1信息安全技術(shù)研究的重要性

隨著我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)用戶的急劇增長(zhǎng)，我國(guó)信息系統(tǒng)的安全面臨著嚴(yán)峻的考驗(yàn)，近幾年來，不僅在我國(guó)，全球的信息系統(tǒng)安全問題層出不窮。而信息系統(tǒng)的安全問題不僅僅是個(gè)人和企業(yè)的問題，它還涉及到國(guó)家的安全、社會(huì)的公共安全等。因此，不斷加強(qiáng)信息安全技術(shù)的研究，提高我國(guó)信息系統(tǒng)的安全性和可靠性，十分迫切。針對(duì)嚴(yán)峻的信息系統(tǒng)安全現(xiàn)狀，目前普遍采用的方式主要有物理隔離、防火墻的建設(shè)、訪問者身份認(rèn)證、加密等，但是僅從這些方面去考慮還遠(yuǎn)遠(yuǎn)無法保證信息系統(tǒng)的安全。不斷加強(qiáng)信息系統(tǒng)安全建設(shè)方面的技術(shù)，不斷提高信息安全風(fēng)險(xiǎn)的檢測(cè)和評(píng)估是提高信息系統(tǒng)安全的重要手段。

2SSE-CMM模型

2.1SSE-CMM模型的概述

SSE-CMM（SystemsSecurityEngineeringCapabilityMaturityModel）模型的中文全稱是信息安全工程能力成熟度模型，該模型的主要任務(wù)就是評(píng)測(cè)和改進(jìn)整個(gè)信息安全系統(tǒng)整個(gè)生命周期當(dāng)中的安全工程活動(dòng)，到目前為止，這個(gè)模型是信息系統(tǒng)安全工程領(lǐng)域當(dāng)中可靠性較高的針對(duì)性模型。

2.2基于過程的SSE-CMM模型

基于過程的SSE-CMM模型是從成熟框架CMM模型發(fā)展而來的，SSE-CMM模型把信息系統(tǒng)中的安全工程劃分成三種不同的過程，分別是風(fēng)險(xiǎn)過程、工程過程、信任度過程，SSE-CMM模型對(duì)這三個(gè)過程中的關(guān)鍵過程域以及其安全能力成熟度的等級(jí)進(jìn)行了定義。在這個(gè)模型中，圖b的橫軸指的是這個(gè)信息系統(tǒng)安全工程的過程域，縱軸是11個(gè)過程域的5個(gè)能力成熟度等級(jí)。根據(jù)這個(gè)模型的框架對(duì)整個(gè)信息系統(tǒng)安全工程中的風(fēng)險(xiǎn)過程、工程過程、信任度過程都評(píng)定能力成熟度等級(jí)，此時(shí)得到的二維圖便能夠把信息系統(tǒng)工程隊(duì)伍實(shí)施信息系統(tǒng)安全工程的能力成熟度形象的反映出來，也能間接的將信息系統(tǒng)安全工程的可信度反映出來。采用SSE-CMM模型對(duì)信息系統(tǒng)安全工程進(jìn)行風(fēng)險(xiǎn)的評(píng)估，該模型所認(rèn)定的安全風(fēng)險(xiǎn)事件包括了3個(gè)組成部分，分別是安全威脅、系統(tǒng)的脆弱性、風(fēng)險(xiǎn)事件所造成的影響，在SSE-CMM模型中，只有具備這三個(gè)要素才能稱之為信息系統(tǒng)工程安全風(fēng)險(xiǎn)。SSE-CMM模型中的安全機(jī)制就是把信息系統(tǒng)中的工程安全風(fēng)險(xiǎn)控制在系統(tǒng)能夠接受的范圍之內(nèi)。SSE-CMM模型所定義的風(fēng)險(xiǎn)過程包括了評(píng)估威脅過程、評(píng)估系統(tǒng)脆弱性過程、評(píng)估風(fēng)險(xiǎn)事件的影響過程、評(píng)估系統(tǒng)安全風(fēng)險(xiǎn)過程。

