T∕SIA 031.3-2021 系統(tǒng)安全工程網(wǎng)絡(luò)彈性構(gòu)建指南 第3部分：網(wǎng)絡(luò)彈性構(gòu)建過程

庫七七網(wǎng)標(biāo)準(zhǔn)下載ICS35.020I651

T/SIAT/SIA031.3—2021系統(tǒng)安工程 網(wǎng)絡(luò)彈性建指第3部分網(wǎng)絡(luò)彈構(gòu)建過程SystemsSecurityEngineeringTheGuidelinesofCyberResiliencyConstructionPart3 CyberResiliencyConstructionProcess2021-12-24發(fā)布 2021-12-24實(shí)施中 國 軟 件 行 業(yè) 協(xié) 會(huì)發(fā)布中國軟協(xié)團(tuán)體標(biāo)準(zhǔn)《系統(tǒng)安全工程網(wǎng)絡(luò)彈性構(gòu)建指南》中國軟協(xié)團(tuán)體標(biāo)準(zhǔn)《系統(tǒng)安全工程網(wǎng)絡(luò)彈性構(gòu)建指南》庫七七網(wǎng)標(biāo)準(zhǔn)下載目 錄前 言 56范引文件 6目和用性 66用性 7適用象 7建系統(tǒng) 7統(tǒng)發(fā)求更 7有統(tǒng)修改 7更用的統(tǒng) 7場統(tǒng)升級 7應(yīng)用度 8準(zhǔn)戶 8絡(luò)性建略 8基系生周術(shù)過程 8網(wǎng)彈要的性應(yīng)用 8基優(yōu)級網(wǎng)性構(gòu)策略 8開多網(wǎng)彈程解方案 9網(wǎng)彈解方效性判斷 9務(wù)使任分析 9網(wǎng)彈工目標(biāo) 9風(fēng)險(xiǎn)析 9目標(biāo)定制 9約束限制 9網(wǎng)絡(luò)性計(jì)則 9網(wǎng)彈工輸果 9網(wǎng)彈構(gòu)建 10題機(jī)分析 10確定絡(luò)性標(biāo)功的量準(zhǔn) 10定義務(wù)使任分析的絡(luò)性素 10益關(guān)需定義 11網(wǎng)彈工目標(biāo) 11定制絡(luò)性程標(biāo)需求 11約束限制 11與組風(fēng)管策相一致 11網(wǎng)彈工輸果 11網(wǎng)彈構(gòu)建 11定義全系使環(huán)境 11資重度行序 11定義益關(guān)的求 122T/SIA031.3-2021T/SIA031.3-2021庫七七網(wǎng)標(biāo)準(zhǔn)下載解決益關(guān)安需求題 12統(tǒng)求義 13網(wǎng)彈工目標(biāo) 13網(wǎng)彈工輸果 13網(wǎng)彈構(gòu)建 13定義統(tǒng)全網(wǎng)彈性求約條件 13考慮全網(wǎng)彈，分整系需求 14定義統(tǒng)全求可跟性約條件 14構(gòu)義 14網(wǎng)彈工目標(biāo) 14生成絡(luò)性圖 14識別賴系 15構(gòu)圖網(wǎng)彈分析 15同步求設(shè)計(jì) 15網(wǎng)彈工輸果 15網(wǎng)彈構(gòu)建 15從安的度義構(gòu) 15開發(fā)構(gòu)安觀點(diǎn) 15開發(fā)全網(wǎng)彈模型結(jié)框架 16以統(tǒng)安功概協(xié)調(diào)全網(wǎng)彈模及視圖 16安全系架和絡(luò)彈設(shè)原的義改進(jìn) 16計(jì)義 17網(wǎng)彈工目標(biāo) 17網(wǎng)彈工輸結(jié)果 17網(wǎng)彈構(gòu)建 17在設(shè)水上義統(tǒng)安功和絡(luò)性概念 17決定一系要所需全術(shù)構(gòu)系統(tǒng) 18定義統(tǒng)計(jì)案全性評原則 18定義能統(tǒng)服的訪以持計(jì)義程的全面 18將安架特轉(zhuǎn)為安設(shè)特征 18統(tǒng)析 19絡(luò)性程19絡(luò)性程出果 19絡(luò)性建 19義統(tǒng)析全和絡(luò)性障平 19義統(tǒng)析的網(wǎng)彈方面 20證統(tǒng)分過的安性網(wǎng)彈相假設(shè) 201121絡(luò)性程標(biāo) 21絡(luò)性程出果 21絡(luò)性建 211222網(wǎng)彈工目標(biāo) 22網(wǎng)彈工輸果 223中國軟協(xié)團(tuán)體標(biāo)準(zhǔn)《系統(tǒng)安全工程網(wǎng)絡(luò)彈性構(gòu)建指南》中國軟協(xié)團(tuán)體標(biāo)準(zhǔn)《系統(tǒng)安全工程網(wǎng)絡(luò)彈性構(gòu)建指南》庫七七網(wǎng)標(biāo)準(zhǔn)下載網(wǎng)彈構(gòu)建 221322絡(luò)性程標(biāo) 22絡(luò)性程出果 22絡(luò)性建 22義證程全和絡(luò)性面 22行全網(wǎng)性驗(yàn)過程 231423絡(luò)性程標(biāo) 23絡(luò)性程出果 23絡(luò)性建 24發(fā)付略全方面 24行付安面 24明統(tǒng)全安裝正性 24查統(tǒng)行的安方面 241525絡(luò)性程標(biāo) 25絡(luò)性程出果 25絡(luò)性建 25義認(rèn)略全和絡(luò)性面 25行全網(wǎng)性確過程 251626絡(luò)性程標(biāo) 26絡(luò)性程出果 26絡(luò)性建 261727絡(luò)性程標(biāo) 27絡(luò)性程出果 27絡(luò)性建 271828絡(luò)性程標(biāo) 28絡(luò)性程出果 28網(wǎng)彈構(gòu)建 29參考獻(xiàn) 294T/SIA031.3-2021T/SIA031.3-2021庫七七網(wǎng)標(biāo)準(zhǔn)下載前 言GB/T1.1-2009（（鋒。本標(biāo)準(zhǔn)為首次制定。5中國軟協(xié)團(tuán)體標(biāo)準(zhǔn)《系統(tǒng)安全工程網(wǎng)絡(luò)彈性構(gòu)建指南》中國軟協(xié)團(tuán)體標(biāo)準(zhǔn)《系統(tǒng)安全工程網(wǎng)絡(luò)彈性構(gòu)建指南》庫七七網(wǎng)標(biāo)準(zhǔn)下載系統(tǒng)安全工程網(wǎng)絡(luò)彈性構(gòu)建指南第3部分網(wǎng)絡(luò)彈性構(gòu)建過程范圍本標(biāo)準(zhǔn)的本部分定義了：3GB/T22032-2021（ISO/IEC/IEEE15288-2015,IDT）GB/T22032-2021（ISO/IEC/IEEE15288-2015,（以下）（GB/T22032-2021(ISO/IEC/IEEE15288-2015,IDT).系統(tǒng)和軟件工程系統(tǒng)生存周期過程GB/T20261-2020(ISO/IEC21827:2008).信息安全技術(shù)系統(tǒng)安全工程能力成熟度模型NISTSP800-160Vol.2.DevelopingCyberResilientSystems:ASystemsSecurityEngineeringApproach.6T/SIA031.3-2021T/SIA031.3-2021庫七七網(wǎng)標(biāo)準(zhǔn)下載本部分屬于系統(tǒng)安全工程的一部分，面向系統(tǒng)生存周期過程的技術(shù)過程（本標(biāo)準(zhǔn)第221392（1393。