北京信息安全服務(wù)人員資質(zhì)培訓(xùn)材料之五信息安全工程（左曉棟）

信息平安工程

中國科學(xué)院研究生院信息平安國家重點實驗室左曉棟xd_dcs@sohu2003年9月1信息系統(tǒng)平安工程〔ISSE〕信息系統(tǒng)平安生命周期與平安效勞生命周期SSE-CMM對信息平安工程的其它討論2什么是信息平安工程信息平安在我國開展的短短幾年間，從早期的平安就是殺毒防毒，到后來的平安就是安裝防火墻，到現(xiàn)在的購置系列平安產(chǎn)品，直至開始重視平安體系的建設(shè)，人們對平安的理解正在一步一步地加深。但是應(yīng)該注意到，這些理解依然存在著“頭痛醫(yī)頭，腳痛醫(yī)腳〞的片面性，沒有將信息平安保障問題作為一個系統(tǒng)工程來考慮和對待。信息平安保障問題的解決既不能只依靠純粹的技術(shù)，也不能靠簡單的平安產(chǎn)品的堆砌，它要依賴于復(fù)雜的系統(tǒng)工程——信息平安工程。信息平安工程是采用工程的概念、原理、技術(shù)和方法，來研究、開發(fā)、實施與維護信息系統(tǒng)平安的過程，是將經(jīng)過時間考驗證明是正確的工程實施流程、管理技術(shù)和當(dāng)前能夠得到的最好的技術(shù)方法相結(jié)合的過程。3為何需要信息平安工程信息平安具有社會性信息平安具有全面性信息平安具有生命周期性信息平安具有動態(tài)性信息平安具有層次性信息平安具有相對性4通用系統(tǒng)工程〔SE〕過程5由SE到ISSE信息系統(tǒng)平安工程〔ISSE〕是美國軍方根據(jù)系統(tǒng)工程〔SE〕過程的原理，面向信息平安開發(fā)的方法學(xué)，其與SE之間是根本的映射關(guān)系。美國軍方在1994年2月發(fā)布了?信息系統(tǒng)平安工程v1.0?，并隨后發(fā)布了一系列相關(guān)軍標(biāo)和指令。6SE與ISSE過程的對應(yīng)7SE與ISSE過程的對應(yīng)8SE與ISSE過程的對應(yīng)9

DoD5000.2-R系統(tǒng)工程過程

10IEEEStd.1220-1998系統(tǒng)工程過程

11ISSE的三大原那么原那么1：始終將問題空間和解決方案空間相別離?！皢栴}〞是“我們期望系統(tǒng)做什么？〞，“解決方案〞是“系統(tǒng)怎樣實現(xiàn)我們的期望？〞當(dāng)我們關(guān)注解決方案時，很容易無視對問題的注意，這便會導(dǎo)致錯誤問題的解決和錯誤系統(tǒng)的建造。沒有比解決一個錯誤的問題并建造一個錯誤的系統(tǒng)更低效的了。12ISSE的三大原那么原那么2：問題空間要根據(jù)客戶的使命或業(yè)務(wù)需求來定義。用戶經(jīng)常同工程師討論技術(shù)或?qū)鉀Q方案的想法，而不是告訴工程師問題在哪。系統(tǒng)工程師和信息系統(tǒng)平安工程師必須把客戶的這些想法放到一邊，開掘出客戶的根本問題。如果客戶的需求不是基于其使命或業(yè)務(wù)需求而提出的，那么最終系統(tǒng)可能難以滿足客戶的需求。這樣會繼續(xù)導(dǎo)致錯誤系統(tǒng)的建造。13ISSE的三大原那么原那么3：解決方案空間要由問題空間相驅(qū)動，并由系統(tǒng)工程師和信息系統(tǒng)平安工程師來定義。是系統(tǒng)工程師精通系統(tǒng)的解決方案，而不是客戶。如果客戶是解決方案的設(shè)計專家，那就沒必要再去雇用系統(tǒng)工程師了。一個堅持介入設(shè)計工程的客戶很可能會對解決方案帶來限制，影響到系統(tǒng)工程師的靈活性，從而影響到系統(tǒng)的使命或業(yè)務(wù)支持目標(biāo)，影響到用戶需求的滿足。14ISSE活動1：開掘信息保護需求任務(wù)-01.1分析機構(gòu)的使命任務(wù)-01.2判斷信息對任務(wù)的關(guān)系和重要性任務(wù)-01.3確定法律和法規(guī)的要求任務(wù)-01.4確定威脅的類別任務(wù)-01.5判斷影響任務(wù)-01.6確定平安效勞任務(wù)-01.7記錄信息保護需求任務(wù)-01.8記錄平安管理的角色和責(zé)任任務(wù)-01.9標(biāo)識設(shè)計約束任務(wù)-01.10評估信息保護的有效性子任務(wù)-01.10.1向客戶提供/展示文檔化的信息保護需求子任務(wù)-01.10.1得到客戶對信息保護需求的認同任務(wù)-01.11支持系統(tǒng)的認證和認可〔C&A〕子任務(wù)-01.11.1標(biāo)識指派的批準(zhǔn)官員〔DAA〕/認可員子任務(wù)-01.11.2標(biāo)識認證專家〔CA〕/認證員子任務(wù)-01.11.3確定可適用的C&A和采辦過程子任務(wù)-01.11.4確保認可員和認證員對信息保護需求的認同15ISSE活動2：定義系統(tǒng)平安要求任務(wù)-02.1定義系統(tǒng)平安背景環(huán)境子任務(wù)-02.1.1定義系統(tǒng)邊界及與SE的接口子任務(wù)-02.1.2記錄目標(biāo)系統(tǒng)和外部系統(tǒng)的平安分配子任務(wù)-02.1.3標(biāo)識目標(biāo)系統(tǒng)與外部系統(tǒng)之間的數(shù)據(jù)流以及與這些數(shù)據(jù)流有關(guān)的保護要求任務(wù)-02.2定義平安運行概念〔CONOPS〕任務(wù)-02.3制定系統(tǒng)平安要求基線子任務(wù)-02.3.1定義系統(tǒng)平安要求子任務(wù)-02.3.2定義系統(tǒng)平安操作模式子任務(wù)-02.3.3定義系統(tǒng)平安性能測度任務(wù)-02.4審查設(shè)計約束任務(wù)-02.5評估信息保護的有效性子任務(wù)-02.5.1向客戶提供并展示平安背景環(huán)境、平安CONOPS及系統(tǒng)平安要求子任務(wù)-02.5.2得到客戶對系統(tǒng)平安背景環(huán)境、CONOPS及保護要求的認同任務(wù)-02.6支持系統(tǒng)的認證和認可〔C&A〕子任務(wù)-02.6.1確保認可員和認證員對系統(tǒng)平安背景環(huán)境、CONOPS及保護要求的認同16ISSE活動3：設(shè)計系統(tǒng)平安體系結(jié)構(gòu)任務(wù)-03.1實施功能分析和功能分配子任務(wù)-03.1.1分析待建系統(tǒng)的體系結(jié)構(gòu)子任務(wù)-03.1.2在體系結(jié)構(gòu)中分配平安效勞子任務(wù)-03.1.3選擇平安機制的類型子任務(wù)-03.1.4提交平安體系結(jié)構(gòu)設(shè)計，以供評估子任務(wù)-03.1.5修改平安體系結(jié)構(gòu)子任務(wù)-03.1.6選擇平安體系結(jié)構(gòu)任務(wù)-03.2評估信息保護的有效性子任務(wù)-03.2.1確保所選擇的平安機制能夠提供所需的平安效勞子任務(wù)-03.2.2向客戶解釋平安體系結(jié)構(gòu)如何滿足平安要求子任務(wù)-03.2.3制定風(fēng)險目標(biāo)子任務(wù)-03.2.4得到客戶對平安體系結(jié)構(gòu)的認同任務(wù)-03.3支持系統(tǒng)的認證和認可〔C&A〕子任務(wù)-03.3.1準(zhǔn)備并提交最終的體系結(jié)構(gòu)文檔，用于風(fēng)險分析子任務(wù)-03.3.2與認可員和認證員一起協(xié)商風(fēng)險分析的結(jié)果17ISSE活動4：開展詳細的平安設(shè)計任務(wù)-04.1確保對平安體系結(jié)構(gòu)的遵循任務(wù)-04.2實施均衡取舍〔trade-off〕研究任務(wù)-04.3定義系統(tǒng)平安設(shè)計要素子任務(wù)-04.3.1向系統(tǒng)平安設(shè)計要素中分配平安機制子任務(wù)-04.3.2確定備選的商業(yè)現(xiàn)貨〔COTS〕/政府現(xiàn)貨〔GOTS〕平安產(chǎn)品子任務(wù)-04.3.3確定需要定制的平安產(chǎn)品子任務(wù)-04.3.4檢驗設(shè)計要素和系統(tǒng)接口〔內(nèi)部及外部〕子任務(wù)-03.3.5制定標(biāo)準(zhǔn)任務(wù)-04.4評估信息保護的有效性子任務(wù)-04.4.1對詳細設(shè)計進行風(fēng)險分析子任務(wù)-04.4.2確保所選擇的平安設(shè)計能夠提供所需的平安效勞子任務(wù)-04.4.3向客戶解釋平安設(shè)計如何滿足平安要求子任務(wù)-04.4.4向客戶解釋并記錄設(shè)計中存在的任何剩余風(fēng)險子任務(wù)-04.4.5得到客戶對詳細平安設(shè)計的認同任務(wù)-04.5支持系統(tǒng)的認證和認可〔C&A〕子任務(wù)-04.5.1準(zhǔn)備并提交詳細設(shè)計文檔，用于風(fēng)險分析子任務(wù)-04.5.2與認可員和認證員一起協(xié)商風(fēng)險分析的結(jié)果18ISSE活動5