BS7799與SSE-CMM的對比研究

●王艷瑋，王 娟（陜西師范大學 國際商學院，西安 710062）

科學的信息安全評估標準是信息安全測評認證的基礎。英國標準協(xié)會和貿(mào)工部BSI/DISC的BDD/2信息安全管理委員會制定的BS7799是目前世界上應用最廣泛與最典型的安全管理標準，其圍繞風險評估從管理和技術兩方面建立了一整套信息安全評估體系。BS7799 分為 BS7799-1［1］和 BS7799-2 兩部分，［2］已經(jīng)被國際標準化組織ISO采納，成為ISO/IEC27000系列信息安全標準族的主要標準之一。

SSE-CMM成為許多國家政府、軍隊和要害部門組織和實施安全工程的通用方法，是系統(tǒng)安全工程領域里成熟的方法體系，在理論研究和實際應用方面具有舉足輕重的作用，同時也被國際標準化組織采用，成為ISO/IEC DIS 21827標準。

本文通過對BS7799和SSE-CMM進行對比研究，一方面可以更好地學習理解標準，為我國標準制定提供借鑒意義；另一方面可以優(yōu)勢互補，將二者結合起來開發(fā)高確信度信息安全產(chǎn)品或系統(tǒng)的開發(fā)方法。

1 標準的概述

1.1 BS7799

BS7799［3］由英國標準協(xié)會 （British Standards Institute，BSI） 于1995年頒布，分為兩部分。BS7799-1是信息安全管理實施細則，主要提供了信息安全最佳實踐的匯總集，最初從10個方面定義了127項控制措施。BS7799-1幾經(jīng)改版，最終轉(zhuǎn)化為ISO/IEC17799：2005，2007年編號改為ISO/IEC27002，其內(nèi)容也增加到11個方面的133項控制措施。BS7799-2是建立信息安全管理體系（ISMS）的管理要求和規(guī)范，指導相關人員如何去應用BS7799-1。BS7799-2規(guī)定了組織基于PDCA模型建立、實施、運行、監(jiān)視、評審、保持和改進ISMS的總要求及相關文件要求，并規(guī)定了在這個過程中的管理職責和管理評審要求。

1.2 SSE-CMM

系統(tǒng)安全工程能力成熟度模型（SSE-CMM，Systems Security Engineer Capability Maturity Model）［4］是一種面向工程過程，衡量系統(tǒng)安全工程實施能力的方法。SSE-CMM的基本思想是：通過對安全工程過程進行管理的途徑，將系統(tǒng)安全工程轉(zhuǎn)變?yōu)橐粋€完好定義的、成熟的、可測量的過程，具有此類成熟過程的組織開發(fā)的安全系統(tǒng)或產(chǎn)品具有較高安全確信度和可重復性。SSE-CMM模型中定義了22個安全方面的過程域PA（Process Areas），按照解決問題的不同，過程域可以分為3類：安全工程過程域（PA），包括11個過程；項目過程域（PA），包括5個過程；組織過程域（PA），包括6個過程。SSE-CMM模型又將各種系統(tǒng)安全工程任務抽象劃分為11個有明顯特征的子任務，由此定義了11項“良好”的安全工程過程即過程域（PA），每個過程域用一組確定的單元—基本實踐（Basic Practice，簡稱BP） 來描述完成的任務；設置了6個能力成熟級別，每個級別的判定反映為一組共同特性（Common Feature，簡稱CF），而每個共同特性進而通過一組確定的單元一通用實踐（Generic Practice，簡稱GP） 來描述。于是，SSE-CMM模型從整體上定義了一個二維架構，橫軸上有11個系統(tǒng)安全工程過程域，縱軸上有6個能力成熟度級別。如果給每個過程域賦予一個能力成熟度級別的評分，所得到的二維圖形便形象地反映了一個工程隊伍整體上的過程能力成熟性，也間接地反映了這個工程隊伍工作結果的安全可信度。

