信息系统安全工程课件.ppt

1、信息系统安全工程信息系统安全工程目录目录l1.什么是信息系统安全工程？什么是信息系统安全工程？l2.为什么需要为什么需要ISSE？l3.系统工程系统工程l4.ISSE的阶段的阶段l5 ISSE功能功能l6 信息系统安全工程总结信息系统安全工程总结信息系统发生什么变化信息系统发生什么变化?l系统变得更加复杂系统变得更加复杂;l独立的系统开始连网独立的系统开始连网;l计算在分布式的多个处理器上进行计算在分布式的多个处理器上进行;l对网络有多级安全要求对网络有多级安全要求;l对信息访问有公开和合作的需求对信息访问有公开和合作的需求;lIT的复杂性已从技术问题转到商务和法律问题的复杂性已从技术问题转到

2、商务和法律问题.1.什么是信息系统安全工程？什么是信息系统安全工程？l信息系统安全工程是这样的一个过程：它解决用户的信息系统安全工程是这样的一个过程：它解决用户的信息保障需求，是系统工程学、系统采购、风险管理、信息保障需求，是系统工程学、系统采购、风险管理、认证和认可以及生命期支持的一部分。它是系统工程认证和认可以及生命期支持的一部分。它是系统工程过程的自然扩展。过程的自然扩展。l这些过程都有公共要素：发现需求、定义系统功能、这些过程都有公共要素：发现需求、定义系统功能、设计系统单元、开发和安装系统、评估系统有效性、设计系统单元、开发和安装系统、评估系统有效性、系统采购、风险管理、认证和认可、

3、生命期安全支持系统采购、风险管理、认证和认可、生命期安全支持等。等。什么是信息系统安全什么是信息系统安全?l信息是一家机构的资产，与其它资产一样，应受到保信息是一家机构的资产，与其它资产一样，应受到保护。信息安全的作用是保护信息不受大范围威胁所干护。信息安全的作用是保护信息不受大范围威胁所干扰，使机构业务能够畅顺，减少损失及提供最大的投扰，使机构业务能够畅顺，减少损失及提供最大的投资回报和商机。资回报和商机。l信息可以有多种存在方式，可以写在纸上、储存在电信息可以有多种存在方式，可以写在纸上、储存在电子文档里，也可以用邮递或电子手段发送，可以在电子文档里，也可以用邮递或电子手段发送，可以在电影

4、上放映或者说话中提到。无论信息以何种方式表示、影上放映或者说话中提到。无论信息以何种方式表示、共享和存储，都应当适当地保护起来。共享和存储，都应当适当地保护起来。信息系统安全工程的内涵信息系统安全工程的内涵lISSE是系统工程和方法论。是系统工程和方法论。lISSE是系统安全工程、系统工程、系统采购在信息系统安全是系统安全工程、系统工程、系统采购在信息系统安全方面的具体体现。方面的具体体现。lISSE是系统工程和系统建设的必不可少的组成部分。是系统工程和系统建设的必不可少的组成部分。lISSE是对系统工程生命期的安全风险控制是对系统工程生命期的安全风险控制2.为什么需要为什么需要ISSE？l社

5、会对信息系统的依赖程度逐渐加强、信息的价值在增加、开社会对信息系统的依赖程度逐渐加强、信息的价值在增加、开放和安全的矛盾突出。放和安全的矛盾突出。l信息系统本身存在固有的弱点使其易于受到各种攻击（蓄意、信息系统本身存在固有的弱点使其易于受到各种攻击（蓄意、无意）。无意）。l信息系统逐渐从专用系统向通用信息系统逐渐从专用系统向通用(现货现货)系统过渡，信息系统安系统过渡，信息系统安全专业人员将和开发人员、系统集成人员、用户有更加紧密的全专业人员将和开发人员、系统集成人员、用户有更加紧密的合作的前提条件。合作的前提条件。lISSE是是CC、SSE-CMM在实际工程上的体现。在实际工程上的体现。l规

6、范信息系统安全建设的需要规范信息系统安全建设的需要l实施信息系统安全测评认证的需要实施信息系统安全测评认证的需要l实施国家信息安全规范、规定、标准的需要实施国家信息安全规范、规定、标准的需要产品产品或问题或问题要求要求人人知 识 技 巧知 识 技 巧和经验和经验管理哲学管理哲学系统工程原理系统工程原理方法论方法论标准和控制标准和控制培培训训工工具具通 讯通 讯产品产品或问题或问题要求要求人人知 识 技 巧知 识 技 巧和经验和经验管理哲学管理哲学系统工程原理系统工程原理方法论方法论标准和控制标准和控制培培训训工工具具通 讯通 讯3.系统工程系统工程系统工程：系统工程：l系统工程是一种跨学科的方