：實現(xiàn)系統(tǒng)平安任務(wù)-05.1支持對平安的實現(xiàn)和集成子任務(wù)-05.1.1參與平安實現(xiàn)的規(guī)劃子任務(wù)-05.1.2檢驗平安工具和機制的互操作性子任務(wù)-05.1.3根據(jù)平安設(shè)計對實現(xiàn)進行驗證子任務(wù)-05.1.4根據(jù)所選擇的平安準(zhǔn)那么，驗證平安組件是否已經(jīng)得到評估子任務(wù)-05.1.5參與系統(tǒng)組件的集成，確保其滿足了系統(tǒng)平安標(biāo)準(zhǔn)，且未改變組件的標(biāo)準(zhǔn)子任務(wù)-05.1.6參與系統(tǒng)組件的配置，確保平安特性已經(jīng)激活，且平安參數(shù)已得到正確設(shè)置，能夠提供所需的平安效勞子任務(wù)-05.1.7確保系統(tǒng)和組件的配置已得到紀(jì)錄，并實施了配置管理任務(wù)-05.2支持測試和評估子任務(wù)-05.2.1建立測試和評估戰(zhàn)略〔包括示范、觀察、分析和測試〕子任務(wù)-05.2.2評審可用的測試和評估證據(jù)〔例如來自于CCEP、NIAP、內(nèi)部測試的數(shù)據(jù)〕子任務(wù)-05.2.3對測試和評估流程的開發(fā)提供支持子任務(wù)-05.2.4對測試和評估活動提供支持19ISSE活動5：實現(xiàn)系統(tǒng)平安任務(wù)-05.3評估信息保護的有效性子任務(wù)-05.3.1監(jiān)督以確保平安設(shè)計的正確實現(xiàn)子任務(wù)-05.3.2實施并更新風(fēng)險分析子任務(wù)-05.3.3定義風(fēng)險及其可能對任務(wù)帶來的影響，并通知客戶和認可員及認證員任務(wù)-05.4支持系統(tǒng)的認證和認可〔C&A〕子任務(wù)-05.4.1確保所需的C&A文檔能滿足客戶和認可員及認證員的要求子任務(wù)-05.4.2為C&A過程提供文檔記錄和分析任務(wù)-05.5支持平安培訓(xùn)20ISSE活動6：評估信息保護的有效性要在多項活動中評估信息保護的有效性：開掘信息保護需求、定義系統(tǒng)平安要求、定義系統(tǒng)平安體系結(jié)構(gòu)、開展詳細的平安設(shè)計以及實現(xiàn)系統(tǒng)平安?！霸u估信息保護的有效性〞中的各項任務(wù)和子任務(wù)已經(jīng)列入上述的活動中。21ISSE活動7：評估信息保護的有效性任務(wù)-07.1估計工程范圍任務(wù)-07.2確定資源及其可用性任務(wù)-07.3確定角色和責(zé)任任務(wù)-07.4估計工程本錢任務(wù)-07.5制定工程進度任務(wù)-07.6標(biāo)識技術(shù)活動任務(wù)-07.7標(biāo)識可交付項任務(wù)-07.8定義管理接口任務(wù)-07.9準(zhǔn)備技術(shù)管理規(guī)劃任務(wù)-07.10審查工程方案任務(wù)-07.11得到客戶的認同22ISSE活動8：管理技術(shù)工作任務(wù)-08.1指導(dǎo)技術(shù)工作任務(wù)-08.2跟蹤工程資源任務(wù)-08.3跟蹤技術(shù)參數(shù)任務(wù)-08.4監(jiān)督技術(shù)活動的進展任務(wù)-08.5確?？山桓俄椀馁|(zhì)量任務(wù)-08.6管理配置要素任務(wù)-08.7審查工程績效任務(wù)-08.8報告工程狀態(tài)23信息系統(tǒng)平安工程〔ISSE〕信息系統(tǒng)平安生命周期與平安效勞生命周期SSE-CMM對信息平安工程的其它討論2425信息系統(tǒng)平安生命周期啟動：在啟動階段，要清晰描述系統(tǒng)需求，并完整記錄下系統(tǒng)的目標(biāo)。本階段的活動包括敏感性評估。開發(fā)/采辦：在這個階段會對系統(tǒng)進行設(shè)計、購置、規(guī)劃、開發(fā)或其他的一些建造工作。這個階段常常由系統(tǒng)開發(fā)周期或采辦周期組成。該階段的活動包括確定平安要求、將平安要求整合到標(biāo)準(zhǔn)中并采辦系統(tǒng)。實現(xiàn)：在實現(xiàn)階段，系統(tǒng)將得到測試、安裝或者實施。該階段的活動包括平安控制的安裝/開啟、平安測試和認可。運行/維護：在這個階段，系統(tǒng)執(zhí)行其職能。系統(tǒng)總是會因硬軟件的增加或其他的事件而不斷發(fā)生變更。該階段的活動包括平安運行和管理、運行保證、審計和監(jiān)控。廢棄：IT系統(tǒng)生命周期的廢棄階段包括對信息、硬件和軟件的處置。該階段的活動包括移除、歸檔、丟棄或銷毀信息并對介質(zhì)進行去除。26NIST?IT平安工程原那么?27NIST?平安工程原那么?28NIST?平安工程原那么?29NIST?平安工程原那么?30NIST?平安工程原那么?31NIST?平安工程原那么?32NIST?平安工程原那么?33專家域與生命周期3435NIST?IT平安效勞指南?IT平安效勞生命周期：第1階段：啟動——組織應(yīng)確定是否有必要考察IT平安效勞對組織的平安工程有效性的促進作用。第2階段：評估——機構(gòu)使用測度準(zhǔn)那么對當(dāng)前環(huán)境進行評估，并確定可行的解決方案。第3階段：解決方案——決策者將開發(fā)業(yè)務(wù)案例，并從一組可行的選項集中指定適宜的效勞方案解決方案。第4階段：實現(xiàn)——機構(gòu)選用符合要求的效勞提供商，制定效勞協(xié)定并實現(xiàn)解決方案。第5階段：運行——機構(gòu)始終如一地對效勞提供商和機構(gòu)績效進行監(jiān)視，保證運行的成功。第6階段：結(jié)束——當(dāng)效勞結(jié)束或廢止時，機構(gòu)要保證一種平穩(wěn)的過渡。36啟動階段37評估階段38解決方案階段39實現(xiàn)階段40運行階段41結(jié)束階段42信息系統(tǒng)平安工程〔ISSE〕信息系統(tǒng)平安生命周期與平安效勞生命周期SSE-CMM對信息平安工程的其它討論43SSE-CMMSSE-CMM綜述SSE-CMM的模型SSE-CMM的域維〔過程域與根本實施〕SSE-CMM的能力維〔公共特征與通用實施〕44SSE-CMM的全名為“系統(tǒng)平安工程-能力成熟度模型〞為什么要有SSE-CMM？質(zhì)量保證概念在全世界興起以軟件工程CMM為代表的CMM思想占據(jù)主流地位SSE-CMM〔系統(tǒng)平安工程-能力成熟度模型〕SE-CMM〔系統(tǒng)工程-能力成熟度模型〕P-CMM〔人員能力成熟度模型〕TCMM〔可信能力成熟度模型〕CMMI〔CMM集成〕IA-CMM〔INFOSEC評估-能力成熟度模型〕45什么是SSE-CMM？SSE-CMM是系統(tǒng)平安工程能力成熟模型〔SystemsSecurityEngineeringCapabilityMaturityModel〕的縮寫，它描述了一個組織的平安工程過程必須包含的本質(zhì)特征，這些特征是完善的平安工程的保證。盡管SSE-CMM沒有規(guī)定一個特定的過程和步驟，但是它聚集了工業(yè)界常見的實施方法。本模型是平安工程實施的標(biāo)準(zhǔn)度量準(zhǔn)那么，它覆蓋了：整個生命期，包括開發(fā)、運行、維護和終止；整個組織，包括其中的管理、組織和工程活動；與其它標(biāo)準(zhǔn)并行的相互作用，如系統(tǒng)、軟件、硬件、人的因素、測試工程、系統(tǒng)管理、運行和維護等標(biāo)準(zhǔn)；與其它機構(gòu)的相互作用，包括采辦、系統(tǒng)管理、認證、認可和評估機構(gòu)。在SSE-CMM模型描述中，提供了對所基于的原理、體系結(jié)構(gòu)的全面描述；模型的高層綜述；適當(dāng)運用此模型的建議；包括在模型中的實施以及模型的屬性描述。它還包括了開發(fā)該模型的需求。SSE-CMM評定方法局部描述了針對SSE-CMM來評價一個組織的平安工程能力的過程和工具。46SSE-CMM宗旨：信息平安建設(shè)中需要有一個清晰定義的、成熟的且可測量的要求。SSE-CMM目標(biāo)：通過區(qū)分投標(biāo)者的能力級別和相關(guān)的方案風(fēng)險來選擇合格的平安工程提供商；有利于工程組把投資集中在平安工程工具、培訓(xùn)、過程定義、管理實施和改進上；提供基于能力的保障，也就是說，用戶可以基于對工程組平安工程實踐和過程的成熟度而確保信心。47SSE-CMM的使用者平安效勞提供商平安對策開發(fā)人員產(chǎn)品開發(fā)商具體的工業(yè)行業(yè)48如何使用SSE-CMMSSE-CMM和使用模型的方法〔即評定方法〕所建議的應(yīng)用方式如下：作為工程組織的工具，用于評價平安工程實施活動，并定義平安工程的改進。作為顧客用來評價一個供給商的平安工程能力的標(biāo)準(zhǔn)機制。作為平安工程評估機構(gòu)〔如系統(tǒng)認證機構(gòu)，產(chǎn)品評定機構(gòu)等〕的工作根底，用于建立基于整體組織能力的信任度〔這個信任度可作為系統(tǒng)或產(chǎn)品的一個平安保證要素〕。