信息安全工程實(shí)施

第四章信息平安工程實(shí)施精選ppt4.1概述4.2平安規(guī)劃與控制4.3平安需求的定義4.4平安設(shè)計(jì)支持4.5平安運(yùn)行分析4.6生命周期平安支持4.7信息平安工程的過(guò)程精選ppt4.1概述

通過(guò)前面章節(jié)的學(xué)習(xí)，我們知道信息平安工程是采用工程的概念、原理、技術(shù)和方法，來(lái)研究、開(kāi)發(fā)、實(shí)施與維護(hù)信息系統(tǒng)平安的過(guò)程，是將經(jīng)過(guò)時(shí)間考驗(yàn)證明是正確的工程實(shí)施流程、管理技術(shù)和當(dāng)前能夠得到的最好的技術(shù)方法相結(jié)合的過(guò)程。精選ppt4.1.1信息平安工程的重要性1〕信息系統(tǒng)大量用于政府、國(guó)防、民用部門(mén)和個(gè)人；2〕信息系統(tǒng)存在弱點(diǎn)和漏洞，使用者存在偶然或成心的違規(guī)操作行為，使得信息系統(tǒng)資源隨著訪問(wèn)的增加而增加了被非法訪問(wèn)或使用的可能性。3〕技術(shù)的開(kāi)展使得信息系統(tǒng)的獲取方式正逐漸從專(zhuān)用系統(tǒng)向集成商用現(xiàn)貨設(shè)備和政府現(xiàn)貨設(shè)備的新方向轉(zhuǎn)移。精選ppt4.1.2信息平安工程與系統(tǒng)工程的關(guān)系信息平安工程并不是一個(gè)獨(dú)立的過(guò)程，它依賴(lài)并支持系統(tǒng)工程和獲取過(guò)程，而且是獲取過(guò)程不可分割的一部份。信息平安工程過(guò)程的目標(biāo)是提供一個(gè)框架。每個(gè)工程工程都可以對(duì)這個(gè)框架進(jìn)行裁剪以符合自己特定的需求。精選ppt4.1.2信息平安工程與系統(tǒng)工程的關(guān)系信息平安工程是系統(tǒng)平安工程〔SSE，SystemSecurityEngineering〕、系統(tǒng)工程〔SE，SystemEngineering〕和系統(tǒng)獲取〔SA，SystemAcquisition〕在信息系統(tǒng)平安方面的具體表達(dá)。精選ppt4.1.2信息平安工程與系統(tǒng)工程的關(guān)系信息平安工程是對(duì)系統(tǒng)工程的一種約束，它需要逐步獲得開(kāi)展，并對(duì)集成的、生命周期均衡的、滿足客戶信息系統(tǒng)平安需求的一系列系統(tǒng)產(chǎn)品和過(guò)程進(jìn)行驗(yàn)證的解決方案。信息平安工程列出系統(tǒng)的平安風(fēng)險(xiǎn)，并使這些風(fēng)險(xiǎn)減至最少或得到控制。精選ppt信息平安工程的奉獻(xiàn)

信息平安工程對(duì)平安特性的奉獻(xiàn)如以下圖所示：精選ppt信息安全工程的有關(guān)活動(dòng)及其貢獻(xiàn)安全風(fēng)險(xiǎn)管理生存周期安全支持安全操作分析和支持安全策劃分析和控制系統(tǒng)安全需求分析和確定安全設(shè)計(jì)支持安全開(kāi)發(fā)集成系統(tǒng)安全性驗(yàn)證信息平安工程對(duì)平安特性的奉獻(xiàn)精選ppt4.1.3信息平安工程的生命周期根本信息平安工程的生命周期和執(zhí)行如以下圖所示，信息平安工程小組參與以下活動(dòng)：系統(tǒng)總體規(guī)劃，分析和控制，要求分析，設(shè)計(jì)，開(kāi)發(fā)/集成，驗(yàn)證，運(yùn)行和對(duì)有平安需求的系統(tǒng)提供生命期支持。精選ppt4.1.3信息平安工程的生命周期在過(guò)程中間階段的前期，信息或概念得到實(shí)現(xiàn)、驗(yàn)證并證實(shí)有效之后即投入長(zhǎng)久的運(yùn)行使用；在過(guò)程中期階段的后期，信息或概念被使用、支持，并在必要時(shí)得到修改，最后進(jìn)行部署。精選ppt4.1.3信息平安工程的生命周期信息平安工程過(guò)程包括了一系列與系統(tǒng)工程的各個(gè)階段和事件相對(duì)應(yīng)的平安工程功能。各種功能間的相互協(xié)調(diào)是反復(fù)運(yùn)用以下圖的根本過(guò)程來(lái)實(shí)現(xiàn)的。以下圖中的每一豎格代表生命周期的一個(gè)階段，每一橫格代表了一個(gè)根本的信息平安工程功能。該圖中兩者的縱橫交叉說(shuō)明在系統(tǒng)的任一階段，信息平安工程的任何一個(gè)功能都應(yīng)考慮到。精選ppt先期概念概念要求系統(tǒng)設(shè)計(jì)初步設(shè)計(jì)詳細(xì)設(shè)計(jì)實(shí)現(xiàn)和測(cè)試配置追蹤運(yùn)行和支持系統(tǒng)工程的各個(gè)階段平安規(guī)劃控制平安需求定義平安設(shè)計(jì)支持平安運(yùn)行分析生命期平安支持信息平安工程功能任務(wù)需求說(shuō)明可選系統(tǒng)評(píng)審系統(tǒng)需求評(píng)審系統(tǒng)功能評(píng)審初步設(shè)計(jì)評(píng)審關(guān)鍵設(shè)計(jì)評(píng)審系統(tǒng)驗(yàn)證評(píng)審物理配置評(píng)審系統(tǒng)事件平安風(fēng)險(xiǎn)管理精選ppt4.1.3信息平安工程的生命周期雖然不同工程中的每一個(gè)階段所花時(shí)間和精力可能不同，但一般統(tǒng)計(jì)情況是大量的精力花在生命期開(kāi)發(fā)之后，花在系統(tǒng)的運(yùn)行和支持階段，花在大大小小的修改當(dāng)中。精選ppt4.1.3信息平安工程的生命周期上圖的信息平安根本功能的活動(dòng)包括：〔1〕對(duì)平安活動(dòng)進(jìn)行規(guī)劃和控制；〔2〕平安需求定義；〔3〕平安設(shè)計(jì)支持〔包括頂層體系定義和對(duì)詳細(xì)設(shè)計(jì)實(shí)現(xiàn)的支持〕；〔4〕平安運(yùn)行分析；〔5〕生命期平安支持；〔6〕平安風(fēng)險(xiǎn)管理。精選ppt4.1.3信息平安工程的生命周期在系統(tǒng)獲取和系統(tǒng)工程生命期的每一個(gè)階段和事件中，以上活動(dòng)都是并行的，同時(shí)各個(gè)活動(dòng)之間是互相影響的。每個(gè)信息平安工程功能至少有以下三種模式：為功能實(shí)現(xiàn)做準(zhǔn)備；實(shí)現(xiàn)功能；當(dāng)系統(tǒng)發(fā)生變動(dòng)時(shí)或有新情況出現(xiàn)時(shí)，對(duì)功能作出相應(yīng)的改動(dòng)。精選ppt4.2平安規(guī)劃與控制系統(tǒng)和平安工程的管理與規(guī)劃活動(dòng)，開(kāi)始于一個(gè)機(jī)構(gòu)從業(yè)務(wù)角度決定承擔(dān)該工程的時(shí)候。它們是信息平安工程過(guò)程的根本局部，因此要求它們必須成功。如果平安規(guī)劃做得好，就能夠?yàn)橄到y(tǒng)把平安需求轉(zhuǎn)換為有效的設(shè)計(jì)與實(shí)現(xiàn)提供堅(jiān)實(shí)的根底。精選ppt4.2平安規(guī)劃與控制一項(xiàng)重要的早期活動(dòng)就是要組成恰當(dāng)?shù)亩鄬W(xué)科信息平安工程小組，以便將相關(guān)學(xué)科綜合和協(xié)調(diào)到規(guī)劃中去。這包括在較廣泛的系統(tǒng)工程小組內(nèi)確定信息平安工程的需求，并針對(duì)這些需求來(lái)組建信息平安工程小組。精選ppt4.2.1商業(yè)決策和工程規(guī)劃

在商業(yè)規(guī)劃和決策中，首席信息平安工程師首先閱讀現(xiàn)有程序性文件，并與客戶就可能的小組安排和支持需求進(jìn)行討論，然后據(jù)此準(zhǔn)備一份參與該工程的小組人員配備預(yù)案。精選ppt4.2.1商業(yè)決策和工程規(guī)劃

