1、评估系统安全威胁的能力(描述如何识别系统所面临的各种安全威胁及其性质和特征,以及对威胁的可能性进行评估)
系统安全威胁来自于两个方面:人为威胁、自然威胁。人为威胁分两部分:一是由偶然原因引起的人为威胁;二是由故意行为引起的人为威胁。自然威胁指由自然引起的有关威胁,如地震、海啸和台风等。在服务项目的相关人员参与下,根据威胁的可能性评估方法和定性标准,经过充分的分析和评价,进行识别系统所面临的各种安全威胁,并描述其性质和特征。通过识别工作,找出合适的自然威胁列表,对人为威胁应描述其威胁如何发生的,测试其威胁相关事件的可能性。同时进行评估性工作,如评估由人为原因引起的威胁作用力的技能和效力;评估威胁事件可能性。在评估威胁事件可能性时,要考虑多种因素,而且注意在不同的安全服务项目中,各因素出现的概率不同。
2、评估系统脆弱性的能力(描述如何对系统的脆弱性进行评估,包括所选择的分析方法、工具,收集、合成系统的脆弱性数据;提供一份具体项目中关于系统脆弱性评估的相应文档记录,包括系统脆弱性清单、攻击测试报告等)
对某一具体系统环境资源和性质分析,根据具体情况识别寻找和提出系统安全脆弱性的方法,包括分析、报告、跟踪过程。可定量或定性分析脆弱性;采用分析和测试的方法来识别脆弱性。在选择脆弱性测试工具时,可考虑使用合适的扫描产品和国内、国际漏洞库。通过脆弱性识别,可获得系统中的脆弱性清单,以及相应的攻击测试结果。根据系统环境的具体情况,建立相应的脆弱性数据库,同时注意脆弱性的迁移和不确定性。系统中的脆弱性来自于三个方面:实现过程中遗留的漏洞;设计中遗留的漏洞;配置中留下的漏洞。通过脆弱性评估报告和攻击报告评估并综合系统脆弱性。脆弱性评估报告包括对系统造成问题的脆弱性的定性或定量的描述,这些问题是攻击的可能性、攻击成功的可能性及攻击产生的影响。攻击报告指的是对已发现的脆弱性、被开发的潜在可能性和脆弱性利用的分析过程和结果进行书面总结。具体文档见附件4之一。
3、评估安全对系统的影响的能力(描述如何识别安全对所实施的系统的影响,并对发生影响的可能性进行评估;提供一份具体项目中关于评估安全对系统的影响的相应文档记录,如系统优先级清单、系统资产分析表等)
影响是意外事件对系统资产产生的后果,可由故意行为或偶然原因引起,可能是有形的或无形的。主要识别和分析系统操纵的运行、业务或任务的影响,并进行优先级区分。同时识别系统资产和它的运行意义及产品资产和它的运行意义。资产包括系统的人、环境、技术和基础设施,还包括数据和资源。确定评估影响的度量标准,从资产预算财务成本、严重等级(1-10)和基本的描述(低、中、高)中说明影响的数量、质量。特别在某些影响要使用不同的评估度量标准时,应给出评估度量标准之间的内在联系,使得评估的一致性。因此评估影响的标准既要考虑度量标准之间的关系的清单,又要考虑组合影响度量标准的规则。利用多重度量标准或统一度量标准的合适方法对意外影响进行识别和特征化。该阶段给出潜在影响和相关度量的清单。
具体文档见附件4之二。
4、评估系统安全风险的能力(描述如何识别出一给定环境中涉及到对某一系统有依赖关系的安全风险;如何对系统的安全风险进行评估,包括选择风险评估方法、风险优先级排列方法等;提供一份具体项目中关于评估系统安全风险的相应文档记录)
安全风险评估应在某一准则限度内进行,有机的建立在脆弱性信息、威胁信息和影响信息的基础上,注意脆弱性、威胁和影响的相互依存,其目标是寻找认为是足够危险的威胁、脆弱性和影响的组合,从而证明相应行动的合理性。根据具体系统环境,选择用于分析、评估和比较给定环境中系统安全风险所依据的方法、技术和准则,它应该包括一个对风险进行分类和分级的方案,其依据是威胁、运行效能、已建立系统的脆弱性、潜在损失、安全需求等相关问题。因此应描述对风险进行识别和特征化的方法,描述风险及其重要性和相关性。已经被识别的风险应以组织的优先级、风险出现的可能性、与这些因素和可用财力相关的不确定性为依据进行排序。因此需要列出风险优先级清单和可帮助减轻风险的清单,并对优先级排列的描述。
具体文档见附件4之三。
5、确定系统安全需求的能力(描述如何明确识别出系统安全要求;提供一份具体项目中关于确定系统的安全需求的相应文档记录,如安全策略、安全目标、安全需求分析报告等)
