信息安全工程實施課件

1、信息安全工程實施第四章 信息安全工程實施信息安全工程實施v4.1 概述概述v4.2 安全規(guī)劃與控制安全規(guī)劃與控制v4.3 安全需求的定義安全需求的定義v4.4 安全設計支持安全設計支持v4.5 安全運行分析安全運行分析v4.6 生命周期安全支持生命周期安全支持v4.7 信息安全工程的過程信息安全工程的過程信息安全工程實施 4.1 概述概述v通過前面章節(jié)的學習，我們知道信息安全工程是采用工程的概念、原理、技術和方法，來研究、開發(fā)、實施與維護信息系統(tǒng)安全的過程，v是將經過時間考驗證明是正確的工程實施流程、管理技術和當前能夠得到的最好的技術方法相結合的過程。信息安全工程實施 4.1.1 信息安全工程

2、的重要性v1）信息系統(tǒng)大量用于政府、國防、民用部門和個人；v2）信息系統(tǒng)存在弱點和漏洞，使用者存在偶然或故意的違規(guī)操作行為，使得信息系統(tǒng)資源隨著訪問的增加而增加了被非法訪問或使用的可能性。v3）技術的發(fā)展使得信息系統(tǒng)的獲取方式正逐漸從專用系統(tǒng)向集成商用現(xiàn)貨設備和政府現(xiàn)貨設備的新方向轉移。信息安全工程實施4.1.2 信息安全工程與系統(tǒng)工程的關系信息安全工程與系統(tǒng)工程的關系v信息安全工程并不是一個獨立的過程，它依賴并支持系統(tǒng)工程和獲取過程，而且是獲取過程不可分割的一部份。信息安全工程過程的目標是提供一個框架。v每個工程項目都可以對這個框架進行裁剪以符合自己特定的需求。信息安全工程實施4.1.2 信

3、息安全工程與系統(tǒng)工程的關系信息安全工程與系統(tǒng)工程的關系v信息安全工程是系統(tǒng)安全工程（SSE，System Security Engineering）、系統(tǒng)工程（SE，System Engineering）和系統(tǒng)獲?。⊿A，System Acquisition）在信息系統(tǒng)安全方面的具體體現(xiàn)。信息安全工程實施4.1.2 信息安全工程與系統(tǒng)工程的關系信息安全工程與系統(tǒng)工程的關系v信息安全工程是對系統(tǒng)工程的一種約束，它需要逐步獲得發(fā)展，并對集成的、生命周期均衡的、v滿足客戶信息系統(tǒng)安全需求的一系列系統(tǒng)產品和過程進行驗證的解決方案。v信息安全工程列出系統(tǒng)的安全風險，并使這些風險減至最少或得到控制。信息安

4、全工程實施信息安全工程的貢獻v信息安全工程對安全特性的貢獻如下圖所示：信息安全工程實施信息安全工程的有關活動及其貢獻安全風險管理生存周期安全支持安全操作分析和支持安全策劃分析和控制系統(tǒng)安全需求分析和確定安全設計支持安全開發(fā)集成系統(tǒng)安全性驗證信息安全工程對安全特性的貢獻信息安全工程實施4.1.3 信息安全工程的生命周期信息安全工程的生命周期v基本信息安全工程的生命周期和執(zhí)行如下圖所示，信息安全工程小組參與下列活動：系統(tǒng)總體規(guī)劃，分析和控制，要求分析，設計，開發(fā)/集成，驗證，運行和對有安全需求的系統(tǒng)提供生命期支持。信息安全工程實施4.1.3 信息安全工程的生命周期信息安全工程的生命周期v在過程中間

5、階段的前期，信息或概念得到實現(xiàn)、驗證并證實有效之后即投入長久的運行使用；v在過程中期階段的后期，信息或概念被使用、支持，并在必要時得到修改，最后進行部署。信息安全工程實施4.1.3 信息安全工程的生命周期信息安全工程的生命周期v信息安全工程過程包括了一系列與系統(tǒng)工程的各個階段和事件相對應的安全工程功能。各種功能間的相互協(xié)調是反復運用下圖的基本過程來實現(xiàn)的。v下圖中的每一豎格代表生命周期的一個階段，每一橫格代表了一個基本的信息安全工程功能。v該圖中兩者的縱橫交叉表明在系統(tǒng)的任一階段，信息安全工程的任何一個功能都應考慮到。信息安全工程實施先期概念概念要求系統(tǒng)設計初步設計詳細設計實現(xiàn)和測試配置追蹤運

6、行和支持系統(tǒng)工程的各個階段安全規(guī)劃控制安全需求定義安全設計支持安全運行分析生命期安全支持信息安全工程功能任務需求說明可選系統(tǒng)評審系統(tǒng)需求評審系統(tǒng)功能評審初步設計評審關鍵設計評審系統(tǒng)驗證評審物理配置評審系統(tǒng)事件安全風險管理信息安全工程實施4.1.3 信息安全工程的生命周期信息安全工程的生命周期v雖然不同項目中的每一個階段所花時間和精力可能不同，但一般統(tǒng)計情況是大量的精力花在生命期開發(fā)之后，花在系統(tǒng)的運行和支持階段，花在大大小小的修改當中。信息安全工程實施4.1.3 信息安全工程的生命周期信息安全工程的生命周期v上圖的信息安全基本功能的活動包括：v（1）對安全活動進行規(guī)劃和控制；v（2）安全需求定

7、義；v（3）安全設計支持（包括頂層體系定義和對詳細設計實現(xiàn)的支持）；v（4）安全運行分析；v（5）生命期安全支持；v（6）安全風險管理。 信息安全工程實施4.1.3信息安全工程的生命周期信息安全工程的生命周期v在系統(tǒng)獲取和系統(tǒng)工程生命期的每一個階段和事件中，以上活動都是并行的，同時各個活動之間是互相影響的。v每個信息安全工程功能至少有以下三種模式：為功能實現(xiàn)做準備；實現(xiàn)功能；當系統(tǒng)發(fā)生變動時或有新情況出現(xiàn)時，對功能作出相應的改動。信息安全工程實施4.2 安全規(guī)劃與控制安全規(guī)劃與控制v系統(tǒng)和安全項目的管理與規(guī)劃活動，開始于一個機構從業(yè)務角度決定承擔該工程的時候。它們是信息安全工程過程的基本部分，

