信息安全系統(tǒng)工程ISSE

一、概述1、什么是信息安全工程2、為什么需要信息安全工程3、信息安全工程的發(fā)展什么是信息安全工程信息安全保障問(wèn)題的解決既不能只依靠純粹的技術(shù)，也不能靠簡(jiǎn)單的安全產(chǎn)品的堆砌，它要依賴(lài)復(fù)雜的系統(tǒng)工程——信息安全工程。信息安全工程：是采用工程的概念、原理、技術(shù)和方法，來(lái)研究、開(kāi)發(fā)、實(shí)施與維護(hù)信息系統(tǒng)安全的過(guò)程，它是將經(jīng)過(guò)時(shí)間考驗(yàn)證明是正確的工程實(shí)施流程、管理技術(shù)和當(dāng)前能夠得到的最好的技術(shù)方法相結(jié)合的過(guò)程。為什么需要信息安全工程信息安全的現(xiàn)狀是比較脆弱的，在安全體制、安全管理等各個(gè)方面存在的問(wèn)題十分嚴(yán)重而突出，且不容樂(lè)觀；但也可以看到，從20世紀(jì)90年代中期到21世紀(jì)初，無(wú)論是政府部門(mén)、企業(yè)，還是個(gè)人用戶(hù)，安全意識(shí)明顯增強(qiáng)在Internet發(fā)展的短短幾年，人們對(duì)安全的理解，從早期的安全就是殺毒防毒，到后來(lái)的安全就是安裝防火墻，到現(xiàn)在的購(gòu)買(mǎi)系列安全產(chǎn)品，在一步一步地加深。但是應(yīng)該注意到，這些理解依然存在著“頭痛醫(yī)頭，腳痛醫(yī)腳”的片面性，沒(méi)有將信息安全問(wèn)題作為一個(gè)系統(tǒng)工程來(lái)考慮對(duì)待；由于信息安全保障問(wèn)題的極端復(fù)雜性，因此在信息系統(tǒng)建設(shè)中必須遵循信息安全工程方法。信息安全的復(fù)雜性1）信息安全具有社會(huì)性信息安全問(wèn)題具有前所未有的廣泛性和綜合性，由于可能影響到安全的因素不斷增多，即使是一個(gè)簡(jiǎn)單的信息系統(tǒng)，也往往因?yàn)槿藱C(jī)交互而涉及到組織結(jié)構(gòu)、人員、物理安全、培訓(xùn)等方面的要求；在面對(duì)每一個(gè)信息系統(tǒng)的安全保障問(wèn)題時(shí)，都要考慮這個(gè)系統(tǒng)與非技術(shù)因素的交互，將其放在整個(gè)社會(huì)化的環(huán)境下考慮。2）信息安全具有全面性信息安全問(wèn)題需要全面考慮，系統(tǒng)安全程度取決于系統(tǒng)最薄弱的環(huán)節(jié)。信息安全的復(fù)雜性（續(xù)）3）信息安全具有過(guò)程性或生命周期性一個(gè)完整的安全過(guò)程至少應(yīng)包括安全目標(biāo)與原則的確定、風(fēng)險(xiǎn)分析、需求分析、安全策略研究、安全體系結(jié)構(gòu)的研究、安全實(shí)施領(lǐng)域的確定、安全技術(shù)與產(chǎn)品的測(cè)試與選型、安全工程的實(shí)施、安全工程的實(shí)施監(jiān)理、安全工程的測(cè)試與運(yùn)行、安全意識(shí)的教育與技術(shù)培訓(xùn)、安全稽核與檢查、應(yīng)急響應(yīng)等，這一個(gè)過(guò)程是一個(gè)完整的信息安全工程的生命周期。經(jīng)過(guò)安全稽核與檢查后，又形成新一輪的生命周期，是一個(gè)不斷往復(fù)的不斷上升的螺旋式安全模型。信息安全的復(fù)雜性（續(xù)）4）信息安全具有動(dòng)態(tài)性信息技術(shù)在發(fā)展，黑客水平也在提高，安全策略、安全體系、安全技術(shù)也必須動(dòng)態(tài)地調(diào)整，在最大程度上使安全系統(tǒng)能夠跟上實(shí)際情況的變化發(fā)揮效用，使整個(gè)安全系統(tǒng)處于不斷更新、不斷完善、不斷進(jìn)步的動(dòng)態(tài)過(guò)程中。5）信息安全具有層次性信息系統(tǒng)的構(gòu)成本身就是層次性的（主要有物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理等層面），需要用多層次的安全技術(shù)、方法與手段，分層次地化解安全風(fēng)險(xiǎn)。信息安全的復(fù)雜性（續(xù)）6）信息安全具有相對(duì)性安全是相對(duì)的，沒(méi)有絕對(duì)的安全可言；首先，安全的動(dòng)態(tài)性決定了所謂的安全只能是相對(duì)于過(guò)去的安全，相對(duì)未來(lái)而言，當(dāng)前的安全很可能會(huì)表現(xiàn)為不安全；其次，安全不是目的，安全措施應(yīng)該與保護(hù)的信息與網(wǎng)絡(luò)系統(tǒng)的價(jià)值相稱(chēng)，因此，實(shí)施信息安全工程要充分權(quán)衡風(fēng)險(xiǎn)威脅與防御措施的利弊與得失，在安全級(jí)別與投資代價(jià)之間取得一個(gè)企業(yè)能夠接受的平衡點(diǎn)，人們追求的是在適度風(fēng)險(xiǎn)下的相對(duì)安全，而非絕對(duì)的安全。信息安全工程的發(fā)展早期的信息安全工程方法理論來(lái)自于系統(tǒng)工程(SE)過(guò)程方法。美國(guó)軍方最早在系統(tǒng)工程理論基礎(chǔ)之上開(kāi)發(fā)了信息系統(tǒng)安全工程（ISSE），并于1994年2月28日發(fā)表了《信息系統(tǒng)安全工程手冊(cè)v1.0》。ISSE由系統(tǒng)工程過(guò)程發(fā)展而來(lái)，因而其風(fēng)格仍然沿襲了以時(shí)間維劃定工程元素的方法學(xué)，這也暴露出了一些不足：信息安全工程的發(fā)展（續(xù)）1）很多安全要求應(yīng)該貫徹在整個(gè)工程過(guò)程之中，尤其是信息安全的保證要求，而ISSE對(duì)其缺乏有針對(duì)性的討論；2）此外，信息安全的內(nèi)容及其龐雜，一次完整的信息安全工程過(guò)程，往往會(huì)涉及到多個(gè)復(fù)雜的安全領(lǐng)域，而有些領(lǐng)域的時(shí)間過(guò)程性卻不明顯，以時(shí)間維為線(xiàn)索的描述方式不適合反映出這些內(nèi)容。后來(lái)，在信息系統(tǒng)安全工程方法的發(fā)展上，出現(xiàn)了第二種思路：過(guò)程能力成熟度的方法，其基礎(chǔ)是CMM（能力成熟度模型）。信息安全工程的發(fā)展（續(xù)）CMM的1.0版在1991年8月由卡內(nèi)基-梅隆大學(xué)軟件工程研究所發(fā)布。同期，NSA也開(kāi)始了對(duì)信息安全工程能力的研究，并選取了CMM的思想作為其方法學(xué)，正式啟動(dòng)了SSE-CMM—《系統(tǒng)安全工程—能力成熟度模型》研究項(xiàng)目。1996年10月發(fā)布了SSE-CMM的1.0版本，繼而在1997年春制定完成了SSE-CMM評(píng)定方法的1.0版本。1999年4月，形成了SSE-CMMv2.0和SSE-CMM評(píng)定方法v2.0。2002年3月，SSE-CMM得到了ISO的采納，成為ISO的標(biāo)準(zhǔn)—ISO/IEC21827，冠名為《信息技術(shù)—系統(tǒng)安全工程—能力成熟度模型》。二、系統(tǒng)統(tǒng)工程(SE)過(guò)程1、系統(tǒng)統(tǒng)工程過(guò)過(guò)程概況況2、通用用系統(tǒng)工工程過(guò)程程活動(dòng)3、系統(tǒng)統(tǒng)工程過(guò)過(guò)程的幾幾個(gè)原則則2.1系統(tǒng)工程程過(guò)程概概況挖掘需求定義系統(tǒng)設(shè)計(jì)系統(tǒng)體系結(jié)構(gòu)詳細(xì)設(shè)計(jì)實(shí)施系統(tǒng)評(píng)估有效性2.2系統(tǒng)工程程過(guò)程活活動(dòng)通用SE過(guò)程由如如下活動(dòng)動(dòng)構(gòu)成：：1、發(fā)掘需需求；2、定義系系統(tǒng)要求求；3、設(shè)計(jì)系系統(tǒng)體系系結(jié)構(gòu)；；4、開(kāi)展詳詳細(xì)設(shè)計(jì)計(jì)；5、實(shí)現(xiàn)系系統(tǒng)；6、評(píng)估有有效性。。