7中國軟協(xié)團(tuán)體標(biāo)準(zhǔn)《系統(tǒng)安全工程網(wǎng)絡(luò)彈性構(gòu)建指南》中國軟協(xié)團(tuán)體標(biāo)準(zhǔn)《系統(tǒng)安全工程網(wǎng)絡(luò)彈性構(gòu)建指南》庫七七網(wǎng)標(biāo)準(zhǔn)下載（2圖8T/SIA031.3-2021T/SIA031.3-2021庫七七網(wǎng)標(biāo)準(zhǔn)下載vsvsAPT（（9中國軟協(xié)團(tuán)體標(biāo)準(zhǔn)《系統(tǒng)安全工程網(wǎng)絡(luò)彈性構(gòu)建指南》中國軟協(xié)團(tuán)體標(biāo)準(zhǔn)《系統(tǒng)安全工程網(wǎng)絡(luò)彈性構(gòu)建指南》庫七七網(wǎng)標(biāo)準(zhǔn)下載APT攻擊。5特別是操作環(huán)境中包含如APT表5業(yè)務(wù)和任務(wù)分析中的網(wǎng)絡(luò)彈性要素標(biāo)識符活動(dòng)或任務(wù)中的網(wǎng)絡(luò)彈性要素BA-1業(yè)務(wù)和任務(wù)分析的安全和網(wǎng)絡(luò)彈性方面的準(zhǔn)備BA-1.1確定對業(yè)務(wù)、任務(wù)、操作問題和機(jī)會(huì)的識別，并評估做出貢獻(xiàn)的利益相關(guān)方名單BA-1.2回顧組織存在的與預(yù)期的安全和網(wǎng)絡(luò)彈性目標(biāo)相關(guān)的問題和機(jī)會(huì)BA-1.3確定業(yè)務(wù)和任務(wù)策略中安全和網(wǎng)絡(luò)彈性要素BA-1.4識別、規(guī)劃和獲取使能系統(tǒng)和服務(wù)以支持業(yè)務(wù)和任務(wù)分析過程的安全方面BA-2定義問題和機(jī)會(huì)空間的安全和網(wǎng)絡(luò)彈性要素BA-2.1分析存在于安全和網(wǎng)絡(luò)彈性目標(biāo)以及將要達(dá)成的系統(tǒng)實(shí)現(xiàn)環(huán)境下的問題或機(jī)會(huì)BA-2.2定義任務(wù)、業(yè)務(wù)或操作問題和機(jī)會(huì)中的安全和網(wǎng)絡(luò)彈性要素BA-3描述解決方案空間的安全和網(wǎng)絡(luò)彈性要素BA-3.1定義初步的操作概念和生存周期其它階段的安全和網(wǎng)絡(luò)彈性要素BA-3.2確定能夠在約束、限制和其它條件下實(shí)現(xiàn)安全和網(wǎng)絡(luò)彈性目標(biāo)的可選擇解決方案類型BA-4解決方案類型的評估和選擇BA-4.1考慮到安全和網(wǎng)絡(luò)彈性目標(biāo)、限制、約束和其它相關(guān)的安全要素，評估每個(gè)備選解決方案類型BA-4.2基于已識別的安全和網(wǎng)絡(luò)彈性目標(biāo)、權(quán)衡因素和組織定義的其它標(biāo)準(zhǔn)，選擇首選可替代的解決方案BA-5管理業(yè)務(wù)或任務(wù)分析的安全方面BA-5.1維護(hù)業(yè)務(wù)或任務(wù)分析安全方面的可跟蹤性BA-5.2提供業(yè)務(wù)或任務(wù)分析所需的安全相關(guān)信息項(xiàng)以生成基線10T/SIA031.3-2021T/SIA031.3-2021庫七七網(wǎng)標(biāo)準(zhǔn)下載APT網(wǎng)絡(luò)彈性相關(guān)戰(zhàn)略性目標(biāo)的需求定義要與組織的風(fēng)險(xiǎn)管理策略相一致。確定資產(chǎn)對于APT（例如，存在AT（11中國軟協(xié)團(tuán)體標(biāo)準(zhǔn)《系統(tǒng)安全工程網(wǎng)絡(luò)彈性構(gòu)建指南》中國軟協(xié)團(tuán)體標(biāo)準(zhǔn)《系統(tǒng)安全工程網(wǎng)絡(luò)彈性構(gòu)建指南》庫七七網(wǎng)標(biāo)準(zhǔn)下載注：一些利益相關(guān)方最關(guān)心的是最小化APT等惡意軟件的繁殖、最大化任務(wù)或業(yè)務(wù)功能的實(shí)現(xiàn)，而另一些利益相關(guān)方可能對洞察惡意軟件的本質(zhì)更感興趣，以開發(fā)可以超出系統(tǒng)應(yīng)用限制的針對惡意軟件的緩解措施。因此對不同類型的利益相關(guān)方需要清晰定義他們的需求。在解決利益相關(guān)方安全問題的時(shí)候，需要考慮兩方面的網(wǎng)絡(luò)彈性要素：2植入惡意軟件的地方。此種情況下，需要根據(jù)組織的風(fēng)險(xiǎn)管理策略進(jìn)行權(quán)衡。表6需求定義過程的網(wǎng)絡(luò)彈性要素標(biāo)識符活動(dòng)或任務(wù)中的網(wǎng)絡(luò)彈性要素SN-1為利益相關(guān)方的保護(hù)需要和需求定義做準(zhǔn)備SN-1.1識別生存周期中所有安全與網(wǎng)絡(luò)彈性的利益相關(guān)方SN-1.2定義利益相關(guān)方的保護(hù)需求和安全與網(wǎng)絡(luò)彈性需求的定義策略SN-1.3定義、規(guī)劃或者獲取對于使能系統(tǒng)或服務(wù)的訪問，以支持利益相關(guān)方需求定義過程的安全和網(wǎng)絡(luò)彈性方面SN-2定義利益相關(guān)方的保護(hù)需求SN-2.1定義所有生存周期概念中使用的安全性和網(wǎng)絡(luò)彈性環(huán)境SN-2.2識別利益相關(guān)方資產(chǎn)及其分類SN-2.3基于資產(chǎn)損失的不良后果對資產(chǎn)重要度進(jìn)行排序SN-2.4確定資產(chǎn)對于災(zāi)難和不確定性的敏感度水平SN-2.5識別利益相關(guān)方的保護(hù)需求SN-2.6優(yōu)先考慮并向下選擇利益相關(guān)方的保護(hù)需求SN-2.7定義利益相關(guān)方的保護(hù)需求和折中權(quán)衡的基本原則SN-3開發(fā)運(yùn)行和其它生存周期概念中安全和網(wǎng)絡(luò)彈性方面SN-3.1定義一個(gè)代表性的場景集合，以識別與預(yù)期的運(yùn)行和其它生存周期概念相關(guān)的所有需要的保護(hù)能力與安全和網(wǎng)絡(luò)彈性措施12T/SIA031.3-2021T/SIA031.3-2021庫七七網(wǎng)標(biāo)準(zhǔn)下載SN-3.2識別用戶與系統(tǒng)之間安全相關(guān)的交互活動(dòng)SN-4將利益相關(guān)方的保護(hù)需求轉(zhuǎn)換為安全需求SN-4.1識別一個(gè)系統(tǒng)解決方案的安全和網(wǎng)絡(luò)彈性相關(guān)的約束SN-4.2識別利益相關(guān)方安全和網(wǎng)絡(luò)彈性需求以及安全和網(wǎng)絡(luò)彈性功能SN-4.3定義利益相關(guān)方安全和網(wǎng)絡(luò)彈性需求，及其與生存周期概念、場景、交互、約束和關(guān)鍵質(zhì)量特性的一致性SN-4.4應(yīng)用安全元數(shù)據(jù)標(biāo)簽識別利益相關(guān)方安全需求和安全驅(qū)動(dòng)的約束SN-5分析利益相關(guān)方安全需求SN-5.1分析利益相關(guān)方安全和網(wǎng)絡(luò)彈性需求的完整集合SN-5.2定義關(guān)鍵的安全相關(guān)性能和能夠?qū)夹g(shù)實(shí)現(xiàn)進(jìn)行評估的保證措施SN-5.3驗(yàn)證利益相關(guān)方的保護(hù)需求和通過已分析的安全需求來充分獲取和表達(dá)安全期望SN-5.4解決利益相關(guān)方安全需求問題SN-6管理利益相關(guān)方保護(hù)需要和安全需求的定義SN-6.1對利益相關(guān)方的安全和網(wǎng)絡(luò)彈性需求獲得清晰的同意SN-6.2記錄資產(chǎn)、保護(hù)數(shù)據(jù)SN-6.3在利益相關(guān)方保護(hù)需求和安全需求之間保持可跟蹤性13中國軟協(xié)團(tuán)體標(biāo)準(zhǔn)《系統(tǒng)安全工程網(wǎng)絡(luò)彈性構(gòu)建指南》中國軟協(xié)團(tuán)體標(biāo)準(zhǔn)《系統(tǒng)安全工程網(wǎng)絡(luò)彈性構(gòu)建指南》庫七七網(wǎng)標(biāo)準(zhǔn)下載從網(wǎng)絡(luò)彈性視角，明確指出攻擊方可能在系統(tǒng)中建立永久性站點(diǎn)的假設(shè)。