信息平安工程小組應(yīng)當(dāng)進(jìn)行恰當(dāng)?shù)囊?guī)劃，以便實(shí)現(xiàn)信息平安工程中主要功能中的每一項(xiàng)功能：平安規(guī)劃和控制、平安需求定義，平安風(fēng)險(xiǎn)管理及其相關(guān)的平安驗(yàn)證和證實(shí)活動(dòng)。精選ppt4.2.2信息平安工程小組在規(guī)劃一個(gè)信息系統(tǒng)工程時(shí)，作為商業(yè)規(guī)劃決策的一個(gè)結(jié)果就是要指定信息平安工程小組成員和首席信息系統(tǒng)平安工程師。在工程的初級(jí)階段，作出這個(gè)正式的商業(yè)決策之前，可能由信息系統(tǒng)平安客戶聯(lián)絡(luò)代表來(lái)履行信息系統(tǒng)平安工程師的職責(zé)。在商業(yè)規(guī)劃決策過(guò)程中，首席信息平安工程師首先要閱讀現(xiàn)有的程序性文件，并與客戶就可能的小組安排和支持需求進(jìn)行討論，然后據(jù)此準(zhǔn)備一份參與該工程的小組人員配備預(yù)案。精選ppt4.2.2信息平安工程小組首席信息系統(tǒng)平安工程師領(lǐng)導(dǎo)著整個(gè)信息系統(tǒng)平安工程小組，同時(shí)也在廣泛的系統(tǒng)工程小組內(nèi)充當(dāng)首席信息系統(tǒng)平安專(zhuān)家。精選ppt4.2.2信息平安工程小組信息平安工程小組所扮演的角色，包括充當(dāng)平安指導(dǎo)和生命期信息系統(tǒng)平安工程師，并由其他小組的信息系統(tǒng)平安技術(shù)專(zhuān)家進(jìn)行協(xié)助。對(duì)于較小的工程，可能要求首席信息平安工程師去充當(dāng)信息平安工程小組的假設(shè)干甚至是全部的功能角色。精選ppt4.2.2信息平安工程小組而對(duì)于非常大或急需的工程，那么可能需要假設(shè)干人來(lái)扮演信息平安工程小組成員的角色。信息平安工程小組成員的實(shí)際數(shù)量，根本的信息系統(tǒng)平安人員，以及它們各自的工作水平應(yīng)根據(jù)工程工程的規(guī)模、敏感性和可用資源的相對(duì)優(yōu)先權(quán)等的不同而各異。精選ppt4.2.2信息平安工程小組在商業(yè)規(guī)劃決策過(guò)程中，信息平安工程小組應(yīng)當(dāng)對(duì)與支持該方案的信息系統(tǒng)平安元素相關(guān)的其它直接費(fèi)用支出作出預(yù)算，這些費(fèi)用支出可能包括下面幾項(xiàng)：差旅費(fèi)、測(cè)試設(shè)備、軟件或設(shè)施費(fèi)用、工程工具費(fèi)用和承包商支持效勞費(fèi)用。精選ppt4.2.2信息平安工程小組在工程開(kāi)發(fā)初期，信息平安工程小組應(yīng)該做的也是最重要的事情之一就是要同客戶方建立積極的工作關(guān)系和良好的通信聯(lián)絡(luò)。其目的是為了理解工程的目標(biāo)、費(fèi)用和進(jìn)度參數(shù)，工程的獲取和工程方法以及系統(tǒng)工程和獲取小組結(jié)構(gòu)等。精選ppt4.2.2信息平安工程小組信息平安工程小組需要同客戶在下面兩個(gè)方面達(dá)成相互理解：一是信息平安工程小組在系統(tǒng)工程和獲取過(guò)程中的作用；二是它應(yīng)當(dāng)如何與系統(tǒng)用戶、系統(tǒng)開(kāi)發(fā)/集成小組和C&A小組進(jìn)行最正確的相互協(xié)作。精選ppt4.2.2信息平安工程小組為了提供覆蓋系統(tǒng)整個(gè)生命期的信息系統(tǒng)平安工程，至少應(yīng)當(dāng)在初始開(kāi)發(fā)周期即將完結(jié)的時(shí)候指定生命期信息系統(tǒng)平安工程師〔LCIE，Life-CycleINFOSECEngineer〕，LCIE可以由來(lái)自信息平安工程小組的原派出機(jī)構(gòu)的人員或其他平安人員以及來(lái)自客戶或最終用戶機(jī)構(gòu)的人員來(lái)充當(dāng)。精選ppt4.2.2信息平安工程小組理想情況下，在并行支持工程能力上，LCIE應(yīng)當(dāng)是信息平安工程小組在整個(gè)系統(tǒng)生命期中一個(gè)不可分割的局部。隨著系統(tǒng)進(jìn)入運(yùn)行和支持階段，LCIE接管信息系統(tǒng)平安小組的領(lǐng)導(dǎo)權(quán)。LCIE也可以像前階段的首席信息平安工程專(zhuān)家一樣，在需要時(shí)由其他技術(shù)專(zhuān)家進(jìn)行協(xié)助。精選ppt4.2.3對(duì)認(rèn)證和認(rèn)可〔C&A〕的信息平安工程輸入規(guī)劃信息平安工程小組應(yīng)當(dāng)同客戶一起工作，以便在盡可能早的最初階段確認(rèn)系統(tǒng)的指定批準(zhǔn)機(jī)構(gòu)和其他的平安C&A小組參與者，然后再同C&A小組一起工作以便定義和規(guī)劃信息平安工程對(duì)C&A的支持內(nèi)容。雖然主要是系統(tǒng)工程辦事機(jī)構(gòu)同C&A小組聯(lián)系，但信息平安工程小組也將同他們直接接觸。精選ppt4.2.3對(duì)認(rèn)證和認(rèn)可〔C&A〕的信息平安工程輸入規(guī)劃平安認(rèn)證〔SecurityCertification〕是對(duì)一個(gè)系統(tǒng)在技術(shù)上的和非技術(shù)上的平安特征，以及其他保護(hù)措施綜合進(jìn)行的獨(dú)立評(píng)估，目的是確定特定系統(tǒng)在所處環(huán)境條件下的使用滿足指定平安需求集合的程度。精選ppt4.2.3對(duì)認(rèn)證和認(rèn)可〔C&A〕的信息平安工程輸入規(guī)劃理想條件下，認(rèn)證活動(dòng)應(yīng)分步在系統(tǒng)整個(gè)生命期的各個(gè)階段。平安認(rèn)證同平安驗(yàn)證和風(fēng)險(xiǎn)評(píng)估相互聯(lián)系，應(yīng)當(dāng)在整個(gè)系統(tǒng)生命期內(nèi)由C&A負(fù)責(zé)人員不斷地評(píng)審和修正。C&A過(guò)程中的認(rèn)證階段應(yīng)包括一份系統(tǒng)分析說(shuō)明，以確認(rèn)在特定環(huán)境下運(yùn)行一個(gè)具有特定對(duì)抗措施的系統(tǒng)時(shí)可能出現(xiàn)的平安風(fēng)險(xiǎn)。精選ppt4.2.3對(duì)認(rèn)證和認(rèn)可〔C&A〕的信息

平安工程輸入規(guī)劃平安認(rèn)可〔SecurityAccreditation〕的規(guī)劃也應(yīng)當(dāng)在系統(tǒng)生命期的開(kāi)始階段完成。平安認(rèn)可是由獨(dú)立的指定批準(zhǔn)機(jī)構(gòu)給出的正式平安聲明，即聲明一個(gè)系統(tǒng)如果是在使用指定保護(hù)措施集合的特定環(huán)境內(nèi)運(yùn)行，那么是獲得批準(zhǔn)的，而且認(rèn)可應(yīng)強(qiáng)調(diào)以認(rèn)證期間所識(shí)別的殘留平安風(fēng)險(xiǎn)為根底。精選ppt4.2.3對(duì)認(rèn)證和認(rèn)可〔C&A〕的信息平安工程輸入規(guī)劃如果C&A小組或系統(tǒng)工程辦事機(jī)構(gòu)沒(méi)有特別要求的話，信息平安工程小組應(yīng)當(dāng)努力提供C&A所必需的全部信息系統(tǒng)平安信息和產(chǎn)品，以成功地完成平安認(rèn)證工作工程并取得有利的平安認(rèn)可決策。精選ppt4.2.3對(duì)認(rèn)證和認(rèn)可〔C&A〕的信息平安工程輸入規(guī)劃信息平安工程小組提供給C&A的東西包括：〔1〕平安目標(biāo)和需求陳述；〔2〕平安保證規(guī)劃；〔3〕平安威脅分析結(jié)果；〔4〕平安相關(guān)的設(shè)計(jì)信息，包括接口標(biāo)準(zhǔn)；〔5〕與外部系統(tǒng)接口相互作用的信息〔從對(duì)這些系統(tǒng)的功能、性能和平安情況的觀察中得到〕；〔6〕需求驗(yàn)證可跟蹤模版或別的相關(guān)決策數(shù)據(jù)庫(kù)信息；〔7〕系統(tǒng)平安運(yùn)行方案、方案和其他分析；〔8〕生命期平安支持方案；精選ppt4.2.3對(duì)認(rèn)證和認(rèn)可〔C&A〕的信息平安工程輸入規(guī)劃〔9〕平安測(cè)試或其他驗(yàn)證方案和數(shù)據(jù)；〔10〕平安風(fēng)險(xiǎn)評(píng)估/風(fēng)險(xiǎn)評(píng)審報(bào)告；〔11〕適用的產(chǎn)品平安特性文件和產(chǎn)品平安評(píng)估報(bào)告；〔12〕適宜時(shí)，參與C&A相關(guān)的工作組；〔13〕系統(tǒng)平安評(píng)估和描述判決的輪廓〔只有已完成時(shí)才做〕。精選ppt4.2.3對(duì)認(rèn)證和認(rèn)可〔C&A〕的信息平安工程輸入規(guī)劃既然平安C&A僅僅是系統(tǒng)總體過(guò)渡為運(yùn)行和支持中的一局部，那么信息平安工程也應(yīng)當(dāng)注意了解其他形式的系統(tǒng)驗(yàn)收準(zhǔn)備與決策，并提供恰當(dāng)輸入。精選ppt4.2.4信息平安工作報(bào)告1．用戶/同級(jí)小組報(bào)告2．組織的管理報(bào)告精選ppt1．用戶/同級(jí)小組報(bào)告

信息平安工程小組應(yīng)當(dāng)向客戶提供一致的工作情況和進(jìn)展的信息，并快速地傳達(dá)那些應(yīng)當(dāng)進(jìn)行討論或應(yīng)當(dāng)提請(qǐng)客戶注意的問(wèn)題。如果沒(méi)有更多要求或不需要結(jié)構(gòu)性調(diào)整，那么建議信息平安工程小組每月要同至少包括系統(tǒng)工程辦事機(jī)構(gòu)〔或者加上C&A參與者〕在內(nèi)的同級(jí)工程小組進(jìn)行屢次聯(lián)系。精選ppt1．用戶/同級(jí)小組報(bào)告在適宜的時(shí)候，作為定期現(xiàn)場(chǎng)訪問(wèn)或是工程技術(shù)評(píng)審，信息平安工程小組也需要親自向客戶定期陳述工作情況。這些將有助于在工程實(shí)施中進(jìn)行修正，或提供技術(shù)信息和共同討論問(wèn)題〔例如關(guān)于平安風(fēng)險(xiǎn)評(píng)估團(tuán)評(píng)估簡(jiǎn)報(bào)〕。信息平安工程小組可能希望采用用戶同意的技術(shù)說(shuō)明方法來(lái)完成進(jìn)展報(bào)告，同時(shí)也幫助自己跟蹤工程進(jìn)展情況。精選ppt2．組織的管理報(bào)告除了上述向用戶提供的報(bào)告外，信息平安工程小組應(yīng)當(dāng)在每一次重要工程階段評(píng)審之前為組織的管理人員整理出恰當(dāng)?shù)暮?jiǎn)報(bào)〔例如：比照性系統(tǒng)評(píng)審，初步設(shè)計(jì)評(píng)審等〕，以便為他們提供相應(yīng)的技術(shù)和情況的信息。簡(jiǎn)報(bào)的頻度、內(nèi)容和管理等級(jí)將因情況而異，并需進(jìn)行適宜的裁剪。精選ppt2．組織的管理報(bào)告簡(jiǎn)報(bào)應(yīng)當(dāng)證明信息平安工程小組遵循了原定的信息平安工程過(guò)程，而且應(yīng)當(dāng)向管理部門(mén)提供有關(guān)工作質(zhì)量和成果方面的一些建議。在工程的初期，要討論簡(jiǎn)報(bào)如何裁剪信息平安工程過(guò)程以適合客戶工程需求，其后的簡(jiǎn)報(bào)應(yīng)當(dāng)確定信息平安工程小組已經(jīng)完成了的活動(dòng)，并于先前簡(jiǎn)報(bào)中的工作方案進(jìn)行比較。精選ppt2．組織的管理報(bào)告其他信息可能包括：〔1〕收到的用戶對(duì)有關(guān)信息系統(tǒng)平安支持和成果方面的反響意見(jiàn)；〔2〕系統(tǒng)描述〔如高層次方框圖〕；〔3〕建議的平安方案〔即如何滿足用戶的平安能力需求，什么樣的產(chǎn)品將提供哪些平安效勞，已經(jīng)選擇了什么樣的平安保證措施等〕；〔4〕平安風(fēng)險(xiǎn)評(píng)估結(jié)果〔包括系統(tǒng)的平安風(fēng)險(xiǎn)程度〕以及用戶、C&A小組關(guān)于這些問(wèn)題的看法和決策；精選ppt2．組織的管理報(bào)告〔5〕進(jìn)度；〔6〕信息平安工程人員配置和其他資源問(wèn)題；〔7〕技術(shù)策略變化或根據(jù)早期簡(jiǎn)報(bào)得出的風(fēng)險(xiǎn)數(shù)據(jù)。根據(jù)簡(jiǎn)報(bào)，管理部門(mén)應(yīng)當(dāng)能夠斷定經(jīng)過(guò)裁剪的過(guò)程是否適用，客戶是否滿意信息平安工程小組的工作。精選ppt4.2.5技術(shù)數(shù)據(jù)庫(kù)和工具1．決策數(shù)據(jù)庫(kù)決策數(shù)據(jù)庫(kù)是系統(tǒng)工程數(shù)據(jù)的集合。它提供從最初陳述的需求到現(xiàn)行系統(tǒng)產(chǎn)品和過(guò)程描述的審計(jì)線索。這種審計(jì)線索既可以是非正式記錄，也可以是非常復(fù)雜的、由多人小組通過(guò)網(wǎng)絡(luò)維護(hù)的再線工程數(shù)據(jù)庫(kù)。這取決于工程工程的復(fù)雜性和適宜的方式。精選ppt1．決策數(shù)據(jù)庫(kù)決策數(shù)據(jù)庫(kù)應(yīng)該包含如下一些內(nèi)容：〔1〕集成的系統(tǒng)需求并進(jìn)行分配給配置工程；〔2〕接口的限制和需求；〔3〕系統(tǒng)概念、初步設(shè)計(jì)和詳細(xì)設(shè)計(jì)級(jí)的可選擇方案；〔4〕選定設(shè)計(jì)的全部文檔；〔5〕驗(yàn)證；精選ppt1．決策數(shù)據(jù)庫(kù)〔6〕決策標(biāo)準(zhǔn)；〔7〕折中研究評(píng)估；〔8〕原理圖集；〔9〕模型和仿真；〔10〕設(shè)計(jì)圖與詳圖；〔11〕配置文檔和變化控制手段；〔12〕可跟蹤審計(jì)線索。精選ppt2．知識(shí)庫(kù)的增長(zhǎng)和“重用〞

