【正文】 息安全保護。當系統(tǒng)發(fā)現(xiàn)需要這種信息安全保護時，信息保護將成為一個必須同時考慮的系統(tǒng)模塊。圖 、威脅和政策如何影響信息保護需求以及如何進行分析。單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式圖 系統(tǒng)任務(wù)、信息安全威脅和政策對確定信息保護需求的影響單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式1. 任務(wù)的信息保護需求我們必須考慮信息和信息系統(tǒng)在一個大型任務(wù)或特定組織中的作用。 ISSE必須考慮組織元素（人和子系統(tǒng)）的任務(wù)可能受到的影響，即無法使用所依賴的信息系統(tǒng)或信息，尤其是喪失機密性、完整性、可用性、不可否認性及其組合。在此意義上， ISSE已經(jīng)開始探討用戶信息保護需求問題。信息的重要性眾人皆知，但是人們往往忽視信息保護需求。要發(fā)現(xiàn)用戶信息保護需求，必須了解遺漏、丟失或修改什么信息會對總體任務(wù)造成危害。 ISSE應(yīng)該做到以下幾點：幫助用戶對自己的信息管理過程進行建模、幫助用戶定義信息威脅、幫助用戶確立信息保護需求的優(yōu)先次序、準備信息保護策略、獲得用戶許可。單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式ISSE提供了識別顧客需求的界面，以確保任務(wù)需求包含信息保護需求，并且保證系統(tǒng)功能包含信息保護功能。 ISSE將安全規(guī)則、技術(shù)、機制相結(jié)合，并將其應(yīng)用于解決用戶信息保護的實踐需求，從而建立一個信息保護系統(tǒng)。該系統(tǒng)包含信息保護體系結(jié)構(gòu)和機制，并能夠依據(jù)用戶所允許的耗費、功能和計劃獲得最佳的信息保護性能。圖 ，較高層次的需求建議在較低層次的需求基礎(chǔ)之上，各模塊的需求決定于它在結(jié)構(gòu)圖中的位置。單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式圖 分層需求圖單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式ISSE在設(shè)計信息系統(tǒng)時必須遵循用戶的層次設(shè)置，這樣才能使整個系統(tǒng)的性能達到預期指標。信息和信息系統(tǒng)在支持任務(wù)方面必須滿足如下要求：對何種信息記錄（機密信息、金融信息、產(chǎn)權(quán)信息、個人隱私信息等）進行觀察、更新、刪除、初始化或者處理？授權(quán)誰觀察、更新、刪除、初始化和處理信息記錄？經(jīng)授權(quán)的用戶如何履行其責任？經(jīng)授權(quán)的用戶使用何種工具（文檔、硬件、軟件、固件和規(guī)程）履行其責任？清楚地知道個人發(fā)送或者接收的一則消息或一個文件具有怎樣的重要性？ISSE和系統(tǒng)用戶將精誠合作，使信息系統(tǒng)更好地滿足用戶總?cè)蝿?wù)要求。沒有用戶的參與， ISSE很難做出滿足用戶要求的決定。單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式2. 信息管理面臨的威脅依照 ISSE，技術(shù)層面的系統(tǒng)組成應(yīng)負責識別信息系統(tǒng)的功能和它與外界系統(tǒng)邊界的接口。該系統(tǒng)組成要明確信息系統(tǒng)的物理邊界和邏輯邊界，以及系統(tǒng)輸入/輸出的一般特性。它描述系統(tǒng)與環(huán)境之間或系統(tǒng)與系統(tǒng)之間信號、能量和物質(zhì)的雙向信息流。必須考慮系統(tǒng)與環(huán)境之間或系統(tǒng)與系統(tǒng)之間信號、能量和物質(zhì)的雙向信息流。必須考慮系統(tǒng)與環(huán)境之間或系統(tǒng)與系統(tǒng)之間有意設(shè)定或自行存在的接口。其中，針對后者的部分描述涉及環(huán)境和信息系統(tǒng)所面臨的 “威脅 ”。 “威脅 ”指某些人采取某種行動，引發(fā)可能造成某個結(jié)果的事件或?qū)ο到y(tǒng)造成危害的潛在事實。對系統(tǒng)威脅的描述涉及信息類型、合法用戶和用戶信息、威脅者的考慮（能力、意圖、自發(fā)性、動機、對任務(wù)的破壞）。單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式3. 