信息安全工程實(shí)施課件

1、信息安全工程實(shí)施第四章 信息安全工程實(shí)施信息安全工程實(shí)施v4.1 概述概述v4.2 安全規(guī)劃與控制安全規(guī)劃與控制v4.3 安全需求的定義安全需求的定義v4.4 安全設(shè)計(jì)支持安全設(shè)計(jì)支持v4.5 安全運(yùn)行分析安全運(yùn)行分析v4.6 生命周期安全支持生命周期安全支持v4.7 信息安全工程的過程信息安全工程的過程信息安全工程實(shí)施 4.1 概述概述v通過前面章節(jié)的學(xué)習(xí)，我們知道信息安全工程是采用工程的概念、原理、技術(shù)和方法，來研究、開發(fā)、實(shí)施與維護(hù)信息系統(tǒng)安全的過程，v是將經(jīng)過時(shí)間考驗(yàn)證明是正確的工程實(shí)施流程、管理技術(shù)和當(dāng)前能夠得到的最好的技術(shù)方法相結(jié)合的過程。信息安全工程實(shí)施 4.1.1 信息安全工程

2、的重要性v1）信息系統(tǒng)大量用于政府、國防、民用部門和個(gè)人；v2）信息系統(tǒng)存在弱點(diǎn)和漏洞，使用者存在偶然或故意的違規(guī)操作行為，使得信息系統(tǒng)資源隨著訪問的增加而增加了被非法訪問或使用的可能性。v3）技術(shù)的發(fā)展使得信息系統(tǒng)的獲取方式正逐漸從專用系統(tǒng)向集成商用現(xiàn)貨設(shè)備和政府現(xiàn)貨設(shè)備的新方向轉(zhuǎn)移。信息安全工程實(shí)施4.1.2 信息安全工程與系統(tǒng)工程的關(guān)系信息安全工程與系統(tǒng)工程的關(guān)系v信息安全工程并不是一個(gè)獨(dú)立的過程，它依賴并支持系統(tǒng)工程和獲取過程，而且是獲取過程不可分割的一部份。信息安全工程過程的目標(biāo)是提供一個(gè)框架。v每個(gè)工程項(xiàng)目都可以對這個(gè)框架進(jìn)行裁剪以符合自己特定的需求。信息安全工程實(shí)施4.1.2 信

3、息安全工程與系統(tǒng)工程的關(guān)系信息安全工程與系統(tǒng)工程的關(guān)系v信息安全工程是系統(tǒng)安全工程（SSE，System Security Engineering）、系統(tǒng)工程（SE，System Engineering）和系統(tǒng)獲取（SA，System Acquisition）在信息系統(tǒng)安全方面的具體體現(xiàn)。信息安全工程實(shí)施4.1.2 信息安全工程與系統(tǒng)工程的關(guān)系信息安全工程與系統(tǒng)工程的關(guān)系v信息安全工程是對系統(tǒng)工程的一種約束，它需要逐步獲得發(fā)展，并對集成的、生命周期均衡的、v滿足客戶信息系統(tǒng)安全需求的一系列系統(tǒng)產(chǎn)品和過程進(jìn)行驗(yàn)證的解決方案。v信息安全工程列出系統(tǒng)的安全風(fēng)險(xiǎn)，并使這些風(fēng)險(xiǎn)減至最少或得到控制。信息安

4、全工程實(shí)施信息安全工程的貢獻(xiàn)v信息安全工程對安全特性的貢獻(xiàn)如下圖所示：信息安全工程實(shí)施信息安全工程的有關(guān)活動及其貢獻(xiàn)安全風(fēng)險(xiǎn)管理生存周期安全支持安全操作分析和支持安全策劃分析和控制系統(tǒng)安全需求分析和確定安全設(shè)計(jì)支持安全開發(fā)集成系統(tǒng)安全性驗(yàn)證信息安全工程對安全特性的貢獻(xiàn)信息安全工程實(shí)施4.1.3 信息安全工程的生命周期信息安全工程的生命周期v基本信息安全工程的生命周期和執(zhí)行如下圖所示，信息安全工程小組參與下列活動：系統(tǒng)總體規(guī)劃，分析和控制，要求分析，設(shè)計(jì)，開發(fā)/集成，驗(yàn)證，運(yùn)行和對有安全需求的系統(tǒng)提供生命期支持。信息安全工程實(shí)施4.1.3 信息安全工程的生命周期信息安全工程的生命周期v在過程中間

5、階段的前期，信息或概念得到實(shí)現(xiàn)、驗(yàn)證并證實(shí)有效之后即投入長久的運(yùn)行使用；v在過程中期階段的后期，信息或概念被使用、支持，并在必要時(shí)得到修改，最后進(jìn)行部署。信息安全工程實(shí)施4.1.3 信息安全工程的生命周期信息安全工程的生命周期v信息安全工程過程包括了一系列與系統(tǒng)工程的各個(gè)階段和事件相對應(yīng)的安全工程功能。各種功能間的相互協(xié)調(diào)是反復(fù)運(yùn)用下圖的基本過程來實(shí)現(xiàn)的。v下圖中的每一豎格代表生命周期的一個(gè)階段，每一橫格代表了一個(gè)基本的信息安全工程功能。v該圖中兩者的縱橫交叉表明在系統(tǒng)的任一階段，信息安全工程的任何一個(gè)功能都應(yīng)考慮到。信息安全工程實(shí)施先期概念概念要求系統(tǒng)設(shè)計(jì)初步設(shè)計(jì)詳細(xì)設(shè)計(jì)實(shí)現(xiàn)和測試配置追蹤運(yùn)

6、行和支持系統(tǒng)工程的各個(gè)階段安全規(guī)劃控制安全需求定義安全設(shè)計(jì)支持安全運(yùn)行分析生命期安全支持信息安全工程功能任務(wù)需求說明可選系統(tǒng)評審系統(tǒng)需求評審系統(tǒng)功能評審初步設(shè)計(jì)評審關(guān)鍵設(shè)計(jì)評審系統(tǒng)驗(yàn)證評審物理配置評審系統(tǒng)事件安全風(fēng)險(xiǎn)管理信息安全工程實(shí)施4.1.3 信息安全工程的生命周期信息安全工程的生命周期v雖然不同項(xiàng)目中的每一個(gè)階段所花時(shí)間和精力可能不同，但一般統(tǒng)計(jì)情況是大量的精力花在生命期開發(fā)之后，花在系統(tǒng)的運(yùn)行和支持階段，花在大大小小的修改當(dāng)中。信息安全工程實(shí)施4.1.3 信息安全工程的生命周期信息安全工程的生命周期v上圖的信息安全基本功能的活動包括：v（1）對安全活動進(jìn)行規(guī)劃和控制；v（2）安全需求定

7、義；v（3）安全設(shè)計(jì)支持（包括頂層體系定義和對詳細(xì)設(shè)計(jì)實(shí)現(xiàn)的支持）；v（4）安全運(yùn)行分析；v（5）生命期安全支持；v（6）安全風(fēng)險(xiǎn)管理。 信息安全工程實(shí)施4.1.3信息安全工程的生命周期信息安全工程的生命周期v在系統(tǒng)獲取和系統(tǒng)工程生命期的每一個(gè)階段和事件中，以上活動都是并行的，同時(shí)各個(gè)活動之間是互相影響的。v每個(gè)信息安全工程功能至少有以下三種模式：為功能實(shí)現(xiàn)做準(zhǔn)備；實(shí)現(xiàn)功能；當(dāng)系統(tǒng)發(fā)生變動時(shí)或有新情況出現(xiàn)時(shí)，對功能作出相應(yīng)的改動。信息安全工程實(shí)施4.2 安全規(guī)劃與控制安全規(guī)劃與控制v系統(tǒng)和安全項(xiàng)目的管理與規(guī)劃活動，開始于一個(gè)機(jī)構(gòu)從業(yè)務(wù)角度決定承擔(dān)該工程的時(shí)候。它們是信息安全工程過程的基本部分，

8、因此要求它們必須成功。v如果安全規(guī)劃做得好，就能夠?yàn)橄到y(tǒng)把安全需求轉(zhuǎn)換為有效的設(shè)計(jì)與實(shí)現(xiàn)提供堅(jiān)實(shí)的基礎(chǔ)。信息安全工程實(shí)施 4.2 安全規(guī)劃與控制安全規(guī)劃與控制v一項(xiàng)重要的早期活動就是要組成恰當(dāng)?shù)亩鄬W(xué)科信息安全工程小組，以便將相關(guān)學(xué)科綜合和協(xié)調(diào)到規(guī)劃中去。v這包括在較廣泛的系統(tǒng)工程小組內(nèi)確定信息安全工程的需求，并針對這些需求來組建信息安全工程小組。信息安全工程實(shí)施 4.2.1 商業(yè)決策和工程規(guī)劃v在商業(yè)規(guī)劃和決策中，首席信息安全工程師首先閱讀現(xiàn)有程序性文件，并與客戶就可能的小組安排和支持需求進(jìn)行討論，然后據(jù)此準(zhǔn)備一份參與該項(xiàng)目的小組人員配備預(yù)案。信息安全工程實(shí)施 4.2.1 商業(yè)決策和工程規(guī)劃v