為了促使信息平安工程過(guò)程成為更有效、更正規(guī)的工程實(shí)踐，信息平安工程小組應(yīng)當(dāng)從“信息系統(tǒng)平安〞知識(shí)庫(kù)吸取知識(shí)并給它增加知識(shí)。精選ppt2．知識(shí)庫(kù)的增長(zhǎng)和“重用〞

這些渠道包括：〔1〕同工作中心的同級(jí)人員、高級(jí)技術(shù)領(lǐng)導(dǎo)等可以非正式地分享信息平安工程思想、經(jīng)驗(yàn)和輸出?！?〕傳播經(jīng)過(guò)質(zhì)量檢查的“運(yùn)用例如〞。如平安需求說(shuō)明、設(shè)計(jì)方案和體系結(jié)構(gòu)分析、平安風(fēng)險(xiǎn)評(píng)估/風(fēng)險(xiǎn)評(píng)審報(bào)告等。〔3〕給更集中的連機(jī)〔在線〕資料庫(kù)進(jìn)行數(shù)據(jù)輸入，如輸入與特定平安威脅、弱點(diǎn)、漏洞、應(yīng)對(duì)措施和攻擊等有關(guān)的數(shù)據(jù)項(xiàng)。精選ppt2．知識(shí)庫(kù)的增長(zhǎng)和“重用〞〔4〕列出參考目錄和參考資源的工作幫助信息?！?〕專(zhuān)業(yè)技術(shù)和工具?！?〕經(jīng)驗(yàn)報(bào)告〔關(guān)于成功的和不成功的活動(dòng)經(jīng)驗(yàn)〕。〔7〕豐富信息平安工程培訓(xùn)課程所使用的經(jīng)驗(yàn)和信息。〔8〕張貼在電子公告牌上的非正式評(píng)注。〔9〕較正式發(fā)行的關(guān)于“如何做〞的指南和技術(shù)論文。精選ppt3．工具的選擇和使用

可能影響信息平安工程功能的技術(shù)規(guī)劃的問(wèn)題就是對(duì)自動(dòng)化工程工具的選擇和使用問(wèn)題。在可能的地方，信息平安工程小組應(yīng)當(dāng)使用與系統(tǒng)工程辦事機(jī)構(gòu)、系統(tǒng)開(kāi)發(fā)/集成小組直接兼容的文字處理和技術(shù)工具實(shí)現(xiàn)信息共享。精選ppt3．工具的選擇和使用

這種兼容性可以通過(guò)使用完全相同的產(chǎn)品集，和/或通過(guò)使用在不同產(chǎn)品和環(huán)境之間的數(shù)據(jù)交換來(lái)實(shí)現(xiàn)。信息平安工程小組應(yīng)當(dāng)能夠以恰當(dāng)?shù)臄?shù)字格式向其他的小組成員提供信息，也應(yīng)當(dāng)能夠接收合作伙伴的數(shù)字格式信息。精選ppt4.2.6與獲取/簽約有關(guān)的規(guī)劃1．獲取/采購(gòu)策略2．預(yù)規(guī)劃的產(chǎn)品〔P3I〕改進(jìn)策略〔Pre-plannedProductImprovementStrategy〕精選ppt1．獲取/采購(gòu)策略開(kāi)始建立新系統(tǒng)和改進(jìn)現(xiàn)用系統(tǒng)必然遇到的普遍性問(wèn)題，是選擇一個(gè)最適合的獲取策略和運(yùn)行環(huán)境。根本的問(wèn)題包括：組織機(jī)構(gòu)是自己組織購(gòu)置要獲取的工程，還是通過(guò)諸如新合同、修訂合同或者雇請(qǐng)承包商按照現(xiàn)有“一攬子〞合同訂單間接購(gòu)置。規(guī)劃工作應(yīng)當(dāng)仔細(xì)地檢查信息平安工程小組同系統(tǒng)工程辦事機(jī)構(gòu)所雇用的任何承包商之間的關(guān)系，以及信息平安工程小組自身可能需要承包商支持的程度。精選ppt1．獲取/采購(gòu)策略需要考慮的問(wèn)題包括：〔1〕支持系統(tǒng)工程辦事機(jī)構(gòu)所需的技術(shù)任務(wù)，參與信息平安工程小組以及組織和承包商團(tuán)隊(duì)之間的折中方案?！?〕選擇最適宜的承包合同類(lèi)型。精選ppt1．獲取/采購(gòu)策略〔3〕信息平安工程小組在恰當(dāng)?shù)臅r(shí)候參與對(duì)承包合同的監(jiān)控〔例如，信息平安工程小組的人充當(dāng)工程招標(biāo)官員的代表，信息平安工程小組的人在適宜時(shí)參與獎(jiǎng)金的評(píng)估〕。〔4〕信息平安工程小組為支持承包合同相關(guān)活動(dòng)所必需的滿足的差旅需求。精選ppt1．獲取/采購(gòu)策略〔5〕對(duì)合同的作業(yè)陳述提供信息平安工程輸入和注釋的進(jìn)度和方式，包括必要的信息系統(tǒng)平安折中方案研究、獨(dú)立的驗(yàn)證和證實(shí)活動(dòng)等方面的輸入。精選ppt1．獲取/采購(gòu)策略〔6〕把信息系統(tǒng)平安的輸入提煉成合同上的系統(tǒng)技術(shù)標(biāo)準(zhǔn)。〔7〕對(duì)每個(gè)相關(guān)合同或業(yè)務(wù)訂單的合同數(shù)據(jù)需求的輸入，包括對(duì)數(shù)據(jù)項(xiàng)說(shuō)明和對(duì)合同作業(yè)陳述語(yǔ)言的恰當(dāng)補(bǔ)充。精選ppt1．獲取/采購(gòu)策略〔8〕源識(shí)別和選擇的制約。例如：①將信息平安工程需求導(dǎo)入源識(shí)別的市場(chǎng)調(diào)查中，因?yàn)楹贤顒?dòng)并不受全面競(jìng)爭(zhēng)的影響。②〔技術(shù)〕“白皮書(shū)〞的審核。③將信息平安工程需求導(dǎo)入到建議的準(zhǔn)備指令中，包括對(duì)任何信息系統(tǒng)平安建議內(nèi)容的指令。精選ppt1．獲取/采購(gòu)策略④將信息平安工程需求導(dǎo)入到源選擇規(guī)劃中，包括在信息系統(tǒng)平安和信息平安工程領(lǐng)域篩選提議者的準(zhǔn)那么，以及評(píng)估提議者技術(shù)建議的平安方面問(wèn)題的準(zhǔn)那么。⑤信息平安工程小組作為源選擇委員會(huì)的成員參與工作〔至少參與評(píng)估上述面向技術(shù)和協(xié)作能力的方案選擇〕。精選ppt1．獲取/采購(gòu)策略〔9〕將信息系統(tǒng)平安需求輸入到技術(shù)性能的度量集合中。〔10〕合同的平安技術(shù)標(biāo)準(zhǔn)需求——供承包商使用的平安分類(lèi)指南，承包商個(gè)人許可證需求等。精選ppt2．預(yù)規(guī)劃的產(chǎn)品改進(jìn)策略(P3I)