信息保護策略的考慮對一個機構(gòu)而言，在制定本組織的信息保護策略時必須考慮所有現(xiàn)有的信息保護策略、規(guī)則和標準。必須定義下面的信息保護最重要的內(nèi)容：為什么需要信息保護？需要什么樣的保護？怎樣獲得保護？與系統(tǒng)工程過程相同，一個機構(gòu)必須考慮本機構(gòu)內(nèi)所有的政策、規(guī)則和標準。必須定義一個機構(gòu)信息策略的以下最重要內(nèi)容：機構(gòu)需要保護的資源 /資產(chǎn)、需要和這些資產(chǎn)發(fā)生關(guān)系的個人的角色和責任（作為可操作性任務(wù)的一部分）、授權(quán)用戶用到這些資產(chǎn)（有信息安全要求）的合適的方法。單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式為制定一個有效的信息保護策略，需要設(shè)立一個由系統(tǒng)工程專家、 ISSE、用戶代表、權(quán)威認證機構(gòu)、設(shè)計專家組成的小組。該小組的成員要共同合作，保證策略的正確性、全面性以及和其他現(xiàn)有策略的連續(xù)性。高層管理機構(gòu)要頒布信息保護策略。該策略必須是明確的，應(yīng)該使下級機構(gòu)易于制定各自的制度，并且便于機構(gòu)所有成員的理解。需要一個能夠確保在機構(gòu)內(nèi)部實施該策略的流程，并讓機構(gòu)成員認識到，如果不實施該策略將會出現(xiàn)怎樣的后果。盡管必須依據(jù)具體情況的改變及時更新機構(gòu)安全策略，高層策略卻不應(yīng)經(jīng)常變動。單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式1. 目標在系統(tǒng)開發(fā)的系統(tǒng)功能定義階段，系統(tǒng)工程師必須明確系統(tǒng)要完成的功能，該功能的實現(xiàn)應(yīng)達到什么程度，以及系統(tǒng)有哪些外部接口。系統(tǒng)工程也要將描述系統(tǒng)應(yīng)用環(huán)境的自然語言翻譯為定義接口以及系統(tǒng)邊界的工程圖表。 定義系統(tǒng)功能單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式需求到目標、目標到要求以及要求到功能的各翻譯環(huán)節(jié)均采用工程語言。系統(tǒng)工程師將使用工程語言來描述特定的目標。目標描述能夠通過描述系統(tǒng)的預期運行效果而滿足需求。系統(tǒng)工程師必須能將目標同此前提出的需要相聯(lián)系，并且能夠從理論上加以解釋。各目標都有一個描述滿足該目標所需條件的有效性量度（ MoE）。因此目標描述必須明確、可測、可驗證。當所有的需求目標得以實現(xiàn)時，如果先前從需求到目標的解釋正確而且完整，這些需求便得以滿足。單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式信息保護目標與系統(tǒng)目標具有相同的特性，都具有MoE，而且對信息保護需求是明確的、可測量的、可驗證的、可跟蹤的。每個目標的基本原理必須解釋為：信息保護對象所支持的任務(wù)目標、驅(qū)動信息保護目標的與任務(wù)相關(guān)的威脅、未實現(xiàn)的目標的結(jié)果、支持目標的信息保護指導或策略。單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式2. 系統(tǒng)描述 /環(huán)境技術(shù)系統(tǒng)描述本系統(tǒng)與系統(tǒng)邊界外的元素相互作用的功能與接口。系統(tǒng)描述應(yīng)當包括系統(tǒng)的物理邊界和邏輯邊界，以及系統(tǒng)輸入輸出的一般特性。系統(tǒng)描述包括針對信息、信號、能量和資源在系統(tǒng)與環(huán)境之間或系統(tǒng)與系統(tǒng)之間雙向流動的描述。系統(tǒng)描述應(yīng)當指出為完成用戶任務(wù)所需的信息處理類型（例如對等通信、廣播通信、信息存儲、一般訪問、受限訪問等）。單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式3. 要求功能要求由父目標處繼承而來。功能要求描述系統(tǒng)需要完成的任務(wù)、動作和行為。當轉(zhuǎn)化為性能需求時，目標有效性度量則定義功能需求的實現(xiàn)程度。除了規(guī)定系統(tǒng)的功能、接口、性能、互操作性、繼承以及設(shè)計需求外，系統(tǒng)工程師也必須與用戶共同決定系統(tǒng)開發(fā)和升級的保障要求。