如果這個模型及其評定方法的使用者能夠完全理解模型的適用范圍和它固有的局限性，那么這個評定技術(shù)可以適用于自我改進和選擇供給商。49SSE-CMM的益處平安的趨勢是從保護政府涉密數(shù)據(jù)轉(zhuǎn)向涉及更廣泛的領(lǐng)域，其中包括金融交易、契約合同、個人信息和因特網(wǎng)。因此用于維護和保護這些信息的產(chǎn)品、系統(tǒng)和效勞開始迅速開展。這些平安產(chǎn)品和系統(tǒng)進入市場一般有兩種途徑：通過長周期且昂貴的評估后進入市場或者不加評估就進入市場。對于前者，平安產(chǎn)品無法及時進入市場來滿足用戶平安需求，當(dāng)進入到市場后，產(chǎn)品所具有平安功能就解決的威脅而言已經(jīng)過時。對于后者，購置者和用戶只能依賴于產(chǎn)品或系統(tǒng)開發(fā)者或操作者的平安說明，這造成市場上的平安工程效勞都將基于這種空洞的無法律依據(jù)的根底。這種情況要求組織以一個更成熟的方式來實施平安工程。特別地，在平安系統(tǒng)和平安產(chǎn)品生產(chǎn)和操作過程中要求以下特性：連續(xù)性-以前獲得的知識將用于將來的工作重復(fù)性-保證工程可成功重復(fù)實施的方法有效性-可幫助開發(fā)者和評估者都更有效工作的方法保證-落實平安需求的信心50SSE-CMM工程的歷史April93-December94 預(yù)研〔NSA〕January95 1st公共會議 工作組成立March951st工作組會議Summer/Fall96 SSE-CMM實驗工程October96 SSE-CMMv1.0Spring97 評定方法v1.0Summer97 SSE-CMMv1.1 評定方法v1.114-17July97 2nd公共會議April1999SSE-CMMv2.0April1999評定方法v2.0March2002被ISO接受為ISO/IEC2182751SSE-CMM工程結(jié)構(gòu)

工程領(lǐng)導(dǎo)關(guān)鍵評審專家輪廓/測度/保障工作組指導(dǎo)組模型維護工作組評定方法工作組生命周期支持工作組發(fā)起/規(guī)劃/采納工作組界內(nèi)評審專家52工程的參與方〔45家機構(gòu)〕ArcaSystems,Inc.BDMInternationalInc.Booz-AllenandHamilton,Inc.CommunicationsSecurityEstablishment(Canadian)ComputerSciencesCorporationDataSystemsAnalysts,Inc.DefenseInformationSystemsAgencyE-SystemsElectronicWarfareAssociates-Canada,Ltd.FuentezSystemsConceptsG-JConsultingGRCInternational,Inc.HarrisCorp.HughesAircraftInstituteforComputer&InformationSciencesInstituteforDefenseAnalysesInternalRevenueServiceITTAerospaceJOTASystemSecurityConsultantsInc.LockheedMartinMerdanGroup,Inc.MITRECorporationMitretekSystemsMotorolaNationalCenterforSupercomputingApplicationsNationalInstituteforStandardsandTechnologyNationalSecurityAgencyNavalResearchLaboratoryNavyCommand,Control,OperationsSupportCenter;Research,Development,Testing,andEvaluationDivision(NRaD)NorthropGrummanNRaDOfficeoftheSecretaryofDefenseOracleCorporationpragmaSystemsCorp.SanAntonioAirLogisticsCenterScienceApplicationsInternationalCorp.SPARTA,Inc.StanfordTelecomSystemsResearch&ApplicationsCorp.TaxModernizationInstituteTheSachsGroupstOmegaEngineeringTrustedInformationSystemsTRWUnisysGovernmentSystems53SSE-CMM對平安工程的理解平安工程是一門正在開展的學(xué)科。當(dāng)前尚不存在一個精確的、業(yè)界一致認可的平安工程定義。然而，對平安工程概括性的描述還是可能的。平安工程的一些目標(biāo)是：獲取對企業(yè)的平安風(fēng)險的理解。根據(jù)已識別的平安風(fēng)險建立一組平衡的平安要求。將平安要求轉(zhuǎn)換成平安指南，這些平安指南將集成到工程實施的其它方面之中，并集成到對系統(tǒng)配置或運行的定義中。在正確有效的平安機制下建立信心和保證。判斷系統(tǒng)中和系統(tǒng)運行時殘留的平安脆弱性對運行的影響是否可容忍〔即可接受的風(fēng)險〕。將所有工程科目和專業(yè)活動集成為一個對系統(tǒng)平安可信性的共同理解。54SSE-CMM對平安工程的生命周期的理解前期概念概念開掘和定義示范和驗證工程實施、開發(fā)和制造生產(chǎn)和部署運行和支持廢置55平安工程與其它工程學(xué)科的關(guān)系平安工程還要涉及：企業(yè)工程系統(tǒng)工程軟件工程人力因素工程通信工程硬件工程測試工程系統(tǒng)管理56平安工程與其它平安學(xué)科的關(guān)系SSE-CMM的制定者認識到，平安工程必須與其它傳統(tǒng)的平安學(xué)科相結(jié)合，包括：運行平安：運行環(huán)境的平安以及對平安運行態(tài)勢的維護；信息平安：涉及到信息及其在操作和處理中的平安維護；網(wǎng)絡(luò)平安：涉及到網(wǎng)絡(luò)硬件、軟件和協(xié)議的保護，包括網(wǎng)絡(luò)上通信信息的平安；物理平安：側(cè)重于建筑物和物理場所的保護；人員平安：與人有關(guān)，還涉及到人員的可信度及他們對平安問題的意識；管理平安：涉及到平安的管理因素和管理系統(tǒng)的平安；通信平安：與平安域之間的信息通信有關(guān)，尤其是信息在傳輸介質(zhì)上流動時的保護；輻射平安：涉及到所有機器設(shè)備產(chǎn)生的不期望的電磁信號，這些電磁信號可能會將信息傳輸?shù)狡桨灿蛲獠?；計算機平安：尤其涉及到各種類型的平安計算設(shè)備。57SSE-CMMSSE-CMM綜述SSE-CMM的模型和方法學(xué)SSE-CMM的域維〔過程域與根本實施〕SSE-CMM的能力維〔公共特征與通用實施〕58平安工程過程的三個組成局部59SSE-CMM將平安工程劃分為三個根本的過程區(qū)域：風(fēng)險，工程，保證。它們可以獨立地加以考慮，但這決不意味它們之間有截然不同的區(qū)分。在最簡單的級別上，風(fēng)險過程識別出所開發(fā)的產(chǎn)品或系統(tǒng)的危險性并對這些危險性進行優(yōu)先級排序。針對危險性所面臨的問題，平安工程過程要與其它工程一起來確定和實施解決方案。最后，由平安保證過程來建立對解決方案的信任并向顧客轉(zhuǎn)達這種平安信任。60風(fēng)險過程61平安措施的實施可以減輕風(fēng)險。平安措施可針對威脅、脆弱性、影響和風(fēng)險自身。但無論如何，并不能消除所有威脅或鏟除某個具體威脅。這主要是因為風(fēng)險消除的代價和相關(guān)的不確定性。因此，必須接受殘留的風(fēng)險。在存在很高的不確定性的情況下，由于風(fēng)險的不精確的本質(zhì)，因此是否接受風(fēng)險是需要慎重對待的大問題。SSE-CMM過程域包括威脅、脆弱性、影響和相關(guān)風(fēng)險進行分析的活動保證。62工程過程63平安工程與其它科目一樣，它是一個包括概念、設(shè)計、實現(xiàn)、測試、部署、運行、維護、退出的完整過程。在這個過程中，平安工程的實施必須緊密地與其它的系統(tǒng)工程隊伍相合作。SSE-CMM強調(diào)平安工程師是一個大的工程隊伍中的一局部，需要與其它科目工程師的活動相互協(xié)調(diào)。這會有助于保證平安成為一個大的工程過程中一個整體局部，而不是一個分開的獨立活動。在生命周期的后面階段，平安工程師將根據(jù)意識到風(fēng)險來適當(dāng)?shù)嘏渲孟到y(tǒng)，以確保新的風(fēng)險不會造成系統(tǒng)運行的不平安狀態(tài)。64保證過程65保證是指平安需要得到滿足的信任程度。它是平安工程非常重要的產(chǎn)品。存在著有許多的保證形式。SSE-CMM的信任程度來自于平安工程過程可重復(fù)性的結(jié)果質(zhì)量。