信息系统安全工程

1.4.3信息系统安全工程

信息系统安全工程( Information SystemSecurity Engineering，ISSE)是美国军方在20世纪90年代初发布的信息安全工程方法，反映ISSE成果的文献之一是1994年出版的《信息系统安全工程手册V1.0》。ISSE是系统工程在安全空间的映射，其重点是通过实施系统工程过程来满足信息保护的需求。ISSE有助于开发可满足用户安全需求的系统产品和过程解决方案。

系统生命周期就是系统从产生构思到不再使用的整个生命历程，而ISSE就是将系统工程

思想应用于信息安全领域，在系统生命周期的各阶段充分考虑和实施安全措施。

　　ISSE流程部分涵盖与通用SE流程相对应的六个活动：

◇发掘信息保护需求（发现需求）。

◇定义系统安全要求（定义系统要求）。

◇设计系统安全架构（设计系统架构）。

◇开发详细的安全设计（开发详细设计）。

◇实施系统安全（实施系统）。

◇评估信息保护效果（评估有效性）。

在ISSE流程的每个活动中，信息系统安全工程师将执行活动来支持系统的认证&认可(C&A)。

在将ISSE活动定制到具体项目时间表时，重要的是要考虑技术和资金里程碑，以确定项目的未来方向，并确保决策者具有与安全相关的信息来做出决策。信息系统安全工程师还必须考虑在应用ISSE流程之前可能发生的重要活动和里程碑，但是由于活动之间的依赖关系，所有ISSE活动必须在支持后续决策所需的程度上执行。例如，安全组件的规范和评估取决于系统安全架构和详细的系统设计，信息保护有效性的最终评估必须基于对信息保护需求的理解。