1信息安全技术研究的重要性
随着我国计算机网络用户的急剧增长,我国信息系统的安全面临着严峻的考验,近几年来,不仅在我国,全球的信息系统安全问题层出不穷。而信息系统的安全问题不仅仅是个人和企业的问题,它还涉及到国家的安全、社会的公共安全等。因此,不断加强信息安全技术的研究,提高我国信息系统的安全性和可靠性,十分迫切。针对严峻的信息系统安全现状,目前普遍采用的方式主要有物理隔离、防火墙的建设、访问者身份认证、加密等,但是仅从这些方面去考虑还远远无法保证信息系统的安全。不断加强信息系统安全建设方面的技术,不断提高信息安全风险的检测和评估是提高信息系统安全的重要手段。
2SSE-CMM模型
2.1SSE-CMM模型的概述
SSE-CMM(SystemsSecurityEngineeringCapabilityMaturityModel)模型的中文全称是信息安全工程能力成熟度模型,该模型的主要任务就是评测和改进整个信息安全系统整个生命周期当中的安全工程活动,到目前为止,这个模型是信息系统安全工程领域当中可靠性较高的针对性模型。
2.2基于过程的SSE-CMM模型
基于过程的SSE-CMM模型是从成熟框架CMM模型发展而来的,SSE-CMM模型把信息系统中的安全工程划分成三种不同的过程,分别是风险过程、工程过程、信任度过程,SSE-CMM模型对这三个过程中的关键过程域以及其安全能力成熟度的等级进行了定义。在这个模型中,图b的横轴指的是这个信息系统安全工程的过程域,纵轴是11个过程域的5个能力成熟度等级。根据这个模型的框架对整个信息系统安全工程中的风险过程、工程过程、信任度过程都评定能力成熟度等级,此时得到的二维图便能够把信息系统工程队伍实施信息系统安全工程的能力成熟度形象的反映出来,也能间接的将信息系统安全工程的可信度反映出来。采用SSE-CMM模型对信息系统安全工程进行风险的评估,该模型所认定的安全风险事件包括了3个组成部分,分别是安全威胁、系统的脆弱性、风险事件所造成的影响,在SSE-CMM模型中,只有具备这三个要素才能称之为信息系统工程安全风险。SSE-CMM模型中的安全机制就是把信息系统中的工程安全风险控制在系统能够接受的范围之内。SSE-CMM模型所定义的风险过程包括了评估威胁过程、评估系统脆弱性过程、评估风险事件的影响过程、评估系统安全风险过程。
3SSE-CMM模型的构建和应用
3.1SSE-CMM模型的构建
根据上述SSE-CMM模型的作用过程在信息系统安全工程中构建SSE-CMM模型的具体步骤如下所示。第一步,对信息系统的安全工程风险进行分析,进行工程的风险分析时,要从现行的信息系统工程的风险入手,然后采取科学、先进的风险分析方法进行风险的分析。第二步,要确定目标,及要明确信息系统安全工程所提出的系统安全要求,这个安全要求是信息系统建设过程中、设计、建设、使用以及安全风险评估和监管的主要依据。第三步,对信息系统的二维视图进行描述,即需要明确的、简洁的对信息系统中的安全系统进行描述,谈后根据描述给出信息安全系统的拓扑图和边界的划分,边界的划分包括了系统的典型构造、系统的应用划分等,并对系统内的数据和需要保护的财产、系统的环境等进行描述。第四步,建立信息安全系统的基线。第五步,制定相关的信息安全系统构建策略,这些策略包括系统的物理安全策略、网络完全策略、系统应用安全策略等。第六步,对信息系统的安全工程建设进行整体的设计,其中设计是必须保证信息系统安全系统的整体框架是全方位和综合性的,并增强每个层次和划分区域的安全防御能力,从而实现一体化的信息安全系统。
3.2SSE-CMM模型的应用原则
第一,安全需求的基线。包括了用户的安全需求、对系统安全具有影响的法律法规和政策等,保证系统的安全需求与法律和政策中的保持一致,并且保证用户的需求与系统的安全需求保持一致。第二,安全输入的基线。第三,协同安全的基线。第四,安全管理的基线。在安全管理基线方面包括以下几点:一、要将信息系统的安全控制责任以文档化的形式传达给每位相关者;二、对于信息系统的安全控制有关的软件配置进行定义和管理;三、对用户和管理人员进行安全控制和管理的培训和宣教。第五,安全保证参数的基线。包括确定安全保证的目标、制定相关的保证策略、对安全保证证据金属分析等。
4结语
总之,针对我国现阶段所面临的信息系统安全工程问题,不仅要加强信息系统安全工程的管理,在技术方面也要进行深入的研究,我国现阶段的信息系统安全技术尚处于初级起步的阶段,要保证我国信息系统的安全,不断推进我国的信息化进程,需要对以SSE-CMM模型为代表的安全技术进行进一步的研究和开发。
作者:任雁 单位:陕西职业技术学院