預(yù)規(guī)劃的產(chǎn)品改進(jìn)策略，是對(duì)已完成系統(tǒng)所作的已規(guī)劃的改進(jìn)策略。它把具有重大風(fēng)險(xiǎn)或延誤〔或當(dāng)時(shí)無(wú)法負(fù)擔(dān)的支出〕的因素推后。雖然被推遲的因素在并行或其后的工作工程中才能進(jìn)行開(kāi)發(fā)，但是該系統(tǒng)還是可以投入使用。這樣，當(dāng)被推遲的因素在后來(lái)變得可實(shí)現(xiàn)時(shí)，就可以把它非常方便地結(jié)合進(jìn)來(lái)。精選ppt2．預(yù)規(guī)劃的產(chǎn)品改進(jìn)策略(P3I)信息平安工程小組和LCIE有時(shí)需要支持用戶去準(zhǔn)備預(yù)規(guī)劃的產(chǎn)品改進(jìn)策略。這些改進(jìn)策略可能包括找到可作出假設(shè)干變更以降低平安風(fēng)險(xiǎn)的情況，而減低這些平安風(fēng)險(xiǎn)的措施由于費(fèi)用、進(jìn)度，技術(shù)或其他限制在當(dāng)前開(kāi)發(fā)周期內(nèi)無(wú)法使其實(shí)現(xiàn)。精選ppt4.2.7信息系統(tǒng)平安保證規(guī)劃與信息系統(tǒng)平安相關(guān)的保證技術(shù)，被用來(lái)把平安功能需求同相關(guān)聯(lián)的可測(cè)量的強(qiáng)度和/或信任級(jí)別結(jié)合在一起。實(shí)現(xiàn)平安保證的技術(shù)包括測(cè)試、分析、過(guò)程控制、評(píng)審和其他開(kāi)發(fā)以及獨(dú)立的驗(yàn)證和證實(shí)實(shí)施。精選ppt4.2.7信息系統(tǒng)平安保證規(guī)劃總之，平安保證規(guī)劃應(yīng)當(dāng)反映一種方法，用以確定用戶重視些什么，如何將它們劃分等級(jí)，然后如何保證給予它們同其等級(jí)的工程相當(dāng)?shù)谋Ｗo(hù)。信息平安工程小組應(yīng)當(dāng)幫助制定系統(tǒng)平安保證規(guī)劃。這種平安保證規(guī)劃信息應(yīng)當(dāng)反復(fù)地包含在恰當(dāng)?shù)南到y(tǒng)文檔中。精選ppt4.2.7信息系統(tǒng)平安保證規(guī)劃由于并非構(gòu)成系統(tǒng)的所有功能都要求相同的強(qiáng)度和可信度，所以平安保證規(guī)劃應(yīng)當(dāng)明確指出保證等級(jí)〔例如高、中、低的平安保證等級(jí)〕，并描述每個(gè)級(jí)別的相關(guān)技術(shù)集合或其他標(biāo)準(zhǔn)。還要描述集中應(yīng)用該技術(shù)集合提供期望的平安強(qiáng)度和可信度的一個(gè)特定環(huán)境。精選ppt4.2.7信息系統(tǒng)平安保證規(guī)劃為了確定這個(gè)平安保證等級(jí)，信息平安工程小組必須同客戶一起工作以確定一個(gè)負(fù)面〔即違背平安需求〕的平安結(jié)果〔即事件/后果〕清單，對(duì)清單進(jìn)行排列并將其分為假設(shè)干類(lèi)別，每個(gè)類(lèi)別都要求有自己清晰的平安可信級(jí)別，以保證在這個(gè)級(jí)別上負(fù)面事件將不會(huì)出現(xiàn)。精選ppt4.2.7信息系統(tǒng)平安保證規(guī)劃負(fù)面事件清單可以包括：“非法泄漏核武器發(fā)射程序給確定的、手段精良的敵對(duì)方〞，“非法泄露機(jī)密信息給在一定程度上受到刺激的、未取得許可證的用戶〞，等。防御這些事件的平安需求可以分類(lèi)為高、中、低等平安保證級(jí)別。精選ppt4.2.7信息系統(tǒng)平安保證規(guī)劃在這組標(biāo)準(zhǔn)或等級(jí)的其他現(xiàn)代標(biāo)準(zhǔn)可以使用之前，仍可使用具有把保證機(jī)制配置到分組類(lèi)別上的一些現(xiàn)行通用標(biāo)準(zhǔn)。精選ppt4.3平安需求的定義4.3.1系統(tǒng)需求定義概述4.3.2平安需求分析的一般課題

4.3.3平安需求定義概述4.3.4信息平安工程的需求活動(dòng)精選ppt4.3.1系統(tǒng)需求定義概述1.系統(tǒng)級(jí)運(yùn)行需求定義在一個(gè)工程生命的先期概念階段，將定義和文檔化的新系統(tǒng)能力相關(guān)聯(lián)的業(yè)務(wù)需求。相應(yīng)地，業(yè)務(wù)能力需求定義可認(rèn)為是描述機(jī)構(gòu)的運(yùn)行作業(yè)或問(wèn)題，而且這些問(wèn)題通過(guò)現(xiàn)有能力或完全使用非技術(shù)性手段在目前是無(wú)法解決的。精選ppt2.系統(tǒng)級(jí)需求分析和標(biāo)準(zhǔn)

系統(tǒng)級(jí)需求分析和標(biāo)準(zhǔn)是為了確定系統(tǒng)每個(gè)主要功能的平安需求和其他需求，并用無(wú)歧義的可試驗(yàn)術(shù)語(yǔ)說(shuō)明這些需求。需求分析的結(jié)果將通過(guò)運(yùn)行需求文檔〔OperationalRequirementDocument，ORD〕進(jìn)行文檔化，并應(yīng)該在“系統(tǒng)標(biāo)準(zhǔn)〞中以更詳細(xì)的方式文檔化。精選ppt3.系統(tǒng)需求定義和可跟蹤性

“需求分析〞被定義為對(duì)系統(tǒng)特有特性確實(shí)定。這種確定基于對(duì)客戶需求、要求和目標(biāo)、業(yè)務(wù)、人、產(chǎn)品和過(guò)程的預(yù)期使用環(huán)境、限制和效率等的分析。這種活動(dòng)的輸出應(yīng)當(dāng)是一組恰當(dāng)?shù)男枨箨愂?，?duì)用戶是可理解并得到用戶同意的，精選ppt3.系統(tǒng)需求定義和可跟蹤性與此同時(shí)，對(duì)于大型需求集合，自動(dòng)化工具用于跟蹤數(shù)據(jù)的維護(hù)和驗(yàn)證；對(duì)于簡(jiǎn)單工程工程，人工維護(hù)需求驗(yàn)證可跟蹤模板就可滿足要求。需求的可跟蹤性，應(yīng)當(dāng)由與負(fù)責(zé)系統(tǒng)開(kāi)發(fā)者/集成者無(wú)關(guān)的人員來(lái)認(rèn)真地完成或至少是由他們進(jìn)行審計(jì)。精選ppt4.3.2平安需求分析的一般課題

1.平安規(guī)那么和政策解釋首次信息系統(tǒng)平安需求分析活動(dòng)，應(yīng)當(dāng)包括全面審查和考慮一切適用的，與有關(guān)平安標(biāo)準(zhǔn)或目標(biāo)體系結(jié)構(gòu)相符合的規(guī)那么和政策性指令。在這個(gè)步驟里，需要對(duì)由國(guó)家、國(guó)際機(jī)構(gòu)、地方和企業(yè)發(fā)布的保護(hù)涉密的和非涉密信息的強(qiáng)制性等進(jìn)行分析和解釋。精選ppt4.3.2平安需求分析的一般課題

2.平安威脅評(píng)估

平安威脅被定義為：敵對(duì)方經(jīng)過(guò)深思熟慮，利用那些可能對(duì)信息或系統(tǒng)造成損害的條件、能力、意圖和方法。信息平安工程小組應(yīng)當(dāng)同用戶一道工作，以幫助它們?cè)凇跋到y(tǒng)威脅評(píng)估報(bào)告〞內(nèi)準(zhǔn)確全面的描述有關(guān)對(duì)信息系統(tǒng)平安的威脅。精選ppt4.3.2平安需求分析的一般課題

3.任務(wù)平安目標(biāo)一般來(lái)說(shuō)，平安目標(biāo)最好是由系統(tǒng)用戶陳述，但信息平安工程小組應(yīng)當(dāng)理解平安目標(biāo)的細(xì)節(jié)，并且在用戶需要的時(shí)候提供幫助。如果用戶沒(méi)有陳述出平安目標(biāo)時(shí)，信息平安工程小組應(yīng)當(dāng)能夠通過(guò)回溯追蹤需求的層次結(jié)構(gòu)，以發(fā)現(xiàn)客戶的根本平安理由和最終平安目標(biāo)。精選ppt4.3.2平安需求分析的一般課題4.平安效勞分類(lèi)平安效勞應(yīng)當(dāng)考慮與業(yè)務(wù)需求和威脅密切相關(guān)的內(nèi)容，其中威脅是在系統(tǒng)闡述平安目標(biāo)和平安需求過(guò)程中的根據(jù)。5.信息流向及功能和價(jià)值為了定義恰當(dāng)?shù)钠桨材繕?biāo)，能力需求，以及有效的表達(dá)用戶所需平安的系統(tǒng)需求，必須識(shí)別和分析有系統(tǒng)處理或存儲(chǔ)信息的功能、流向和價(jià)值。精選ppt4.3.3平安需求定義概述

1．同平安有關(guān)的運(yùn)行需求分析2．信息平安工程需求活動(dòng)3．平安性能和保障需求精選ppt1．同平安有關(guān)的運(yùn)行需求分析業(yè)務(wù)和運(yùn)行需求是對(duì)用戶需求的說(shuō)明，并且必須用來(lái)指導(dǎo)工程辦事機(jī)構(gòu)和工程小組進(jìn)行后續(xù)開(kāi)發(fā)工作。最重要的問(wèn)題是，所涉及的人或機(jī)構(gòu)〔例如：用戶、獲取機(jī)構(gòu)、C&A代表、信息平安工程小組〕要意識(shí)到這些都是用戶自己的需求，而非工程辦事機(jī)構(gòu)或工程人員的需求。精選ppt1．同平安有關(guān)的運(yùn)行需求分析為了對(duì)來(lái)自廣泛業(yè)務(wù)能力需求中與平安相關(guān)的系統(tǒng)運(yùn)行需求進(jìn)行更為充分的定義，信息平安工程小組應(yīng)當(dāng)對(duì)業(yè)務(wù)能力需求，國(guó)家的、本地的和商業(yè)企業(yè)的適用平安政策，業(yè)務(wù)目標(biāo)/平安目標(biāo)以及平安威脅進(jìn)行評(píng)審。精選ppt1．同平安有關(guān)的運(yùn)行需求分析為了給一個(gè)系統(tǒng)概念定義恰當(dāng)?shù)倪\(yùn)行平安需求，對(duì)信息平安工程小組同樣重要的是理解其他適用的〔非平安〕能力目標(biāo)，以及為滿足總體能力需求而制定的獲取范圍〔本錢(qián)、進(jìn)度、風(fēng)險(xiǎn)、組隊(duì)方式〕。為了取得成功，所有這些都必須處于平衡狀態(tài)。在開(kāi)始正式的工程需求分析之前，平安能力需求必須轉(zhuǎn)換為一組運(yùn)行功能需求和性能需求與約束。精選ppt2．信息平安工程需求活動(dòng)