8、因此要求它們必須成功。v如果安全規(guī)劃做得好，就能夠為系統(tǒng)把安全需求轉換為有效的設計與實現(xiàn)提供堅實的基礎。信息安全工程實施 4.2 安全規(guī)劃與控制安全規(guī)劃與控制v一項重要的早期活動就是要組成恰當的多學科信息安全工程小組，以便將相關學科綜合和協(xié)調到規(guī)劃中去。v這包括在較廣泛的系統(tǒng)工程小組內確定信息安全工程的需求，并針對這些需求來組建信息安全工程小組。信息安全工程實施 4.2.1 商業(yè)決策和工程規(guī)劃v在商業(yè)規(guī)劃和決策中，首席信息安全工程師首先閱讀現(xiàn)有程序性文件，并與客戶就可能的小組安排和支持需求進行討論，然后據此準備一份參與該項目的小組人員配備預案。信息安全工程實施 4.2.1 商業(yè)決策和工程規(guī)劃v

9、信息安全工程小組應當進行恰當的規(guī)劃，以便實現(xiàn)信息安全工程中主要功能中的每一項功能：安全規(guī)劃和控制、安全需求定義，安全風險管理及其相關的安全驗證和證實活動。信息安全工程實施4.2.2 信息安全工程小組信息安全工程小組v在規(guī)劃一個信息系統(tǒng)工程時，作為商業(yè)規(guī)劃決策的一個結果就是要指定信息安全工程小組成員和首席信息系統(tǒng)安全工程師。v在工程的初級階段，作出這個正式的商業(yè)決策之前，可能由信息系統(tǒng)安全客戶聯(lián)絡代表來履行信息系統(tǒng)安全工程師的職責。v在商業(yè)規(guī)劃決策過程中，首席信息安全工程師首先要閱讀現(xiàn)有的程序性文件，并與客戶就可能的小組安排和支持需求進行討論，然后據此準備一份參與該項目的小組人員配備預案。信息安

10、全工程實施 4.2.2 信息安全工程小組信息安全工程小組v首席信息系統(tǒng)安全工程師領導著整個信息系統(tǒng)安全工程小組，同時也在廣泛的系統(tǒng)工程小組內充當首席信息系統(tǒng)安全專家。信息安全工程實施4.2.2 信息安全工程小組信息安全工程小組v信息安全工程小組所扮演的角色，包括充當安全指導和生命期信息系統(tǒng)安全工程師，并由其他小組的信息系統(tǒng)安全技術專家進行協(xié)助。v對于較小的項目，可能要求首席信息安全工程師去充當信息安全工程小組的若干甚至是全部的功能角色。信息安全工程實施4.2.2 信息安全工程小組信息安全工程小組v而對于非常大或急需的項目，則可能需要若干人來扮演信息安全工程小組成員的角色。v信息安全工程小組成員

11、的實際數量，基本的信息系統(tǒng)安全人員，以及它們各自的工作水平應根據工程項目的規(guī)模、敏感性和可用資源的相對優(yōu)先權等的不同而各異。信息安全工程實施4.2.2 信息安全工程小組信息安全工程小組v在商業(yè)規(guī)劃決策過程中，信息安全工程小組應當對與支持該計劃的信息系統(tǒng)安全元素相關的其它直接費用支出作出預算，v這些費用支出可能包括下面幾項：差旅費、測試設備、軟件或設施費用、工程工具費用和承包商支持服務費用。信息安全工程實施4.2.2 信息安全工程小組信息安全工程小組v在項目開發(fā)初期，信息安全工程小組應該做的也是最重要的事情之一就是要同客戶方建立積極的工作關系和良好的通信聯(lián)絡。v其目的是為了理解項目的目標、費用和

12、進度參數，項目的獲取和工程方法以及系統(tǒng)工程和獲取小組結構等。信息安全工程實施4.2.2 信息安全工程小組信息安全工程小組v信息安全工程小組需要同客戶在下面兩個方面達成相互理解：一是信息安全工程小組在系統(tǒng)工程和獲取過程中的作用；v二是它應當如何與系統(tǒng)用戶、系統(tǒng)開發(fā)/集成小組和C&A小組進行最佳的相互協(xié)作。信息安全工程實施 4.2.2 信息安全工程小組信息安全工程小組v為了提供覆蓋系統(tǒng)整個生命期的信息系統(tǒng)安全工程，至少應當在初始開發(fā)周期即將完結的時候指定生命期信息系統(tǒng)安全工程師（LCIE，Life-Cycle INFOSEC Engineer），vLCIE可以由來自信息安全工程小組的原派出

13、機構的人員或其他安全人員以及來自客戶或最終用戶機構的人員來充當。信息安全工程實施 4.2.2 信息安全工程小組信息安全工程小組v理想情況下，在并行支持工程能力上，LCIE應當是信息安全工程小組在整個系統(tǒng)生命期中一個不可分割的部分。v隨著系統(tǒng)進入運行和支持階段，LCIE接管信息系統(tǒng)安全小組的領導權。vLCIE也可以像前階段的首席信息安全工程專家一樣，在需要時由其他技術專家進行協(xié)助。信息安全工程實施4.2.3 對認證和認可（對認證和認可（C&A）的信息）的信息安全工程輸入規(guī)劃安全工程輸入規(guī)劃v信息安全工程小組應當同客戶一起工作，以便在盡可能早的最初階段確認系統(tǒng)的指定批準機構和其他的安全C&

14、amp;A小組參與者，v然后再同C&A小組一起工作以便定義和規(guī)劃信息安全工程對C&A的支持內容。v雖然主要是系統(tǒng)項目辦事機構同C&A小組聯(lián)系，但信息安全工程小組也將同他們直接接觸。信息安全工程實施4.2.3 對認證和認可（對認證和認可（C&A）的信息）的信息安全工程輸入規(guī)劃安全工程輸入規(guī)劃v安全認證（Security Certification）是對一個系統(tǒng)在技術上的和非技術上的安全特征，以及其他保護措施綜合進行的獨立評估，v目的是確定特定系統(tǒng)在所處環(huán)境條件下的使用滿足指定安全需求集合的程度。信息安全工程實施 4.2.3 對認證和認可（對認證和認可（C&

15、A）的信息）的信息安全工程輸入規(guī)劃安全工程輸入規(guī)劃v理想條件下，認證活動應分步在系統(tǒng)整個生命期的各個階段。安全認證同安全驗證和風險評估相互聯(lián)系，應當在整個系統(tǒng)生命期內由C&A負責人員不斷地評審和修正。vC&A過程中的認證階段應包括一份系統(tǒng)分析說明，以確認在特定環(huán)境下運行一個具有特定對抗措施的系統(tǒng)時可能出現(xiàn)的安全風險。信息安全工程實施 4.2.3 對認證和認可（對認證和認可（C&A）的信息）的信息 安全工程輸入規(guī)劃安全工程輸入規(guī)劃v安全認可（Security Accreditation）的規(guī)劃也應當在系統(tǒng)生命期的開始階段完成。v安全認可是由獨立的指定批準機構給出的正式安全