這種信任的根底是成熟組織比不成熟組織更可能產(chǎn)生出重復(fù)的結(jié)果。不同保證形式之間的詳細關(guān)系目前是正在研究的課題。平安保證并不能添加任何額外的對平安相關(guān)風(fēng)險的抗拒能力，但它能為減少預(yù)期平安風(fēng)險控制的執(zhí)行提供信心。平安保證也可看作是平安措施按照要求運行的信心。這種信心來自于正確性和有效性。正確性保證了平安措施按設(shè)計實現(xiàn)了需求。有效性那么保證了提供的平安措施可充分地滿足顧客的平安需要。66SSE-CMM體系結(jié)構(gòu)SSE-CMM體系結(jié)構(gòu)的設(shè)計是可在整個平安工程范圍內(nèi)決定平安工程組織的成熟性。這個體系結(jié)構(gòu)的目標(biāo)是清晰地從管理和制度化特征中別離出平安工程的根本特征。為了保證這種別離，這個模型是兩維的，分別稱為“域〞和“能力〞。重要的是，SSE-CMM并不意味著在一個組織中任何工程組或角色必須執(zhí)行這個模型中所描述的任何過程，也不要求使用最新的和最好的平安工程技術(shù)和方法論。然而，這個模型要求是一個組織機構(gòu)要有一個適當(dāng)過程，這個過程應(yīng)包括這個模型中所描述的根本平安實施。組織機構(gòu)可以以任何方式隨意創(chuàng)立符合他們業(yè)務(wù)目標(biāo)的過程以及組織結(jié)構(gòu)。SSE-CMM也并不意味著執(zhí)行通用實施的專門要求。一個組織機構(gòu)一般可隨意以他們所選擇的方式和次序來方案、跟蹤、定義、控制和改進他們的過程。然而，由于一些較高級別的通用實施依賴于較低級別的通用實施，因此組織機構(gòu)應(yīng)在試圖到達較高級別之前，應(yīng)首先實現(xiàn)較低級別通用實施。67根本模型域維僅僅由定義平安工程的所有實施構(gòu)成。這些實施稱為“根本實施〞——BP。能力維代表了假設(shè)干可表現(xiàn)管理和制度化能力的實施。這些實施被稱作“通用實施〞——GP，可在廣泛的域中應(yīng)用。通用實施表現(xiàn)了一個根本實施中應(yīng)當(dāng)完成的活動。通過設(shè)置這兩個相互依賴的維，SSE-CMM在各個能力級別上覆蓋了整個平安活動范圍。68根本實施與通用實施的關(guān)系69將根本實施和通用實施綜合考慮使得可以檢查一個機構(gòu)實施一個特定活動的能力。上圖中，感興趣的人士可能會問：“你的機構(gòu)有足夠的資源來查找系統(tǒng)的平安脆弱性嗎？〞如果答復(fù)“是〞，那么對方顯然獲知了機構(gòu)在這方面的能力。在二維圖的所有交叉點上的問題都得到答復(fù)后，我們就得到了對一個機構(gòu)的平安工程能力的總體認識。70SSE-CMMSSE-CMM綜述SSE-CMM的模型SSE-CMM的域維〔過程域與根本實施〕SSE-CMM的能力維〔公共特征與通用實施〕71根本實施SSE-CMM包含了60個根本實施，這60個根本實施被歸為了11類，它們涵蓋了所有主要的平安工程域。這些根本實施來自于廣泛的材料、實踐和專家知識。一個根本實施：應(yīng)用于整個企業(yè)生命期和其它BP互相不覆蓋代表平安業(yè)界“最好的實施〞不簡單地反映新型技術(shù)可在商務(wù)環(huán)境下以多種方法使用不指定特定的方法或工具72過程域60個根本實施被歸為的11類，稱為過程域。有許多方式將平安工程范疇劃分為過程域。一種可能的做法是將真實世界模型化，創(chuàng)立匹配平安工程效勞的過程域。其它的方法可以是概念域的方法，這些概念域形成了根底的平安工程建設(shè)模塊。SSE-CMM在確定11個過程域的過程中，綜合了比較優(yōu)秀的幾種方法。每一個過程域包括一組表示一個成功執(zhí)行過程域的目標(biāo)。每一個過程域也包括一組集成的“根本實施〞或簡稱為“BP〞。根本實施定義了取得過程域目標(biāo)的必要步驟。73過程域過程域：聚集了一個域中的相關(guān)活動與有價值的平安工程效勞相關(guān)可在整個組織生命周期中應(yīng)用能在多個組織和多類產(chǎn)品范圍內(nèi)實現(xiàn)能作為一個獨立的過程加以改進能夠被感興趣的組織加以改進包括了所有需要滿足過程域目標(biāo)的BP7411個過程域PA01管理平安控制PA02評估影響PA03評估平安風(fēng)險PA04評估威脅PA05評估脆弱性PA06建立平安論據(jù)PA07協(xié)調(diào)平安性PA08監(jiān)視平安態(tài)勢PA09提供平安輸入PA10確定平安需求PA11驗證與確認平安75其它過程域PA12確保質(zhì)量PA13管理配置PA14管理工程風(fēng)險PA15監(jiān)視和控制技術(shù)工作PA16規(guī)劃技術(shù)工作PA17定義機構(gòu)的系統(tǒng)工程過程PA18改善機構(gòu)的系統(tǒng)工程過程PA19管理產(chǎn)品線開展PA20管理系統(tǒng)工程支持環(huán)境PA21提供不斷開展的技能和知識PA22與提供商相協(xié)調(diào)SSE-CMM還包括其余11個與工程和機構(gòu)活動相關(guān)的過程域。它們來自于SE-CMM〔系統(tǒng)工程——能力成熟模型〕。這些過程域不是與平安直接相關(guān)的，但是它們也會對平安造成影響。76過程域與根本實施的關(guān)系過程域03基本實施01.02過程域02基本實施01.01安全機構(gòu)安全項目安全工程過程域01域維77PA01——管理平安控制BP01.01建立平安職責(zé)平安的某些問題能夠在常規(guī)的管理結(jié)構(gòu)中得到管理。然而，還有一些平安問題那么需要更專業(yè)化的管理。本管理過程將確保平安責(zé)任人員的行為能夠得到追蹤〔即可追究性〕，并授予平安責(zé)任人相應(yīng)的行動權(quán)力。同時也應(yīng)確保所采用的任何平安控制均是明確的，并能一致性地應(yīng)用。此外，還應(yīng)確保所采納的平安管理結(jié)構(gòu)不但要通知到管理結(jié)構(gòu)內(nèi)的所有人，也應(yīng)通知到整個機構(gòu)。BP01.02管理平安配置所有設(shè)備的平安配置均需要管理。之所以有本根本實施，是因為意識到了系統(tǒng)平安要在很大程度上依賴于大量的相關(guān)組件〔硬件、軟件和程序〕，而常規(guī)的配置管理實施并不能解決這些相關(guān)組件間的依賴性——這些依賴性恰是平安系統(tǒng)之所需。

78PA01——管理平安控制BP01.03管理平安意識、培訓(xùn)和教育工程所有員工的平安意識培養(yǎng)、培訓(xùn)和教育都應(yīng)得到管理，其管理方式與其他意識培養(yǎng)、培訓(xùn)和教育工程的管理方式相同。BP01.04管理平安效勞及控制機制平安效勞及機制的常規(guī)管理類似于對其他效勞及機制的管理，其中包括防止破壞、偶然事故和人為故障，并與法律和政策要求相一致。79PA02——評估影響

BP02.01對功能進行優(yōu)先級排序用來對運行、業(yè)務(wù)或任務(wù)功能進行標(biāo)識、分析和優(yōu)先級排列，還應(yīng)考慮到業(yè)務(wù)戰(zhàn)略可能受到的影響。這些行為將會影響和緩解一個機構(gòu)可能遭受的影響，也會繼而對其他過程域中的風(fēng)險評估工作產(chǎn)生影響。當(dāng)考察系統(tǒng)可能面臨的影響時，這也是極為重要的因素。本根本實施與PA10“確定平安需求〞有關(guān)。BP02.02標(biāo)識系統(tǒng)資產(chǎn)本根本實施將標(biāo)識出系統(tǒng)中為支持系統(tǒng)平安目標(biāo)或關(guān)鍵功能〔運行功能、業(yè)務(wù)功能或任務(wù)功能〕所必需的資源和數(shù)據(jù)。本根本實施可以通過評估各類資產(chǎn)在給定環(huán)境中〔對平安目標(biāo)或關(guān)鍵功能提供支持〕的重要性來定義出各類資產(chǎn)。80PA02——評估影響B(tài)P02.03選擇影響的度量準(zhǔn)那么有很多度量準(zhǔn)那么可于衡量事件的影響。在評估之前，應(yīng)預(yù)先確定采用何種度量準(zhǔn)那么來評估具體系統(tǒng)面臨的影響。BP02.04確定不同度量準(zhǔn)那么之間的關(guān)系某些影響可能需要使用不同的度量準(zhǔn)那么進行評估。因此必須確定不同度量準(zhǔn)那么之間的關(guān)系，以確保在整個影響評估中使用一致性的方法對所有的影響進行評估。在某些情況下，還需要將各種度量準(zhǔn)那么組合起來，以產(chǎn)生唯一確實定性結(jié)果。這就需要建立起相應(yīng)方法，以便組合這些度量準(zhǔn)那么。當(dāng)使用定量的度量準(zhǔn)那么時，還需要建立起轉(zhuǎn)換規(guī)那么，確立轉(zhuǎn)換因子，在不同的定量方法之間對數(shù)值進行轉(zhuǎn)換。81PA02——評估影響B(tài)P02.05標(biāo)識和描述影響本根本實施要利用BP02.01和BP02.02中確定的資產(chǎn)和功能信息來確定平安事件的可能影響。