信息安全工程師知識點：信息系統(tǒng)生命周期中安全保障和評估

信息系統(tǒng)安全保障和評估的安全需求通常是主要檢測其期望的行為，但并不總是能證明不存在不期望的行為。信息系統(tǒng)的安全評估對那些顯形的安全容易察覺，而對那隱形的安全較難察覺。信息系統(tǒng)的安全評估系統(tǒng)靠成型后的最終評估是非常重要的，但在系統(tǒng)生命周期全過程的安全保障和評估中也是必要的，這就需要對信息系統(tǒng)進仔全生命周期的安全評估。

如圖7-41所示，系統(tǒng)生命周期內(nèi)的安全保障和評估應該貫穿下列各階段：

①策劃與組織階段確定系統(tǒng)使命、系統(tǒng)安全目標；

②開發(fā)與設計階段確定系統(tǒng)結構、威脅分析、脆弱性分析、風險分析、安全要求、安全策略；

③采購與實施階殷物理環(huán)境安全、系統(tǒng)安全實施、采購安全控制、網(wǎng)絡安全、應用安全、數(shù)據(jù)安全、管理安全；

④交付與運行系統(tǒng)運轉(zhuǎn)的可用性、系統(tǒng)安全評估的可信性；

⑤維護、更新或廢棄維護安全、升級安全、廢棄安全(殘余信息保護)。

綜上所述，信息系統(tǒng)安全評估規(guī)范將具有以下特點:

①以信息系統(tǒng)面臨的安全風險為出發(fā)點，以安全策略為核心;

②強調(diào)信息系統(tǒng)安全保障是一個動態(tài)的持續(xù)發(fā)展過程，即信崽系統(tǒng)安全應貫穿信息系統(tǒng)全生命周期；

③強調(diào)信息系統(tǒng)安全的要求和保證概念，信息系統(tǒng)的安全是通過綜合技術、管理、過程和人員的要求等措施實施和實現(xiàn)信息系統(tǒng)的安全目標，通過對信息系統(tǒng)的技術、管理、過程和人員等方面的安全評估結果及安全認證來提供對信息系統(tǒng)安全的保證和信心；

④通過風險和策略基礎以及生命周期和保證層面，從而使信息系統(tǒng)安全實現(xiàn)信息技術安全根本原則，保障組織機構執(zhí)行其使命的根本目標。