信息系统安全工程之确定系统安全要求一

2.确定系统安全要求

信息系统安全工程师在“确定系统安全要求”阶段考虑一个或多个可满足客户表达的信息保护需求，并形成一套解决方案集。每一个解决方案集都需要定义以下目标系统的概念：

◇系统背景

◇安全操作概念

◇系统要求（安全基线）

在客户参与盼隋况下，选择一个解决方案，并记录其系统背景，安全操作概念和基线要求。此活动可能导致需要修改现有系统或开发多个目标系统。外部系统的示例包括提供公共密钥基础设施( PKI)的系统和用于用户的安全许可的系统。

确定系统安全背景涉及到定义系统边界和与SE的接口，为目标或外部系统分配安全功能，识别国标和外部系统之间的数据流以及与这些流相关联的保护需求。信息管理需求和信息保护需求分配给目标系统和外部系统；对外部系统的分配是这些系统所有者必须接受的假设。系统安全背景记录了这些分配，并指定了系统和外部系统之间的数据流，以及如何控制它们。

安全操作概念从用户的角度描述了系统在支持任务时j悔执行哪些信息管理和信息保护功能，但没有定义分步过程（没有定义明确的流程）。安全操作概念将确定任务或业务需求对其他系统及其提供的产品和服务的依赖。系统安全背景和安全操作概念要与系统工程师，客户和外部系统的所有者相协调。