對每一個資產(chǎn)來說，這種影響可能包括資產(chǎn)的破壞、泄露、阻斷或喪失。功能的影響可能還要包括攔截、延遲、弱化。一旦創(chuàng)立了相對完整的影響列表，便可以利用BP02.03和BP02.04中確定的度量準(zhǔn)那么或度量準(zhǔn)那么的組合來描述影響。其中可能還要參考機構(gòu)的保險情況、財政年鑒等其他資源。在評估中，要考察其中的不確定性，并與影響相聯(lián)系。BP02.06監(jiān)視影響任何位置和狀態(tài)下的影響都是動態(tài)變化的。新的影響可以變得互為關(guān)聯(lián)。因此重要的一項工作就是監(jiān)視現(xiàn)有影響并有規(guī)律地檢查可能的新影響。本根本實施與BP08.02中的通用性監(jiān)視活動緊密相連。82PA03——評估平安風(fēng)險BP03.01選擇風(fēng)險分析方法本根本實施中要定義用于標(biāo)識一給定環(huán)境中系統(tǒng)平安風(fēng)險的方法，以對平安風(fēng)險進行分析、評估和比較。它還應(yīng)該包括一個對風(fēng)險進行分類和分級的方案，該方案將依賴于威脅、系統(tǒng)的運行功能、已獲知的系統(tǒng)脆弱性、潛在損失、平安需求或其他相關(guān)事項。BP03.02標(biāo)識暴露標(biāo)識暴露的目的在于認識這些威脅和脆弱性的利害關(guān)系，進而標(biāo)識威脅和脆弱性造成的影響。這些暴露是選擇系統(tǒng)保護措施時必須予以考慮的。83PA03——評估平安風(fēng)險BP03.03評估暴露的風(fēng)險標(biāo)識出一個暴露出現(xiàn)的可能性。BP03.04評估總體的不確定性每種風(fēng)險都有與之相關(guān)的不確定性?？傮w風(fēng)險不確定性是在BP04.05“評估威脅的可能性〞、BP05.03“收集脆弱性數(shù)據(jù)〞、BP02.05“標(biāo)識和描述影響〞中標(biāo)識的不確定性的積累。本根本實施與PA06“建立保證論據(jù)〞聯(lián)系緊密，因為保證能用于改變——很多時候是降低——不確定性。84PA03——評估平安風(fēng)險BP03.05排列風(fēng)險優(yōu)先級已經(jīng)標(biāo)識的風(fēng)險應(yīng)該基于機構(gòu)的優(yōu)先安排、風(fēng)險出現(xiàn)的可能性、與這些因素相關(guān)的不確定性以及可用的財力而進行排序。風(fēng)險可以被減輕、躲避、轉(zhuǎn)嫁或接受，也可以使用這些措施的組合。“減輕〞這一措施能夠?qū)Ω锻{、脆弱性、影響或風(fēng)險本身。平安措施的選擇要適當(dāng)考慮到PA10“確定平安需求〞中的客戶要求、業(yè)務(wù)的優(yōu)先級以及整體系統(tǒng)的體系結(jié)構(gòu)。BP03.06監(jiān)視風(fēng)險及其特征任何位置和狀態(tài)下的風(fēng)險都是動態(tài)的。新的風(fēng)險可能會出現(xiàn)，而已有的風(fēng)險也可能會發(fā)生變化。因此，監(jiān)視現(xiàn)有風(fēng)險及其特征、定期檢查新風(fēng)險是十分重要的。本根本實施與“監(jiān)視威脅、脆弱性、影響、風(fēng)險和環(huán)境變化〞中的普適性監(jiān)視活動密切相關(guān)。85PA04——評估威脅

BP04.01標(biāo)識自然威脅由自然原因引起的威脅包括地震、海嘯和臺風(fēng)。然而，并非所有的自然威脅都會在所有地方發(fā)生。例如，在大陸中心就不可能會出現(xiàn)臺風(fēng)。因此，重要的是標(biāo)識出在一具體地方到底會存在哪一種自然威脅。BP04.02標(biāo)識人為威脅人為原因引起的威脅與自然威脅不一樣，它根本上有兩種類型：偶然原因引起的威脅和成心行為引起的威脅。在某些環(huán)境中，因為不涉及到人為威脅，可以在經(jīng)過分析后取消對人為威脅的考察。86PA04——評估威脅BP04.03標(biāo)識威脅的測量單元大量的自然和人為威脅都有其與之相關(guān)的測量單元。關(guān)于地震的Richter測量標(biāo)度便是一例。大多數(shù)情況下，測量單元的全部尺度并不適用于一次具體的評估。因此，對可能在一個機構(gòu)中出現(xiàn)的事件，可根據(jù)具體情況建立最大和最小的測量單元。BP04.04評估威脅主體的能力本過程域?qū)⒋_定可能對系統(tǒng)發(fā)動成功攻擊的敵人的主觀能力和客觀能力。主觀能力指的是攻擊者所掌握的攻擊知識〔例如他們經(jīng)過的訓(xùn)練和擁有的技能〕；客觀能力那么是指一個有能力的敵人實際發(fā)動攻擊的可能性〔例如他們擁有的資源〕。87PA04——評估威脅BP04.05評估威脅的可能性本根本實施將對威脅事件發(fā)生的可能性進行評估。在評估中需要考慮多種因素，從自然事件的概率到人員的有意或無意行為的概率等均要去評估。并不是說這些所有因素都要去計算或測量，但這其中應(yīng)該有一個一致的度量準(zhǔn)那么。BP04.06監(jiān)視威脅及其特征任何位置和狀態(tài)下的威脅都是動態(tài)的。新的威脅可能會出現(xiàn)，而已有的威脅也可能會發(fā)生變化。因此，監(jiān)視現(xiàn)有威脅及其特征、定期檢查新威脅是十分重要的。本根本實施與BP08.02“監(jiān)視變化〞中的普適性監(jiān)視活動密切相關(guān)。88PA05——評估脆弱性

BP05.01選擇脆弱性分析方法本根本實施包括定義系統(tǒng)的脆弱性分析方法，以對平安脆弱性進行標(biāo)識和描述。其中還要包括脆弱性的分類和優(yōu)先級排序方案，以威脅及其可能性、系統(tǒng)的運行功能、平安需求或其他感興趣的內(nèi)容為根底來完成脆弱性的分類和排序。還要標(biāo)識出這些分析方法的深度和廣度，以使平安工程師和客戶判斷出待分析的目標(biāo)系統(tǒng)及分析的全面性。脆弱性分析應(yīng)該在預(yù)定的專門時間內(nèi)展開，并在一個框架和清晰記錄的配置內(nèi)完成。脆弱性分析方法中應(yīng)包括預(yù)期結(jié)果，脆弱性分析的具體目標(biāo)也應(yīng)陳述清楚。BP05.02標(biāo)識脆弱性系統(tǒng)的平安和非平安局部均有可能存在脆弱性。很多時候，對平安功能起到支撐作用或與平安機制相協(xié)調(diào)的很多非平安機制中常被發(fā)現(xiàn)具有可被利用的脆弱性。BP05.01中的主動攻擊方法可以用來驗證這些脆弱性。所發(fā)現(xiàn)的所有系統(tǒng)脆弱性應(yīng)得到記錄。89PA05——評估脆弱性BP05.03收集脆弱性數(shù)據(jù)脆弱性是自身的屬性。本根本實施旨在收集與這些屬性相關(guān)的數(shù)據(jù)。在某種情況下，脆弱性的測量單元可能與BP04.03“標(biāo)識威脅的測量單元〞中威脅的測量單元相類似。脆弱性被利用的難易程度、脆弱性存在的可能性等數(shù)據(jù)也應(yīng)得到標(biāo)識和收集。BP05.04綜合系統(tǒng)的脆弱性本根本實施將分析那些脆弱性或脆弱性的組合給系統(tǒng)帶來的問題。分析中還應(yīng)確定出該脆弱性的屬性特征，例如脆弱性被利用以及被成功攻擊的概率。還應(yīng)提出脆弱性的綜合分析建議。BP05.05監(jiān)視脆弱性及其特征任何位置和狀態(tài)的脆弱性狀況都是動態(tài)的。新的脆弱性會從中產(chǎn)生，而現(xiàn)有脆弱性的特征也可能會發(fā)生變化。因此，要有規(guī)律地監(jiān)視現(xiàn)有的脆弱性及其特征，并檢查新的脆弱性，該項工作非常重要。本BP與BP08.02中的監(jiān)視活動密切相關(guān)。90PA06——建立保證論據(jù)

