【正文】 息安全保護(hù)。當(dāng)系統(tǒng)發(fā)現(xiàn)需要這種信息安全保護(hù)時(shí)，信息保護(hù)將成為一個(gè)必須同時(shí)考慮的系統(tǒng)模塊。圖 、威脅和政策如何影響信息保護(hù)需求以及如何進(jìn)行分析。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式圖 系統(tǒng)任務(wù)、信息安全威脅和政策對(duì)確定信息保護(hù)需求的影響單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式1. 任務(wù)的信息保護(hù)需求我們必須考慮信息和信息系統(tǒng)在一個(gè)大型任務(wù)或特定組織中的作用。 ISSE必須考慮組織元素（人和子系統(tǒng)）的任務(wù)可能受到的影響，即無(wú)法使用所依賴(lài)的信息系統(tǒng)或信息，尤其是喪失機(jī)密性、完整性、可用性、不可否認(rèn)性及其組合。在此意義上， ISSE已經(jīng)開(kāi)始探討用戶(hù)信息保護(hù)需求問(wèn)題。信息的重要性眾人皆知，但是人們往往忽視信息保護(hù)需求。要發(fā)現(xiàn)用戶(hù)信息保護(hù)需求，必須了解遺漏、丟失或修改什么信息會(huì)對(duì)總體任務(wù)造成危害。 ISSE應(yīng)該做到以下幾點(diǎn)：幫助用戶(hù)對(duì)自己的信息管理過(guò)程進(jìn)行建模、幫助用戶(hù)定義信息威脅、幫助用戶(hù)確立信息保護(hù)需求的優(yōu)先次序、準(zhǔn)備信息保護(hù)策略、獲得用戶(hù)許可。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式ISSE提供了識(shí)別顧客需求的界面，以確保任務(wù)需求包含信息保護(hù)需求，并且保證系統(tǒng)功能包含信息保護(hù)功能。 ISSE將安全規(guī)則、技術(shù)、機(jī)制相結(jié)合，并將其應(yīng)用于解決用戶(hù)信息保護(hù)的實(shí)踐需求，從而建立一個(gè)信息保護(hù)系統(tǒng)。該系統(tǒng)包含信息保護(hù)體系結(jié)構(gòu)和機(jī)制，并能夠依據(jù)用戶(hù)所允許的耗費(fèi)、功能和計(jì)劃獲得最佳的信息保護(hù)性能。圖 ，較高層次的需求建議在較低層次的需求基礎(chǔ)之上，各模塊的需求決定于它在結(jié)構(gòu)圖中的位置。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式圖 分層需求圖單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式ISSE在設(shè)計(jì)信息系統(tǒng)時(shí)必須遵循用戶(hù)的層次設(shè)置，這樣才能使整個(gè)系統(tǒng)的性能達(dá)到預(yù)期指標(biāo)。信息和信息系統(tǒng)在支持任務(wù)方面必須滿(mǎn)足如下要求：對(duì)何種信息記錄（機(jī)密信息、金融信息、產(chǎn)權(quán)信息、個(gè)人隱私信息等）進(jìn)行觀察、更新、刪除、初始化或者處理？授權(quán)誰(shuí)觀察、更新、刪除、初始化和處理信息記錄？經(jīng)授權(quán)的用戶(hù)如何履行其責(zé)任？經(jīng)授權(quán)的用戶(hù)使用何種工具（文檔、硬件、軟件、固件和規(guī)程）履行其責(zé)任？清楚地知道個(gè)人發(fā)送或者接收的一則消息或一個(gè)文件具有怎樣的重要性？ISSE和系統(tǒng)用戶(hù)將精誠(chéng)合作，使信息系統(tǒng)更好地滿(mǎn)足用戶(hù)總?cè)蝿?wù)要求。沒(méi)有用戶(hù)的參與， ISSE很難做出滿(mǎn)足用戶(hù)要求的決定。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式2. 信息管理面臨的威脅依照 ISSE，技術(shù)層面的系統(tǒng)組成應(yīng)負(fù)責(zé)識(shí)別信息系統(tǒng)的功能和它與外界系統(tǒng)邊界的接口。該系統(tǒng)組成要明確信息系統(tǒng)的物理邊界和邏輯邊界，以及系統(tǒng)輸入/輸出的一般特性。它描述系統(tǒng)與環(huán)境之間或系統(tǒng)與系統(tǒng)之間信號(hào)、能量和物質(zhì)的雙向信息流。