保障要求影響系統(tǒng)設(shè)計與文件歸檔方法，并使用戶確信系統(tǒng)除了實現(xiàn)開發(fā)者聲稱的功能之外再無其他功能。這里的保障可以特指系統(tǒng)的性能要求，也可以特指某種驗證并確認系統(tǒng)可靠方法的處理要求（分別對設(shè)計和適用性而言）。單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式為確定一套能夠滿足需求并代表可接受的風險、生命周期成本和進度的性能的要求集，系統(tǒng)工程師在為一套要求或其他要求進行性能分配時必須進行多方面的權(quán)衡考慮。性能要求的典型形式如下：質(zhì)，多好？量，數(shù)量？每個系統(tǒng)的成本有多高？適用范圍，適用范圍有多大？合時性，使用頻率與響應(yīng)度如何？有備性，可靠性、可維護性、可用性、可生產(chǎn)性。內(nèi)部接口、外部接口與互操作性要求是可能產(chǎn)生于系統(tǒng)成員之間或系統(tǒng)與環(huán)境、系統(tǒng)與系統(tǒng)之間的相互作用概念的重要要求。此外，政策也可能規(guī)定某些接口、互操作和設(shè)計要求。為實現(xiàn)系統(tǒng)功能，系統(tǒng)工程師可能需要依據(jù)這些要求提出其他要求。單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式當明確所有要求之后，系統(tǒng)工程師必須同其他系統(tǒng)負責人商議評估這些要求的正確性、完整性、一致性、互依賴性、沖突和可測試性。正確解釋目標的要求應(yīng)既不苛刻也不模糊。極端苛刻的要求是不合適的，它對一些系統(tǒng)性能要求太高，并可能修改其他某些合理要求。所有正確的要求都必不可少，并且它們的集合足以滿足用戶需求。各種要求必須是一致的。對用戶、客戶或開發(fā)者而言，它們代表同一個特定事物。系統(tǒng)工程師必須解決不同要求之間的沖突，并通過與其他系統(tǒng)責任人進行協(xié)商的方式淘汰和修改某些要求。除非政策規(guī)定了一定的設(shè)計方案，否則要求應(yīng)當與系統(tǒng)實施保持獨立。用戶應(yīng)該區(qū)分要求的優(yōu)先級。單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式在發(fā)生沖突的情況下，可以在必要時放棄低優(yōu)先級的要求，以縮短時間、降低成本、減少風險和縮小范圍。尤為重要的一點是，由于需滿足的要求是系統(tǒng)有效性和可用性的基礎(chǔ)，系統(tǒng)負責人必須在這些要求和要求特性上取得一致意見。單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式4. 功能分析功能由要求決定，每個要求產(chǎn)生一項或幾項功能。由于對要求和功能的定義不同，初始功能的級別高低并不相同。功能分析的主要內(nèi)容是分析功能之間或功能與環(huán)境之間的聯(lián)系。通過圖表描述功能的相互聯(lián)系有多種方法。最簡單的圖表是文本功能列表。它通過習慣性的縮寫、標號、字體來描述一系列功能的層次結(jié)構(gòu)。功能列表對功能進行命名，并且描述其定義、行為、何時被調(diào)用、輸入輸出。開發(fā)最簡單系統(tǒng)時，系統(tǒng)工程師可能只需功能列表就足夠了。但通常情況下，功能列表只是最初級的功能分析。單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式由于功能列表具有分層的特點，它也可以是一個樹型結(jié)構(gòu)。這兩種分析的考慮過程要求系統(tǒng)工程師考慮系統(tǒng)集成的相應(yīng)程度和與該程度對應(yīng)的功能。將更高層次的功能和繼承功能視為一組，使它們與其他功能保持高度的獨立性。這是定義一個模塊化結(jié)構(gòu)的部分工作，模塊化結(jié)構(gòu)具有連帶關(guān)系（每一個模塊或子系統(tǒng)產(chǎn)生一個系統(tǒng)功能，該系統(tǒng)功能由緊密聯(lián)系的低層功能構(gòu)成），同時也具有弱耦合結(jié)構(gòu)（各模塊或子系統(tǒng)之間在很大程度上保持相互獨立）。系統(tǒng)工程師必須在連帶和耦合之間進行權(quán)衡，模塊化系統(tǒng)幾乎可以與獨立的子系統(tǒng)一樣定義、設(shè)計、開發(fā)、測試、移植和升級。通過權(quán)衡可以產(chǎn)生各種可能的系統(tǒng)結(jié)構(gòu)。這樣便導致了子系統(tǒng)和底層組件的可視化。