通过问卷调查的方式获得用户系统安全需求及外部影响(如可用的法律、策略、和约束)。当识别安全需求出现冲突时,应按最小化原则加以识别,并在可能条件下予以解决。识别系统的用途,以识别和定义其安全相关的安全需求,同时了解关联性的东西是如何影响系统安全性的,定义的相关安全应与可适用的政策、法、标准及系统的约束条件协调一致。在系统安全需求的约束内进行广泛讨论,面向高层次安全开发一个规划图,其中包括角色、职责、信息流程、资产、人员保护以及物理保护。在系统运行中,注意安全目标的影响,因此要动态的捕捉安全的高层目标。通过对安全需求分析,确定安全策略、安全目标。并在各种安全需求之间建立安全协议,从而使它们达成一致。
具体文档见附件4之四。
6、确定系统的安全输入的能力(描述如何为系统的规划者、设计者、实施者或用户提供他们所需的安全信息,包括安全体系结构、设计或实施选择以及安全指南;提供一份具体项目中关于确定系统的安全输入的相应文档记录,如系统安全体系设计方案,安全模型,各种安全相关的指南等)
同系统安全设计者、开发者及用户一起商讨,以求对安全需求有一个共同的理解。通过分析以决定在需求、设计、实现、配置和文档方面的任何安全限制和考虑。约束在系统生命期内的所有时间内进行肯定或否定性的识别。对安全相关的需求进行分解、分析和重组,以致识别出有效的解决方案,同时根据安全约束和需要考虑的问题进行方案分析,并加以区分它们的优先级。开发出与安全有关的指南,并提供给工程组,安全工程指南包括体系结构、设计和实现建议等。同时为运行系统的用户和管理员提供安全相关的指南,本指南告诉用户和管理员在以安全模式进行安装、配置、运行和淘汰系统时必须做些什么,指南在管理员和用户手册等文档体现。本基本实施产生的文档有:安全设计准则、安全实施规则、安全设计文档、安全模型、安全体系结构、管理员手册、用户手册等。
具体文档见附件4之五。
7、安全控制管理的能力(描述如何保证集成到系统设计中的已计划的系统安全确实由最终系统在运行状态下达到。包括建立安全职责,增强所有用户和管理员的安全意识,开展安全教育培训,对所有的安全配置进行管理(软件更新记录、安全配置修改记录等);提供一份具体项目中关于进行管理安全控制的相应文档记录)
建立安全控制的职责和责任并通知到组织中的每一个人,安全的某些方面能够在常规的管理结构中进行管理,然而另外一些方面则需要更专业的管理,建立安全组织图表,并描述安全角色和安全职责,并对安全组织中的人员进行授权。对系统安全控制的配置进行管理,如所有软件更新的记录、所有发布中问题的记录、系统安全配置的修改、安全需求修改等。管理所有的用户和管理员的安全意识、培训和教育大纲,因此要根据不同的用户情况确定安全培训资料,并跟踪用户对组织和系统安全的理解,不定期的进行用户培训,以适应新的安全需要。定期维护和管理安全服务和控制机制,如维护和管理日志,定期的维护和管理检查,跟踪记录系统维护方面的问题以便识别需要额外关注的地方,注意维护和管理的例外,描述敏感信息和敏感介质清单,建立起保证措施,以便信息敏感性降低或者介质被净化或处置后,不出现不必要的风险。
具体文档见附件4之六。
8、监测系统安全状况的能力(描述如何对安全风险变化、事件记录、安全防护措施进行监视,并识别安全突发事件和对安全突发事件进行响应;提供一份具体项目中关于进行监测系统安全状况的相应文档记录)
分析各种事件记录,以确定一个事件的原因及其发展,以及将来可能发生的事件,对每一个事件进行描述,并建立起日志记录和来源,对最近的日志加以分析并进行一定的归纳。特别要动态的监控威胁、脆弱性、影响、风险和环境变化,并在报告中体现,在报告中对变化的意义进行定期评估。能识别出安全突发事件,定义突发事件并列出突发事件,制定突发事件响应指南,描述出现的突发事件及其相关详细情况,包括突发事件的来源、任何形式的危险、应采取的响应和需要进一步采取的行动,同时报告各种入侵事件,指明入侵事件的来源、任何形式的危险、应采取的响应和需要进一步采取的行动。检测安全防护措施的执行情况,以便识别出安全措施执行中的变化。审核系统安全态势以识别必要的修改,描述当前安全风险环境、现有的安全态势和对这两者是否兼容进行分析,并通过第三方权威组织认证,通过报告的形式指明在运行的系统中,安全风险是可接受的。由于许多事件不能预防,因而对破坏的响应能力是十分重要的。为了保证监控活动的可信性,应封存和归档相关的日志、审计报告和相关分析结果。