2 BS7799和SSE-CMM的對比研究

2.1 發(fā)展歷程

BS7799是英國標準協(xié)會于1995年頒布的針對信息安全管理制定的一個標準。BS7799最初是由英國貿(mào)工部（DTI） 立項，經(jīng)業(yè)界、政府和商業(yè)機構共同倡導的，旨在開發(fā)一套可供開發(fā)、實施和測量有效信息安全管理慣例并提供貿(mào)易伙伴間信任的通用框架。1995年，《BS7799-1：1995》首次出版，1998年，BSI頒布了《信息安全管理體系規(guī)范》（BS7799-2：1998）。隨著BS7799在越來越多的國家得到廣泛的認可與應用，2000年12月，國際標準化組織ISO/IEC JTC1/SC27工作組認可《BS7799-1：1999》，正式將其轉(zhuǎn)化為國際標準，即《信息技術—信息安全管理實施細則》（ISO/IEC 17799：2000）。2005年6月15日修訂版《ISO/IEC17799：2005》發(fā)布，原來版本廢止。同時BS7799-2轉(zhuǎn)化為ISO/IEC27001，于2005年10月15日正式發(fā)布。

SSE-CMM起源于1993年4月。當時，美國國家安全局（NSA） 對各類能力成熟度模型（CMM） 的工作狀況進行了研究，以判斷是否需要一個專門適用于系統(tǒng)安全工程的CMM。在此階段，確定了一個初步的安全工程能力成熟度模型（Security Engineering CMM），以此作為這一判斷過程的開始。1996年10月出版了SSE-CMM模型的第一個版本，1997年4月出版了評定方法的第一個版本。1997年7月召開會議主要涉及到模型的應用，特別是在采購、過程改進、產(chǎn)品和系統(tǒng)質(zhì)量保證等方面的應用。1999年4月，模型和相應評估方法2.0版發(fā)布。2001年美國將SSE-CMM2.0版提交給ISO JTC1 SC27年會，申請作為國際標準，對應的ISO文件是：《ISO/IEC DIS 21827信息技術—系統(tǒng)安全工程—能力成熟度模型》（SSE-CMM）（Information Technology-Systems Security Engineering-Capability Maturity Model）。

2.2 適用范圍

BS7799提供了一套綜合的、由信息安全最佳措施組成的實施規(guī)則和管理要求，應用范圍覆蓋了所有類型的組織（如商業(yè)企業(yè)、政府機構和非盈利組織），遍布整個系統(tǒng)或組織，包括所有的信息系統(tǒng)及其外部接口。雖然我國信息安全標準委員會不是將ISO/IEC 17799作為強制性國家標準引入，而是僅作為推薦性國家標準推行，但是企業(yè)和組織仍然可以將ISO/IEC 17799作為衡量信息安全管理體系規(guī)范程度的一個標準和指標。建立信息安全管理體系并獲得經(jīng)認可的認證機構的認證，不僅能提高組織自身的安全管理水平，保證業(yè)務的可持續(xù)運作；并且能向客戶及利益相關方展示組織對信息安全的承諾，增強投資方和股票持有者的投資信息，向政府及行業(yè)主管部門證明組織對相關法律法規(guī)的符合，尤其對于銀行、證券、電子商務、ISP等服務提供商來說，可以借此向客戶展示其服務相比其他競爭對手更加安全、可靠，并樹立和增強企業(yè)的信息安全形象，提高企業(yè)的綜合競爭力。

SSE-CMM涉及到可信產(chǎn)品或者系統(tǒng)整個生命期的安全工程活動，其中包括概念定義、需求分析、設計、集成、安裝、運行、維護和終止。SSE-CMM可用于安全產(chǎn)品開發(fā)者、安全系統(tǒng)開發(fā)者、集成商和提供安全服務和安全工程的組織機構，可應用于所有類型和大小的安全工程機構，如商務機構、政府機構和學術機構。有各類組織從事安全工程，其中包括產(chǎn)品開發(fā)者、服務提供者、系統(tǒng)集成者、系統(tǒng)管理者、直至安全專家。其中部分組織處理高層問題（如運行使用或系統(tǒng)體系結構有關的問題），部分組織處理底層問題（如機制選擇和設計），還有一部分組織涉及到這兩個層面。某些組織可能專長于某些特殊技術或某些特殊環(huán)境（如在海上），SSE-CMM的設計可用于所有這些組織。

