SSE-CMMSSE-CMM的内涵SSE-CMM为Systems security engineering Capability maturity model的缩写。

中文名称为系统安全工程能力成熟模型。

SSE-CMM是一个过程参考模型。

SSE-CMM的目的不是规定组织使用的具体过程,更不必说具体的方法。

而是希望准备使用SSE-CMM的组织利用其现有的过程——那些以其他任何信息技术安全指导文件为基础的过程。

本标准的范围包括：涉及整个生存周期的安全产品或可信系统的系统安全工程活动：概念定义、需求分析、设计、开发、集成、安装、运行、维护以及最终退役；对产品开发商、安全系统开发和集成商,以及提供计算机安全服务和计算机安全工程组织的要求；适用于从商业界到政府部门和学术界的各种类型和规模的安全工程组织。

SSE-CMM（系统安全工程能力成熟模型）简介过去人们在开发安全系统过程中往往只重视产品或系统本身的标准化问题，但却忽视了开发过程本身的标准化问题。

如何提高开发过程的能力，如何使过程本身标准化、规范化，越来越引起人们的重视。

为了改变这种状况，一个不同于以往的概念逐渐被接受，即一个系统或产品的性能取决于其过程能力［1］。

系统安全工程能力成熟模型（SSE-CMM）的构想是在1993 年4月由美国国家安全局（NSA）提出来的。

在美国国家安全局、美国国防部、加拿大通信安全局的号召和推动下，汇聚了超过60 个厂家，集中了大量的人力、物力和财力对该构想进行了开发实施，并于1996 年10 月出版了SSE-CMM模型的第一个版本，1997 年4 月出版了评定方法SSAM 的第一个版本；1999 年4 月发布了SSECMM和SSAM 的2.0 版本［2］。

SSE-CMM模型通过“过程能力”这一指标来对工程队伍的能力进行评估。

“过程能力”是通过执行这一过程，所得到的结果之质量的变化范围。

其变化的范围越小，执行该过程的队伍越“成熟”。

于是产品质量的一致性较高，而以高“成熟能力”执行“完善的”过程的工程队伍将有极大可能持续生产高质量的产品，从而大大降低工程的风险。

SSE-CMM（系统安全工程能力成熟模型）理论基础SSE-CMM的基本思想是：通过对安全工程过程进行管理的途径，将系统安全工程转变为一个完好定义的、成熟的、可测量的过程［3］。

安全工程过程研究将系统安全工程过程分为三类：风险过程、工程过程和信任度过程。

风险过程研究，即对要实施安全工程的系统进行风险分析，分析各种可能对系统构成威胁的影响因素、系统本身的脆弱性以及如果威胁因素起作用可能对系统造成的影响。

成为风险（Risk）的事件有三个组成部分：威胁（Threat）、系统脆弱（VuInerabiIities）和事件造成的影响（InfIuence）。

一般而言，这三种因素必须全都存在才足以构成风险（使风险值大于零）。

工程过程研究，即工程队伍根据风险分析的结果、有关系统需求、可应用的法律法规和方针政策等信息，同客户一起识别和定义系统的安全需要，在综合考虑包括成本、性能、技术风险和使用难易程度等各种因素和各种替代方案之后创建出解决方案，然后用该方案指导安全系统的开发和建设，并对系统进行不间断的监测，以保证风险不至于增大到不能接受的程度。

信任度过程研究，即对安全工程过程和质量结果进行测试和验证，从而得出系统安全是否可信，具有检测结果的可重复性。

统计过程控制理论从对系统的直接评测，转向通过对构造系统的工程队伍能力的间接评测，以衡量目标系统安全程度。

对工程队伍能力的评测基于能力成熟模型（CMM），而CMM 的基本思想来源于得到工业界广泛接受的统计过程控制原理［4］。

所有成功企业的共同特点是：都具有一组定义严格、管理完善、可测、可控、高度有效的工作过程。

如果一个工程队伍管理完善，有较强的能力和出色的业绩，那么这同一支队伍高质量地完成被评测系统构造任务的可能性会是很大的。

因此，有了对这支工程队伍的系统安全工程能力成熟度的评测，在目标系统的安全信任度的评测中就可以大大简化了。

虽然过程能力的评测不能完全取代产品的测试和认证，也不能直接担保最终系统或产品的安全性能，经验证明，一个具有高过程能力的安全工程队伍开发出安全系统和产品具有较高的可信度。

于是，工程队伍过程能力的评定将为其产品信任度的评估提供有力的证据，而且是缩短评测周期的可能方法之一。

系统工程思想信息系统安全工作覆盖面广，涉及诸多领域和学科，必须以系统工程的思想来处理。

系统安全工程旨在了解企业存在的安全风险，建立一组平衡的安全需求，融合各种工程学科的努力，将安全需求转换为贯穿系统整个生存期的工程实施指南。

系统安全工程还需对安全机制的正确性和有效性做出诠释，证明系统安全的信任度能够达到用户的要求，或系统遗留的安全薄弱性及连带的风险在用户可允许的范围之内。

通过SSE-CMM模型可以将复杂的信息系统安全工程的实施与管理成为严格的系统工程方法及可依赖的工程化体系。

首先对安全需求进行分析，并对安全目标加以确定，然后设计并实现满足安全目标的具体方案。

在方案中需要的安全产品（包括应用系统），应当有一定的措施保证其可信度。

可靠的工程过程和可信的产品是解决安全问题的必要条件，但不是充分条件。

任何系统都需要在实际中使用，使用过程中的有效安全管理才能充分保证安全体系的正常运行。

连续改进（Continuous Improvement）连续改进的含义是：以超前的视野预见过程执行实施中可能引起的要素（包括特定的设计、作业方式及其与之相联系的成本要素），利用先期规范制约的各种手段作出最大可能效果创出（最优成本/ 效益比）的预期调整，并以相应的效果计量和评估方法相配合，以确保实际过程以预期的低成本运作的先导式控制。