7、法，它以开发并验证一个系统产品系统工程是一种跨学科的方法，它以开发并验证一个系统产品（或处理系统）能满足最终用户需求为目的。（或处理系统）能满足最终用户需求为目的。系统工程包括：系统工程包括：l开发开发包括需求分析、系统设计、部件设计和集成。包括需求分析、系统设计、部件设计和集成。l生产生产包括试制和最终生产包括试制和最终生产l认证认证包括演示、试验、审查和分析包括演示、试验、审查和分析l部署部署l运行（使用）运行（使用）l支持和培训支持和培训l拆除拆除系统工程过程系统工程过程系统工程包括下面五个过程：系统工程包括下面五个过程：l发现任务需求发现任务需求l确定系统功能确定系统功能l进行系统设计

8、进行系统设计l部署系统部署系统l系统有效性评估系统有效性评估概念阶段可替换系统的评审要求阶段系统要求评审系统设计阶段系统功能评审初步设计阶段初步设计评审详细设计阶段关键设计评审实现和测试阶段系统验证评审配置审计阶段系统工程过程系统工程过程l输入输入l需求分析需求分析l功能分析和配置功能分析和配置l综合综合l系统分析和控制系统分析和控制l输出输出输入输入:l客户需求客户需求/要求要求p任务p有效性手段p环境p限制l技术基础技术基础l来自前阶段的输出来自前阶段的输出l项目判决要求项目判决要求l有关专用和标准的要求有关专用和标准的要求需求分析需求分析:l分析任务和环境分析任务和环境l识别功能要求识别

9、功能要求l性能和设计限制要求的确定和精练性能和设计限制要求的确定和精练功能分析和配置功能分析和配置:l分解成更低层次的功能分解成更低层次的功能l把要求配置到所有功能级把要求配置到所有功能级l确定功能接口确定功能接口l确定和集成功能体系结构确定和集成功能体系结构综合综合:l从功能到物理的转换从功能到物理的转换l确定替代系统的概念确定替代系统的概念:p配置项p系统单元(要素)l确定物理接口确定物理接口l确定优选产品和过程解决方案确定优选产品和过程解决方案系统分析和控制系统分析和控制:l折中研究折中研究l有效性分析有效性分析l风险管理风险管理l配置管理配置管理l数据管理数据管理l基于性能的进程管理基

10、于性能的进程管理输出输出:l随阶段而变的随阶段而变的:p判决支持数据p系统体系结构p规范p基线ISSE的最终体现：的最终体现：l项目所必须的安全要求项目所必须的安全要求l在用户、测评人员以及客户可接受的风险水平上满足在用户、测评人员以及客户可接受的风险水平上满足要求。要求。l精心的支持用户，谨慎地剪裁以满足客户要求。精心的支持用户，谨慎地剪裁以满足客户要求。l作为一种运作，应把安全尽早地结合到系统工程中去。作为一种运作，应把安全尽早地结合到系统工程中去。l在费用、进度、实用性和有效性的综合考虑中要平衡在费用、进度、实用性和有效性的综合考虑中要平衡考虑安全风险管理和考虑安全风险管理和ISSE的其

11、它方面。的其它方面。l将将INFOSEC的有关科目和能力要求与其它各种限制的有关科目和能力要求与其它各种限制同时折中考虑同时折中考虑4.ISSE的阶段的阶段4.1 先期概念阶段先期概念阶段l目的：确定用户的任务需求。指出信息系统应具备的安全能力；目的：确定用户的任务需求。指出信息系统应具备的安全能力；l提供的文件：任务能力需求报告（提供的文件：任务能力需求报告（MNS），作为系统安全要），作为系统安全要求和规范的出发点。由用户和求和规范的出发点。由用户和ISSE参与者共同起草。参与者共同起草。lMNS的内容不一定实现，它只是一个目标的内容不一定实现，它只是一个目标本阶段与本阶段与ISSE有关的

12、活动：有关的活动：l运行任务各种问题的调查；运行任务各种问题的调查；l安全威胁类型调查；安全威胁类型调查；l找出国家和地方安全法规的限制；找出国家和地方安全法规的限制；l根据安全目标确定的能力，考虑可能的进度；根据安全目标确定的能力，考虑可能的进度；l如果可能确定供应商。如果可能确定供应商。4.2概念阶段概念阶段l目的：信息系统概念层面的系统安全方案的探索目的：信息系统概念层面的系统安全方案的探索,决决定哪些方案可能满足任务要求，选出要进一步讨论的定哪些方案可能满足任务要求，选出要进一步讨论的方案。方案。l目标：信息系统安全建设的参与各方进行可选系统评目标：信息系统安全建设的参与各方进行可选系

