基于SSE-CMM某市电子政务网络安全现状的调查与研究.doc

1、目 录摘 要IABSTRACTII1 电子政务概述11.1国内外研究动态11.2电子政务网络安全方面的重要性11.3 本项目的背景21.4项目的实现目标与技术路线31.5 论文总体构架32 SSE-CMM的简介42.1 背景42.1.1 什么是SSE-CMM42.1.2 为何开发SSE-CMM42.2 安全工程的定义52.2.1 安全工程组织52.2.2 安全工程生命期52.2.3 安全工程特点52.2.4 安全工程过程域概述62.3 SSE-CMM体系结构描述72.3.1 基本模型72.3.2 过程区82.3.3 公共特征92.3.4 能力级别92.4 使用SSE-CMM102.4.1 使用

2、SSE-CMM进行评定102.4.2 用SSE-CMM改进过程132.4.3 使用SSE-CMM获得安全保证143 调查表设计153.1 设计过程153.2 调查表163.3汇总结果：173.4 结论184 某市电子政务网络安全存在的问题184.1 数据安全性问题184.1.1数据完整性184.1.2 数据的保密性184.1.3 数据备份与恢复194.2 主机安全性问题194.2.1 主机身份鉴别194.2.2 主机自主访问控制194.2.3 安全审计194.2.4 主机入侵防范194.2.5 主机的恶意代码204.3 网络安全性问题204.3.1 结构安全与网段的划分204.3.2 网络访问

3、控制204.3.3 拨号访问控制204.3.4 网络安全审计204.3.5 边界完整性214.3.6 网络入侵防范214.3.7 网络设备防护214.4 应用安全问题214.4.1身份鉴别214.4.2 访问控制214.4.3安全审计214.4.4 通信完整性214.4.5 软件容错214.4.6 资源控制215 针对主要问题的解决方案225.1 网络安全体系设计问题225.1.1 网关的冗余备份225.1.2 VLAN技术235.2 管理体制不合理的解决办法255.2.1 人员的管理及安全方面的培训255.2.2 对网络管理人员培训265.3 应对大规模的网络攻击275.3.1普通的攻击的分

4、类275.3.2攻击的解决办法285.3.3 寻找机会应对攻击305.4 购买各种安全设备及软件306 总结31参考文献32致 谢33 摘 要某市电子政务网络安全现状的调查与研究，通过对政府部门的信息管理人员、技术人员和数据使用人员进行现场访谈。该访谈的过程结合了风险评估、SSE-CMM应用方面的知识，从威胁和脆弱性两大方面入手比较全面的对某市电子政务网络安全问题进行了了解，也利用了一些抓包和安全审计工具在仿真的环境下对信息系统进行了现场的检查与测试，从而了解到该信息系统在网络安全方面出现的一系列令人担忧的问题，如数据安全方面、主机安全方面、网络安全方面、应用安全方面。本论文以电子政务系统网络

5、安全为研究方向，从网络安全基本理论出发，比较完整地进行电子政务安全分析，研究电子政务系统网络安全的措施，特别是结合某市电子政务系统建设实例，为电子政务系统网络安全中存在的问题提供参考解决方案，对解决电子政务信息自由和信息安全问题，推动某信息化建设和其它城市电子政务建设实践具有重要的现实意义。本论文还简要介绍了一些相关的理论基础，同时指出了电子政务在未来的发展中的重大意义。关键词：电子政务；网络安全；风险评估；SSE-CMMABSTRACT The investigation and research based on the network security status of ChenZho

6、u e-government,through talking with people who worked in the government on spot.This talking combine with the related knowledge about risk assessment and sse-cmm,which make us have a better understand of the network security status of ChenZhou e-government.Meanwhile we take large numbers of security

7、 audit instrument to check and have a testing of the system in the simulation environment so that we know about this system have some problem which worrying us such us the security of datas、network、host、application。 This thesis puts network security as its target,starting from the basic theory of ne

8、twork security,make a complete security analysis.Searching the measure of the network security of the e-government,especially combine with the building of ChenZhou e-government which provide some solutions to the problem in the system,which has significance on promoting the building of the informati

