信息安全工程實施

第四章信息平安工程實施4.1概述4.2平安規(guī)劃與控制4.3平安需求的定義4.4平安設(shè)計支持4.5平安運行分析4.6生命周期平安支持4.7信息平安工程的過程4.1概述

通過前面章節(jié)的學(xué)習(xí)，我們知道信息平安工程是采用工程的概念、原理、技術(shù)和方法，來研究、開發(fā)、實施與維護信息系統(tǒng)平安的過程，是將經(jīng)過時間考驗證明是正確的工程實施流程、管理技術(shù)和當(dāng)前能夠得到的最好的技術(shù)方法相結(jié)合的過程。4.1.1信息平安工程的重要性1〕信息系統(tǒng)大量用于政府、國防、民用部門和個人；2〕信息系統(tǒng)存在弱點和漏洞，使用者存在偶然或成心的違規(guī)操作行為，使得信息系統(tǒng)資源隨著訪問的增加而增加了被非法訪問或使用的可能性。3〕技術(shù)的開展使得信息系統(tǒng)的獲取方式正逐漸從專用系統(tǒng)向集成商用現(xiàn)貨設(shè)備和政府現(xiàn)貨設(shè)備的新方向轉(zhuǎn)移。4.1.2信息平安工程與系統(tǒng)工程的關(guān)系信息平安工程并不是一個獨立的過程，它依賴并支持系統(tǒng)工程和獲取過程，而且是獲取過程不可分割的一部份。信息平安工程過程的目標(biāo)是提供一個框架。每個工程工程都可以對這個框架進行裁剪以符合自己特定的需求。4.1.2信息平安工程與系統(tǒng)工程的關(guān)系信息平安工程是系統(tǒng)平安工程〔SSE，SystemSecurityEngineering〕、系統(tǒng)工程〔SE，SystemEngineering〕和系統(tǒng)獲取〔SA，SystemAcquisition〕在信息系統(tǒng)平安方面的具體表達。4.1.2信息平安工程與系統(tǒng)工程的關(guān)系信息平安工程是對系統(tǒng)工程的一種約束，它需要逐步獲得開展，并對集成的、生命周期均衡的、滿足客戶信息系統(tǒng)平安需求的一系列系統(tǒng)產(chǎn)品和過程進行驗證的解決方案。信息平安工程列出系統(tǒng)的平安風(fēng)險，并使這些風(fēng)險減至最少或得到控制。信息平安工程的奉獻

信息平安工程對平安特性的奉獻如以下圖所示：信息安全工程的有關(guān)活動及其貢獻安全風(fēng)險管理生存周期安全支持安全操作分析和支持安全策劃分析和控制系統(tǒng)安全需求分析和確定安全設(shè)計支持安全開發(fā)集成系統(tǒng)安全性驗證信息平安工程對平安特性的奉獻4.1.3信息平安工程的生命周期根本信息平安工程的生命周期和執(zhí)行如以下圖所示，信息平安工程小組參與以下活動：系統(tǒng)總體規(guī)劃，分析和控制，要求分析，設(shè)計，開發(fā)/集成，驗證，運行和對有平安需求的系統(tǒng)提供生命期支持。4.1.3信息平安工程的生命周期在過程中間階段的前期，信息或概念得到實現(xiàn)、驗證并證實有效之后即投入長久的運行使用；在過程中期階段的后期，信息或概念被使用、支持，并在必要時得到修改，最后進行部署。4.1.3信息平安工程的生命周期信息平安工程過程包括了一系列與系統(tǒng)工程的各個階段和事件相對應(yīng)的平安工程功能。各種功能間的相互協(xié)調(diào)是反復(fù)運用以下圖的根本過程來實現(xiàn)的。以下圖中的每一豎格代表生命周期的一個階段，每一橫格代表了一個根本的信息平安工程功能。該圖中兩者的縱橫交叉說明在系統(tǒng)的任一階段，信息平安工程的任何一個功能都應(yīng)考慮到。先期概念概念要求系統(tǒng)設(shè)計初步設(shè)計詳細(xì)設(shè)計實現(xiàn)和測試配置追蹤運行和支持系統(tǒng)工程的各個階段平安規(guī)劃控制平安需求定義平安設(shè)計支持平安運行分析生命期平安支持信息平安工程功能任務(wù)需求說明可選系統(tǒng)評審系統(tǒng)需求評審系統(tǒng)功能評審初步設(shè)計評審關(guān)鍵設(shè)計評審系統(tǒng)驗證評審物理配置評審系統(tǒng)事件平安風(fēng)險管理4.1.3信息平安工程的生命周期雖然不同工程中的每一個階段所花時間和精力可能不同，但一般統(tǒng)計情況是大量的精力花在生命期開發(fā)之后，花在系統(tǒng)的運行和支持階段，花在大大小小的修改當(dāng)中。4.1.3信息平安工程的生命周期上圖的信息平安根本功能的活動包括：〔1〕對平安活動進行規(guī)劃和控制；〔2〕平安需求定義；〔3〕平安設(shè)計支持〔包括頂層體系定義和對詳細(xì)設(shè)計實現(xiàn)的支持〕；〔4〕平安運行分析；〔5〕生命期平安支持；〔6〕平安風(fēng)險管理。信息平安工程的生命周期在系統(tǒng)獲取和系統(tǒng)工程生命期的每一個階段和事件中，以上活動都是并行的，同時各個活動之間是互相影響的。每個信息平安工程功能至少有以下三種模式：為功能實現(xiàn)做準(zhǔn)備；實現(xiàn)功能；當(dāng)系統(tǒng)發(fā)生變動時或有新情況出現(xiàn)時，對功能作出相應(yīng)的改動。4.2平安規(guī)劃與控制系統(tǒng)和平安工程的管理與規(guī)劃活動，開始于一個機構(gòu)從業(yè)務(wù)角度決定承擔(dān)該工程的時候。它們是信息平安工程過程的根本局部，因此要求它們必須成功。如果平安規(guī)劃做得好，就能夠為系統(tǒng)把平安需求轉(zhuǎn)換為有效的設(shè)計與實現(xiàn)提供堅實的根底。4.2平安規(guī)劃與控制一項重要的早期活動就是要組成恰當(dāng)?shù)亩鄬W(xué)科信息平安工程小組，以便將相關(guān)學(xué)科綜合和協(xié)調(diào)到規(guī)劃中去。這包括在較廣泛的系統(tǒng)工程小組內(nèi)確定信息平安工程的需求，并針對這些需求來組建信息平安工程小組。4.2.1商業(yè)決策和工程規(guī)劃

在商業(yè)規(guī)劃和決策中，首席信息平安工程師首先閱讀現(xiàn)有程序性文件，并與客戶就可能的小組安排和支持需求進行討論，然后據(jù)此準(zhǔn)備一份參與該工程的小組人員配備預(yù)案。4.2.1商業(yè)決策和工程規(guī)劃