9、信息安全工程小組應(yīng)當(dāng)進(jìn)行恰當(dāng)?shù)囊?guī)劃，以便實(shí)現(xiàn)信息安全工程中主要功能中的每一項(xiàng)功能：安全規(guī)劃和控制、安全需求定義，安全風(fēng)險(xiǎn)管理及其相關(guān)的安全驗(yàn)證和證實(shí)活動。信息安全工程實(shí)施4.2.2 信息安全工程小組信息安全工程小組v在規(guī)劃一個(gè)信息系統(tǒng)工程時(shí)，作為商業(yè)規(guī)劃決策的一個(gè)結(jié)果就是要指定信息安全工程小組成員和首席信息系統(tǒng)安全工程師。v在工程的初級階段，作出這個(gè)正式的商業(yè)決策之前，可能由信息系統(tǒng)安全客戶聯(lián)絡(luò)代表來履行信息系統(tǒng)安全工程師的職責(zé)。v在商業(yè)規(guī)劃決策過程中，首席信息安全工程師首先要閱讀現(xiàn)有的程序性文件，并與客戶就可能的小組安排和支持需求進(jìn)行討論，然后據(jù)此準(zhǔn)備一份參與該項(xiàng)目的小組人員配備預(yù)案。信息安

10、全工程實(shí)施 4.2.2 信息安全工程小組信息安全工程小組v首席信息系統(tǒng)安全工程師領(lǐng)導(dǎo)著整個(gè)信息系統(tǒng)安全工程小組，同時(shí)也在廣泛的系統(tǒng)工程小組內(nèi)充當(dāng)首席信息系統(tǒng)安全專家。信息安全工程實(shí)施4.2.2 信息安全工程小組信息安全工程小組v信息安全工程小組所扮演的角色，包括充當(dāng)安全指導(dǎo)和生命期信息系統(tǒng)安全工程師，并由其他小組的信息系統(tǒng)安全技術(shù)專家進(jìn)行協(xié)助。v對于較小的項(xiàng)目，可能要求首席信息安全工程師去充當(dāng)信息安全工程小組的若干甚至是全部的功能角色。信息安全工程實(shí)施4.2.2 信息安全工程小組信息安全工程小組v而對于非常大或急需的項(xiàng)目，則可能需要若干人來扮演信息安全工程小組成員的角色。v信息安全工程小組成員

11、的實(shí)際數(shù)量，基本的信息系統(tǒng)安全人員，以及它們各自的工作水平應(yīng)根據(jù)工程項(xiàng)目的規(guī)模、敏感性和可用資源的相對優(yōu)先權(quán)等的不同而各異。信息安全工程實(shí)施4.2.2 信息安全工程小組信息安全工程小組v在商業(yè)規(guī)劃決策過程中，信息安全工程小組應(yīng)當(dāng)對與支持該計(jì)劃的信息系統(tǒng)安全元素相關(guān)的其它直接費(fèi)用支出作出預(yù)算，v這些費(fèi)用支出可能包括下面幾項(xiàng)：差旅費(fèi)、測試設(shè)備、軟件或設(shè)施費(fèi)用、工程工具費(fèi)用和承包商支持服務(wù)費(fèi)用。信息安全工程實(shí)施4.2.2 信息安全工程小組信息安全工程小組v在項(xiàng)目開發(fā)初期，信息安全工程小組應(yīng)該做的也是最重要的事情之一就是要同客戶方建立積極的工作關(guān)系和良好的通信聯(lián)絡(luò)。v其目的是為了理解項(xiàng)目的目標(biāo)、費(fèi)用和

12、進(jìn)度參數(shù)，項(xiàng)目的獲取和工程方法以及系統(tǒng)工程和獲取小組結(jié)構(gòu)等。信息安全工程實(shí)施4.2.2 信息安全工程小組信息安全工程小組v信息安全工程小組需要同客戶在下面兩個(gè)方面達(dá)成相互理解：一是信息安全工程小組在系統(tǒng)工程和獲取過程中的作用；v二是它應(yīng)當(dāng)如何與系統(tǒng)用戶、系統(tǒng)開發(fā)/集成小組和C&A小組進(jìn)行最佳的相互協(xié)作。信息安全工程實(shí)施 4.2.2 信息安全工程小組信息安全工程小組v為了提供覆蓋系統(tǒng)整個(gè)生命期的信息系統(tǒng)安全工程，至少應(yīng)當(dāng)在初始開發(fā)周期即將完結(jié)的時(shí)候指定生命期信息系統(tǒng)安全工程師（LCIE，Life-Cycle INFOSEC Engineer），vLCIE可以由來自信息安全工程小組的原派出

13、機(jī)構(gòu)的人員或其他安全人員以及來自客戶或最終用戶機(jī)構(gòu)的人員來充當(dāng)。信息安全工程實(shí)施 4.2.2 信息安全工程小組信息安全工程小組v理想情況下，在并行支持工程能力上，LCIE應(yīng)當(dāng)是信息安全工程小組在整個(gè)系統(tǒng)生命期中一個(gè)不可分割的部分。v隨著系統(tǒng)進(jìn)入運(yùn)行和支持階段，LCIE接管信息系統(tǒng)安全小組的領(lǐng)導(dǎo)權(quán)。vLCIE也可以像前階段的首席信息安全工程專家一樣，在需要時(shí)由其他技術(shù)專家進(jìn)行協(xié)助。信息安全工程實(shí)施4.2.3 對認(rèn)證和認(rèn)可（對認(rèn)證和認(rèn)可（C&A）的信息）的信息安全工程輸入規(guī)劃安全工程輸入規(guī)劃v信息安全工程小組應(yīng)當(dāng)同客戶一起工作，以便在盡可能早的最初階段確認(rèn)系統(tǒng)的指定批準(zhǔn)機(jī)構(gòu)和其他的安全C&

14、amp;A小組參與者，v然后再同C&A小組一起工作以便定義和規(guī)劃信息安全工程對C&A的支持內(nèi)容。v雖然主要是系統(tǒng)項(xiàng)目辦事機(jī)構(gòu)同C&A小組聯(lián)系，但信息安全工程小組也將同他們直接接觸。信息安全工程實(shí)施4.2.3 對認(rèn)證和認(rèn)可（對認(rèn)證和認(rèn)可（C&A）的信息）的信息安全工程輸入規(guī)劃安全工程輸入規(guī)劃v安全認(rèn)證（Security Certification）是對一個(gè)系統(tǒng)在技術(shù)上的和非技術(shù)上的安全特征，以及其他保護(hù)措施綜合進(jìn)行的獨(dú)立評估，v目的是確定特定系統(tǒng)在所處環(huán)境條件下的使用滿足指定安全需求集合的程度。信息安全工程實(shí)施 4.2.3 對認(rèn)證和認(rèn)可（對認(rèn)證和認(rèn)可（C&

15、A）的信息）的信息安全工程輸入規(guī)劃安全工程輸入規(guī)劃v理想條件下，認(rèn)證活動應(yīng)分步在系統(tǒng)整個(gè)生命期的各個(gè)階段。安全認(rèn)證同安全驗(yàn)證和風(fēng)險(xiǎn)評估相互聯(lián)系，應(yīng)當(dāng)在整個(gè)系統(tǒng)生命期內(nèi)由C&A負(fù)責(zé)人員不斷地評審和修正。vC&A過程中的認(rèn)證階段應(yīng)包括一份系統(tǒng)分析說明，以確認(rèn)在特定環(huán)境下運(yùn)行一個(gè)具有特定對抗措施的系統(tǒng)時(shí)可能出現(xiàn)的安全風(fēng)險(xiǎn)。信息安全工程實(shí)施 4.2.3 對認(rèn)證和認(rèn)可（對認(rèn)證和認(rèn)可（C&A）的信息）的信息 安全工程輸入規(guī)劃安全工程輸入規(guī)劃v安全認(rèn)可（Security Accreditation）的規(guī)劃也應(yīng)當(dāng)在系統(tǒng)生命期的開始階段完成。v安全認(rèn)可是由獨(dú)立的指定批準(zhǔn)機(jī)構(gòu)給出的正式安全

16、聲明，v即聲明一個(gè)系統(tǒng)如果是在使用指定保護(hù)措施集合的特定環(huán)境內(nèi)運(yùn)行，那么是獲得批準(zhǔn)的，而且認(rèn)可應(yīng)強(qiáng)調(diào)以認(rèn)證期間所識別的殘留安全風(fēng)險(xiǎn)為基礎(chǔ)。信息安全工程實(shí)施4.2.3 對認(rèn)證和認(rèn)可（對認(rèn)證和認(rèn)可（C&A）的信息）的信息安全工程輸入規(guī)劃安全工程輸入規(guī)劃v如果C&A小組或系統(tǒng)項(xiàng)目辦事機(jī)構(gòu)沒有特別要求的話，v信息安全工程小組應(yīng)當(dāng)努力提供C&A所必需的全部信息系統(tǒng)安全信息和產(chǎn)品，以成功地完成安全認(rèn)證工作項(xiàng)目并取得有利的安全認(rèn)可決策。信息安全工程實(shí)施4.2.3 對認(rèn)證和認(rèn)可（對認(rèn)證和認(rèn)可（C&A）的信息）的信息安全工程輸入規(guī)劃安全工程輸入規(guī)劃v信息安全工程小組提供給C&am