BP06.01標(biāo)識保證目標(biāo)由客戶確立的保證目標(biāo)顯示了用戶對系統(tǒng)平安性的信任程度。系統(tǒng)平安保證目標(biāo)規(guī)定了系統(tǒng)平安策略所能提供的平安可信程度。該目標(biāo)的充分性要由開發(fā)商、集成商、客戶和簽字機關(guān)共同論證。對新增的平安保證目標(biāo)或已有目標(biāo)的修改均須得到確認，該工作要在工程機構(gòu)的內(nèi)外部平安相關(guān)人員間得到協(xié)調(diào)〔例如客戶、系統(tǒng)平安認證機構(gòu)、簽字機關(guān)、用戶等〕。為反映新的變化，應(yīng)不斷更新平安保證目標(biāo)。需要對平安保證目標(biāo)作出修改的情況包括客戶、系統(tǒng)平安認證機構(gòu)、簽字機關(guān)、用戶等對可接受的風(fēng)險程度的改變。平安保證目標(biāo)必須得到交流，以使其清晰且沒有異議。如有必要，應(yīng)參加適宜的解釋。91PA06——建立保證論據(jù)BP06.02定義保證戰(zhàn)略平安保證戰(zhàn)略的目標(biāo)是規(guī)劃并確保平安目標(biāo)能夠正確地實現(xiàn)。平安保證戰(zhàn)略在實施中產(chǎn)生的證據(jù)應(yīng)能〔向系統(tǒng)的簽字機關(guān)〕提供一個可接受的信心級，使其確信系統(tǒng)的平安措施足以管理平安風(fēng)險。通過制定并實施平安保證戰(zhàn)略，便可實現(xiàn)對保證活動的有效管理。對保證需求的盡早標(biāo)識和定義對于產(chǎn)生必要的支撐性證據(jù)來說是必要的。應(yīng)通過不斷的外部協(xié)調(diào)來理解和觀察客戶對保證需求的滿意程度，這有助于確保得到高質(zhì)量的保證需求包。BP06.03控制保證證據(jù)平安保證證據(jù)要根據(jù)平安保證戰(zhàn)略中的定義，通過與所有的平安工程過程域相互配合，在不同抽象水平上標(biāo)識出保證證據(jù)。這些證據(jù)要受到控制，以確保他們對當(dāng)前的工作結(jié)果來說具有合時性，對于平安保證目標(biāo)來說具有關(guān)聯(lián)性。92PA06——建立保證論據(jù)BP06.04分析證據(jù)之所以對保證證據(jù)進行分析，是為了保證所收集的證據(jù)能夠滿足平安目標(biāo)，從而可以滿足客戶的平安需求。對保證證據(jù)的分析可說明系統(tǒng)平安工程及平安驗證過程是否充分且足夠，以判斷出平安機制和平安特性是否已經(jīng)令人滿意地得到了實現(xiàn)。此外，對保證證據(jù)的分析還可確保工程實施的結(jié)果相對于基線系統(tǒng)來說是完善和正確的。如果保證證據(jù)顯得不充分或不夠，這就有必要對支持平安目標(biāo)的系統(tǒng)、平安工作結(jié)果和過程進行修訂。BP06.05提供保證論據(jù)本根本實施將開發(fā)出一個全面的平安保證論據(jù)，以說明對平安保證目標(biāo)的遵循性，并將保證論據(jù)提供給客戶。保證論據(jù)是一系列已聲明的保證目標(biāo)的集合，這些保證目標(biāo)要依靠不同抽象度的保證證據(jù)所支持。保證論據(jù)要經(jīng)過審查，以查找其中的保證證據(jù)的缺乏，查看其是否能夠滿足平安保證目標(biāo)。93PA07——協(xié)調(diào)平安BP07.01定義協(xié)調(diào)目標(biāo)很多團體都要有參與平安工程活動的意識，并確實能參與到平安工程活動中來。要通過檢查結(jié)構(gòu)、信息及工程需求來決定同這些團體的信息共享目標(biāo)。要建立與其他團體之間的聯(lián)系和承諾。成功的聯(lián)系可有很多形式，但必須被所有的相關(guān)團體所知曉。BP07.02標(biāo)識協(xié)調(diào)機制有很多方法可以與所有的工程組共享平安工程的決策和建議。本活動確定了在工程中協(xié)調(diào)平安的不同方法。在同一個工程上工作著多個平安部門并非異常。在這些情況下，所有的工作組都應(yīng)該為一個得到共同理解的目標(biāo)而工作。接口標(biāo)識、平安機制選擇、培訓(xùn)及開發(fā)等工作均需要按這種方式進行，以確保每個平安組件能夠在運行系統(tǒng)中如愿工作。此外，所有的工程組必須理解平安工程工作及平安工程活動，以便使平安能完好地集成到系統(tǒng)中去?？蛻粢脖仨氈獣云桨蚕嚓P(guān)的事情和活動，以確保平安需求能夠得到恰當(dāng)?shù)臉?biāo)識和考慮。94PA07——協(xié)調(diào)平安BP07.03促進協(xié)調(diào)成功的關(guān)系需要有良好的促進手段。在重要性不同的多個機構(gòu)間進行交流時有可能會發(fā)生一些沖突。本根本實施確保這些爭端能夠以建設(shè)性的適當(dāng)方式加以解決。BP07.04協(xié)調(diào)平安決策和建議本根本實施的目的是為了在各平安工程師、其他工程組、外部實體及其他可能的團體間交流平安決策和建議。95PA08——監(jiān)視平安態(tài)勢BP08.01分析事件記錄檢查歷史記錄和事件記錄〔各種日志〕，以獲得平安相關(guān)信息。應(yīng)該對多個記錄中的感興趣事件及其與其他事件的關(guān)聯(lián)因子進行標(biāo)識。這之后，多個事件記錄就可以融合為一個事件記錄。BP08.02監(jiān)視變化查找有可能對當(dāng)前平安態(tài)勢的有效性造成影響的任何變化，不管是正面還是負面影響。任何系統(tǒng)中實施的平安應(yīng)該與威脅、脆弱性、影響和風(fēng)險相關(guān)聯(lián)，因為他們與系統(tǒng)的內(nèi)外部環(huán)境有關(guān)。這些因素沒有一個是靜態(tài)的，他們中的任何變化均將影響到系統(tǒng)平安的有效性與適宜性。所有的變化必須得到監(jiān)視，并對這些變化進行分析，以評估他們對平安有效性的影響。96PA08——監(jiān)視平安態(tài)勢BP08.03標(biāo)識平安事件本過程域?qū)⑴袛嗍欠癜l(fā)生了平安事件，說明事件的詳細情況，并在必要時做出報告。平安事件可利用歷史事件數(shù)據(jù)、系統(tǒng)配置數(shù)據(jù)、完整性工具和其他系統(tǒng)信息來檢測。由于某些事件要經(jīng)過一個較長周期的時間后才出現(xiàn)，因此該分析很可能要涉及到對系統(tǒng)長時間狀態(tài)的比較。BP08.04監(jiān)視平安措施檢查平安措施的性能，以標(biāo)識出平安措施的性能變化。BP08.05檢查平安態(tài)勢由于威脅環(huán)境、運行要求或系統(tǒng)配置等方面會出現(xiàn)變化，一個系統(tǒng)的平安態(tài)勢可能會發(fā)生改變。本根本實施在于審查在系統(tǒng)中實施平安的理由，并審查對其他工程領(lǐng)域或方面提出的平安需求。97PA08——監(jiān)視平安態(tài)勢BP08.06管理平安事件響應(yīng)在很多情況中，系統(tǒng)的連續(xù)可用性是非常關(guān)鍵的。由于很多事件不能預(yù)防，因此對這些破壞的響應(yīng)能力便至關(guān)重要。應(yīng)急方案中要求標(biāo)識出允許系統(tǒng)失效的最長時間；標(biāo)識出系統(tǒng)中的重要功能組件；標(biāo)識并制定恢復(fù)戰(zhàn)略和方案；測試并維護該方案。在某些情況中，應(yīng)急措施可能包括對事件的響應(yīng)或與攻擊者〔例如病毒、黑客等〕的主動交鋒。BP08.07保護平安監(jiān)視的結(jié)果如果監(jiān)視活動的結(jié)果不可靠，那么監(jiān)視活動就沒有任何意義。本根本實施包括對相關(guān)日志、審計報告和有關(guān)分析結(jié)果進行封存和歸檔。98PA09——提供平安輸入BP09.01理解平安輸入需求平安工程要與其他領(lǐng)域相協(xié)調(diào)，以判斷出這些領(lǐng)域所需的平安輸入的類型。平安輸入包括平安相關(guān)的任何指南、設(shè)計、文檔或思想。輸入可以有多種形式，包括文檔、備忘錄、電子郵件、培訓(xùn)和咨詢。這些輸入要基于PA10“確定平安需求〞中的平安需求。例如，軟件工程師就有可能需要一套平安規(guī)那么來支持其工作。某些平安輸入可能與環(huán)境的關(guān)聯(lián)性更強。BP09.02確定平安約束和平安考慮本根本實施的目的在于為工程選擇確定出所有的平安約束和平安考慮。平安工程組將負責(zé)完成該類分析，從而為需求、設(shè)計、實現(xiàn)、配置和文檔等確定出所有的平安約束和平安考慮。平安約束可在系統(tǒng)生命周期內(nèi)的所有時間得到確定，并可在很多不同的抽象層上標(biāo)識。需要注意的是，這些平安約束或是肯定語氣〔總是如此〕或是否認語氣〔絕對禁止如此〕。99PA09——提供平安輸入BP09.03標(biāo)識平安備選方案本根本實施的目的在于標(biāo)識出平安相關(guān)工程問題的備選解決方案。這一過程要反復(fù)進行，將平安相關(guān)需求轉(zhuǎn)化為具體的實現(xiàn)。這些解決方法可以以多種形式提供，例如體系結(jié)構(gòu)、模型或原型。本根本實施涉及到對平安相關(guān)需要的分解、分析和重組，直到標(biāo)識出有效的備選方案。BP09.04分析工程備選方案的平安性本根本實施的目的在于分析并排列工程備選方案的優(yōu)先級。使用BP09.02中確定的平安約束和平安考慮，平安工程師便可以評估每一個備選方案，并向工程組提交建議。此外，平安工程師還應(yīng)考慮其他工程組的工程指南。這些工程備選方案并不限于BP09.03中標(biāo)識的平安備選方案，還包括來自其他領(lǐng)域的備選方案。100PA09——提供平安輸入BP09.05提供平安工程指南本根本實施的目的在于制定平安相關(guān)指南，并將其提供給工程組。平安工程指南可被工程組用來對體系結(jié)構(gòu)、設(shè)計和實現(xiàn)做出決策。BP09.06提供運行平安指南本根本實施的目的在于開發(fā)出平安相關(guān)指南并將其提供給系統(tǒng)用戶和管理員。