9、onazation.On the other hand,the thesis introduce some basic theoty and pointed the significance of the e-government in the future. Keyword: e-government; network security; risk assessment; sse-cmmII1 电子政务概述运用计算机、网络和通信等现代信息技术手段，实现政府组织结构和工作流程的优化重组，超越时间、空间和部门分隔的限制，建成一个精简、高效、廉洁、公平的政府运作模式，以便全方位地向社会提供优质、规

10、范、透明、符合国际水准的管理与服务。 电子政务作为电子信息技术与管理的有机结合，成为当代信息化的最重要的领域之一。所谓电子政务，就是应用现代信息和通信技术，将管理和服务通过网络技术进行集成，在互联网上实现组织结构和工作流程的优化重组，超越时间和空间及部门之间的分隔限制，向社会提供优质和全方位的、规范而透明的、符合国际水准的管理。1.1国内外研究动态联合国经济社会理事会将电子政务定义为，政府通过信息通信技术手段的密集性和战略性应用组织公共管理的方式，旨在提供效率、增强政府的透明度、改善财政约束、改进公共政策的质量和决策的科学性，建立良好的政府之间、政府与社会、社区以及政府与公民之间的关系，提供公

11、共服务的质量，赢得广泛的社会参与度。世界银行则认为电子政务主要关注的是政府机构使用信息技术（比如万维网、互联网和移动计算），赋予政府部门以独特的能力，转变其与公民、企业、政府部门之间的关系。这些技术可以服务于不同的目的：向公民提供更加有效的政府服务、改进政府与企业和产业界的关系、通过利用信息更好地履行公民权，以及增加政府管理效能。因此而产生的收益可以减少腐败、提供透明度、促进政府服务更加便利化、增加政府收益或减少政府运行成本。据美国锡拉丘兹大学市民社会与公共事务教授波恩汉姆（G. Matthew Bonham）和美国国会图书馆研究员赛福特（Jeffery W. Seifert）等人对发达国家电

12、子政务的研究综述，电子政务对于不同的人来说意味着不同的事物，它可以通过行为进行阐述，比如公民通过政府所提供的信息获取创业、就业信息；或者通过政府网站获得政府所提供的服务；或者在不同的政府机构之间创造共享性的数据库，以便在面对公民咨询的时候能够自动地提供政府服务。这种行为方式的描述，意味着电子政务对于不同的受益者而言是不同的，从共性上来看，它整合的是政府服务体系和服务手段，是政府服务形态在通信信息技术革命情况下的自然演化和延伸。1.2电子政务网络安全方面的重要性政府越来越多的信息活动都是在网络中进行的，通过互联网和局域网来处理各项业务，脱离网络的电脑单机几乎已经不复存在。电子政务对网络的高度依赖

13、，使网络正在成为信息安全的隐患。对计算机网络和通信网络进行信息攻击和物理攻击，已经成为现实的可能。计算机局域网、因特网和各种通信网发展的速度越快，社会信息化程度越高，通信、计算机和信息网的安全就愈显得重要，网络信息安全问题就变得日益突出和迫切。信息安全包括信息系统的安全和系统中信息的安全。虽然人为因素和非人为因素都对系统安全构成威胁，但通过精心设计的、有目的的攻击威胁最大。美国审计局调查表明，美国每年政府机构有47%的网络受到攻击。由于我国在计算机硬件和软件上都没有自己的可靠产品，进口产品安全等级都在cr级和C2级以下。因此，当前我国政务内网等涉密网络基本上都与互联网进行物理隔离，政务外网和互

14、联网逻辑隔离。尽管如此，网络系统仍然多次受到攻击，频繁发生信息安全事件。可以预见，随着网络技术的进一步发展， 以及网络社会化程度的提高，信息网络安全面临的挑战将会更大，各种攻击破坏手段将会更多、更为复杂。要确保信息的占有性、完整性、可用性和保密性，最为紧要的是要确立信息网络安全的意识。在进行信息化建设时，必须注重信息化基础建设，大力开发各种信息安全技术，普及和综合运用先进的安全技术和手段。既要克服消极的隔离思想，又要克服那种不考虑信息安全问题的错误认识。须知，一个没有信息安全技术屏护的网络，等于一个完全开放透明和裸露的网络，有不如无。同样，如果长期坚持消极隔离和不与外界接触的思想，永远没有信息