13、统评审（审（ASR）对每个可能的代替方案进行审查，看其能）对每个可能的代替方案进行审查，看其能否满足用户安全需求、是否符合有关的要求和规范以否满足用户安全需求、是否符合有关的要求和规范以及信息系统有关的所有问题都要调研，有冲突的地方及信息系统有关的所有问题都要调研，有冲突的地方都要解决。本阶段结束要得到初步的系统技术、成本、都要解决。本阶段结束要得到初步的系统技术、成本、安全风险方面的情况以及信息系统工程建设和管理战安全风险方面的情况以及信息系统工程建设和管理战略。略。本阶段与本阶段与ISSE有关的活动：有关的活动：l为系统威胁评估提供数据为系统威胁评估提供数据,预计系统不同阶段的安全预计系统

14、不同阶段的安全威胁。威胁。l提出系统安全备选方案，根据任务能力需求报告提出系统安全备选方案，根据任务能力需求报告（MNS）作出技术、费用、进度风险的评估。）作出技术、费用、进度风险的评估。l帮助用户提出安全运行需求报告，该报告包括为使系帮助用户提出安全运行需求报告，该报告包括为使系统安全有效运行所需的性能和功能要求，还要包括国统安全有效运行所需的性能和功能要求，还要包括国家管理部门有关规定、政策方面的限制。家管理部门有关规定、政策方面的限制。l提供生命期安全支持计划、安全保障计划以及安全风提供生命期安全支持计划、安全保障计划以及安全风险管理计划的数据。险管理计划的数据。l制定测评认证以及评估计

15、划制定测评认证以及评估计划l确定是否需要新的信息安全技术确定是否需要新的信息安全技术l初步安全风险评估及评估报告初步安全风险评估及评估报告l提供认证提供认证/认可数据（认可数据（C&A)4.3 要求阶段要求阶段l目的：提出正式的信息系统安全需求报告为系统设计和测试做目的：提出正式的信息系统安全需求报告为系统设计和测试做好准备，对主要问题取得共识。好准备，对主要问题取得共识。l目标：提出一份系统安全需求评审报告（目标：提出一份系统安全需求评审报告（SRR），它是一份），它是一份包括系统所有安全需求指标的草案。包括系统所有安全需求指标的草案。l文件对系统的功能、性能、互操作性、接口要求都要做描述，

16、文件对系统的功能、性能、互操作性、接口要求都要做描述，并要对能否达到要求提出检验手段。并要对能否达到要求提出检验手段。系统要求评审包括的内容：系统要求评审包括的内容：l将用户的安全需求转化为系统功能和性能需求以及安全方案的将用户的安全需求转化为系统功能和性能需求以及安全方案的设计限制；设计限制；l评估技术验证的方法和进程；评估技术验证的方法和进程；l对风险确认和量化的评估以及风险管理办法的评估；对风险确认和量化的评估以及风险管理办法的评估；l关键技术的评估；关键技术的评估；l评估系统安全需求的覆盖面进行评估；评估系统安全需求的覆盖面进行评估；l审查系统规范草案以及相关的认证措施。审查系统规范草

17、案以及相关的认证措施。4.4 系统设计阶段系统设计阶段l目的：完成系统的顶层设计，决定组成系统的配置项，定下系目的：完成系统的顶层设计，决定组成系统的配置项，定下系统指标，使正式的系统工程开始。统指标，使正式的系统工程开始。l目标：提供一份系统功能（设计）评审报告（目标：提供一份系统功能（设计）评审报告（SFR），报告包），报告包括正式开发前必须的系统指标括正式开发前必须的系统指标系统功能（设计）评审（）包括系统功能（设计）评审（）包括的内容的内容l确保系统功能和性能要求和有关的限制。确保系统功能和性能要求和有关的限制。l对系统的功能和物理体系进行评估对系统的功能和物理体系进行评估l对系统的指

18、标和功能基线不断完善、更新对系统的指标和功能基线不断完善、更新l评估设计方案是否满足用户要求评估设计方案是否满足用户要求本阶段与本阶段与ISSE有关的活动：有关的活动：l完善系统的安全需求（是否有新的安全威胁）完善系统的安全需求（是否有新的安全威胁）l分析系统的安全要求以及到配置项的安全要求，确保分析系统的安全要求以及到配置项的安全要求，确保满足整个系统的安全要求满足整个系统的安全要求l评审系统设计安全方案的技术原理评审系统设计安全方案的技术原理l详细确定信息系统安全验证和确认（详细确定信息系统安全验证和确认（&V)有关的要有关的要求和战略求和战略l完善与安全有关的采购和工程管理计划、策略完善

19、与安全有关的采购和工程管理计划、策略l系统特有的安全风险评估系统特有的安全风险评估l为认证和认可（为认证和认可（&)提供数据提供数据4.5初步设计阶段初步设计阶段l目的：系统的设计要求和指标都分配到配置项（目的：系统的设计要求和指标都分配到配置项（CI）。）。l目标：提供初步设计评审报告（目标：提供初步设计评审报告（PDR），该报告包括对每个），该报告包括对每个系统配置项的软件和硬件的评审，为大多数系统的配置项建立系统配置项的软件和硬件的评审，为大多数系统的配置项建立了分配基线。了分配基线。初步设计评审包括的内容：初步设计评审包括的内容：l找出没有考虑到的或没有被每个找出没有考虑到的或没有被每