16、聲明，v即聲明一個系統(tǒng)如果是在使用指定保護措施集合的特定環(huán)境內運行，那么是獲得批準的，而且認可應強調以認證期間所識別的殘留安全風險為基礎。信息安全工程實施4.2.3 對認證和認可（對認證和認可（C&A）的信息）的信息安全工程輸入規(guī)劃安全工程輸入規(guī)劃v如果C&A小組或系統(tǒng)項目辦事機構沒有特別要求的話，v信息安全工程小組應當努力提供C&A所必需的全部信息系統(tǒng)安全信息和產品，以成功地完成安全認證工作項目并取得有利的安全認可決策。信息安全工程實施4.2.3 對認證和認可（對認證和認可（C&A）的信息）的信息安全工程輸入規(guī)劃安全工程輸入規(guī)劃v信息安全工程小組提供給C&am

17、p;A的東西包括：v（1）安全目標和需求陳述；v（2）安全保證規(guī)劃；v（3）安全威脅分析結果；v（4）安全相關的設計信息，包括接口規(guī)范；v（5）與外部系統(tǒng)接口相互作用的信息（從對這些系統(tǒng)的功能、性能和安全情況的觀察中得到）；v（6）需求驗證可跟蹤模版或別的相關決策數據庫信息；v（7）系統(tǒng)安全運行計劃、方案和其他分析；v（8）生命期安全支持計劃；信息安全工程實施4.2.3 對認證和認可（對認證和認可（C&A）的信息）的信息安全工程輸入規(guī)劃安全工程輸入規(guī)劃v（9）安全測試或其他驗證計劃和數據；v（10）安全風險評估/風險評審報告；v（11）適用的產品安全特性文件和產品安全評估報告；v（12

18、）合適時，參與C&A相關的工作組；v（13）系統(tǒng)安全評估和描述判決的輪廓（只有已完成時才做）。信息安全工程實施4.2.3 對認證和認可（對認證和認可（C&A）的信息）的信息安全工程輸入規(guī)劃安全工程輸入規(guī)劃v既然安全C&A僅僅是系統(tǒng)總體過渡為運行和支持中的一部分，那么信息安全工程也應當注意了解其他形式的系統(tǒng)驗收準備與決策，并提供恰當輸入。信息安全工程實施4.2.4 信息安全工作報告信息安全工作報告 v1用戶用戶/同級小組報告同級小組報告v2組織的管理報告組織的管理報告信息安全工程實施1用戶用戶/同級小組報告同級小組報告v信息安全工程小組應當向客戶提供一致的工作情況和進展的

19、信息，并快速地傳達那些應當進行討論或應當提請客戶注意的問題。v如果沒有更多要求或不需要結構性調整，則建議信息安全工程小組每月要同至少包括系統(tǒng)項目辦事機構（或者加上C&A參與者）在內的同級工程小組進行多次聯(lián)系。信息安全工程實施 1用戶用戶/同級小組報告同級小組報告v在合適的時候，作為定期現(xiàn)場訪問或是工程技術評審，信息安全工程小組也需要親自向客戶定期陳述工作情況。v這些將有助于在項目實施中進行修正，或提供技術信息和共同討論問題（例如關于安全風險評估團評估簡報）。v信息安全工程小組可能希望采用用戶同意的技術說明方法來完成進展報告，同時也幫助自己跟蹤項目進展情況。信息安全工程實施2組織的管理報

20、告組織的管理報告v除了上述向用戶提供的報告外，信息安全工程小組應當在每一次重要項目階段評審之前為組織的管理人員整理出恰當的簡報v（例如：對比性系統(tǒng)評審，初步設計評審等），以便為他們提供相應的技術和情況的信息。v簡報的頻度、內容和管理等級將因情況而異，并需進行合適的裁剪。信息安全工程實施 2組織的管理報告組織的管理報告v簡報應當證明信息安全工程小組遵循了原定的信息安全工程過程，而且應當向管理部門提供有關工作質量和成果方面的一些建議。v在項目的初期，要討論簡報如何裁剪信息安全工程過程以適合客戶項目需求，v其后的簡報應當確定信息安全工程小組已經完成了的活動，并于先前簡報中的工作計劃進行比較。信息安全

21、工程實施 2組織的管理報告組織的管理報告v其他信息可能包括：v（1）收到的用戶對有關信息系統(tǒng)安全支持和成果方面的反饋意見；v（2）系統(tǒng)描述（如高層次方框圖）；v（3）建議的安全方案（即如何滿足用戶的安全能力需求，什么樣的產品將提供哪些安全服務，已經選擇了什么樣的安全保證措施等）；v（4）安全風險評估結果（包括系統(tǒng)的安全風險程度）以及用戶、C&A小組關于這些問題的看法和決策；信息安全工程實施2組織的管理報告組織的管理報告v（5）進度；v（6）信息安全工程人員配置和其他資源問題；v（7）技術策略變化或根據早期簡報得出的風險數據。v根據簡報，管理部門應當能夠斷定經過裁剪的過程是否適用，客戶是

22、否滿意信息安全工程小組的工作。信息安全工程實施4.2.5 技術數據庫和工具技術數據庫和工具v1決策數據庫v決策數據庫是系統(tǒng)工程數據的集合。它提供從最初陳述的需求到現(xiàn)行系統(tǒng)產品和過程描述的審計線索。v這種審計線索既可以是非正式記錄，也可以是非常復雜的、由多人小組通過網絡維護的再線工程數據庫。這取決于工程項目的復雜性和合適的方式。信息安全工程實施1決策數據庫v決策數據庫應該包含如下一些內容：v（1）集成的系統(tǒng)需求并進行分配給配置項目；v（2）接口的限制和需求；v（3）系統(tǒng)概念、初步設計和詳細設計級的可選擇方案；v（4）選定設計的全部文檔；v（5）驗證；信息安全工程實施 1決策數據庫v（6）決策標準

23、；v（7）折中研究評估；v（8）原理圖集；v（9）模型和仿真；v（10）設計圖與詳圖；v（11）配置文檔和變化控制手段；v（12）可跟蹤審計線索。信息安全工程實施 2知識庫的增長和知識庫的增長和“重用重用”v為了促使信息安全工程過程成為更有效、更正規(guī)的工程實踐，信息安全工程小組應當從“信息系統(tǒng)安全”知識庫吸取知識并給它增加知識。信息安全工程實施 2知識庫的增長和知識庫的增長和“重用重用”v這些渠道包括：v（1）同工作中心的同級人員、高級技術領導等可以非正式地分享信息安全工程思想、經驗和輸出。v（2）傳播經過質量檢查的“運用示例”。如安全需求說明、設計方案和體系結構分析、安全風險評估/風險評審報