15、优势。没有信息优势，建设信息化就将成为一句空话。1.3 本项目的背景随着全球信息化的迅猛发展，中国的信息化进程也得到了长足的发展。截止2005年末，全国上网人数已经突破1亿人，上网计算机突破5000万台。虽然获取信息、休闲娱乐仍然是网民上网的主要动机，但是为购物、炒股、商务活动等原因上网的网民越来越多。电子政务、B2B、B2C等电子商务活动也在不断发展。网络与社会政治、经济和人民生活的关切度越来越紧密。在网络为人们的工作和生活不断带来诸多益处的同时，也不断给网络用户带来新的烦恼。与世界其他国家和地区一样，中国的网络用户不断遭到网络黑客和病毒的入侵。黑客和病毒无恐不入的威胁着网关、服务器或上网电

16、脑。非法入侵和计算机病毒使社会蒙受巨大损失的同时，也唤醒了人们的安全意识，加速了网络安全市场的发展。2005年，随着电子政务系统的迅速发展，中国计算机网络环境更加复杂，网络安全威胁更加严重，病毒、黑客、垃圾邮件等频繁困扰着计算机用户。漏洞攻击、黑客大战、拒绝服务、网络钓鱼、间谍软件等都不时威胁网络安全。安全威胁的日益严重也带动了网络安全产品市场需求的迅速增长。随着用户应用系统和网络环境的日益复杂，网络安全威胁也日益严重，众多攻击手段让传统上各自为战的安全产品破绽百出，电子政务在网络安全方面存在的威胁极大的阻碍了其发展。这种情况要求组织以一个更成熟的方式来实施安全工程。特别地，在安全系统和安全产

17、品生产和操作过程中要求以下特性：1、连续性 - 以前获得的知识将用于将来2、重复性 - 保证项目可成功重复实施的方法3、有效性 - 可帮助开发者和评价者都更有效工作的方法4、保证 - 落实安全需求的信心为了达到这些要求，需要有一个机制来指导组织机构去理解和改进其安全工程实施。SSE-CMM（SSE-CMM，Systems Security Engineering Capability Maturity Model）正是出于这个目的，用于改进安全工程实施的现状，以达到提高安全系统、安全产品和安全工程服务的质量和可用性并降低成本的目的。1.4项目的实现目标与技术路线本项目是基于SSE-CMM的技术

18、路线，结合了SSE-CMM中的11大与安全方面过程域，对于普遍电子政务系统所存在的一般的安全问题给出了定义，而在实际所面临的某市电子政务网络安全漏洞的过程中首先制定出一份问卷点查表，该调查表包含了相关过程域中的安全问题，通过这些问题与政府机关工作人员采取了现场问答的方式得出了结果并将结果汇总后对数据进行分析，总结出了该政务系统在网络安全方面存在了很多问题，并针对些问题给出具体的解决办法，本项目的目标是提高电子政务系统的安全性，并依据SSE-CMM对该系统进行不断改进和完善。1.5 论文总体构架 本文档包括6个章节和附录 第一章：对电子政务的历史及国内外动态进行简介引申出了电子政务系统的重要性，

19、介绍了本项目的背景及实现目标与技术路线。 第二章：SSE-CMM概念，本章引入了模型，解释了基本概念。这些概念是读者理解模型细节的关键。本章还包括了结构和表达方式的描述，以帮助读者理解这个模型。 第三章：结合SSE-CMM的11大安全方面的过程域制作出问卷调查表，通过现场问卷调查的方式得出一些相关的数据结果并汇总。第四章：对数据进行深入的分析总结出某市电子政务在网络安全方面所存在的问题。第五章：对这些问题进行研究并给出具体的解决办法，对于如何不断完善该政务系统提出建议。2 SSE-CMM的简介2.1 背景2.1.1 什么是SSE-CMM系统安全工程能力成熟度模型（SSE-CMM，Systems