在上圖中中，箭頭顯示示了信息息在不同同活動(dòng)間間的流向向，但并并不一定定意味著著各活動(dòng)動(dòng)之間的的順序或或時(shí)間性性。用戶(hù)/用用戶(hù)代表表并不是是一個(gè)系系統(tǒng)工程程活動(dòng)，之所以以標(biāo)注用用戶(hù)/用用戶(hù)代表表的原因因在于提提醒我們們，所有有的活動(dòng)動(dòng)中，必必須不斷斷地在系系統(tǒng)工程程師或信信息系統(tǒng)統(tǒng)安全工工程師與與用戶(hù)之之間進(jìn)行行交流和和反饋。。2.2.1發(fā)掘需求求系統(tǒng)工程程師幫助助客戶(hù)理理解并記記錄用來(lái)來(lái)支持其其業(yè)務(wù)(business)或任務(wù)(mission)的信息管管理的需需求(Needs)，信息需求求說(shuō)明可可以在信信息管理理模型(IMM-informationmanagementmodel)中記錄。。發(fā)掘需求求是SE過(guò)程的起起點(diǎn)，是針對(duì)對(duì)用戶(hù)需求求以及用戶(hù)戶(hù)環(huán)境中中的相關(guān)關(guān)策略、法法規(guī)和標(biāo)標(biāo)準(zhǔn)的一系列列判斷。。系統(tǒng)工程程師要標(biāo)標(biāo)識(shí)所有有的用戶(hù)戶(hù)及這些些用戶(hù)與與系統(tǒng)的的交互，，標(biāo)識(shí)他他們所扮扮演的角角色、承承擔(dān)的責(zé)責(zé)任以及及在系統(tǒng)統(tǒng)生命周周期各階階段中的的授權(quán)。。需求應(yīng)該該來(lái)自用戶(hù)的視視角，不應(yīng)該該對(duì)設(shè)計(jì)計(jì)產(chǎn)生過(guò)過(guò)度的約約束，并并且要通通過(guò)用戶(hù)語(yǔ)言言來(lái)進(jìn)行文文檔化。。發(fā)掘需求求（續(xù)））業(yè)務(wù)(business)/任務(wù)(mission)描述SE或ISSE的全部工工作都是是為了使使一個(gè)機(jī)機(jī)構(gòu)的本本職業(yè)務(wù)務(wù)/任務(wù)務(wù)能夠順順利實(shí)施施；因此，在在挖掘需需求時(shí)，，首要的的一步就就是確定定任務(wù)/業(yè)務(wù)的的需求，，而不是是工程或或信息安安全需求求；任務(wù)描述述的重點(diǎn)點(diǎn)之一是是對(duì)任務(wù)務(wù)環(huán)境進(jìn)進(jìn)行描述述。需要考慮慮的策略略和政策策在進(jìn)行系系統(tǒng)工程程時(shí)必須須考慮對(duì)對(duì)機(jī)構(gòu)具具有約束束力的政政策、法法規(guī)和標(biāo)標(biāo)準(zhǔn)；事實(shí)上，，政策、、法規(guī)問(wèn)問(wèn)題是導(dǎo)導(dǎo)致很多多系統(tǒng)工工程失敗敗的主要要原因之之一。2.2.2定義系統(tǒng)統(tǒng)在該階段段，系統(tǒng)工程程師必須須明確系系統(tǒng)要完完成的功功能，包括該該功能的的實(shí)現(xiàn)應(yīng)應(yīng)達(dá)到的的程度以以及系統(tǒng)統(tǒng)的外部部接口。。由需求到目目標(biāo)、目目標(biāo)到要要求以及及要求到到功能的各個(gè)翻翻譯環(huán)節(jié)節(jié)均要采采用工程程語(yǔ)言。。目標(biāo)描述述能夠通通過(guò)描述述系統(tǒng)的的預(yù)期運(yùn)運(yùn)行效果果而滿(mǎn)足足需求，，系統(tǒng)工工程師必必須能將將目標(biāo)同同此前提提出的需需求相聯(lián)聯(lián)系，并并且能夠夠從理論論上加以以解釋。。系統(tǒng)工程師師要在該階階段考慮一一套或多套套能夠滿(mǎn)足足由客戶(hù)提提出并記錄錄在IMM中的系統(tǒng)需需求的解決決方案集。。NEEDSSystemExternalSystemExternalSystemExternalSystemSolutionSetNEEDSSystemExternalSystemExternalSystemExternalSystemSolutionSetNEEDSSystemExternalSystemExternalSystemExternalSystemSolutionSet定義系統(tǒng)（（續(xù)）系統(tǒng)要求可分為功能要求和性能要求功能要求描述系統(tǒng)需需要完成的的任務(wù)、動(dòng)動(dòng)作和行為為；性能要求包括系統(tǒng)的的質(zhì)、量、、適用范圍圍、使用頻頻度、響應(yīng)應(yīng)性、可靠靠性、可維維護(hù)性、可可用性等；；此外，內(nèi)外接口要要求與互操操作性要求求是系統(tǒng)成員之之間或系統(tǒng)統(tǒng)與環(huán)境、、其他系統(tǒng)統(tǒng)之間的互互作用概念念的重要要要求。當(dāng)明確所有有的要求后后，系統(tǒng)工工程師必須須同其它系系統(tǒng)負(fù)責(zé)人人一起評(píng)估估這些要求求的正確性、完完整性、一一致性、互互依賴(lài)性、、沖突和可可測(cè)試性。。定義系統(tǒng)（（續(xù)）在要求的分分析過(guò)程中中，系統(tǒng)工工程師要審審查可追蹤蹤性文檔，，確保發(fā)掘掘出的所有有需求都已已經(jīng)分配到到了目標(biāo)或或外部系統(tǒng)統(tǒng)之中，確確保目標(biāo)系系統(tǒng)的背景景環(huán)境描述述中包含了了所有的外外部接口和和信息流。。系統(tǒng)工程師師還應(yīng)確保保概要性的的CONOPS能覆蓋所有有的功能性性和任務(wù)或或業(yè)務(wù)需求求，并且系系統(tǒng)運(yùn)行的的內(nèi)在風(fēng)險(xiǎn)險(xiǎn)也得到了了提及。定義系統(tǒng)（（續(xù)）功能（Functions）由要求決定定，每個(gè)要要求將產(chǎn)生生一項(xiàng)或幾幾項(xiàng)功能。。功能分析的主要內(nèi)容容是分析功功能之間或或功能與環(huán)環(huán)境之間的的聯(lián)系。有很多方法法可以通過(guò)過(guò)圖表來(lái)描描述功能的的相關(guān)聯(lián)系系最簡(jiǎn)單的圖圖表是文本本功能列表表，它通過(guò)過(guò)習(xí)慣性的的縮進(jìn)、標(biāo)標(biāo)號(hào)、字體體來(lái)描述一一系列功能能的層次結(jié)結(jié)構(gòu)。功能列表將將對(duì)功能進(jìn)進(jìn)行命名，，并且描述述其定義、、行為、何何時(shí)被調(diào)用用以及輸入入\輸出。2.2.3設(shè)計(jì)系統(tǒng)體體系結(jié)構(gòu)系統(tǒng)工程師師應(yīng)該分析待建系系統(tǒng)的體系系結(jié)構(gòu)，完成功能能的分析和分配配，同時(shí)分配系統(tǒng)的要求求，并選擇擇相關(guān)機(jī)制制。系統(tǒng)工程師師還應(yīng)確定定系統(tǒng)中的的組件或要要素，將功功能分配給給這些要素素，并描述述這些要素素間的關(guān)系系。在SE的“定義系系統(tǒng)要求””活動(dòng)中，，系統(tǒng)要求求是分配到到整個(gè)信息息系統(tǒng)中的的，它只是是指明了系系統(tǒng)的功能能，卻沒(méi)有有定義系統(tǒng)統(tǒng)的組件；；而在“設(shè)計(jì)計(jì)系統(tǒng)體系系結(jié)構(gòu)”活活動(dòng)中，SE小組將對(duì)功功能進(jìn)行分分解，選擇擇具體功能能的執(zhí)行組組件，這是是體系結(jié)構(gòu)構(gòu)設(shè)計(jì)的核核心內(nèi)容。。