具体文档见附件4之七。
9、安全协调能力(描述如何进行安全协调,包括建立各工作组之间以及组内部的协调机制,并确保其实施的方法;提供一份具体项目中关于进行安全协调的相应文档记录)
确定安全协调的信息共享协议,工作组的成员关系和日程表,描述各工作组之间及用户之间沟通 安全相关信息的过程和程序。制定工作组间及其与其他团体间的沟通计划,如会议日期、共享的信息、会议过程和程序,并指明通信的基础设施和标准,同时确定各种文档的格式,如会议报告、消息、备忘录的模板。制定冲突解决规程,以便解决协调中的冲突。描述会议中讨论的议题、强调需要阐述的目标和行动条目,并跟踪行动条目,即识别工作和项目分解的计划,包括职责、时间表和优先级。注意在各种安全工程组织、其他工程组织、外部实体和其他合适的部门中交流的安全决定和建议。通过会议报告、备忘录、工作组会议纪要、电子邮件、安全指南或公告牌将有关的决定告诉有关的工程组;通过会议报告、备忘录、工作组会议纪要、电子邮件、安全指南或公告牌将有关的建议告诉有关的工程组。
具体文档见附件4之八。
10、检测和证实系统安全性的能力(描述如何检测和证实系统的安全性,包括检测或证实系统安全性的方法和工具;提供一份具体项目中关于检测和证实系统安全性的相应文档记录,如测试计划,检测结果,检测报告等)
通过观察、论证、分析和测试,因此解决方案依照安全需求、体系结构和设计得到验证,即证明了解决方案是有效的。解决方案依照用户的运行证实了安全需求,即证明了解决方案被正确的实施。定义验证和证实工作,包括资源、进度表、验证和证实的工作产品。采用测试和分析的方法验证和证实系统安全,同时定义测试每种解决方案时采取的步骤,并清楚什么样的验证和证实结果才能满足用户的安全需求和需要。注意各种方法和工具得到的原始数据及在验证解决方案满足需求过程中发现的矛盾。在证实过程中,要将发现的矛盾写入问题报告,注意解决方案不能满足安全的地方,并能找出不能满足用户安全需求的解决方案。将测试结果记入测试结果文档,也要将安全需求映映射到解决方案的需求,映射到测试和测试的结果。在检测或证实系统安全性时,可使用安全工具和项目管理工具。
具体文档见附件4之九。
11、建立系统安全的保证证据的能力(描述如何建立系统安全的保证证据,包括对保证的目标进行识别、建立保证证据库并对其进行分析等;提供一份具体项目中关于进行建立系统安全的保证证据的相应文档记录)
由开发者、集成者、用户和签名授权者确定安全保证目标,同识别新的和经修改的安全保证目标,在描述和定义安全保证目标时,安全保证目标必须清晰地交流沟通以避免歧义,如有必要应做出适当的解释或进行开发。为了规划并确保正确地和强制性地实现安全目标,应定义一个安全保证策略,对满足用户安全目标的规划进行描述并识别应负责的责任方。识别并控制安全保证证据,建立安全保证仓库,用于存储开发、测试和使用期间产生的所有证据,可考虑使用数据库、工程笔记本、测试结果、证据日志记录的形式。对数据仓库中的安全保证证据进行分析,从而识别和概述证据仓库中证据的强度和弱点。开发出一个完整的并被证明与安全目标一致的安全保证目标,并将其提交给用户。
具体文档见附件4之十。
12、如何实现质量保证(描述如何实现质量保证;提供组织实现质量保证的相应文档记录)
记录来自对已定义系统工程的偏离及其所造成的影响。以书面或在线的形式发布质量手册。采用合适的测试手段,进行安全工程或安全服务质量评估,并对安全工程或安全服务质量进行有效的认证。特别注意测试系统工程过程的质量,在过程质量认证中,可采用过程流图,对过程参数进行统计学控制。采用偏差分析、失效分析、缺陷报告、系统质量趋势、因果图等方法,对质量分析方法进行有效的分析。在识别和报告质量问题中得到员工的参与,建立过程行动组、质量保证组、质量问题报告渠道。应启动质量改善活动,提出改善系统工程过程的建议,制定改善计划和过程修订计划及内容。建立一个或一套机制来探测对过程或安全工程或安全服务进行矫正活动的需求,并将各种故障写入报告。