20、 Security Engineering Capability Maturity Model）描述了一个组织的安全工程过程的重要特性，为了确保安全工程的良好运行，这些特性是必须的。SSE-CMM是从工程实现中所观察到的经验抽象而成的，并没有规定一个特定的过程或顺序，该模型是一个安全工程的统一标准，包含了如下内容： 1、整个生命周期，包括系统开发、运行、维护及淘汰等。 2、整个组织，包括管理、组织和工程活动。 3、与其他科学的紧密联系，包括系统、软件、硬件、人类活动和测试工程，系统管理、运行和维护等活动。 4、与其他组织的相互联系，包括信息获取、系统管理、产品认证、可信度评估等1。2.1.2

21、为何开发SSE-CMM 无论是顾客，还是供应商都对改进安全产品、系统和服务的开发感兴趣。安全工程领域已有一些被充分接受的原则，但目前仍缺少一个易于理解的评估安全工程实施的框架。SSE-CMM正是这样一个框架，它为安全工程原则的应用提供了一个衡量和改进的途径。 必须强调安全工程是一个独特的科目，需要独特的知识、技能和过程来创建一个专用于安全工程的CMM。这与安全工程将在系统工程方式下进行并不冲突。事实上，有明确定义和易于接受的活动可以使安全工程能够在各种情况下更有效地加以实施。 现代统计过程控制理论表明通过强调生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品。对于安全系统和

22、可信产品的开发，如果增加所需的成本和时间，就可保证更有效的过程。安全系统的运行与维护也依赖于联系人员和技术的过程。通过强调所使用过程的质量和蕴涵在这些过程中的组织实施的成熟性，可以更低成本地管理这些相互依赖性。SSE-CMM项目的目标是促进安全工程成为一个确定的、成熟的和可度量的科目。这个SSE-CMM模型和正在开发的评定方法，将带来以下益处：通过区分投标者的能力级别和相关的计划风险来选择合格的安全工程提供商；工程组把投资集中在安全工程工具、培训、过程定义、管理实施和改进上；基于能力的保证，也就是说，信赖是基于对工程组织安全工程实践和过程成熟的信心1。2.2 安全工程的定义安全工程是一个正在进

23、化的科目。当前尚不存在一个精确的、业界一致认可的安全工程定义。然而，对安全工程概括性的描述还是可能的。安全工程的一些目标是： 1、获取对企业的安全风险的理解。 2、根据已识别的安全风险建立一组平衡的安全要求。 3、将安全要求转换成安全指南，这些安全指南将集成到一个项目实施的其它科目活动中和系统配置或运行的定义中。 4、在正确有效的安全机制下建立信心和保证。 5、判断系统中和系统运行时残留的安全脆弱性对运行的影响是否可容忍（即可接受的风险）。 6、将所有科目和专业活动集成为一个系统安全可信性的共同理解。2.2.1 安全工程组织 各种不同类型的组织都会涉及到安全工程活动，例如： 1、开发者 2、产

24、品销售者 3、集成商 4、购买者（获取组织或最终用户） 5、安全评价组织（系统认证者、产品评价者、运行许可批准者） 6、系统管理员 7、可信第三方（认证授权）8、咨询/服务组织2.2.2 安全工程生命期在整个生命期中执行地安全工程活动包括： 1、前期概念 2、概念开发和定义 3、证明与证实 4、工程实施、开发和制造 5、生产和部署 6、运行和支持7、淘汰2.2.3 安全工程特点 在目前安全和业务环境下，安全工程和信息技术安全在大多数情况下成为主流的科目，但其它传统安全科目如物理安全、人员安全也不容忽视。安全工程必须要吸取这些传统安全科目和其它的能更有效发挥作用的规范部分。下面列表给出一些专业安

25、全科目的例子，每一个例子均包括简短的描述。专业安全规范的示例包括: 1、运行安全运行环境安全和安全运行态势维护。 2、信息安全在操作和处理中的信息和信息安全维护。 3、网络安全包括网络硬件、软件和协议的保护，也包括在网络上通信的信息。 4、物理安全注重于建筑和物理场所的保护。 5、人员安全有关人员、他们的可信度和他们的安全意识。 6、管理安全有关安全管理方面和管理系统的安全。 7、通信安全有关安全域之间的通信保护，特别是信息在传输介质上传输时的保护。 8、辐射安全涉及到所有机器设备将未期望产生的信号发射到安全域外部。 9、计算机安全专门处理所有类型的安全计算设备2.2.4 安全工程过程域概述