信息平安工程小組的需求分析活動(dòng)應(yīng)該從評(píng)審和更新先前的分析〔業(yè)務(wù)、威脅等〕開(kāi)始，提煉出業(yè)務(wù)和環(huán)境定義，從而支持對(duì)每一項(xiàng)功能建立起平安需求。精選ppt2．信息平安工程需求活動(dòng)隨著平安需求從頂層需求向更精確的具體需求轉(zhuǎn)化，必須對(duì)它們作出最充分的定義，以使系統(tǒng)概念和體系結(jié)構(gòu)的可選擇方案能夠得到開(kāi)發(fā)，并能在集成的并發(fā)工作過(guò)程內(nèi)進(jìn)行比較。從平安目標(biāo)、國(guó)家政策和整個(gè)設(shè)計(jì)過(guò)程的其他輸入中反復(fù)地導(dǎo)出系統(tǒng)、后繼的配置工程〔CI〕和組件平安需求的過(guò)程，如以下圖所示。精選ppt任務(wù)信息威脅分析法規(guī)和政策平安能力需求系統(tǒng)約束條件系統(tǒng)平安需求CI約束條件組件約束條件CI平安需求系統(tǒng)設(shè)計(jì)活動(dòng)·體系結(jié)構(gòu)開(kāi)發(fā)·風(fēng)險(xiǎn)分析·折中分析改進(jìn)要求CI設(shè)計(jì)活動(dòng)·體系結(jié)構(gòu)開(kāi)發(fā)·風(fēng)險(xiǎn)分析·折中分析組件平安需求改進(jìn)要求組件設(shè)計(jì)活動(dòng)·體系結(jié)構(gòu)開(kāi)發(fā)·風(fēng)險(xiǎn)分析·折中分析改進(jìn)要求CI標(biāo)準(zhǔn)系統(tǒng)標(biāo)準(zhǔn)組件標(biāo)準(zhǔn)圖平安需求的開(kāi)發(fā)精選ppt2．信息平安工程需求活動(dòng)

信息平安工程必須協(xié)同客戶分析平安需求，從而確定這些需求是否確實(shí)是有效的需求。精選ppt3．平安性能和保障需求信息平安工程小組還必須識(shí)別同平安功能需求目標(biāo)相關(guān)聯(lián)的性能需求，這通常應(yīng)當(dāng)采用假設(shè)干種需求表達(dá)形式?！?〕功能/性能需求對(duì)與功能性平安需求相連的性能需求，可以在條件允許情況下直接寫(xiě)出，或者參照初步設(shè)計(jì)過(guò)程中的與已定義平安保證類(lèi)相關(guān)聯(lián)的開(kāi)發(fā)條款來(lái)確定。精選ppt3．平安性能和保障需求〔2〕設(shè)計(jì)需求隨著系統(tǒng)功能被分解，在平安保證規(guī)劃中形成的負(fù)面事件清單也被分解。信息平安工程審視每個(gè)子功能的潛在錯(cuò)誤特性，并把這些負(fù)面事件映射到先前確定的平安保證級(jí)別上。當(dāng)分解完成時(shí)，便可以對(duì)每個(gè)最底層子功能分配設(shè)計(jì)需求所需的信任級(jí)別。精選ppt4.3.4信息平安工程的需求活動(dòng)1．先期概念階段和概念階段——信息平安工程的需求活動(dòng)這些早期階段的著重點(diǎn)是：使用用戶語(yǔ)言準(zhǔn)確地抓住用戶的頂層平安需求和約束；識(shí)別和解決信息系統(tǒng)平安需求和其他系統(tǒng)需求之間的相互依賴(lài)性和折中方案，包括接口/環(huán)境驅(qū)動(dòng)的需求；精選ppt1．先期概念階段和概念階段——信息平安工程的需求活動(dòng)

在正常情況下至少要對(duì)正在系統(tǒng)的每一個(gè)系統(tǒng)概念開(kāi)發(fā)出一組粗略的預(yù)期需求。對(duì)于已采用的概念，這種早期的需求集合將被變換為經(jīng)過(guò)批準(zhǔn)的運(yùn)行需求文件，用于說(shuō)明功能和性能需求。關(guān)鍵目標(biāo)是保證所定義的系統(tǒng)平安需求集合是必不可少的和充分的。精選ppt1．先期概念階段和概念階段——信息平安工程的需求活動(dòng)

到概念階段完結(jié)的時(shí)候，工程的技術(shù)范圍、本錢(qián)范圍和進(jìn)度范圍，粗略的系統(tǒng)運(yùn)行概念和體系結(jié)構(gòu)、運(yùn)行需求文檔等，其初級(jí)形式應(yīng)當(dāng)全部被確定下來(lái)。精選ppt2．需求階段——信息平安工程的需求活動(dòng)

在這個(gè)階段，系統(tǒng)工程師通過(guò)完成初步的正規(guī)化分析和標(biāo)準(zhǔn)來(lái)確定系統(tǒng)需求的基線，在“系統(tǒng)需求評(píng)審〞中這些需求將獲得批準(zhǔn)，并制定出系統(tǒng)標(biāo)準(zhǔn)草案。該需求將定義系統(tǒng)必須完成的功能和受到的約束。系統(tǒng)標(biāo)準(zhǔn)反映這些系統(tǒng)需求在一系列功能領(lǐng)域的配置，例如數(shù)據(jù)管理、平安、可靠性和可維護(hù)性、用戶接口等。精選ppt2．需求階段——信息平安工程的需求活動(dòng)

系統(tǒng)工程師將設(shè)置一個(gè)過(guò)程，以提供系統(tǒng)需求標(biāo)準(zhǔn)和早期系統(tǒng)運(yùn)行需求及能力需求說(shuō)明之間的可跟蹤性。在這個(gè)階段期間，信息平安工程小組將為批準(zhǔn)基線而設(shè)法準(zhǔn)備好平安需求，并向系統(tǒng)標(biāo)準(zhǔn)草案提供信息系統(tǒng)平安相關(guān)的輸入。信息平安工程小組應(yīng)當(dāng)評(píng)審和提煉包含在運(yùn)行需求文檔中的平安需求，保證它們同其他的系統(tǒng)需求相一致和兼容。精選ppt2．需求階段——信息平安工程的需求活動(dòng)

信息平安工程小組應(yīng)當(dāng)審查這些平安需求，并囊括適當(dāng)場(chǎng)合可用的平安需求集、與技術(shù)參考模型相關(guān)的設(shè)計(jì)限制，以及與正在開(kāi)發(fā)的系統(tǒng)有關(guān)或有利的標(biāo)準(zhǔn)輪廓。標(biāo)準(zhǔn)輪廓包括文本指南〔準(zhǔn)那么〕以及規(guī)定數(shù)據(jù)交換格式、聯(lián)網(wǎng)協(xié)議和類(lèi)似事情的各種技術(shù)標(biāo)準(zhǔn)。精選ppt2．需求階段——信息平安工程的需求活動(dòng)

信息平安工程小組應(yīng)當(dāng)保證平安需求有效地反映客戶的平安需求，并且可直接地跟蹤到先前的需求層次體系。至此，信息平安工程小組還應(yīng)當(dāng)識(shí)別需要開(kāi)發(fā)的新技術(shù)，開(kāi)始監(jiān)控新技術(shù)的開(kāi)發(fā)進(jìn)程，確保它們符合預(yù)期的目標(biāo)，滿足預(yù)期的平安需求。精選ppt3．系統(tǒng)設(shè)計(jì)階段——信息平安工程的需求活動(dòng)系統(tǒng)工程師將在這個(gè)階段完成系統(tǒng)的根本設(shè)計(jì)。這是通過(guò)把需求分配給體系結(jié)構(gòu)中標(biāo)識(shí)的CI(配置工程)集合來(lái)完成的。這種分配在系統(tǒng)標(biāo)準(zhǔn)中用文檔予以確認(rèn)，在“系統(tǒng)功能評(píng)審〞中被確認(rèn)為基準(zhǔn)并加以批準(zhǔn)。此外，CI標(biāo)準(zhǔn)草案也是在這個(gè)階段產(chǎn)生的。精選ppt3．系統(tǒng)設(shè)計(jì)階段——信息平安工程的需求活動(dòng)信息平安工程小組應(yīng)當(dāng)保證系統(tǒng)標(biāo)準(zhǔn)充分地表達(dá)出平安需求，這一點(diǎn)通過(guò)回溯標(biāo)準(zhǔn)，直到標(biāo)準(zhǔn)獲得批準(zhǔn)的平安需求評(píng)審階段，即可得到保證。信息平安工程小組還應(yīng)當(dāng)完成系統(tǒng)標(biāo)準(zhǔn)并在確認(rèn)為基線之前，審查信息系統(tǒng)平安相關(guān)的驗(yàn)證和證實(shí)需求。精選ppt3．系統(tǒng)設(shè)計(jì)階段——信息平安工程的需求活動(dòng)

信息平安工程小組應(yīng)當(dāng)領(lǐng)導(dǎo)和審查對(duì)CI的信息系統(tǒng)平安需求和效勞的配置，以及將CI標(biāo)準(zhǔn)草案中對(duì)這些配置進(jìn)行歸檔。信息平安工程小組還應(yīng)當(dāng)審查已完成的技術(shù)開(kāi)發(fā)工作工程成果，以保證它們符合目標(biāo)，滿足預(yù)期的系統(tǒng)平安需求。精選ppt4．從初步設(shè)計(jì)到配置審計(jì)階段——信息平安工程的需求活動(dòng)

通過(guò)“初步設(shè)計(jì)評(píng)審〞，應(yīng)當(dāng)全面定義CI和接口，提交CI和接口的平安需求以及相關(guān)聯(lián)的驗(yàn)證條款，這是“系統(tǒng)配置基線〞的一局部。信息平安工程小組應(yīng)當(dāng)仔細(xì)地研究CI標(biāo)準(zhǔn)和接口標(biāo)準(zhǔn)，保證子系統(tǒng)在被集成進(jìn)整體系統(tǒng)和系統(tǒng)配置中時(shí)符合總的系統(tǒng)平安需求。精選ppt4．從初步設(shè)計(jì)到配置審計(jì)階段——信息平安工程的需求活動(dòng)在最后階段〔“配置審計(jì)〞〕，信息平安工程小組應(yīng)當(dāng)把實(shí)現(xiàn)后的系統(tǒng)設(shè)計(jì)與系統(tǒng)文檔進(jìn)行比較，保證開(kāi)發(fā)過(guò)程是成功的。為了評(píng)估系統(tǒng)組件的恰當(dāng)性，必須證明分配給這些功能組件和物理組件的平安需求都被滿足。精選ppt4．從初步設(shè)計(jì)到配置審計(jì)階段——信息平安工程的需求活動(dòng)這些階段以公告系統(tǒng)及其CI的“產(chǎn)品基線〞而宣告結(jié)束，公告應(yīng)當(dāng)包含每個(gè)CI在其被建設(shè)、試驗(yàn)和審計(jì)時(shí)對(duì)它的初始功能、性能和物理的需求。精選ppt4.4平安設(shè)計(jì)支持通過(guò)平安設(shè)計(jì)支持功能和更廣泛的總體系統(tǒng)設(shè)計(jì)的前后關(guān)聯(lián)，一個(gè)被選擇的系統(tǒng)體系結(jié)構(gòu)可被公式化，并轉(zhuǎn)換為穩(wěn)定的、可生產(chǎn)的和有好的經(jīng)濟(jì)效益的系統(tǒng)設(shè)計(jì)。對(duì)信息系統(tǒng)而言，這種轉(zhuǎn)換通常包括軟件開(kāi)發(fā)和軟件設(shè)計(jì)，還可能包括信息數(shù)據(jù)庫(kù)或知識(shí)庫(kù)的設(shè)計(jì)。精選ppt4.4.1系統(tǒng)設(shè)計(jì)