信息平安工程小組應(yīng)當(dāng)進行恰當(dāng)?shù)囊?guī)劃，以便實現(xiàn)信息平安工程中主要功能中的每一項功能：平安規(guī)劃和控制、平安需求定義，平安風(fēng)險管理及其相關(guān)的平安驗證和證實活動。4.2.2信息平安工程小組在規(guī)劃一個信息系統(tǒng)工程時，作為商業(yè)規(guī)劃決策的一個結(jié)果就是要指定信息平安工程小組成員和首席信息系統(tǒng)平安工程師。在工程的初級階段，作出這個正式的商業(yè)決策之前，可能由信息系統(tǒng)平安客戶聯(lián)絡(luò)代表來履行信息系統(tǒng)平安工程師的職責(zé)。在商業(yè)規(guī)劃決策過程中，首席信息平安工程師首先要閱讀現(xiàn)有的程序性文件，并與客戶就可能的小組安排和支持需求進行討論，然后據(jù)此準(zhǔn)備一份參與該工程的小組人員配備預(yù)案。4.2.2信息平安工程小組首席信息系統(tǒng)平安工程師領(lǐng)導(dǎo)著整個信息系統(tǒng)平安工程小組，同時也在廣泛的系統(tǒng)工程小組內(nèi)充當(dāng)首席信息系統(tǒng)平安專家。4.2.2信息平安工程小組信息平安工程小組所扮演的角色，包括充當(dāng)平安指導(dǎo)和生命期信息系統(tǒng)平安工程師，并由其他小組的信息系統(tǒng)平安技術(shù)專家進行協(xié)助。對于較小的工程，可能要求首席信息平安工程師去充當(dāng)信息平安工程小組的假設(shè)干甚至是全部的功能角色。4.2.2信息平安工程小組而對于非常大或急需的工程，那么可能需要假設(shè)干人來扮演信息平安工程小組成員的角色。信息平安工程小組成員的實際數(shù)量，根本的信息系統(tǒng)平安人員，以及它們各自的工作水平應(yīng)根據(jù)工程工程的規(guī)模、敏感性和可用資源的相對優(yōu)先權(quán)等的不同而各異。4.2.2信息平安工程小組在商業(yè)規(guī)劃決策過程中，信息平安工程小組應(yīng)當(dāng)對與支持該方案的信息系統(tǒng)平安元素相關(guān)的其它直接費用支出作出預(yù)算，這些費用支出可能包括下面幾項：差旅費、測試設(shè)備、軟件或設(shè)施費用、工程工具費用和承包商支持效勞費用。4.2.2信息平安工程小組在工程開發(fā)初期，信息平安工程小組應(yīng)該做的也是最重要的事情之一就是要同客戶方建立積極的工作關(guān)系和良好的通信聯(lián)絡(luò)。其目的是為了理解工程的目標(biāo)、費用和進度參數(shù)，工程的獲取和工程方法以及系統(tǒng)工程和獲取小組結(jié)構(gòu)等。4.2.2信息平安工程小組信息平安工程小組需要同客戶在下面兩個方面達成相互理解：一是信息平安工程小組在系統(tǒng)工程和獲取過程中的作用；二是它應(yīng)當(dāng)如何與系統(tǒng)用戶、系統(tǒng)開發(fā)/集成小組和C&A小組進行最正確的相互協(xié)作。4.2.2信息平安工程小組為了提供覆蓋系統(tǒng)整個生命期的信息系統(tǒng)平安工程，至少應(yīng)當(dāng)在初始開發(fā)周期即將完結(jié)的時候指定生命期信息系統(tǒng)平安工程師〔LCIE，Life-CycleINFOSECEngineer〕，LCIE可以由來自信息平安工程小組的原派出機構(gòu)的人員或其他平安人員以及來自客戶或最終用戶機構(gòu)的人員來充當(dāng)。4.2.2信息平安工程小組理想情況下，在并行支持工程能力上，LCIE應(yīng)當(dāng)是信息平安工程小組在整個系統(tǒng)生命期中一個不可分割的局部。隨著系統(tǒng)進入運行和支持階段，LCIE接管信息系統(tǒng)平安小組的領(lǐng)導(dǎo)權(quán)。LCIE也可以像前階段的首席信息平安工程專家一樣，在需要時由其他技術(shù)專家進行協(xié)助。4.2.3對認(rèn)證和認(rèn)可〔C&A〕的信息平安工程輸入規(guī)劃信息平安工程小組應(yīng)當(dāng)同客戶一起工作，以便在盡可能早的最初階段確認(rèn)系統(tǒng)的指定批準(zhǔn)機構(gòu)和其他的平安C&A小組參與者，然后再同C&A小組一起工作以便定義和規(guī)劃信息平安工程對C&A的支持內(nèi)容。雖然主要是系統(tǒng)工程辦事機構(gòu)同C&A小組聯(lián)系，但信息平安工程小組也將同他們直接接觸。4.2.3對認(rèn)證和認(rèn)可〔C&A〕的信息平安工程輸入規(guī)劃平安認(rèn)證〔SecurityCertification〕是對一個系統(tǒng)在技術(shù)上的和非技術(shù)上的平安特征，以及其他保護措施綜合進行的獨立評估，目的是確定特定系統(tǒng)在所處環(huán)境條件下的使用滿足指定平安需求集合的程度。4.2.3對認(rèn)證和認(rèn)可〔C&A〕的信息平安工程輸入規(guī)劃理想條件下，認(rèn)證活動應(yīng)分步在系統(tǒng)整個生命期的各個階段。平安認(rèn)證同平安驗證和風(fēng)險評估相互聯(lián)系，應(yīng)當(dāng)在整個系統(tǒng)生命期內(nèi)由C&A負(fù)責(zé)人員不斷地評審和修正。C&A過程中的認(rèn)證階段應(yīng)包括一份系統(tǒng)分析說明，以確認(rèn)在特定環(huán)境下運行一個具有特定對抗措施的系統(tǒng)時可能出現(xiàn)的平安風(fēng)險。對認(rèn)證和認(rèn)可〔C&A〕的信息

平安工程輸入規(guī)劃平安認(rèn)可〔SecurityAccreditation〕的規(guī)劃也應(yīng)當(dāng)在系統(tǒng)生命期的開始階段完成。平安認(rèn)可是由獨立的指定批準(zhǔn)機構(gòu)給出的正式平安聲明，即聲明一個系統(tǒng)如果是在使用指定保護措施集合的特定環(huán)境內(nèi)運行，那么是獲得批準(zhǔn)的，而且認(rèn)可應(yīng)強調(diào)以認(rèn)證期間所識別的殘留平安風(fēng)險為根底。4.2.3對認(rèn)證和認(rèn)可〔C&A〕的信息平安工程輸入規(guī)劃如果C&A小組或系統(tǒng)工程辦事機構(gòu)沒有特別要求的話，信息平安工程小組應(yīng)當(dāng)努力提供C&A所必需的全部信息系統(tǒng)平安信息和產(chǎn)品，以成功地完成平安認(rèn)證工作工程并取得有利的平安認(rèn)可決策。4.2.3對認(rèn)證和認(rèn)可〔C&A〕的信息平安工程輸入規(guī)劃信息平安工程小組提供給C&A的東西包括：〔1〕平安目標(biāo)和需求陳述；〔2〕平安保證規(guī)劃；〔3〕平安威脅分析結(jié)果；〔4〕平安相關(guān)的設(shè)計信息，包括接口標(biāo)準(zhǔn)；〔5〕與外部系統(tǒng)接口相互作用的信息〔從對這些系統(tǒng)的功能、性能和平安情況的觀察中得到〕；〔6〕需求驗證可跟蹤模版或別的相關(guān)決策數(shù)據(jù)庫信息；〔7〕系統(tǒng)平安運行方案、方案和其他分析；〔8〕生命期平安支持方案；4.2.3對認(rèn)證和認(rèn)可〔C&A〕的信息平安工程輸入規(guī)劃〔9〕平安測試或其他驗證方案和數(shù)據(jù)；〔10〕平安風(fēng)險評估/風(fēng)險評審報告；〔11〕適用的產(chǎn)品平安特性文件和產(chǎn)品平安評估報告；〔12〕適宜時，參與C&A相關(guān)的工作組；〔13〕系統(tǒng)平安評估和描述判決的輪廓〔只有已完成時才做〕。4.2.3對認(rèn)證和認(rèn)可〔C&A〕的信息平安工程輸入規(guī)劃既然平安C&A僅僅是系統(tǒng)總體過渡為運行和支持中的一局部，那么信息平安工程也應(yīng)當(dāng)注意了解其他形式的系統(tǒng)驗收準(zhǔn)備與決策，并提供恰當(dāng)輸入。4.2.4信息平安工作報告1．用戶/同級小組報告2．組織的管理報告1．用戶/同級小組報告

信息平安工程小組應(yīng)當(dāng)向客戶提供一致的工作情況和進展的信息，并快速地傳達那些應(yīng)當(dāng)進行討論或應(yīng)當(dāng)提請客戶注意的問題。如果沒有更多要求或不需要結(jié)構(gòu)性調(diào)整，那么建議信息平安工程小組每月要同至少包括系統(tǒng)工程辦事機構(gòu)〔或者加上C&A參與者〕在內(nèi)的同級工程小組進行屢次聯(lián)系。1．用戶/同級小組報告在適宜的時候，作為定期現(xiàn)場訪問或是工程技術(shù)評審，信息平安工程小組也需要親自向客戶定期陳述工作情況。這些將有助于在工程實施中進行修正，或提供技術(shù)信息和共同討論問題〔例如關(guān)于平安風(fēng)險評估團評估簡報〕。信息平安工程小組可能希望采用用戶同意的技術(shù)說明方法來完成進展報告，同時也幫助自己跟蹤工程進展情況。2．組織的管理報告除了上述向用戶提供的報告外，信息平安工程小組應(yīng)當(dāng)在每一次重要工程階段評審之前為組織的管理人員整理出恰當(dāng)?shù)暮唸蟆怖纾罕日招韵到y(tǒng)評審，初步設(shè)計評審等〕，以便為他們提供相應(yīng)的技術(shù)和情況的信息。簡報的頻度、內(nèi)容和管理等級將因情況而異，并需進行適宜的裁剪。2．組織的管理報告簡報應(yīng)當(dāng)證明信息平安工程小組遵循了原定的信息平安工程過程，而且應(yīng)當(dāng)向管理部門提供有關(guān)工作質(zhì)量和成果方面的一些建議。在工程的初期，要討論簡報如何裁剪信息平安工程過程以適合客戶工程需求，其后的簡報應(yīng)當(dāng)確定信息平安工程小組已經(jīng)完成了的活動，并于先前簡報中的工作方案進行比較。2．組織的管理報告其他信息可能包括：〔1〕收到的用戶對有關(guān)信息系統(tǒng)平安支持和成果方面的反響意見；〔2〕系統(tǒng)描述〔如高層次方框圖〕；〔3〕建議的平安方案〔即如何滿足用戶的平安能力需求，什么樣的產(chǎn)品將提供哪些平安效勞，已經(jīng)選擇了什么樣的平安保證措施等〕；〔4〕平安風(fēng)險評估結(jié)果〔包括系統(tǒng)的平安風(fēng)險程度〕以及用戶、C&A小組關(guān)于這些問題的看法和決策；2．組織的管理報告〔5〕進度；〔6〕信息平安工程人員配置和其他資源問題；〔7〕技術(shù)策略變化或根據(jù)早期簡報得出的風(fēng)險數(shù)據(jù)。根據(jù)簡報，管理部門應(yīng)當(dāng)能夠斷定經(jīng)過裁剪的過程是否適用，客戶是否滿意信息平安工程小組的工作。4.2.5技術(shù)數(shù)據(jù)庫和工具1．決策數(shù)據(jù)庫決策數(shù)據(jù)庫是系統(tǒng)工程數(shù)據(jù)的集合。它提供從最初陳述的需求到現(xiàn)行系統(tǒng)產(chǎn)品和過程描述的審計線索。這種審計線索既可以是非正式記錄，也可以是非常復(fù)雜的、由多人小組通過網(wǎng)絡(luò)維護的再線工程數(shù)據(jù)庫。這取決于工程工程的復(fù)雜性和適宜的方式。1．決策數(shù)據(jù)庫決策數(shù)據(jù)庫應(yīng)該包含如下一些內(nèi)容：〔1〕集成的系統(tǒng)需求并進行分配給配置工程；〔2〕接口的限制和需求；〔3〕系統(tǒng)概念、初步設(shè)計和詳細(xì)設(shè)計級的可選擇方案；〔4〕選定設(shè)計的全部文檔；〔5〕驗證；1．決策數(shù)據(jù)庫〔6〕決策標(biāo)準(zhǔn)；〔7〕折中研究評估；〔8〕原理圖集；〔9〕模型和仿真；〔10〕設(shè)計圖與詳圖；〔11〕配置文檔和變化控制手段；〔12〕可跟蹤審計線索。2．知識庫的增長和“重用〞

