工程活动，包括概念定义、需求分析、设计、开发、集成、 安装、运行、维护及淘汰。SSE-CMM可应用于安全产品开
发商、安全系统开发商和集成商，以及提供安全服务和安全
工程的组织机构，如金融、政府、学术等机构。尽管SSECMM是一个明确的信息安全工程模型，能够明显提升安全 工程的能力，但并不意味着它独立于其他工程准则之外，相 反，SSE-CMM提供了一种集成观观念。
产品的设计、开发、发布和维护等过程。 (4) 特定工业部门。每一个工业部门都有独特的任务和
文化风格。通过最大程度地减少部门角色的独特性、依赖性
和组织结构的关联性，SSE-CMM可以容易地解释或转化各 行业和部门自己特定的语言及文化，方便不同行业和部门之
间的沟通与交流。
11
3.1.3
SSE-CMM的用途
(2) 建立一套与标识出的安全风险相平衡的安全需求集。
(3) 将安全需求转变为安全指导，并将它集成到一个项 目的多个方法域的行为中，以及一个系统配置或操作的描述
中。
(4) 建立对安全机制的正确性和有效性的信心或信任度。
19 (5) 判断系统中残存的安全弱点对系统运行的影响是否
可以容忍(即风险是否可以接受)。
在高度不确定的环境中，接受风险必会带来诸多的问题，这
也使得判断是否接受风险成为一个非常专业的问题。
32
2. 工程
虽然SSE-CMM没有按照时间顺序阐述安全工程的过程，
但仍在“工程”部分涵盖了工程的各个阶段，这也体现了其 对ISSE的继承。SSE-CMM认为安全工程跟其他学科一样，
都要经历概念、设计、实现、测试、配置、操作、维护和淘
CMM被设计成安全工程实践的形式，并且以提高安全系统、
可信任产品以及安全工程服务的质量和可用性，降低发布成 本为目标，特别地，SSE-CMM对以下组织很有好处：
14 (1) 工程组织。工程组织包括系统集成商、应用开发商、
产品销售商以及服务提供商，SSE-CMM对这些组织带来的
好处是： · 减少可重复、可预测过程和实践所带来的重复性劳动。
6 在工程准则中，安全问题无处不在，信息安全需要综合所有
可行的工程过程，如系统、软硬件、人为因素等，通过定义
相应的模型组件来适应这些情况，例如“基本实践”组件定 义了安全工程活动中的协调对象和机制，能够将安全和其他
工程准则与一个工程组织内的工作组整合起来。
7
3.1.2
SSE-CMM的用户
SSE-CMM的用户涉及到安全工程各类组织或机构，包
与方法，缺少一个能够全面评估安全工程实施的框架。SSECMM提供了这种框架，可以作为衡量系统安全性的标准， 以提高安全工程准则应用的性能。SSE-CMM的目标就是把
安全工程发展成为一种有完整定义的、成熟的和可测量的工
程学科。
5
3.1.1
SSE-CMM适用范围
SSE-CMM规定了整个可信产品或安全系统生命周期的
分析安全脆弱性的能力，以及对操作的影响进行评估。在操
作过程中，还要对该组织的系统安全监控能力、系统脆弱性 发现和分析的能力进行评估。
9 (2) 安全策略制定者。SSE-CMM模型包含了如何决定和
分析安全脆弱性、评估操作影响、为其他组织或人员提供输
入和指南等安全工程实践元素，对于安全策略制定者而言， 制定安全策略的能力就是通过对SSE-CMM中各项工程实践
· 减少对基于工业标准的统一评估的异议。 · 在产品和服务中实现可预测、可重复的可信度。
16 (3) 评估组织。评估组织包括认证机构、系统认可机构、
产品评估机构、产品估价机构。SSE-CMM对这些组织带来
的好处是： · 过程评估结果的可重复性，系统或产品改进的独立性。
· 在安全工程以及与其他学科集成中获得信任度。
27
图3-1 安全工程过程的三个基本单元
28
1. 风险
安全工程的主要目标之一就是减轻风险，风险评估是识
别尚未发生的潜在问题的过程，应通过检查威胁和脆弱性发 生的可能性及有害事件发生的潜在影响来评估。一般来说，
可能性中必然包含不确定性的因素，而这个不确定因素又随
环境变化而变化，这就意味着，可能性只在某种特定的条件 下才能预测，此外，对特定风险影响的评估也是不确定的， 因为有害事件可能不会像预测的那样发生。因为这些因素具 有很大的不确定性，所以与之相关的准确预测和安全设计及 证明都非常困难。
识出所开发的产品或系统中存在的危险，并对这些危险进行 优先级排序；其次，工程过程利用所有工程方法确定并实施 针对危险可能导致的问题解决方案；
26 最后，信任度过程为解决方案建立起信任度，并将这种信任
度传达给客户，如图3-1所示。SSE-CMM的三个基本单元协
同工作，共同确保安全工程能够达到安全目标。
括产品开发商、服务提供商、系统集成商、系统管理员、安 全专家等。这些SSE-CMM用户涉及的工程事务层面不同，
