1信息安全技術研究的重要性

隨著我國計算機網絡用戶的急劇增長，我國信息系統(tǒng)的安全面臨著嚴峻的考驗，近幾年來，不僅在我國，全球的信息系統(tǒng)安全問題層出不窮。而信息系統(tǒng)的安全問題不僅僅是個人和企業(yè)的問題，它還涉及到國家的安全、社會的公共安全等。因此，不斷加強信息安全技術的研究，提高我國信息系統(tǒng)的安全性和可靠性，十分迫切。針對嚴峻的信息系統(tǒng)安全現(xiàn)狀，目前普遍采用的方式主要有物理隔離、防火墻的建設、訪問者身份認證、加密等，但是僅從這些方面去考慮還遠遠無法保證信息系統(tǒng)的安全。不斷加強信息系統(tǒng)安全建設方面的技術，不斷提高信息安全風險的檢測和評估是提高信息系統(tǒng)安全的重要手段。

2SSE-CMM模型

2.1SSE-CMM模型的概述

SSE-CMM（SystemsSecurityEngineeringCapabilityMaturityModel）模型的中文全稱是信息安全工程能力成熟度模型，該模型的主要任務就是評測和改進整個信息安全系統(tǒng)整個生命周期當中的安全工程活動，到目前為止，這個模型是信息系統(tǒng)安全工程領域當中可靠性較高的針對性模型。

2.2基于過程的SSE-CMM模型

基于過程的SSE-CMM模型是從成熟框架CMM模型發(fā)展而來的，SSE-CMM模型把信息系統(tǒng)中的安全工程劃分成三種不同的過程，分別是風險過程、工程過程、信任度過程，SSE-CMM模型對這三個過程中的關鍵過程域以及其安全能力成熟度的等級進行了定義。在這個模型中，圖b的橫軸指的是這個信息系統(tǒng)安全工程的過程域，縱軸是11個過程域的5個能力成熟度等級。根據(jù)這個模型的框架對整個信息系統(tǒng)安全工程中的風險過程、工程過程、信任度過程都評定能力成熟度等級，此時得到的二維圖便能夠把信息系統(tǒng)工程隊伍實施信息系統(tǒng)安全工程的能力成熟度形象的反映出來，也能間接的將信息系統(tǒng)安全工程的可信度反映出來。采用SSE-CMM模型對信息系統(tǒng)安全工程進行風險的評估，該模型所認定的安全風險事件包括了3個組成部分，分別是安全威脅、系統(tǒng)的脆弱性、風險事件所造成的影響，在SSE-CMM模型中，只有具備這三個要素才能稱之為信息系統(tǒng)工程安全風險。SSE-CMM模型中的安全機制就是把信息系統(tǒng)中的工程安全風險控制在系統(tǒng)能夠接受的范圍之內。SSE-CMM模型所定義的風險過程包括了評估威脅過程、評估系統(tǒng)脆弱性過程、評估風險事件的影響過程、評估系統(tǒng)安全風險過程。

3SSE-CMM模型的構建和應用

3.1SSE-CMM模型的構建

根據(jù)上述SSE-CMM模型的作用過程在信息系統(tǒng)安全工程中構建SSE-CMM模型的具體步驟如下所示。第一步，對信息系統(tǒng)的安全工程風險進行分析，進行工程的風險分析時，要從現(xiàn)行的信息系統(tǒng)工程的風險入手，然后采取科學、先進的風險分析方法進行風險的分析。第二步，要確定目標，及要明確信息系統(tǒng)安全工程所提出的系統(tǒng)安全要求，這個安全要求是信息系統(tǒng)建設過程中、設計、建設、使用以及安全風險評估和監(jiān)管的主要依據(jù)。第三步，對信息系統(tǒng)的二維視圖進行描述，即需要明確的、簡潔的對信息系統(tǒng)中的安全系統(tǒng)進行描述，談后根據(jù)描述給出信息安全系統(tǒng)的拓撲圖和邊界的劃分，邊界的劃分包括了系統(tǒng)的典型構造、系統(tǒng)的應用劃分等，并對系統(tǒng)內的數(shù)據(jù)和需要保護的財產、系統(tǒng)的環(huán)境等進行描述。第四步，建立信息安全系統(tǒng)的基線。第五步，制定相關的信息安全系統(tǒng)構建策略，這些策略包括系統(tǒng)的物理安全策略、網絡完全策略、系統(tǒng)應用安全策略等。第六步，對信息系統(tǒng)的安全工程建設進行整體的設計，其中設計是必須保證信息系統(tǒng)安全系統(tǒng)的整體框架是全方位和綜合性的，并增強每個層次和劃分區(qū)域的安全防御能力，從而實現(xiàn)一體化的信息安全系統(tǒng)。

3.2SSE-CMM模型的應用原則

第一，安全需求的基線。包括了用戶的安全需求、對系統(tǒng)安全具有影響的法律法規(guī)和政策等，保證系統(tǒng)的安全需求與法律和政策中的保持一致，并且保證用戶的需求與系統(tǒng)的安全需求保持一致。第二，安全輸入的基線。第三，協(xié)同安全的基線。第四，安全管理的基線。在安全管理基線方面包括以下幾點：一、要將信息系統(tǒng)的安全控制責任以文檔化的形式傳達給每位相關者；二、對于信息系統(tǒng)的安全控制有關的軟件配置進行定義和管理；三、對用戶和管理人員進行安全控制和管理的培訓和宣教。第五，安全保證參數(shù)的基線。包括確定安全保證的目標、制定相關的保證策略、對安全保證證據(jù)金屬分析等。

4結語

總之，針對我國現(xiàn)階段所面臨的信息系統(tǒng)安全工程問題，不僅要加強信息系統(tǒng)安全工程的管理，在技術方面也要進行深入的研究，我國現(xiàn)階段的信息系統(tǒng)安全技術尚處于初級起步的階段，要保證我國信息系統(tǒng)的安全，不斷推進我國的信息化進程，需要對以SSE-CMM模型為代表的安全技術進行進一步的研究和開發(fā)。

作者：任雁 單位：陜西職業(yè)技術學院