BS7799與SSE-CMM的對(duì)比研究

●王艷瑋，王 娟（陜西師范大學(xué) 國際商學(xué)院，西安 710062）

科學(xué)的信息安全評(píng)估標(biāo)準(zhǔn)是信息安全測評(píng)認(rèn)證的基礎(chǔ)。英國標(biāo)準(zhǔn)協(xié)會(huì)和貿(mào)工部BSI/DISC的BDD/2信息安全管理委員會(huì)制定的BS7799是目前世界上應(yīng)用最廣泛與最典型的安全管理標(biāo)準(zhǔn)，其圍繞風(fēng)險(xiǎn)評(píng)估從管理和技術(shù)兩方面建立了一整套信息安全評(píng)估體系。BS7799 分為 BS7799-1［1］和 BS7799-2 兩部分，［2］已經(jīng)被國際標(biāo)準(zhǔn)化組織ISO采納，成為ISO/IEC27000系列信息安全標(biāo)準(zhǔn)族的主要標(biāo)準(zhǔn)之一。

SSE-CMM成為許多國家政府、軍隊(duì)和要害部門組織和實(shí)施安全工程的通用方法，是系統(tǒng)安全工程領(lǐng)域里成熟的方法體系，在理論研究和實(shí)際應(yīng)用方面具有舉足輕重的作用，同時(shí)也被國際標(biāo)準(zhǔn)化組織采用，成為ISO/IEC DIS 21827標(biāo)準(zhǔn)。

本文通過對(duì)BS7799和SSE-CMM進(jìn)行對(duì)比研究，一方面可以更好地學(xué)習(xí)理解標(biāo)準(zhǔn)，為我國標(biāo)準(zhǔn)制定提供借鑒意義；另一方面可以優(yōu)勢互補(bǔ)，將二者結(jié)合起來開發(fā)高確信度信息安全產(chǎn)品或系統(tǒng)的開發(fā)方法。

1 標(biāo)準(zhǔn)的概述

1.1 BS7799

BS7799［3］由英國標(biāo)準(zhǔn)協(xié)會(huì) （British Standards Institute，BSI） 于1995年頒布，分為兩部分。BS7799-1是信息安全管理實(shí)施細(xì)則，主要提供了信息安全最佳實(shí)踐的匯總集，最初從10個(gè)方面定義了127項(xiàng)控制措施。BS7799-1幾經(jīng)改版，最終轉(zhuǎn)化為ISO/IEC17799：2005，2007年編號(hào)改為ISO/IEC27002，其內(nèi)容也增加到11個(gè)方面的133項(xiàng)控制措施。BS7799-2是建立信息安全管理體系（ISMS）的管理要求和規(guī)范，指導(dǎo)相關(guān)人員如何去應(yīng)用BS7799-1。BS7799-2規(guī)定了組織基于PDCA模型建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)ISMS的總要求及相關(guān)文件要求，并規(guī)定了在這個(gè)過程中的管理職責(zé)和管理評(píng)審要求。