17、p;A的東西包括：v（1）安全目標(biāo)和需求陳述；v（2）安全保證規(guī)劃；v（3）安全威脅分析結(jié)果；v（4）安全相關(guān)的設(shè)計(jì)信息，包括接口規(guī)范；v（5）與外部系統(tǒng)接口相互作用的信息（從對這些系統(tǒng)的功能、性能和安全情況的觀察中得到）；v（6）需求驗(yàn)證可跟蹤模版或別的相關(guān)決策數(shù)據(jù)庫信息；v（7）系統(tǒng)安全運(yùn)行計(jì)劃、方案和其他分析；v（8）生命期安全支持計(jì)劃；信息安全工程實(shí)施4.2.3 對認(rèn)證和認(rèn)可（對認(rèn)證和認(rèn)可（C&A）的信息）的信息安全工程輸入規(guī)劃安全工程輸入規(guī)劃v（9）安全測試或其他驗(yàn)證計(jì)劃和數(shù)據(jù)；v（10）安全風(fēng)險(xiǎn)評估/風(fēng)險(xiǎn)評審報(bào)告；v（11）適用的產(chǎn)品安全特性文件和產(chǎn)品安全評估報(bào)告；v（12

18、）合適時(shí)，參與C&A相關(guān)的工作組；v（13）系統(tǒng)安全評估和描述判決的輪廓（只有已完成時(shí)才做）。信息安全工程實(shí)施4.2.3 對認(rèn)證和認(rèn)可（對認(rèn)證和認(rèn)可（C&A）的信息）的信息安全工程輸入規(guī)劃安全工程輸入規(guī)劃v既然安全C&A僅僅是系統(tǒng)總體過渡為運(yùn)行和支持中的一部分，那么信息安全工程也應(yīng)當(dāng)注意了解其他形式的系統(tǒng)驗(yàn)收準(zhǔn)備與決策，并提供恰當(dāng)輸入。信息安全工程實(shí)施4.2.4 信息安全工作報(bào)告信息安全工作報(bào)告 v1用戶用戶/同級小組報(bào)告同級小組報(bào)告v2組織的管理報(bào)告組織的管理報(bào)告信息安全工程實(shí)施1用戶用戶/同級小組報(bào)告同級小組報(bào)告v信息安全工程小組應(yīng)當(dāng)向客戶提供一致的工作情況和進(jìn)展的

19、信息，并快速地傳達(dá)那些應(yīng)當(dāng)進(jìn)行討論或應(yīng)當(dāng)提請客戶注意的問題。v如果沒有更多要求或不需要結(jié)構(gòu)性調(diào)整，則建議信息安全工程小組每月要同至少包括系統(tǒng)項(xiàng)目辦事機(jī)構(gòu)（或者加上C&A參與者）在內(nèi)的同級工程小組進(jìn)行多次聯(lián)系。信息安全工程實(shí)施 1用戶用戶/同級小組報(bào)告同級小組報(bào)告v在合適的時(shí)候，作為定期現(xiàn)場訪問或是工程技術(shù)評審，信息安全工程小組也需要親自向客戶定期陳述工作情況。v這些將有助于在項(xiàng)目實(shí)施中進(jìn)行修正，或提供技術(shù)信息和共同討論問題（例如關(guān)于安全風(fēng)險(xiǎn)評估團(tuán)評估簡報(bào)）。v信息安全工程小組可能希望采用用戶同意的技術(shù)說明方法來完成進(jìn)展報(bào)告，同時(shí)也幫助自己跟蹤項(xiàng)目進(jìn)展情況。信息安全工程實(shí)施2組織的管理報(bào)

20、告組織的管理報(bào)告v除了上述向用戶提供的報(bào)告外，信息安全工程小組應(yīng)當(dāng)在每一次重要項(xiàng)目階段評審之前為組織的管理人員整理出恰當(dāng)?shù)暮唸?bào)v（例如：對比性系統(tǒng)評審，初步設(shè)計(jì)評審等），以便為他們提供相應(yīng)的技術(shù)和情況的信息。v簡報(bào)的頻度、內(nèi)容和管理等級將因情況而異，并需進(jìn)行合適的裁剪。信息安全工程實(shí)施 2組織的管理報(bào)告組織的管理報(bào)告v簡報(bào)應(yīng)當(dāng)證明信息安全工程小組遵循了原定的信息安全工程過程，而且應(yīng)當(dāng)向管理部門提供有關(guān)工作質(zhì)量和成果方面的一些建議。v在項(xiàng)目的初期，要討論簡報(bào)如何裁剪信息安全工程過程以適合客戶項(xiàng)目需求，v其后的簡報(bào)應(yīng)當(dāng)確定信息安全工程小組已經(jīng)完成了的活動，并于先前簡報(bào)中的工作計(jì)劃進(jìn)行比較。信息安全

21、工程實(shí)施 2組織的管理報(bào)告組織的管理報(bào)告v其他信息可能包括：v（1）收到的用戶對有關(guān)信息系統(tǒng)安全支持和成果方面的反饋意見；v（2）系統(tǒng)描述（如高層次方框圖）；v（3）建議的安全方案（即如何滿足用戶的安全能力需求，什么樣的產(chǎn)品將提供哪些安全服務(wù)，已經(jīng)選擇了什么樣的安全保證措施等）；v（4）安全風(fēng)險(xiǎn)評估結(jié)果（包括系統(tǒng)的安全風(fēng)險(xiǎn)程度）以及用戶、C&A小組關(guān)于這些問題的看法和決策；信息安全工程實(shí)施2組織的管理報(bào)告組織的管理報(bào)告v（5）進(jìn)度；v（6）信息安全工程人員配置和其他資源問題；v（7）技術(shù)策略變化或根據(jù)早期簡報(bào)得出的風(fēng)險(xiǎn)數(shù)據(jù)。v根據(jù)簡報(bào)，管理部門應(yīng)當(dāng)能夠斷定經(jīng)過裁剪的過程是否適用，客戶是

22、否滿意信息安全工程小組的工作。信息安全工程實(shí)施4.2.5 技術(shù)數(shù)據(jù)庫和工具技術(shù)數(shù)據(jù)庫和工具v1決策數(shù)據(jù)庫v決策數(shù)據(jù)庫是系統(tǒng)工程數(shù)據(jù)的集合。它提供從最初陳述的需求到現(xiàn)行系統(tǒng)產(chǎn)品和過程描述的審計(jì)線索。v這種審計(jì)線索既可以是非正式記錄，也可以是非常復(fù)雜的、由多人小組通過網(wǎng)絡(luò)維護(hù)的再線工程數(shù)據(jù)庫。這取決于工程項(xiàng)目的復(fù)雜性和合適的方式。信息安全工程實(shí)施1決策數(shù)據(jù)庫v決策數(shù)據(jù)庫應(yīng)該包含如下一些內(nèi)容：v（1）集成的系統(tǒng)需求并進(jìn)行分配給配置項(xiàng)目；v（2）接口的限制和需求；v（3）系統(tǒng)概念、初步設(shè)計(jì)和詳細(xì)設(shè)計(jì)級的可選擇方案；v（4）選定設(shè)計(jì)的全部文檔；v（5）驗(yàn)證；信息安全工程實(shí)施 1決策數(shù)據(jù)庫v（6）決策標(biāo)準(zhǔn)

23、；v（7）折中研究評估；v（8）原理圖集；v（9）模型和仿真；v（10）設(shè)計(jì)圖與詳圖；v（11）配置文檔和變化控制手段；v（12）可跟蹤審計(jì)線索。信息安全工程實(shí)施 2知識庫的增長和知識庫的增長和“重用重用”v為了促使信息安全工程過程成為更有效、更正規(guī)的工程實(shí)踐，信息安全工程小組應(yīng)當(dāng)從“信息系統(tǒng)安全”知識庫吸取知識并給它增加知識。信息安全工程實(shí)施 2知識庫的增長和知識庫的增長和“重用重用”v這些渠道包括：v（1）同工作中心的同級人員、高級技術(shù)領(lǐng)導(dǎo)等可以非正式地分享信息安全工程思想、經(jīng)驗(yàn)和輸出。v（2）傳播經(jīng)過質(zhì)量檢查的“運(yùn)用示例”。如安全需求說明、設(shè)計(jì)方案和體系結(jié)構(gòu)分析、安全風(fēng)險(xiǎn)評估/風(fēng)險(xiǎn)評審報(bào)

