【摘要】:信息安全工程小组应提出系统是否应该进行安全评估的建议,但是最终作出是否评估的决定却是取决于系统拥有者和认可者,以及实际完成安全评估的评估者。如果威胁很大,安全评估可能是适当的,但是如果威胁不大,那么可能评估就不合算了。系统文档、适当的终端项目或系统本身的其他部分应该提供给安全评估人员。信息安全工程小组的安全指导代表应该将小组的意见综合起来,以判断安全评估是否是合适并可行的。
3.6.3 系统安全评估
信息安全工程小组应提出系统是否应该进行安全评估的建议,但是最终作出是否评估的决定却是取决于系统拥有者和认可者,以及实际完成安全评估的评估者。在制定该建议时,要考虑许多因素,其中包括系统是否已用了被证明过的手段来满足其安全需求。如果是这样,安全评估在成本-效益上可能不划算。但是,如果用的是“新”的或可疑的手段来满足安全需求,那么安全评估就是需要的了。另一个需要考虑的因素可能是系统在其环境中要面临的威胁。如果威胁很大,安全评估可能是适当的,但是如果威胁不大,那么可能评估就不合算了。系统文档、适当的终端项目或系统本身的其他部分(如无线电设备、工作站)应该提供给安全评估人员。安全评估人员则研究系统文档和任何提供的用于测试的组件,并从敌对势力的角度试图进行“攻击”。安全评估人员应恰当报告任何脆弱性(如给系统用户和LCIE),并决定需要采取的行动。改变物理系统本身或相应的系统理论程序可能是正确的,或者进一步计划使系统升级。信息安全工程小组的安全指导代表应该将小组的意见综合起来,以判断安全评估是否是合适并可行的。在某些情况下,可能需要就是否通过长期的、深层次的安全评估来支持系统数量和类型作出折中分析判断。
在安全的生命期支持中,某些场合下的系统安全轮廓研究也是很有用的。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