為了促使信息平安工程過程成為更有效、更正規(guī)的工程實踐，信息平安工程小組應(yīng)當(dāng)從“信息系統(tǒng)平安〞知識庫吸取知識并給它增加知識。2．知識庫的增長和“重用〞

這些渠道包括：〔1〕同工作中心的同級人員、高級技術(shù)領(lǐng)導(dǎo)等可以非正式地分享信息平安工程思想、經(jīng)驗和輸出?！?〕傳播經(jīng)過質(zhì)量檢查的“運用例如〞。如平安需求說明、設(shè)計方案和體系結(jié)構(gòu)分析、平安風(fēng)險評估/風(fēng)險評審報告等?！?〕給更集中的連機〔在線〕資料庫進行數(shù)據(jù)輸入，如輸入與特定平安威脅、弱點、漏洞、應(yīng)對措施和攻擊等有關(guān)的數(shù)據(jù)項。2．知識庫的增長和“重用〞〔4〕列出參考目錄和參考資源的工作幫助信息?！?〕專業(yè)技術(shù)和工具?！?〕經(jīng)驗報告〔關(guān)于成功的和不成功的活動經(jīng)驗〕?！?〕豐富信息平安工程培訓(xùn)課程所使用的經(jīng)驗和信息?！?〕張貼在電子公告牌上的非正式評注?！?〕較正式發(fā)行的關(guān)于“如何做〞的指南和技術(shù)論文。3．工具的選擇和使用

可能影響信息平安工程功能的技術(shù)規(guī)劃的問題就是對自動化工程工具的選擇和使用問題。在可能的地方，信息平安工程小組應(yīng)當(dāng)使用與系統(tǒng)工程辦事機構(gòu)、系統(tǒng)開發(fā)/集成小組直接兼容的文字處理和技術(shù)工具實現(xiàn)信息共享。3．工具的選擇和使用

這種兼容性可以通過使用完全相同的產(chǎn)品集，和/或通過使用在不同產(chǎn)品和環(huán)境之間的數(shù)據(jù)交換來實現(xiàn)。信息平安工程小組應(yīng)當(dāng)能夠以恰當(dāng)?shù)臄?shù)字格式向其他的小組成員提供信息，也應(yīng)當(dāng)能夠接收合作伙伴的數(shù)字格式信息。4.2.6與獲取/簽約有關(guān)的規(guī)劃1．獲取/采購策略2．預(yù)規(guī)劃的產(chǎn)品〔P3I〕改進策略〔Pre-plannedProductImprovementStrategy〕1．獲取/采購策略開始建立新系統(tǒng)和改進現(xiàn)用系統(tǒng)必然遇到的普遍性問題，是選擇一個最適合的獲取策略和運行環(huán)境。根本的問題包括：組織機構(gòu)是自己組織購置要獲取的工程，還是通過諸如新合同、修訂合同或者雇請承包商按照現(xiàn)有“一攬子〞合同訂單間接購置。規(guī)劃工作應(yīng)當(dāng)仔細(xì)地檢查信息平安工程小組同系統(tǒng)工程辦事機構(gòu)所雇用的任何承包商之間的關(guān)系，以及信息平安工程小組自身可能需要承包商支持的程度。1．獲取/采購策略需要考慮的問題包括：〔1〕支持系統(tǒng)工程辦事機構(gòu)所需的技術(shù)任務(wù)，參與信息平安工程小組以及組織和承包商團隊之間的折中方案?！?〕選擇最適宜的承包合同類型。1．獲取/采購策略〔3〕信息平安工程小組在恰當(dāng)?shù)臅r候參與對承包合同的監(jiān)控〔例如，信息平安工程小組的人充當(dāng)工程招標(biāo)官員的代表，信息平安工程小組的人在適宜時參與獎金的評估〕。〔4〕信息平安工程小組為支持承包合同相關(guān)活動所必需的滿足的差旅需求。1．獲取/采購策略〔5〕對合同的作業(yè)陳述提供信息平安工程輸入和注釋的進度和方式，包括必要的信息系統(tǒng)平安折中方案研究、獨立的驗證和證實活動等方面的輸入。1．獲取/采購策略〔6〕把信息系統(tǒng)平安的輸入提煉成合同上的系統(tǒng)技術(shù)標(biāo)準(zhǔn)?！?〕對每個相關(guān)合同或業(yè)務(wù)訂單的合同數(shù)據(jù)需求的輸入，包括對數(shù)據(jù)項說明和對合同作業(yè)陳述語言的恰當(dāng)補充。1．獲取/采購策略〔8〕源識別和選擇的制約。例如：①將信息平安工程需求導(dǎo)入源識別的市場調(diào)查中，因為合同活動并不受全面競爭的影響。②〔技術(shù)〕“白皮書〞的審核。③將信息平安工程需求導(dǎo)入到建議的準(zhǔn)備指令中，包括對任何信息系統(tǒng)平安建議內(nèi)容的指令。1．獲取/采購策略④將信息平安工程需求導(dǎo)入到源選擇規(guī)劃中，包括在信息系統(tǒng)平安和信息平安工程領(lǐng)域篩選提議者的準(zhǔn)那么，以及評估提議者技術(shù)建議的平安方面問題的準(zhǔn)那么。⑤信息平安工程小組作為源選擇委員會的成員參與工作〔至少參與評估上述面向技術(shù)和協(xié)作能力的方案選擇〕。1．獲取/采購策略〔9〕將信息系統(tǒng)平安需求輸入到技術(shù)性能的度量集合中?！?0〕合同的平安技術(shù)標(biāo)準(zhǔn)需求——供承包商使用的平安分類指南，承包商個人許可證需求等。2．預(yù)規(guī)劃的產(chǎn)品改進策略(P3I)