表7系統(tǒng)需求定義階段的網(wǎng)絡(luò)彈性要素標(biāo)識符活動(dòng)或任務(wù)中的網(wǎng)絡(luò)彈性要素SR-1準(zhǔn)備為系統(tǒng)安全需求定義SR-1.1以將要提供的安全行為和安全與網(wǎng)絡(luò)彈性屬性定義系統(tǒng)功能邊界的安全方面SR-1.2定義安全域及其與系統(tǒng)功能邊界的相關(guān)性SR-1.3定義系統(tǒng)需求策略的安全與網(wǎng)絡(luò)彈性方面SR-1.4識別、規(guī)劃、獲取對于使能系統(tǒng)和服務(wù)的訪問,以支持系統(tǒng)需求定義過程的安全與網(wǎng)絡(luò)彈性方面SR-2定義系統(tǒng)安全需求SR-2.1定義系統(tǒng)需要執(zhí)行的每一種安全與網(wǎng)絡(luò)彈性功能SR-2.2基于系統(tǒng)需求和基本原理定義安全與網(wǎng)絡(luò)彈性需求和相關(guān)約束SR-2.3將系統(tǒng)安全與網(wǎng)絡(luò)彈性需求和相關(guān)約束納入到系統(tǒng)需求并定義基本原理SR-2.4應(yīng)用安全元數(shù)據(jù)標(biāo)簽以識別系統(tǒng)安全需求和安全與網(wǎng)絡(luò)彈性驅(qū)動(dòng)的約束SR-3分析系統(tǒng)需求中的安全性SR-3.1考慮安全與網(wǎng)絡(luò)彈性問題分析系統(tǒng)需求的完全集SN-3.2定義安全與網(wǎng)絡(luò)彈性驅(qū)動(dòng)的性能和使能技術(shù)成果評估的安全保證措施SR-3.3提供已分析的系統(tǒng)安全與網(wǎng)絡(luò)彈性需求及其約束給適當(dāng)?shù)睦嫦嚓P(guān)方檢查SR-3.4解決系統(tǒng)安全與網(wǎng)絡(luò)彈性需求及相關(guān)問題SR-4管理系統(tǒng)安全需求SR-4.1獲得對于系統(tǒng)安全與網(wǎng)絡(luò)彈性需求及其約束的明確的同意SR-4.2維護(hù)系統(tǒng)安全需求及其約束的可追蹤性SR-4.3提供系統(tǒng)安全定義所需要的安全相關(guān)信息項(xiàng)以生成基線14T/SIA031.3-2021T/SIA031.3-2021庫七七網(wǎng)標(biāo)準(zhǔn)下載（包15中國軟協(xié)團(tuán)體標(biāo)準(zhǔn)《系統(tǒng)安全工程網(wǎng)絡(luò)彈性構(gòu)建指南》中國軟協(xié)團(tuán)體標(biāo)準(zhǔn)《系統(tǒng)安全工程網(wǎng)絡(luò)彈性構(gòu)建指南》庫七七網(wǎng)標(biāo)準(zhǔn)下載用于開發(fā)網(wǎng)絡(luò)彈性模型及視圖的安全結(jié)構(gòu)框架可以擴(kuò)展或映射為網(wǎng)絡(luò)彈性模型的APTAPT（。表8架構(gòu)定義階段的網(wǎng)絡(luò)彈性要素標(biāo)識符活動(dòng)或任務(wù)中的網(wǎng)絡(luò)彈性要素AR-1從安全的角度準(zhǔn)備架構(gòu)定義AR-1.1識別影響系統(tǒng)架構(gòu)中安全與網(wǎng)絡(luò)彈性方面的驅(qū)動(dòng)因素AR-1.2識別利益相關(guān)方安全與網(wǎng)絡(luò)彈性問題AR-1.3定義體系架構(gòu)設(shè)計(jì)的路線圖、方法和策略的安全與網(wǎng)絡(luò)彈性方面SR-1.4定義基于利益相關(guān)方安全與網(wǎng)絡(luò)彈性問題和安全與網(wǎng)絡(luò)彈性相關(guān)需求的評估標(biāo)準(zhǔn)AR-1.5識別、規(guī)劃和獲取對于使能系統(tǒng)和服務(wù)的訪問以支持架構(gòu)定義過程的安全與網(wǎng)絡(luò)彈性方面AR-2開發(fā)架構(gòu)的安全觀點(diǎn)AR-2.1在架構(gòu)水平上為系統(tǒng)定義安全功能的概念A(yù)R-2.2基于利益相關(guān)方安全與網(wǎng)絡(luò)彈性問題，選擇、適配或開發(fā)安全觀點(diǎn)或模型的類型AR-2.3確定用于開發(fā)體系架構(gòu)的安全與網(wǎng)絡(luò)彈性模型，確定安全與網(wǎng)絡(luò)彈性視圖的安全結(jié)構(gòu)框架AR-2.4記錄解決安全與網(wǎng)絡(luò)彈性問題、視圖與模型類型的結(jié)構(gòu)框架選擇的基本原理AR-2.5選擇或開發(fā)支持安全與網(wǎng)絡(luò)彈性模型構(gòu)建的技術(shù)和工具AR-3開發(fā)備選架構(gòu)的安全與網(wǎng)絡(luò)彈性模型和視圖AR-3.1定義安全環(huán)境和系統(tǒng)的邊界，考慮與外部實(shí)體之間的接口、連接和交互操作AR-3.2確定架構(gòu)中的實(shí)體，解決關(guān)鍵利益相關(guān)方安全與網(wǎng)絡(luò)彈性問題和系統(tǒng)安全與網(wǎng)絡(luò)彈性需求實(shí)體之間的相互關(guān)系A(chǔ)R-3.3將安全與網(wǎng)絡(luò)彈性概念、屬性、特征、行為、功能和約束分配給架構(gòu)中的實(shí)體AR-3.4選擇、適配和開發(fā)備選架構(gòu)的安全與網(wǎng)絡(luò)彈性模型16T/SIA031.3-2021T/SIA031.3-2021庫七七網(wǎng)標(biāo)準(zhǔn)下載AR-3.5根據(jù)安全與網(wǎng)絡(luò)彈性觀點(diǎn)構(gòu)建視圖，描述體系架構(gòu)如何處理利益相關(guān)方安全與網(wǎng)絡(luò)彈性問題，并滿足利益相關(guān)方和系統(tǒng)的安全需求AR-3.6使安全與網(wǎng)絡(luò)彈性視圖、安全模型與網(wǎng)絡(luò)彈性模型彼此協(xié)調(diào)，并和安全與網(wǎng)絡(luò)彈性功能的概念相一致AR-4選擇將要設(shè)計(jì)的架構(gòu)的安全視圖AR-4.1確定與體系架構(gòu)實(shí)體相關(guān)的安全相關(guān)系統(tǒng)要素以及這些關(guān)系的性質(zhì)AR-4.2定義安全與網(wǎng)絡(luò)彈性要素之間以及與外部接口之間的安全接口、相互連接和相互操作AR-4.3將系統(tǒng)安全與網(wǎng)絡(luò)彈性需求分配給架構(gòu)實(shí)體和系