笔者认为，系统安全工程能力成熟度模型是连续改进的表现，而侧重于安全过程评估和过程能力评价与改进相呼应。

SSE-CMM模型中蕴涵的思想就是防止项目失败的思想，正是在欧美以及日本日趋流行和重视的“连续改进”管理思想。

SSE-CMM模型SSE-CMM模型将各种各样的系统安全工程任务抽象为11个有明显特征的子任务，而完成一个子任务所需要实施的一组工程实践称为一个过程域（Process Area）, SSE-CMM模型为每个过程域定义了一组确定的基本实践(Basic Practice)，并规定每一个基本实践对完成该子任务都是不可缺少的，一个组织每次执行同一个过程时，其执行结果的质量可能是不同的，SSE-CMM模型将这个变化范围定义为一个组织的过程能力，对于“成熟”的组织，每次执行同一任务结果的质量变化范围比“不成熟”的组织要小，为了衡量一个组织的能力成熟度，其过程完成的质量必须是可度量的，为此，SSE-CMM模型定义了5个过程能力级别，每个级别用一组共同特性（Common Feature）来标识,每个共同特性则通过一组确定的通用实践(Generic Practice)来描述。

这里的组织(Organization)是指执行过程或接受过程能力评估的一个组织机构,一个组织可以是整个企业、企业的一个部门，或者是一个项目组。

SSE-CMM模型定义了一个两维的框架结构，横轴上有11个安全工程过程域，纵轴上有5个能力级别,如果对每个过程域都进行能力级别评分，则可以得到一个两维图形，参见图1图1 SSE-CMM模型的两维框架结构SSE-CMM模型的五个过程能力·级别１“非正式执行过程”。

这一级别将焦点集中于一个组织是否将一个过程所含的所有基础实施都执行了。

它仅仅要求一个过程域的所有基本实践都被执行,而对执行的结果并无明确的要求.·级别２“计划并跟踪过程”。

主要集中于项目级别的定义、计划与实施问题。

它强调过程执行前的计划和执行中的检查，这使得一个组织可以根据最终结果的质量来管理其实践活动。

·级别3“良好定义过程”。

集中于在组织的层次上有原则地将对已定义过程进行筛选。

它要求过程域所包括的所有基本实践都必须依照一组良好定义的操作规范来进行，这组规范是一个组织依据长期工作经验制订出来的，其合理性是经过验证的·级别４“定量控制过程”。

它能够对一个组织的表现进行定量的度量和预测，使过程管理成为客观的和准确的实践活动。

焦点在于与组织的商业目标相结合的度量方法。

尽管在起始阶段就十分必要对项目进行度量，但这并不是在整个组织范围内进行的度量。

直到组织已达到一个较高的能力水平时才可以进行整个组织范围内的度量。

·级别５，“持续改善过程”。

在前几个级别进行之后，我们从所有的管理实施的改进中已经收到成效。

这时需要强调必须对组织文化进行适当调整以支撑所获得的成果。

它为过程行为的高效化和实用化建立定量的目标，可以准确地度量过程的持续改善所收到的效果。

每个级别用一组共同特性（CF）来标识，每个共同特性则通过一组确定的通用实践（GP）来描述。

过程能力是用来度量每个过程域的，而不是用来度量整个组织的&当一个组织不能执行一个过程中的基本实践时，该过程域的过程能力是0级，,0级不是一种真正意义上的能力级别，不包含任何通用实践，也不需要测量。

过程能力评估方法运用SSE-CMM模型评估一个组织的过程能力可采用两种方法;自我评估和第三方评估。

一个组织可以运用SSE-CMM模型自我评估每个过程域的能力级别，评测结果可作为改善其过程能力的理论依据和目标。

在运用SSE-CMM模型评估一个组织的过程能力成熟度之前，应首先使用这一模型评估该组织在以往工程项目中的表现。

由于每个能力级别都定义了一个或多个共同特性，只有当所有共同特性都得到满足时，才达到了对应的能力级别。

如果一个过程域只满足了n+1级或n+2级上所定义的部分共同特性,但满足了n级上所定义的全部共同特性,其过程能力应当评为n级.在执行具体项目时,一个组织可以根据系统安全工程项目的实际需求有选择地执行某些过程域,而不是全部。

此外，一个组织也可能需要执行安全工程过程域之外的关键过程。

SSE-CMM模型推荐了SE-CMM模型的11个过程域，它们可用于组织和项目本身的管理，可以与SSE-CMM过程域配合使用。

为了支持理论模型，保障过程能力评估结果的一致性SSE-CMM项目组编写了SSE-CMM模型评估方法指南(评估方法指南详细地规定了评估机构的组成)人员责任的划分)日程的安排)评估过程中所使用的一些表格格式及内容等，评估过程包括持续一周的与被评组织直接接触的调研活动，指南建议的评估时间是：自我评估为500人小时左右，第三方评估为大约1000人小时左右，评估活动本身并不复杂，主要是确认SSE-CMM模型中定义的基本实践和通用实践是否存在，被评组织必须提交证据以支持自己的论点。

SSE-CMM（系统安全工程能力成熟模型）国内外现状及应用前景通过以上介绍可以看出，SSE-CMM 模型是目前针对信息系统安全问题而提供的具有较高可靠性的解决方法。