這些運行指南告訴了用戶和管理員如何才能以平安的方式安裝、配置、運行和終止系統(tǒng)。為確保到達該目的，運行平安指南的開發(fā)應(yīng)盡早開始。101PA10——確定平安需求BP10.01獲得對客戶平安需求的理解本根本實施的目的在于收集所有有助于全面理解客戶平安需求的信息。平安風(fēng)險對客戶的重要性程度將會影響到這些需求。系統(tǒng)的預(yù)期運行環(huán)境也會影響到客戶的平安需求。BP10.02標(biāo)識有關(guān)的法律、政策和約束本根本實施的目的在于收集所有可影響系統(tǒng)平安性的外部影響。可能的外部影響包括法律、法規(guī)、政策以及商業(yè)標(biāo)準(zhǔn)，他們均可能左右系統(tǒng)的環(huán)境。全局和局部政策的優(yōu)先權(quán)應(yīng)該得到確定。必須說明系統(tǒng)客戶提出的平安需求，并從中理解其平安意義。102PA10——確定平安需求BP10.03標(biāo)識系統(tǒng)平安背景本根本實施的目的在于說明系統(tǒng)的背景是如何影響平安的。它涉及了對系統(tǒng)用途〔例如，情報、金融、醫(yī)療〕的理解。系統(tǒng)的任務(wù)處理過程以及運行概要均要在平安考慮下加以評估。在本根本實施中，應(yīng)該對系統(tǒng)面臨的〔或可能面臨的〕威脅進行深入理解。此外，還要評估性能和功能需求可能對平安產(chǎn)生的影響。運行的約束條件也要接受檢查，以考察其對平安的影響。為了定義出系統(tǒng)的平安邊界，系統(tǒng)的環(huán)境可能還要包括該系統(tǒng)與其他機構(gòu)或系統(tǒng)的接口。要標(biāo)識出接口組件是位于平安邊界的內(nèi)側(cè)還是外側(cè)。機構(gòu)外的很多因素也會影響到機構(gòu)的平安需求。這些因素包括策略上的傾向性和政治重點的變化、技術(shù)開展、經(jīng)濟影響、全局性事件以及信息戰(zhàn)。這些因素沒有一個是靜態(tài)的，因此需要監(jiān)視并定期地評估這些變化可能造成的影響。103PA10——確定平安需求BP10.04形成對系統(tǒng)運行的平安認識本根本實施的目的在于形成一個高層的、面向平安認識，包括角色、職責(zé)、信息流、資產(chǎn)、資源、人員保護以及物理保護。其中還要考慮在平安要求的約束下，機構(gòu)如何運作。對系統(tǒng)的這些觀察一般應(yīng)該在運行平安概念中提出來，且應(yīng)包括對系統(tǒng)體系結(jié)構(gòu)、流程和環(huán)境的高層面的平安認識。在本階段，與系統(tǒng)開發(fā)環(huán)境有關(guān)的要求也要觀察和認識。BP10.05形成平安的高層目標(biāo)本根本實施的目的在于，標(biāo)識出為了向運行環(huán)境中的系統(tǒng)提供足夠的平安而需滿足的平安目標(biāo)。PA06“建立保證論據(jù)〞中確定的系統(tǒng)保證目標(biāo)也會對平安目標(biāo)產(chǎn)生影響。104PA10——確定平安需求BP10.06定義平安相關(guān)需求本根本實施的目的在于定義出系統(tǒng)的平安相關(guān)需求。本實施應(yīng)確保每個需求與相關(guān)的政策、法律、標(biāo)準(zhǔn)、平安需求以及系統(tǒng)的約束條件相一致。他們應(yīng)能完全地產(chǎn)生出系統(tǒng)的平安需求，包括那些需要通過非技術(shù)手段提供的平安需求。通常有必要定義或確定出目標(biāo)的邏輯或物理邊界，以確保沒有疏漏。這些需求應(yīng)該映射或關(guān)聯(lián)到系統(tǒng)目標(biāo)中去。平安相關(guān)需求應(yīng)清楚、簡潔地陳述，且不能彼此之間發(fā)生矛盾。只要可能，平安就應(yīng)努力將其對系統(tǒng)功能和性能的影響降至最小。平安相關(guān)需求將為目標(biāo)環(huán)境中的系統(tǒng)平安性提供一個評價的根底。BP10.07達成對平安的一致性認識本根本實施的目的是使所有有關(guān)團體能就平安需求達成一致性意見。當(dāng)討論的是普遍性用戶〔而非具體用戶〕時，平安需求應(yīng)該滿足平安目標(biāo)集。具體化的平安應(yīng)能完備地、一致地反映出有關(guān)的政策、法律和用戶需求。在一致性意見未達成之前，所有相關(guān)問題均應(yīng)得到標(biāo)識，必要時可以返工。105PA11——驗證與確認平安BP11.01標(biāo)識驗證與確認對象本根本實施的目的在于分別標(biāo)識出待驗證與確認的對象。驗證行為可證明解決方案已得到了正確的實施，而確認行為那么證明了解決方法是有效的。它也涉及與整個生命周期內(nèi)所有工程組的協(xié)調(diào)。BP11.02定義驗證與確認方法本根本實施的目的在于定義驗證與確認的方法和嚴格程度。驗證與確認方法的標(biāo)識過程涉及到了選擇哪一種方法去對工程中的各項需求實施驗證與確認。嚴格程度可說明驗證與確認的力度和粒度，這將受到“建立保證論據(jù)〞中的保證戰(zhàn)略的影響。例如，某些工程只對需求的符合性進行簡單的檢查，而某些工程那么可能需要更嚴格的檢查。驗證與確認方法中還應(yīng)包括維護可跟蹤性的手段，跟蹤的內(nèi)容很多，從客戶的運行平安需求到解決方案平安需要，以至到驗證與確認的結(jié)果。106PA11——驗證與確認平安BP11.03實施驗證本根本實施的目的在于驗證解決方案是否實現(xiàn)了上一抽象層中的相關(guān)要求，包括PA06“建立保證論據(jù)〞中所標(biāo)識的保證需求，從而驗證解決方案是否正確。有很多驗證需求的方法，包括測試、分析、觀察和演示。所用的方法應(yīng)在BP11.02中標(biāo)識。每個局部需求以及整個系統(tǒng)的需求都要受到驗證。BP11.04實施確認本根本實施的目的在于驗證解決方案是否能最終滿足客戶的運行平安需求。有很多方法可以用來完成該項工作，包括在一個運行環(huán)境或有代表性的測試環(huán)境中去測試解決方案。本根本實施所使用的方法應(yīng)在BP11.02中被標(biāo)識。BP11.05提供驗證與確認的結(jié)果本根本實施的目的在于為其他工程組收集驗證與確認的結(jié)果。驗證與確認的結(jié)果應(yīng)以某種易于理解和使用的方式所提供。所有結(jié)果均應(yīng)被跟蹤，以確保需求、解決方案、測試結(jié)果的可跟蹤性。107過程域描述格式PA01——過程域名概述——對該過程域的概括介紹目標(biāo)——實施該過程域期望到達的目標(biāo)根本實施列表——說明每一個根本過程的序號和名稱過程域注解——對該過程域的其它說明——根本實施名描述性名字——對該根本實施的一句描述描述——對該根本實施的概括工作成果例如——列出了所有可能的輸出 注解——關(guān)于該根本實施的任何其它的注解BP.01.02……108過程域舉例PA05評估脆弱性概述評估平安脆弱性的目的在于標(biāo)識和描述系統(tǒng)的平安脆弱性。本過程域包括分析系統(tǒng)資產(chǎn)、定義具體的脆弱性以及對整個系統(tǒng)的脆弱性進行評估。與平安風(fēng)險和脆弱性評估相關(guān)的術(shù)語在不同的場合中使用起來是不同的。就本模型的用途而言，“脆弱性〞指的是可被利用來完成不期望行為的系統(tǒng)的某些特征、平安弱點、漏洞或易被威脅所攻擊的系統(tǒng)實施的缺陷。這些脆弱性與任何特定的威脅或攻擊并不相干。本過程域中的活動可在系統(tǒng)生命周期內(nèi)的任何時間進行，以支持在環(huán)境系統(tǒng)的開發(fā)、維護和運行決策。目標(biāo)獲得對一給定環(huán)境中系統(tǒng)平安脆弱性的理解。109過程域舉例〔續(xù)〕過程域注解本過程域涉及到的分析和實施通常是“書面研究〞，而通過主動式工具和技術(shù)來查找系統(tǒng)脆弱性那么是另一種補充方法，但它不能代替其他的脆弱性分析技術(shù)。這些主動式技術(shù)可看作是一種特殊的脆弱性分析形式。當(dāng)對系統(tǒng)進行升級后，為了驗證升級后系統(tǒng)的平安性，主動式脆弱性分析技術(shù)便十分有用；或者當(dāng)兩個系統(tǒng)合并時，主動式也有助于發(fā)現(xiàn)系統(tǒng)中的脆弱性。在某些情況下，為了確認系統(tǒng)的平安狀況并進一步發(fā)現(xiàn)和了解系統(tǒng)的平安脆弱性，往往也需要主動性分析技術(shù)。主動性分析技術(shù)有時稱之為滲透性測試，在測試中，平安工程師將嘗試是否能夠繞過系統(tǒng)的平安機制。平安工程師一般要在常規(guī)用戶的約束條件下展開滲透性攻擊，但他們可以使用全部的設(shè)計和實施文檔。這種滲透性測試也不能無止境地進行下去，它必然要受到時間和本錢的制約。本過程域產(chǎn)生的威脅信息可以與PA04中得到的威脅信息、PA02中得到的影響信息一起協(xié)作，為PA03提供輸入。雖然這些涉及威脅、脆弱性和影響信息的收集活動是分散在不同的過程域之中的，但他們之間的互依賴性很強。