3SSE-CMM模型的構(gòu)建和應(yīng)用

3.1SSE-CMM模型的構(gòu)建

根據(jù)上述SSE-CMM模型的作用過程在信息系統(tǒng)安全工程中構(gòu)建SSE-CMM模型的具體步驟如下所示。第一步，對(duì)信息系統(tǒng)的安全工程風(fēng)險(xiǎn)進(jìn)行分析，進(jìn)行工程的風(fēng)險(xiǎn)分析時(shí)，要從現(xiàn)行的信息系統(tǒng)工程的風(fēng)險(xiǎn)入手，然后采取科學(xué)、先進(jìn)的風(fēng)險(xiǎn)分析方法進(jìn)行風(fēng)險(xiǎn)的分析。第二步，要確定目標(biāo)，及要明確信息系統(tǒng)安全工程所提出的系統(tǒng)安全要求，這個(gè)安全要求是信息系統(tǒng)建設(shè)過程中、設(shè)計(jì)、建設(shè)、使用以及安全風(fēng)險(xiǎn)評(píng)估和監(jiān)管的主要依據(jù)。第三步，對(duì)信息系統(tǒng)的二維視圖進(jìn)行描述，即需要明確的、簡(jiǎn)潔的對(duì)信息系統(tǒng)中的安全系統(tǒng)進(jìn)行描述，談后根據(jù)描述給出信息安全系統(tǒng)的拓?fù)鋱D和邊界的劃分，邊界的劃分包括了系統(tǒng)的典型構(gòu)造、系統(tǒng)的應(yīng)用劃分等，并對(duì)系統(tǒng)內(nèi)的數(shù)據(jù)和需要保護(hù)的財(cái)產(chǎn)、系統(tǒng)的環(huán)境等進(jìn)行描述。第四步，建立信息安全系統(tǒng)的基線。第五步，制定相關(guān)的信息安全系統(tǒng)構(gòu)建策略，這些策略包括系統(tǒng)的物理安全策略、網(wǎng)絡(luò)完全策略、系統(tǒng)應(yīng)用安全策略等。第六步，對(duì)信息系統(tǒng)的安全工程建設(shè)進(jìn)行整體的設(shè)計(jì)，其中設(shè)計(jì)是必須保證信息系統(tǒng)安全系統(tǒng)的整體框架是全方位和綜合性的，并增強(qiáng)每個(gè)層次和劃分區(qū)域的安全防御能力，從而實(shí)現(xiàn)一體化的信息安全系統(tǒng)。

3.2SSE-CMM模型的應(yīng)用原則

第一，安全需求的基線。包括了用戶的安全需求、對(duì)系統(tǒng)安全具有影響的法律法規(guī)和政策等，保證系統(tǒng)的安全需求與法律和政策中的保持一致，并且保證用戶的需求與系統(tǒng)的安全需求保持一致。第二，安全輸入的基線。第三，協(xié)同安全的基線。第四，安全管理的基線。在安全管理基線方面包括以下幾點(diǎn)：一、要將信息系統(tǒng)的安全控制責(zé)任以文檔化的形式傳達(dá)給每位相關(guān)者；二、對(duì)于信息系統(tǒng)的安全控制有關(guān)的軟件配置進(jìn)行定義和管理；三、對(duì)用戶和管理人員進(jìn)行安全控制和管理的培訓(xùn)和宣教。第五，安全保證參數(shù)的基線。包括確定安全保證的目標(biāo)、制定相關(guān)的保證策略、對(duì)安全保證證據(jù)金屬分析等。

4結(jié)語(yǔ)

總之，針對(duì)我國(guó)現(xiàn)階段所面臨的信息系統(tǒng)安全工程問題，不僅要加強(qiáng)信息系統(tǒng)安全工程的管理，在技術(shù)方面也要進(jìn)行深入的研究，我國(guó)現(xiàn)階段的信息系統(tǒng)安全技術(shù)尚處于初級(jí)起步的階段，要保證我國(guó)信息系統(tǒng)的安全，不斷推進(jìn)我國(guó)的信息化進(jìn)程，需要對(duì)以SSE-CMM模型為代表的安全技術(shù)進(jìn)行進(jìn)一步的研究和開發(fā)。

作者：任雁 單位：陜西職業(yè)技術(shù)學(xué)院