具体文档见附件4之十一。
13、如何对整个系统进行管理配置(描述如何进行管理配置,包括维持已标识的配置单元的数据和状况,并对系统及其配置单元的变化进行分析和控制;提供对整个系统进行管理配置的相应文档记录)
指明作为配置管理的指南,选择和描述配置管理过程。在选择配置管理单元时的原则是兼顾开发者和用户均可受益,且不要给开发人员造成过度的管理负担,即具有可操作性,识别出用户单元。维护工作产品基线的知识库,使用决策数据库和可跟踪性模板。控制对已建立的配置单元的更改,跟踪每一个配置单元的配置,审批新的配置,必要时还要对基线升级换代。被修改过的配置单元在经过审核和有了正式的审批手续后发布,所有的修改只有在发布以后才正式生效。将配置数据状态、建议的更改和访问信息通知到受影响的组,状态报告应该包括处理配置单元接受更改后的信息,以及由于该变化而受到影响的相关人员。
具体文档见附件4之十二。
14、如何管理项目风险(描述如何管理项目风险;提供管理项目风险的相应文档记录)
开发一个风险管理活动计划,作为在项目生命期内识别、评估、缓解和监控风险的基础,在其中可运用螺旋式的渐进管理方法。根据可选择方案和约束条件,通过对项目目标的测试来识别项目风险,并识别导致错误的可能因素,建立起项目风险列表。评估项目风险,并确定其发生的概率和后果,建立起项目风险发生概率和成本估计的标准。获得对项目风险评估的正规化认识,审核风险评估的充分性并对基于风险的技术工作作出继续、修改或取消的决策,这一审核应该包括对潜在风险的缓解努力及其成功可能性的评估。制定风险缓解计划,通过风险缓解活动可以降低风险发生率,或当风险已经发生时,减少它的破坏范围,对于一些特别需要关注的风险,将同时采取几种风险缓解活动。跟踪风险缓解活动,获得风险状况,进行风险分类。
具体文档见附件4之十三。
15、如何监控技术活动(描述如何进行监控技术活动,包括技术活动指导,项目资源的跟踪,问题分析等;提供关于进行监控技术活动的相应文档记录)
根据技术管理计划指导技术工作项目,建立工作模板,确定工作权限。按照技术管理计划对资源实际使用情况进行跟踪,提供及时的资源使用信息,以帮助在需要时调整工程项目和计划。对已设计技术参数的执行情况进行跟踪,以将问题警告给管理层。当达到一定的周期或技术参数门限被超过时,需要对项目的执行及其成果进行审核。技术执行的测量分析结果将与其他的技术执行指标一起被审核,而矫正行动计划也要被核准,建立请求修订技术管理计划。召开会议,提交执行情况分析和建议的矫正行动,写出状态报告,作为项目审核会议的基础。在整个项目生命期内,新的问题会不断地出现,及时地识别、分析和跟踪这些问题对于计划执行是十分重要的。
具体文档见附件4之十四。
16、如何规划技术活动(描述如何规划技术活动,包括关键资源的识别,项目费用估算,确定工程过程,定义项目接口,项目进度计划等活动;提供关于进行规划技术活动的相应文档记录)
检查项目进度表、并思考在某一时段的每一点上所需资源的类型,列出不易获得的资源,从而识别出关键性资源。采用好的因素估算方法,确定估算系统的范围,如源代码的行数、电子卡数量等。在估算成本之前,关于项目的大量数据(项目范围、进度表、原料项目等大量信息)都收集起来,关注由技能水平和进度表决定的劳动力总费用、项目及销售商和进度表的材料费用和转包费用、工具费用、培训费用、支持性基本费用等。根据项目特点采用合适的工程过程,如瀑布型、螺旋渐进型、增量型等模型。利用类似项目的历史记录,就有可能开发出活动的列表,并确信该列表的完整性。对于一个项目,为进行成功的交流,需要标识出在组织内或组织外的各个交互组,同时对于每个组,都要根据接口机制、接口频度和问题解决机制来定义和实施每个接口。开发项目进度表和建立技术参数,开发技术性管理计划和确定审核和批准项目计划。
具体文档见附件4之十五。
17、如何管理系统工程支持环境(描述如何管理系统工程支持环境;提供关于管理系统工程支持环境的相应文档记录)