24、告等。v（3）給更集中的連機(jī)（在線）資料庫進(jìn)行數(shù)據(jù)輸入，如輸入與特定安全威脅、弱點(diǎn)、漏洞、應(yīng)對措施和攻擊等有關(guān)的數(shù)據(jù)項(xiàng)。信息安全工程實(shí)施2知識庫的增長和知識庫的增長和“重用重用”v（4）列出參考目錄和參考資源的工作幫助信息。v（5）專業(yè)技術(shù)和工具。v（6）經(jīng)驗(yàn)報(bào)告（關(guān)于成功的和不成功的活動經(jīng)驗(yàn)）。v（7）豐富信息安全工程培訓(xùn)課程所使用的經(jīng)驗(yàn)和信息。v（8）張貼在電子公告牌上的非正式評注。v（9）較正式發(fā)行的關(guān)于“如何做”的指南和技術(shù)論文。信息安全工程實(shí)施 3工具的選擇和使用工具的選擇和使用v可能影響信息安全工程功能的技術(shù)規(guī)劃的問題就是對自動化工程工具的選擇和使用問題。v在可能的地方，信息安全工

25、程小組應(yīng)當(dāng)使用與系統(tǒng)項(xiàng)目辦事機(jī)構(gòu)、系統(tǒng)開發(fā)/集成小組直接兼容的文字處理和技術(shù)工具實(shí)現(xiàn)信息共享。信息安全工程實(shí)施 3工具的選擇和使用工具的選擇和使用v這種兼容性可以通過使用完全相同的產(chǎn)品集，和/或通過使用在不同產(chǎn)品和環(huán)境之間的數(shù)據(jù)交換來實(shí)現(xiàn)。v信息安全工程小組應(yīng)當(dāng)能夠以恰當(dāng)?shù)臄?shù)字格式向其他的小組成員提供信息，也應(yīng)當(dāng)能夠接收合作伙伴的數(shù)字格式信息。信息安全工程實(shí)施4.2.6 與獲取與獲取/簽約有關(guān)的規(guī)劃簽約有關(guān)的規(guī)劃v1獲取獲取/采購策略采購策略v2預(yù)規(guī)劃的產(chǎn)品（預(yù)規(guī)劃的產(chǎn)品（P3I）改進(jìn)策略（）改進(jìn)策略（Pre-planned Product Improvement Strategy）信息安全工

26、程實(shí)施 1獲取獲取/采購策略采購策略v開始建立新系統(tǒng)和改進(jìn)現(xiàn)用系統(tǒng)必然遇到的普遍性問題，是選擇一個(gè)最適合的獲取策略和運(yùn)行環(huán)境。v基本的問題包括：組織機(jī)構(gòu)是自己組織購買要獲取的項(xiàng)目，還是通過諸如新合同、修訂合同或者雇請承包商按照現(xiàn)有“一攬子”合同訂單間接購買。v規(guī)劃工作應(yīng)當(dāng)仔細(xì)地檢查信息安全工程小組同系統(tǒng)項(xiàng)目辦事機(jī)構(gòu)所雇用的任何承包商之間的關(guān)系，以及信息安全工程小組自身可能需要承包商支持的程度。信息安全工程實(shí)施 1獲取獲取/采購策略采購策略v需要考慮的問題包括：v（1）支持系統(tǒng)項(xiàng)目辦事機(jī)構(gòu)所需的技術(shù)任務(wù)，參與信息安全工程小組以及組織和承包商團(tuán)隊(duì)之間的折中方案。v（2）選擇最合適的承包合同類型。信

27、息安全工程實(shí)施 1獲取獲取/采購策略采購策略v（3）信息安全工程小組在恰當(dāng)?shù)臅r(shí)候參與對承包合同的監(jiān)控v（例如，信息安全工程小組的人充當(dāng)項(xiàng)目招標(biāo)官員的代表，信息安全工程小組的人在合適時(shí)參與獎金的評估）。v（4）信息安全工程小組為支持承包合同相關(guān)活動所必需的滿足的差旅需求。信息安全工程實(shí)施 1獲取獲取/采購策略采購策略v（5）對合同的作業(yè)陳述提供信息安全工程輸入和注釋的進(jìn)度和方式，v包括必要的信息系統(tǒng)安全折中方案研究、獨(dú)立的驗(yàn)證和證實(shí)活動等方面的輸入。信息安全工程實(shí)施 1獲取獲取/采購策略采購策略v（6）把信息系統(tǒng)安全的輸入提煉成合同上的系統(tǒng)技術(shù)規(guī)范。v（7）對每個(gè)相關(guān)合同或業(yè)務(wù)訂單的合同數(shù)據(jù)需求

28、的輸入，包括對數(shù)據(jù)項(xiàng)說明和對合同作業(yè)陳述語言的恰當(dāng)補(bǔ)充。信息安全工程實(shí)施1獲取獲取/采購策略采購策略v（8）源識別和選擇的制約。例如：v 將信息安全工程需求導(dǎo)入源識別的市場調(diào)查中，因?yàn)楹贤顒硬⒉皇苋娓偁幍挠绊?。v （技術(shù)）“白皮書”的審核。v 將信息安全工程需求導(dǎo)入到建議的準(zhǔn)備指令中，包括對任何信息系統(tǒng)安全建議內(nèi)容的指令。信息安全工程實(shí)施1獲取獲取/采購策略采購策略v 將信息安全工程需求導(dǎo)入到源選擇規(guī)劃中，包括在信息系統(tǒng)安全和信息安全工程領(lǐng)域篩選提議者的準(zhǔn)則，以及評估提議者技術(shù)建議的安全方面問題的準(zhǔn)則。v 信息安全工程小組作為源選擇委員會的成員參與工作（至少參與評估上述面向技術(shù)和協(xié)作能力的

29、方案選擇）。信息安全工程實(shí)施1獲取獲取/采購策略采購策略v（9）將信息系統(tǒng)安全需求輸入到技術(shù)性能的度量集合中。v（10）合同的安全技術(shù)規(guī)范需求供承包商使用的安全分類指南，承包商個(gè)人許可證需求等。信息安全工程實(shí)施 2預(yù)規(guī)劃的產(chǎn)品改進(jìn)策略預(yù)規(guī)劃的產(chǎn)品改進(jìn)策略(P3I)v預(yù)規(guī)劃的產(chǎn)品改進(jìn)策略，是對已完成系統(tǒng)所作的已規(guī)劃的改進(jìn)策略。它把具有重大風(fēng)險(xiǎn)或延誤（或當(dāng)時(shí)無法負(fù)擔(dān)的支出）的因素推后。v雖然被推遲的因素在并行或其后的工作項(xiàng)目中才能進(jìn)行開發(fā)，但是該系統(tǒng)還是可以投入使用。v這樣，當(dāng)被推遲的因素在后來變得可實(shí)現(xiàn)時(shí)，就可以把它非常方便地結(jié)合進(jìn)來。信息安全工程實(shí)施 2預(yù)規(guī)劃的產(chǎn)品改進(jìn)策略預(yù)規(guī)劃的產(chǎn)品改進(jìn)策略

30、(P3I)v信息安全工程小組和LCIE有時(shí)需要支持用戶去準(zhǔn)備預(yù)規(guī)劃的產(chǎn)品改進(jìn)策略。v這些改進(jìn)策略可能包括找到可作出若干變更以降低安全風(fēng)險(xiǎn)的情況，v而減低這些安全風(fēng)險(xiǎn)的措施由于費(fèi)用、進(jìn)度，技術(shù)或其他限制在當(dāng)前開發(fā)周期內(nèi)無法使其實(shí)現(xiàn)。信息安全工程實(shí)施4.2.7 信息系統(tǒng)安全保證規(guī)劃信息系統(tǒng)安全保證規(guī)劃v與信息系統(tǒng)安全相關(guān)的保證技術(shù)，被用來把安全功能需求同相關(guān)聯(lián)的可測量的強(qiáng)度和/或信任級別結(jié)合在一起。v實(shí)現(xiàn)安全保證的技術(shù)包括測試、分析、過程控制、評審和其他開發(fā)以及獨(dú)立的驗(yàn)證和證實(shí)實(shí)施。信息安全工程實(shí)施4.2.7 信息系統(tǒng)安全保證規(guī)劃信息系統(tǒng)安全保證規(guī)劃v總之，安全保證規(guī)劃應(yīng)當(dāng)反映一種方法，用以確定用

31、戶重視些什么，如何將它們劃分等級，然后如何保證給予它們同其等級的項(xiàng)目相當(dāng)?shù)谋Ｗo(hù)。v信息安全工程小組應(yīng)當(dāng)幫助制定系統(tǒng)安全保證規(guī)劃。這種安全保證規(guī)劃信息應(yīng)當(dāng)反復(fù)地包含在恰當(dāng)?shù)南到y(tǒng)文檔中。信息安全工程實(shí)施4.2.7 信息系統(tǒng)安全保證規(guī)劃信息系統(tǒng)安全保證規(guī)劃v由于并非構(gòu)成系統(tǒng)的所有功能都要求相同的強(qiáng)度和可信度，所以安全保證規(guī)劃應(yīng)當(dāng)明確指出保證等級（例如高、中、低的安全保證等級），并描述每個(gè)級別的相關(guān)技術(shù)集合或其他標(biāo)準(zhǔn)。v還要描述集中應(yīng)用該技術(shù)集合提供期望的安全強(qiáng)度和可信度的一個(gè)特定環(huán)境。信息安全工程實(shí)施4.2.7 信息系統(tǒng)安全保證規(guī)劃信息系統(tǒng)安全保證規(guī)劃v為了確定這個(gè)安全保證等級，信息安全工程小組必須