2.3 實施流程

BS7799主要遵循風險管理的思想，通過識別和評估風險來建立組織的信息安全管理體系（ISMS），并應用PDCA模型對ISMS進行實施、運行、監(jiān)視、評審、保持與改進。首先根據(jù)組織的業(yè)務特征、地理位置、資產(chǎn)、技術等要素來確定ISMS的范圍和ISMS方針。組織對ISMS范圍內(nèi)的資產(chǎn)進行風險識別后，通過風險分析選擇風險處理的控制目標和控制方式。其次，實施和運行ISMS。這一階段的工作主要包括實施風險處理計劃、實施已選的控制措施、實施培訓方案、管理ISMS的運行、管理ISMS的資源、及時檢測、響應安全事故等。再次，監(jiān)視和評審ISMS。組織應執(zhí)行監(jiān)視和評審程序，定期審核ISMS的有效性，按照計劃的時間進行風險評估并評估殘余風險的等級和已識別的可接受風險，記錄可能影響ISMS有效性或業(yè)績的措施和事件。最后，保持和改進ISMS。主要包括采取適當?shù)募m正和預防措施，總結組織取得的安全經(jīng)驗教訓，對已采取的措施和改進意見與所有相關方進行溝通等。

SSE-CMM具體的實施步驟：① 從11個安全過程域以及其他11個項目和機構活動過程域中選擇適合于你的機構業(yè)務或任務的一個過程域；② 查看該過程域的摘要描述、目標、所包含的基本實施（BP）；③ 查看你的機構中是否有人在執(zhí)行該過程域中的所有基本實施，當然并非所有的（BP）都需要你親自去實施，只要有人完成即可；④ 查看該過程域的目標是否得到了滿足；如果所有的基本實施都被執(zhí)行了，則該過程域的目標應該達到；⑤ 在相應的公共特征1.1處做上標記（即“執(zhí)行基本實施”的目的已經(jīng)達到，在所選擇的PA上已具備第一級能力）；⑥ 查看公共特征2.1“規(guī)劃執(zhí)行”中的描述和包含的通用實施；⑦ 對照公共特征2.1中的通用實施，查看你的機構是否正在計劃執(zhí)行你所選擇的過程域；⑧ 如果步驟7得到滿足，在公共特征2.1處做上標記，如未滿足，則跳至步驟10；⑨ 對第二級中的其他每一個公共特征（即“規(guī)范化執(zhí)行”“驗證執(zhí)行”“跟蹤執(zhí)行”），分別重復步驟6-8；⑩ 對每一個過程域，重復步驟2-9，最終就可以得出你的機構的安全工程能力。

BS7799與SSE-CMM在安全需求分析階段的流程有所不同，見圖1和圖2。

圖1 BS7799安全需求分析流程

圖2 SSE-CMM安全需求流程

2.4 應用現(xiàn)狀

越來越多的信息安全公司都以BS7799作指導為客戶提供信息安全咨詢服務，BS7799普及和推廣已是勢不可當。2005年BS7799轉(zhuǎn)化為ISO/IEC27001至今，世界上已有73個國家的5206家企業(yè)通過了ISO/IEC27001認證，其中日本408家，英國157家，中國有49家，其中大陸9家，臺灣25家，香港15家。全球已獲得BS7799-2認證資格的認證機構有26個，認可機構有3個，分別為歐洲認可聯(lián)盟（EA），國際認可聯(lián)盟（IAF） 以及英國的UKAS；認證的還包括政府機構，如英國的Cherwell區(qū)自治會、英國政府嚴重詐騙罪犯辦公室、蒂斯河畔斯托克頓市政府、桑德蘭市政府、英國信息中心辦公室、英國社會保障機構Pensions Regulator、旺茲沃思自治區(qū)議會等。ISO/IEC27001在我國也得到了廣泛的認可，目前已有電力、銀行、企業(yè)等組織通過了ISO/IEC 27001認證，如光大銀行信用卡中心、浙江省嘉興電力等。按照ISO/IEC27001進行網(wǎng)絡安全管理和建設的企業(yè)有奇瑞汽車集團、華為公司等。

