组织的协　助人员为评估工作安排后勤；形成评估计划的文档　３准备阶段　该阶段的目标是为现场阶段准备一个评估小组，并通过问卷调查初步收集、分析数据。　具体包括以下４个环节　（１）为评估小组做准备　该环节中，评估组织的协助人员与评估小组一起回顾ＳＳＥ—ＣＭＭ及ＳＳＡＭ、评估计划、　被评估组织的信息及其他细节，同时确定每个小组成员的责任。　（２）管理问卷调查　该环节通过管理对项目领导的问卷调查以及根据答卷收集的资料和所引用的证据，获得　被评估实体的信息。　维普资讯 http://www.cqvip.com

第５期　蒋耀平等：系统安全工程能力成热模型评估方法　（３）充实证据　充实证据是通过编辑问卷调查的资料和收集支持性的证据实现的。内容包括：把问卷调　查的答卷输入给资料跟踪系统（软件系统），以协助评估小组对资料的分析：用资料跟踪系统　收集并跟踪证据。　（４）分析证据／问卷调查　该环节通过分析问卷调查的结果和被评估组织提供的支持性的证据，提出一系列与项日　领导会见时用到的试探性问题。具体包括：分析资料跟踪系统，以发现问卷响应中的矛盾、　缺陷；复核证据——　殳票人员复核答卷中用到的证据并判定其是否支持组织过程，如果证据　没有提供给评估小组　证据保管员向被评估组织的协助人员提出要求；产生试探性问题。　４现场阶段　该阶段产生数据初步分析的结果。同时，为被评估组织中的成员提供参与数据收集和过　程验证的机会。具体包括以下环节：　（１）召开经理会议　该环节集中所有管理人员回顾评估过程，重申评估工作的责任，并针对先期的评估工作　进行讨论，解答管理人员关心的问题　（２）召开公开会议　该环节集中所有评估成员回顾评估过程，重申评估工作的责任，并针对先期的评估工作　进行讨论，解答评估成员关心的问题。　（３）会见项目领导　该环节通过评估小组希望澄清的试探性问题，为项目领导提供机会阐明他们对问卷调查　的响应。具体包括：通过会见　评估组织的协助人员提问从问卷调查的答卷分析中得到的问　题，并进一步提问评估小组的投票成员提问还需要澄清的其它问题；过程检查，确保会见得　到需要的信息，为下次会见作适当的调整　（４）充实并解释从项目领导处得到的资料　更新资料跟踪系统以反映出与项目领导的会见中得到的信息，并解释信息以产生与项目　成员会见时的问题。具体包括：复核记录——每个小组成员复核与项目领导会见时的记录；　更新资料跟踪系统——评估小组集体讨论所有项目领导关于一个问题的回答，根据投票人员　的决定更新资料跟踪系统；解释资料——评估小组复核所有资料，讨论会见项目成员时需要　调查的范围；更新会见问题——投票人员根据资料的解释得出会见项目成员所需的问题。　（５）会见项目成员　会议协助人员介绍评估小组工作情况，解释会议日标，向项目成员提问试探性问题，并　同记录员与评估小组的其他成员一起跟踪记录。具体步骤为：会见——评估组织的协助人员　提问，并根据项目领导回答分析问题；进一步提问——评估小组的投票成员提问还需要澄清　的其他问题；过程检查——确保会见得到需要的信息，为下次会见作适当的调整　（６）充实从项目成员处得到的资料　包括更新资料跟踪系统，以反映与项目成员的会见中收集到的信息。利用这些信息，投　票成员加强对交流过程中获得的信息的理解，最后小组成员适当调整计划以及其他资料的收　集过程。具体步骤为：复核记录——每个小组成员复核与项目成员会见时的记录：更新资料　跟踪系统——评估小组集体讨论所有项目成员关于一个问题的回答，根据投票人员的决定更　维普资讯 http://www.cqvip.com

通信学报　２００２芷　新资料跟踪系统　准备——评估小组讨论下一步的工作，并根据以前的工作调整工作计划。　（７）分析资料跟踪系统　该环节根据当前的资料跟踪信息分析被评估组织提供的证据。具体步骤为：复核记录　每个成员单独复核自　从所有的活动中得到的记录：讨论小组成员提出在复核记录阶段　（８）得出初步结论　在该环节，投票成员系统地分析所有资料，产生一个与调查的过程域和能力水平有关的　遇到的问题；更新资料跟踪系统——在投票成员一致同意的基础　，更新资料跟踪系统。　初步结论表。具体步骤为：提出备选结论——投票人员根据过程域和共同特征得出初步被选　结沧：复核各选结论一一比较结论，删除冗余无用的部分，形成共同的思路，所有投票人员　对将要在最终报告－　涉及到的结论达成一致：记录初步结论；提出更多问题——得出结论的　过程可能暗示有些问题需要进步通过与项目领导和项目成员的会见来澄清，评估小组应该　根据充实证据过程提出更多必要的问题。　（９）进步提问和会见　该环境土要通过项目领导和项目成员，收集澄清的证据，解决影响分级的初步结论中存　在的问题。具体步骤为：会见——评估组织的协助人员提问，并根据项目领导的回答分析产　生的问题：进步提问——需进　步澄清的其它问题；过程检查——确保会见得到需要的信　息，为下次会见作适当的调整。　（１ｏ）分级　该环节的目标是吸收初步结论的复核期间资料跟踪系统中的记录及进一步会见期间收　集到的其他信息　把资料跟踪系统转换为显示每个过程域达到的能力水平的文档。具体步骤　为：复核记录——每个小组成员复核与项目领导和成员会见时的记录：更新资料跟踪系统　评估小组集体讨论对进一步提问问题的回答，根据投票人员的决定更新资料跟踪系统；　（１１）得出最终结　仑　分级～—投票成员存达成一致的基础　对每个过程域的能力水平分级。　该环节注　整理过程域和分级文档，提供对评估活动观察的结果，最终结论是对初步结　论的提炼。具体步骤为：复核资料——评估小组复核初步结论、资料跟踪系统及从进一步提　问中发现的新资料：将结论划分优先级——根据发起人确定的关系以及投票人员对被评估组　织的优点和缺点所达成的共识，将结论划分优先级：审批结论——每个结论都被提交给投票　人员作最后编辑和审批，投票人员必须毫无异议地对每个结论达成一致意见；总结陈述——　为向发起人陈述而总结结论　（１２）管理评估记录　该环节主要处珲与评估相关的记录，即在把收集到的证据和现场阶段产生的文档送交发　起人之前，销毁所产牛的中间文档和输入数据。　（１３）综合报道　综台报道的目标是给被评估组织提供评估简报。评估简报包括评估小组、发起人、被评　估组织对评估结果、过程及Ｆ一步工作的公开讨论。发起人指导评估小组给被评估组织的协　助人员提供评估细节，分级和结论可以不经过讨论直接提供给被评估组织的协助人员。　５报告阶段　该阶段是评估过程的结论阶段，评估小组对前三个阶段收集的资料进行最后的分析，并　维普资讯 http://www.cqvip.com