必須考慮系統(tǒng)與環(huán)境之間或系統(tǒng)與系統(tǒng)之間信號(hào)、能量和物質(zhì)的雙向信息流。必須考慮系統(tǒng)與環(huán)境之間或系統(tǒng)與系統(tǒng)之間有意設(shè)定或自行存在的接口。其中，針對(duì)后者的部分描述涉及環(huán)境和信息系統(tǒng)所面臨的 “威脅 ”。 “威脅 ”指某些人采取某種行動(dòng)，引發(fā)可能造成某個(gè)結(jié)果的事件或?qū)ο到y(tǒng)造成危害的潛在事實(shí)。對(duì)系統(tǒng)威脅的描述涉及信息類(lèi)型、合法用戶(hù)和用戶(hù)信息、威脅者的考慮（能力、意圖、自發(fā)性、動(dòng)機(jī)、對(duì)任務(wù)的破壞）。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式3. 信息保護(hù)策略的考慮對(duì)一個(gè)機(jī)構(gòu)而言，在制定本組織的信息保護(hù)策略時(shí)必須考慮所有現(xiàn)有的信息保護(hù)策略、規(guī)則和標(biāo)準(zhǔn)。必須定義下面的信息保護(hù)最重要的內(nèi)容：為什么需要信息保護(hù)？需要什么樣的保護(hù)？怎樣獲得保護(hù)？與系統(tǒng)工程過(guò)程相同，一個(gè)機(jī)構(gòu)必須考慮本機(jī)構(gòu)內(nèi)所有的政策、規(guī)則和標(biāo)準(zhǔn)。必須定義一個(gè)機(jī)構(gòu)信息策略的以下最重要內(nèi)容：機(jī)構(gòu)需要保護(hù)的資源 /資產(chǎn)、需要和這些資產(chǎn)發(fā)生關(guān)系的個(gè)人的角色和責(zé)任（作為可操作性任務(wù)的一部分）、授權(quán)用戶(hù)用到這些資產(chǎn)（有信息安全要求）的合適的方法。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式為制定一個(gè)有效的信息保護(hù)策略，需要設(shè)立一個(gè)由系統(tǒng)工程專(zhuān)家、 ISSE、用戶(hù)代表、權(quán)威認(rèn)證機(jī)構(gòu)、設(shè)計(jì)專(zhuān)家組成的小組。該小組的成員要共同合作，保證策略的正確性、全面性以及和其他現(xiàn)有策略的連續(xù)性。高層管理機(jī)構(gòu)要頒布信息保護(hù)策略。該策略必須是明確的，應(yīng)該使下級(jí)機(jī)構(gòu)易于制定各自的制度，并且便于機(jī)構(gòu)所有成員的理解。需要一個(gè)能夠確保在機(jī)構(gòu)內(nèi)部實(shí)施該策略的流程，并讓機(jī)構(gòu)成員認(rèn)識(shí)到，如果不實(shí)施該策略將會(huì)出現(xiàn)怎樣的后果。盡管必須依據(jù)具體情況的改變及時(shí)更新機(jī)構(gòu)安全策略，高層策略卻不應(yīng)經(jīng)常變動(dòng)。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式1. 目標(biāo)在系統(tǒng)開(kāi)發(fā)的系統(tǒng)功能定義階段，系統(tǒng)工程師必須明確系統(tǒng)要完成的功能，該功能的實(shí)現(xiàn)應(yīng)達(dá)到什么程度，以及系統(tǒng)有哪些外部接口。系統(tǒng)工程也要將描述系統(tǒng)應(yīng)用環(huán)境的自然語(yǔ)言翻譯為定義接口以及系統(tǒng)邊界的工程圖表。 定義系統(tǒng)功能單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式需求到目標(biāo)、目標(biāo)到要求以及要求到功能的各翻譯環(huán)節(jié)均采用工程語(yǔ)言。系統(tǒng)工程師將使用工程語(yǔ)言來(lái)描述特定的目標(biāo)。目標(biāo)描述能夠通過(guò)描述系統(tǒng)的預(yù)期運(yùn)行效果而滿(mǎn)足需求。系統(tǒng)工程師必須能將目標(biāo)同此前提出的需要相聯(lián)系，并且能夠從理論上加以解釋。各目標(biāo)都有一個(gè)描述滿(mǎn)足該目標(biāo)所需條件的有效性量度（ MoE）。因此目標(biāo)描述必須明確、可測(cè)、可驗(yàn)證。