26、如图1所示，SSE-CMM将安全工程划分为三个基本的过程区域：风险，工程，保证。它们可以独立地加以考虑，但这决不意味它们之间有截然不同的区分。在最简单的级别上，风险过程识别出所开发的产品或系统的危险性并对这些危险性进行优先级排序。针对危险性所面临的问题，安全工程过程要与其它工程一起来确定和实施解决方案。最后，由安全保证过程来建立解决方案的信任并向顾客转达这种安全信任1。图1 安全工程的过程域2.3 SSE-CMM体系结构描述 SSE-CMM体系结构的设计是可在整个安全工程范围内决定安全工程组织的成熟性。这个体系结构的目标是清晰地从管理和制度化特征中分离出安全工程的基本特征。为了保证这种分离，这

27、个模型是两维的，分别称为“域”和“能力”，具体描述如下。重要的是，SSE-CMM并不意味着在一个组织中任何项目组或角色必须执行这个模型中所描述的任何过程，也不要求使用最新的和最好的安全工程技术和方法论。然而，这个模型要求是一个组织机构要有一个适当过程，这个过程应包括这个模型中所描述的基本安全实施。组织机构以任何方式随意创建符合他们业务目标的过程以及组织结构。SE-CMM也并不意味着执行通用实施的专门要求。一个组织机构一般可随意以他们所选择的方式和次序来计划、跟踪、定义、控制和改进他们的过程。然而，由于一些较高级别的通用实施依赖于较低级别的通用实施，因此组织机构应在试图达到较高级别之前，应首先实

28、现较低级别通用实施1。2.3.1 基本模型域维或许是两个维中较容易理解的。这一维仅仅由所有定义安全工程的过程区构成。这些实施活动称为“过程区”。能力维代表组织能力。这一维由过程管理和制度化能力构成。这些实施活动被称作“公共特征”，可在广泛的域中应用。执行一个公共特征是一个组织能力的标志。通过设置这两个相互依赖的维，SSE-CMM在各个能力级别上覆盖了整个安全活动范围1。图2模型表达了执行每一个过程区的组织能力例如，如图2中“评估脆弱性”过程区显示在纵坐标中。这个过程区代表了所有涉及到安全脆弱性评估的实施活动。这些实施活动是安全风险过程的一部分。“跟踪执行”公共特征显示在纵坐标上，它代表了一组涉

29、及到测量的实施活动。这些测量相对于可用计划的过程实施活动。因此过程区和公共特征的交叉点表示组织跟踪执行脆弱性评估过程的能力。图中每一个方框表示一个组织执行一些安全工程过程的能力。通过按这个方式收集安全组织的信息，可建立执行安全工程能力的能力轮廓1。2.3.2 过程区 SSE-CMM包括了11个安全工程过程区，这些过程区覆盖了安全工程所有主要领域。安全过程区的设计是为了满足安全工程组织广泛的要求。有许多方式将安全工程范畴划分为过程区。一种可能的做法是将真实世界模型化，创建匹配安全工程服务的过程区。其它的策略可以是识别概念域，这些域形成基本安全工程建筑模块。SSE-CMM当前的过程区集合是这些竞争

30、性目标的折中。 每一个过程区包括一组表示组织成功执行过程区的目标。每一个过程区也包括一组集成的“基本实施”或简称为“BP”。基本实施定义了取得过程区目标的必要步骤。一个过程区：1、汇集一个域中的相关活动，以便于使用2、有关有价值的安全工程服务 3、可在整个组织生命期中应用 4、能在多组织和多产品范围内实现 5、能作为一个独立过程的改进 6、能够由类似过程兴趣组进行改进 7、包括所有需要满足过程区目标的BP由于一些本质相同的活动有不同的名字，因此识别安全工程的BP变得复杂。一些这样的活动出现在生命期的后期，以不同抽象层次或由不同角色的个人来执行。SSE-CMM忽略这些差别，而是识别基本的、好的安

