面向安全工程过程的信息安全风险的构成要素

ISO27001信息安全风险的构成要素：面向安全工程过程的信息安全风险的构成要素

1996年，美国国家安全局公布了SSE-CMM的第1个版本，1999年4月又公布了新的版本，系统安全工程能力成熟度模型（System SecurityEngineering-Capability Maturity Model，SSE-CMM）。在SSE-CMM 系统安全工程能力成熟度模型框架中，把安全工程应用到信息系统的开发、集成、操作、管理、维护和进化以及产品的开发、交付和进化，使安全工程在1个系统、 1个产品或1个服务中得到实现。

SSE-CMM 将安全工程区划为3个基本的过程域：风险，工程，保证。

这3个过程域之间可独立加以考虑，但它们之间也是相互作用，共同达到安全目标。而每1个过程域包含一组集成的安全过程区（PA）。

（1）风险过程

SSE-CMM 通过风险过程域来获取组织对安全风险的理解。在风险过程域中，把风险看作是有害事件发生的可能性。1个有害事件或一种具体安全风险的不明确因素由3个部分组成：威胁、脆弱性和影响，如下图。也就是说风险过程域是由4个过程区威胁识别（PA04）、脆弱性评估（PA05）、影响评估（PA02）、评估安全风险（PA03）组成。

SSE-CMM 风险过程关系

（2）风险过程关系

组织能够对单个的过程区或过程区的组合进行评估，但过程区之间存在着许多的相互关联。威胁识别产生的威胁信息、脆弱性评估产生脆弱性信息和影响评估产生的影响信息综合起来决定着安全风险评估的结果。

评估威胁过程区的目的在于识别安全威胁以及性质和特征。但评估威胁过程产生的威胁信息，是与来自PA05的脆弱性信息和来自PA02的影响信息一起使用。因此威胁评估就是根据现有的脆弱性和影响进行某些延伸。

评估脆弱性的目的在于识别和特征化系统的安全脆弱性。脆弱性指的是可被开发利用的系统的1个方面，与任何特殊的威胁或攻击形成并不相干。

但脆弱性评估过程产生的脆弱性信息，是与来自PA04的威胁信息和来自PA02的影响信息一起使用。因此脆弱性评估就是根据现有相应威胁和影响情况进行某些延伸。

评估影响的目的在于识别危害系统以及丧失机密性、完整性、可用性、可记录性、可鉴别性或可靠性的影响，并对发生影响的可能性进行评估。影响可能是有形的，例如税收或财产的丢失，或可能是无形的，例如声誉和信誉的损失。但影响评估过程产生的影响信息，是与来自PA04的威胁信息和来自PA05的脆弱性信息一起使用。因此影响评估就是根据现有相应的脆弱性进行一定的延伸。

评估安全风险的目的在于识别一给定环境中涉及到某一系统有依赖关系的风险，这些风险是基于对运行能力和可用资源在抗威胁方面和脆弱性程度的已有理解上的。评 估安全风险的风险信息，取决于PA04中的威胁信息、PA05中的脆弱性信息和PA02中的影响信息，明确威胁性、脆弱性和影响危害较大的风险组合，从而 采取合理的相应安全措施。