預(yù)規(guī)劃的產(chǎn)品改進策略，是對已完成系統(tǒng)所作的已規(guī)劃的改進策略。它把具有重大風(fēng)險或延誤〔或當(dāng)時無法負(fù)擔(dān)的支出〕的因素推后。雖然被推遲的因素在并行或其后的工作工程中才能進行開發(fā)，但是該系統(tǒng)還是可以投入使用。這樣，當(dāng)被推遲的因素在后來變得可實現(xiàn)時，就可以把它非常方便地結(jié)合進來。2．預(yù)規(guī)劃的產(chǎn)品改進策略(P3I)信息平安工程小組和LCIE有時需要支持用戶去準(zhǔn)備預(yù)規(guī)劃的產(chǎn)品改進策略。這些改進策略可能包括找到可作出假設(shè)干變更以降低平安風(fēng)險的情況，而減低這些平安風(fēng)險的措施由于費用、進度，技術(shù)或其他限制在當(dāng)前開發(fā)周期內(nèi)無法使其實現(xiàn)。4.2.7信息系統(tǒng)平安保證規(guī)劃與信息系統(tǒng)平安相關(guān)的保證技術(shù)，被用來把平安功能需求同相關(guān)聯(lián)的可測量的強度和/或信任級別結(jié)合在一起。實現(xiàn)平安保證的技術(shù)包括測試、分析、過程控制、評審和其他開發(fā)以及獨立的驗證和證實實施。4.2.7信息系統(tǒng)平安保證規(guī)劃總之，平安保證規(guī)劃應(yīng)當(dāng)反映一種方法，用以確定用戶重視些什么，如何將它們劃分等級，然后如何保證給予它們同其等級的工程相當(dāng)?shù)谋Ｗo。信息平安工程小組應(yīng)當(dāng)幫助制定系統(tǒng)平安保證規(guī)劃。這種平安保證規(guī)劃信息應(yīng)當(dāng)反復(fù)地包含在恰當(dāng)?shù)南到y(tǒng)文檔中。4.2.7信息系統(tǒng)平安保證規(guī)劃由于并非構(gòu)成系統(tǒng)的所有功能都要求相同的強度和可信度，所以平安保證規(guī)劃應(yīng)當(dāng)明確指出保證等級〔例如高、中、低的平安保證等級〕，并描述每個級別的相關(guān)技術(shù)集合或其他標(biāo)準(zhǔn)。還要描述集中應(yīng)用該技術(shù)集合提供期望的平安強度和可信度的一個特定環(huán)境。4.2.7信息系統(tǒng)平安保證規(guī)劃為了確定這個平安保證等級，信息平安工程小組必須同客戶一起工作以確定一個負(fù)面〔即違背平安需求〕的平安結(jié)果〔即事件/后果〕清單，對清單進行排列并將其分為假設(shè)干類別，每個類別都要求有自己清晰的平安可信級別，以保證在這個級別上負(fù)面事件將不會出現(xiàn)。4.2.7信息系統(tǒng)平安保證規(guī)劃負(fù)面事件清單可以包括：“非法泄漏核武器發(fā)射程序給確定的、手段精良的敵對方〞，“非法泄露機密信息給在一定程度上受到刺激的、未取得許可證的用戶〞，等。防御這些事件的平安需求可以分類為高、中、低等平安保證級別。4.2.7信息系統(tǒng)平安保證規(guī)劃在這組標(biāo)準(zhǔn)或等級的其他現(xiàn)代標(biāo)準(zhǔn)可以使用之前，仍可使用具有把保證機制配置到分組類別上的一些現(xiàn)行通用標(biāo)準(zhǔn)。4.3平安需求的定義4.3.1系統(tǒng)需求定義概述4.3.2平安需求分析的一般課題

4.3.3平安需求定義概述4.3.4信息平安工程的需求活動4.3.1系統(tǒng)需求定義概述1.系統(tǒng)級運行需求定義在一個工程生命的先期概念階段，將定義和文檔化的新系統(tǒng)能力相關(guān)聯(lián)的業(yè)務(wù)需求。相應(yīng)地，業(yè)務(wù)能力需求定義可認(rèn)為是描述機構(gòu)的運行作業(yè)或問題，而且這些問題通過現(xiàn)有能力或完全使用非技術(shù)性手段在目前是無法解決的。2.系統(tǒng)級需求分析和標(biāo)準(zhǔn)

系統(tǒng)級需求分析和標(biāo)準(zhǔn)是為了確定系統(tǒng)每個主要功能的平安需求和其他需求，并用無歧義的可試驗術(shù)語說明這些需求。需求分析的結(jié)果將通過運行需求文檔〔OperationalRequirementDocument，ORD〕進行文檔化，并應(yīng)該在“系統(tǒng)標(biāo)準(zhǔn)〞中以更詳細(xì)的方式文檔化。3.系統(tǒng)需求定義和可跟蹤性

“需求分析〞被定義為對系統(tǒng)特有特性確實定。這種確定基于對客戶需求、要求和目標(biāo)、業(yè)務(wù)、人、產(chǎn)品和過程的預(yù)期使用環(huán)境、限制和效率等的分析。這種活動的輸出應(yīng)當(dāng)是一組恰當(dāng)?shù)男枨箨愂?，對用戶是可理解并得到用戶同意的?.系統(tǒng)需求定義和可跟蹤性與此同時，對于大型需求集合，自動化工具用于跟蹤數(shù)據(jù)的維護和驗證；對于簡單工程工程，人工維護需求驗證可跟蹤模板就可滿足要求。需求的可跟蹤性，應(yīng)當(dāng)由與負(fù)責(zé)系統(tǒng)開發(fā)者/集成者無關(guān)的人員來認(rèn)真地完成或至少是由他們進行審計。4.3.2平安需求分析的一般課題

1.平安規(guī)那么和政策解釋首次信息系統(tǒng)平安需求分析活動，應(yīng)當(dāng)包括全面審查和考慮一切適用的，與有關(guān)平安標(biāo)準(zhǔn)或目標(biāo)體系結(jié)構(gòu)相符合的規(guī)那么和政策性指令。在這個步驟里，需要對由國家、國際機構(gòu)、地方和企業(yè)發(fā)布的保護涉密的和非涉密信息的強制性等進行分析和解釋。4.3.2平安需求分析的一般課題

2.平安威脅評估

平安威脅被定義為：敵對方經(jīng)過深思熟慮，利用那些可能對信息或系統(tǒng)造成損害的條件、能力、意圖和方法。信息平安工程小組應(yīng)當(dāng)同用戶一道工作，以幫助它們在“系統(tǒng)威脅評估報告〞內(nèi)準(zhǔn)確全面的描述有關(guān)對信息系統(tǒng)平安的威脅。4.3.2平安需求分析的一般課題

3.任務(wù)平安目標(biāo)一般來說，平安目標(biāo)最好是由系統(tǒng)用戶陳述，但信息平安工程小組應(yīng)當(dāng)理解平安目標(biāo)的細(xì)節(jié)，并且在用戶需要的時候提供幫助。如果用戶沒有陳述出平安目標(biāo)時，信息平安工程小組應(yīng)當(dāng)能夠通過回溯追蹤需求的層次結(jié)構(gòu)，以發(fā)現(xiàn)客戶的根本平安理由和最終平安目標(biāo)。4.3.2平安需求分析的一般課題4.平安效勞分類平安效勞應(yīng)當(dāng)考慮與業(yè)務(wù)需求和威脅密切相關(guān)的內(nèi)容，其中威脅是在系統(tǒng)闡述平安目標(biāo)和平安需求過程中的根據(jù)。5.信息流向及功能和價值為了定義恰當(dāng)?shù)钠桨材繕?biāo)，能力需求，以及有效的表達用戶所需平安的系統(tǒng)需求，必須識別和分析有系統(tǒng)處理或存儲信息的功能、流向和價值。4.3.3平安需求定義概述

1．同平安有關(guān)的運行需求分析2．信息平安工程需求活動3．平安性能和保障需求1．同平安有關(guān)的運行需求分析業(yè)務(wù)和運行需求是對用戶需求的說明，并且必須用來指導(dǎo)工程辦事機構(gòu)和工程小組進行后續(xù)開發(fā)工作。最重要的問題是，所涉及的人或機構(gòu)〔例如：用戶、獲取機構(gòu)、C&A代表、信息平安工程小組〕要意識到這些都是用戶自己的需求，而非工程辦事機構(gòu)或工程人員的需求。1．同平安有關(guān)的運行需求分析為了對來自廣泛業(yè)務(wù)能力需求中與平安相關(guān)的系統(tǒng)運行需求進行更為充分的定義，信息平安工程小組應(yīng)當(dāng)對業(yè)務(wù)能力需求，國家的、本地的和商業(yè)企業(yè)的適用平安政策，業(yè)務(wù)目標(biāo)/平安目標(biāo)以及平安威脅進行評審。1．同平安有關(guān)的運行需求分析為了給一個系統(tǒng)概念定義恰當(dāng)?shù)倪\行平安需求，對信息平安工程小組同樣重要的是理解其他適用的〔非平安〕能力目標(biāo)，以及為滿足總體能力需求而制定的獲取范圍〔本錢、進度、風(fēng)險、組隊方式〕。為了取得成功，所有這些都必須處于平衡狀態(tài)。在開始正式的工程需求分析之前，平安能力需求必須轉(zhuǎn)換為一組運行功能需求和性能需求與約束。2．信息平安工程需求活動

信息平安工程小組的需求分析活動應(yīng)該從評審和更新先前的分析〔業(yè)務(wù)、威脅等〕開始，提煉出業(yè)務(wù)和環(huán)境定義，從而支持對每一項功能建立起平安需求。2．信息平安工程需求活動隨著平安需求從頂層需求向更精確的具體需求轉(zhuǎn)化，必須對它們作出最充分的定義，以使系統(tǒng)概念和體系結(jié)構(gòu)的可選擇方案能夠得到開發(fā)，并能在集成的并發(fā)工作過程內(nèi)進行比較。從平安目標(biāo)、國家政策和整個設(shè)計過程的其他輸入中反復(fù)地導(dǎo)出系統(tǒng)、后繼的配置工程〔CI〕和組件平安需求的過程，如以下圖所示。任務(wù)信息威脅分析法規(guī)和政策平安能力需求系統(tǒng)約束條件系統(tǒng)平安需求CI約束條件組件約束條件CI平安需求系統(tǒng)設(shè)計活動·體系結(jié)構(gòu)開發(fā)·風(fēng)險分析·折中分析改進要求CI設(shè)計活動·體系結(jié)構(gòu)開發(fā)·風(fēng)險分析·折中分析組件平安需求改進要求組件設(shè)計活動·體系結(jié)構(gòu)開發(fā)·風(fēng)險分析·折中分析改進要求CI標(biāo)準(zhǔn)系統(tǒng)標(biāo)準(zhǔn)組件標(biāo)準(zhǔn)圖平安需求的開發(fā)2．信息平安工程需求活動