20、个IC满足的系统方面的安全要求满足的系统方面的安全要求l确保确保CI、子系统的问题得到解决、子系统的问题得到解决l评审风险管理，确保风险在可接受的水平评审风险管理，确保风险在可接受的水平l对系统物理体系结构的集成进行评估，确定内部、外部接口和对系统物理体系结构的集成进行评估，确定内部、外部接口和互操作性互操作性l证实集成后的系统设计满足功能基线要求和用户要求证实集成后的系统设计满足功能基线要求和用户要求本阶段与本阶段与ISSE有关的活动有关的活动l评审评审CI层面的参数和接口规范的定义及其他方面的问题层面的参数和接口规范的定义及其他方面的问题l对已有的安全方案进行复查，使之与对已有的安全方案进

21、行复查，使之与CI的要求一致的要求一致l确认确认CI（无论是开发的或是买来的）的指标满足系统安全要求（无论是开发的或是买来的）的指标满足系统安全要求l为认证和认可（为认证和认可（C&A）继续提供数据）继续提供数据l检查系统各方面的问题检查系统各方面的问题4.6 详细设计阶段详细设计阶段l目的：完成没有现货的设备和系统的设计目的：完成没有现货的设备和系统的设计l目标：提供系统关键设计评审报告（目标：提供系统关键设计评审报告（CDR），该报告包括构），该报告包括构成系统的各个配置项的具体设计（相关软件和硬件的设计评审成系统的各个配置项的具体设计（相关软件和硬件的设计评审和文件）和文件）关键设计评审

22、包括的内容：关键设计评审包括的内容：l找出配置项和关键设计都没有解决的问题找出配置项和关键设计都没有解决的问题l考虑系统与其他系统的兼容性考虑系统与其他系统的兼容性l确认系统和确认系统和CI设计是完整的设计是完整的l确认和证明系统设计要求、接口要求、系统限制与可以验证的确认和证明系统设计要求、接口要求、系统限制与可以验证的结论相一致结论相一致l建立每个建立每个CI的分配基线的分配基线本阶段与本阶段与ISSE有关的活动有关的活动l通过关键设计安全方案和具体软件以及工程设计的评审，实现通过关键设计安全方案和具体软件以及工程设计的评审，实现系统和系统和CI层面的安全设计层面的安全设计l检查关键设计提

23、出的安全方案的技术原理检查关键设计提出的安全方案的技术原理l准备信息系统安全的测试和评估要求（系统的、软件的、硬件准备信息系统安全的测试和评估要求（系统的、软件的、硬件的）的）l跟踪或参与与系统设计跟踪或参与与系统设计/开发有关的安全保障机构开发有关的安全保障机构l确定并证明每个确定并证明每个CI的设计、的设计、CI间的接口设计能够满足系统安全间的接口设计能够满足系统安全要求要求l准备好绝大多数生命期安全保障方案的内容，包括培训计划、准备好绝大多数生命期安全保障方案的内容，包括培训计划、应急培训计划的有关内容应急培训计划的有关内容l评审更新安全风险与威胁的预测，评审请求的任何改动评审更新安全风

24、险与威胁的预测，评审请求的任何改动l提供认证和认可（提供认证和认可（C&A)过程的数据过程的数据4.7 实现和测试阶段实现和测试阶段l目的：准备好所有开发和非开发产品并把所有产品（目的：准备好所有开发和非开发产品并把所有产品（CI）集成）集成为一个完整系统并检查确认继承的系统符合要求。为一个完整系统并检查确认继承的系统符合要求。l目标：提供一个系统确认评审报告（目标：提供一个系统确认评审报告（SVR），确定所建的系统），确定所建的系统与要求相一致，能满足任务的需求与要求相一致，能满足任务的需求 本阶段与本阶段与ISSE有关的活动有关的活动l更新系统安全威胁评估，预测系统的使用寿命更新系统安全威

25、胁评估，预测系统的使用寿命l安全方案实现后系统和安全方案实现后系统和CI的安全要求和限制以及相关的安全要求和限制以及相关的机制的机制l跟踪或参与和本阶段有关的安全保障机构跟踪或参与和本阶段有关的安全保障机构l完善系统运行程序和生命期安全支持计划完善系统运行程序和生命期安全支持计划l准备正式的系统确认评审的安全风险评估准备正式的系统确认评审的安全风险评估l为认证和认可（为认证和认可（C&A）提供数据）提供数据l最终检查系统的所有问题最终检查系统的所有问题4.8 配置审计阶段配置审计阶段l目的：从系统层面审查每个目的：从系统层面审查每个CI都进行了配置审计，把建好的系都进行了配置审计，把建好的系统