他們的目的是為風(fēng)險管理尋求充分的信息，以指導(dǎo)平安措施的實施。因此，在一定程度上，脆弱性評估過程要得到威脅和影響評估的指導(dǎo)。由于脆弱性可能會變化，因此必須定期地對其進行監(jiān)視，以確保本過程域中獲得的對脆弱性的理解始終正確。110過程域舉例〔續(xù)〕根本實施清單BP05.01選擇在一給定環(huán)境中對系統(tǒng)脆弱性進行標(biāo)識和描述的方法、技術(shù)和標(biāo)準(zhǔn)。BP05.02標(biāo)識系統(tǒng)平安脆弱性。BP05.03收集與脆弱性屬性有關(guān)的數(shù)據(jù)。BP05.04評估系統(tǒng)脆弱性，并將特定脆弱性以及各種特定脆弱性的組合進行綜合。BP05.05監(jiān)視脆弱性及其特征的變化。111過程域舉例〔續(xù)〕BP05.01選擇脆弱性分析方法選擇在一給定環(huán)境中對系統(tǒng)脆弱性進行標(biāo)識和描述的方法、技術(shù)和標(biāo)準(zhǔn)。描述本根本實施包括定義系統(tǒng)的脆弱性分析方法，以對平安脆弱性進行標(biāo)識和描述。其中還要包括脆弱性的分類和優(yōu)先級排序方案，根據(jù)威脅及其可能性、系統(tǒng)的運行功能、平安需求或以其他感興趣的內(nèi)容為根底來完成脆弱性的分類和排序。還要標(biāo)識出這些分析方法的深度和廣度，以使平安工程師和客戶判斷出待分析的目標(biāo)系統(tǒng)及分析的全面性。脆弱性分析應(yīng)該在預(yù)定的專門時間內(nèi)展開，并在一個框架和清晰記錄的配置內(nèi)完成。脆弱性分析方法中應(yīng)包括預(yù)期結(jié)果，脆弱性分析的具體目標(biāo)也應(yīng)陳述清楚。112過程域舉例〔續(xù)〕工作結(jié)果例如脆弱性分析方法——標(biāo)識發(fā)現(xiàn)并討論系統(tǒng)平安脆弱性的方法，包括分析、報告和跟蹤過程。脆弱性分析格式——描述脆弱性分析結(jié)果的格式，以保證分析方法的標(biāo)準(zhǔn)化。攻擊方法學(xué)及其原理——包括實施攻擊測試的目標(biāo)和方法。攻擊過程——實施攻擊測試的詳細步驟。攻擊方案——包括資源、時間進度和攻擊方法描述。滲透研究——為標(biāo)識或未知的脆弱性而采取的攻擊方法和實施概要。攻擊概要——描述將要實施的具體攻擊。113過程域舉例〔續(xù)〕注解脆弱性分析方法可以是現(xiàn)有的、經(jīng)裁剪的或者專門針對特定的系統(tǒng)運行和環(huán)境而制定的。本根本實施通常會以PA03“評估平安風(fēng)險〞中的風(fēng)險分析方法為根底，或?qū)ζ涮峁┭a充。需要注意的是，如果在實施脆弱性分析時要縮小工作范圍，或者已經(jīng)采納了一套適當(dāng)?shù)募僭O(shè)，那么可以不去了解威脅、能力及資產(chǎn)價值。用于脆弱性分析的方法可以是定量或定性的。通常，脆弱性分析中要能夠反映出對可能性的認識。主動性攻擊結(jié)果可以以書面報告形式提交，但攻擊本身還應(yīng)該通過實踐來實施。至少存在兩種根本的脆弱性方法。這兩種方法分別為基于分析的方法和基于測試的方法?；跍y試的方法對于標(biāo)識現(xiàn)有的脆弱性以及測試集中包含的威脅來說，是很好的方法。而基于分析的方法，那么對于標(biāo)識新的脆弱性以及那些并不立即暴露但會隨其他平安問題而顯現(xiàn)的脆弱性來說是最好的方法。中選擇脆弱性分析方法時，還應(yīng)考慮的其他選項包括基于定量或定性的方法。應(yīng)該考慮在分析或測量方法中控制的完整性問題。114SSE-CMMSSE-CMM綜述SSE-CMM的模型SSE-CMM的域維〔過程域與根本實施〕SSE-CMM的能力維〔公共特征與通用實施〕115通用實施與公共特征通用實施〔GP〕是應(yīng)用在所有過程中的行為。它們針對的是一個過程的管理、測量和制度化。一般來說，它們應(yīng)用在對一個機構(gòu)的過程執(zhí)行能力的評定之中。通用操作被歸為了假設(shè)干類邏輯域，成為“公共特征〞。SSE-CMM的能力級別共分為5級，5級的要求那么由這些公共特征所組成。與根本實施不同，通用實施的順序根據(jù)成熟度排列。在通用實施維中，越向上，表示成熟級別越高。每一個公共特征由一個或多個通用實施所組成。116通用實施與公共特征的關(guān)系公共特征通用實施通用實施公共特征持續(xù)改進計劃和跟蹤非正式執(zhí)行初始充分定義定量控制能力維117通用實施、公共特征、能力級別的關(guān)系

CommonFeaturesCommonFeaturesGenericPracticesGenericPractices通用實施以實施或制度化為手段來提高工程過程的實施能力通用實施的集合，每一集合中的公共特征面向的是同一類過程的管理和制度化問題若干個（第一級是一個）公共特征的組合，顯示了安全工程過程的實施能力級別公共特征能力級別118能力維的原那么119SSE-CMM的5個能力級別及其包含的公共特征

120121第一級：非正式執(zhí)行該級將關(guān)注一個機構(gòu)或工程是否執(zhí)行了包含根本實施過程的平安工程。該級別的特點可以描述為“你必須首先做它，然后才能管理它〞。在本級別，過程域中的根本實施通常已得到了執(zhí)行。但這些根本實施的執(zhí)行可能未經(jīng)過嚴格的方案和跟蹤，而是基于個人的知識和努力。各過程域的工作結(jié)果可用來確認根本實施已經(jīng)執(zhí)行。在機構(gòu)中以個人為單元區(qū)分出某根本實施應(yīng)被執(zhí)行，并對執(zhí)行的需求及時間達成普遍意見。本級的工作結(jié)果是可標(biāo)識的。122第二級：方案和跟蹤該級將關(guān)注工程層面的定義、規(guī)劃和執(zhí)行問題。該級別的特點可描述為“在定義機構(gòu)層面的過程之前，先要理解工程的相關(guān)事項〞。在本級別上，根本實施的執(zhí)行要經(jīng)過規(guī)劃并被跟蹤。執(zhí)行時要依據(jù)具體的流程，并應(yīng)得到驗證。工作結(jié)果要符合特定的標(biāo)準(zhǔn)和需求。執(zhí)行情況還要經(jīng)過測量，以使機構(gòu)能夠基于這些執(zhí)行而管理其活動。它與非正式執(zhí)行級的主要區(qū)別是過程的實施要經(jīng)過規(guī)劃和管理。123第三級：充分定義該級將關(guān)注于在機構(gòu)層面上從既定過程中實施已融合了各個專業(yè)領(lǐng)域知識的裁剪結(jié)果。該級別的特點可描述為“用工程中學(xué)到的最好的東西來創(chuàng)立機構(gòu)層面的過程〞。在本級別，根本實施應(yīng)按照充分定義的過程來執(zhí)行，執(zhí)行過程中將使用已獲批準(zhǔn)的、經(jīng)裁剪的標(biāo)準(zhǔn)。本級與第2級“方案和跟蹤級〞的主要區(qū)別在于本級將利用機構(gòu)范圍內(nèi)的標(biāo)準(zhǔn)化過程來規(guī)劃和管理平安工程過程。124第四級：量化控制該級將關(guān)注于測量，它是與機構(gòu)的業(yè)務(wù)目標(biāo)緊密聯(lián)系在一起的。這個級別的特點可以描述為“只有你知道它是什么，你才能測量它〞以及“當(dāng)你測量正確的對象時，基于測量的管理才有意義〞。對過程執(zhí)行情況的詳細測量將在本級中進行收集和分析。這將形成對過程能力的量化理解，使機構(gòu)有能力去預(yù)測過程的執(zhí)行。本級中，過程執(zhí)行的管理是客觀的，工作結(jié)果的質(zhì)量是量化的。本級與充分定義級的主要區(qū)別在于所定義的過程是可量化理解和控制的。125第五級：連續(xù)改進該級將從此前各級的所有管理活動中獲得最大的收益，并強調(diào)機構(gòu)的文化，以保持所取得的成果。該級別的特點可以描述為“一個持續(xù)改進的文化需要以良好的管理措施、既定過程和可測量的目標(biāo)為根底〞。在本級別，有關(guān)工程過程效果和效率的量化執(zhí)行目標(biāo)已經(jīng)基于機構(gòu)的業(yè)務(wù)目標(biāo)而建立。過程的執(zhí)行以及試驗性的新概念和新技術(shù)產(chǎn)生了量化反響，從而使基于這些目標(biāo)的連續(xù)的過程改進得到了實現(xiàn)。本級與量化控制級的主要區(qū)別在于，在本級中，基于對這些過程變化效果的量化理解，工程中既定過程和標(biāo)準(zhǔn)過程將得到不斷的改進和提高。126請參照公安部GA/T391-2002?計算機信息系統(tǒng)平安等級保護管理要求?中的級別第一級〔用戶自主保護級〕實施根本的管理第二級〔系統(tǒng)審計保護級〕實施操作規(guī)程管理第三級〔平安標(biāo)記保護級〕實施標(biāo)記制度化管理第四級〔結(jié)構(gòu)化保護級〕實施標(biāo)準(zhǔn)化管理第五級〔訪問驗證保護級〕實施平安文化管理127能力級別的描述格式能力級別1——能力級別名概述——對該級別能力的概括介紹公共特征列表——說明每一個公共特征的序號和名稱公共特征1.1——公共特征名