-DefineSystemRequirements

TargetSystem(allsystemfunctions)ExternalSystemSystemInterfacesExternalSystemiatf_3_4a_3004aTargetSystem(allsystemfunctions)ExternalSystemSystemInterfacesExternalSystemiatf_3_4a_3004aDesignSystemArchitecture

ExternalSystemInternalInterfacesSystemInterfacesSystemDesignElementsComponentsSystemelementsiatf_3_4b_3004bExternalSystemInternalInterfacesSystemInterfacesSystemSystemDesignElementsComponentsSystemelementsiatf_3_4b_3004b描述了“定義系統(tǒng)要要求”與“設(shè)計(jì)系統(tǒng)體體系結(jié)構(gòu)”的區(qū)別。前前者將目標(biāo)標(biāo)系統(tǒng)視為為“黑盒”，后者則創(chuàng)創(chuàng)建系統(tǒng)的的內(nèi)部結(jié)構(gòu)構(gòu)；設(shè)計(jì)系統(tǒng)體體系結(jié)構(gòu)（（續(xù)）功能分析要要將此前的的要求分析析階段所確確定的高層層功能分解解至低層功功能，與高高層功能相相關(guān)的性能能要求也要要分解至低低層。功能分析的的結(jié)果是描描述每個(gè)產(chǎn)產(chǎn)品或項(xiàng)目目的邏輯功功能或性能能。分析的對(duì)象象包括待建建系統(tǒng)的體體系結(jié)構(gòu)、、功能和過(guò)過(guò)程、接口口（內(nèi)部和和外部）、、元素（組組件）、信信息的流動(dòng)動(dòng)情況、環(huán)環(huán)境和用戶(hù)戶(hù)/訪(fǎng)問(wèn)。。上述描述通通常稱(chēng)為產(chǎn)產(chǎn)品或項(xiàng)目目的功能體系結(jié)結(jié)構(gòu)。功能分析和和分配使得得可以對(duì)系系統(tǒng)的功能能目的及其其實(shí)現(xiàn)方式式形成更好好的理解，，并在一定定程度上獲獲知低層功功能的優(yōu)先先級(jí)和沖突突。它提供了對(duì)對(duì)于優(yōu)化物物理解決方方案來(lái)說(shuō)重重要的信息息。2.2.4開(kāi)展詳細(xì)設(shè)設(shè)計(jì)系統(tǒng)工程師師應(yīng)分析系系統(tǒng)的設(shè)計(jì)計(jì)約束和均均衡取舍，，完成詳細(xì)細(xì)的系統(tǒng)設(shè)設(shè)計(jì)，并考考慮生命周周期的支持持。系統(tǒng)工程師師應(yīng)將所有有的系統(tǒng)要要求跟蹤至至系統(tǒng)組件件，直至無(wú)無(wú)一遺漏。最終的詳細(xì)細(xì)設(shè)計(jì)結(jié)果果應(yīng)反映出出組件和接接口規(guī)范，，為系統(tǒng)實(shí)實(shí)現(xiàn)時(shí)的采采辦工作提提供充分的的信息。詳細(xì)設(shè)計(jì)將將產(chǎn)生更低低層次的產(chǎn)產(chǎn)品規(guī)范、、具體的工工程與接口口控制圖、、原型、具具體的測(cè)試試計(jì)劃與流流程和具體體的集成后后勤支持計(jì)計(jì)劃(ILSP-IntegratedLogisticsSupportPlan)。2.2.5實(shí)現(xiàn)系統(tǒng)系統(tǒng)工程師師將系統(tǒng)從從規(guī)范變?yōu)闉楝F(xiàn)實(shí)，該該階段的主主要活動(dòng)包包括采辦、集成成、配置、、測(cè)試、記記錄和培訓(xùn)訓(xùn)。采辦本階段的工工作必須在在開(kāi)發(fā)或購(gòu)買(mǎi)能夠滿(mǎn)足詳詳細(xì)設(shè)計(jì)規(guī)規(guī)范的組件件這二者之之間做出決決定。系統(tǒng)工程師師必須權(quán)衡衡兩種方式式的利弊并并進(jìn)行深入入研究。建設(shè)在本階段，，已開(kāi)發(fā)的的系統(tǒng)方法法將被轉(zhuǎn)化化為一個(gè)穩(wěn)穩(wěn)定的、可可生產(chǎn)的、、性?xún)r(jià)比合合理的系統(tǒng)統(tǒng)設(shè)計(jì)實(shí)踐踐，涉及到到了所有產(chǎn)產(chǎn)品級(jí)的軟軟件、硬件件和固件。。該階段在采采辦過(guò)程完完成后進(jìn)行行，即系統(tǒng)統(tǒng)的裝配或或建設(shè)。實(shí)現(xiàn)系統(tǒng)（（續(xù)）測(cè)試組件開(kāi)發(fā)后后，要接受受測(cè)試和評(píng)評(píng)估，以確確保它們能能夠滿(mǎn)足規(guī)規(guī)范（單元元測(cè)試）。。測(cè)試過(guò)程程和預(yù)期的的測(cè)試結(jié)果果在定義方方案之后由由工程師寫(xiě)寫(xiě)出。成功的完成成組件測(cè)試試之后，各各組件—硬硬件、軟件件、固件——要進(jìn)行集集成和正確確的配置，，并作為一一個(gè)系統(tǒng)接接受整體集集成測(cè)試。。集成測(cè)試用用于驗(yàn)證較較高級(jí)的系系統(tǒng)性能水水平。集成測(cè)試可可能導(dǎo)致要要改變某些些系統(tǒng)組件件，這將立立即反饋給給系統(tǒng)設(shè)計(jì)計(jì)，以供其其做出判斷斷。2.2.6評(píng)估有效性性各項(xiàng)活動(dòng)的的結(jié)果都要要接受評(píng)估估，其中必必須檢測(cè)兩兩個(gè)主要因因素：1）系統(tǒng)是否否達(dá)到了任任務(wù)的需求求？2）系統(tǒng)是否否能夠依照照機(jī)構(gòu)所期期望的方式式操作？除此之外，，還要注意意可能影響響評(píng)估結(jié)果果的如下因因素：1）互操作性性；2）可用性；；3）人員培訓(xùn)訓(xùn)；4）人機(jī)接口口；5）建設(shè)和維維護(hù)成本。。2.3系統(tǒng)工程過(guò)過(guò)程的幾個(gè)個(gè)原則1、始終將將問(wèn)題空間間和解決方方案空間相相分離。2、問(wèn)題空空間要根據(jù)據(jù)客戶(hù)的任任務(wù)或業(yè)務(wù)務(wù)需求來(lái)定定義。3、解決方方案空間要要由問(wèn)題空空間相驅(qū)動(dòng)動(dòng)，并由系系統(tǒng)工程師師和信息系系統(tǒng)安全工工程師來(lái)定定義。