31、全工程所需要的实施集。因此，如果一个组织机构仅仅在设计阶段或在单一抽象级别上工作，则不“执行”BP。 SSE-CMM包括的过程区列举如下。注意下面过程区是按字母顺序排列的，因希望避免也不主张按生命期或按区域方式排列。 1、PA01 管理安全控制 2、PA02 评估影响 3、PA03 评估安全风险性 4、PA04 评估威胁 5、PA05 评估脆弱性 6、PA06 建立安全论据 7、PA07 协调安全性 8、PA08 监视安全态势 9、PA09 提供安全输入 10、PA10 确定安全要求 11、PA11 确认与证实安全2.3.3 公共特征通用实施按称之为“公共特征”的逻辑域组成，公共特征分为五个级

32、别，依次表示增加的组织能力。与范畴维基本实施不同的是，能力维的通用实施按成熟性排序，因此表示高级别通用实施位于能力维的高端。公共特征设计的目的在于描述组织机构执行工作过程（即这里的安全工程范畴）的主要点。每一个公共特征包括一个或多个通用实施。通用实施可应用到每一个过程区（SSE-CMM应用范畴）。但第一个公共特征“执行基本实施”是个例外。其余的公共特征中通用实施可帮助确定项目管理好坏的程度并可将每一个过程区作为一个整体加以改进。通用实施按执行安全工程的组织特征方式分组，以突出主要点1。2.3.4 能力级别 将实施活动划分为公共特征，将公共特征划分为能力级别有种种方法。下面讨论了涉及到这些公共特

33、征。 公共特征的排序得益于当前其它安全实施活动和制度化，特别是当实施活动有效建立时尤其如此。在一个组织能够明确的定义、剪裁和有效使用一个过程前，单独执行的项目应该获得一些过程执行方面的管理经验。例如，一个组织应首先对一个项目尝试规模评估过程后，在将其规定为这个组织的过程规范。不过在有些方面，当过程的实施和制度化应放在一起考虑可以增强能力时，而无须要求严格前后次序。 公共特征和能力级别无论在评估一个组织过程能力和改进组织过程能力时都是重要的。当评估一个组织能力时，如果这个组织只执行了一个特定级别的一个特定过程的部分公共特征时，则这个组织对这个过程而言，处于这个级别的最底层。例如，在2级能力上，如

34、果缺乏跟踪执行公共特征的经验和能力，那么跟踪项目的执行将会很困难。如果高级别的公共特征在一个组织中实施，但其低级别的公共特征未能实施，则这个组织不能获得该级别的所有好处。评估队伍在评估一个组织个别过程能力时，应对这种情况加以考虑。 当一个组织希望改进某个特定过程能力时，组织为能力级别的实施活动可为改进组织机构提供了一个“能力改进路线图”。基于这一理由，SSE-CMM的实施按公共特征进行组织，并按级别进行排序。 对每一个过程区的能力级别确定，均需执行一次评估过程。这意味着不同的过程区能够或将可能存在于不同的能力级别上。组织可利用这个面向过程的信息作为侧重于这些过程改进的手段。组织机构改进过程活动

35、的顺序和优先级应在商务目标里加以考虑。商务目标是如何使用SSE-CMM这种模型的主要驱动力。但是，对典型的改进活动，也存在着基本活动次序和基本的原则。这个活动次序在SSE-CMM结构中通过公共特征和能力级别加以定义。 图3 能力级别代表安全工程组织的成熟级别如图3所示，SSE-CMM包含了五个级别。这五个级别的概述如下。 1级：“非正式执行级”，这个级别着重于一个组织或项目执行了包含基本实施的过程。这个级别的特点可以描述为“你必须首先做它，然后你才能管理它” 2级：“计划和跟踪级”，这个级别着重于项目层面的定义、计划和执行问题。这个级别的特点可描述为“在定义组织层面的过程之前，先要弄清楚项目相