24、告等。v（3）給更集中的連機（在線）資料庫進行數據輸入，如輸入與特定安全威脅、弱點、漏洞、應對措施和攻擊等有關的數據項。信息安全工程實施2知識庫的增長和知識庫的增長和“重用重用”v（4）列出參考目錄和參考資源的工作幫助信息。v（5）專業(yè)技術和工具。v（6）經驗報告（關于成功的和不成功的活動經驗）。v（7）豐富信息安全工程培訓課程所使用的經驗和信息。v（8）張貼在電子公告牌上的非正式評注。v（9）較正式發(fā)行的關于“如何做”的指南和技術論文。信息安全工程實施 3工具的選擇和使用工具的選擇和使用v可能影響信息安全工程功能的技術規(guī)劃的問題就是對自動化工程工具的選擇和使用問題。v在可能的地方，信息安全工

25、程小組應當使用與系統(tǒng)項目辦事機構、系統(tǒng)開發(fā)/集成小組直接兼容的文字處理和技術工具實現(xiàn)信息共享。信息安全工程實施 3工具的選擇和使用工具的選擇和使用v這種兼容性可以通過使用完全相同的產品集，和/或通過使用在不同產品和環(huán)境之間的數據交換來實現(xiàn)。v信息安全工程小組應當能夠以恰當的數字格式向其他的小組成員提供信息，也應當能夠接收合作伙伴的數字格式信息。信息安全工程實施4.2.6 與獲取與獲取/簽約有關的規(guī)劃簽約有關的規(guī)劃v1獲取獲取/采購策略采購策略v2預規(guī)劃的產品（預規(guī)劃的產品（P3I）改進策略（）改進策略（Pre-planned Product Improvement Strategy）信息安全工

26、程實施 1獲取獲取/采購策略采購策略v開始建立新系統(tǒng)和改進現(xiàn)用系統(tǒng)必然遇到的普遍性問題，是選擇一個最適合的獲取策略和運行環(huán)境。v基本的問題包括：組織機構是自己組織購買要獲取的項目，還是通過諸如新合同、修訂合同或者雇請承包商按照現(xiàn)有“一攬子”合同訂單間接購買。v規(guī)劃工作應當仔細地檢查信息安全工程小組同系統(tǒng)項目辦事機構所雇用的任何承包商之間的關系，以及信息安全工程小組自身可能需要承包商支持的程度。信息安全工程實施 1獲取獲取/采購策略采購策略v需要考慮的問題包括：v（1）支持系統(tǒng)項目辦事機構所需的技術任務，參與信息安全工程小組以及組織和承包商團隊之間的折中方案。v（2）選擇最合適的承包合同類型。信

27、息安全工程實施 1獲取獲取/采購策略采購策略v（3）信息安全工程小組在恰當的時候參與對承包合同的監(jiān)控v（例如，信息安全工程小組的人充當項目招標官員的代表，信息安全工程小組的人在合適時參與獎金的評估）。v（4）信息安全工程小組為支持承包合同相關活動所必需的滿足的差旅需求。信息安全工程實施 1獲取獲取/采購策略采購策略v（5）對合同的作業(yè)陳述提供信息安全工程輸入和注釋的進度和方式，v包括必要的信息系統(tǒng)安全折中方案研究、獨立的驗證和證實活動等方面的輸入。信息安全工程實施 1獲取獲取/采購策略采購策略v（6）把信息系統(tǒng)安全的輸入提煉成合同上的系統(tǒng)技術規(guī)范。v（7）對每個相關合同或業(yè)務訂單的合同數據需求

28、的輸入，包括對數據項說明和對合同作業(yè)陳述語言的恰當補充。信息安全工程實施1獲取獲取/采購策略采購策略v（8）源識別和選擇的制約。例如：v 將信息安全工程需求導入源識別的市場調查中，因為合同活動并不受全面競爭的影響。v （技術）“白皮書”的審核。v 將信息安全工程需求導入到建議的準備指令中，包括對任何信息系統(tǒng)安全建議內容的指令。信息安全工程實施1獲取獲取/采購策略采購策略v 將信息安全工程需求導入到源選擇規(guī)劃中，包括在信息系統(tǒng)安全和信息安全工程領域篩選提議者的準則，以及評估提議者技術建議的安全方面問題的準則。v 信息安全工程小組作為源選擇委員會的成員參與工作（至少參與評估上述面向技術和協(xié)作能力的

29、方案選擇）。信息安全工程實施1獲取獲取/采購策略采購策略v（9）將信息系統(tǒng)安全需求輸入到技術性能的度量集合中。v（10）合同的安全技術規(guī)范需求供承包商使用的安全分類指南，承包商個人許可證需求等。信息安全工程實施 2預規(guī)劃的產品改進策略預規(guī)劃的產品改進策略(P3I)v預規(guī)劃的產品改進策略，是對已完成系統(tǒng)所作的已規(guī)劃的改進策略。它把具有重大風險或延誤（或當時無法負擔的支出）的因素推后。v雖然被推遲的因素在并行或其后的工作項目中才能進行開發(fā)，但是該系統(tǒng)還是可以投入使用。v這樣，當被推遲的因素在后來變得可實現(xiàn)時，就可以把它非常方便地結合進來。信息安全工程實施 2預規(guī)劃的產品改進策略預規(guī)劃的產品改進策略

30、(P3I)v信息安全工程小組和LCIE有時需要支持用戶去準備預規(guī)劃的產品改進策略。v這些改進策略可能包括找到可作出若干變更以降低安全風險的情況，v而減低這些安全風險的措施由于費用、進度，技術或其他限制在當前開發(fā)周期內無法使其實現(xiàn)。信息安全工程實施4.2.7 信息系統(tǒng)安全保證規(guī)劃信息系統(tǒng)安全保證規(guī)劃v與信息系統(tǒng)安全相關的保證技術，被用來把安全功能需求同相關聯(lián)的可測量的強度和/或信任級別結合在一起。v實現(xiàn)安全保證的技術包括測試、分析、過程控制、評審和其他開發(fā)以及獨立的驗證和證實實施。信息安全工程實施4.2.7 信息系統(tǒng)安全保證規(guī)劃信息系統(tǒng)安全保證規(guī)劃v總之，安全保證規(guī)劃應當反映一種方法，用以確定用

31、戶重視些什么，如何將它們劃分等級，然后如何保證給予它們同其等級的項目相當的保護。v信息安全工程小組應當幫助制定系統(tǒng)安全保證規(guī)劃。這種安全保證規(guī)劃信息應當反復地包含在恰當的系統(tǒng)文檔中。信息安全工程實施4.2.7 信息系統(tǒng)安全保證規(guī)劃信息系統(tǒng)安全保證規(guī)劃v由于并非構成系統(tǒng)的所有功能都要求相同的強度和可信度，所以安全保證規(guī)劃應當明確指出保證等級（例如高、中、低的安全保證等級），并描述每個級別的相關技術集合或其他標準。v還要描述集中應用該技術集合提供期望的安全強度和可信度的一個特定環(huán)境。信息安全工程實施4.2.7 信息系統(tǒng)安全保證規(guī)劃信息系統(tǒng)安全保證規(guī)劃v為了確定這個安全保證等級，信息安全工程小組必須