始終將問(wèn)題題空間和解解決方案空空間相分離離“問(wèn)題”是“我們期期望系統(tǒng)做做什么？””，表示““解決方案案”這一概概念的約束束條件、風(fēng)風(fēng)險(xiǎn)、策略略和一些界界限（值））?！敖鉀Q方案””是“系統(tǒng)怎怎樣實(shí)現(xiàn)我我們的期望望？”，代代表了在開(kāi)開(kāi)發(fā)系統(tǒng)以以滿(mǎn)足用戶(hù)戶(hù)需求時(shí)所所有已經(jīng)結(jié)結(jié)束的行為為和創(chuàng)造出出的產(chǎn)品。。當(dāng)我們關(guān)注注解決方案案時(shí)，很容容易忽視對(duì)對(duì)問(wèn)題的注注意，這便便會(huì)導(dǎo)致錯(cuò)錯(cuò)誤問(wèn)題的的解決和錯(cuò)錯(cuò)誤系統(tǒng)的的建造。問(wèn)題空間要要根據(jù)客戶(hù)戶(hù)的任務(wù)或或業(yè)務(wù)需求求來(lái)定義有些客戶(hù)經(jīng)經(jīng)常同工程程師討論技技術(shù)或?qū)饨鉀Q方案的的想法，而而不是告訴訴工程師問(wèn)問(wèn)題在哪系統(tǒng)工程師師（或信息息系統(tǒng)安全全工程師））必須把客客戶(hù)的這些些想法放到到一邊，發(fā)發(fā)掘出客戶(hù)戶(hù)的基本問(wèn)問(wèn)題。如果客戶(hù)的的需求不是是基于其任任務(wù)或業(yè)務(wù)務(wù)需求而提提出的，則則最終系統(tǒng)統(tǒng)可能難以以滿(mǎn)足客戶(hù)戶(hù)的需求，，這樣會(huì)導(dǎo)導(dǎo)致錯(cuò)誤系系統(tǒng)的建造造。解決方案空空間要由問(wèn)問(wèn)題空間相相驅(qū)動(dòng)，并并由系統(tǒng)工工程師來(lái)定定義是系統(tǒng)工程程師精通系系統(tǒng)的解決決方案，而而不是客戶(hù)戶(hù)。如果客戶(hù)是是解決方案案的設(shè)計(jì)專(zhuān)專(zhuān)家，那就就沒(méi)必要再再去雇用系系統(tǒng)工程師師了。一個(gè)堅(jiān)持介介入設(shè)計(jì)工工程的客戶(hù)戶(hù)很可能會(huì)會(huì)對(duì)解決方方案帶來(lái)限限制，影響響到系統(tǒng)工工程師的靈靈活性，從從而影響到到系統(tǒng)的任任務(wù)或業(yè)務(wù)務(wù)支持目標(biāo)標(biāo)，影響到到用戶(hù)需求求的滿(mǎn)足。。三、信息系系統(tǒng)安全工工程(ISSE)過(guò)程1、ISSE概述2、ISSE過(guò)程ISSE概述ISSE——InformationSystemsSecurityEngineering。ISSE是發(fā)掘用戶(hù)的的信息保護(hù)需需求并隨后設(shè)設(shè)計(jì)和實(shí)現(xiàn)信信息系統(tǒng)的一一門(mén)藝術(shù)和科科學(xué)，在一定定的經(jīng)濟(jì)成本本和精心設(shè)計(jì)計(jì)下，這些系系統(tǒng)便能夠安安全地抵御其其面對(duì)的各種種攻擊。ISSE過(guò)程是系統(tǒng)工工程（SE）的一個(gè)組成成部分，并應(yīng)當(dāng)對(duì)認(rèn)認(rèn)證和認(rèn)可（（C&A）過(guò)程提供支支持。ISSE過(guò)程ISSE過(guò)程覆蓋了6項(xiàng)活動(dòng)，它們們與通用的SE過(guò)程相對(duì)應(yīng)：：1、發(fā)掘信息保保護(hù)需求（發(fā)發(fā)掘需求）；；2、定義系統(tǒng)安安全要求（定定義系統(tǒng)要求求）；3、設(shè)計(jì)系統(tǒng)安安全體系結(jié)構(gòu)構(gòu)（設(shè)計(jì)系統(tǒng)統(tǒng)體系結(jié)構(gòu)））；4、開(kāi)展詳細(xì)的的安全設(shè)計(jì)（（開(kāi)展詳細(xì)設(shè)設(shè)計(jì)）；5、實(shí)現(xiàn)系統(tǒng)安安全（實(shí)現(xiàn)系系統(tǒng)）；6、評(píng)估信息保保護(hù)的有效性性（評(píng)估有效效性）。1、發(fā)掘信息保保護(hù)需求在這個(gè)過(guò)程中中，ISSE將首先調(diào)查在在信息方面的的用戶(hù)任務(wù)需求求、相關(guān)政策策、法規(guī)、標(biāo)標(biāo)準(zhǔn)以及威脅脅。然后，ISSE將標(biāo)識(shí)信息系統(tǒng)統(tǒng)的具體用戶(hù)戶(hù)、他們與信息息系統(tǒng)和信息息的交互作用用的實(shí)質(zhì)以及及他們?cè)谛畔⑾⒈Ｗo(hù)生命周周期各階段的的角色、責(zé)任任和權(quán)力。在此過(guò)程中，，重要的一步步是應(yīng)用“最小權(quán)限””規(guī)則，用戶(hù)只能接接觸為完成其其工作所必不不可少的過(guò)程程和信息。信息保護(hù)需求求應(yīng)該來(lái)自于用戶(hù)的的視角，并且不能對(duì)對(duì)系統(tǒng)的設(shè)計(jì)計(jì)和實(shí)施造成成過(guò)度的限制制。任務(wù)信息威脅分析政策信息保護(hù)策略系統(tǒng)需求系統(tǒng)保護(hù)需求任務(wù)、安全威威脅和政策對(duì)對(duì)信息保護(hù)需需求的影響2、定義系統(tǒng)安安全要求信息系統(tǒng)安全全工程師要將將信息保護(hù)需需求分配到系系統(tǒng)中系統(tǒng)安全的背背景環(huán)境、概概要性的系統(tǒng)統(tǒng)安全CONOPS以及基線(xiàn)安全全要求均應(yīng)得得到確定。在確定系統(tǒng)的的安全背景環(huán)環(huán)境時(shí)，需要要定義系統(tǒng)的的邊界以及對(duì)對(duì)SE的接口，并要將安全功功能分配到目目標(biāo)系統(tǒng)和外外部系統(tǒng)中，，標(biāo)識(shí)出目標(biāo)標(biāo)系統(tǒng)和外部部系統(tǒng)之間的的數(shù)據(jù)流以及及這些數(shù)據(jù)流流的保護(hù)需求求IMM中的信息管理理需求以及IPP中的信息保護(hù)護(hù)需求均要在在目標(biāo)系統(tǒng)和和外部系統(tǒng)中中進(jìn)行分配，，在外部系統(tǒng)統(tǒng)中的功能分分配必須得到到系統(tǒng)所有者者的同意。定義系統(tǒng)安全全要求（續(xù)））信息系統(tǒng)安全全工程師要確確保所選擇的的解決方案集集能夠滿(mǎn)足任任務(wù)或業(yè)務(wù)的的安全需求，，系統(tǒng)邊界已已經(jīng)得到協(xié)調(diào)調(diào)，并確保安安全風(fēng)險(xiǎn)可以以達(dá)到可接受受的級(jí)別。