1.2 SSE-CMM

系統(tǒng)安全工程能力成熟度模型（SSE-CMM，Systems Security Engineer Capability Maturity Model）［4］是一種面向工程過程，衡量系統(tǒng)安全工程實(shí)施能力的方法。SSE-CMM的基本思想是：通過對(duì)安全工程過程進(jìn)行管理的途徑，將系統(tǒng)安全工程轉(zhuǎn)變?yōu)橐粋€(gè)完好定義的、成熟的、可測量的過程，具有此類成熟過程的組織開發(fā)的安全系統(tǒng)或產(chǎn)品具有較高安全確信度和可重復(fù)性。SSE-CMM模型中定義了22個(gè)安全方面的過程域PA（Process Areas），按照解決問題的不同，過程域可以分為3類：安全工程過程域（PA），包括11個(gè)過程；項(xiàng)目過程域（PA），包括5個(gè)過程；組織過程域（PA），包括6個(gè)過程。SSE-CMM模型又將各種系統(tǒng)安全工程任務(wù)抽象劃分為11個(gè)有明顯特征的子任務(wù)，由此定義了11項(xiàng)“良好”的安全工程過程即過程域（PA），每個(gè)過程域用一組確定的單元—基本實(shí)踐（Basic Practice，簡稱BP） 來描述完成的任務(wù)；設(shè)置了6個(gè)能力成熟級(jí)別，每個(gè)級(jí)別的判定反映為一組共同特性（Common Feature，簡稱CF），而每個(gè)共同特性進(jìn)而通過一組確定的單元一通用實(shí)踐（Generic Practice，簡稱GP） 來描述。于是，SSE-CMM模型從整體上定義了一個(gè)二維架構(gòu)，橫軸上有11個(gè)系統(tǒng)安全工程過程域，縱軸上有6個(gè)能力成熟度級(jí)別。如果給每個(gè)過程域賦予一個(gè)能力成熟度級(jí)別的評(píng)分，所得到的二維圖形便形象地反映了一個(gè)工程隊(duì)伍整體上的過程能力成熟性，也間接地反映了這個(gè)工程隊(duì)伍工作結(jié)果的安全可信度。

2 BS7799和SSE-CMM的對(duì)比研究

2.1 發(fā)展歷程

BS7799是英國標(biāo)準(zhǔn)協(xié)會(huì)于1995年頒布的針對(duì)信息安全管理制定的一個(gè)標(biāo)準(zhǔn)。BS7799最初是由英國貿(mào)工部（DTI） 立項(xiàng)，經(jīng)業(yè)界、政府和商業(yè)機(jī)構(gòu)共同倡導(dǎo)的，旨在開發(fā)一套可供開發(fā)、實(shí)施和測量有效信息安全管理慣例并提供貿(mào)易伙伴間信任的通用框架。1995年，《BS7799-1：1995》首次出版，1998年，BSI頒布了《信息安全管理體系規(guī)范》（BS7799-2：1998）。隨著BS7799在越來越多的國家得到廣泛的認(rèn)可與應(yīng)用，2000年12月，國際標(biāo)準(zhǔn)化組織ISO/IEC JTC1/SC27工作組認(rèn)可《BS7799-1：1999》，正式將其轉(zhuǎn)化為國際標(biāo)準(zhǔn)，即《信息技術(shù)—信息安全管理實(shí)施細(xì)則》（ISO/IEC 17799：2000）。2005年6月15日修訂版《ISO/IEC17799：2005》發(fā)布，原來版本廢止。同時(shí)BS7799-2轉(zhuǎn)化為ISO/IEC27001，于2005年10月15日正式發(fā)布。

SSE-CMM起源于1993年4月。當(dāng)時(shí)，美國國家安全局（NSA） 對(duì)各類能力成熟度模型（CMM） 的工作狀況進(jìn)行了研究，以判斷是否需要一個(gè)專門適用于系統(tǒng)安全工程的CMM。在此階段，確定了一個(gè)初步的安全工程能力成熟度模型（Security Engineering CMM），以此作為這一判斷過程的開始。1996年10月出版了SSE-CMM模型的第一個(gè)版本，1997年4月出版了評(píng)定方法的第一個(gè)版本。1997年7月召開會(huì)議主要涉及到模型的應(yīng)用，特別是在采購、過程改進(jìn)、產(chǎn)品和系統(tǒng)質(zhì)量保證等方面的應(yīng)用。1999年4月，模型和相應(yīng)評(píng)估方法2.0版發(fā)布。2001年美國將SSE-CMM2.0版提交給ISO JTC1 SC27年會(huì)，申請(qǐng)作為國際標(biāo)準(zhǔn)，對(duì)應(yīng)的ISO文件是：《ISO/IEC DIS 21827信息技術(shù)—系統(tǒng)安全工程—能力成熟度模型》（SSE-CMM）（Information Technology-Systems Security Engineering-Capability Maturity Model）。