信息平安工程必須協(xié)同客戶分析平安需求，從而確定這些需求是否確實是有效的需求。3．平安性能和保障需求信息平安工程小組還必須識別同平安功能需求目標(biāo)相關(guān)聯(lián)的性能需求，這通常應(yīng)當(dāng)采用假設(shè)干種需求表達形式?！?〕功能/性能需求對與功能性平安需求相連的性能需求，可以在條件允許情況下直接寫出，或者參照初步設(shè)計過程中的與已定義平安保證類相關(guān)聯(lián)的開發(fā)條款來確定。3．平安性能和保障需求〔2〕設(shè)計需求隨著系統(tǒng)功能被分解，在平安保證規(guī)劃中形成的負(fù)面事件清單也被分解。信息平安工程審視每個子功能的潛在錯誤特性，并把這些負(fù)面事件映射到先前確定的平安保證級別上。當(dāng)分解完成時，便可以對每個最底層子功能分配設(shè)計需求所需的信任級別。4.3.4信息平安工程的需求活動1．先期概念階段和概念階段——信息平安工程的需求活動這些早期階段的著重點是：使用用戶語言準(zhǔn)確地抓住用戶的頂層平安需求和約束；識別和解決信息系統(tǒng)平安需求和其他系統(tǒng)需求之間的相互依賴性和折中方案，包括接口/環(huán)境驅(qū)動的需求；1．先期概念階段和概念階段——信息平安工程的需求活動

在正常情況下至少要對正在系統(tǒng)的每一個系統(tǒng)概念開發(fā)出一組粗略的預(yù)期需求。對于已采用的概念，這種早期的需求集合將被變換為經(jīng)過批準(zhǔn)的運行需求文件，用于說明功能和性能需求。關(guān)鍵目標(biāo)是保證所定義的系統(tǒng)平安需求集合是必不可少的和充分的。1．先期概念階段和概念階段——信息平安工程的需求活動

到概念階段完結(jié)的時候，工程的技術(shù)范圍、本錢范圍和進度范圍，粗略的系統(tǒng)運行概念和體系結(jié)構(gòu)、運行需求文檔等，其初級形式應(yīng)當(dāng)全部被確定下來。2．需求階段——信息平安工程的需求活動

在這個階段，系統(tǒng)工程師通過完成初步的正規(guī)化分析和標(biāo)準(zhǔn)來確定系統(tǒng)需求的基線，在“系統(tǒng)需求評審〞中這些需求將獲得批準(zhǔn)，并制定出系統(tǒng)標(biāo)準(zhǔn)草案。該需求將定義系統(tǒng)必須完成的功能和受到的約束。系統(tǒng)標(biāo)準(zhǔn)反映這些系統(tǒng)需求在一系列功能領(lǐng)域的配置，例如數(shù)據(jù)管理、平安、可靠性和可維護性、用戶接口等。2．需求階段——信息平安工程的需求活動

系統(tǒng)工程師將設(shè)置一個過程，以提供系統(tǒng)需求標(biāo)準(zhǔn)和早期系統(tǒng)運行需求及能力需求說明之間的可跟蹤性。在這個階段期間，信息平安工程小組將為批準(zhǔn)基線而設(shè)法準(zhǔn)備好平安需求，并向系統(tǒng)標(biāo)準(zhǔn)草案提供信息系統(tǒng)平安相關(guān)的輸入。信息平安工程小組應(yīng)當(dāng)評審和提煉包含在運行需求文檔中的平安需求，保證它們同其他的系統(tǒng)需求相一致和兼容。2．需求階段——信息平安工程的需求活動

信息平安工程小組應(yīng)當(dāng)審查這些平安需求，并囊括適當(dāng)場合可用的平安需求集、與技術(shù)參考模型相關(guān)的設(shè)計限制，以及與正在開發(fā)的系統(tǒng)有關(guān)或有利的標(biāo)準(zhǔn)輪廓。標(biāo)準(zhǔn)輪廓包括文本指南〔準(zhǔn)那么〕以及規(guī)定數(shù)據(jù)交換格式、聯(lián)網(wǎng)協(xié)議和類似事情的各種技術(shù)標(biāo)準(zhǔn)。2．需求階段——信息平安工程的需求活動

信息平安工程小組應(yīng)當(dāng)保證平安需求有效地反映客戶的平安需求，并且可直接地跟蹤到先前的需求層次體系。至此，信息平安工程小組還應(yīng)當(dāng)識別需要開發(fā)的新技術(shù)，開始監(jiān)控新技術(shù)的開發(fā)進程，確保它們符合預(yù)期的目標(biāo)，滿足預(yù)期的平安需求。3．系統(tǒng)設(shè)計階段——信息平安工程的需求活動系統(tǒng)工程師將在這個階段完成系統(tǒng)的根本設(shè)計。這是通過把需求分配給體系結(jié)構(gòu)中標(biāo)識的CI(配置工程)集合來完成的。這種分配在系統(tǒng)標(biāo)準(zhǔn)中用文檔予以確認(rèn)，在“系統(tǒng)功能評審〞中被確認(rèn)為基準(zhǔn)并加以批準(zhǔn)。此外，CI標(biāo)準(zhǔn)草案也是在這個階段產(chǎn)生的。3．系統(tǒng)設(shè)計階段——信息平安工程的需求活動信息平安工程小組應(yīng)當(dāng)保證系統(tǒng)標(biāo)準(zhǔn)充分地表達出平安需求，這一點通過回溯標(biāo)準(zhǔn)，直到標(biāo)準(zhǔn)獲得批準(zhǔn)的平安需求評審階段，即可得到保證。信息平安工程小組還應(yīng)當(dāng)完成系統(tǒng)標(biāo)準(zhǔn)并在確認(rèn)為基線之前，審查信息系統(tǒng)平安相關(guān)的驗證和證實需求。3．系統(tǒng)設(shè)計階段——信息平安工程的需求活動

信息平安工程小組應(yīng)當(dāng)領(lǐng)導(dǎo)和審查對CI的信息系統(tǒng)平安需求和效勞的配置，以及將CI標(biāo)準(zhǔn)草案中對這些配置進行歸檔。信息平安工程小組還應(yīng)當(dāng)審查已完成的技術(shù)開發(fā)工作工程成果，以保證它們符合目標(biāo)，滿足預(yù)期的系統(tǒng)平安需求。4．從初步設(shè)計到配置審計階段——信息平安工程的需求活動

通過“初步設(shè)計評審〞，應(yīng)當(dāng)全面定義CI和接口，提交CI和接口的平安需求以及相關(guān)聯(lián)的驗證條款，這是“系統(tǒng)配置基線〞的一局部。信息平安工程小組應(yīng)當(dāng)仔細(xì)地研究CI標(biāo)準(zhǔn)和接口標(biāo)準(zhǔn)，保證子系統(tǒng)在被集成進整體系統(tǒng)和系統(tǒng)配置中時符合總的系統(tǒng)平安需求。4．從初步設(shè)計到配置審計階段——信息平安工程的需求活動在最后階段〔“配置審計〞〕，信息平安工程小組應(yīng)當(dāng)把實現(xiàn)后的系統(tǒng)設(shè)計與系統(tǒng)文檔進行比較，保證開發(fā)過程是成功的。為了評估系統(tǒng)組件的恰當(dāng)性，必須證明分配給這些功能組件和物理組件的平安需求都被滿足。4．從初步設(shè)計到配置審計階段——信息平安工程的需求活動這些階段以公告系統(tǒng)及其CI的“產(chǎn)品基線〞而宣告結(jié)束，公告應(yīng)當(dāng)包含每個CI在其被建設(shè)、試驗和審計時對它的初始功能、性能和物理的需求。4.4平安設(shè)計支持通過平安設(shè)計支持功能和更廣泛的總體系統(tǒng)設(shè)計的前后關(guān)聯(lián)，一個被選擇的系統(tǒng)體系結(jié)構(gòu)可被公式化，并轉(zhuǎn)換為穩(wěn)定的、可生產(chǎn)的和有好的經(jīng)濟效益的系統(tǒng)設(shè)計。對信息系統(tǒng)而言，這種轉(zhuǎn)換通常包括軟件開發(fā)和軟件設(shè)計，還可能包括信息數(shù)據(jù)庫或知識庫的設(shè)計。4.4.1系統(tǒng)設(shè)計