1.系統(tǒng)功能的目標(biāo)實(shí)現(xiàn)理想的說(shuō)，系統(tǒng)工程生命周期的“先期概念〞、“概念〞和“需求〞階段根本上主要解決“什么〞問(wèn)題，而從“初步設(shè)計(jì)階段〞到“實(shí)現(xiàn)階段〞再到“測(cè)試階段〞那么主要答復(fù)“怎樣〞的問(wèn)題。這兩條線的關(guān)鍵性聯(lián)系是在第四階段，即“系統(tǒng)設(shè)計(jì)〞階段，該階段中，設(shè)計(jì)了系統(tǒng)級(jí)解決方案以到達(dá)所需要的業(yè)務(wù)能力。精選ppt2.系統(tǒng)功能工具實(shí)現(xiàn)

可以使用自開(kāi)工具使設(shè)計(jì)過(guò)程更加精細(xì)，這些自開(kāi)工具還允許設(shè)計(jì)師將頂層體系結(jié)構(gòu)分解和提煉成更詳細(xì)的設(shè)計(jì)。精選ppt4.4.2信息平安工程系統(tǒng)設(shè)計(jì)支持活動(dòng)

在開(kāi)發(fā)功能和物理體系結(jié)構(gòu)期間，信息平安工程小組通過(guò)提供平安分析和建議來(lái)支持客戶。這種開(kāi)發(fā)在系統(tǒng)的整個(gè)生命期內(nèi)涉及到假設(shè)干階段和事件，并且通常是反復(fù)進(jìn)行的過(guò)程。精選ppt4.4.2信息平安工程系統(tǒng)設(shè)計(jì)支持活動(dòng)當(dāng)信息平安工程小組期待實(shí)現(xiàn)平安效勞時(shí)，可以考慮將目標(biāo)平安體系結(jié)構(gòu)的原理作為對(duì)系統(tǒng)體系結(jié)構(gòu)的平安解決方案配置的指南。下面是目標(biāo)平安體系結(jié)構(gòu)中可用的工程主題：〔1〕目標(biāo)平安體系結(jié)構(gòu)的平安需求——策略、需求，導(dǎo)出的需求。〔2〕平安角度和概念?！?〕端系統(tǒng)和中繼系統(tǒng)?！?〕平安管理關(guān)系和概念。〔5〕傳輸系統(tǒng)主題。〔6〕平安學(xué)說(shuō)——提供平安效勞的平安機(jī)制學(xué)說(shuō)。〔7〕商業(yè)現(xiàn)貨考慮。精選ppt4.4.2信息平安工程系統(tǒng)設(shè)計(jì)支持活動(dòng)信息平安工程小組活動(dòng)的重點(diǎn)是識(shí)別正在開(kāi)發(fā)的體系結(jié)構(gòu)的脆弱性，并建議對(duì)抗措施和可選擇方案。如果兩個(gè)或更多個(gè)系統(tǒng)需要相互作用，那么必須建立接口協(xié)議和規(guī)那么以允許其相互作用。精選ppt4.4.2信息平安工程系統(tǒng)設(shè)計(jì)支持活動(dòng)用文檔化形式定義平安設(shè)計(jì)，是說(shuō)明其滿足需求等合理性的理由。這些信息可以伴隨著系統(tǒng)設(shè)計(jì)文檔以書(shū)面分析的形式出現(xiàn)或出現(xiàn)在適當(dāng)?shù)脑O(shè)計(jì)評(píng)審中。在進(jìn)行系統(tǒng)設(shè)計(jì)支持活動(dòng)時(shí)信息平安工程小組必須考慮以下幾個(gè)方面的問(wèn)題。精選ppt1．關(guān)鍵技術(shù)的識(shí)別

對(duì)于任何關(guān)鍵的和使“最有希望〞的系統(tǒng)概念增值的信息系統(tǒng)平安新技術(shù)，信息平安工程小組都必須進(jìn)行調(diào)查，以確保能有把握地將它們集成到系統(tǒng)設(shè)計(jì)中。該活動(dòng)可包括原型法的應(yīng)用、測(cè)試，以及早期的運(yùn)行評(píng)估，以降低平安風(fēng)險(xiǎn)等級(jí)等。精選ppt1．關(guān)鍵技術(shù)的識(shí)別

但是，事先識(shí)別出需要開(kāi)發(fā)的根本關(guān)鍵技術(shù)卻是十分重要的。以便在系統(tǒng)生命期的設(shè)計(jì)、實(shí)現(xiàn)直到后續(xù)的生產(chǎn)和/或預(yù)規(guī)劃的產(chǎn)品改進(jìn)/修改階段需要它們之前，預(yù)先將這些技術(shù)建立起來(lái)。精選ppt1．關(guān)鍵技術(shù)的識(shí)別在這里面典型情況是，對(duì)新技術(shù)或未檢驗(yàn)的產(chǎn)品的依賴(lài)將對(duì)整個(gè)方案引入額外的技術(shù)、費(fèi)用和進(jìn)度的風(fēng)險(xiǎn)。信息平安工程應(yīng)該事先準(zhǔn)備好后備產(chǎn)品或過(guò)程解決方案，以處理由于未曾預(yù)料的延遲或技術(shù)問(wèn)題而帶來(lái)的新技術(shù)不能使用的偶然事故。精選ppt2．設(shè)計(jì)的約束信息平安工程小組要明確對(duì)影響和限制所需平安效勞實(shí)現(xiàn)的系統(tǒng)設(shè)計(jì)的約束。系統(tǒng)運(yùn)行的環(huán)境，它的運(yùn)行模式〔專(zhuān)用的、系統(tǒng)高層的、系統(tǒng)分級(jí)的等〕，其業(yè)務(wù)功能的敏感性和臨界點(diǎn)，每一個(gè)都可能是影響設(shè)計(jì)決策的約束。接口和互操作性問(wèn)題也可能產(chǎn)生對(duì)設(shè)計(jì)的約束，精選ppt2．設(shè)計(jì)的約束某些支持性的需求也可能約束系統(tǒng)設(shè)計(jì)和運(yùn)行的平安狀況。這些需求當(dāng)然包括但不限于后勤支持需求、可移植性需求、生存性需求；個(gè)人和培訓(xùn)的限制，命令、控制、通信和情報(bào)接口需求；標(biāo)準(zhǔn)化和互操作需求等。精選ppt3．非技術(shù)的平安設(shè)計(jì)措施正被獲取的系統(tǒng)及其設(shè)計(jì)規(guī)劃，將在整個(gè)系統(tǒng)工程周期內(nèi)通過(guò)運(yùn)行、支持、培訓(xùn)等方式被開(kāi)發(fā)。信息平安工程小組將為正在進(jìn)行的活動(dòng)作出奉獻(xiàn)，并從中進(jìn)行學(xué)習(xí)，以改善任何系統(tǒng)平安解決方案的適用性和有效性。精選ppt3．非技術(shù)的平安設(shè)計(jì)措施其他的非技術(shù)解決方案將包括過(guò)程控制，如適當(dāng)?shù)牟僮鞒绦?、人事的和運(yùn)行的平安控制、隱瞞采購(gòu)和用戶身份，以及可信軟件開(kāi)發(fā)方法論的非技術(shù)要素等。精選ppt4.4.3平安設(shè)計(jì)支持活動(dòng)1．先期概念和概念階段概念級(jí)系統(tǒng)策略包括早期的通常不成熟的功能和物理的結(jié)構(gòu)體系草案。工程所特有的環(huán)境不同，概念級(jí)設(shè)計(jì)可以是很不正規(guī)的，也可能是非常完善的，不管哪種情況，這一階段承擔(dān)的設(shè)計(jì)等級(jí)都要比在以后的工程設(shè)計(jì)階段〔系統(tǒng)設(shè)計(jì)到詳細(xì)設(shè)計(jì)〕低得多。精選ppt1．先期概念和概念階段

信息平安工程小組必須保證，體系結(jié)構(gòu)已做到足夠的精細(xì)，以使體系結(jié)構(gòu)的平安風(fēng)險(xiǎn)可被充分地進(jìn)行評(píng)估，以支持可選系統(tǒng)評(píng)審。信息平安工程小組應(yīng)當(dāng)分解系統(tǒng)功能〔或?qū)ο蠓诸?lèi)，取決于所選的方法〕，并把它們分配到較低級(jí)別的配置上，直到支持正在進(jìn)行的分析，并需要立即作出決策的程度。精選ppt2．需求和系統(tǒng)設(shè)計(jì)階段

在這些階段期間，系統(tǒng)小組完成系統(tǒng)的高層設(shè)計(jì)并按技術(shù)標(biāo)準(zhǔn)形成文檔。這些活動(dòng)隨系統(tǒng)功能評(píng)審而告終，此時(shí)系統(tǒng)設(shè)計(jì)的基線已完成并被批準(zhǔn)。應(yīng)該審核可選擇的與概念級(jí)策略相一致的體系方案。例如，如果概念階段在評(píng)估后選擇了廣域網(wǎng)策略，那么，在其后續(xù)的工程設(shè)計(jì)階段將涉及多個(gè)廣域網(wǎng)技術(shù)的選擇和體系結(jié)構(gòu)的取舍。精選ppt2．需求和系統(tǒng)設(shè)計(jì)階段系統(tǒng)集成在過(guò)程的早期已經(jīng)〔至少在紙面上〕開(kāi)始。當(dāng)需求的功能配置給配置工程時(shí)，就要引申出接口控制標(biāo)準(zhǔn)。精選ppt2．需求和系統(tǒng)設(shè)計(jì)階段