基于安全实施组织的需要,应确定系统工程支持环境的需求,特别是确定安全组织对计算机网络性能、改进的分析方法、计算机软件和过程重构的要求。系统工程支持环境可以包括下列元素:软件生产性工具、仿真系统工程的工具、所有者的室内工具、定制的商业性可用工具、特殊的测试装置以及新设施等。在将新技术引入工程支持环境时,应彻底地测试该技术,并监控新技术的可接受性。通过各种方式维护支持环境,并将有关内容写入系统工程支持环境的执行报告,采用的方法有:雇用或培训计算机系统管理员、为选定的自动化工具培养内行用户、培养在不同项目上使用支持环境的方法论专家、培养在不同项目上使用支持环境的过程专家。注意要动态地监控工程支持环境。
具体文档见附件4之十六。
18、如何提供不断发展的知识和技能(描述如何提供不断发展的知识和技能;提供相应文档记录)
以项目需求、组织的策略计划、现有的员工技能作为引导,对整个组织中的技能和知识中所需的改进进行识别,因此确认组织的培训需求、项目技能或知识。对所需技能和知识进行调查,并折衷研究结果,而且找出最有效的技能和知识培训模式。针对每一个作业细目结构元素做一张知识类型检查列表,以此来实现对技能和知识的适当覆盖。根据需要,应有针对性的准备培训资料,包括预期的听众、培训目标、培训期、课时计划、学生满意度调查表。按照培训计划和开发的资料对人员进行培训,根据培训人员的特点,采取各种有效的培训方式和方法,并给培训人员的进行必要的考核,从而反映出培训的效果,然后根据培训的效果情况,有必要时可对培训进行修正。特别要维护培训记录,记录被有效的保留下来,以此用以跟踪员工接受的培训。同时要注意保留培训资料,并尽可能的将培训资料标准化,以备将来培训所需或培训修正。
具体文档见附件4之十七。
19、如何与供应商协调(描述如何与供应商协调;提供关于如何与供应商协调的相应文档记录)
其目标是选择和利用有效供应商。供应商可以是销售商、转包商和合作伙伴等商业形式组织。对安全产品的进度、工序和交货进行协调,同时受到影响的组织必须共同思考作业关系,这些关系可能涉及到从集成的开发商/供应商安全产品队伍,到初级承包商/分包商,到销售商等的范围。通过对“制造还是购买”的分析决策,决定需要采购的安全项目。根据需要,可进行市场调查,找出潜在的供应商,并清楚的知道每个供应商的强弱和协调的可能方法。按照已定义的过程和合理、公平的方法挑选供应商或销售商,同时将用户的需求信息传达给供应商,并能客观的评价供应商及选择供应商的理由。向供应商提出需求、期望、测试技术和度量。通过“面对面”的沟通与“远程交流”等方式维持与供应商的交流沟通,注意契约所要求的交流,采取合适的交流工具,并制定交流计划,同时应将交流分类进行列表处理。具体文档见附件4之十八。
20、如何进行标准化管理(申请四级资质不要求。描述如何实现标准过程的制度化;提供实现标准过程的相应文档记录)
基本实施按照SSE-CMM充分定义的过程执行,该过程是依据对文档化的标准过程进行裁剪并经批准的过程版本。实施应注重组织标准过程的制度化。一个组织的标准过程可能需要裁剪以适合特定环境的使用,因此如何裁剪也应考虑。为某一组织对一个过程或过程族进行标准化,它描述了如何实现过程区的基本实施。对组织的标准过程族进行裁剪,以建立一个专门用途的特定需求的定义过程。当对标准系统工程的改进进行实施和评估时,组织应当将成功的改进永久性地加入到标准化系统工程中。裁剪指南应该被设计成适应条件的变化,同时不允许项目绕开准则或组织策略规定的基础重要措施。裁剪应符合环境的变化,如项目领域,成本、进度、质量之间的折中平衡,项目职员的经验,用户属性,项目的技术难度等。
具体文档见附件4之十九。
21、如何实现工程量化控制(申请三级、四级资质不要求。描述如何实现对工程建立量化目标,根据量化目标实施工程,并以量化测量作为修正工程的基础;提供关于如何实现量化管理控制的相应文档记录)
实现工程量化控制应收集、分析执行的详细测量。为组织标准过程族的工作产品建立可测度的质量目标,同时确定过程能力的量化测量并使用量化测量来管理这一过程。
具体文档见附件4之二十。
22、如何优化管理(申请二级、三级、四级资质不要求。描述如何在整个组织范围内使用的标准过程,找出标准过程的不足,分析、消除标准过程产生缺陷的原因,并对标准过程进行优化;提供关于优化管理的相应文档记录)