1.系統(tǒng)功能的目標(biāo)實現(xiàn)理想的說，系統(tǒng)工程生命周期的“先期概念〞、“概念〞和“需求〞階段根本上主要解決“什么〞問題，而從“初步設(shè)計階段〞到“實現(xiàn)階段〞再到“測試階段〞那么主要答復(fù)“怎樣〞的問題。這兩條線的關(guān)鍵性聯(lián)系是在第四階段，即“系統(tǒng)設(shè)計〞階段，該階段中，設(shè)計了系統(tǒng)級解決方案以到達所需要的業(yè)務(wù)能力。2.系統(tǒng)功能工具實現(xiàn)

可以使用自開工具使設(shè)計過程更加精細(xì)，這些自開工具還允許設(shè)計師將頂層體系結(jié)構(gòu)分解和提煉成更詳細(xì)的設(shè)計。4.4.2信息平安工程系統(tǒng)設(shè)計支持活動

在開發(fā)功能和物理體系結(jié)構(gòu)期間，信息平安工程小組通過提供平安分析和建議來支持客戶。這種開發(fā)在系統(tǒng)的整個生命期內(nèi)涉及到假設(shè)干階段和事件，并且通常是反復(fù)進行的過程。4.4.2信息平安工程系統(tǒng)設(shè)計支持活動當(dāng)信息平安工程小組期待實現(xiàn)平安效勞時，可以考慮將目標(biāo)平安體系結(jié)構(gòu)的原理作為對系統(tǒng)體系結(jié)構(gòu)的平安解決方案配置的指南。下面是目標(biāo)平安體系結(jié)構(gòu)中可用的工程主題：〔1〕目標(biāo)平安體系結(jié)構(gòu)的平安需求——策略、需求，導(dǎo)出的需求?！?〕平安角度和概念?！?〕端系統(tǒng)和中繼系統(tǒng)?！?〕平安管理關(guān)系和概念。〔5〕傳輸系統(tǒng)主題?！?〕平安學(xué)說——提供平安效勞的平安機制學(xué)說?！?〕商業(yè)現(xiàn)貨考慮。4.4.2信息平安工程系統(tǒng)設(shè)計支持活動信息平安工程小組活動的重點是識別正在開發(fā)的體系結(jié)構(gòu)的脆弱性，并建議對抗措施和可選擇方案。如果兩個或更多個系統(tǒng)需要相互作用，那么必須建立接口協(xié)議和規(guī)那么以允許其相互作用。4.4.2信息平安工程系統(tǒng)設(shè)計支持活動用文檔化形式定義平安設(shè)計，是說明其滿足需求等合理性的理由。這些信息可以伴隨著系統(tǒng)設(shè)計文檔以書面分析的形式出現(xiàn)或出現(xiàn)在適當(dāng)?shù)脑O(shè)計評審中。在進行系統(tǒng)設(shè)計支持活動時信息平安工程小組必須考慮以下幾個方面的問題。1．關(guān)鍵技術(shù)的識別

對于任何關(guān)鍵的和使“最有希望〞的系統(tǒng)概念增值的信息系統(tǒng)平安新技術(shù)，信息平安工程小組都必須進行調(diào)查，以確保能有把握地將它們集成到系統(tǒng)設(shè)計中。該活動可包括原型法的應(yīng)用、測試，以及早期的運行評估，以降低平安風(fēng)險等級等。1．關(guān)鍵技術(shù)的識別

但是，事先識別出需要開發(fā)的根本關(guān)鍵技術(shù)卻是十分重要的。以便在系統(tǒng)生命期的設(shè)計、實現(xiàn)直到后續(xù)的生產(chǎn)和/或預(yù)規(guī)劃的產(chǎn)品改進/修改階段需要它們之前，預(yù)先將這些技術(shù)建立起來。1．關(guān)鍵技術(shù)的識別在這里面典型情況是，對新技術(shù)或未檢驗的產(chǎn)品的依賴將對整個方案引入額外的技術(shù)、費用和進度的風(fēng)險。信息平安工程應(yīng)該事先準(zhǔn)備好后備產(chǎn)品或過程解決方案，以處理由于未曾預(yù)料的延遲或技術(shù)問題而帶來的新技術(shù)不能使用的偶然事故。2．設(shè)計的約束信息平安工程小組要明確對影響和限制所需平安效勞實現(xiàn)的系統(tǒng)設(shè)計的約束。系統(tǒng)運行的環(huán)境，它的運行模式〔專用的、系統(tǒng)高層的、系統(tǒng)分級的等〕，其業(yè)務(wù)功能的敏感性和臨界點，每一個都可能是影響設(shè)計決策的約束。接口和互操作性問題也可能產(chǎn)生對設(shè)計的約束，2．設(shè)計的約束某些支持性的需求也可能約束系統(tǒng)設(shè)計和運行的平安狀況。這些需求當(dāng)然包括但不限于后勤支持需求、可移植性需求、生存性需求；個人和培訓(xùn)的限制，命令、控制、通信和情報接口需求；標(biāo)準(zhǔn)化和互操作需求等。3．非技術(shù)的平安設(shè)計措施正被獲取的系統(tǒng)及其設(shè)計規(guī)劃，將在整個系統(tǒng)工程周期內(nèi)通過運行、支持、培訓(xùn)等方式被開發(fā)。信息平安工程小組將為正在進行的活動作出奉獻，并從中進行學(xué)習(xí)，以改善任何系統(tǒng)平安解決方案的適用性和有效性。3．非技術(shù)的平安設(shè)計措施其他的非技術(shù)解決方案將包括過程控制，如適當(dāng)?shù)牟僮鞒绦颉⑷耸碌暮瓦\行的平安控制、隱瞞采購和用戶身份，以及可信軟件開發(fā)方法論的非技術(shù)要素等。4.4.3平安設(shè)計支持活動1．先期概念和概念階段概念級系統(tǒng)策略包括早期的通常不成熟的功能和物理的結(jié)構(gòu)體系草案。工程所特有的環(huán)境不同，概念級設(shè)計可以是很不正規(guī)的，也可能是非常完善的，不管哪種情況，這一階段承擔(dān)的設(shè)計等級都要比在以后的工程設(shè)計階段〔系統(tǒng)設(shè)計到詳細(xì)設(shè)計〕低得多。1．先期概念和概念階段

信息平安工程小組必須保證，體系結(jié)構(gòu)已做到足夠的精細(xì)，以使體系結(jié)構(gòu)的平安風(fēng)險可被充分地進行評估，以支持可選系統(tǒng)評審。信息平安工程小組應(yīng)當(dāng)分解系統(tǒng)功能〔或?qū)ο蠓诸?，取決于所選的方法〕，并把它們分配到較低級別的配置上，直到支持正在進行的分析，并需要立即作出決策的程度。2．需求和系統(tǒng)設(shè)計階段

在這些階段期間，系統(tǒng)小組完成系統(tǒng)的高層設(shè)計并按技術(shù)標(biāo)準(zhǔn)形成文檔。這些活動隨系統(tǒng)功能評審而告終，此時系統(tǒng)設(shè)計的基線已完成并被批準(zhǔn)。應(yīng)該審核可選擇的與概念級策略相一致的體系方案。例如，如果概念階段在評估后選擇了廣域網(wǎng)策略，那么，在其后續(xù)的工程設(shè)計階段將涉及多個廣域網(wǎng)技術(shù)的選擇和體系結(jié)構(gòu)的取舍。2．需求和系統(tǒng)設(shè)計階段系統(tǒng)集成在過程的早期已經(jīng)〔至少在紙面上〕開始。當(dāng)需求的功能配置給配置工程時，就要引申出接口控制標(biāo)準(zhǔn)。2．需求和系統(tǒng)設(shè)計階段

