信息安全工程師知識點(diǎn)：信息系統(tǒng)生命周期中安全保障和評估

信息系統(tǒng)安全保障和評估的安全需求通常是主要檢測其期望的行為，但并不總是能證明不存在不期望的行為。信息系統(tǒng)的安全評估對那些顯形的安全容易察覺，而對那隱形的安全較難察覺。信息系統(tǒng)的安全評估系統(tǒng)靠成型后的最終評估是非常重要的，但在系統(tǒng)生命周期全過程的安全保障和評估中也是必要的，這就需要對信息系統(tǒng)進(jìn)仔全生命周期的安全評估。

如圖7-41所示，系統(tǒng)生命周期內(nèi)的安全保障和評估應(yīng)該貫穿下列各階段：

①策劃與組織階段確定系統(tǒng)使命、系統(tǒng)安全目標(biāo)；

②開發(fā)與設(shè)計(jì)階段確定系統(tǒng)結(jié)構(gòu)、威脅分析、脆弱性分析、風(fēng)險(xiǎn)分析、安全要求、安全策略；

③采購與實(shí)施階殷物理環(huán)境安全、系統(tǒng)安全實(shí)施、采購安全控制、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、管理安全；

④交付與運(yùn)行系統(tǒng)運(yùn)轉(zhuǎn)的可用性、系統(tǒng)安全評估的可信性；

⑤維護(hù)、更新或廢棄維護(hù)安全、升級安全、廢棄安全(殘余信息保護(hù))。

綜上所述，信息系統(tǒng)安全評估規(guī)范將具有以下特點(diǎn):

①以信息系統(tǒng)面臨的安全風(fēng)險(xiǎn)為出發(fā)點(diǎn)，以安全策略為核心;

②強(qiáng)調(diào)信息系統(tǒng)安全保障是一個(gè)動(dòng)態(tài)的持續(xù)發(fā)展過程，即信崽系統(tǒng)安全應(yīng)貫穿信息系統(tǒng)全生命周期；

③強(qiáng)調(diào)信息系統(tǒng)安全的要求和保證概念，信息系統(tǒng)的安全是通過綜合技術(shù)、管理、過程和人員的要求等措施實(shí)施和實(shí)現(xiàn)信息系統(tǒng)的安全目標(biāo)，通過對信息系統(tǒng)的技術(shù)、管理、過程和人員等方面的安全評估結(jié)果及安全認(rèn)證來提供對信息系統(tǒng)安全的保證和信心；

④通過風(fēng)險(xiǎn)和策略基礎(chǔ)以及生命周期和保證層面，從而使信息系統(tǒng)安全實(shí)現(xiàn)信息技術(shù)安全根本原則，保障組織機(jī)構(gòu)執(zhí)行其使命的根本目標(biāo)。