信息平安工程小組應(yīng)保證并且在標(biāo)準(zhǔn)下應(yīng)指出通過(guò)這些接口如何實(shí)現(xiàn)平安效勞，包括擴(kuò)展到更寬范圍的根底設(shè)施或業(yè)務(wù)環(huán)境的平安效勞。精選ppt2．需求和系統(tǒng)設(shè)計(jì)階段通過(guò)指定內(nèi)部和外部接口的平安需求，使得整個(gè)系統(tǒng)和互聯(lián)的各系統(tǒng)之間在實(shí)現(xiàn)上保持一致，從而使集成業(yè)務(wù)變得更加容易。信息平安工程小組還要對(duì)系統(tǒng)組件進(jìn)行驗(yàn)證，這些組件是根據(jù)它與平安相關(guān)接口的約束條件進(jìn)行集成和使用的，約束條件指：使用某一產(chǎn)品，產(chǎn)品的平安輪廓，供給商的文獻(xiàn)等。精選ppt2．需求和系統(tǒng)設(shè)計(jì)階段信息平安工程小組必須保證總體分析中包括了所有的平安因素，保證基于運(yùn)行功能和特性、費(fèi)用、進(jìn)度表和風(fēng)險(xiǎn)之間平衡的最全面的體系結(jié)構(gòu)。精選ppt2．需求和系統(tǒng)設(shè)計(jì)階段在這些階段期間，將產(chǎn)生制造/購(gòu)置的建議〔做折中選擇〕。但是，最終決定通常在過(guò)程之后作出。如果可能，信息平安工程小組將提供解決方案〔或?qū)Σ摺?，以解決在折中分析期間未包含的負(fù)面因素。例如，如果折中分析傾向于買(mǎi)商用軟件，但其消極的因素是可能包含潛在的病毒，信息平安工程小組可建議在軟件被購(gòu)進(jìn)后進(jìn)行病毒掃描和去除。精選ppt2．需求和系統(tǒng)設(shè)計(jì)階段為了支持作出制造/購(gòu)置的折中分析的決定，信息平安工程小組將調(diào)查現(xiàn)有產(chǎn)品目錄，以確定產(chǎn)品是否滿足配置工程或組件的需求。只要可能，都應(yīng)該指明一組潛在可行的選擇方案而不僅僅是一個(gè)候選方案。調(diào)查的對(duì)象包括可信產(chǎn)品評(píng)估目錄、信息系統(tǒng)平安產(chǎn)品目錄等。精選ppt2．需求和系統(tǒng)設(shè)計(jì)階段在適當(dāng)?shù)臅r(shí)候，信息平安工程小組也要考慮選擇工業(yè)界或政府先期開(kāi)發(fā)的新技術(shù)和新產(chǎn)品，條件是它們的時(shí)間表和技術(shù)風(fēng)險(xiǎn)是系統(tǒng)開(kāi)發(fā)可接受的。對(duì)產(chǎn)品平安勾畫(huà)出輪廓，是工程師作出制造/購(gòu)置決策所必需的。對(duì)某些產(chǎn)品，平安評(píng)估報(bào)告描述了產(chǎn)品的功能、正確使用產(chǎn)品的信息以及產(chǎn)品的脆弱點(diǎn)。精選ppt2．需求和系統(tǒng)設(shè)計(jì)階段對(duì)現(xiàn)有產(chǎn)品的了解，是形成準(zhǔn)確的信息平安工程制造/購(gòu)置決策必不可少的。對(duì)某些產(chǎn)品，有關(guān)部門(mén)的平安評(píng)估報(bào)告可以幫助作出決策。在不能得到平安評(píng)估時(shí)，由系統(tǒng)工程辦事機(jī)構(gòu)將新設(shè)備或軟件與估計(jì)的平安特性和風(fēng)險(xiǎn)相關(guān)值進(jìn)行權(quán)衡比較后，作出是購(gòu)置還是定制的決策。精選ppt3．初步設(shè)計(jì)階段到配置審計(jì)階段

系統(tǒng)工程師必須通過(guò)初步設(shè)計(jì)審查來(lái)作最終的制造/購(gòu)置決定，并反復(fù)研究配置工程和配置工程之間的接口策略在一定范圍的可選擇方案。以前的活動(dòng)集中于配置工程的設(shè)計(jì)或選擇，以及建立完整的配置工程級(jí)的配置基線集上。以后的活動(dòng)那么集中到獲取或建立配置工程〔如果需要的話〕集成和測(cè)試系統(tǒng)上。精選ppt3．初步設(shè)計(jì)階段到配置審計(jì)階段

信息平安工程小組應(yīng)當(dāng)審查由于配置工程開(kāi)發(fā)和/或集成與測(cè)試時(shí)出現(xiàn)的對(duì)系統(tǒng)設(shè)計(jì)的任何修改。如果配置工程引起系統(tǒng)的附加需求的話，那么信息平安工程小組應(yīng)該評(píng)估這些修改對(duì)配置工程的平安影響，并且確定附加的平安需求是否被保證。精選ppt4．運(yùn)行和支持階段如有必要，在系統(tǒng)的運(yùn)行周期內(nèi)，將反復(fù)進(jìn)行平安設(shè)計(jì)支持，以便提出適合于次要和主要系統(tǒng)修改的設(shè)計(jì)方案以及預(yù)先規(guī)劃的改進(jìn)。精選ppt4.5平安運(yùn)行分析

平安運(yùn)行分析將影響產(chǎn)品，特別是過(guò)程、系統(tǒng)平安需求的解決方案。平安運(yùn)行概念的分析和定義是系統(tǒng)工程和信息平安工程過(guò)程整體的一個(gè)組成局部，是導(dǎo)入平安C&A的關(guān)鍵條件。精選ppt4.5平安運(yùn)行分析

有時(shí)候除了使用已編寫(xiě)好的運(yùn)行概念文檔外，運(yùn)行分析也可按以下形式形成文檔并提交評(píng)審：設(shè)計(jì)評(píng)審說(shuō)明、培訓(xùn)材料和文件等。信息平安工程小組將幫助用戶代表考慮平安運(yùn)行、支持和管理概念，以及正在開(kāi)發(fā)的系統(tǒng)所出現(xiàn)的問(wèn)題。精選ppt4.5平安運(yùn)行分析

平安運(yùn)行概念、理論和過(guò)程解決方案的開(kāi)發(fā)，起始于概念階段，并作為可選擇系統(tǒng)概念開(kāi)發(fā)和折中研究的一局部；這一開(kāi)發(fā)持續(xù)到配置審計(jì)階段，驗(yàn)證該系統(tǒng)的理論與前面幾個(gè)階段開(kāi)發(fā)、提煉并形成基線概念的一致性；在系統(tǒng)進(jìn)入其運(yùn)行期后，這一開(kāi)發(fā)仍將繼續(xù)并進(jìn)一步演變，理論分析最終就變成了實(shí)際的運(yùn)行模式。精選ppt4.5平安運(yùn)行分析在系統(tǒng)生命期內(nèi)反復(fù)進(jìn)行的平安運(yùn)行分析應(yīng)集中在：〔1〕定義人、自動(dòng)化連接與該系統(tǒng)進(jìn)行交互的環(huán)境元素之間交互是直接進(jìn)行的，還是經(jīng)過(guò)遠(yuǎn)程/外部接口進(jìn)行的?！?〕用戶扮演的角色〔例如人的角色可能包括系統(tǒng)用戶、系統(tǒng)維護(hù)員、系統(tǒng)管理員和主管〕上?！?〕確定在業(yè)務(wù)環(huán)境中用戶與運(yùn)行系統(tǒng)交互的方式和模式。精選ppt4.5平安運(yùn)行分析需要考慮的典型運(yùn)行情況包括：〔1〕在正常和不正常條件下，系統(tǒng)啟動(dòng)和關(guān)機(jī)?！?〕系統(tǒng)、人對(duì)錯(cuò)誤條件的環(huán)境反響或平安事件?！?〕系統(tǒng)/組成單元失靈時(shí)，在一個(gè)或多個(gè)預(yù)先方案的備用方式下維持運(yùn)行?！?〕在和平時(shí)期和戰(zhàn)爭(zhēng)時(shí)期/其他敵對(duì)模式下維持運(yùn)行。精選ppt4.5平安運(yùn)行分析〔5〕平安事件或自然災(zāi)害的響應(yīng)/恢復(fù)模式〔例如，與病毒事件有關(guān)的系統(tǒng)沖突以及響應(yīng)恢復(fù)〕?！?〕系統(tǒng)對(duì)關(guān)鍵性和常見(jiàn)的外部和內(nèi)部事件的反響。〔7〕假設(shè)配置多個(gè)系統(tǒng)，那么了解每個(gè)系統(tǒng)唯一的環(huán)境/場(chǎng)所的梗概?！?〕在整個(gè)正常業(yè)務(wù)應(yīng)用期間，系統(tǒng)行為、環(huán)境與人的相互影響以及與外部自動(dòng)化的接口。精選ppt4.5平安運(yùn)行分析提煉的運(yùn)行案例和程序可以包括在培訓(xùn)教材和系統(tǒng)手冊(cè)中，或者其他形式中。為了實(shí)施關(guān)鍵性的平安分析，包括所有運(yùn)行概念在內(nèi)的因素都應(yīng)考慮到。這些因素至少應(yīng)包括：精選ppt4.5平安運(yùn)行分析〔1〕希望系統(tǒng)處理數(shù)據(jù)的敏感等級(jí)?！?〕在每個(gè)等級(jí)上大約有多大的數(shù)據(jù)處理量?！?〕在任何適用的主要角色級(jí)別上，與系統(tǒng)用戶相關(guān)的許可證等級(jí)〔包括對(duì)分區(qū)、特殊訪問(wèn)程序或其他需知的常規(guī)授權(quán)〕、功能性權(quán)力和與系統(tǒng)用戶有關(guān)的特權(quán)?！?〕系統(tǒng)用戶的身份?！?〕與其他系統(tǒng)接口有關(guān)的敏感性等級(jí)和業(yè)務(wù)重要性程度?！?〕技術(shù)的和非技術(shù)的平安執(zhí)行機(jī)制的相互作用。精選ppt4.6生命周期平安支持

4.6.1平安的生命期支持的開(kāi)發(fā)方法4.6.2生命周期平安支持活動(dòng)精選ppt4.6.1平安的生命期支持的開(kāi)發(fā)方法

信息平安工程小組和LCIE將和客戶一起作業(yè)，為系統(tǒng)整個(gè)生命期定義一個(gè)可理解的平安方案；信安小組在獲取和開(kāi)發(fā)期間以及稍后的運(yùn)行階段要與負(fù)責(zé)系統(tǒng)平安的各種機(jī)構(gòu)建立密切關(guān)系。這些機(jī)構(gòu)可能有助于場(chǎng)地勘測(cè)、物理和管理平安分析及對(duì)策分析。精選ppt4.6.1平安的生命期支持的開(kāi)發(fā)方法