32、同客戶一起工作以確定一個負面（即違背安全需求）的安全結果（即事件/后果）清單，v對清單進行排列并將其分為若干類別，每個類別都要求有自己清晰的安全可信級別，以保證在這個級別上負面事件將不會出現(xiàn)。信息安全工程實施4.2.7 信息系統(tǒng)安全保證規(guī)劃信息系統(tǒng)安全保證規(guī)劃v負面事件清單可以包括：“非法泄漏核武器發(fā)射程序給確定的、手段精良的敵對方”，“非法泄露機密信息給在一定程度上受到刺激的、未取得許可證的用戶”，等。v防御這些事件的安全需求可以分類為高、中、低等安全保證級別。信息安全工程實施4.2.7 信息系統(tǒng)安全保證規(guī)劃信息系統(tǒng)安全保證規(guī)劃v在這組標準或等級的其他現(xiàn)代標準可以使用之前，v仍可使用具有把保

33、證機制配置到分組類別上的一些現(xiàn)行通用標準。信息安全工程實施 4.3 安全需求的定義安全需求的定義v4.3.1 系統(tǒng)需求定義概述系統(tǒng)需求定義概述v4.3.2 安全需求分析的一般課題安全需求分析的一般課題v4.3.3 安全需求定義概述安全需求定義概述v4.3.4 信息安全工程的需求活動信息安全工程的需求活動 信息安全工程實施 4.3.1 系統(tǒng)需求定義概述v1.系統(tǒng)級運行需求定義v在一個項目生命的先期概念階段，將定義和文檔化的新系統(tǒng)能力相關聯(lián)的業(yè)務需求。v相應地，業(yè)務能力需求定義可認為是描述機構的運行作業(yè)或問題，v而且這些問題通過現(xiàn)有能力或完全使用非技術性手段在目前是無法解決的。信息安全工程實施 2

34、.系統(tǒng)級需求分析和規(guī)范v系統(tǒng)級需求分析和規(guī)范是為了確定系統(tǒng)每個主要功能的安全需求和其他需求，并用無歧義的可試驗術語說明這些需求。v需求分析的結果將通過運行需求文檔（Operational Requirement Document，ORD）進行文檔化，并應該在“系統(tǒng)規(guī)范”中以更詳細的方式文檔化。信息安全工程實施 3. 系統(tǒng)需求定義和可跟蹤性v“需求分析”被定義為對系統(tǒng)特有特性的確定。這種確定基于對客戶需求、要求和目標、業(yè)務、人、產品和過程的預期使用環(huán)境、限制和效率等的分析。v這種活動的輸出應當是一組恰當的需求陳述，對用戶是可理解并得到用戶同意的，信息安全工程實施 3. 系統(tǒng)需求定義和可跟蹤性v與

35、此同時，v對于大型需求集合，自動化工具用于跟蹤數據的維護和驗證；對于簡單工程項目，人工維護需求驗證可跟蹤模板就可滿足要求。v需求的可跟蹤性，應當由與負責系統(tǒng)開發(fā)者/集成者無關的人員來認真地完成或至少是由他們進行審計。信息安全工程實施 4.3.2 安全需求分析的一般課題v1.安全規(guī)則和政策解釋v首次信息系統(tǒng)安全需求分析活動，應當包括全面審查和考慮一切適用的，與有關安全標準或目標體系結構相符合的規(guī)則和政策性指令。v在這個步驟里，需要對由國家、國際機構、地方和企業(yè)發(fā)布的保護涉密的和非涉密信息的強制性等進行分析和解釋。信息安全工程實施 4.3.2 安全需求分析的一般課題v2. 安全威脅評估安全威脅被定

36、義為：敵對方經過深思熟慮，利用那些可能對信息或系統(tǒng)造成損害的條件、能力、意圖和方法。v信息安全工程小組應當同用戶一道工作，以幫助它們在“系統(tǒng)威脅評估報告”內準確全面的描述有關對信息系統(tǒng)安全的威脅。信息安全工程實施 4.3.2 安全需求分析的一般課題v3. 任務安全目標v一般來說，安全目標最好是由系統(tǒng)用戶陳述，但信息安全工程小組應當理解安全目標的細節(jié)，并且在用戶需要的時候提供幫助。v如果用戶沒有陳述出安全目標時，信息安全工程小組應當能夠通過回溯追蹤需求的層次結構，以發(fā)現(xiàn)客戶的基本安全理由和最終安全目標。信息安全工程實施 4.3.2 安全需求分析的一般課題v4. 安全服務分類v安全服務應當考慮與業(yè)

37、務需求和威脅密切相關的內容，其中威脅是在系統(tǒng)闡述安全目標和安全需求過程中的根據。v5. 信息流向及功能和價值v為了定義恰當的安全目標，能力需求，以及有效的表達用戶所需安全的系統(tǒng)需求，必須識別和分析有系統(tǒng)處理或存儲信息的功能、流向和價值。信息安全工程實施4.3.3 安全需求定義概述安全需求定義概述v1同安全有關的運行需求分析同安全有關的運行需求分析v2信息安全工程需求活動信息安全工程需求活動v3安全性能和保障需求安全性能和保障需求信息安全工程實施 1同安全有關的運行需求分析同安全有關的運行需求分析v業(yè)務和運行需求是對用戶需求的說明，并且必須用來指導項目辦事機構和工程小組進行后續(xù)開發(fā)工作。v最重要

38、的問題是，所涉及的人或機構（例如：用戶、獲取機構、C&A代表、信息安全工程小組）要意識到這些都是用戶自己的需求，而非項目辦事機構或工程人員的需求。信息安全工程實施1同安全有關的運行需求分析同安全有關的運行需求分析v為了對來自廣泛業(yè)務能力需求中與安全相關的系統(tǒng)運行需求進行更為充分的定義，v信息安全工程小組應當對業(yè)務能力需求，國家的、本地的和商業(yè)企業(yè)的適用安全政策，業(yè)務目標/安全目標以及安全威脅進行評審。信息安全工程實施1同安全有關的運行需求分析同安全有關的運行需求分析v為了給一個系統(tǒng)概念定義恰當的運行安全需求，v對信息安全工程小組同樣重要的是理解其他適用的（非安全）能力目標，以及為滿足總