信息系統(tǒng)安全全工程師將向向客戶(hù)提交安安全背景環(huán)境境、安全CONOPS以及系統(tǒng)安全全要求，并得得到客戶(hù)的認(rèn)認(rèn)同。3、設(shè)計(jì)系統(tǒng)安安全體系結(jié)構(gòu)構(gòu)信息系統(tǒng)安全全工程師要與與系統(tǒng)工程師師合作，一起起分析待建系系統(tǒng)的體系結(jié)結(jié)構(gòu)，完成功功能的分析和和分配，同時(shí)時(shí)分配安全服服務(wù)，并選擇擇安全機(jī)制。。信息系統(tǒng)安全全工程師還應(yīng)應(yīng)確定安全系系統(tǒng)的組件或或要素，將安安全功能分配配給這些要素素，并描述這這些要素間的的關(guān)系在本項(xiàng)活動(dòng)中中，信息系統(tǒng)統(tǒng)安全工程師師要與系統(tǒng)工工程師合作，，確保安全要要求能正確地地流向體系結(jié)結(jié)構(gòu)，且體系系結(jié)構(gòu)不會(huì)對(duì)對(duì)安全造成削削弱。設(shè)計(jì)系統(tǒng)安全全體系結(jié)構(gòu)（（續(xù)）信息系統(tǒng)安全全工程師要負(fù)負(fù)責(zé)向目標(biāo)系系統(tǒng)和外部系系統(tǒng)分配安全全要求，并確確保外部系統(tǒng)統(tǒng)可以支持這這些安全要求求。信息系統(tǒng)安全全工程師還要要在此項(xiàng)活動(dòng)動(dòng)中確定高層層安全機(jī)制（（例如加密和和數(shù)字簽名）），這樣，安安全機(jī)制間的的依賴(lài)性，例例如密鑰管理理和加密，才才能得到討論論和分配。信息系統(tǒng)安全全工程師還要要將安全機(jī)制制與安全服務(wù)務(wù)的強(qiáng)度相匹匹配，落實(shí)設(shè)設(shè)計(jì)中的約束束因素，分析析并記錄下發(fā)發(fā)現(xiàn)的不足，，實(shí)施互依賴(lài)賴(lài)分析，確定定安全機(jī)制的的可行性，并并評(píng)估這些安安全機(jī)制中存存在的任何殘殘余風(fēng)險(xiǎn)。4、開(kāi)展詳細(xì)的的安全設(shè)計(jì)信息系統(tǒng)安全全工程師應(yīng)分分析設(shè)計(jì)約束束和均衡取舍舍，完成詳細(xì)細(xì)的系統(tǒng)和安安全設(shè)計(jì)，并并考慮生命周周期的支持。。信息系統(tǒng)安全全工程師應(yīng)將將所有的系統(tǒng)統(tǒng)安全要求跟跟蹤至系統(tǒng)組組件，直至無(wú)無(wú)一遺漏。最終的詳細(xì)安安全設(shè)計(jì)結(jié)果果應(yīng)反映出組組件和接口規(guī)規(guī)范，為系統(tǒng)統(tǒng)實(shí)現(xiàn)時(shí)的采采辦工作提供供充分的信息息。開(kāi)展詳細(xì)的安安全設(shè)計(jì)（續(xù)續(xù)）在本活動(dòng)中，，信息系統(tǒng)安安全工程師將將確保對(duì)安全全體系結(jié)構(gòu)的的遵循，實(shí)施施均衡取舍研研究，并定義義系統(tǒng)安全的的設(shè)計(jì)要素，，包括：1）向系統(tǒng)安全設(shè)設(shè)計(jì)要素中分分配安全機(jī)制制；2）確定備選的商商業(yè)現(xiàn)貨（COTS）/政府現(xiàn)貨（GOTS）安全產(chǎn)品；3）確定需要定制制的安全產(chǎn)品品；4）檢驗(yàn)設(shè)計(jì)計(jì)要素和系統(tǒng)統(tǒng)接口（內(nèi)部部及外部）；；5）制定規(guī)范（例例如CC的保護(hù)輪廓））。5、實(shí)現(xiàn)系統(tǒng)安安全“實(shí)現(xiàn)系統(tǒng)安安全”的目標(biāo)標(biāo)是采辦、集集成、配置、、測(cè)試、記錄錄和培訓(xùn)，它它使系統(tǒng)從設(shè)設(shè)計(jì)轉(zhuǎn)入運(yùn)行行。該項(xiàng)活動(dòng)的結(jié)結(jié)束標(biāo)志是最最終系統(tǒng)有效效性評(píng)估行為為，給出系統(tǒng)統(tǒng)滿(mǎn)足要求和和任務(wù)需求的的證據(jù)。實(shí)現(xiàn)系統(tǒng)安全全（續(xù)）在該階段，信信息系統(tǒng)安全全工程師將：：1）提供對(duì)認(rèn)證和和認(rèn)可（C&A）過(guò)程的輸入入；2）驗(yàn)證系統(tǒng)的確確能夠防御此此前的威脅評(píng)評(píng)估中確定的的威脅；3）跟蹤或參參與信息保護(hù)護(hù)保障機(jī)制在在系統(tǒng)實(shí)現(xiàn)和和測(cè)試活動(dòng)中中的運(yùn)用；4）審查系統(tǒng)的生生命周期計(jì)劃劃、運(yùn)行流程程以及運(yùn)轉(zhuǎn)培培訓(xùn)材料，并并向這些文檔檔提供輸入；；5）實(shí)施正式的信信息保護(hù)評(píng)估估，為最終的的系統(tǒng)有效性性評(píng)估作出準(zhǔn)準(zhǔn)備；6）參與對(duì)所有系系統(tǒng)事項(xiàng)作出出的多學(xué)科檢檢查。實(shí)現(xiàn)系統(tǒng)安全全（續(xù)）選擇需要在解解決方案中集集成的具體安安全產(chǎn)品是本本階段的工作作任務(wù)之一。。這些產(chǎn)品可通通過(guò)購(gòu)買(mǎi)、租租用、借貸等等多種選擇來(lái)來(lái)獲得，影響響選擇的因素素包括組件成成本、可用性性、形式以及及適宜性。其它的因素包包括系統(tǒng)組件件的依賴(lài)性效效果、組件的的最低性能可可能對(duì)系統(tǒng)性性能的影響以以及組件或替替代品在將來(lái)來(lái)的可用性。。不能購(gòu)買(mǎi)的組組件必須自制制。所有的接口均均需要測(cè)試，，系統(tǒng)和設(shè)計(jì)計(jì)工程師將撰撰寫(xiě)測(cè)試流程程，并通過(guò)集集成測(cè)試將驗(yàn)驗(yàn)證子系統(tǒng)或或系統(tǒng)的性能能在集成和測(cè)試試時(shí)，重要的的一項(xiàng)工作是是記錄下安裝裝、操作、維維護(hù)和支持的的流程。6、評(píng)估信息保保護(hù)的有效性性評(píng)估信息保護(hù)護(hù)的有效性活活動(dòng)跨越了整整個(gè)SE/ISSE過(guò)程，下表摘摘要描述了ISSE各項(xiàng)活動(dòng)中的的有效性評(píng)估估任務(wù)。ISSE活動(dòng)評(píng)估信息保護(hù)的有效性任務(wù)發(fā)掘信息保護(hù)需求?