26、与前面各阶段的记录文件相比较，所有大的偏差和问题都得统与前面各阶段的记录文件相比较，所有大的偏差和问题都得到解决，。到解决，。l目标：提供物理配置审计报告（目标：提供物理配置审计报告（PCA），该报告包括所有配），该报告包括所有配置审计的结果和解决系统出现偏差的办法（置审计的结果和解决系统出现偏差的办法（CI的产品基线包括的产品基线包括一份认可文件，其中有一份认可文件，其中有CI的功能、性能、物理结构等的要求）。的功能、性能、物理结构等的要求）。本阶段与本阶段与ISSE有关的活动有关的活动l最后确认系统的生产最后确认系统的生产/部署计划能满足信息系统安全要求部署计划能满足信息系统安全要求l根据

27、信息系统安全要求，进一步评审根据信息系统安全要求，进一步评审CI产品的指标以及相关的产品的指标以及相关的设计资料设计资料l最终确定系统运行安全规则和安全支持计划最终确定系统运行安全规则和安全支持计划l为认证和认可过程提供数据为认证和认可过程提供数据4.9运行和支持阶段运行和支持阶段l目的：系统开始部署、运行直到系统被拆除，目的：系统开始部署、运行直到系统被拆除，ISSE一直发挥一直发挥作用，确保系统安全得到维护。它包括处理系统在现场运行时作用，确保系统安全得到维护。它包括处理系统在现场运行时出现的安全问题以及采取措施保证系统的安全水平在系统运行出现的安全问题以及采取措施保证系统的安全水平在系统

28、运行期间不会下降。期间不会下降。本阶段与本阶段与ISSE有关的活动有关的活动l监测系统的安全性能，包括安全事件报告监测系统的安全性能，包括安全事件报告l进行用户安全培训，并对安全培训进行评估进行用户安全培训，并对安全培训进行评估l监视与安全有关的部件的拆除处理监视与安全有关的部件的拆除处理l监测新发现的对系统安全的攻击、系统所受威胁的变化以及其监测新发现的对系统安全的攻击、系统所受威胁的变化以及其它与安全风险有关的因素它与安全风险有关的因素l监测安全部件的后勤支持，支持与安全有关的维护培训监测安全部件的后勤支持，支持与安全有关的维护培训l评估大大小小的系统改动对安全造成的影响评估大大小小的系统

29、改动对安全造成的影响l监测系统物理和功能配置是否影响系统的安全风险监测系统物理和功能配置是否影响系统的安全风险l为重新进行的认证和认可过程提供数据为重新进行的认证和认可过程提供数据5 ISSE功能功能5.1 ISSE基本功能的概念基本功能的概念l是与是与ISSE相关的各种典型活动：相关的各种典型活动：SA系统获取系统获取SE系统工程系统工程SSEISSE任务需求的确定任务需求的确定概念研究和确定概念研究和确定演示和确认演示和确认设计和制造设计和制造产品产品/部署和部署和运行运行/支持支持确定安全能力需求确定安全能力需求分析安全要求分析安全要求和和探索安全概念探索安全概念分配安全要求分配安全要求

30、指定和实现安全设指定和实现安全设计并进行系统安全计并进行系统安全测试测试实施安全操作实施安全操作和和生命周期支持生命周期支持MS0MS1MS2MS3确定任务能力确定任务能力需求需求探索备选系统的探索备选系统的概念概念系统设计规范系统设计规范设计、构造、设计、构造、集成和测试集成和测试系统运行和系统运行和 生命期支持生命期支持能力需求陈述能力需求陈述（MNS）备选系统的评审备选系统的评审（ASR）系统要求评审系统要求评审（SRR SFR）基本设计评审基本设计评审 关键设计关键设计评审、系统验证评审评审、系统验证评审（PDR、CDR、SVR）物理配置评审物理配置评审（PCA）图图 系统生命期内的系

31、统生命期内的ISSE过程过程l这些活动要在系统生命周期各个阶段并行地、反复地进行。各这些活动要在系统生命周期各个阶段并行地、反复地进行。各活动之间是相互协调的。活动之间是相互协调的。系统安全规划，分析和控制系统安全规划，分析和控制系统安全需求分析和确定系统安全需求分析和确定系统安全设计支持系统安全设计支持系统安全性验证系统安全性验证系统安全开发系统安全开发/集成集成系统安全操作分析和支持系统安全操作分析和支持系统生存期安全支持系统生存期安全支持系统安全系统安全 风险管理风险管理ISSE的有关活动及贡的有关活动及贡献献 ISSE基本功能活动基本功能活动安全活动的规划与控制安全活动的规划与控制安全