39、體能力需求而制定的獲取范圍（成本、進度、風險、組隊方式）。v為了取得成功，所有這些都必須處于平衡狀態(tài)。在開始正式的工程需求分析之前，安全能力需求必須轉換為一組運行功能需求和性能需求與約束。信息安全工程實施 2信息安全工程需求活動信息安全工程需求活動v信息安全工程小組的需求分析活動應該從評審和更新先前的分析（業(yè)務、威脅等）開始，提煉出業(yè)務和環(huán)境定義，從而支持對每一項功能建立起安全需求。信息安全工程實施 2信息安全工程需求活動信息安全工程需求活動v隨著安全需求從頂層需求向更精確的具體需求轉化，必須對它們作出最充分的定義，以使系統(tǒng)概念和體系結構的可選擇方案能夠得到開發(fā)，并能在集成的并發(fā)工作過程內進行

40、比較。v從安全目標、國家政策和整個設計過程的其他輸入中反復地導出系統(tǒng)、后繼的配置項目（CI）和組件安全需求的過程，如下圖所示。信息安全工程實施任務信息威脅分析法規(guī)和政策安全能力需求系統(tǒng)約束條件系統(tǒng)安全需求CI約束條件組件約束條件CI安全需求系統(tǒng)設計活動體系結構開發(fā)風險分析折中分析改進要求CI設計活動體系結構開發(fā)風險分析折中分析組件安全需求組件安全需求改進要求組件設計活動體系結構開發(fā)風險分析折中分析改進要求CI規(guī)范系統(tǒng)規(guī)范組件規(guī)范圖 安全需求的開發(fā)信息安全工程實施 2信息安全工程需求活動信息安全工程需求活動v信息安全工程必須協(xié)同客戶分析安全需求，從而確定這些需求是否確實是有效的需求。信息安全工程

41、實施3安全性能和保障需求安全性能和保障需求v信息安全工程小組還必須識別同安全功能需求目標相關聯(lián)的性能需求，這通常應當采用若干種需求表達形式。v（1）功能/性能需求v對與功能性安全需求相連的性能需求，可以在條件允許情況下直接寫出，或者參照初步設計過程中的與已定義安全保證類相關聯(lián)的開發(fā)條款來確定。信息安全工程實施 3安全性能和保障需求安全性能和保障需求v（2）設計需求v隨著系統(tǒng)功能被分解，在安全保證規(guī)劃中形成的負面事件清單也被分解。v信息安全工程審視每個子功能的潛在錯誤特性，并把這些負面事件映射到先前確定的安全保證級別上。v當分解完成時，便可以對每個最底層子功能分配設計需求所需的信任級別。信息安全

42、工程實施4.3.4 信息安全工程的需求活動信息安全工程的需求活動v1先期概念階段和概念階段先期概念階段和概念階段信息安全工程的信息安全工程的需求活動需求活動v這些早期階段的著重點是：使用用戶語言準確地抓住用戶的頂層安全需求和約束；識別和解決信息系統(tǒng)安全需求和其他系統(tǒng)需求之間的相互依賴性和折中方案，包括接口/環(huán)境驅動的需求；信息安全工程實施 1先期概念階段和概念階段先期概念階段和概念階段信信息安全工程的需求活動息安全工程的需求活動v在正常情況下至少要對正在系統(tǒng)的每一個系統(tǒng)概念開發(fā)出一組粗略的預期需求。v對于已采用的概念，這種早期的需求集合將被變換為經過批準的運行需求文件，用于說明功能和性能需求。

43、v關鍵目標是保證所定義的系統(tǒng)安全需求集合是必不可少的和充分的。信息安全工程實施1先期概念階段和概念階段先期概念階段和概念階段信信息安全工程的需求活動息安全工程的需求活動v到概念階段完結的時候，項目的技術范圍、成本范圍和進度范圍，v粗略的系統(tǒng)運行概念和體系結構、運行需求文檔等，其初級形式應當全部被確定下來。信息安全工程實施2需求階段需求階段信息安全工程的需信息安全工程的需求活動求活動v在這個階段，系統(tǒng)工程師通過完成初步的正規(guī)化分析和規(guī)范來確定系統(tǒng)需求的基線，在“系統(tǒng)需求評審”中這些需求將獲得批準，并制定出系統(tǒng)規(guī)范草案。v該需求將定義系統(tǒng)必須完成的功能和受到的約束。v系統(tǒng)規(guī)范反映這些系統(tǒng)需求在一系

44、列功能領域的配置，例如數據管理、安全、可靠性和可維護性、用戶接口等。信息安全工程實施 2需求階段需求階段信息安全工程的信息安全工程的需求活動需求活動v系統(tǒng)工程師將設置一個過程，以提供系統(tǒng)需求規(guī)范和早期系統(tǒng)運行需求及能力需求說明之間的可跟蹤性。v在這個階段期間，信息安全工程小組將為批準基線而設法準備好安全需求，并向系統(tǒng)規(guī)范草案提供信息系統(tǒng)安全相關的輸入。v信息安全工程小組應當評審和提煉包含在運行需求文檔中的安全需求，保證它們同其他的系統(tǒng)需求相一致和兼容。信息安全工程實施 2需求階段需求階段信息安全工程的信息安全工程的需求活動需求活動v信息安全工程小組應當審查這些安全需求，并囊括適當場合可用的安全

45、需求集、與技術參考模型相關的設計限制，以及與正在開發(fā)的系統(tǒng)有關或有利的標準輪廓。v標準輪廓包括文本指南（準則）以及規(guī)定數據交換格式、聯(lián)網協(xié)議和類似事情的各種技術標準。信息安全工程實施 2需求階段需求階段信息安全工程的信息安全工程的需求活動需求活動v信息安全工程小組應當保證安全需求有效地反映客戶的安全需求，并且可直接地跟蹤到先前的需求層次體系。v至此，信息安全工程小組還應當識別需要開發(fā)的新技術，開始監(jiān)控新技術的開發(fā)進程，確保它們符合預期的目標，滿足預期的安全需求。信息安全工程實施 3系統(tǒng)設計階段系統(tǒng)設計階段信息安全工信息安全工程的需求活動程的需求活動v系統(tǒng)工程師將在這個階段完成系統(tǒng)的基本設計。這

46、是通過把需求分配給體系結構中標識的CI(配置項目)集合來完成的。v這種分配在系統(tǒng)規(guī)范中用文檔予以確認，在“系統(tǒng)功能評審”中被確認為基準并加以批準。此外，CI規(guī)范草案也是在這個階段產生的。信息安全工程實施3系統(tǒng)設計階段系統(tǒng)設計階段信息安全工程信息安全工程的需求活動的需求活動v信息安全工程小組應當保證系統(tǒng)規(guī)范充分地表達出安全需求，這一點通過回溯規(guī)范，直到規(guī)范獲得批準的安全需求評審階段，即可得到保證。v信息安全工程小組還應當完成系統(tǒng)規(guī)范并在確認為基線之前，審查信息系統(tǒng)安全相關的驗證和證實需求。信息安全工程實施 3系統(tǒng)設計階段系統(tǒng)設計階段信息安全工程信息安全工程的需求活動的需求活動v信息安全工程小組應