縱覽整個(gè)過(guò)程。?

概述信息模型。?

描述任務(wù)或業(yè)務(wù)的信息攻擊威脅。?

針對(duì)信息威脅建立安全服務(wù)，確定安全服務(wù)對(duì)客戶(hù)的相對(duì)重要性。?

得到客戶(hù)對(duì)本階段活動(dòng)結(jié)論的認(rèn)同，作為判斷系統(tǒng)安全有效性的基礎(chǔ)。定義系統(tǒng)安全要求?

確保所選擇的解決方案集滿(mǎn)足了任務(wù)或業(yè)務(wù)的安全需求。?

協(xié)調(diào)系統(tǒng)邊界。?

向客戶(hù)提供并展示安全背景環(huán)境、安全CONOPS以及系統(tǒng)安全要求，并獲得客戶(hù)的認(rèn)同。?

確保預(yù)期的安全風(fēng)險(xiǎn)能被客戶(hù)接受。設(shè)計(jì)系統(tǒng)安全體系結(jié)構(gòu)?

開(kāi)展正式的風(fēng)險(xiǎn)分析，確保所選擇的安全機(jī)制能夠提供所需的安全服務(wù)，并向客戶(hù)解釋安全體系結(jié)構(gòu)如何滿(mǎn)足安全要求。開(kāi)展詳細(xì)的安全設(shè)計(jì)?

執(zhí)行互依賴(lài)分析，比較安全機(jī)制的強(qiáng)度，審查所選擇的安全服務(wù)和機(jī)制是否能夠?qū)剐畔⑼{。?

一旦完成設(shè)計(jì)，風(fēng)險(xiǎn)評(píng)估的結(jié)果，尤其是風(fēng)險(xiǎn)減緩需求和殘余風(fēng)險(xiǎn)，將得到記錄，并獲得客戶(hù)的認(rèn)同。實(shí)現(xiàn)系統(tǒng)安全?

實(shí)施并更新風(fēng)險(xiǎn)分析。?

制定風(fēng)險(xiǎn)減緩戰(zhàn)略。?