32、要求的确定安全要求的确定安全设计支持：安全设计支持：*顶层安全体系结构确定顶层安全体系结构确定*详细设计和实现的支持详细设计和实现的支持安全操作分析安全操作分析生命期安全支持生命期安全支持安全风险管理安全风险管理l在系统开发的不同阶段涉及在系统开发的不同阶段涉及ISSE各功能的程度也不一样。每各功能的程度也不一样。每个个ISSE功能至少有三种模式：功能至少有三种模式：p为实现功能作准备；p实现功能；p当系统发生变动或有新情况出现时要做出相应改变。5.2关于裁剪问题关于裁剪问题l裁剪实际是对每一个裁剪实际是对每一个ISSE功能活动的考察功能活动的考察.为了更好的利用资源使活动最佳化为了更好的利用

33、资源使活动最佳化,限制增加那些不必要的花限制增加那些不必要的花费和材料的那些任务费和材料的那些任务.裁剪的内容包括裁剪的内容包括:l复杂性、不确定性和应急问题；复杂性、不确定性和应急问题；l客户和授权者的风险份额；客户和授权者的风险份额；l成本、进度和人员限制；成本、进度和人员限制；l合同规定和限制；合同规定和限制；l客户专门能力等级：技术能力和管理能力客户专门能力等级：技术能力和管理能力l客户的商业实践知识客户的商业实践知识5.3ISSE基本功能基本功能系统和安全工程管理以及规划活动应当在工程开系统和安全工程管理以及规划活动应当在工程开始就启动。始就启动。为了系统地把安全需求嵌入到有效的设计

34、中，应为了系统地把安全需求嵌入到有效的设计中，应尽早开始规划活动并很好地提供强有力的资金支尽早开始规划活动并很好地提供强有力的资金支持持成立由系统安全工程师领导的小组。成立由系统安全工程师领导的小组。有必要的工具和资料。它是有必要的工具和资料。它是ISSE的基本功能的基本功能.本阶段的主要工作本阶段的主要工作:商业决策和工程规划 确定首席ISSE领导 作出与支持ISSE相关的支出的预算 确定进度、合同文件和工程策略的规划、确定及应用以及相关的安全验证和确认活动。如果有些因素发生变化应向决策者报告。考虑与安全认证和认可小组的关系确定首席信息系统安全工程师与物理的、管理的、人事的、运行安全的负责人

35、和组织建立良好的工作关系首先要同客户建立良好的关系和沟通手段系统生命期的安全工程师与管理机构、测评认证机构沟通安全认证是评价信息系统安全性和其它性能满足安全要求的程度，理想情况下应在系统生命期各阶段完成。测评认证要与风险评估相关联，在系统生命期内测评人员要不断评审和修正并确定剩余风险。安全认可规划应在系统生命期开始阶段完成。安全认可是由独立的机构完成。ISSE为测评认证提供的内容：为测评认证提供的内容：安全目标和安全要求的描述安全保障计划安全威胁分析报告与安全相关的信息（包括接口规范）与外部系统接口安全要求验证的可跟踪矩阵或相关决策数据库信息系统安全运行计划、方案和其它分析生命期 安全支持计划

36、安全测试或其它验证计划和数据安全风险评估/风险评审报告实用产品安全特性文件和产品安全评价报告测评认证机关人员的介入系统安全评价和特征数据ISSE 报告报告用户/同级小组报告：ISSE小组应当随时向客户通报所承担的工作和进展情况或在有可能的情况下为客户进行适当的演示。机构的管理报告：在每一个重要项目里程碑评审之前为机构管理人员提供简报，给出有关技术和状态的信息。工程初期简报讨论如何裁剪ISSE过程来适合客户的需要以及安全能力要求和小组完成了什么活动。简报大概包括的内容简报大概包括的内容有关信息系统安全支持和成果的用户反馈系统描述建议的安全方案安全风险评估结果进度ISSE人员配置和其它资源问题技术

37、策略变化或早期简报得出的风险数据技术数据库和工具技术数据库和工具决策数据库：确定一种使用和维护技术数据库的方法（可以是一种记录或是在线工程数据库。一般情况下决策数据库包括以下内容：综合的系统要求和对配置项的下行配置接口限制和要求系统概念、初步设计和详细设计选择方案选定设计的全部文档验证决策准则商业研究评估原理图集模型和仿真设计图与详图配置文档和变化控制手段可跟踪性审计追踪知识数据库的开发和重用知识数据库的开发和重用利用和充实信息系统安全知识库利用这一渠道达到知识共享工具的选择和使用工具的选择和使用自动化的工程工具的选择和使用非常重要与采购与采购/签合同有关的规则签合同有关的规则采购策略解决选择