47、當領導和審查對CI的信息系統(tǒng)安全需求和服務的配置，以及將CI規(guī)范草案中對這些配置進行歸檔。v信息安全工程小組還應當審查已完成的技術開發(fā)工作項目成果，以保證它們符合目標，滿足預期的系統(tǒng)安全需求。信息安全工程實施 4從初步設計到配置審計階段從初步設計到配置審計階段信息安全工程的需求活動信息安全工程的需求活動v通過“初步設計評審”，應當全面定義CI和接口，提交CI和接口的安全需求以及相關聯(lián)的驗證條款，這是“系統(tǒng)配置基線”的一部分。v信息安全工程小組應當仔細地研究CI規(guī)范和接口規(guī)范，保證子系統(tǒng)在被集成進整體系統(tǒng)和系統(tǒng)配置中時符合總的系統(tǒng)安全需求。信息安全工程實施 4從初步設計到配置審計階段從初步設計到

48、配置審計階段信息安全工程的需求活動信息安全工程的需求活動v在最后階段（“配置審計”），信息安全工程小組應當把實現(xiàn)后的系統(tǒng)設計與系統(tǒng)文檔進行比較，保證開發(fā)過程是成功的。v為了評估系統(tǒng)組件的恰當性，必須證明分配給這些功能組件和物理組件的安全需求都被滿足。信息安全工程實施 4從初步設計到配置審計階段從初步設計到配置審計階段信息安全工程的需求活動信息安全工程的需求活動v這些階段以公告系統(tǒng)及其CI的“產品基線”而宣告結束，v公告應當包含每個CI在其被建設、試驗和審計時對它的初始功能、性能和物理的需求。信息安全工程實施 4.4 安全設計支持安全設計支持v通過安全設計支持功能和更廣泛的總體系統(tǒng)設計的前后關聯(lián)

49、，一個被選擇的系統(tǒng)體系結構可被公式化，并轉換為穩(wěn)定的、可生產的和有好的經濟效益的系統(tǒng)設計。v對信息系統(tǒng)而言，這種轉換通常包括軟件開發(fā)和軟件設計，還可能包括信息數據庫或知識庫的設計。信息安全工程實施 4.4.1 系統(tǒng)設計v1.系統(tǒng)功能的目標實現(xiàn)v理想的說，系統(tǒng)工程生命周期的“先期概念”、“概念”和“需求”階段基本上主要解決“什么”問題，v而從“初步設計階段”到“實現(xiàn)階段”再到“測試階段”則主要回答“怎樣”的問題。v這兩條線的關鍵性聯(lián)系是在第四階段，即“系統(tǒng)設計”階段，該階段中，設計了系統(tǒng)級解決方案以達到所需要的業(yè)務能力。信息安全工程實施 2.系統(tǒng)功能工具實現(xiàn)v可以使用自動工具使設計過程更加精細，

50、這些自動工具還允許設計師將頂層體系結構分解和提煉成更詳細的設計。信息安全工程實施4.4.2 信息安全工程系統(tǒng)設計支持活動信息安全工程系統(tǒng)設計支持活動v在開發(fā)功能和物理體系結構期間，信息安全工程小組通過提供安全分析和建議來支持客戶。v這種開發(fā)在系統(tǒng)的整個生命期內涉及到若干階段和事件，并且通常是反復進行的過程。信息安全工程實施4.4.2 信息安全工程系統(tǒng)設計支持活動信息安全工程系統(tǒng)設計支持活動v當信息安全工程小組期待實現(xiàn)安全服務時，可以考慮將目標安全體系結構的原理作為對系統(tǒng)體系結構的安全解決方案配置的指南。v下面是目標安全體系結構中可用的項目主題：v（1）目標安全體系結構的安全需求策略、需求，導出

51、的需求。v（2）安全角度和概念。v（3）端系統(tǒng)和中繼系統(tǒng)。v（4）安全管理關系和概念。v（5）傳輸系統(tǒng)主題。v（6）安全學說提供安全服務的安全機制學說。v（7）商業(yè)現(xiàn)貨考慮。信息安全工程實施4.4.2 信息安全工程系統(tǒng)設計支持活動信息安全工程系統(tǒng)設計支持活動v信息安全工程小組活動的重點是識別正在開發(fā)的體系結構的脆弱性，并建議對抗措施和可選擇方案。v如果兩個或更多個系統(tǒng)需要相互作用，那么必須建立接口協(xié)議和規(guī)則以允許其相互作用。信息安全工程實施4.4.2 信息安全工程系統(tǒng)設計支持活動信息安全工程系統(tǒng)設計支持活動v用文檔化形式定義安全設計，是說明其滿足需求等合理性的理由。v這些信息可以伴隨著系統(tǒng)設計

52、文檔以書面分析的形式出現(xiàn)或出現(xiàn)在適當的設計評審中。v在進行系統(tǒng)設計支持活動時信息安全工程小組必須考慮以下幾個方面的問題。信息安全工程實施1關鍵技術的識別關鍵技術的識別v對于任何關鍵的和使“最有希望”的系統(tǒng)概念增值的信息系統(tǒng)安全新技術，信息安全工程小組都必須進行調查，以確保能有把握地將它們集成到系統(tǒng)設計中。v該活動可包括原型法的應用、測試，以及早期的運行評估，以降低安全風險等級等。信息安全工程實施 1關鍵技術的識別關鍵技術的識別v但是，事先識別出需要開發(fā)的基本關鍵技術卻是十分重要的。v以便在系統(tǒng)生命期的設計、實現(xiàn)直到后續(xù)的生產和/或預規(guī)劃的產品改進/修改階段需要它們之前，預先將這些技術建立起來。

53、信息安全工程實施1關鍵技術的識別關鍵技術的識別v在這里面典型情況是，對新技術或未檢驗的產品的依賴將對整個計劃引入額外的技術、費用和進度的風險。v信息安全工程應該事先準備好后備產品或過程解決方案，v以處理由于未曾預料的延遲或技術問題而帶來的新技術不能使用的偶然事故。信息安全工程實施2設計的約束設計的約束v信息安全工程小組要明確對影響和限制所需安全服務實現(xiàn)的系統(tǒng)設計的約束。v系統(tǒng)運行的環(huán)境，它的運行模式（專用的、系統(tǒng)高層的、系統(tǒng)分級的等），其業(yè)務功能的敏感性和臨界點，每一個都可能是影響設計決策的約束。v接口和互操作性問題也可能產生對設計的約束，信息安全工程實施 2設計的約束設計的約束v某些支持性的