這些組件和子系統(tǒng)具有各自的功能。單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式ISSE將使用許多系統(tǒng)工程工具來理解功能，并將功能分配給各種信息保護配置項。 ISSE必須了解信息保護子系統(tǒng)如何成為整個系統(tǒng)的一部分，如何支持整個系統(tǒng)。單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式本部分工作要求一個受到多方制約的工作組設(shè)計系統(tǒng)的體系結(jié)構(gòu)并制定具體的設(shè)計方案。系統(tǒng)工程師對體系結(jié)構(gòu)解決方案進行分類并識別所有類似的可重用方案。在此意義上，系統(tǒng)工程師可以組織一個負責開發(fā)具體解決方案的工作組。該工作組選擇可用于該方案的產(chǎn)品，采用結(jié)合可重用方案或設(shè)計新方案的方式設(shè)計具體的體系結(jié)構(gòu)解決方案。 設(shè) 計系統(tǒng)單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式為達到應(yīng)用目標，系統(tǒng)必須依賴其所有組件，這一點非常重要。因此，耗費過多精力對某個組件進行優(yōu)化只是對精力和資源的一種浪費。但是，性能過低的組件可能會損害系統(tǒng)整體性能。系統(tǒng)設(shè)計必須滿足包括功能、性能、接口、互操作和設(shè)計要求在內(nèi)的一系列要求。好的系統(tǒng)設(shè)計將確保該系統(tǒng)能夠滿足客戶需求。單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式1. 功能分配在這個過程中，系統(tǒng)工程師必須明確在實現(xiàn)其功能時應(yīng)采取的物理形式。他們可以將一些功能分配給軟件、硬件、固件和人。執(zhí)行系統(tǒng)功能的人一般都采用確定的工作程序與書面步驟，使用特定的可用軟件、硬件與固件。當系統(tǒng)功能的執(zhí)行需要具備一致性時，這一點尤為重要。因此，一些功能可由人和機器共同完成。由于功能被分配給組件，組件必須實現(xiàn)相應(yīng)的功能和性能要求，并且不超出系統(tǒng)規(guī)定的出錯率。系統(tǒng)工程師必須明確各種體系概念以及依據(jù)概念分配給各組件的功能與要求，并同其他系統(tǒng)負責人對概念和物理上的可行性取得一致意見。單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式在此意義上，系統(tǒng)工程師可以進行方案驗證、集成和制定工作系統(tǒng)，以及要求生效的要求的系統(tǒng)驗證、集成和有效性測試。必須記錄達到預期效果的可用、驗證和集成測試計劃并將其與要求和體系結(jié)構(gòu)相聯(lián)系。系統(tǒng)工程師可以開始針對系統(tǒng)設(shè)計分配資金、人員、工具和時間資源，為系統(tǒng)分配測試、細節(jié)、生命周期支持。多數(shù)系統(tǒng)需要正式的結(jié)構(gòu)管理（ CM），結(jié)構(gòu)管理應(yīng)當作用于體系結(jié)構(gòu)。單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式2. 初步設(shè)計進行系統(tǒng)初步設(shè)計至少應(yīng)具備兩個先決條件：確定并且一致的系統(tǒng)要求；結(jié)構(gòu)管理下確定的體系結(jié)構(gòu)。一旦體系結(jié)構(gòu)確定，系統(tǒng)和設(shè)計工程師就必須確定用于描述開發(fā)內(nèi)容的規(guī)范。該規(guī)范必須是同規(guī)定的需求相應(yīng)的、完整的和確定的。規(guī)范的細節(jié)級別從系統(tǒng)級到組件級。應(yīng)當在初步設(shè)計評審（ Preliminary Design Review, PDR）之前對更高級規(guī)范進行制定和評審。PDR產(chǎn)生用于調(diào)查完備性、沖突、兼容性（與接口系統(tǒng)）、可驗證性、安全風險、綜合風險和可驗證等要求的高級規(guī)范。初步設(shè)計的結(jié)果是分配系統(tǒng)基線配置。單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式3. 詳細設(shè)計詳細設(shè)計產(chǎn)生更低層次的產(chǎn)品