統(tǒng)要素AR-4.4將系統(tǒng)安全與網(wǎng)絡(luò)彈性需求和架構(gòu)實(shí)體映射到安全與網(wǎng)絡(luò)彈性設(shè)計(jì)特征AR-4.5為系統(tǒng)和架構(gòu)設(shè)計(jì)定義安全與網(wǎng)絡(luò)彈性評價(jià)原則，以反映安全與網(wǎng)絡(luò)彈性功能的概念A(yù)R-5選擇備選架構(gòu)AR-5.1根據(jù)安全與網(wǎng)絡(luò)彈性需求和相關(guān)約束條件來評估每個(gè)備選體系架構(gòu)AR-5.2針對利益相關(guān)方安全與網(wǎng)絡(luò)彈性問題采用評估標(biāo)準(zhǔn)評估每一個(gè)備選架構(gòu)AR-5.3選擇首選的體系架構(gòu)，獲取關(guān)鍵的安全與網(wǎng)絡(luò)彈性決策及其機(jī)理AR-5.4建立所選體系架構(gòu)的結(jié)構(gòu)基線的安全與網(wǎng)絡(luò)彈性方面AR-6管理所選架構(gòu)的安全視圖AR-6.1形式化表達(dá)架構(gòu)治理方法和特定安全治理的安全與網(wǎng)絡(luò)彈性方面，包括相關(guān)的角色和責(zé)任、問責(zé)制和授權(quán)AR-6.2獲得利益相關(guān)方對于架構(gòu)的安全與網(wǎng)絡(luò)彈性方面的清晰的接受確認(rèn)AR-6.3維護(hù)安全與網(wǎng)絡(luò)彈性體系架構(gòu)實(shí)體及其相關(guān)體系架構(gòu)特征的一致性和完整性AR-6.4組織、評估和控制架構(gòu)的安全、網(wǎng)絡(luò)彈性模型及視圖的評價(jià)AR-6.5維護(hù)架構(gòu)定義和評估策略的安全與網(wǎng)絡(luò)彈性方面AR-6.6維護(hù)架構(gòu)的安全與網(wǎng)絡(luò)彈性方面的可跟蹤性AR-6.7提供架構(gòu)定義所需的安全與網(wǎng)絡(luò)彈性相關(guān)信息項(xiàng)以生成基線17中國軟協(xié)團(tuán)體標(biāo)準(zhǔn)《系統(tǒng)安全工程網(wǎng)絡(luò)彈性構(gòu)建指南》中國軟協(xié)團(tuán)體標(biāo)準(zhǔn)《系統(tǒng)安全工程網(wǎng)絡(luò)彈性構(gòu)建指南》庫七七網(wǎng)標(biāo)準(zhǔn)下載（APT用于系統(tǒng)設(shè)計(jì)方案安全性的評估原則包括對運(yùn)行環(huán)境下系統(tǒng)或服務(wù)的使用安全性注4：系統(tǒng)是復(fù)雜的實(shí)體，不可能消除所有的漏洞，因此，攻擊方會(huì)有很多機(jī)會(huì)來利用未修復(fù)的已知和未知漏洞。表9設(shè)計(jì)定義階段的網(wǎng)絡(luò)彈性要素標(biāo)識符活動(dòng)或任務(wù)中的網(wǎng)絡(luò)彈性要素DE-1準(zhǔn)備安全設(shè)計(jì)定義DE-1.1為系統(tǒng)在設(shè)計(jì)水平上應(yīng)用安全功能的概念DE-1.2決定構(gòu)成系統(tǒng)的每一個(gè)系統(tǒng)要素所需要的安全技術(shù)DE-1.3決定安全設(shè)計(jì)特征的類型SR-1.4定義系統(tǒng)設(shè)計(jì)的安全評估原則DE-1.5定義設(shè)計(jì)定義策略的安全性方面18T/SIA031.3-2021T/SIA031.3-2021庫七七網(wǎng)標(biāo)準(zhǔn)下載DE-1.6定義、規(guī)劃、獲取使能系統(tǒng)或服務(wù)的訪問，以支持設(shè)計(jì)定義過程的安全方面DE-2建立安全設(shè)計(jì)特征使能每一個(gè)系統(tǒng)要素DE-2.1為系統(tǒng)要素分配系統(tǒng)安全與網(wǎng)絡(luò)彈性需求DE-2.2將安全架構(gòu)特征轉(zhuǎn)化為安全設(shè)計(jì)特征DE-2.3定義必要的安全與網(wǎng)絡(luò)彈性設(shè)計(jì)使能人員DE-2.4檢查安全與網(wǎng)絡(luò)彈性設(shè)計(jì)備選方案DE-2.5細(xì)化和定義系統(tǒng)要素和外部實(shí)體之間的安全接口DE-2.6開發(fā)安全與網(wǎng)絡(luò)彈性設(shè)計(jì)產(chǎn)品DE-3評估備選方案獲得安全相關(guān)的系統(tǒng)要素DE-3.1確定用于使用考慮的安全相關(guān)的非開發(fā)項(xiàng)DE-3.2根據(jù)基于預(yù)期的安全設(shè)計(jì)特征或系統(tǒng)安全需求制定的標(biāo)準(zhǔn)，評估每個(gè)備選方案和新的設(shè)計(jì)方案，以確定對預(yù)期應(yīng)用的適用性DE-3.3在一個(gè)系統(tǒng)要素的備選解決方案和新的系統(tǒng)設(shè)計(jì)方案中確定首選方案DE-4管理安全設(shè)計(jì)DE-4.1將安全設(shè)計(jì)要素映射到安全和網(wǎng)絡(luò)彈性設(shè)計(jì)特征DE-4.2獲得安全和網(wǎng)絡(luò)彈性設(shè)計(jì)方案及其基本原理DE-4.3維護(hù)系統(tǒng)設(shè)計(jì)的安全方面的可跟蹤性DE-4.4提供安全和網(wǎng)絡(luò)彈性相關(guān)信息項(xiàng)以生成系統(tǒng)設(shè)計(jì)定義基線19中國軟協(xié)團(tuán)體標(biāo)準(zhǔn)《系統(tǒng)安全工程網(wǎng)絡(luò)彈性構(gòu)建指南》中國軟協(xié)團(tuán)體標(biāo)準(zhǔn)《系統(tǒng)安全工程網(wǎng)絡(luò)彈性構(gòu)建指南》庫七七網(wǎng)標(biāo)準(zhǔn)下載5使能系統(tǒng)和運(yùn)行環(huán)境中的其它系統(tǒng)。從網(wǎng)絡(luò)彈性的角度，使能系統(tǒng)和運(yùn)行環(huán)境中的其它系統(tǒng)拓展了利益系統(tǒng)的攻擊面。注6：對利益系統(tǒng)的威脅事件造成的后續(xù)結(jié)果可能會(huì)影響到對運(yùn)行環(huán)境中的其它系統(tǒng)造成的后續(xù)影響（例如：攻擊繁殖、級聯(lián)失效。采用適當(dāng)分析方法，識別和驗(yàn)證系統(tǒng)分析過程的安全性和網(wǎng)絡(luò)彈性相關(guān)的假設(shè)。7的立足點(diǎn)，并且能夠不斷進(jìn)化、不斷嘗試以達(dá)到攻擊的目標(biāo)。APT能力，并且不可能消除這種假設(shè)的不確定性。注8：分析方法可以是人工走查法、專家分析法、流程法、檢查表法等等。