信息平安工程小組應(yīng)保證并且在標(biāo)準(zhǔn)下應(yīng)指出通過這些接口如何實現(xiàn)平安效勞，包括擴展到更寬范圍的根底設(shè)施或業(yè)務(wù)環(huán)境的平安效勞。2．需求和系統(tǒng)設(shè)計階段通過指定內(nèi)部和外部接口的平安需求，使得整個系統(tǒng)和互聯(lián)的各系統(tǒng)之間在實現(xiàn)上保持一致，從而使集成業(yè)務(wù)變得更加容易。信息平安工程小組還要對系統(tǒng)組件進行驗證，這些組件是根據(jù)它與平安相關(guān)接口的約束條件進行集成和使用的，約束條件指：使用某一產(chǎn)品，產(chǎn)品的平安輪廓，供給商的文獻等。2．需求和系統(tǒng)設(shè)計階段信息平安工程小組必須保證總體分析中包括了所有的平安因素，保證基于運行功能和特性、費用、進度表和風(fēng)險之間平衡的最全面的體系結(jié)構(gòu)。2．需求和系統(tǒng)設(shè)計階段在這些階段期間，將產(chǎn)生制造/購置的建議〔做折中選擇〕。但是，最終決定通常在過程之后作出。如果可能，信息平安工程小組將提供解決方案〔或?qū)Σ摺?，以解決在折中分析期間未包含的負(fù)面因素。例如，如果折中分析傾向于買商用軟件，但其消極的因素是可能包含潛在的病毒，信息平安工程小組可建議在軟件被購進后進行病毒掃描和去除。2．需求和系統(tǒng)設(shè)計階段為了支持作出制造/購置的折中分析的決定，信息平安工程小組將調(diào)查現(xiàn)有產(chǎn)品目錄，以確定產(chǎn)品是否滿足配置工程或組件的需求。只要可能，都應(yīng)該指明一組潛在可行的選擇方案而不僅僅是一個候選方案。調(diào)查的對象包括可信產(chǎn)品評估目錄、信息系統(tǒng)平安產(chǎn)品目錄等。2．需求和系統(tǒng)設(shè)計階段在適當(dāng)?shù)臅r候，信息平安工程小組也要考慮選擇工業(yè)界或政府先期開發(fā)的新技術(shù)和新產(chǎn)品，條件是它們的時間表和技術(shù)風(fēng)險是系統(tǒng)開發(fā)可接受的。對產(chǎn)品平安勾畫出輪廓，是工程師作出制造/購置決策所必需的。對某些產(chǎn)品，平安評估報告描述了產(chǎn)品的功能、正確使用產(chǎn)品的信息以及產(chǎn)品的脆弱點。2．需求和系統(tǒng)設(shè)計階段對現(xiàn)有產(chǎn)品的了解，是形成準(zhǔn)確的信息平安工程制造/購置決策必不可少的。對某些產(chǎn)品，有關(guān)部門的平安評估報告可以幫助作出決策。在不能得到平安評估時，由系統(tǒng)工程辦事機構(gòu)將新設(shè)備或軟件與估計的平安特性和風(fēng)險相關(guān)值進行權(quán)衡比較后，作出是購置還是定制的決策。3．初步設(shè)計階段到配置審計階段

系統(tǒng)工程師必須通過初步設(shè)計審查來作最終的制造/購置決定，并反復(fù)研究配置工程和配置工程之間的接口策略在一定范圍的可選擇方案。以前的活動集中于配置工程的設(shè)計或選擇，以及建立完整的配置工程級的配置基線集上。以后的活動那么集中到獲取或建立配置工程〔如果需要的話〕集成和測試系統(tǒng)上。3．初步設(shè)計階段到配置審計階段

信息平安工程小組應(yīng)當(dāng)審查由于配置工程開發(fā)和/或集成與測試時出現(xiàn)的對系統(tǒng)設(shè)計的任何修改。如果配置工程引起系統(tǒng)的附加需求的話，那么信息平安工程小組應(yīng)該評估這些修改對配置工程的平安影響，并且確定附加的平安需求是否被保證。4．運行和支持階段如有必要，在系統(tǒng)的運行周期內(nèi)，將反復(fù)進行平安設(shè)計支持，以便提出適合于次要和主要系統(tǒng)修改的設(shè)計方案以及預(yù)先規(guī)劃的改進。4.5平安運行分析

平安運行分析將影響產(chǎn)品，特別是過程、系統(tǒng)平安需求的解決方案。平安運行概念的分析和定義是系統(tǒng)工程和信息平安工程過程整體的一個組成局部，是導(dǎo)入平安C&A的關(guān)鍵條件。4.5平安運行分析

有時候除了使用已編寫好的運行概念文檔外，運行分析也可按以下形式形成文檔并提交評審：設(shè)計評審說明、培訓(xùn)材料和文件等。信息平安工程小組將幫助用戶代表考慮平安運行、支持和管理概念，以及正在開發(fā)的系統(tǒng)所出現(xiàn)的問題。4.5平安運行分析

平安運行概念、理論和過程解決方案的開發(fā)，起始于概念階段，并作為可選擇系統(tǒng)概念開發(fā)和折中研究的一局部；這一開發(fā)持續(xù)到配置審計階段，驗證該系統(tǒng)的理論與前面幾個階段開發(fā)、提煉并形成基線概念的一致性；在系統(tǒng)進入其運行期后，這一開發(fā)仍將繼續(xù)并進一步演變，理論分析最終就變成了實際的運行模式。4.5平安運行分析在系統(tǒng)生命期內(nèi)反復(fù)進行的平安運行分析應(yīng)集中在：〔1〕定義人、自動化連接與該系統(tǒng)進行交互的環(huán)境元素之間交互是直接進行的，還是經(jīng)過遠(yuǎn)程/外部接口進行的?！?〕用戶扮演的角色〔例如人的角色可能包括系統(tǒng)用戶、系統(tǒng)維護員、系統(tǒng)管理員和主管〕上?！?〕確定在業(yè)務(wù)環(huán)境中用戶與運行系統(tǒng)交互的方式和模式。4.5平安運行分析需要考慮的典型運行情況包括：〔1〕在正常和不正常條件下，系統(tǒng)啟動和關(guān)機。〔2〕系統(tǒng)、人對錯誤條件的環(huán)境反響或平安事件?！?〕系統(tǒng)/組成單元失靈時，在一個或多個預(yù)先方案的備用方式下維持運行。〔4〕在和平時期和戰(zhàn)爭時期/其他敵對模式下維持運行。4.5平安運行分析〔5〕平安事件或自然災(zāi)害的響應(yīng)/恢復(fù)模式〔例如，與病毒事件有關(guān)的系統(tǒng)沖突以及響應(yīng)恢復(fù)〕?！?〕系統(tǒng)對關(guān)鍵性和常見的外部和內(nèi)部事件的反響?！?〕假設(shè)配置多個系統(tǒng)，那么了解每個系統(tǒng)唯一的環(huán)境/場所的梗概?！?〕在整個正常業(yè)務(wù)應(yīng)用期間，系統(tǒng)行為、環(huán)境與人的相互影響以及與外部自動化的接口。4.5平安運行分析提煉的運行案例和程序可以包括在培訓(xùn)教材和系統(tǒng)手冊中，或者其他形式中。為了實施關(guān)鍵性的平安分析，包括所有運行概念在內(nèi)的因素都應(yīng)考慮到。這些因素至少應(yīng)包括：4.5平安運行分析〔1〕希望系統(tǒng)處理數(shù)據(jù)的敏感等級?！?〕在每個等級上大約有多大的數(shù)據(jù)處理量?！?〕在任何適用的主要角色級別上，與系統(tǒng)用戶相關(guān)的許可證等級〔包括對分區(qū)、特殊訪問程序或其他需知的常規(guī)授權(quán)〕、功能性權(quán)力和與系統(tǒng)用戶有關(guān)的特權(quán)?！?〕系統(tǒng)用戶的身份。〔5〕與其他系統(tǒng)接口有關(guān)的敏感性等級和業(yè)務(wù)重要性程度?！?〕技術(shù)的和非技術(shù)的平安執(zhí)行機制的相互作用。4.6生命周期平安支持

4.6.1平安的生命期支持的開發(fā)方法4.6.2生命周期平安支持活動4.6.1平安的生命期支持的開發(fā)方法

信息平安工程小組和LCIE將和客戶一起作業(yè)，為系統(tǒng)整個生命期定義一個可理解的平安方案；信安小組在獲取和開發(fā)期間以及稍后的運行階段要與負(fù)責(zé)系統(tǒng)平安的各種機構(gòu)建立密切關(guān)系。這些機構(gòu)可能有助于場地勘測、物理和管理平安分析及對策分析。4.6.1平安的生命期支持的開發(fā)方法