目前，全球經(jīng)濟領域的數(shù)千個組織在利用SSE-CMM的系統(tǒng)安全工程改進與評價。在國外，SSE-CMM在系統(tǒng)安全工程的實踐方面已有很大的影響，已經(jīng)成為西方發(fā)達國家政府、軍隊和要害部門組織和實施系統(tǒng)安全工程的通用方法，是系統(tǒng)安全工程領域里的成熟體系。它不僅已用于軍事控制系統(tǒng)，而且在工業(yè)界也已得到廣泛接受，2000年9月，該標準提交給國際標準化組織，國際標準化組織將其看作是目前最有希望成為ISO/IEC15408《信息技術安全評價公共準則》（CC） 的替代認證技術。我國國家信息安全測評認證中心［5］已采納和確定SSE-CMM為信息系統(tǒng)安全工程所需遵循的標準，并于2000年5月組織我國領域內(nèi)權威研究機構和專家起草了基于SSE-CMM的《信息系統(tǒng)安全工程質(zhì)量管理要求（標準推薦稿）》，國家認證中心已計劃在我國信息安全測評認證體系內(nèi)全面采納這一評定方法。但是，總體來看，SSE-CMM在我國理論研究和實踐應用都處于剛剛起步的階段，隨著我國國防、政府、企業(yè)、社會信息化程度的急劇提高，信息安全問題對我們的挑戰(zhàn)將越來越嚴峻，相信隨著網(wǎng)絡應用在中國的不斷發(fā)展，電子商務、政府上網(wǎng)工程等將逐漸展開，系統(tǒng)工程會變的越來越重要。SSE-CMM模型作為一套全新的系統(tǒng)安全工程實施與評估標準，包含了許多先進的管理思想，在我國有著很好的、廣泛的應用前景。

2.5 標準的綜合應用

BS7799作為一項通行的信息安全管理標準，旨在為組織實施信息安全管理體系（ISMS）提供指導性框架，盡管BS7799的第一部分也提供了諸多控制措施，但更多體現(xiàn)的是一種目標要求，總體來說，BS7799并沒有提及實施的細節(jié)，這是作為通行標準必然的局限。其次，在BS7799的10個核心控制領域中，沒有對任何一個領域或控制目標的權重分配，因此在進行風險評估時，沒有一個標準依據(jù)來對這127項控制目標進行加權，不同的評估人員得出的評估結果可能也不相同。最后，BS7799中沒有劃分評估等級，也沒有考慮實施者在信息安全建設過程中表現(xiàn)出來的能力和水平。SSE-CMM是一個評估標準，它定義了實現(xiàn)最終安全目標所需要的一系列過程，并對組織執(zhí)行這些過程的能力進行等級劃分。因此組織在實施BS7799的過程中，SSE-CMM是一個不錯的參照。

分析SSE-CMM的各項基本實施發(fā)現(xiàn)，SSE-MM并沒有對每個過程域的實現(xiàn)方法作規(guī)定（例如沒有規(guī)定出威脅評估的方法），而是強調(diào)了安全工程的結果，并通過“工作結果示例”來進一步突出安全工程過程的可視化。因此，雖然SSE-CMM是一種面向過程的信息安全方法，但它仍然離不開對結果的考慮。而且這種“工作結果示例”中要求的工程結果是粗線條的，在一定程度上提供了可擴充性的余地。但在具體應用方面，該模型缺乏工程化，可操作性差，尤其在我國對于信息系統(tǒng)安全工程的研究并不很成熟。SSE-CMM本身并不是安全技術模型，它僅給出了信息系統(tǒng)安全工程需考慮的關鍵過程域，對于評估的內(nèi)容和定義沒有做具體規(guī)定。因此，我們采用目前已在國際上被廣泛接受的BS7799（ISO/IEC17799） 來指導這方面的工作。BS7799（ISO/IEC17799） 包括了10類需要進行控制的方面，共127個控制項。在使用時，將這127個控制項共300多項條款根據(jù)SSE—CMM中的過程域和基本實踐進行分類，把它們作為鋪設在SSE--CMM的基本實踐底層的用于指導安全管理的條款，簡稱為“BA條款”。

3 結束語

通過研究源評估方法的結合，可以確保新評估方法的完備。本文通過BS7799與SSE-CMM對比研究，發(fā)現(xiàn)兩類標準在內(nèi)容、發(fā)展歷程、適用范圍、實施流程、涵蓋范圍、及應用現(xiàn)狀方面各有優(yōu)勢，可以相互借鑒。中國國家信息安全評測認證中心將以SSE-CMM版本2.0為主要參考著手制訂安全工程過程能力和安全工程服務資質(zhì)方面的認證標準，這些標準既符合國際規(guī)范又結合了中國實際，無疑將對規(guī)范信息安全領域的活動起到基礎性作用，并將極大地促進中國信息技術安全領域的發(fā)展。建議我國信息安全評測認證中心，細化SSE-CMM對BS7799標準的借鑒內(nèi)容，將二者結合起來開發(fā)高確信度信息安全產(chǎn)品和系統(tǒng)的開發(fā)方法，提升中國在國際標準中的地位。