信息系统安全工程之开发详细安全设计一

4.开发详细安全设计

信息保护设计的发展是迭代的，涉及SE和’ISSE团队以及团队内的系统和组件工程师之间的交互。促使推荐设计的决策涉及ISSE团队的持续评估，将预期风险与系统安全性要求进行比较。ISSE团队生成C&A流程所需的设计文档。该文档可以对风险分析师进行设计的独立评估，然后风险分析师根据漏洞提供反馈意见。

在开发详细的安全设计中，信息系统安全工程师将确保遵守安全架构，执行权衡研究和定义系统安全设计元素，包括：

◇将安全机制分配给系统安全设计元素。

◇确定候选商业现货( COTS)／政府现货(GOTS)安全产品。

◇识别自定义安全产品。

◇资格元素和系统接口（内部和外音5）。

◇制定规范（如通用标准保护配置文件）。

信息保护设计指定了系统及其组件，但并不决定具体的组件或供应商。特定组件的选择是实施系统活动的一部分。