2.2 適用范圍

BS7799提供了一套綜合的、由信息安全最佳措施組成的實(shí)施規(guī)則和管理要求，應(yīng)用范圍覆蓋了所有類型的組織（如商業(yè)企業(yè)、政府機(jī)構(gòu)和非盈利組織），遍布整個(gè)系統(tǒng)或組織，包括所有的信息系統(tǒng)及其外部接口。雖然我國信息安全標(biāo)準(zhǔn)委員會(huì)不是將ISO/IEC 17799作為強(qiáng)制性國家標(biāo)準(zhǔn)引入，而是僅作為推薦性國家標(biāo)準(zhǔn)推行，但是企業(yè)和組織仍然可以將ISO/IEC 17799作為衡量信息安全管理體系規(guī)范程度的一個(gè)標(biāo)準(zhǔn)和指標(biāo)。建立信息安全管理體系并獲得經(jīng)認(rèn)可的認(rèn)證機(jī)構(gòu)的認(rèn)證，不僅能提高組織自身的安全管理水平，保證業(yè)務(wù)的可持續(xù)運(yùn)作；并且能向客戶及利益相關(guān)方展示組織對(duì)信息安全的承諾，增強(qiáng)投資方和股票持有者的投資信息，向政府及行業(yè)主管部門證明組織對(duì)相關(guān)法律法規(guī)的符合，尤其對(duì)于銀行、證券、電子商務(wù)、ISP等服務(wù)提供商來說，可以借此向客戶展示其服務(wù)相比其他競爭對(duì)手更加安全、可靠，并樹立和增強(qiáng)企業(yè)的信息安全形象，提高企業(yè)的綜合競爭力。

SSE-CMM涉及到可信產(chǎn)品或者系統(tǒng)整個(gè)生命期的安全工程活動(dòng)，其中包括概念定義、需求分析、設(shè)計(jì)、集成、安裝、運(yùn)行、維護(hù)和終止。SSE-CMM可用于安全產(chǎn)品開發(fā)者、安全系統(tǒng)開發(fā)者、集成商和提供安全服務(wù)和安全工程的組織機(jī)構(gòu)，可應(yīng)用于所有類型和大小的安全工程機(jī)構(gòu)，如商務(wù)機(jī)構(gòu)、政府機(jī)構(gòu)和學(xué)術(shù)機(jī)構(gòu)。有各類組織從事安全工程，其中包括產(chǎn)品開發(fā)者、服務(wù)提供者、系統(tǒng)集成者、系統(tǒng)管理者、直至安全專家。其中部分組織處理高層問題（如運(yùn)行使用或系統(tǒng)體系結(jié)構(gòu)有關(guān)的問題），部分組織處理底層問題（如機(jī)制選擇和設(shè)計(jì)），還有一部分組織涉及到這兩個(gè)層面。某些組織可能專長于某些特殊技術(shù)或某些特殊環(huán)境（如在海上），SSE-CMM的設(shè)計(jì)可用于所有這些組織。

