1.5 安全工程的生命周期
信息安全既不是纯粹的技术,也不是简单的安全产品堆砌,而是一项复杂的系统工程——信息安全工程。
安全工程的生命周期主要包括以下阶段:
1.发掘信息保护需求
依据用户单位的性质、目标、任务以及存在的安全威胁确定安全需求,例如支持多种信息安全策略需求、使用开放系统需求、支持不同安全保护等级需求、使用公共通信系统需求等。信息系统安全工程师要帮助客户理解用来支持其业务或任务的信息保护的需求。信息保护需求说明可以在信息保护策略中记录。
2.定义系统安全要求
信息系统安全工程师要将信息保护需求分配到系统中。系统安全的背景环境、概要性的系统安全以及基线安全要求均应得到确定。
3.设计系统安全体系结构
信息系统安全工程师要与系统工程师合作,一起分析待建系统的体系结构,完成功能的分析和分配,同时分配安全服务,并选择安全机制。信息系统安全工程师还应确定安全系统的组件或要素,将安全功能分配给这些要素,并描述这些要素间的关系。
4.开展详细的安全设计
信息系统安全工程师应分析设计约束和均衡取舍,完成详细的系统和安全设计,并考虑生命周期的支持。信息系统安全工程师应将所有的系统安全要求跟踪至系统组件,直至无一遗漏。最终的详细安全设计结果应反映出组件和接口规范,为系统实现时的采办工作提供充分的信息。
5.实现系统安全
信息系统安全工程师要参与到对所有的系统问题进行的多学科检查之中,并向认证与认可过程活动提供输入,例如检验系统是否已经针对先前的威胁评估结果实施了保护;跟踪系统实现和测试活动中的信息保护保障机制;向系统的生命周期支持计划、运行流程以及维护培训材料提供输入。
6.评估信息保护的有效性
信息系统安全工程师要关注信息保护的有效性——系统是否能够为其任务所需的信息提供保密性、完整性、可用性、可控性和不可否认性。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