有的负责处理一些高级事务(例如系统的体系结构或系统的
操作运行)，有的负责处理一些低级事务(例如安全产品的选 型与设计)，还有的这两级事务都做。这些组织能够根据特 定的形式或特殊的联系来区分不同的用户，并能根据需要进 行重新组合。
SSE-CMM及其评估方法有以下用途：
(1) 工程组织作为评估他们的安全工程实践和提出改进 意见的工具。
(2) 安全工程评估组织作为建立基于组织能力信任度的
基础。 (3) 用户作为评估产品提供商安全工程能力的标准机制。
12
3.1.4
使用SSE-CMM的好处
目前，信息安全产品、服务等在市场上一般以两种方式
软硬件、人类活动、测试工程，以及系统管理、运行和维护
等。 (4) 与其他组织机构的相互作用，包括信息获取、系统 管理、产品认证与认可、可信度评估等。
4 通常，用户和安全产品的提供商都非常关注和重视安全
产品、安全系统及安全服务的改进，并将其作为一项工程来
实施。在安全工程领域中，已经有一些约定俗成的被广泛接 受的准则，但这些准则缺少对产品、系统和服务的评估标准
保护。 (4) 物理安全：重点是对建筑物和物理场所的保护。
(5) 人身安全：与人，以及人的可信度和安全意识相关。
(6) 管理安全：涉及到安全的管理因素和管理系统的安 全。
(7) 通信安全：与安全域之间的信息通信有关，尤其是
信息在传输介质上的传输保护。
24 (8) 辐射安全：处理机器设备产生的可能会将信息泄露
可信第三方(例如CA)，咨询/服务机构等。
21
3. 安全工程与其他学科
在实施中，安全工程必须始终与很多的其他学科发生联
系，如：企业计划工程，系统工程，软件工程，人的因素工 程，通信工程，硬件工程，测试工程，系统管理等。
22
4. 安全工程专业领域
安全工程和信息安全是当前安全和商业环境中的推动性
学科，其他一些更加传统的安全学科，如物理安全和人身安 全也不应被忽视。要想得到更加有效的实施结果，安全工程
13 (1) 持久性：未来的应用需要利用在以前应用中获得的
知识。
(2) 可重复性：确保工程能够安全地重复操作的方法。 (3) 效率性：保证开发商和评估组织的工作效率。
(4) 可信性：对安全需求已获得满足所具有的信心。
为了达到以上目标，需要一种机制能够引导组织理解和 改进他们的安全工程实践。为了满足这种机制的要求，SSE-
8 根据不同组织的实际情况，模型所定义的某些安全工程
实践将会起作用，但不是全部，并且这些组织需要从模型不
同的实践之间的联系来决定他们的应用。以下是SSE-CMM 在各种组织中的应用说明：
(1) 安全服务提供商。在这里，SSE-CMM可用来衡量组
织的信息安全工程过程能力，即测量服务提供商执行风险评 估的过程能力。在系统的开发和集成时，要对该组织发现和
到外部的非预期电磁信号上。
(9) 计算机安全：涉及到各类计算设备的安全。
25
3.2.2
SSE-CMM的过程域
与基于时间维的ISSE过程不同，SSE-CMM是将通用的
安全工程过程分为三个不同的基本单元：风险、工程和信任 度。尽管这些单元之间不可能相互独立，但有必要将它们分
开考虑，它们体现了这样一种层次关系：首先，风险过程标
现中所观察到的经验抽象而成，并没有限制一个特定的过程 或顺序，
3 这与ISSE基于时间维而限制特定的工程过程与步骤有很大不
同，它的用途主要体现在对信息安全工程能力进行评估。该
模型是信息安全工程实施的通用评估标准，包含以下内容： (1) 工程的整个生命周期，包括系统开发、实施、运行、
维护及淘汰等。
(2) 整个组织机构的管理、组织和工程活动等。 (3) 与其他学科和领域的紧密联系及作用，包括系统、
就必须从这些传统的安全领域以及其他安全相关领域汲取营
养。以下是可能需要的安全专业相关领域。 (1) 运行安全：以运行环境的安全以及维护一种安全运 行状态为目标。 (2) 信息安全：涉及到信息及其在操作和处理过程中的 安全。
23 (3) 网络安全：涉及到网络硬件、软件和协议的保护，
包括对网络上所传输信息的
29 一个有害事件通常由3个部分组成：威胁、脆弱性和负
面影响。脆弱性是资源本身的属性，它可以被一种威胁所利
用。威胁和脆弱性缺少其中任何一个，就可以避免有害事件， 风险也就不存在了。风险管理是处理和制止风险的过程，并
为系统建立一个可接受的风险水平，它是安全管理的一个重
要组成部分。安全风险包含了威胁、脆弱性和负面影响，如 图3-2所示，图中SSE-CMM的几个过程域(如PA04、PA05、
· 获得公众对其真正的工程实施能力的认可，尤其是在
资源选择方面。 · 关注于提升组织的资质(成熟度)和改进能力。
15 (2) 采办组织。采办组织包括从内部/外部资源采办系统、