2.3 實(shí)施流程

BS7799主要遵循風(fēng)險(xiǎn)管理的思想，通過識(shí)別和評(píng)估風(fēng)險(xiǎn)來建立組織的信息安全管理體系（ISMS），并應(yīng)用PDCA模型對(duì)ISMS進(jìn)行實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持與改進(jìn)。首先根據(jù)組織的業(yè)務(wù)特征、地理位置、資產(chǎn)、技術(shù)等要素來確定ISMS的范圍和ISMS方針。組織對(duì)ISMS范圍內(nèi)的資產(chǎn)進(jìn)行風(fēng)險(xiǎn)識(shí)別后，通過風(fēng)險(xiǎn)分析選擇風(fēng)險(xiǎn)處理的控制目標(biāo)和控制方式。其次，實(shí)施和運(yùn)行ISMS。這一階段的工作主要包括實(shí)施風(fēng)險(xiǎn)處理計(jì)劃、實(shí)施已選的控制措施、實(shí)施培訓(xùn)方案、管理ISMS的運(yùn)行、管理ISMS的資源、及時(shí)檢測、響應(yīng)安全事故等。再次，監(jiān)視和評(píng)審ISMS。組織應(yīng)執(zhí)行監(jiān)視和評(píng)審程序，定期審核ISMS的有效性，按照計(jì)劃的時(shí)間進(jìn)行風(fēng)險(xiǎn)評(píng)估并評(píng)估殘余風(fēng)險(xiǎn)的等級(jí)和已識(shí)別的可接受風(fēng)險(xiǎn)，記錄可能影響ISMS有效性或業(yè)績的措施和事件。最后，保持和改進(jìn)ISMS。主要包括采取適當(dāng)?shù)募m正和預(yù)防措施，總結(jié)組織取得的安全經(jīng)驗(yàn)教訓(xùn)，對(duì)已采取的措施和改進(jìn)意見與所有相關(guān)方進(jìn)行溝通等。

SSE-CMM具體的實(shí)施步驟：① 從11個(gè)安全過程域以及其他11個(gè)項(xiàng)目和機(jī)構(gòu)活動(dòng)過程域中選擇適合于你的機(jī)構(gòu)業(yè)務(wù)或任務(wù)的一個(gè)過程域；② 查看該過程域的摘要描述、目標(biāo)、所包含的基本實(shí)施（BP）；③ 查看你的機(jī)構(gòu)中是否有人在執(zhí)行該過程域中的所有基本實(shí)施，當(dāng)然并非所有的（BP）都需要你親自去實(shí)施，只要有人完成即可；④ 查看該過程域的目標(biāo)是否得到了滿足；如果所有的基本實(shí)施都被執(zhí)行了，則該過程域的目標(biāo)應(yīng)該達(dá)到；⑤ 在相應(yīng)的公共特征1.1處做上標(biāo)記（即“執(zhí)行基本實(shí)施”的目的已經(jīng)達(dá)到，在所選擇的PA上已具備第一級(jí)能力）；⑥ 查看公共特征2.1“規(guī)劃執(zhí)行”中的描述和包含的通用實(shí)施；⑦ 對(duì)照公共特征2.1中的通用實(shí)施，查看你的機(jī)構(gòu)是否正在計(jì)劃執(zhí)行你所選擇的過程域；⑧ 如果步驟7得到滿足，在公共特征2.1處做上標(biāo)記，如未滿足，則跳至步驟10；⑨ 對(duì)第二級(jí)中的其他每一個(gè)公共特征（即“規(guī)范化執(zhí)行”“驗(yàn)證執(zhí)行”“跟蹤執(zhí)行”），分別重復(fù)步驟6-8；⑩ 對(duì)每一個(gè)過程域，重復(fù)步驟2-9，最終就可以得出你的機(jī)構(gòu)的安全工程能力。

BS7799與SSE-CMM在安全需求分析階段的流程有所不同，見圖1和圖2。

圖1 BS7799安全需求分析流程

圖2 SSE-CMM安全需求流程

2.4 應(yīng)用現(xiàn)狀

越來越多的信息安全公司都以BS7799作指導(dǎo)為客戶提供信息安全咨詢服務(wù)，BS7799普及和推廣已是勢不可當(dāng)。2005年BS7799轉(zhuǎn)化為ISO/IEC27001至今，世界上已有73個(gè)國家的5206家企業(yè)通過了ISO/IEC27001認(rèn)證，其中日本408家，英國157家，中國有49家，其中大陸9家，臺(tái)灣25家，香港15家。全球已獲得BS7799-2認(rèn)證資格的認(rèn)證機(jī)構(gòu)有26個(gè)，認(rèn)可機(jī)構(gòu)有3個(gè)，分別為歐洲認(rèn)可聯(lián)盟（EA），國際認(rèn)可聯(lián)盟（IAF） 以及英國的UKAS；認(rèn)證的還包括政府機(jī)構(gòu)，如英國的Cherwell區(qū)自治會(huì)、英國政府嚴(yán)重詐騙罪犯辦公室、蒂斯河畔斯托克頓市政府、桑德蘭市政府、英國信息中心辦公室、英國社會(huì)保障機(jī)構(gòu)Pensions Regulator、旺茲沃思自治區(qū)議會(huì)等。ISO/IEC27001在我國也得到了廣泛的認(rèn)可，目前已有電力、銀行、企業(yè)等組織通過了ISO/IEC 27001認(rèn)證，如光大銀行信用卡中心、浙江省嘉興電力等。按照ISO/IEC27001進(jìn)行網(wǎng)絡(luò)安全管理和建設(shè)的企業(yè)有奇瑞汽車集團(tuán)、華為公司等。