標(biāo)識(shí)風(fēng)險(xiǎn)可能對(duì)任務(wù)帶來(lái)的影響，并通知客戶(hù)和認(rèn)可員及認(rèn)證員。四、風(fēng)險(xiǎn)分析析1、資產(chǎn)保護(hù)2、風(fēng)險(xiǎn)管理1、資產(chǎn)保護(hù)任何有效的風(fēng)風(fēng)險(xiǎn)分析始于于需要保護(hù)的的資產(chǎn)和資源源的鑒別。1.1資產(chǎn)的類(lèi)型1）物理資源源：物理資源是具具有物理形態(tài)態(tài)的資產(chǎn)包括工作站、、服務(wù)器、終終端、網(wǎng)絡(luò)設(shè)設(shè)備、外圍設(shè)設(shè)備等，基本本上，凡是具具有物理形態(tài)態(tài)的計(jì)算資源源都是物理資資源。2）知識(shí)資源：：和物理資源相相比，知識(shí)資資源更難鑒別別，因?yàn)樗恢灰噪娮拥男涡问酱嬖谥R(shí)資源可以以是任何信息息的形式，并并且在組織的的事務(wù)處理中中起一定的作作用。它包括軟件、、財(cái)務(wù)信息、、數(shù)據(jù)庫(kù)記錄錄以及計(jì)劃圖圖表等。例如如，公司通過(guò)過(guò)電子郵件交交換信息，這這些電子報(bào)文文的存儲(chǔ)應(yīng)看看成知識(shí)資產(chǎn)產(chǎn)。資產(chǎn)的類(lèi)型（（續(xù)）3）時(shí)間資源：時(shí)間也是一一個(gè)重要的資資源，甚至是是一個(gè)組織最最有價(jià)值的資資源當(dāng)評(píng)估時(shí)間損損失對(duì)一個(gè)組組織的影響時(shí)時(shí)，應(yīng)考慮由由于時(shí)間損失失引起的全部部后果。4）信譽(yù)（感覺(jué)覺(jué)）資源在2000年2月，大部分網(wǎng)網(wǎng)絡(luò)公司諸如如Yahoo、Amazon、eBay和B等在受到拒絕絕服務(wù)攻擊以以后，他們的的股票價(jià)狂跌跌。雖然這是是暫時(shí)的，但但足以說(shuō)明消消費(fèi)者和股票票持有者對(duì)他他們的可信度度確實(shí)存在影影響，且可測(cè)測(cè)量。1.2潛在的攻擊源源潛在的網(wǎng)絡(luò)攻攻擊可來(lái)自任何能能訪(fǎng)問(wèn)網(wǎng)絡(luò)的的源，這些源之間間有很大差異異，它依賴(lài)于于一個(gè)組織的的規(guī)模以及提提供的網(wǎng)絡(luò)訪(fǎng)訪(fǎng)問(wèn)的類(lèi)型。。當(dāng)作風(fēng)險(xiǎn)分析析時(shí)，要能識(shí)識(shí)別所有的攻攻擊源這些攻擊源包包括內(nèi)部系統(tǒng)、來(lái)自辦公室的的訪(fǎng)問(wèn)、通過(guò)廣域網(wǎng)聯(lián)聯(lián)到經(jīng)營(yíng)伙伴伴的訪(fǎng)問(wèn)、通過(guò)Internet的訪(fǎng)問(wèn)，以及通過(guò)modem池的訪(fǎng)問(wèn)等。1.3資產(chǎn)的有效保保護(hù)資產(chǎn)一旦受到到威脅和破壞壞，就會(huì)帶來(lái)來(lái)兩類(lèi)損失1）即時(shí)的損失失，如由于系統(tǒng)被被破壞，員工工無(wú)法使用，，因而降低了了勞動(dòng)生產(chǎn)率率。2）長(zhǎng)期的恢復(fù)復(fù)所需花費(fèi)，也就是從攻攻擊或失效到到恢復(fù)正常需需要的花費(fèi)，，例如，受到到拒絕服務(wù)攻攻擊，在一定定期間內(nèi)資源源無(wú)法訪(fǎng)問(wèn)帶帶來(lái)的損失。。為了有效保護(hù)護(hù)資產(chǎn)，應(yīng)盡盡可能降低資資產(chǎn)受危害的的潛在代價(jià)；；另一方面，，由于采取一一些安全措施施，也要付出出安全的操作作代價(jià)信息安全最終終是一個(gè)折中中的方案，需要對(duì)危害害和降低危害害的代價(jià)進(jìn)行行權(quán)衡。資產(chǎn)的有效保保護(hù)（續(xù)）在評(píng)估時(shí)要考考慮網(wǎng)絡(luò)的現(xiàn)現(xiàn)有環(huán)境，以以及近期和遠(yuǎn)遠(yuǎn)期網(wǎng)絡(luò)發(fā)展展變化的趨勢(shì)勢(shì)選用先進(jìn)的安安全體系結(jié)構(gòu)構(gòu)和系統(tǒng)安全全平臺(tái)可減少少安全操作代代價(jià)，獲得良良好的安全強(qiáng)強(qiáng)度。要獲得安全強(qiáng)度和安安全代價(jià)的折折中，需要考慮以以下因素：1）用戶(hù)的方便便程度，不應(yīng)由于增增加安全強(qiáng)度度給用戶(hù)帶來(lái)來(lái)很多麻煩。。2）管理的復(fù)雜雜性，對(duì)增加安全全強(qiáng)度的網(wǎng)絡(luò)絡(luò)系統(tǒng)要易于于配置、管理理。3）對(duì)現(xiàn)有系統(tǒng)統(tǒng)的影響，包括增加的的性能開(kāi)銷(xiāo)以以及對(duì)原有環(huán)環(huán)境的改變等等。4）對(duì)不同平臺(tái)臺(tái)的支持，網(wǎng)絡(luò)安全系系統(tǒng)應(yīng)能適應(yīng)應(yīng)不同平臺(tái)的的異構(gòu)環(huán)境的的使用。安全強(qiáng)度和安安全代價(jià)的折折中為了有效保護(hù)護(hù)資產(chǎn)，需要性能良好好的安全系統(tǒng)統(tǒng)結(jié)構(gòu)和安全全系統(tǒng)平臺(tái)，，能以小的安安全代價(jià)換取取高的安全強(qiáng)強(qiáng)度。2、風(fēng)險(xiǎn)管理從本質(zhì)上講，，安全就是風(fēng)險(xiǎn)險(xiǎn)管理一個(gè)組織者如如果不了解其其信息資產(chǎn)的的安全風(fēng)險(xiǎn)，，很多資源就就會(huì)被錯(cuò)誤地地使用。風(fēng)險(xiǎn)管理提供供信息資產(chǎn)評(píng)評(píng)估的基礎(chǔ)通過(guò)風(fēng)險(xiǎn)識(shí)別別，可以知道道一些特殊類(lèi)類(lèi)型的資產(chǎn)價(jià)價(jià)值以及包含含這些信息的的系統(tǒng)的價(jià)值值。2.1風(fēng)險(xiǎn)的概念風(fēng)險(xiǎn)是構(gòu)成安安全基礎(chǔ)的基基本觀念，指丟失需要保保護(hù)的資產(chǎn)的的可能性如果沒(méi)有風(fēng)險(xiǎn)險(xiǎn)，就不需要要安全了。風(fēng)險(xiǎn)＝威脅＋＋漏洞風(fēng)險(xiǎn)是威脅和和漏洞的綜合合結(jié)果。沒(méi)有漏洞的威威脅沒(méi)有風(fēng)險(xiǎn)險(xiǎn)，沒(méi)有威脅脅的漏洞也沒(méi)沒(méi)有風(fēng)險(xiǎn)。漏洞和威脅的的關(guān)系漏洞漏洞是攻擊的的可能途徑漏洞有可能存存在于計(jì)算機(jī)機(jī)系統(tǒng)和網(wǎng)絡(luò)絡(luò)中，它允許許打開(kāi)系統(tǒng)，，使技術(shù)攻擊擊得逞；漏洞也有可能能存在于管理理過(guò)程中，它它使系統(tǒng)環(huán)境境對(duì)攻擊開(kāi)放放。漏洞的多少是是由需要打開(kāi)系統(tǒng)統(tǒng)的技術(shù)熟練練水平和困難程度來(lái)確定的，還還要考慮系統(tǒng)統(tǒng)暴露的后果果如果漏洞易于于暴露，并且且一旦受到攻攻擊，攻擊者者可以完全控控制系統(tǒng)，則則稱(chēng)高值漏洞或高高脆弱性。如果攻擊者需需要對(duì)設(shè)備和和人員投入很很多資源，漏漏洞才能暴露露，并且受到到攻擊后，也也只能獲取一一般信息，而而非敏感信息息，則稱(chēng)低值漏洞或低低脆弱性。