【摘要】:如果CI引起对系统的附加需求的话,那么信息安全工程小组应该评估这些修改对CI的安全影响,并且确定附加的安全需求是否被保证。信息安全工程小组将注意对SPO支持的有关CI技术的审查,并实现对那些CI的任何适当的信息系统安全的分析,以保证当其集成为整体系统时,CI将满足安全需求。
3.4.5 初步设计阶段到配置审计阶段的安全设计支持
系统工程师必须通过PDR(初步设计审查)来作最终的制造/购买决定,并反复研究CI和CI之间的接口策略在一定范围的可选择方案(为了使购买成为满足能力需求的最好选择,系统工程小组在满足最终需求的前提下,要对次要的需求规范问题进行商讨,以便取得折中方案的优势)。以前的活动集中于CI的设计或选择,以及建立完整的CI级的配置基线集上。以后的活动则集中到获取或建立CI(如果需要的话)集成和测试系统。这些阶段以成功地实现系统验证评审和配置审计,为建立一组CI产品基线准备就绪而告结束接着而来的就是认可活动。
信息安全工程小组应当审查由于CI开发和/或集成与测试时出现的对系统设计的任何修改。如果CI引起对系统的附加需求的话,那么信息安全工程小组应该评估这些修改对CI的安全影响,并且确定附加的安全需求是否被保证。例如,为系统选择的其他有优势的COTS,可能存在某些从安全角度看来是很脆弱的行为和特性,并引起对其他系统/CI产品或过程的解决方案需求进行相应的修改,像对该CI的接口作新的限制等。信息安全工程小组将注意对SPO支持的有关CI技术的审查,并实现对那些CI的任何适当的信息系统安全的分析,以保证当其集成为整体系统时,CI将满足安全需求。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