32、同客戶一起工作以確定一個(gè)負(fù)面（即違背安全需求）的安全結(jié)果（即事件/后果）清單，v對清單進(jìn)行排列并將其分為若干類別，每個(gè)類別都要求有自己清晰的安全可信級別，以保證在這個(gè)級別上負(fù)面事件將不會出現(xiàn)。信息安全工程實(shí)施4.2.7 信息系統(tǒng)安全保證規(guī)劃信息系統(tǒng)安全保證規(guī)劃v負(fù)面事件清單可以包括：“非法泄漏核武器發(fā)射程序給確定的、手段精良的敵對方”，“非法泄露機(jī)密信息給在一定程度上受到刺激的、未取得許可證的用戶”，等。v防御這些事件的安全需求可以分類為高、中、低等安全保證級別。信息安全工程實(shí)施4.2.7 信息系統(tǒng)安全保證規(guī)劃信息系統(tǒng)安全保證規(guī)劃v在這組標(biāo)準(zhǔn)或等級的其他現(xiàn)代標(biāo)準(zhǔn)可以使用之前，v仍可使用具有把保

33、證機(jī)制配置到分組類別上的一些現(xiàn)行通用標(biāo)準(zhǔn)。信息安全工程實(shí)施 4.3 安全需求的定義安全需求的定義v4.3.1 系統(tǒng)需求定義概述系統(tǒng)需求定義概述v4.3.2 安全需求分析的一般課題安全需求分析的一般課題v4.3.3 安全需求定義概述安全需求定義概述v4.3.4 信息安全工程的需求活動信息安全工程的需求活動 信息安全工程實(shí)施 4.3.1 系統(tǒng)需求定義概述v1.系統(tǒng)級運(yùn)行需求定義v在一個(gè)項(xiàng)目生命的先期概念階段，將定義和文檔化的新系統(tǒng)能力相關(guān)聯(lián)的業(yè)務(wù)需求。v相應(yīng)地，業(yè)務(wù)能力需求定義可認(rèn)為是描述機(jī)構(gòu)的運(yùn)行作業(yè)或問題，v而且這些問題通過現(xiàn)有能力或完全使用非技術(shù)性手段在目前是無法解決的。信息安全工程實(shí)施 2

34、.系統(tǒng)級需求分析和規(guī)范v系統(tǒng)級需求分析和規(guī)范是為了確定系統(tǒng)每個(gè)主要功能的安全需求和其他需求，并用無歧義的可試驗(yàn)術(shù)語說明這些需求。v需求分析的結(jié)果將通過運(yùn)行需求文檔（Operational Requirement Document，ORD）進(jìn)行文檔化，并應(yīng)該在“系統(tǒng)規(guī)范”中以更詳細(xì)的方式文檔化。信息安全工程實(shí)施 3. 系統(tǒng)需求定義和可跟蹤性v“需求分析”被定義為對系統(tǒng)特有特性的確定。這種確定基于對客戶需求、要求和目標(biāo)、業(yè)務(wù)、人、產(chǎn)品和過程的預(yù)期使用環(huán)境、限制和效率等的分析。v這種活動的輸出應(yīng)當(dāng)是一組恰當(dāng)?shù)男枨箨愂觯瑢τ脩羰强衫斫獠⒌玫接脩敉獾?，信息安全工程?shí)施 3. 系統(tǒng)需求定義和可跟蹤性v與

35、此同時(shí)，v對于大型需求集合，自動化工具用于跟蹤數(shù)據(jù)的維護(hù)和驗(yàn)證；對于簡單工程項(xiàng)目，人工維護(hù)需求驗(yàn)證可跟蹤模板就可滿足要求。v需求的可跟蹤性，應(yīng)當(dāng)由與負(fù)責(zé)系統(tǒng)開發(fā)者/集成者無關(guān)的人員來認(rèn)真地完成或至少是由他們進(jìn)行審計(jì)。信息安全工程實(shí)施 4.3.2 安全需求分析的一般課題v1.安全規(guī)則和政策解釋v首次信息系統(tǒng)安全需求分析活動，應(yīng)當(dāng)包括全面審查和考慮一切適用的，與有關(guān)安全標(biāo)準(zhǔn)或目標(biāo)體系結(jié)構(gòu)相符合的規(guī)則和政策性指令。v在這個(gè)步驟里，需要對由國家、國際機(jī)構(gòu)、地方和企業(yè)發(fā)布的保護(hù)涉密的和非涉密信息的強(qiáng)制性等進(jìn)行分析和解釋。信息安全工程實(shí)施 4.3.2 安全需求分析的一般課題v2. 安全威脅評估安全威脅被定

36、義為：敵對方經(jīng)過深思熟慮，利用那些可能對信息或系統(tǒng)造成損害的條件、能力、意圖和方法。v信息安全工程小組應(yīng)當(dāng)同用戶一道工作，以幫助它們在“系統(tǒng)威脅評估報(bào)告”內(nèi)準(zhǔn)確全面的描述有關(guān)對信息系統(tǒng)安全的威脅。信息安全工程實(shí)施 4.3.2 安全需求分析的一般課題v3. 任務(wù)安全目標(biāo)v一般來說，安全目標(biāo)最好是由系統(tǒng)用戶陳述，但信息安全工程小組應(yīng)當(dāng)理解安全目標(biāo)的細(xì)節(jié)，并且在用戶需要的時(shí)候提供幫助。v如果用戶沒有陳述出安全目標(biāo)時(shí)，信息安全工程小組應(yīng)當(dāng)能夠通過回溯追蹤需求的層次結(jié)構(gòu)，以發(fā)現(xiàn)客戶的基本安全理由和最終安全目標(biāo)。信息安全工程實(shí)施 4.3.2 安全需求分析的一般課題v4. 安全服務(wù)分類v安全服務(wù)應(yīng)當(dāng)考慮與業(yè)

37、務(wù)需求和威脅密切相關(guān)的內(nèi)容，其中威脅是在系統(tǒng)闡述安全目標(biāo)和安全需求過程中的根據(jù)。v5. 信息流向及功能和價(jià)值v為了定義恰當(dāng)?shù)陌踩繕?biāo)，能力需求，以及有效的表達(dá)用戶所需安全的系統(tǒng)需求，必須識別和分析有系統(tǒng)處理或存儲信息的功能、流向和價(jià)值。信息安全工程實(shí)施4.3.3 安全需求定義概述安全需求定義概述v1同安全有關(guān)的運(yùn)行需求分析同安全有關(guān)的運(yùn)行需求分析v2信息安全工程需求活動信息安全工程需求活動v3安全性能和保障需求安全性能和保障需求信息安全工程實(shí)施 1同安全有關(guān)的運(yùn)行需求分析同安全有關(guān)的運(yùn)行需求分析v業(yè)務(wù)和運(yùn)行需求是對用戶需求的說明，并且必須用來指導(dǎo)項(xiàng)目辦事機(jī)構(gòu)和工程小組進(jìn)行后續(xù)開發(fā)工作。v最重要

38、的問題是，所涉及的人或機(jī)構(gòu)（例如：用戶、獲取機(jī)構(gòu)、C&A代表、信息安全工程小組）要意識到這些都是用戶自己的需求，而非項(xiàng)目辦事機(jī)構(gòu)或工程人員的需求。信息安全工程實(shí)施1同安全有關(guān)的運(yùn)行需求分析同安全有關(guān)的運(yùn)行需求分析v為了對來自廣泛業(yè)務(wù)能力需求中與安全相關(guān)的系統(tǒng)運(yùn)行需求進(jìn)行更為充分的定義，v信息安全工程小組應(yīng)當(dāng)對業(yè)務(wù)能力需求，國家的、本地的和商業(yè)企業(yè)的適用安全政策，業(yè)務(wù)目標(biāo)/安全目標(biāo)以及安全威脅進(jìn)行評審。信息安全工程實(shí)施1同安全有關(guān)的運(yùn)行需求分析同安全有關(guān)的運(yùn)行需求分析v為了給一個(gè)系統(tǒng)概念定義恰當(dāng)?shù)倪\(yùn)行安全需求，v對信息安全工程小組同樣重要的是理解其他適用的（非安全）能力目標(biāo)，以及為滿足總

39、體能力需求而制定的獲取范圍（成本、進(jìn)度、風(fēng)險(xiǎn)、組隊(duì)方式）。v為了取得成功，所有這些都必須處于平衡狀態(tài)。在開始正式的工程需求分析之前，安全能力需求必須轉(zhuǎn)換為一組運(yùn)行功能需求和性能需求與約束。信息安全工程實(shí)施 2信息安全工程需求活動信息安全工程需求活動v信息安全工程小組的需求分析活動應(yīng)該從評審和更新先前的分析（業(yè)務(wù)、威脅等）開始，提煉出業(yè)務(wù)和環(huán)境定義，從而支持對每一項(xiàng)功能建立起安全需求。信息安全工程實(shí)施 2信息安全工程需求活動信息安全工程需求活動v隨著安全需求從頂層需求向更精確的具體需求轉(zhuǎn)化，必須對它們作出最充分的定義，以使系統(tǒng)概念和體系結(jié)構(gòu)的可選擇方案能夠得到開發(fā)，并能在集成的并發(fā)工作過程內(nèi)進(jìn)行