第５期　蒋耀平等：系统安全工程能力成熟模型评估方法　将结论提交给发起人。具体包括以下４个环节：　（１）得出最终报告　该环节综合现场阶段得到的最终结论形成最终报告。具体步骤为：复核资料——评估小　组复核结论、资料跟踪系统及从进一步提问和会见中发现的新资料；撰写报告——提炼最终　结论，包括发起人特别关　１３，的信息和复核阶段产生的其他信息；准备简报——为发起人准各　最终简报　（２）向发起人报告评估成果　该环节首先在发起人的指导下提出结果以便形成简报。　（３）管理评估产品　该环节确定销毁或保存哪些文档——包括现场阶段后评估小组仍有的评估文档、资料跟　踪系统中的信息、分级、结论及其他文档等　（４）报告课程学习　该环节主要是综合评估工作中的注意事项及改进建议，总结评估经验，并形成相应的文　档，以利于指导未来的评估工作。　６结束语　本文介绍了系统安全工程能力成熟模型评估方法的基本思想。不难看出，该方法不仅可　用于资源选择，而　可以作为信息产业中比较竞标者能力的基础。任何组织，如果希望评价　其系统安全工程活动的能力，都应该考虑使用ＳＳＡＭ。ＳＳＡＭ可以用来评估产品开发商、服　务提供商、系统集成商、系统管理者、安全专家的过程能力，并根据ＳＳＥ—ＣＭＭ的标准，获　得实际实施的基准。另外，ＳＳＡＭ不仅可以用来支持第三方评估的需求，也可以用于自我评　估。可喜的是，我国学术界、相关的产业界及有关部门等已经开始重视、吸收ＳＳＥ－ＣＭＭ以　及相关的方法，丰Ｈ信在不远的将来这些方法也会在我国得到充分的应用。　参考文献　ｌｌｌ　Ｓｙｓｌｅｍｓ　ｓｅｃｕｒｉｔｙ　ｅｎｇｉｎ￣ｒｉｎｇ　ｃａｐａｂｉｌｉｔ３，ｍａｔｕｒｉｔｙ　ｍｏｄｅ］，ｍｏｄｅｌ　ｄｅ￣ｆｉｐｏｏｎ　ｄｏｃｕｍｅｎｔ．Ｖｅｒｓｉｏｎ　２　０ｂ［ＥＢ？ＯＬ］ｈｔｔｐ：Ｂｗｗｗ．…ｃｍｎｌ　ｏｒｇ／，Ｉ９９９　１０　Ⅲ２　Ｓｙｓｔｅｍｓ￣ｃｕｒｉｔｙ　ｅｎｇｉｎｅｅｒｉｎｇ　ｃａｐａｂｉｌｉｔｙｍａｔｕｒｉｔｙｍｏｄｅｌ　ａｐｐｒａｉｓａｌｍｅｔｈｏｄ，ｖｅｒｓｉｏｎ　２　０［ＥＢ／ＯＬＩ　ｈｔｔｐ：／／ｗｗｗ　ｓｓｅ－ｃｍｍｏ　．１９９９－１０　ｆ３Ｊ　ＫＵＨＮ，ＤＯＲＯＴＨＹ　Ａ，ＷＥＬＬＳ，　㈣ｅｄｕ，２００１　０４　Ａ　ｓｙｓｌｅｎ￣ｅｎｇｉｎｅｅｎｎｇ　ｃａｐａｂｉｌｉｔｙ　ｍａｔｕｄｔｙ　ｍｏｄｅｌ　Ｖｅｒｓｉｏｎ　ｌｌｌｌＥＢ／ＯＬ］ｈｔｔｐ：／／ｗｗｗ　ｓｅｉ　［４】ＭＡＳＴＥＲＳ　Ｓ　ＣＭＭ　ａｐｐｒａｉｓａｌ　ｆｒａｍｅｗｏｒｋ．Ｖｅｔ．ｉｏｎ【０［ＥＢ／ＯＬＩ　ｈｔｔｐ：／／ｗ￣ｗ　ｓｅｌ　ｃ｜Ｔ１ｕ　ｅｄｕ．２００１　０４