信息系统安全保证规划

3.2.7　信息系统安全保证规划

与信息系统安全相关的保证技术，被用来把安全功能需求同相关联的可测量的强度和/或信任级别结合在一起。实现安全保证的技术包括测试、分析、过程控制、评审和其他开发以及IV&V实施。信息安全工程专业人员应当懂得：许多与开发方法学相关的“信息系统安全保证”，都和较广泛的系统工程领域的通用技术有关。信息安全工程应当担保信息系统安全保证同系统级规划和实施，以及系统或组件开发小组的其他人的开发实施恰当地结合起来。

总之，安全保证规划应当反映一种方法，用以确定用户重视些什么，如何将它们划分等级，然后如何保证给予它们同其等级相当的保护。这种方式依赖于“统一的信息系统安全准则（Unified INFOSEC Criteria，UIC）”所作出的描述。信息安全工程小组应当帮助制定系统安全保证规划。这种安全保证规划信息应当反复地包含在恰当的系统文档中。例如，要进行的评审及其内容可以编入“程序管理计划”、SEMP和/或软件开发计划，而需求分析可以编入技术规范和/或测试模板，过程控制项目可以编入SOW。安全保证规划应当包含一张在系统的整个生命期都要应用的安全保证技术清单。每项安全保证技术的时间和范围应包含在这个计划内。

由于并非构成系统的所有功能都要求相同的强度和可信度，所以安全保证规划应当明确指出保证等级的级别（例如“高”、“中”、“低”的安全保证等级），并描述每个级别的相关技术集合或其他标准，还要描述集中应用该技术集合提供期望的安全强度和可信度的一个特定环境。为了确定这个安全保证等级，信息安全工程小组必须同客户一起工作以确定一个负面（即违背安全需求）的安全结果（即事件/后果）清单，对清单进行排列并将其分为若干类别，每个类别都要求有自己清晰的安全可信级别，在这个级别上负面事件将不会出现。客户所表示的优先权清单应与独立的标准进行比较，以此为客观基准点。强度和可信度等级也应当与威胁问题建立对应关系。排列好的安全保证等级应当与抵御潜在敌方可能发动进攻的等级，及其技术能力、投入资源的能力和动机相关联。

例如，要考虑下述三方面的用户需求、优先级以及客观基准。

①负面事件清单可以包括：“非法泄露核武器发射程序给确定的、手段精良的敌对方”，“非法泄露机密信息给在一定程度上受到刺激的、未取得许可证的用户”，“被偶尔受到刺激的和技术上不太熟练的用户非法修改了下周午餐菜单的电子公告”等。防御这些事件的安全需求可以分类为“高”、“中”、“低”（或“无”）等安全保证级别。

②另一份负面事件清单可能包括：“非法泄露绝密类情报的来源和方法”，“非法泄露5亿元以上过户账号的国际银行代码”，以及“非法泄露绝密专用的访问内部军事秘密的技术”。为防止这些与已知的、高技术的、手段精良的和极易被激发的威胁有关的后果，有关安全需求可能都会是最高级的安全保证。

③再一份负面事件清单或许包括：“非法泄露可能令人难堪的个人电子邮件信息”，“非法修改私人在线约定条目”，以及“非法小规模个人使用公司的文字处理和打印设施”。在不进行特别考虑时，这些事件或许只与“低（或无）”保证级别相联系。

通用准则（Common Criteria，CC）意在提供一组适用于信息安全工程的安全保证需求和轮廓的标准。在这组标准或等效的其他现代标准可以使用之前，仍可使用具有把保证机制配置到分组类别上的一些现行通用标准（比如“橘皮书”、“可信软件开发方法学”等标准）。然而，在使用这些参考标准的过程中，信息安全工程小组应当确保为每个独立的功能性安全需求保留一份特定系统、特定用户需求信息和有关上下文环境需求信息（而不是随意地声称系统必须是“橘皮书”COMPUSEC中的B1级或TSDM（Trusted Software Development Methodology）的第4级等）。