40、比較。v從安全目標(biāo)、國家政策和整個(gè)設(shè)計(jì)過程的其他輸入中反復(fù)地導(dǎo)出系統(tǒng)、后繼的配置項(xiàng)目（CI）和組件安全需求的過程，如下圖所示。信息安全工程實(shí)施任務(wù)信息威脅分析法規(guī)和政策安全能力需求系統(tǒng)約束條件系統(tǒng)安全需求CI約束條件組件約束條件CI安全需求系統(tǒng)設(shè)計(jì)活動體系結(jié)構(gòu)開發(fā)風(fēng)險(xiǎn)分析折中分析改進(jìn)要求CI設(shè)計(jì)活動體系結(jié)構(gòu)開發(fā)風(fēng)險(xiǎn)分析折中分析組件安全需求組件安全需求改進(jìn)要求組件設(shè)計(jì)活動體系結(jié)構(gòu)開發(fā)風(fēng)險(xiǎn)分析折中分析改進(jìn)要求CI規(guī)范系統(tǒng)規(guī)范組件規(guī)范圖 安全需求的開發(fā)信息安全工程實(shí)施 2信息安全工程需求活動信息安全工程需求活動v信息安全工程必須協(xié)同客戶分析安全需求，從而確定這些需求是否確實(shí)是有效的需求。信息安全工程

41、實(shí)施3安全性能和保障需求安全性能和保障需求v信息安全工程小組還必須識別同安全功能需求目標(biāo)相關(guān)聯(lián)的性能需求，這通常應(yīng)當(dāng)采用若干種需求表達(dá)形式。v（1）功能/性能需求v對與功能性安全需求相連的性能需求，可以在條件允許情況下直接寫出，或者參照初步設(shè)計(jì)過程中的與已定義安全保證類相關(guān)聯(lián)的開發(fā)條款來確定。信息安全工程實(shí)施 3安全性能和保障需求安全性能和保障需求v（2）設(shè)計(jì)需求v隨著系統(tǒng)功能被分解，在安全保證規(guī)劃中形成的負(fù)面事件清單也被分解。v信息安全工程審視每個(gè)子功能的潛在錯誤特性，并把這些負(fù)面事件映射到先前確定的安全保證級別上。v當(dāng)分解完成時(shí)，便可以對每個(gè)最底層子功能分配設(shè)計(jì)需求所需的信任級別。信息安全

42、工程實(shí)施4.3.4 信息安全工程的需求活動信息安全工程的需求活動v1先期概念階段和概念階段先期概念階段和概念階段信息安全工程的信息安全工程的需求活動需求活動v這些早期階段的著重點(diǎn)是：使用用戶語言準(zhǔn)確地抓住用戶的頂層安全需求和約束；識別和解決信息系統(tǒng)安全需求和其他系統(tǒng)需求之間的相互依賴性和折中方案，包括接口/環(huán)境驅(qū)動的需求；信息安全工程實(shí)施 1先期概念階段和概念階段先期概念階段和概念階段信信息安全工程的需求活動息安全工程的需求活動v在正常情況下至少要對正在系統(tǒng)的每一個(gè)系統(tǒng)概念開發(fā)出一組粗略的預(yù)期需求。v對于已采用的概念，這種早期的需求集合將被變換為經(jīng)過批準(zhǔn)的運(yùn)行需求文件，用于說明功能和性能需求。

43、v關(guān)鍵目標(biāo)是保證所定義的系統(tǒng)安全需求集合是必不可少的和充分的。信息安全工程實(shí)施1先期概念階段和概念階段先期概念階段和概念階段信信息安全工程的需求活動息安全工程的需求活動v到概念階段完結(jié)的時(shí)候，項(xiàng)目的技術(shù)范圍、成本范圍和進(jìn)度范圍，v粗略的系統(tǒng)運(yùn)行概念和體系結(jié)構(gòu)、運(yùn)行需求文檔等，其初級形式應(yīng)當(dāng)全部被確定下來。信息安全工程實(shí)施2需求階段需求階段信息安全工程的需信息安全工程的需求活動求活動v在這個(gè)階段，系統(tǒng)工程師通過完成初步的正規(guī)化分析和規(guī)范來確定系統(tǒng)需求的基線，在“系統(tǒng)需求評審”中這些需求將獲得批準(zhǔn)，并制定出系統(tǒng)規(guī)范草案。v該需求將定義系統(tǒng)必須完成的功能和受到的約束。v系統(tǒng)規(guī)范反映這些系統(tǒng)需求在一系

44、列功能領(lǐng)域的配置，例如數(shù)據(jù)管理、安全、可靠性和可維護(hù)性、用戶接口等。信息安全工程實(shí)施 2需求階段需求階段信息安全工程的信息安全工程的需求活動需求活動v系統(tǒng)工程師將設(shè)置一個(gè)過程，以提供系統(tǒng)需求規(guī)范和早期系統(tǒng)運(yùn)行需求及能力需求說明之間的可跟蹤性。v在這個(gè)階段期間，信息安全工程小組將為批準(zhǔn)基線而設(shè)法準(zhǔn)備好安全需求，并向系統(tǒng)規(guī)范草案提供信息系統(tǒng)安全相關(guān)的輸入。v信息安全工程小組應(yīng)當(dāng)評審和提煉包含在運(yùn)行需求文檔中的安全需求，保證它們同其他的系統(tǒng)需求相一致和兼容。信息安全工程實(shí)施 2需求階段需求階段信息安全工程的信息安全工程的需求活動需求活動v信息安全工程小組應(yīng)當(dāng)審查這些安全需求，并囊括適當(dāng)場合可用的安全

45、需求集、與技術(shù)參考模型相關(guān)的設(shè)計(jì)限制，以及與正在開發(fā)的系統(tǒng)有關(guān)或有利的標(biāo)準(zhǔn)輪廓。v標(biāo)準(zhǔn)輪廓包括文本指南（準(zhǔn)則）以及規(guī)定數(shù)據(jù)交換格式、聯(lián)網(wǎng)協(xié)議和類似事情的各種技術(shù)標(biāo)準(zhǔn)。信息安全工程實(shí)施 2需求階段需求階段信息安全工程的信息安全工程的需求活動需求活動v信息安全工程小組應(yīng)當(dāng)保證安全需求有效地反映客戶的安全需求，并且可直接地跟蹤到先前的需求層次體系。v至此，信息安全工程小組還應(yīng)當(dāng)識別需要開發(fā)的新技術(shù)，開始監(jiān)控新技術(shù)的開發(fā)進(jìn)程，確保它們符合預(yù)期的目標(biāo)，滿足預(yù)期的安全需求。信息安全工程實(shí)施 3系統(tǒng)設(shè)計(jì)階段系統(tǒng)設(shè)計(jì)階段信息安全工信息安全工程的需求活動程的需求活動v系統(tǒng)工程師將在這個(gè)階段完成系統(tǒng)的基本設(shè)計(jì)。這

46、是通過把需求分配給體系結(jié)構(gòu)中標(biāo)識的CI(配置項(xiàng)目)集合來完成的。v這種分配在系統(tǒng)規(guī)范中用文檔予以確認(rèn)，在“系統(tǒng)功能評審”中被確認(rèn)為基準(zhǔn)并加以批準(zhǔn)。此外，CI規(guī)范草案也是在這個(gè)階段產(chǎn)生的。信息安全工程實(shí)施3系統(tǒng)設(shè)計(jì)階段系統(tǒng)設(shè)計(jì)階段信息安全工程信息安全工程的需求活動的需求活動v信息安全工程小組應(yīng)當(dāng)保證系統(tǒng)規(guī)范充分地表達(dá)出安全需求，這一點(diǎn)通過回溯規(guī)范，直到規(guī)范獲得批準(zhǔn)的安全需求評審階段，即可得到保證。v信息安全工程小組還應(yīng)當(dāng)完成系統(tǒng)規(guī)范并在確認(rèn)為基線之前，審查信息系統(tǒng)安全相關(guān)的驗(yàn)證和證實(shí)需求。信息安全工程實(shí)施 3系統(tǒng)設(shè)計(jì)階段系統(tǒng)設(shè)計(jì)階段信息安全工程信息安全工程的需求活動的需求活動v信息安全工程小組應(yīng)