在這一活動(dòng)中產(chǎn)生的信息，將被并入到相應(yīng)的系統(tǒng)文件中。在系統(tǒng)部署開(kāi)始之后，平安支持的文檔多半是系統(tǒng)集成后勤支持方案的一局部，或者是平安管理方案的一局部。精選ppt4.6.1平安的生命期支持的開(kāi)發(fā)方法信息平安工程應(yīng)準(zhǔn)備就系統(tǒng)開(kāi)發(fā)和生命期期間所使用的平安支持問(wèn)題和方法，向客戶提出建議。例如，平安方案中可能包括需要保護(hù)敏感信息以免泄露的假設(shè)干步驟，也可能是需要監(jiān)控系統(tǒng)產(chǎn)生和分配過(guò)程的各方面來(lái)保證適宜的平安需求得到滿足。精選ppt4.6.1平安的生命期支持的開(kāi)發(fā)方法生命期的平安方案至少要涉及以下領(lǐng)域：監(jiān)控系統(tǒng)平安、系統(tǒng)平安評(píng)估、配置管理、培訓(xùn)、后勤和維護(hù)、次要和主要的系統(tǒng)修改以及報(bào)廢處置。精選ppt4.6.1平安的生命期支持的開(kāi)發(fā)方法信息平安工程小組和LCIE將和客戶與C&A小組共同作業(yè)，準(zhǔn)備系統(tǒng)生命期的平安支持方案。信息平安工程小組應(yīng)確保提供系統(tǒng)生命期支持的客戶解決途徑，使系統(tǒng)的平安風(fēng)險(xiǎn)不致惡化。C&A小組在系統(tǒng)啟動(dòng)之后，要注意確定重新認(rèn)證重新認(rèn)可的策略：適宜的閾值，由誰(shuí)判定，以及在系統(tǒng)啟動(dòng)后這些策略怎樣實(shí)現(xiàn)。精選ppt信息平安工程小組考慮的領(lǐng)域包括：〔1〕在開(kāi)發(fā)、測(cè)試和運(yùn)行使用期間，有必要對(duì)系統(tǒng)進(jìn)行監(jiān)控，以持續(xù)地與平安需求保持一致。〔2〕保證針對(duì)系統(tǒng)的培訓(xùn)要包括平安特性和限制?！?〕對(duì)那些與平安有關(guān)的處理指令進(jìn)行跟蹤，而不增加平安風(fēng)險(xiǎn)。4.6.1平安的生命期支持的開(kāi)發(fā)方法精選ppt4.6.1平安的生命期支持的開(kāi)發(fā)方法〔4〕保證配置管理過(guò)程是適當(dāng)?shù)?，以防止出現(xiàn)引起平安風(fēng)險(xiǎn)上升的修改事件?！?〕定義必要的平安性應(yīng)急方案，該方案與運(yùn)行的應(yīng)急方案相匹配。〔6〕對(duì)系統(tǒng)進(jìn)行平安評(píng)估，找出系統(tǒng)中的薄弱環(huán)節(jié)，并妥善處理這些薄弱環(huán)節(jié)?！?〕保證后勤和維護(hù)支持系統(tǒng)中與平安有關(guān)的組成單元的需求，而不引起平安風(fēng)險(xiǎn)的增加。精選ppt4.6.1平安的生命期支持的開(kāi)發(fā)方法生命期支持的平安方面包括，可控制的〔或可信的〕分配和“隱蔽采購(gòu)〞技術(shù)。其主要意圖是防止在系統(tǒng)整個(gè)生命期期間非授權(quán)地訪問(wèn)系統(tǒng)，并重視保證硬件、軟件和數(shù)據(jù)〔包括密碼、密鑰材料〕的持續(xù)完整性。精選ppt4.6.1平安的生命期支持的開(kāi)發(fā)方法生命期對(duì)平安支持的主要目的，是確保系統(tǒng)的保護(hù)手段在運(yùn)行和支持階段依然適合其平安目標(biāo)，任何引起不可接受平安風(fēng)險(xiǎn)的缺陷必須被明確提出來(lái)，并采取或大或小的修改措施彌補(bǔ)這些缺乏或缺陷。精選ppt4.6.2生命周期平安支持活動(dòng)

1．對(duì)部署的系統(tǒng)進(jìn)行平安監(jiān)控理想情況下，系統(tǒng)平安功能在系統(tǒng)運(yùn)行期間應(yīng)被連續(xù)監(jiān)控。精選ppt4.6.2生命周期平安支持活動(dòng)信息平安工程小組將參與商業(yè)研究，以確定什么樣的監(jiān)控手段具有最好的本錢(qián)-效益比，同時(shí)可提供最為可信的措施確保系統(tǒng)的一致性，以使可接受的平安風(fēng)險(xiǎn)遵從其平安需求。精選ppt2．系統(tǒng)平安評(píng)估

最終作出是否評(píng)估的決定卻是取決于系統(tǒng)擁有者和認(rèn)可者，以及實(shí)際完成平安評(píng)估的評(píng)估者。另一個(gè)需要考慮的因素可能是系統(tǒng)在其環(huán)境中要面臨的威脅。如果威脅很大，平安評(píng)估可能是適當(dāng)?shù)模侨绻{不大，那么可能評(píng)估就不合算了。精選ppt2．系統(tǒng)平安評(píng)估

系統(tǒng)文檔、適當(dāng)?shù)慕K端工程或系統(tǒng)本身的其他局部〔如無(wú)線電設(shè)備、工作站〕應(yīng)該提供給平安評(píng)估人員。平安評(píng)估人員那么研究系統(tǒng)文檔和任何提供的用于測(cè)試的組件，并從敵對(duì)勢(shì)力的角度試圖進(jìn)行“攻擊〞。平安評(píng)估人員應(yīng)恰當(dāng)報(bào)告任何脆弱性〔如給系統(tǒng)用戶和LCIE〕，并決定需要采取的行動(dòng)。精選ppt2．系統(tǒng)平安評(píng)估

信息平安工程小組的平安指導(dǎo)代表應(yīng)該將小組的意見(jiàn)綜合起來(lái)，以判斷平安評(píng)估是否適宜并可行的。在某些情況下，可能需要就是否通過(guò)長(zhǎng)期的、深層次的平安評(píng)估來(lái)支持系統(tǒng)數(shù)量和類(lèi)型作出折中分析判斷。精選ppt3．配置管理

配置管理是一個(gè)對(duì)系統(tǒng)所有變化進(jìn)行控制的過(guò)程。系統(tǒng)工程的管理者應(yīng)該建立一個(gè)配置控制委員會(huì)，用來(lái)審查或批準(zhǔn)系統(tǒng)的任何修改。精選ppt3．配置管理在整個(gè)生命期內(nèi)，其中包括：〔1〕在生命期內(nèi)的某一給定點(diǎn)上維持一個(gè)基線；〔2〕系統(tǒng)在不斷變化中不可能保持靜止；〔3〕對(duì)災(zāi)難等突發(fā)事件〔自然的、人為的〕進(jìn)行規(guī)劃；〔4〕保持對(duì)所有C&A(認(rèn)證和認(rèn)可)證據(jù)的追蹤；〔5〕對(duì)系統(tǒng)有限資源集合的利用，在整個(gè)系統(tǒng)生命期內(nèi)將增加；〔6〕配置項(xiàng)的識(shí)別；〔7〕配置控制；〔8〕配置會(huì)計(jì)學(xué)；〔9〕配置審計(jì)。精選ppt4．培訓(xùn)

并發(fā)系統(tǒng)工程方案內(nèi)的培訓(xùn)功能旨在提交所要求的任務(wù)、活動(dòng)和系統(tǒng)單元，以便到達(dá)和維持相關(guān)人員所需的知識(shí)和技術(shù)水平，使之有能力和有效地實(shí)施系統(tǒng)的運(yùn)行和支持。如果必要，信息平安工程小組和LCIE應(yīng)將與平安相關(guān)的培訓(xùn)集成到系統(tǒng)生命期的培訓(xùn)工程中去。精選ppt4．培訓(xùn)LCIE(生命期信息系統(tǒng)平安工程師)需要跟蹤與平安有關(guān)的培訓(xùn)需求，并保證對(duì)任何修改和/或新的平安特性都要進(jìn)行培訓(xùn)。培訓(xùn)用戶如何使用系統(tǒng)的練習(xí)，要引入〔允許條件下的〕現(xiàn)場(chǎng)演練方法，包括適當(dāng)平安功能的應(yīng)用和有關(guān)威脅嘗試的模擬〔例如，敵方信號(hào)情報(bào)的收集、電子戰(zhàn)、識(shí)別病毒或黑客等〕。精選ppt5．后勤和維護(hù)集成的后勤支持是管理和技術(shù)活動(dòng)經(jīng)過(guò)訓(xùn)練的、統(tǒng)一和反復(fù)應(yīng)用的方案，這些管理和技術(shù)活動(dòng)是以下活動(dòng)所必需的：將后勤支持集成到系統(tǒng)和裝備的設(shè)計(jì)中；開(kāi)發(fā)一些支持需求，這些支持需求始終都是與備用工程、設(shè)計(jì)有關(guān)的。精選ppt5．后勤和維護(hù)在系統(tǒng)的整個(gè)生命周期內(nèi)，影響系統(tǒng)平安態(tài)勢(shì)的問(wèn)題報(bào)告由LCIE進(jìn)行分析。LCIE應(yīng)該檢查帶趨勢(shì)性的問(wèn)題報(bào)告，這些問(wèn)題報(bào)告指出系統(tǒng)應(yīng)用中不充分的培訓(xùn)，或揭示出引起平安風(fēng)險(xiǎn)增加系統(tǒng)設(shè)計(jì)錯(cuò)誤。精選ppt6．系統(tǒng)的修改

〔1〕重大修改當(dāng)需要大量新的資源、特殊或大規(guī)模采購(gòu)或大規(guī)模工程人力資源時(shí)，需要改變系統(tǒng)的大局部或特別關(guān)鍵的局部時(shí)，可認(rèn)為這些就是主要的或重大的修改。精選ppt6．系統(tǒng)的修改

〔2〕一般修改一般性修改往往是那些特別規(guī)劃給該系統(tǒng)運(yùn)行和維護(hù)基金內(nèi)可以處理的小修改，或者得到機(jī)構(gòu)運(yùn)行資金支持的小修改。對(duì)于一般性修改，信息平安工程過(guò)程仍然是可用的和有益的。精選ppt7．報(bào)廢處置

處置包括一些必須執(zhí)行的任務(wù)、行為和活動(dòng)以及系統(tǒng)元素，報(bào)廢處置的目的是：保證與分類(lèi)工程的應(yīng)用策略以及環(huán)境規(guī)那么和指示相一致。此外，系統(tǒng)的報(bào)廢處置要考慮到短期和長(zhǎng)期可能破壞環(huán)境和傷及人與動(dòng)物健康的影響。精選ppt4.7信息平安工程的過(guò)程

一項(xiàng)科學(xué)的、高質(zhì)量的信息平安工程應(yīng)包含以下10個(gè)環(huán)節(jié)。1．風(fēng)險(xiǎn)分析與評(píng)估風(fēng)險(xiǎn)評(píng)估是平安防御中的一項(xiàng)重要技術(shù)，也是信息平安工程學(xué)的重要組成局部，其原理是對(duì)采用的平安策略和規(guī)章制度進(jìn)行評(píng)審，發(fā)現(xiàn)不合理的地方，采用模擬攻擊的形式對(duì)目標(biāo)可能存在的平安漏洞進(jìn)行逐項(xiàng)檢查，確定存在的平安隱患和風(fēng)險(xiǎn)級(jí)別。風(fēng)險(xiǎn)分析的目標(biāo)包括系統(tǒng)的體系結(jié)構(gòu)、策略指導(dǎo)、人員狀況以及各類(lèi)設(shè)備如工作站、效勞器等各種對(duì)象。精選ppt

1．風(fēng)險(xiǎn)分析與評(píng)估根據(jù)檢查結(jié)構(gòu)向系統(tǒng)管理員提供周密可靠的平安性分析報(bào)告，為提高信息平安的整體水平提供重要依據(jù)。精選ppt

1．風(fēng)險(xiǎn)分析與評(píng)估

風(fēng)險(xiǎn)分析與評(píng)估是通過(guò)一系列管理和技術(shù)手段來(lái)檢測(cè)當(dāng)前運(yùn)行的信息系統(tǒng)所處的平安級(jí)別、平安問(wèn)題、平安漏洞。風(fēng)險(xiǎn)分析的過(guò)程是一個(gè)不斷開(kāi)展完善的過(guò)程，第二次評(píng)估結(jié)果肯定要比第一次準(zhǔn)確、詳細(xì)，而第三次評(píng)估結(jié)果肯定要優(yōu)于第二次，所