38、最适合该工程和工程环境的获取策略。规划ISSE小组与系统项目办公室的关系以及需要承包商支持的程度。需要考虑的问题包括：需要考虑的问题包括：最适合的承包合同ISSE小组参加承包合同的监控的时间ISSE小组为支持承包合同所需要的费用把信息系统安全有关材料精练为系统技术标准或工作说明所包含的参考资料（指南、标准、准则、保证）每个相关合同或任务定单的合同数据要求的原始材料合同修改和工程变动对ISSE的影响为技术性能提供的信息系统安全的素材合同的安全技术规格要求承包商使用的安全登记指南；承包商的许可证等等。预先计划的产品改进策略该策略是对已获取系统所做的计划的未来改进。其原因可能是无法负担的费用或者由于

39、技术原因把重大风险推迟以便在以后的工作中开发。工程文档编制规划编制的文档涉及几乎所有的安全问题，如系统级和产品级技术规范、系统测试计划、获取和后勤支持计划。安全风险评估报告是信息系统安全特有的报告。信息系统安全保证计划信息系统安全保证计划信息系统安全保证计划是用与信息系统安全相关的保证技术把安全功能要求同相关的可测度的强度级别和/或依赖级别结合到一起。安全保证计划应当是一种方法用来确定保护什么，如何将它划分等级，然后如何保证给予它同等级的安全保护。并非构成系统的所有功能都要求相同强度和可信度，因此安全保证计划应当确定保证等级的类别（如高、中、低）、每个类别的相关技术和标准。在这方面国家应当制定

40、一些公用标准（如橘皮书）。安全需求的确定是安全需求的确定是ISSS过程中非常重要的环节，过程中非常重要的环节，只有明确了用户的安全需求才能制定信息系统的只有明确了用户的安全需求才能制定信息系统的安全目标和相应的安全策略。安全目标和相应的安全策略。一般情况下有两种安全需求：一般情况下有两种安全需求：用户的非专业的安全需求，反映了用户的实际用户的非专业的安全需求，反映了用户的实际情况。情况。以工程观点提出的规范化的安全需求，是从安以工程观点提出的规范化的安全需求，是从安全专业角度提出的，要与用户见面全专业角度提出的，要与用户见面并征得用户的同意。并征得用户的同意。系统级运行安全需求的确定系统级运行

41、安全需求的确定从用户观点提出的系统级安全需求；从用户观点提出的系统级安全需求；与运行有关的系统级安全需求；与运行有关的系统级安全需求；与功能和性能有关的系统级安全需求；与功能和性能有关的系统级安全需求；需求不对设计进行规定，但是要有任务能力需需求不对设计进行规定，但是要有任务能力需求说明来定义和用文档来确认。求说明来定义和用文档来确认。系统级需求分析和规范系统级需求分析和规范目的是为精确确定系统每个主要功能的安全要求和其它要求。需求分析的结果要在运行要求文档中以一种详细的系统规范加以确认。多数的需求确定活动一旦通过里程碑评审、折衷决策风险分析提炼、决策者的批准就被认为是完全的。功能基线也被确定

42、，他描述系统的功能、性能、互操作性、接口要求、所需的验证。系统需求的定义和可跟踪性系统需求的定义和可跟踪性系统需求分析是依据对客户需求、要求和目标、任务、人、产品和过程的预期使用环境、限制和效率的分析确定系统特有的特征。它应当被用户理解和承认。系统需求分析的各类型要求：系统需求分析的各类型要求：功能要求：为必要的任务、行动必须完成的活动。性能要求：表示任务或功能必须被执行的程度，如质量、数量、覆盖范围、及时性和容易性来量度。接口要求：为功能的、性能的、电气的、环境的、人员和物理的要求和限制，接口存在于两种或多种功能、系统单元、CI或系统之间的共同边界上互操作性：规定系统、单元向别的系统、单元提

43、供服务的能力或从别的系统、单元接受服务的能力以及共同有效运行的能力。导出的要求：是在综合初步产品或过程方案在相关商业研究和验证期间确定的特征，但是又不能从任务需求说明追逐出来的要求。但是，这些要求是系统实现预定功能所必不可少的，因此要在系统总体要求内用文件确定。设计限制：是开发者/集成者在分配性能要求和/或综合系统因素时必须遵守的边界条件。这些限制可能是外部强加的，也可能是内部强加的。其实例包括：形式、适配、功能、接口、技术工艺、材料、标准化、费用和时间安全需求分析安全需求分析安全法规和策略的解释：第一次信息系统安全的需求分析活动应包括全面审查和考虑适用规定和政策法令。需要解释大量的法规、法令

44、、规定、机构的政策、政府有关保护机密信息的指南、国家标准等等。其目的是保证系统充分实现强制性规定以及相关的指南得到遵守。安全的接口控制/设计规范以及系统安全操作程序、限制和控制都应当作为系统产品和过程方案在整个开发周期内的ISSE活动过程中产生出来。安全威胁评估安全威胁评估安全威胁评估定义为：敌方有意利用对信息或系统造成损害的环境、行动或事件的能力、意图、攻击目标和方法。即要考虑内部和外部人员的故意安全威胁，也要考虑误操作或偶然的误用。ISSE应当与用户一道，帮助他们在系统威胁评估报告（STAR）中准确描述有关信息系统安全威胁。STAR包括的内容：包括的内容：信息和信息系统的安全威胁其它各种类