47、當(dāng)領(lǐng)導(dǎo)和審查對CI的信息系統(tǒng)安全需求和服務(wù)的配置，以及將CI規(guī)范草案中對這些配置進(jìn)行歸檔。v信息安全工程小組還應(yīng)當(dāng)審查已完成的技術(shù)開發(fā)工作項(xiàng)目成果，以保證它們符合目標(biāo)，滿足預(yù)期的系統(tǒng)安全需求。信息安全工程實(shí)施 4從初步設(shè)計(jì)到配置審計(jì)階段從初步設(shè)計(jì)到配置審計(jì)階段信息安全工程的需求活動信息安全工程的需求活動v通過“初步設(shè)計(jì)評審”，應(yīng)當(dāng)全面定義CI和接口，提交CI和接口的安全需求以及相關(guān)聯(lián)的驗(yàn)證條款，這是“系統(tǒng)配置基線”的一部分。v信息安全工程小組應(yīng)當(dāng)仔細(xì)地研究CI規(guī)范和接口規(guī)范，保證子系統(tǒng)在被集成進(jìn)整體系統(tǒng)和系統(tǒng)配置中時(shí)符合總的系統(tǒng)安全需求。信息安全工程實(shí)施 4從初步設(shè)計(jì)到配置審計(jì)階段從初步設(shè)計(jì)到

48、配置審計(jì)階段信息安全工程的需求活動信息安全工程的需求活動v在最后階段（“配置審計(jì)”），信息安全工程小組應(yīng)當(dāng)把實(shí)現(xiàn)后的系統(tǒng)設(shè)計(jì)與系統(tǒng)文檔進(jìn)行比較，保證開發(fā)過程是成功的。v為了評估系統(tǒng)組件的恰當(dāng)性，必須證明分配給這些功能組件和物理組件的安全需求都被滿足。信息安全工程實(shí)施 4從初步設(shè)計(jì)到配置審計(jì)階段從初步設(shè)計(jì)到配置審計(jì)階段信息安全工程的需求活動信息安全工程的需求活動v這些階段以公告系統(tǒng)及其CI的“產(chǎn)品基線”而宣告結(jié)束，v公告應(yīng)當(dāng)包含每個(gè)CI在其被建設(shè)、試驗(yàn)和審計(jì)時(shí)對它的初始功能、性能和物理的需求。信息安全工程實(shí)施 4.4 安全設(shè)計(jì)支持安全設(shè)計(jì)支持v通過安全設(shè)計(jì)支持功能和更廣泛的總體系統(tǒng)設(shè)計(jì)的前后關(guān)聯(lián)

49、，一個(gè)被選擇的系統(tǒng)體系結(jié)構(gòu)可被公式化，并轉(zhuǎn)換為穩(wěn)定的、可生產(chǎn)的和有好的經(jīng)濟(jì)效益的系統(tǒng)設(shè)計(jì)。v對信息系統(tǒng)而言，這種轉(zhuǎn)換通常包括軟件開發(fā)和軟件設(shè)計(jì)，還可能包括信息數(shù)據(jù)庫或知識庫的設(shè)計(jì)。信息安全工程實(shí)施 4.4.1 系統(tǒng)設(shè)計(jì)v1.系統(tǒng)功能的目標(biāo)實(shí)現(xiàn)v理想的說，系統(tǒng)工程生命周期的“先期概念”、“概念”和“需求”階段基本上主要解決“什么”問題，v而從“初步設(shè)計(jì)階段”到“實(shí)現(xiàn)階段”再到“測試階段”則主要回答“怎樣”的問題。v這兩條線的關(guān)鍵性聯(lián)系是在第四階段，即“系統(tǒng)設(shè)計(jì)”階段，該階段中，設(shè)計(jì)了系統(tǒng)級解決方案以達(dá)到所需要的業(yè)務(wù)能力。信息安全工程實(shí)施 2.系統(tǒng)功能工具實(shí)現(xiàn)v可以使用自動工具使設(shè)計(jì)過程更加精細(xì)，

50、這些自動工具還允許設(shè)計(jì)師將頂層體系結(jié)構(gòu)分解和提煉成更詳細(xì)的設(shè)計(jì)。信息安全工程實(shí)施4.4.2 信息安全工程系統(tǒng)設(shè)計(jì)支持活動信息安全工程系統(tǒng)設(shè)計(jì)支持活動v在開發(fā)功能和物理體系結(jié)構(gòu)期間，信息安全工程小組通過提供安全分析和建議來支持客戶。v這種開發(fā)在系統(tǒng)的整個(gè)生命期內(nèi)涉及到若干階段和事件，并且通常是反復(fù)進(jìn)行的過程。信息安全工程實(shí)施4.4.2 信息安全工程系統(tǒng)設(shè)計(jì)支持活動信息安全工程系統(tǒng)設(shè)計(jì)支持活動v當(dāng)信息安全工程小組期待實(shí)現(xiàn)安全服務(wù)時(shí)，可以考慮將目標(biāo)安全體系結(jié)構(gòu)的原理作為對系統(tǒng)體系結(jié)構(gòu)的安全解決方案配置的指南。v下面是目標(biāo)安全體系結(jié)構(gòu)中可用的項(xiàng)目主題：v（1）目標(biāo)安全體系結(jié)構(gòu)的安全需求策略、需求，導(dǎo)出

51、的需求。v（2）安全角度和概念。v（3）端系統(tǒng)和中繼系統(tǒng)。v（4）安全管理關(guān)系和概念。v（5）傳輸系統(tǒng)主題。v（6）安全學(xué)說提供安全服務(wù)的安全機(jī)制學(xué)說。v（7）商業(yè)現(xiàn)貨考慮。信息安全工程實(shí)施4.4.2 信息安全工程系統(tǒng)設(shè)計(jì)支持活動信息安全工程系統(tǒng)設(shè)計(jì)支持活動v信息安全工程小組活動的重點(diǎn)是識別正在開發(fā)的體系結(jié)構(gòu)的脆弱性，并建議對抗措施和可選擇方案。v如果兩個(gè)或更多個(gè)系統(tǒng)需要相互作用，那么必須建立接口協(xié)議和規(guī)則以允許其相互作用。信息安全工程實(shí)施4.4.2 信息安全工程系統(tǒng)設(shè)計(jì)支持活動信息安全工程系統(tǒng)設(shè)計(jì)支持活動v用文檔化形式定義安全設(shè)計(jì)，是說明其滿足需求等合理性的理由。v這些信息可以伴隨著系統(tǒng)設(shè)計(jì)

52、文檔以書面分析的形式出現(xiàn)或出現(xiàn)在適當(dāng)?shù)脑O(shè)計(jì)評審中。v在進(jìn)行系統(tǒng)設(shè)計(jì)支持活動時(shí)信息安全工程小組必須考慮以下幾個(gè)方面的問題。信息安全工程實(shí)施1關(guān)鍵技術(shù)的識別關(guān)鍵技術(shù)的識別v對于任何關(guān)鍵的和使“最有希望”的系統(tǒng)概念增值的信息系統(tǒng)安全新技術(shù)，信息安全工程小組都必須進(jìn)行調(diào)查，以確保能有把握地將它們集成到系統(tǒng)設(shè)計(jì)中。v該活動可包括原型法的應(yīng)用、測試，以及早期的運(yùn)行評估，以降低安全風(fēng)險(xiǎn)等級等。信息安全工程實(shí)施 1關(guān)鍵技術(shù)的識別關(guān)鍵技術(shù)的識別v但是，事先識別出需要開發(fā)的基本關(guān)鍵技術(shù)卻是十分重要的。v以便在系統(tǒng)生命期的設(shè)計(jì)、實(shí)現(xiàn)直到后續(xù)的生產(chǎn)和/或預(yù)規(guī)劃的產(chǎn)品改進(jìn)/修改階段需要它們之前，預(yù)先將這些技術(shù)建立起來。

53、信息安全工程實(shí)施1關(guān)鍵技術(shù)的識別關(guān)鍵技術(shù)的識別v在這里面典型情況是，對新技術(shù)或未檢驗(yàn)的產(chǎn)品的依賴將對整個(gè)計(jì)劃引入額外的技術(shù)、費(fèi)用和進(jìn)度的風(fēng)險(xiǎn)。v信息安全工程應(yīng)該事先準(zhǔn)備好后備產(chǎn)品或過程解決方案，v以處理由于未曾預(yù)料的延遲或技術(shù)問題而帶來的新技術(shù)不能使用的偶然事故。信息安全工程實(shí)施2設(shè)計(jì)的約束設(shè)計(jì)的約束v信息安全工程小組要明確對影響和限制所需安全服務(wù)實(shí)現(xiàn)的系統(tǒng)設(shè)計(jì)的約束。v系統(tǒng)運(yùn)行的環(huán)境，它的運(yùn)行模式（專用的、系統(tǒng)高層的、系統(tǒng)分級的等），其業(yè)務(wù)功能的敏感性和臨界點(diǎn)，每一個(gè)都可能是影響設(shè)計(jì)決策的約束。v接口和互操作性問題也可能產(chǎn)生對設(shè)計(jì)的約束，信息安全工程實(shí)施 2設(shè)計(jì)的約束設(shè)計(jì)的約束v某些支持性的