表10系統(tǒng)分析階段的網(wǎng)絡(luò)彈性要素標(biāo)識符活動(dòng)或任務(wù)中的網(wǎng)絡(luò)彈性要素SA-1準(zhǔn)備系統(tǒng)分析的安全與網(wǎng)絡(luò)彈性方面SA-1.1確定需要分析的問題的安全與網(wǎng)絡(luò)彈性方面SA-1.2定義系統(tǒng)分析的安全與網(wǎng)絡(luò)彈性方面的利益相關(guān)方SA-1.3定義系統(tǒng)分析的安全與網(wǎng)絡(luò)彈性方面的目標(biāo)、范圍、精確性水平和保證水平SA-1.4選擇系統(tǒng)分析的安全與網(wǎng)絡(luò)彈性方面相關(guān)的方法SA-1.5定義系統(tǒng)需求策略的安全與網(wǎng)絡(luò)彈性方面SA-1.6識別、規(guī)劃、獲取使能系統(tǒng)或服務(wù)的訪問，以支持系統(tǒng)分析過程的安全與網(wǎng)絡(luò)彈性方面SA-1.7收集系統(tǒng)分析的安全與網(wǎng)絡(luò)彈性方面所需要的數(shù)據(jù)和輸入信息SA-2執(zhí)行系統(tǒng)分析的安全與網(wǎng)絡(luò)彈性方面SA-2.1識別和驗(yàn)證與系統(tǒng)分析的安全與網(wǎng)絡(luò)彈性方面相關(guān)的假設(shè)SA-2.2應(yīng)用選擇的安全分析方法去執(zhí)行需要系統(tǒng)分析的安全與網(wǎng)絡(luò)彈性方面SA-2.3檢查系統(tǒng)分析結(jié)果的安全與網(wǎng)絡(luò)彈性方面的質(zhì)量和有效性20T/SIA031.3-2021T/SIA031.3-2021庫七七網(wǎng)標(biāo)準(zhǔn)下載SA-2.4基于系統(tǒng)分析的安全與網(wǎng)絡(luò)彈性方面結(jié)果建立結(jié)論、推薦和基本原理SA-2.5記錄系統(tǒng)分析的安全與網(wǎng)絡(luò)彈性方面的結(jié)論SA-3管理系統(tǒng)分析的安全與網(wǎng)絡(luò)彈性方面SA-3.1維護(hù)系統(tǒng)分析結(jié)果的安全與網(wǎng)絡(luò)彈性方面的可跟蹤性SA-3.2提供被選中用于基線的安全與網(wǎng)絡(luò)彈性相關(guān)的系統(tǒng)分析信息項(xiàng)實(shí)現(xiàn)策略必須確保系統(tǒng)要素的屬性和安全保護(hù)能力是以一種滿足網(wǎng)絡(luò)彈性需求和實(shí)現(xiàn)過程的安全方面限制了實(shí)現(xiàn)網(wǎng)絡(luò)彈性目標(biāo)或滿足已確定的網(wǎng)絡(luò)彈性需求的能力。表11實(shí)現(xiàn)階段的網(wǎng)絡(luò)彈性要素標(biāo)識符活動(dòng)或任務(wù)中的網(wǎng)絡(luò)彈性要素IP-1準(zhǔn)備實(shí)現(xiàn)的安全方面IP-1.1開發(fā)實(shí)現(xiàn)策略的安全方面IP-1.2從實(shí)現(xiàn)策略和技術(shù)的安全方面確定約束，并將其集成到系統(tǒng)需求、體系架構(gòu)、設(shè)計(jì)或?qū)崿F(xiàn)技術(shù)中IP-1.3識別、規(guī)劃、獲取使能系統(tǒng)或服務(wù)的訪問，以支持實(shí)現(xiàn)過程的安全與網(wǎng)絡(luò)彈性方面IP-2執(zhí)行實(shí)現(xiàn)的安全方面IP-2.1根據(jù)實(shí)現(xiàn)策略的安全與網(wǎng)絡(luò)彈性方面，實(shí)現(xiàn)或適配系統(tǒng)要素，定義實(shí)現(xiàn)的過程和安全驅(qū)動(dòng)的約束IP-2.2為用戶開發(fā)操作、維護(hù)和支持的初始化培訓(xùn)資料IP-2.3安全地打包并存儲(chǔ)系統(tǒng)要素IP-2.4記錄系統(tǒng)要素滿足系統(tǒng)安全需求的證明IP-3管理實(shí)現(xiàn)的安全方面的結(jié)果IP-3.1記錄實(shí)現(xiàn)結(jié)果的安全方面，并記錄遇到的與安全相關(guān)的異常事件IP-3.2對已實(shí)現(xiàn)的系統(tǒng)要素的安全方面結(jié)果進(jìn)行跟蹤IP-3.3提供實(shí)現(xiàn)所需的安全相關(guān)信息項(xiàng)以生成基線21中國軟協(xié)團(tuán)體標(biāo)準(zhǔn)《系統(tǒng)安全工程網(wǎng)絡(luò)彈性構(gòu)建指南》中國軟協(xié)團(tuán)體標(biāo)準(zhǔn)《系統(tǒng)安全工程網(wǎng)絡(luò)彈性構(gòu)建指南》庫七七網(wǎng)標(biāo)準(zhǔn)下載與系統(tǒng)安全工程目標(biāo)一樣。與系統(tǒng)安全工程輸出結(jié)果一樣。表12列出了系統(tǒng)集成階段的網(wǎng)絡(luò)彈性要素。表12集成階段的網(wǎng)絡(luò)彈性要素標(biāo)識符活動(dòng)或任務(wù)中的網(wǎng)絡(luò)彈性要素IN-1準(zhǔn)備集成的安全方面IN-1.1識別和定義集成接口和所選系統(tǒng)功能可信安全運(yùn)行的檢查點(diǎn)IN-1.2開發(fā)集成操作的安全與網(wǎng)絡(luò)彈性方面IN-1.3識別、規(guī)劃、獲取使能系統(tǒng)或服務(wù)的訪問，以支持集成過程的安全與網(wǎng)絡(luò)彈性方面IN-1.4從集成的安全與網(wǎng)絡(luò)彈性方面確定約束并將其集成到系統(tǒng)需求、架構(gòu)或設(shè)計(jì)中IN-2執(zhí)行集成的安全方面IN-2.1根據(jù)協(xié)定和計(jì)劃的安全與網(wǎng)絡(luò)彈性標(biāo)準(zhǔn)和需求，獲取已實(shí)現(xiàn)的系統(tǒng)要素IN-2.2組裝已實(shí)現(xiàn)的系統(tǒng)要素實(shí)現(xiàn)安全與網(wǎng)絡(luò)彈性配置IN-2.3對接口、功能行為和互聯(lián)行為的安全與網(wǎng)絡(luò)彈性特征進(jìn)行檢查IN-3管理集成的安全方面結(jié)果IN-3.1記錄集成結(jié)果的安全與網(wǎng)絡(luò)彈性方面以及遇到的任何安全與網(wǎng)絡(luò)彈性異常IN-3.2維護(hù)集成系統(tǒng)要素的安全與網(wǎng)絡(luò)彈性方面的可跟蹤性IN-3.3提供集成所需的安全與網(wǎng)絡(luò)彈性相關(guān)的信息項(xiàng)以生成基線22T/SIA031.3-2021T/SIA031.3-2021庫七七網(wǎng)標(biāo)準(zhǔn)下載務(wù)或業(yè)務(wù)流程目標(biāo)背景下的網(wǎng)絡(luò)彈性能力；表13驗(yàn)證階段的網(wǎng)絡(luò)彈性要素標(biāo)識符活動(dòng)或任務(wù)中的網(wǎng)絡(luò)彈性要素VE-1準(zhǔn)備驗(yàn)證的安全與網(wǎng)絡(luò)彈性方面VE-1.1確定驗(yàn)證范圍和以安全與網(wǎng)絡(luò)彈性為重點(diǎn)的驗(yàn)證活動(dòng)中的安全與網(wǎng)絡(luò)彈性方面VE-1.2確定可能限制以安全與網(wǎng)絡(luò)彈性為重點(diǎn)的驗(yàn)證活動(dòng)的操作可行性的約束條件VE-1.3選擇適當(dāng)?shù)姆椒ê图夹g(shù)用于驗(yàn)證的安全與網(wǎng)絡(luò)彈性方面，并對每一個(gè)安全與網(wǎng)絡(luò)彈性為重點(diǎn)的驗(yàn)證活動(dòng)設(shè)置相關(guān)的成功評估標(biāo)準(zhǔn)VE-1.4識別、規(guī)劃、獲取使能系統(tǒng)和服務(wù)的訪問，以支持驗(yàn)證的安全與網(wǎng)絡(luò)彈性方面VE-2執(zhí)行以安全與網(wǎng)絡(luò)彈性為重點(diǎn)的驗(yàn)證活動(dòng)VE-2.1定義驗(yàn)證過程的安全與網(wǎng)絡(luò)彈性方面，每一個(gè)方面支持一個(gè)或一組安全與網(wǎng)絡(luò)彈性為重點(diǎn)的驗(yàn)證活動(dòng)VE-2.2執(zhí)行安全與網(wǎng)絡(luò)彈性驗(yàn)證過程VE-2.3根據(jù)任何已建立的期望和成功標(biāo)準(zhǔn)分析以安全為重點(diǎn)的驗(yàn)證結(jié)果VE-3管理以安全與網(wǎng)絡(luò)彈性為重點(diǎn)的驗(yàn)證結(jié)果VE-3.1記錄驗(yàn)證結(jié)果的安全與網(wǎng)絡(luò)彈性方面以及遇到的任何安全異常VE-3.2記錄運(yùn)行事件和問題的安全與網(wǎng)絡(luò)彈特征并跟蹤其結(jié)果VE-3.3獲得利益相關(guān)方對于系統(tǒng)滿足安全和網(wǎng)絡(luò)彈性需求和特征的認(rèn)可VE-3.4維護(hù)已驗(yàn)證的系統(tǒng)要素的可跟蹤性VE-3.5提供驗(yàn)證需求的安全相關(guān)信息項(xiàng)以生成基線與系統(tǒng)安全工程目標(biāo)一致。