威脅威脅是一個(gè)可能破壞信息息系統(tǒng)環(huán)境安安全的動(dòng)作或或事件。威脅包含以下下3個(gè)組成部分：：1）目標(biāo)：威脅的目標(biāo)通通常是針對(duì)安安全屬性或安安全服務(wù)，包括機(jī)密性性、完整性、、可用性、可可審性等。這這些目標(biāo)是在在威脅背后的的真正理由或或動(dòng)機(jī)。2）代理（攻擊擊主體），有3個(gè)特性訪(fǎng)問(wèn)：代理必須有訪(fǎng)訪(fǎng)問(wèn)所需要系系統(tǒng)、網(wǎng)絡(luò)、、設(shè)施或信息息的能力。知識(shí)：代理必須具有有目標(biāo)的知識(shí)識(shí)，有用的知知識(shí)包括用戶(hù)戶(hù)ID、口令、文件件位置、物理理訪(fǎng)問(wèn)過(guò)程、、員工的名字字、訪(fǎng)問(wèn)電話(huà)話(huà)號(hào)碼、網(wǎng)絡(luò)絡(luò)地址、安全全程序等。動(dòng)機(jī)：一個(gè)代理對(duì)目目標(biāo)發(fā)出威脅脅，需要有動(dòng)動(dòng)機(jī)，通常動(dòng)動(dòng)機(jī)是考慮代代理攻擊目標(biāo)標(biāo)的關(guān)鍵特性性。威脅（續(xù)）根據(jù)代理的3個(gè)特性，應(yīng)該該考慮的代理理可能是各種種各樣的，包包括員工、和和組織有關(guān)的的外部員工、、黑客、商業(yè)業(yè)對(duì)手、恐怖怖分子、罪犯犯、客戶(hù)、訪(fǎng)訪(fǎng)問(wèn)者以及自自然災(zāi)害等。。3）事件（攻擊擊行為）：事件是代理采采取的行為，，從而導(dǎo)致對(duì)對(duì)組織的傷害害例如，一個(gè)黑黑客改變一個(gè)個(gè)組織的Web頁(yè)面來(lái)傷害它它。另外要考考慮的是假如如代理得到訪(fǎng)訪(fǎng)問(wèn)會(huì)產(chǎn)生什什么樣的傷害害。常見(jiàn)的事件如如下：對(duì)信息息、系統(tǒng)、場(chǎng)場(chǎng)地濫用授權(quán)權(quán)訪(fǎng)問(wèn)；惡意意地改變信息息；偶然地地改變信息；；對(duì)信息、、系統(tǒng)、場(chǎng)地地非授權(quán)訪(fǎng)問(wèn)問(wèn)；被動(dòng)地竊竊聽(tīng)通信；等等等。風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)可劃分成成低、中、高３３個(gè)級(jí)別：1）低級(jí)別風(fēng)險(xiǎn)險(xiǎn)是漏洞使組織織的風(fēng)險(xiǎn)達(dá)到到一定水平，，然而不一定定發(fā)生。如有可可能應(yīng)應(yīng)將這這些漏漏洞去去除，但應(yīng)應(yīng)權(quán)衡衡去除除漏洞洞的代代價(jià)和和能減減少的的風(fēng)險(xiǎn)險(xiǎn)損失失。2）中級(jí)級(jí)別風(fēng)風(fēng)險(xiǎn)是漏洞洞使組組織的的信息息系統(tǒng)統(tǒng)或場(chǎng)場(chǎng)地的的風(fēng)險(xiǎn)險(xiǎn)（機(jī)機(jī)密性性、完完整性性、可可用性性、可可審性性）達(dá)達(dá)到相相當(dāng)?shù)牡乃狡?，并并且已已有發(fā)發(fā)生事事件的的現(xiàn)實(shí)實(shí)可能能性。。應(yīng)采取取措施施去除除漏洞洞。3）高級(jí)級(jí)別風(fēng)風(fēng)險(xiǎn)是漏洞洞對(duì)組組織的的信息息、系系統(tǒng)或或場(chǎng)地地的機(jī)機(jī)密性性、完完整性性、可可用性性和可可審性性已構(gòu)構(gòu)成現(xiàn)現(xiàn)實(shí)危危害，，必須立立即采采取措措施去去除漏漏洞。2.2風(fēng)險(xiǎn)識(shí)識(shí)別對(duì)一個(gè)個(gè)組織織而言言，識(shí)識(shí)別風(fēng)風(fēng)險(xiǎn)除除了要要識(shí)別別漏洞和威脅外，還還應(yīng)考考慮已有的的對(duì)策策和預(yù)預(yù)防措措施2.2.1識(shí)別漏漏洞識(shí)別漏漏洞時(shí)時(shí)，從確定定對(duì)該該組織織的所所有入入口開(kāi)開(kāi)始，，也就就是尋尋找該該組織織內(nèi)的的系統(tǒng)統(tǒng)和信信息的的所有有訪(fǎng)問(wèn)問(wèn)點(diǎn)這些入入口包包括Internet的連接接、遠(yuǎn)遠(yuǎn)程訪(fǎng)訪(fǎng)問(wèn)點(diǎn)點(diǎn)、與與其他他組織織的連連接、、設(shè)備備的物物理訪(fǎng)訪(fǎng)問(wèn)以以及用用戶(hù)訪(fǎng)訪(fǎng)問(wèn)點(diǎn)點(diǎn)等。。對(duì)每個(gè)個(gè)訪(fǎng)問(wèn)問(wèn)點(diǎn)識(shí)識(shí)別可可訪(fǎng)問(wèn)問(wèn)的信信息和和系統(tǒng)統(tǒng)，然然后識(shí)識(shí)別如如何通通過(guò)入入口訪(fǎng)訪(fǎng)問(wèn)這這些信信息和和系統(tǒng)統(tǒng)，應(yīng)應(yīng)該包包括操操作系系統(tǒng)和和應(yīng)用用程序序中所所有已已知的的漏洞洞。2.2.2識(shí)別現(xiàn)現(xiàn)實(shí)的的威脅脅一個(gè)目目標(biāo)威威脅是是對(duì)一一個(gè)已已知的的目標(biāo)標(biāo)具有有已知的的代理理、已已知的的動(dòng)機(jī)機(jī)、已已知的的訪(fǎng)問(wèn)問(wèn)和執(zhí)執(zhí)行已已知的的事件件的組組合。例如，，有一一個(gè)不不滿(mǎn)意意的員員工（（代理）希望望得到到正在在該組組織進(jìn)進(jìn)行的的最新新設(shè)計(jì)計(jì)的知知識(shí)（（動(dòng)機(jī)），該該員工工能訪(fǎng)訪(fǎng)問(wèn)組組織的的信息息系統(tǒng)統(tǒng)（訪(fǎng)問(wèn)），并并知道道信息息存放放的位位置（（知識(shí)）。該該員工工正窺窺測(cè)新新設(shè)計(jì)計(jì)的機(jī)機(jī)密并并且企企圖獲獲得所所需文文件。。識(shí)別所所有的的目標(biāo)標(biāo)威脅脅是非常費(fèi)費(fèi)時(shí)和和困難難的可以變變更一一種方方法，，即假假設(shè)存存在一一個(gè)威威脅的的通用用水平平，這個(gè)個(gè)威脅脅可能能包括括任何何具有有訪(fǎng)問(wèn)問(wèn)組織織信息息或系系統(tǒng)的的可能能性的的人。。假如假假設(shè)一一個(gè)通通用的的威脅脅，就就能檢檢查組組織內(nèi)內(nèi)允許許這些些訪(fǎng)問(wèn)問(wèn)發(fā)生生可能能產(chǎn)生生的漏漏洞。。2.2.3檢查對(duì)對(duì)策和和預(yù)防防措施施在分析析評(píng)估估攻擊擊的可可能途途徑時(shí)時(shí)，必必須同同時(shí)檢檢查如果漏漏洞真真正存存在，，相應(yīng)應(yīng)環(huán)境境采取取的對(duì)對(duì)策和和預(yù)防防措施施。這些預(yù)預(yù)防措措施包包括防防火墻墻、防防病毒毒軟件件、訪(fǎng)訪(fǎng)問(wèn)控控制、、雙因因子身身份鑒鑒別系系統(tǒng)、、仿生生網(wǎng)絡(luò)絡(luò)安全全程序序、用用于訪(fǎng)訪(fǎng)問(wèn)設(shè)設(shè)備的的卡讀讀出器器、文文件訪(fǎng)訪(fǎng)問(wèn)控控制、、對(duì)員員工進(jìn)進(jìn)行安安全培