54、需求也可能約束系統(tǒng)設計和運行的安全狀況。v這些需求當然包括但不限于后勤支持需求、可移植性需求、生存性需求；個人和培訓的限制，命令、控制、通信和情報接口需求；標準化和互操作需求等。信息安全工程實施3非技術的安全設計措施非技術的安全設計措施v正被獲取的系統(tǒng)及其設計規(guī)劃，將在整個系統(tǒng)工程周期內通過運行、支持、培訓等方式 被開發(fā)。v信息安全工程小組將為正在進行的活動作出貢獻，并從中進行學習，以改善任何系統(tǒng)安全解決方案的適用性和有效性。信息安全工程實施3非技術的安全設計措施非技術的安全設計措施v其他的非技術解決方案將包括過程控制，如適當的操作程序、人事的和運行的安全控制、隱瞞采購和用戶身份，以及可信軟件

55、開發(fā)方法論的非技術要素等。信息安全工程實施4.4.3 安全設計支持活動安全設計支持活動v1先期概念和概念階段先期概念和概念階段v概念級系統(tǒng)策略包括早期的通常不成熟的功能和物理的結構體系草案。項目所特有的環(huán)境不同，概念級設計可以是很不正規(guī)的，也可能是非常完善的，v不管哪種情況，這一階段承擔的設計等級都要比在以后的工程設計階段（系統(tǒng)設計到詳細設計）低得多。信息安全工程實施1先期概念和概念階段先期概念和概念階段v信息安全工程小組必須保證，體系結構已做到足夠的精細，以使體系結構的安全風險可被充分地進行評估，以支持可選系統(tǒng)評審。v信息安全工程小組應當分解系統(tǒng)功能（或對象分類，取決于所選的方法），并把它們

56、分配到較低級別的配置上，直到支持正在進行的分析，并需要立即作出決策的程度。信息安全工程實施 2需求和系統(tǒng)設計階段需求和系統(tǒng)設計階段v在這些階段期間，系統(tǒng)小組完成系統(tǒng)的高層設計并按技術規(guī)范形成文檔。這些活動隨系統(tǒng)功能評審而告終，此時系統(tǒng)設計的基線已完成并被批準。v應該審核可選擇的與概念級策略相一致的體系方案。v例如，如果概念階段在評估后選擇了廣域網策略，那么，在其后續(xù)的工程設計階段將涉及多個廣域網技術的選擇和體系結構的取舍。信息安全工程實施 2需求和系統(tǒng)設計階段需求和系統(tǒng)設計階段v系統(tǒng)集成在過程的早期已經（至少在紙面上）開始。當需求的功能配置給配置項目時，就要引申出接口控制規(guī)范。信息安全工程實施

57、 2需求和系統(tǒng)設計階段需求和系統(tǒng)設計階段v信息安全工程小組應保證并且在規(guī)范下應指出通過這些接口如何實現(xiàn)安全服務，包括擴展到更寬范圍的基礎設施或業(yè)務環(huán)境的安全服務。信息安全工程實施 2需求和系統(tǒng)設計階段需求和系統(tǒng)設計階段v通過指定內部和外部接口的安全需求，使得整個系統(tǒng)和互聯(lián)的各系統(tǒng)之間在實現(xiàn)上保持一致，從而使集成業(yè)務變得更加容易。v信息安全工程小組還要對系統(tǒng)組件進行驗證，這些組件是根據它與安全相關接口的約束條件進行集成和使用的，v約束條件指：使用某一產品，產品的安全輪廓，供應商的文獻等。信息安全工程實施 2需求和系統(tǒng)設計階段需求和系統(tǒng)設計階段v信息安全工程小組必須保證總體分析中包括了所有的安全因

58、素，保證基于運行功能和特性、費用、進度表和風險之間平衡的最全面的體系結構。信息安全工程實施 2需求和系統(tǒng)設計階段需求和系統(tǒng)設計階段v在這些階段期間，將產生制造/購買的建議（做折中選擇）。但是，最終決定通常在過程之后作出。v如果可能，信息安全工程小組將提供解決方案（或對策），以解決在折中分析期間未包含的負面因素。v例如，如果折中分析傾向于買商用軟件，但其消極的因素是可能包含潛在的病毒，信息安全工程小組可建議在軟件被購進后進行病毒掃描和清除。信息安全工程實施 2需求和系統(tǒng)設計階段需求和系統(tǒng)設計階段v為了支持作出制造/購買的折中分析的決定，信息安全工程小組將調查現(xiàn)有產品目錄，以確定產品是否滿足配置項

59、目或組件的需求。v只要可能，都應該指明一組潛在可行的選擇方案而不僅僅是一個候選方案。調查的對象包括可信產品評估目錄、信息系統(tǒng)安全產品目錄等。信息安全工程實施 2需求和系統(tǒng)設計階段需求和系統(tǒng)設計階段v在適當的時候，信息安全工程小組也要考慮選擇工業(yè)界或政府先期開發(fā)的新技術和新產品，條件是它們的時間表和技術風險是系統(tǒng)開發(fā)可接受的。v對產品安全勾畫出輪廓，是工程師作出制造/購買決策所必需的。對某些產品，安全評估報告描述了產品的功能、正確使用產品的信息以及產品已知的脆弱點。信息安全工程實施 2需求和系統(tǒng)設計階段需求和系統(tǒng)設計階段v對現(xiàn)有產品的了解，是形成準確的信息安全工程制造/購買決策必不可少的。對某些

60、產品，有關部門的安全評估報告可以幫助作出決策。v在不能得到安全評估時，由系統(tǒng)項目辦事機構將新設備或軟件與估計的安全特性和風險相關值進行權衡比較后，作出是購買還是定制的決策。信息安全工程實施3初步設計階段到配置審計階段初步設計階段到配置審計階段v系統(tǒng)工程師必須通過初步設計審查來作最終的制造/購買決定，并反復研究配置項目和配置項目之間的接口策略在一定范圍的可選擇方案。v以前的活動集中于配置項目的設計或選擇，以及建立完整的配置項目級的配置基線集上。v以后的活動則集中到獲取或建立配置項目（如果需要的話）集成和測試系統(tǒng)上。信息安全工程實施3初步設計階段到配置審計階段初步設計階段到配置審計階段v信息安全工程小組應當審查由于配置項目開發(fā)和/或集成與測試時出現(xiàn)的對系統(tǒng)設計的任何修改。v如果配置項目引起系統(tǒng)的附加需求的話，那么信息安全工程小組應該評估這些修改對配置項目的安全影響，并且確定