當(dāng)所有的需求目標(biāo)得以實(shí)現(xiàn)時(shí)，如果先前從需求到目標(biāo)的解釋正確而且完整，這些需求便得以滿(mǎn)足。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式信息保護(hù)目標(biāo)與系統(tǒng)目標(biāo)具有相同的特性，都具有MoE，而且對(duì)信息保護(hù)需求是明確的、可測(cè)量的、可驗(yàn)證的、可跟蹤的。每個(gè)目標(biāo)的基本原理必須解釋為：信息保護(hù)對(duì)象所支持的任務(wù)目標(biāo)、驅(qū)動(dòng)信息保護(hù)目標(biāo)的與任務(wù)相關(guān)的威脅、未實(shí)現(xiàn)的目標(biāo)的結(jié)果、支持目標(biāo)的信息保護(hù)指導(dǎo)或策略。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式2. 系統(tǒng)描述 /環(huán)境技術(shù)系統(tǒng)描述本系統(tǒng)與系統(tǒng)邊界外的元素相互作用的功能與接口。系統(tǒng)描述應(yīng)當(dāng)包括系統(tǒng)的物理邊界和邏輯邊界，以及系統(tǒng)輸入輸出的一般特性。系統(tǒng)描述包括針對(duì)信息、信號(hào)、能量和資源在系統(tǒng)與環(huán)境之間或系統(tǒng)與系統(tǒng)之間雙向流動(dòng)的描述。系統(tǒng)描述應(yīng)當(dāng)指出為完成用戶(hù)任務(wù)所需的信息處理類(lèi)型（例如對(duì)等通信、廣播通信、信息存儲(chǔ)、一般訪問(wèn)、受限訪問(wèn)等）。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式3. 要求功能要求由父目標(biāo)處繼承而來(lái)。功能要求描述系統(tǒng)需要完成的任務(wù)、動(dòng)作和行為。當(dāng)轉(zhuǎn)化為性能需求時(shí)，目標(biāo)有效性度量則定義功能需求的實(shí)現(xiàn)程度。除了規(guī)定系統(tǒng)的功能、接口、性能、互操作性、繼承以及設(shè)計(jì)需求外，系統(tǒng)工程師也必須與用戶(hù)共同決定系統(tǒng)開(kāi)發(fā)和升級(jí)的保障要求。保障要求影響系統(tǒng)設(shè)計(jì)與文件歸檔方法，并使用戶(hù)確信系統(tǒng)除了實(shí)現(xiàn)開(kāi)發(fā)者聲稱(chēng)的功能之外再無(wú)其他功能。這里的保障可以特指系統(tǒng)的性能要求，也可以特指某種驗(yàn)證并確認(rèn)系統(tǒng)可靠方法的處理要求（分別對(duì)設(shè)計(jì)和適用性而言）。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式為確定一套能夠滿(mǎn)足需求并代表可接受的風(fēng)險(xiǎn)、生命周期成本和進(jìn)度的性能的要求集，系統(tǒng)工程師在為一套要求或其他要求進(jìn)行性能分配時(shí)必須進(jìn)行多方面的權(quán)衡考慮。性能要求的典型形式如下：質(zhì)，多好？量，數(shù)量？每個(gè)系統(tǒng)的成本有多高？適用范圍，適用范圍有多大？合時(shí)性，使用頻率與響應(yīng)度如何？有備性，可靠性、可維護(hù)性、可用性、可生產(chǎn)性。內(nèi)部接口、外部接口與互操作性要求是可能產(chǎn)生于系統(tǒng)成員之間或系統(tǒng)與環(huán)境、系統(tǒng)與系統(tǒng)之間的相互作用概念的重要要求。此外，政策也可能規(guī)定某些接口、互操作和設(shè)計(jì)要求。為實(shí)現(xiàn)系統(tǒng)功能，系統(tǒng)工程師可能需要依據(jù)這些要求提出其他要求。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式當(dāng)明確所有要求之后，系統(tǒng)工程師必須同其他系統(tǒng)負(fù)責(zé)人商議評(píng)估這些要求的正確性、完整性、一致性、互依賴(lài)性、沖突和可測(cè)試性。正確解釋目標(biāo)的要求應(yīng)既不苛刻也不模糊。極端苛刻的要求是不合適的，它對(duì)一些系統(tǒng)性能要求太高，并可能修改其他某些合理要求。所有正確的要求都必不可少，并且它們的集合足以滿(mǎn)足用戶(hù)需求。各種要求必須是一致的。