54、需求也可能約束系統(tǒng)設(shè)計(jì)和運(yùn)行的安全狀況。v這些需求當(dāng)然包括但不限于后勤支持需求、可移植性需求、生存性需求；個(gè)人和培訓(xùn)的限制，命令、控制、通信和情報(bào)接口需求；標(biāo)準(zhǔn)化和互操作需求等。信息安全工程實(shí)施3非技術(shù)的安全設(shè)計(jì)措施非技術(shù)的安全設(shè)計(jì)措施v正被獲取的系統(tǒng)及其設(shè)計(jì)規(guī)劃，將在整個(gè)系統(tǒng)工程周期內(nèi)通過運(yùn)行、支持、培訓(xùn)等方式 被開發(fā)。v信息安全工程小組將為正在進(jìn)行的活動作出貢獻(xiàn)，并從中進(jìn)行學(xué)習(xí)，以改善任何系統(tǒng)安全解決方案的適用性和有效性。信息安全工程實(shí)施3非技術(shù)的安全設(shè)計(jì)措施非技術(shù)的安全設(shè)計(jì)措施v其他的非技術(shù)解決方案將包括過程控制，如適當(dāng)?shù)牟僮鞒绦?、人事的和運(yùn)行的安全控制、隱瞞采購和用戶身份，以及可信軟件

55、開發(fā)方法論的非技術(shù)要素等。信息安全工程實(shí)施4.4.3 安全設(shè)計(jì)支持活動安全設(shè)計(jì)支持活動v1先期概念和概念階段先期概念和概念階段v概念級系統(tǒng)策略包括早期的通常不成熟的功能和物理的結(jié)構(gòu)體系草案。項(xiàng)目所特有的環(huán)境不同，概念級設(shè)計(jì)可以是很不正規(guī)的，也可能是非常完善的，v不管哪種情況，這一階段承擔(dān)的設(shè)計(jì)等級都要比在以后的工程設(shè)計(jì)階段（系統(tǒng)設(shè)計(jì)到詳細(xì)設(shè)計(jì)）低得多。信息安全工程實(shí)施1先期概念和概念階段先期概念和概念階段v信息安全工程小組必須保證，體系結(jié)構(gòu)已做到足夠的精細(xì)，以使體系結(jié)構(gòu)的安全風(fēng)險(xiǎn)可被充分地進(jìn)行評估，以支持可選系統(tǒng)評審。v信息安全工程小組應(yīng)當(dāng)分解系統(tǒng)功能（或?qū)ο蠓诸?，取決于所選的方法），并把它們

56、分配到較低級別的配置上，直到支持正在進(jìn)行的分析，并需要立即作出決策的程度。信息安全工程實(shí)施 2需求和系統(tǒng)設(shè)計(jì)階段需求和系統(tǒng)設(shè)計(jì)階段v在這些階段期間，系統(tǒng)小組完成系統(tǒng)的高層設(shè)計(jì)并按技術(shù)規(guī)范形成文檔。這些活動隨系統(tǒng)功能評審而告終，此時(shí)系統(tǒng)設(shè)計(jì)的基線已完成并被批準(zhǔn)。v應(yīng)該審核可選擇的與概念級策略相一致的體系方案。v例如，如果概念階段在評估后選擇了廣域網(wǎng)策略，那么，在其后續(xù)的工程設(shè)計(jì)階段將涉及多個(gè)廣域網(wǎng)技術(shù)的選擇和體系結(jié)構(gòu)的取舍。信息安全工程實(shí)施 2需求和系統(tǒng)設(shè)計(jì)階段需求和系統(tǒng)設(shè)計(jì)階段v系統(tǒng)集成在過程的早期已經(jīng)（至少在紙面上）開始。當(dāng)需求的功能配置給配置項(xiàng)目時(shí)，就要引申出接口控制規(guī)范。信息安全工程實(shí)施

57、 2需求和系統(tǒng)設(shè)計(jì)階段需求和系統(tǒng)設(shè)計(jì)階段v信息安全工程小組應(yīng)保證并且在規(guī)范下應(yīng)指出通過這些接口如何實(shí)現(xiàn)安全服務(wù)，包括擴(kuò)展到更寬范圍的基礎(chǔ)設(shè)施或業(yè)務(wù)環(huán)境的安全服務(wù)。信息安全工程實(shí)施 2需求和系統(tǒng)設(shè)計(jì)階段需求和系統(tǒng)設(shè)計(jì)階段v通過指定內(nèi)部和外部接口的安全需求，使得整個(gè)系統(tǒng)和互聯(lián)的各系統(tǒng)之間在實(shí)現(xiàn)上保持一致，從而使集成業(yè)務(wù)變得更加容易。v信息安全工程小組還要對系統(tǒng)組件進(jìn)行驗(yàn)證，這些組件是根據(jù)它與安全相關(guān)接口的約束條件進(jìn)行集成和使用的，v約束條件指：使用某一產(chǎn)品，產(chǎn)品的安全輪廓，供應(yīng)商的文獻(xiàn)等。信息安全工程實(shí)施 2需求和系統(tǒng)設(shè)計(jì)階段需求和系統(tǒng)設(shè)計(jì)階段v信息安全工程小組必須保證總體分析中包括了所有的安全因

58、素，保證基于運(yùn)行功能和特性、費(fèi)用、進(jìn)度表和風(fēng)險(xiǎn)之間平衡的最全面的體系結(jié)構(gòu)。信息安全工程實(shí)施 2需求和系統(tǒng)設(shè)計(jì)階段需求和系統(tǒng)設(shè)計(jì)階段v在這些階段期間，將產(chǎn)生制造/購買的建議（做折中選擇）。但是，最終決定通常在過程之后作出。v如果可能，信息安全工程小組將提供解決方案（或?qū)Σ撸越鉀Q在折中分析期間未包含的負(fù)面因素。v例如，如果折中分析傾向于買商用軟件，但其消極的因素是可能包含潛在的病毒，信息安全工程小組可建議在軟件被購進(jìn)后進(jìn)行病毒掃描和清除。信息安全工程實(shí)施 2需求和系統(tǒng)設(shè)計(jì)階段需求和系統(tǒng)設(shè)計(jì)階段v為了支持作出制造/購買的折中分析的決定，信息安全工程小組將調(diào)查現(xiàn)有產(chǎn)品目錄，以確定產(chǎn)品是否滿足配置項(xiàng)

59、目或組件的需求。v只要可能，都應(yīng)該指明一組潛在可行的選擇方案而不僅僅是一個(gè)候選方案。調(diào)查的對象包括可信產(chǎn)品評估目錄、信息系統(tǒng)安全產(chǎn)品目錄等。信息安全工程實(shí)施 2需求和系統(tǒng)設(shè)計(jì)階段需求和系統(tǒng)設(shè)計(jì)階段v在適當(dāng)?shù)臅r(shí)候，信息安全工程小組也要考慮選擇工業(yè)界或政府先期開發(fā)的新技術(shù)和新產(chǎn)品，條件是它們的時(shí)間表和技術(shù)風(fēng)險(xiǎn)是系統(tǒng)開發(fā)可接受的。v對產(chǎn)品安全勾畫出輪廓，是工程師作出制造/購買決策所必需的。對某些產(chǎn)品，安全評估報(bào)告描述了產(chǎn)品的功能、正確使用產(chǎn)品的信息以及產(chǎn)品已知的脆弱點(diǎn)。信息安全工程實(shí)施 2需求和系統(tǒng)設(shè)計(jì)階段需求和系統(tǒng)設(shè)計(jì)階段v對現(xiàn)有產(chǎn)品的了解，是形成準(zhǔn)確的信息安全工程制造/購買決策必不可少的。對某些

60、產(chǎn)品，有關(guān)部門的安全評估報(bào)告可以幫助作出決策。v在不能得到安全評估時(shí)，由系統(tǒng)項(xiàng)目辦事機(jī)構(gòu)將新設(shè)備或軟件與估計(jì)的安全特性和風(fēng)險(xiǎn)相關(guān)值進(jìn)行權(quán)衡比較后，作出是購買還是定制的決策。信息安全工程實(shí)施3初步設(shè)計(jì)階段到配置審計(jì)階段初步設(shè)計(jì)階段到配置審計(jì)階段v系統(tǒng)工程師必須通過初步設(shè)計(jì)審查來作最終的制造/購買決定，并反復(fù)研究配置項(xiàng)目和配置項(xiàng)目之間的接口策略在一定范圍的可選擇方案。v以前的活動集中于配置項(xiàng)目的設(shè)計(jì)或選擇，以及建立完整的配置項(xiàng)目級的配置基線集上。v以后的活動則集中到獲取或建立配置項(xiàng)目（如果需要的話）集成和測試系統(tǒng)上。信息安全工程實(shí)施3初步設(shè)計(jì)階段到配置審計(jì)階段初步設(shè)計(jì)階段到配置審計(jì)階段v信息安全工程小組應(yīng)當(dāng)審查由于配置項(xiàng)目開發(fā)和/或集成與測試時(shí)出現(xiàn)的對系統(tǒng)設(shè)計(jì)的任何修改。v如果配置項(xiàng)目引起系統(tǒng)的附加需求的話，那么信息安全工程小組應(yīng)該評估這些修改對配置項(xiàng)目的安全影響，并且確定