第2章信息系统安全工程(ISSE).pptVIP

　　(5) 实施并追踪信息保护的保障机制。　　(6) 检验配置项层设计与上层方案的一致性。　　(7) 提供各种测试数据。　　(8) 检查和更新信息保护的风险与威胁计划。　　(9) 加入系统工程过程，并支持认证/认可(C/A)和管理决策，提出风险分析结果。 　　　　这一阶段的目标是，将满足信息安全需求的信息保护子系统中的各配置项购买或建造出来，然后组装、集成、检验、认证和评估其结果，如图2-5所示。 2.5　实施信息安全系统 　　 图2-5　实施信息安全系统 2.5.1　采购部件　　一般来说，要根据市场产品的研究、偏好和最终的效果，来决定是购买还是自行生产的方式来取得部件。购买/生产的决定应该通盘考虑安全因素、可操作性、性能、成本、进度、风险等影响。在购买时，对于大量生产且相对低成本的商业现货供应COTS(Commercial- off-the-Shelf)和由政府机构创建的技术团体开发的政府现货供应GOTS(Government off-the- Shelf)等都可作为部件采购的考虑范围。在采购部件时，要注意考虑以下因素：　　(1) 确保考虑了全部相关的安全因素。 　　(2) 察看现有产品是否能满足系统部件的需求，最好有多种产品可供选择。　　(3) 验证一系列潜在的可行性选项。　　(4) 考虑将来技术的发展，新技术和新产品如何运用到系统中去。 2.5.2　建造系统　　建造系统的过程，是确保已设计出必要的保护机制，并使该机制在系统实施中得以实现。与许多系统一样，信息保护系统也会受到许多因素的影响来加强或削弱其效果，这些因素决定了信息保护对系统的适宜程度。所以，在建造系统中，要重视以下问题：　　(1) 部件的集成是否满足系统安全规范？　　(2) 部件的配置是否保证了必要的安全特性，以及安全参数能否正确配置以便提供所要求的安全服务？ 　　(3) 对设备、部件是否有物理安全保护措施？　　(4) 组装、建造系统的人员是否对工作流程有足够的知识和权限？ 2.5.3　测试系统　　ISSE要给出一些与信息保护相关的测试计划和工作流程，还要给出相关的测试实例、工具、软硬件等，这些测试系统的工作包括：　　(1) 检查、细化并改进设计信息安全系统的阶段结果。　　(2) 检验解决方案的信息保护需求和约束限制等条件，并实施相关的系统验证和确认机制与决策。　　(3) 跟踪实施与系统实施和测试相关的系统保障机制。　　(4) 鉴别测试数据的可用性。　　(5) 提供安全支持计划，包括逻辑上的、有关维护和培训等方面。 　　(6) 加入系统工程过程，并支持认证/认可(C/A)和管理决策，提出风险分析结果。 　　　　ISSE强调了信息保护系统的有效性，主要是指系统在保密性、完整性、可用性、不可否认性等安全特性方面的有效性。如果系统在这些方面达不到要求，信息系统安全工程的任务则很难达到用户的满意。有效性评估要着重以下几点： 2.6　评估信息安全系统 　　(1) 系统的互操作安全性，即系统是否通过外部接口正确地保护了信息。　　(2) 系统的可用性，即系统是否能给用户提供信息资源与信息保护。　　(3) 用户需要接受什么样的培训，才能正确地操作和维护信息保护系统。　　(4) 人机界面或接口是否有缺陷，从而导致出错。　　(5) 建造和维护信息系统的成本是否可以接受。　　(6) 确定风险和可能的任务影响，并提供报告。 　　　　在整个系统的生命周期内，ISSE具有以下6个基本功能：　　(1) 安全规划与控制。系统和安全项目的管理与规划活动从一个机构作出商业决策来承担特定工程的时候就开始了。规划活动做得越好，就越能够为把安全要求系统地变换为有效的设计和实现提供坚实的控制基础。 2.7　ISSE的基本功能 规划和准备活动为建立要求的可跟踪性、基准程序和客户确认提供了平台。　　(2) 确定安全需求。系统特有的需求和定义一般是在两个级别上给出：从用户角度给出高级操作的安全要求定义；从系统开发者或集成者的工程观点出发，提出更正式的安全要求的规范式定义。　　(3) 支持安全设计。通过安全设计，一个被选择的系统体系结构可以被形式化，然后转换为稳定的、可生产的和有好的经济效益的系统设计。 对信息系统而言，这种转换通常包括软件开发和软件设计，还可能包括信息数据库或知识库的安全设计。　　(4) 分析安全操作。它将影响信息系统产品，特别是产品安全生产过程和产品本身的安全要求的解决方案。通过这一功能的反复应用与安全设计支持功能相结合，将确认“过程”安全解决方案。安全操作概念的分析和定义是系统工程和ISSE过程的集成部分，是对安全认证和认可(C/A)的关键输入。 　　(5) 支持安全生命周期。SPO(系统项目办公室)将一直监