目前，全球經(jīng)濟(jì)領(lǐng)域的數(shù)千個(gè)組織在利用SSE-CMM的系統(tǒng)安全工程改進(jìn)與評(píng)價(jià)。在國外，SSE-CMM在系統(tǒng)安全工程的實(shí)踐方面已有很大的影響，已經(jīng)成為西方發(fā)達(dá)國家政府、軍隊(duì)和要害部門組織和實(shí)施系統(tǒng)安全工程的通用方法，是系統(tǒng)安全工程領(lǐng)域里的成熟體系。它不僅已用于軍事控制系統(tǒng)，而且在工業(yè)界也已得到廣泛接受，2000年9月，該標(biāo)準(zhǔn)提交給國際標(biāo)準(zhǔn)化組織，國際標(biāo)準(zhǔn)化組織將其看作是目前最有希望成為ISO/IEC15408《信息技術(shù)安全評(píng)價(jià)公共準(zhǔn)則》（CC） 的替代認(rèn)證技術(shù)。我國國家信息安全測評(píng)認(rèn)證中心［5］已采納和確定SSE-CMM為信息系統(tǒng)安全工程所需遵循的標(biāo)準(zhǔn)，并于2000年5月組織我國領(lǐng)域內(nèi)權(quán)威研究機(jī)構(gòu)和專家起草了基于SSE-CMM的《信息系統(tǒng)安全工程質(zhì)量管理要求（標(biāo)準(zhǔn)推薦稿）》，國家認(rèn)證中心已計(jì)劃在我國信息安全測評(píng)認(rèn)證體系內(nèi)全面采納這一評(píng)定方法。但是，總體來看，SSE-CMM在我國理論研究和實(shí)踐應(yīng)用都處于剛剛起步的階段，隨著我國國防、政府、企業(yè)、社會(huì)信息化程度的急劇提高，信息安全問題對(duì)我們的挑戰(zhàn)將越來越嚴(yán)峻，相信隨著網(wǎng)絡(luò)應(yīng)用在中國的不斷發(fā)展，電子商務(wù)、政府上網(wǎng)工程等將逐漸展開，系統(tǒng)工程會(huì)變的越來越重要。SSE-CMM模型作為一套全新的系統(tǒng)安全工程實(shí)施與評(píng)估標(biāo)準(zhǔn)，包含了許多先進(jìn)的管理思想，在我國有著很好的、廣泛的應(yīng)用前景。