23中國軟協(xié)團(tuán)體標(biāo)準(zhǔn)《系統(tǒng)安全工程網(wǎng)絡(luò)彈性構(gòu)建指南》中國軟協(xié)團(tuán)體標(biāo)準(zhǔn)《系統(tǒng)安全工程網(wǎng)絡(luò)彈性構(gòu)建指南》庫七七網(wǎng)標(biāo)準(zhǔn)下載確定和安排安全的系統(tǒng)交付、使用、維護(hù)并支持所需的培訓(xùn)。PT等相關(guān)攻擊的培訓(xùn)，尋找可疑活動(dòng)內(nèi)容（例如：指示破壞的行為及其它與威脅相關(guān)的培訓(xùn)。在系統(tǒng)安裝過程中考慮安裝的安全問題，以及可能或受到影響的網(wǎng)絡(luò)彈性目的、目標(biāo)、技術(shù)和實(shí)現(xiàn)方法。表14交付階段的網(wǎng)絡(luò)彈性要素標(biāo)識符活動(dòng)或任務(wù)中的網(wǎng)絡(luò)彈性要素TR-1準(zhǔn)備交付的安全方面TR-1.1開發(fā)交付策略的安全方面TR-1.2識別用于安全目標(biāo)的設(shè)備或位置的變化TR-1.3從交付的安全方面確定約束并將其集成到系統(tǒng)需求、架構(gòu)和設(shè)計(jì)中TR-1.4確定和安排用于安全的系統(tǒng)使用、維護(hù)和支持必要的培訓(xùn)TR-1.5識別、規(guī)劃和獲取使能系統(tǒng)和服務(wù)的訪問以支持交付的安全方面TR-2執(zhí)行交付的安全方面TR-2.1根據(jù)安全的安裝需求確定交付的設(shè)備和位置TR-2.2安全地傳遞系統(tǒng)用于安裝TR-2.3在指定的位置上安裝系統(tǒng)并建立與環(huán)境的安全連接TR-2.4證明系統(tǒng)安裝的安全方面的適當(dāng)實(shí)現(xiàn)TR-2.5為與系統(tǒng)有交互活動(dòng)的利益相關(guān)方提供安全與網(wǎng)絡(luò)彈性培訓(xùn)TR-2.6執(zhí)行系統(tǒng)安全與網(wǎng)絡(luò)彈性要素的激活和檢查TR-2.7證明已安裝的系統(tǒng)能夠交付需要的安全保護(hù)能力TR-2.8維護(hù)已驗(yàn)證的系統(tǒng)要素的可跟蹤性TR-2.9提供交付需要的安全相關(guān)信息項(xiàng)以生成基線TR-2.10對系統(tǒng)進(jìn)行安全操作TR-3管理系統(tǒng)的安全方面的結(jié)果TR-3.1記錄交付結(jié)果的安全方面以及所遇到的安全異常24T/SIA031.3-2021T/SIA031.3-2021庫七七網(wǎng)標(biāo)準(zhǔn)下載TR-3.2記錄運(yùn)行操作和事件的安全與網(wǎng)絡(luò)彈性方面并跟蹤結(jié)果TR-3.3維護(hù)已交付的系統(tǒng)要素的安全方面的可跟蹤性TR-3.4提供交付所需要的安全相關(guān)信息項(xiàng)以生成基線表15確認(rèn)階段的網(wǎng)絡(luò)彈性要素標(biāo)識符活動(dòng)或任務(wù)中的網(wǎng)絡(luò)彈性要素VA-1準(zhǔn)備確認(rèn)的安全與網(wǎng)絡(luò)彈性方面VA-1.1識別確認(rèn)范圍和以安全與網(wǎng)絡(luò)彈性為重點(diǎn)的確認(rèn)活動(dòng)的安全與網(wǎng)絡(luò)彈性方面VA-1.2確定可能限制以安全與網(wǎng)絡(luò)彈性為重點(diǎn)的確認(rèn)操作可行性的約束條件VA-1.3選擇適當(dāng)?shù)姆椒ê图夹g(shù)用于確認(rèn)的安全與網(wǎng)絡(luò)彈性方面，以及每一個(gè)以安全與網(wǎng)絡(luò)彈性為重點(diǎn)的確認(rèn)活動(dòng)成功的評估標(biāo)準(zhǔn)VA-1.4開發(fā)確認(rèn)策略的安全與網(wǎng)絡(luò)彈性方面VA-1.5確定從需求的安全與網(wǎng)絡(luò)彈性方面所產(chǎn)生的約束，并將其集成到利益相關(guān)方安全需求中VA-1.6識別、規(guī)劃和獲取使能系統(tǒng)或服務(wù)的訪問以支持確認(rèn)的安全與網(wǎng)絡(luò)彈性方面25中國軟協(xié)團(tuán)體標(biāo)準(zhǔn)《系統(tǒng)安全工程網(wǎng)絡(luò)彈性構(gòu)建指南》中國軟協(xié)團(tuán)體標(biāo)準(zhǔn)《系統(tǒng)安全工程網(wǎng)絡(luò)彈性構(gòu)建指南》庫七七網(wǎng)標(biāo)準(zhǔn)下載VA-2執(zhí)行以安全與網(wǎng)絡(luò)彈性為重點(diǎn)的確認(rèn)VA-2.1識別確認(rèn)的安全與網(wǎng)絡(luò)彈性方面，每一個(gè)方面支持一個(gè)或一組以安全與網(wǎng)絡(luò)彈性為重點(diǎn)的確認(rèn)活動(dòng)VA-2.2在預(yù)先定義的環(huán)境下執(zhí)行確認(rèn)程序VA-2.3檢查以安全與網(wǎng)絡(luò)彈性為重點(diǎn)的確認(rèn)結(jié)果，以確認(rèn)利益相關(guān)方所需要的系統(tǒng)保護(hù)服務(wù)是可用的VA-3管理以安全與網(wǎng)絡(luò)彈性為重點(diǎn)的確認(rèn)結(jié)果VA-3.1記錄確認(rèn)結(jié)果的安全與網(wǎng)絡(luò)彈性方面以及遇到的所有安全異常VA-3.2記錄運(yùn)行事件和問題的安全與網(wǎng)絡(luò)彈特征并跟蹤結(jié)果VA-3.3獲得利益相關(guān)方的認(rèn)可，即系統(tǒng)或系統(tǒng)要素滿足利益相關(guān)方的保護(hù)需求VA-3.4維護(hù)對已確認(rèn)的系統(tǒng)要素的可跟蹤性VA-3.5提供確認(rèn)需求的安全相關(guān)信息項(xiàng)以生成基線開發(fā)運(yùn)行策略的網(wǎng)絡(luò)彈性方面。執(zhí)行運(yùn)行策略的安全和網(wǎng)絡(luò)彈性方面。