36、关的事项”。 3级：“充分定义级”，这个级别着重于规范化地裁剪组织层面的过程定义。这个级别的特点可描述为“用项目中学到的最好的东西来定义组织层面的过程”。 4级：“量化控制级”，这个级别着重于测量。测量是与组织业务目标紧密联系在一起的。尽管以前级别数据收集和使用项目测量是基本的活动，但只有到达高级别时，数据才能在组织层面上应用。这个级别的特点可以描述为“只有你知道它是什么，你才能测量它”和“当你测量的对象正确时，基于测量的管理才有意义”。5级：“连续改进级”，这个级别从前面各级的所有管理活动中获得发展的力量，并通过加强组织文化，来保持这个力量。这个方法强调文化的转变，这种转变又将使方法更有效。

37、这个级别的特点可以描述为“一个连续改进的文化需要以完备的管理实施、已定义的过程和可测量的目标作为基础”1。2.4 使用SSE-CMM2.4.1 使用SSE-CMM进行评定SSE-CMM支持范围广泛的改进活动，包括自身管理评定，或由从内部或外部组织的专家进行的更强要求的内部评定。虽然SSE-CMM主要用于内部过程改进，但也可用于评价潜在销售商从事安全工程过程的能力。与SE-CMM不建议将模型用于能力评价相反，SSE-CMM项目确实打算将SSE-CMM模型用于这样的能力评价。 1、SSE-CMM平定大纲： SSE-CMM的开发是基于如下考虑的，即安全性通常在系统工程相关环境（如大的系统集成者）中实

38、施。它也认识到安全工程服务提供者可以将安全工程作为独立的活动来实施，该活动与一个独立的系统或软件（或其它）工程活动协调。因此识别出下述评定大纲： （1）系统工程能力评定后，SSE-CMM评定可集中于组织的安全工程过程。 （2）通过与系统工程能力评定的结合，SSE-CMM评定可被裁剪以与SE-CMM集成。 （3）当执行独立的系统工程能力评定时，SSE-CMM的评定应从高于安全性的角度，考虑是否存在支持安全工程的过程项目和组织基础。 2、SSE-CMM评定方法： 在SSE-CMM评定中并不要求使用任何特殊的评定方法。然而为了在评定过程中最大程度地发挥SSE-CMM模型的功效，SSE-CMM项目设计

39、一个评定方法。SSE-CMM评定方法 (SSAM) 和进行评定的一些支持材料在“SSE-CMM评定方法描述” SSECMM97文件中有全面的描述。这份文档列举了评定方法的基本前提，以提供有关如何将该模型用于评定的背景范围。为了在能力评价方面， SSE-CMM应用组正考虑通过多种方法强化SSAM来支持使用SSE-CMM，例如包括要求证据的证明。 3、SSE-CMM的特征： SSAM是组织层面或项目层面的评定方法。该方法采用多重数据收集方法，从选组织机构中或从择作为评定的项目中，获取过程实施方面的信息。SSAM第一个发布版本中的确定目的为： （1）收集组织或项目内与安全工程相关实际实施的基线或基准

40、。 （2）创建或支持组织结构的多层次改进动力。 SSAM可被剪裁以适用于组织或项目需要。SSAM描述文档中提供了一些剪裁方面的指南。 数据收集由三方面组成：1)直接反映模型的内容问卷，2)一系列有组织或随机的与涉及过程实施的关键人员的会谈，3)审阅生成的安全工程的证据。涉及人员无须正式任命为“安全工程师”，SSE-CMM并不要求此角色。SSE-CMM应用于具有安全工程活动执行责任的人员。 多重反馈会议由评定参与者召开。最终是向所有参与者和发起人通报情况。简报包括被评定的不同过程区的能力级别。也包括以强弱划分优先级的集合，以支持基于组织评定目标的过程改进。 4、SSAM的概述：SSAM评定包括几

41、个步骤。下表列出各步骤的概况，其详细情况在SSAM文档说明：(1)准备 - 准备阶段期间，获得发起人的承诺并协商评定细节。 (2)现场 - 现场评定阶段期间，由内部和外部评定人员组成的评定队伍举行启动会议，使所有评定人员熟悉评定过程。在这个期间，还将分析问卷结果并且与安全工程负责人的进行面谈。此信息被分析并且产生、提交一组调查结果和评定轮廓。 (3)评定后 - 评定后，经发起人认可，评定组向其他人员报告获得的结果和评定的输出。 决定实施安全工程过程的能力图 4 确定过程能力 为评定定义安全过程相关性:评估一个组织机构的第一步是决定该组织安全工程实施环境。安全工程可在任何工程环境下实施，尤其是系