對(duì)用戶(hù)、客戶(hù)或開(kāi)發(fā)者而言，它們代表同一個(gè)特定事物。系統(tǒng)工程師必須解決不同要求之間的沖突，并通過(guò)與其他系統(tǒng)責(zé)任人進(jìn)行協(xié)商的方式淘汰和修改某些要求。除非政策規(guī)定了一定的設(shè)計(jì)方案，否則要求應(yīng)當(dāng)與系統(tǒng)實(shí)施保持獨(dú)立。用戶(hù)應(yīng)該區(qū)分要求的優(yōu)先級(jí)。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式在發(fā)生沖突的情況下，可以在必要時(shí)放棄低優(yōu)先級(jí)的要求，以縮短時(shí)間、降低成本、減少風(fēng)險(xiǎn)和縮小范圍。尤為重要的一點(diǎn)是，由于需滿(mǎn)足的要求是系統(tǒng)有效性和可用性的基礎(chǔ)，系統(tǒng)負(fù)責(zé)人必須在這些要求和要求特性上取得一致意見(jiàn)。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式4. 功能分析功能由要求決定，每個(gè)要求產(chǎn)生一項(xiàng)或幾項(xiàng)功能。由于對(duì)要求和功能的定義不同，初始功能的級(jí)別高低并不相同。功能分析的主要內(nèi)容是分析功能之間或功能與環(huán)境之間的聯(lián)系。通過(guò)圖表描述功能的相互聯(lián)系有多種方法。最簡(jiǎn)單的圖表是文本功能列表。它通過(guò)習(xí)慣性的縮寫(xiě)、標(biāo)號(hào)、字體來(lái)描述一系列功能的層次結(jié)構(gòu)。功能列表對(duì)功能進(jìn)行命名，并且描述其定義、行為、何時(shí)被調(diào)用、輸入輸出。開(kāi)發(fā)最簡(jiǎn)單系統(tǒng)時(shí)，系統(tǒng)工程師可能只需功能列表就足夠了。但通常情況下，功能列表只是最初級(jí)的功能分析。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式由于功能列表具有分層的特點(diǎn)，它也可以是一個(gè)樹(shù)型結(jié)構(gòu)。這兩種分析的考慮過(guò)程要求系統(tǒng)工程師考慮系統(tǒng)集成的相應(yīng)程度和與該程度對(duì)應(yīng)的功能。將更高層次的功能和繼承功能視為一組，使它們與其他功能保持高度的獨(dú)立性。這是定義一個(gè)模塊化結(jié)構(gòu)的部分工作，模塊化結(jié)構(gòu)具有連帶關(guān)系（每一個(gè)模塊或子系統(tǒng)產(chǎn)生一個(gè)系統(tǒng)功能，該系統(tǒng)功能由緊密聯(lián)系的低層功能構(gòu)成），同時(shí)也具有弱耦合結(jié)構(gòu)（各模塊或子系統(tǒng)之間在很大程度上保持相互獨(dú)立）。系統(tǒng)工程師必須在連帶和耦合之間進(jìn)行權(quán)衡，模塊化系統(tǒng)幾乎可以與獨(dú)立的子系統(tǒng)一樣定義、設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、移植和升級(jí)。通過(guò)權(quán)衡可以產(chǎn)生各種可能的系統(tǒng)結(jié)構(gòu)。這樣便導(dǎo)致了子系統(tǒng)和底層組件的可視化。這些組件和子系統(tǒng)具有各自的功能。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式ISSE將使用許多系統(tǒng)工程工具來(lái)理解功能，并將功能分配給各種信息保護(hù)配置項(xiàng)。 ISSE必須了解信息保護(hù)子系統(tǒng)如何成為整個(gè)系統(tǒng)的一部分，如何支持整個(gè)系統(tǒng)。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式本部分工作要求一個(gè)受到多方制約的工作組設(shè)計(jì)系統(tǒng)的體系結(jié)構(gòu)并制定具體的設(shè)計(jì)方案。系統(tǒng)工程師對(duì)體系結(jié)構(gòu)解決方案進(jìn)行分類(lèi)并識(shí)別所有類(lèi)似的可重用方案。在此意義上，系統(tǒng)工程師可以組織一個(gè)負(fù)責(zé)開(kāi)發(fā)具體解決方案的工作組。