包括：（例）26T/SIA031.3-2021T/SIA031.3-2021庫七七網(wǎng)標(biāo)準(zhǔn)下載表16運(yùn)行階段的網(wǎng)絡(luò)彈性要素標(biāo)識符活動(dòng)或任務(wù)中的網(wǎng)絡(luò)彈性要素OP-1準(zhǔn)備安全運(yùn)行OP-1.1開發(fā)運(yùn)行策略的安全方面OP-1.2確定由運(yùn)行的安全方面產(chǎn)生的約束，并將其集成到安全需求、架構(gòu)和設(shè)計(jì)中OP-1.3識別、規(guī)劃和獲取使能系統(tǒng)或服務(wù)的訪問以支持運(yùn)行的安全方面OP-1.4識別或定義安全培訓(xùn)和資質(zhì)需求，培訓(xùn)并分配人員以滿足系統(tǒng)運(yùn)行需求OP-2執(zhí)行安全運(yùn)行OP-2.1在預(yù)期的運(yùn)行環(huán)境下安全地使用系統(tǒng)OP-2.2根據(jù)需要使用材料和其它資源，以一種安全的方式運(yùn)行系統(tǒng)和維護(hù)安全服務(wù)OP-2.3監(jiān)控系統(tǒng)運(yùn)行的安全方面OP-2.4識別并記錄系統(tǒng)安全性能不在可接受參數(shù)范圍內(nèi)的時(shí)間OP-2.5如果必要的話執(zhí)行系統(tǒng)安全應(yīng)急操作OP-3管理安全運(yùn)行的結(jié)果OP-3.1記錄安全運(yùn)行的結(jié)果和遇到的任何安全異常OP-3.2記錄運(yùn)行事件和問題的安全方面并跟蹤其結(jié)果OP-3.3維護(hù)運(yùn)行要素的安全方面的可跟蹤性O(shè)P-3.4提供運(yùn)行需求的安全相關(guān)信息項(xiàng)以生成基線OP-4支持客戶的安全需求OP-4.1為客戶需求提供安全幫助和咨詢服務(wù)OP-4.2記錄和監(jiān)控用于安全支持的請求以及后續(xù)活動(dòng)OP-4.3決定交付系統(tǒng)安全能力的水平以滿足用戶的需求與系統(tǒng)安全工程目標(biāo)一致。與系統(tǒng)安全工程輸出結(jié)果一致。表17維護(hù)階段的網(wǎng)絡(luò)彈性要素標(biāo)識符活動(dòng)或任務(wù)中的網(wǎng)絡(luò)彈性要素MA-1.1定義維護(hù)策略的安全方面MA-1.2確定由維護(hù)和后勤的安全方面產(chǎn)生的系統(tǒng)約束，并納入到系統(tǒng)需求、體系架構(gòu)和設(shè)計(jì)中27中國軟協(xié)團(tuán)體標(biāo)準(zhǔn)《系統(tǒng)安全工程網(wǎng)絡(luò)彈性構(gòu)建指南》中國軟協(xié)團(tuán)體標(biāo)準(zhǔn)《系統(tǒng)安全工程網(wǎng)絡(luò)彈性構(gòu)建指南》庫七七網(wǎng)標(biāo)準(zhǔn)下載MA-1.3確定權(quán)衡策略，使系統(tǒng)維護(hù)和物流的安全方面產(chǎn)生可靠、安全、可負(fù)擔(dān)、可操作、可支持和可持續(xù)的解決方案MA-1.4識別、規(guī)劃和獲取對使能系統(tǒng)和服務(wù)的訪問，以支持系統(tǒng)維護(hù)和物流的安全方面MA-2執(zhí)行維護(hù)的安全方面MA-2.1檢查事件和系統(tǒng)維護(hù)報(bào)告以確定安全的相關(guān)性并跟蹤其結(jié)果MA-2.2記錄維護(hù)事件和問題的安全方面并跟蹤其結(jié)果MA-2.3對隨機(jī)故障或定期更換的系統(tǒng)部件實(shí)施糾正程序，以保證系統(tǒng)安全功能和服務(wù)的交付MA-2.4當(dāng)隨機(jī)故障引起系統(tǒng)失效的時(shí)候，執(zhí)行系統(tǒng)恢復(fù)程序到安全的狀態(tài)MA-2.5在安全相關(guān)的影響引發(fā)失效之前，就通過更換系統(tǒng)要素以執(zhí)行預(yù)防性維護(hù)措施MA-2.6當(dāng)系統(tǒng)發(fā)生不遵守安全原則的事件時(shí)執(zhí)行失效確認(rèn)動(dòng)作MA-2.7確定何時(shí)需要與安全相關(guān)的自適應(yīng)或全部的維護(hù)措施MA-3執(zhí)行物流支持的安全方面MA-3.1執(zhí)行采購物流的安全方面MA-3.2執(zhí)行運(yùn)行物流的安全方面MA-3.3實(shí)施系統(tǒng)生存周期內(nèi)所需的任何安全包裝、搬運(yùn)、儲(chǔ)存和傳輸MA-3.4確認(rèn)集成到物流活動(dòng)中的安全方面滿足所需的保護(hù)水平，保證系統(tǒng)要素安全存儲(chǔ)，并有能力滿足維修率和時(shí)間計(jì)劃要求確認(rèn)整合到物流活動(dòng)中的安全方面滿足所需的保護(hù)水平，保證系統(tǒng)要素安全存儲(chǔ)，并有能力滿足維修率和時(shí)間計(jì)劃要求MA-3.5確認(rèn)物流活動(dòng)的安全方面包括計(jì)劃、資源分配和部署實(shí)現(xiàn)的安全需求MA-4管理物流維護(hù)的安全方面結(jié)果MA-4.1記錄維護(hù)物流結(jié)果的安全方面以及遇到的任何異常活動(dòng)MA-4.2記錄運(yùn)行的安全事件和安全問題并跟蹤其結(jié)果MA-4.3識別和記錄與安全相關(guān)的事件、問題、維修和物流活動(dòng)的趨勢MA-4.4維護(hù)系統(tǒng)要素的可跟蹤性以及所執(zhí)行的維護(hù)活動(dòng)和物流活動(dòng)的安全方面MA-4.5從系統(tǒng)維護(hù)角度提供安全相關(guān)的配置項(xiàng)以生成基線MA-4.6監(jiān)控客戶對系統(tǒng)安全方面的滿意度（減少一些網(wǎng)絡(luò)彈性技術(shù)的有效性（例如：分析監(jiān)控和動(dòng)態(tài)表達(dá)。開發(fā)退役策略的安全和網(wǎng)絡(luò)彈性方面，包括：或交28T/SIA031.3-2021T/SIA031.3-2021庫七七網(wǎng)標(biāo)準(zhǔn)下載執(zhí)行退役策略的安全和網(wǎng)絡(luò)彈性方面。表18退役階段的網(wǎng)絡(luò)彈性要素標(biāo)識符活動(dòng)或任務(wù)中的網(wǎng)絡(luò)彈性要素DS-1準(zhǔn)備退役的安全與網(wǎng)絡(luò)彈性方面DS-1.1開發(fā)退役策略的安全與網(wǎng)絡(luò)彈性方面DS-1.2從退役的安全與網(wǎng)絡(luò)彈性方面識別其約束，并將其集成到安全需求、架構(gòu)和設(shè)計(jì)中DS-1.3識別、規(guī)劃和獲取對使能系統(tǒng)或服務(wù)的訪問以支持退役的安全方面DS-1.4如果系統(tǒng)要存儲(chǔ)，說明安全存儲(chǔ)標(biāo)準(zhǔn)DS-1.5識別并防止被終止的人員或已退役的系統(tǒng)部件和材料返回服務(wù)DS-2執(zhí)行退役的安全與網(wǎng)絡(luò)彈性方面DS-2.1關(guān)閉系統(tǒng)或系統(tǒng)元件，為安全地將其從運(yùn)行中移除做好準(zhǔn)備DS-2.2將系統(tǒng)和系統(tǒng)要素從使用中安全地刪除，進(jìn)行適當(dāng)?shù)匕踩幚砘蚧顒?dòng)DS-2.3從系統(tǒng)中記錄相關(guān)的安全操作規(guī)程中安全地刪除受到影響的操作人員DS-2.4以便重用、循環(huán)、修復(fù)、大修、存檔或銷毀DS-2.5以適合于退役操作的方式對系統(tǒng)要素和生存周期工件進(jìn)行消毒DS-2.6管理那些不準(zhǔn)備重用的系統(tǒng)要素及其組件防止其重新進(jìn)入供應(yīng)鏈DS-3最后確定退役的安全與網(wǎng)絡(luò)彈性方面DS-3.1確定系統(tǒng)退役處理后不存在未解決的安全方面問題DS-3.2將環(huán)境重置到初始狀態(tài)或者協(xié)議指定的安全狀態(tài)DS-3.3存檔、保護(hù)和妥善處理系統(tǒng)生存周期過程中產(chǎn)生的信息參考文獻(xiàn)［1］CISA.InfrastructureResiliencePlanningFramework(IRPF).2021.10,Vol.1.