42、统，软件，和通信工程等环境。SSE-CMM期望适用于所有环境。环境的确定是为了决定： 1、哪个过程区适用于这个组织？ 2、怎样解释过程区（如开发相对于运行环境） 3、哪个人员需要参与评定 注意，SSE-CMM不意味独立安全工程组织的存在。其目的在于针对组织中负责执行安全工程任务的人。 在评定中使用结构的两个方面: 建立一个组织从事安全工程过程轮廓的第一步是通过他们的执行过程，确定在组织内是否实现了基本安全工程过程（所有基本实施）。第二步是按照通用实施，考察基本实施，以评估所实现过程的管理和制度化（基本实践）情况。通过考虑基本实施和通用实施，可产生过程能力轮廓，它能够帮助组织决定适用于其商务目的

43、的最有效的过程改进活动。一般而言，评定由针对通用实施的每一个过程区评价组织。基本实施应被视为提出主题基本方面的指南。相关的通用实施涉及到将基本实施应用于项目。牢记对每个过程区通用实施的应用将产生对主体过程区的唯一解释。序列：在项目生命期执行组织过程时，许多过程区将多次被使用。当需要把一个过程区的目的结合到项目或组织的过程中时，就实施而言过程区应视为一个源。在评定中，总是记住SSE-CMM不意味着一个序列。序列应根据组织或项目所选择的生命期和其它商务参数决定1。2.4.2 用SSE-CMM改进过程分析组织环境：组织在第一次定义过程时经常忽视许多内部的过程或产品和/或中间的过程或产品。不过，对于一

44、个组织在第一次定义安全工程过程时并不需要考虑所有的可能性。一个组织应通过适当的精确性来将当前的过程状态确定为基线。基线建立的过程最好在六个月到一年之间，随着时间该过程可以得到改进。组织必须有一个稳定的基线用以决定未来的变化是否包括过程的改进。对于不实际实现的过程改进是没有意义的。在基线过程中包含当前的“延迟”和“队列”是有用的。在随后的过程改进中，这些是缩短周期的良好开端。安全工程组织可以由工程师职责作为着眼点来定义过程。这可能包括与系统工程、软件工程、硬件工程及其它科目的接口。设计符合组织商务要求过程的第一步是，理解当过程实现时需考虑的商务、产品、和组织环境。在使用SSE-CMM设计过程以前

45、，需要回答以下几个问题： 1、安全工程如何在组织中实施？ 2、使用什么样的生命期作为过程框架？ 3、如何设立组织中的机构来支持项目？ 4、如何控制支持功能（如由项目或由组织）？ 5、组织中谁是管理者，谁是实施者？ 6、过程对组织的成功起着怎样的关键性作用？理解SSE-CMM被应用的文化和商务环境，是成功进行过程设计的关键。增加角色和结构信息：说明了设计一个可实行和可支持的过程，需要对SSE-CMM过程区和公共属性的添加因素。为了创建完善的、将来可合理改进的组织层面过程，需要考虑组织机构的环境因素。这些因素包括角色定义、组织结构、安全工程工作产品以及在SSE-CMM通用实施和基本实施指南下定义的生命期1，如图5所示：图5 成功的过程设计因素2.4.3 使用SSE-CMM获得安全保证SSE-CMM设计用于衡量和帮助提高一个安全工程组织的能力，但是否可用于提高该组织所开发的系统或产品的安全保证呢？ SSE-CMM项目保证目标:本文档第一章确定了SSE-CMM项目的目标，其中三个目标相对于顾客要求而言特别重要： 1、为将顾客安全要求转化为安全工程提供可测量并可改进的方法，以有效地生产出满足顾客要求的产品。 2、为不需要正式安全保证的顾客提供了一个可选择的方法。正式安全保证一般通过全面的评价、认证和认可活动来实现。 3、为顾客获得其安全要求被充分满足的信心提供一个标准。