基于SSE-CMM模型的信息系统安全工程管理

2014-11-15 02:08
电子测试 2014年4期
关键词:安全工程基线信息系统

任 雁

(陕西职业技术学院,710000)

0 引言

随着各种信息安全技术突飞猛进的发展,现阶段的计算机网络环境日益开放,网络信息的安全问题层出不穷,网络信息的安全管理与控制面临着严峻的挑战,对我国信息化的进一步发展造成了严重的阻碍。在信息系统安全工程管理当中,如何确保信息系统的安全,保证信息的保密性和完整性,是我国在发展信息化社会过程中亟待解决的一个重要课题。

1 信息系统安全现状及问题

第一,从认识上来看,我国对于信息系统的安全性不够重视,在进行信息系统的建设前没有进行信息安全的评估。

第二,从市场的角度上看,目前我国市场上具有多种多样的信息系统安全产品,这些信息系统安全产品之间的功能和质量都具有较大的差异,许多产品供应商在用户对系统的安全产品不够了解的情况下进行产品的推销,从而为用户的信息安全埋下了隐患。

第三,从方法上看,到目前为止,我国对信息系统的安全进行检测和评估主要集中在信息系统建设以后,导致即便发现信息系统存在安全问题也无法改进和弥补。

第四,从技术上看,我国对信息系统安全的研究尚处于起步阶段,在信息安全问题的防范方面缺乏有效的技术防范措施。这几个方面的问题使得我国信息系统的安全问题面临着严峻的挑战。

2 信息安全技术研究的重要性

随着我国计算机网络用户的急剧增长,我国信息系统的安全面临着严峻的考验,近几年来,不仅在我国,全球的信息系统安全问题层出不穷。而信息系统的安全问题不仅仅是个人和企业的问题,它还涉及到国家的安全、社会的公共安全等。因此,不断加强信息安全技术的研究,提高我国信息系统的安全性和可靠性,十分迫切。

针对严峻的信息系统安全现状,目前普遍采用的方式主要有物理隔离、防火墙的建设、访问者身份认证、加密等,但是仅从这些方面去考虑还远远无法保证信息系统的安全。不断加强信息系统安全建设方面的技术,不断提高信息安全风险的检测和评估是提高信息系统安全的重要手段。

3 SSE-CMM模型

3.1 SSE-CMM模型的概述

SSE-CMM(Systems Security Engineering Capability Maturity Model)模型的中文全称是信息安全工程能力成熟度模型,该模型的主要任务就是评测和改进整个信息安全系统整个生命周期当中的安全工程活动,到目前为止,这个模型是信息系统安全工程领域当中可靠性较高的针对性模型。

3.2 基于过程的SSE-CMM模型

基于过程的SSE-CMM模型是从成熟框架CMM模型发展而来的,SSE-CMM模型把信息系统中的安全工程划分成三种不同的过程,分别是风险过程、工程过程、信任度过程,SSE-CMM模型对这三个过程中的关键过程域以及其安全能力成熟度的等级进行了定义。SSE-CMM模型的过程域框架如图1所示。

图1 SSE-CMM模型的过程域框架

在这个模型中,图b的横轴指的是这个信息系统安全工程的过程域,纵轴是11个过程域的5个能力成熟度等级。根据这个模型的框架对整个信息系统安全工程中的风险过程、工程过程、信任度过程都评定能力成熟度等级,此时得到的二维图便能够把信息系统工程队伍实施信息系统安全工程的能力成熟度形象的反映出来,也能间接的将信息系统安全工程的可信度反映出来。采用SSE-CMM模型对信息系统安全工程进行风险的评估,该模型所认定的安全风险事件包括了3个组成部分,分别是安全威胁、系统的脆弱性、风险事件所造成的影响,在SSE-CMM模型中,只有具备这三个要素才能称之为信息系统工程安全风险。SSE-CMM模型中的安全机制就是把信息系统中的工程安全风险控制在系统能够接受的范围之内。SSE-CMM模型所定义的风险过程包括了评估威胁过程、评估系统脆弱性过程、评估风险事件的影响过程、评估系统安全风险过程。

4 SSE-CMM模型的构建和应用

4.1 SSE-CMM模型的构建

根据上述SSE-CMM模型的作用过程在信息系统安全工程中构建SSE-CMM模型的具体步骤如下所示。

第一步,对信息系统的安全工程风险进行分析,进行工程的风险分析时,要从现行的信息系统工程的风险入手,然后采取科学、先进的风险分析方法进行风险的分析。

第二步,要确定目标,及要明确信息系统安全工程所提出的系统安全要求,这个安全要求是信息系统建设过程中、设计、建设、使用以及安全风险评估和监管的主要依据。

第三步,对信息系统的二维视图进行描述,即需要明确的、简洁的对信息系统中的安全系统进行描述,谈后根据描述给出信息安全系统的拓扑图和边界的划分,边界的划分包括了系统的典型构造、系统的应用划分等,并对系统内的数据和需要保护的财产、系统的环境等进行描述。

第四步,建立信息安全系统的基线。

第五步,制定相关的信息安全系统构建策略,这些策略包括系统的物理安全策略、网络完全策略、系统应用安全策略等。

第六步,对信息系统的安全工程建设进行整体的设计,其中设计是必须保证信息系统安全系统的整体框架是全方位和综合性的,并增强每个层次和划分区域的安全防御能力,从而实现一体化的信息安全系统。

4.2 SSE-CMM模型的应用原则

第一,安全需求的基线。包括了用户的安全需求、对系统安全具有影响的法律法规和政策等,保证系统的安全需求与法律和政策中的保持一致,并且保证用户的需求与系统的安全需求保持一致。

第二,安全输入的基线。

第三,协同安全的基线。

第四,安全管理的基线。在安全管理基线方面包括以下几点:一、要将信息系统的安全控制责任以文档化的形式传达给每位相关者;二、对于信息系统的安全控制有关的软件配置进行定义和管理;三、对用户和管理人员进行安全控制和管理的培训和宣教。

第五,安全保证参数的基线。包括确定安全保证的目标、制定相关的保证策略、对安全保证证据金属分析等。

5 结语

总之,针对我国现阶段所面临的信息系统安全工程问题,不仅要加强信息系统安全工程的管理,在技术方面也要进行深入的研究,我国现阶段的信息系统安全技术尚处于初级起步的阶段,要保证我国信息系统的安全,不断推进我国的信息化进程,需要对以SSE-CMM模型为代表的安全技术进行进一步的研究和开发。

[1]张菊玲.基于SSE-CMM的定量信息安全风险评估模型研究[D].新疆大学.2010.12.89-92

[2]李志民;丛琳;郑颖;潘明惠;偏瑞琪.基于SSE-CMM的电力信息安全工程评估[J].电力系统自动化.2012.23.214-215.

猜你喜欢
安全工程基线信息系统
企业信息系统安全防护
航天技术与甚长基线阵的结合探索
一种SINS/超短基线组合定位系统安装误差标定算法
基于区块链的通航维护信息系统研究
信息系统审计中计算机审计的应用
通商达天下 侨心联四海 南通警侨联动打造“海外安全工程”新模式
一种改进的干涉仪测向基线设计方法
基于SG-I6000的信息系统运检自动化诊断实践
我国中小学校舍安全工程前期决策阶段的建设需求分析研究——基于满足率/缺口率分析方法
锡盟牧区饮水安全工程“十三五”提质增效探究