［2］eRikHollnagel,JeanPaRiès,DaviDWooDs,JohnWreathall.ResilienceEngineeringinPractice,AGuideBook.CRCPress，2017.［3］Helm,Patrick.RiskandResilience:Strategiesforsecurity.Civilengineeringandenvironmentalsystems,2015.04.03,Vol.32(1-2),p.100-118.［4］H?ller,T.Rauter,J.IberandC.Kreiner.TowardsDynamicSoftwareDiversityforResilientRedundantEmbeddedSystems(LectureNotesinComputerScience9274),inProceedingsofSoftwareEngineeringforResilientSystems:7thInternationalWorkshop,SERENE2015,Switzerland,Springer,2015,p.16-30.［5］JeanChristopheLeCoze.Towardsaconstructivistprograminsafety,SafetyScience,2012,Vol50,Issue9,p.1873-1887,ISSN0925-7535,/10.1016/j.ssci.2012.03.019.29中國軟協(xié)團(tuán)體標(biāo)準(zhǔn)《系統(tǒng)安全工程網(wǎng)絡(luò)彈性構(gòu)建指南》中國軟協(xié)團(tuán)體標(biāo)準(zhǔn)《系統(tǒng)安全工程網(wǎng)絡(luò)彈性構(gòu)建指南》庫七七網(wǎng)標(biāo)準(zhǔn)下載［6］K.E.Heckman,F.J.Stech,R.K.Thomas,B.SchmoderandA.W.Tsow.CyberDenial,DeceptionandCounterDeception:AFrameworkforSupportingActiveCyberDefense(AdvancesinInformationSecurity63),Switzerland:Springer,2015.［7］ManikamPillay.ResilienceEngineering:AnIntegrativeReviewofFundamentalConceptsandDirectionsforFutureResearchinSafetyManagement.OpenJournalofSafetyScienceandTechnology,2017,7,p.129-160.［8］M.Vaez-Alaei,A.BaboliandR.Tavakkoli-Moghaddam.ANewApproachtoIntegrateResilienceEngineeringandBusinessProcessReengineeringDesign.2018IEEEInternationalConferenceonIndustrialEngineeringandEngineeringManagement(IEEM),2018,p.778-782,doi:10.1109/IEEM.2018.8607662.［9］NiiO.Attoh-Okine.ResilienceEngineering.ModelsandFramework.CambridgeUniversityPress.2016.［10］NISTSP800-160Vol.1.SystemsSecurityEngineering,ConsiderationsforaMultidisciplinaryApproachintheEngineeringofTrustworthySecureSystems.［11］RoyceFrancis,BehailuBekera.Ametricandframeworksforresilienceanalysisofengineeredandinfrastructuresystems.ReliabilityEngineeringandSystemSafety.2014,121,p.90-123.［12］Sansavini,Giovanni.EngineeringResilienceinCriticalInfrastructures.ResilienceandRisk,2017.8.3,p.189-203.［13］SaraFriedman.NIST’sdraftcyberresiliencyframeworkrestsonsystemengineering.InsideCybersecurity,2021.8.10.［14］SaraFriedman.MITREreportproposesuseof'chaosengineering'toboostcyberresiliencyingovernment.InsideCybersecurity,2021.8.24.［15］S.Jackson.AMultidisciplinaryFrameworkforResiliencetoDisastersandDisruptions.JournalofIntegratedDesignandProcessScience,2007,Vol.11,No.2,p.91-108.［16］Sobol,Amir;Pass,Yaron.OTAUTOMATION:CYBERSECURITY:Sixwaystoimprovecybersecurity:Barriersvs.resiliency:OvercomethreeOT/ITcybersecuritybarriersandmovetowardscyber-resiliencyinthreecybersecuritysteps.Controlengineering,2020.11.01,Vol.67,No.11,p.35.［17］Thoma,Klaus;Scharte,Benjamin;Hiller,Daniel;Leismann,Tobias.ResilienceEngineeringasPartofSecurityResearch:Definitions,ConceptsandScienceHYPERLINK"/primo_library/libweb/action/display.do?tabs=detailsTab&ct=display&fn=search&doc=TN_cdi_springer_primary_2016_41125_1_1_2&indx=4&recIds=TN_cdi_springer_primary_2016_41125_1_1_2&recIdxs=3&elementId=3&renderMode=poppedOut&displayMode=full&frbrVersion&&vl(12428434UI6)=01&dscnt=0&vl(1UIStartWith0)=contains&vl(1UIStartWith2)=contains&vid=dlut&mode=Advanced&vl(12428438UI6)=2016&vl(boolOperator1)=AND&tab=default_tab&vl(freeText1)&vl(drStartYear6)=2016&dstmp=1638263228565&frbg&vl(12428443UI1)=creato