在這一活動中產(chǎn)生的信息，將被并入到相應(yīng)的系統(tǒng)文件中。在系統(tǒng)部署開始之后，平安支持的文檔多半是系統(tǒng)集成后勤支持方案的一局部，或者是平安管理方案的一局部。4.6.1平安的生命期支持的開發(fā)方法信息平安工程應(yīng)準(zhǔn)備就系統(tǒng)開發(fā)和生命期期間所使用的平安支持問題和方法，向客戶提出建議。例如，平安方案中可能包括需要保護敏感信息以免泄露的假設(shè)干步驟，也可能是需要監(jiān)控系統(tǒng)產(chǎn)生和分配過程的各方面來保證適宜的平安需求得到滿足。4.6.1平安的生命期支持的開發(fā)方法生命期的平安方案至少要涉及以下領(lǐng)域：監(jiān)控系統(tǒng)平安、系統(tǒng)平安評估、配置管理、培訓(xùn)、后勤和維護、次要和主要的系統(tǒng)修改以及報廢處置。4.6.1平安的生命期支持的開發(fā)方法信息平安工程小組和LCIE將和客戶與C&A小組共同作業(yè)，準(zhǔn)備系統(tǒng)生命期的平安支持方案。信息平安工程小組應(yīng)確保提供系統(tǒng)生命期支持的客戶解決途徑，使系統(tǒng)的平安風(fēng)險不致惡化。C&A小組在系統(tǒng)啟動之后，要注意確定重新認(rèn)證重新認(rèn)可的策略：適宜的閾值，由誰判定，以及在系統(tǒng)啟動后這些策略怎樣實現(xiàn)。信息平安工程小組考慮的領(lǐng)域包括：〔1〕在開發(fā)、測試和運行使用期間，有必要對系統(tǒng)進行監(jiān)控，以持續(xù)地與平安需求保持一致?！?〕保證針對系統(tǒng)的培訓(xùn)要包括平安特性和限制?！?〕對那些與平安有關(guān)的處理指令進行跟蹤，而不增加平安風(fēng)險。4.6.1平安的生命期支持的開發(fā)方法4.6.1平安的生命期支持的開發(fā)方法〔4〕保證配置管理過程是適當(dāng)?shù)?，以防止出現(xiàn)引起平安風(fēng)險上升的修改事件?！?〕定義必要的平安性應(yīng)急方案，該方案與運行的應(yīng)急方案相匹配?！?〕對系統(tǒng)進行平安評估，找出系統(tǒng)中的薄弱環(huán)節(jié)，并妥善處理這些薄弱環(huán)節(jié)。〔7〕保證后勤和維護支持系統(tǒng)中與平安有關(guān)的組成單元的需求，而不引起平安風(fēng)險的增加。4.6.1平安的生命期支持的開發(fā)方法生命期支持的平安方面包括，可控制的〔或可信的〕分配和“隱蔽采購〞技術(shù)。其主要意圖是防止在系統(tǒng)整個生命期期間非授權(quán)地訪問系統(tǒng)，并重視保證硬件、軟件和數(shù)據(jù)〔包括密碼、密鑰材料〕的持續(xù)完整性。4.6.1平安的生命期支持的開發(fā)方法生命期對平安支持的主要目的，是確保系統(tǒng)的保護手段在運行和支持階段依然適合其平安目標(biāo)，任何引起不可接受平安風(fēng)險的缺陷必須被明確提出來，并采取或大或小的修改措施彌補這些缺乏或缺陷。4.6.2生命周期平安支持活動

1．對部署的系統(tǒng)進行平安監(jiān)控理想情況下，系統(tǒng)平安功能在系統(tǒng)運行期間應(yīng)被連續(xù)監(jiān)控。4.6.2生命周期平安支持活動信息平安工程小組將參與商業(yè)研究，以確定什么樣的監(jiān)控手段具有最好的本錢-效益比，同時可提供最為可信的措施確保系統(tǒng)的一致性，以使可接受的平安風(fēng)險遵從其平安需求。2．系統(tǒng)平安評估

最終作出是否評估的決定卻是取決于系統(tǒng)擁有者和認(rèn)可者，以及實際完成平安評估的評估者。另一個需要考慮的因素可能是系統(tǒng)在其環(huán)境中要面臨的威脅。如果威脅很大，平安評估可能是適當(dāng)?shù)?，但是如果威脅不大，那么可能評估就不合算了。2．系統(tǒng)平安評估

系統(tǒng)文檔、適當(dāng)?shù)慕K端工程或系統(tǒng)本身的其他局部〔如無線電設(shè)備、工作站〕應(yīng)該提供給平安評估人員。平安評估人員那么研究系統(tǒng)文檔和任何提供的用于測試的組件，并從敵對勢力的角度試圖進行“攻擊〞。平安評估人員應(yīng)恰當(dāng)報告任何脆弱性〔如給系統(tǒng)用戶和LCIE〕，并決定需要采取的行動。2．系統(tǒng)平安評估

信息平安工程小組的平安指導(dǎo)代表應(yīng)該將小組的意見綜合起來，以判斷平安評估是否適宜并可行的。在某些情況下，可能需要就是否通過長期的、深層次的平安評估來支持系統(tǒng)數(shù)量和類型作出折中分析判斷。3．配置管理

配置管理是一個對系統(tǒng)所有變化進行控制的過程。系統(tǒng)工程的管理者應(yīng)該建立一個配置控制委員會，用來審查或批準(zhǔn)系統(tǒng)的任何修改。3．配置管理在整個生命期內(nèi)，其中包括：〔1〕在生命期內(nèi)的某一給定點上維持一個基線；〔2〕系統(tǒng)在不斷變化中不可能保持靜止；〔3〕對災(zāi)難等突發(fā)事件〔自然的、人為的〕進行規(guī)劃；〔4〕保持對所有C&A(認(rèn)證和認(rèn)可)證據(jù)的追蹤；〔5〕對系統(tǒng)有限資源集合的利用，在整個系統(tǒng)生命期內(nèi)將增加；〔6〕配置項的識別；〔7〕配置控制；〔8〕配置會計學(xué)；〔9〕配置審計。4．培訓(xùn)

并發(fā)系統(tǒng)工程方案內(nèi)的培訓(xùn)功能旨在提交所要求的任務(wù)、活動和系統(tǒng)單元，以便到達和維持相關(guān)人員所需的知識和技術(shù)水平，使之有能力和有效地實施系統(tǒng)的運行和支持。如果必要，信息平安工程小組和LCIE應(yīng)將與平安相關(guān)的培訓(xùn)集成到系統(tǒng)生命期的培訓(xùn)工程中去。4．培訓(xùn)LCIE(生命期信息系統(tǒng)平安工程師)需要跟蹤與平安有關(guān)的培訓(xùn)需求，并保證對任何修改和/或新的平安特性都要進行培訓(xùn)。培訓(xùn)用戶如何使用系統(tǒng)的練習(xí)，要引入〔允許條件下的〕現(xiàn)場演練方法，包括適當(dāng)平安功能的應(yīng)用和有關(guān)威脅嘗試的模擬〔例如，敵方信號情報的收集、電子戰(zhàn)、識別病毒或黑客等〕。5．后勤和維護集成的后勤支持是管理和技術(shù)活動經(jīng)過訓(xùn)練的、統(tǒng)一和反復(fù)應(yīng)用的方案，這些管理和技術(shù)活動是以下活動所必需的：將后勤支持集成到系統(tǒng)和裝備的設(shè)計中；開發(fā)一些支持需求，這些支持需求始終都是與備用工程、設(shè)計有關(guān)的。5．后勤和維護在系統(tǒng)的整個生命周期內(nèi)，影響系統(tǒng)平安態(tài)勢的問題報告由LCIE進行分析。LCIE應(yīng)該檢查帶趨勢性的問題報告，這些問題報告指出系統(tǒng)應(yīng)用中不充分的培訓(xùn)，或揭示出引起平安風(fēng)險增加系統(tǒng)設(shè)計錯誤。6．系統(tǒng)的修改

〔1〕重大修改當(dāng)需要大量新的資源、特殊或大規(guī)模采購或大規(guī)模工程人力資源時，需要改變系統(tǒng)的大局部或特別關(guān)鍵的局部時，可認(rèn)為這些就是主要的或重大的修改。6．系統(tǒng)的修改

〔2〕一般修改一般性修改往往是那些特別規(guī)劃給該系統(tǒng)運行和維護基金內(nèi)可以處理的小修改，或者得到機構(gòu)運行資金支持的小修改。對于一般性修改，信息平安工程過程仍然是可用的和有益的。7．報廢處置

處置包括一些必須執(zhí)行的任務(wù)、行為和活動以及系統(tǒng)元素，報廢處置的目的是：保證與分類工程的應(yīng)用策略以及環(huán)境規(guī)那么和指示相一致。此外，系統(tǒng)的報廢處置要考慮到短期和長期可能破壞環(huán)境和傷及人與動物健康的影響。4.7信息平安工程的過程

一項科學(xué)的、高質(zhì)量的信息平安工程應(yīng)包含以下10個環(huán)節(jié)。1．風(fēng)險分析與評估風(fēng)險評估是平安防御中的一項重要技術(shù)，也是信息平安工程學(xué)的重要組成局部，其原理是對采用的平安策略和規(guī)章制度進行評審，發(fā)現(xiàn)不合理的地方，采用模擬攻擊的形式對目標(biāo)可能存在的平安漏洞進行逐項檢查，確定存在的平安隱患和風(fēng)險級別。風(fēng)險分析的目標(biāo)包括系統(tǒng)的體系結(jié)構(gòu)、策略指導(dǎo)、人員狀況以及各類設(shè)備如工作站、效勞器等各種對象。

1．風(fēng)險分析與評估根據(jù)檢查結(jié)構(gòu)向系統(tǒng)管理員提供周密可靠的平安性分析報告，為提高信息平安的整體水平提供重要依據(jù)。

1．風(fēng)險分析與評估

風(fēng)險分析與評估是通過一系列管理和技術(shù)手段來檢測當(dāng)前運行的信息系統(tǒng)所處的平安級別、平安問題、平安漏洞。風(fēng)險分析的過程是一個不斷開展完善的過程，第二次評估結(jié)果肯定要比第一次準(zhǔn)確、詳細(xì)，而第三次評估結(jié)果肯定要優(yōu)于第二次，所以，這個過程應(yīng)該是伴隨著