2.5 標(biāo)準(zhǔn)的綜合應(yīng)用

BS7799作為一項(xiàng)通行的信息安全管理標(biāo)準(zhǔn)，旨在為組織實(shí)施信息安全管理體系（ISMS）提供指導(dǎo)性框架，盡管BS7799的第一部分也提供了諸多控制措施，但更多體現(xiàn)的是一種目標(biāo)要求，總體來說，BS7799并沒有提及實(shí)施的細(xì)節(jié)，這是作為通行標(biāo)準(zhǔn)必然的局限。其次，在BS7799的10個(gè)核心控制領(lǐng)域中，沒有對(duì)任何一個(gè)領(lǐng)域或控制目標(biāo)的權(quán)重分配，因此在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，沒有一個(gè)標(biāo)準(zhǔn)依據(jù)來對(duì)這127項(xiàng)控制目標(biāo)進(jìn)行加權(quán)，不同的評(píng)估人員得出的評(píng)估結(jié)果可能也不相同。最后，BS7799中沒有劃分評(píng)估等級(jí)，也沒有考慮實(shí)施者在信息安全建設(shè)過程中表現(xiàn)出來的能力和水平。SSE-CMM是一個(gè)評(píng)估標(biāo)準(zhǔn)，它定義了實(shí)現(xiàn)最終安全目標(biāo)所需要的一系列過程，并對(duì)組織執(zhí)行這些過程的能力進(jìn)行等級(jí)劃分。因此組織在實(shí)施BS7799的過程中，SSE-CMM是一個(gè)不錯(cuò)的參照。

分析SSE-CMM的各項(xiàng)基本實(shí)施發(fā)現(xiàn)，SSE-MM并沒有對(duì)每個(gè)過程域的實(shí)現(xiàn)方法作規(guī)定（例如沒有規(guī)定出威脅評(píng)估的方法），而是強(qiáng)調(diào)了安全工程的結(jié)果，并通過“工作結(jié)果示例”來進(jìn)一步突出安全工程過程的可視化。因此，雖然SSE-CMM是一種面向過程的信息安全方法，但它仍然離不開對(duì)結(jié)果的考慮。而且這種“工作結(jié)果示例”中要求的工程結(jié)果是粗線條的，在一定程度上提供了可擴(kuò)充性的余地。但在具體應(yīng)用方面，該模型缺乏工程化，可操作性差，尤其在我國對(duì)于信息系統(tǒng)安全工程的研究并不很成熟。SSE-CMM本身并不是安全技術(shù)模型，它僅給出了信息系統(tǒng)安全工程需考慮的關(guān)鍵過程域，對(duì)于評(píng)估的內(nèi)容和定義沒有做具體規(guī)定。因此，我們采用目前已在國際上被廣泛接受的BS7799（ISO/IEC17799） 來指導(dǎo)這方面的工作。BS7799（ISO/IEC17799） 包括了10類需要進(jìn)行控制的方面，共127個(gè)控制項(xiàng)。在使用時(shí)，將這127個(gè)控制項(xiàng)共300多項(xiàng)條款根據(jù)SSE—CMM中的過程域和基本實(shí)踐進(jìn)行分類，把它們作為鋪設(shè)在SSE--CMM的基本實(shí)踐底層的用于指導(dǎo)安全管理的條款，簡稱為“BA條款”。

3 結(jié)束語

通過研究源評(píng)估方法的結(jié)合，可以確保新評(píng)估方法的完備。本文通過BS7799與SSE-CMM對(duì)比研究，發(fā)現(xiàn)兩類標(biāo)準(zhǔn)在內(nèi)容、發(fā)展歷程、適用范圍、實(shí)施流程、涵蓋范圍、及應(yīng)用現(xiàn)狀方面各有優(yōu)勢，可以相互借鑒。中國國家信息安全評(píng)測認(rèn)證中心將以SSE-CMM版本2.0為主要參考著手制訂安全工程過程能力和安全工程服務(wù)資質(zhì)方面的認(rèn)證標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)既符合國際規(guī)范又結(jié)合了中國實(shí)際，無疑將對(duì)規(guī)范信息安全領(lǐng)域的活動(dòng)起到基礎(chǔ)性作用，并將極大地促進(jìn)中國信息技術(shù)安全領(lǐng)域的發(fā)展。建議我國信息安全評(píng)測認(rèn)證中心，細(xì)化SSE-CMM對(duì)BS7799標(biāo)準(zhǔn)的借鑒內(nèi)容，將二者結(jié)合起來開發(fā)高確信度信息安全產(chǎn)品和系統(tǒng)的開發(fā)方法，提升中國在國際標(biāo)準(zhǔn)中的地位。