該工作組選擇可用于該方案的產(chǎn)品，采用結(jié)合可重用方案或設(shè)計(jì)新方案的方式設(shè)計(jì)具體的體系結(jié)構(gòu)解決方案。 設(shè) 計(jì)系統(tǒng)單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式為達(dá)到應(yīng)用目標(biāo)，系統(tǒng)必須依賴(lài)其所有組件，這一點(diǎn)非常重要。因此，耗費(fèi)過(guò)多精力對(duì)某個(gè)組件進(jìn)行優(yōu)化只是對(duì)精力和資源的一種浪費(fèi)。但是，性能過(guò)低的組件可能會(huì)損害系統(tǒng)整體性能。系統(tǒng)設(shè)計(jì)必須滿(mǎn)足包括功能、性能、接口、互操作和設(shè)計(jì)要求在內(nèi)的一系列要求。好的系統(tǒng)設(shè)計(jì)將確保該系統(tǒng)能夠滿(mǎn)足客戶(hù)需求。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式1. 功能分配在這個(gè)過(guò)程中，系統(tǒng)工程師必須明確在實(shí)現(xiàn)其功能時(shí)應(yīng)采取的物理形式。他們可以將一些功能分配給軟件、硬件、固件和人。執(zhí)行系統(tǒng)功能的人一般都采用確定的工作程序與書(shū)面步驟，使用特定的可用軟件、硬件與固件。當(dāng)系統(tǒng)功能的執(zhí)行需要具備一致性時(shí)，這一點(diǎn)尤為重要。因此，一些功能可由人和機(jī)器共同完成。由于功能被分配給組件，組件必須實(shí)現(xiàn)相應(yīng)的功能和性能要求，并且不超出系統(tǒng)規(guī)定的出錯(cuò)率。系統(tǒng)工程師必須明確各種體系概念以及依據(jù)概念分配給各組件的功能與要求，并同其他系統(tǒng)負(fù)責(zé)人對(duì)概念和物理上的可行性取得一致意見(jiàn)。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式在此意義上，系統(tǒng)工程師可以進(jìn)行方案驗(yàn)證、集成和制定工作系統(tǒng)，以及要求生效的要求的系統(tǒng)驗(yàn)證、集成和有效性測(cè)試。必須記錄達(dá)到預(yù)期效果的可用、驗(yàn)證和集成測(cè)試計(jì)劃并將其與要求和體系結(jié)構(gòu)相聯(lián)系。系統(tǒng)工程師可以開(kāi)始針對(duì)系統(tǒng)設(shè)計(jì)分配資金、人員、工具和時(shí)間資源，為系統(tǒng)分配測(cè)試、細(xì)節(jié)、生命周期支持。多數(shù)系統(tǒng)需要正式的結(jié)構(gòu)管理（ CM），結(jié)構(gòu)管理應(yīng)當(dāng)作用于體系結(jié)構(gòu)。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式2. 初步設(shè)計(jì)進(jìn)行系統(tǒng)初步設(shè)計(jì)至少應(yīng)具備兩個(gè)先決條件：確定并且一致的系統(tǒng)要求；結(jié)構(gòu)管理下確定的體系結(jié)構(gòu)。一旦體系結(jié)構(gòu)確定，系統(tǒng)和設(shè)計(jì)工程師就必須確定用于描述開(kāi)發(fā)內(nèi)容的規(guī)范。該規(guī)范必須是同規(guī)定的需求相應(yīng)的、完整的和確定的。規(guī)范的細(xì)節(jié)級(jí)別從系統(tǒng)級(jí)到組件級(jí)。應(yīng)當(dāng)在初步設(shè)計(jì)評(píng)審（ Preliminary Design Review, PDR）之前對(duì)更高級(jí)規(guī)范進(jìn)行制定和評(píng)審。PDR產(chǎn)生用于調(diào)查完備性、沖突、兼容性（與接口系統(tǒng)）、可驗(yàn)證性、安全風(fēng)險(xiǎn)、綜合風(fēng)險(xiǎn)和可驗(yàn)證等要求的高級(jí)規(guī)范。初步設(shè)計(jì)的結(jié)果是分配系統(tǒng)基線(xiàn)配置。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式3. 詳細(xì)設(shè)計(jì)詳細(xì)設(shè)計(jì)產(chǎn)生更低層次的產(chǎn)品