45、型的威胁得到证明的威胁可以支持的假设威胁开发期间的威胁任务安全目标任务安全目标安全目标代表最高级的安全定义安全目标由系统用户陈述安全目标可能适用于任务的许多方面或只适用于任务的某一部分安全服务分类：安全服务分类：保密性访问控制完整性数据完整性系统完整性鉴别可用性不可抵赖性安全管理信息流、功能和价值信息流、功能和价值了解系统及其处理信息的重要性是非常重要的。工作的内容是：由于系统资源或系统处理的信息的丧失、泄露或修改对任务、人的生命和开销产生的影响。为此，必须确定和分析系统处理或存储信息的功能、流向和价值。安全需求定义综述安全需求定义综述同安全有关的运行需求分析同安全有关的运行需求分析确认一个系

46、统的安全能力需求非常重要。它有助于系统开发人员了解必须完成的工作以及涉及到的人员或机构（用户、采购ISSE小组、测评认证代表）要认识到这些都是用户自己的要求。安全能力需求应包含系统的最高安全需求，它将影响未来系统如何管理、保护和分发信息以及信息如何同其它信息接口。ISSE需求活动需求活动确定用户安全能力需求后，将进行连续的、正式的安全需求分析，最终得到每一项安全功能的安全要求。要仔细研究所有的安全需求，研究其完整性、不一致性和相互依赖性。由于系统体系结构的演变，必须不断评审和精练安全需求。ISSE必须识别出同安全功能需求目标相关联的安全性能需求。先期概念阶段和概念阶段的先期概念阶段和概念阶段的

47、ISSE 的需求活动的需求活动本阶段要支持确定面向用户的运行安全要求，其中包括必要的安全约束。主要问题是；定义要求活动，包括必要的安全约束；识别和解决信息系统安全要求和其它系统要求之间的相互依赖性和折中方案。概念阶段结束时应初步完成以下工作：项目的技术范围、成本范围、进度范围；粗略的系统运行概念和体系结构；运行要求文档采购和工程管理计划高层验证计划后勤支持计划要求阶段要求阶段ISSE的需求活动的需求活动确定系统要求的基线（在SRR中被批准）并制定出系统规范草案。要求定义必须完成什么样的功能和什么样的约束。系统规范反映系统要求在一组功能领域的配置；为批准要求基线准备好安全要求并向系统规范草案提供

48、信息系统安全数据确立由系统体系结构确定的内部和外部的接口和协议的安全要求；保证安全要求有效的反映客户的安全需求并直接跟踪先前的需求层次；识别出需要开发的新技术并监控其开发过程，确保满足预期的安全要求。系统设计阶段系统设计阶段ISSE的需求活动的需求活动完成系统的基本设计,把安全要求分配给体系结构中确定的CI集合为最终目标。保证系统规范充分的表达出安全要求；在适当场合下确认验证和验证要求并建立和审查文档；审查完成的技术成果以保证其符合要求，满足预期的信息系统安全要求。从初步设计到配置审计的从初步设计到配置审计的ISSE的需求活动的需求活动初步设计评审全面定义CI和接口，要提交CI和接口的安全要求

49、以及验证条款作为系统配置基线的一部分，保证内部接口和协议满足安全要求；证明系统部件的安全需求的可追踪性安全需求的可追踪性随着系统的发展将会产生新的安全需求；子需求必须从主需求导出；可追踪性必须保证子需求包括在主需求中。3).安全设计支持安全设计支持系统设计必须能够确定系统要实现什么功能以及如何实现这些功能，这通常是一个复杂的过程。安全设计支持内容：安全设计支持内容：确定安全体系结构；确定关键技术；确定设计限制；非技术的安全设计手段；分布式安全服务；接口问题关键技术的确定关键技术的确定考虑是否开发或使用任何必要的新技术来满足系统的安全要求;必须事先考虑要开发的技术,以便有充足的开发时间和解决技术

50、难题.设计限制设计限制要明确影响和限制实现所要求的安全服务对系统设计的限制。这些约束包括：系统工作环境、系统工作方式、任务功能的敏感性和重要性、接口和互操作性。一些支持性要求也可能限制系统的设计，如可移植性要求、生存性要求、培训、标准化等。非技术的安全设计措施非技术的安全设计措施安全设计不仅考虑技术措施而且也要考虑非技术的安全措施。先期概念和概念阶段安全设计支持先期概念和概念阶段安全设计支持在先期概念阶段很少用安全设计支持；在后选系统评审（ASR）时，要开发若干备选的概念级的系统设计，它是由产品和过程解决方案适当混合组成的。通过对代替方案的反复比较，进行折中分析使体系结构得到足够的精练要求和系