信息系统安全工程之实现系统安全一

5.实现系统安全

“实现系统安全”活动的目标是获取，集成，配置，测试，文档和培训，使系统从设计转入到运营。该项活动的结束标志是最终系统的有效性评估行为，给出系统满足要求和任务需求的证据。其中，必须考虑到系统工程的主功能，解决好相互依赖性和均衡取舍问题。

在实现系统安全性期间，信息系统安全工程师提供：

◇验证所实施的系统确实可以防范此前威胁评估中确定的威胁。

◇跟踪信息保护机制在系统实现和测试活动中的运用情况。

◇审查系统的生命周期计划、运行流程及培训材料，并向这些文档提供输入。

◇实施正式的信息保护评估，为最终的系统有效性评估做出准备。

◇参与所有系统问题的多学科研究。

1)系统获取

选择特定产品以集成到安全解决方案中是“实现系统安全”活动的一部分。这些产品可以通过采购，租赁或借款获得。选择将基于组件的成本，可用性，形式和适合性等因素。其他因素可能包括对特定系统的可靠性影响的组件，如果组件性能偏低，系统性能的风险以及组件或替代品的未来可用性。必须构建不能采购的组件。软件，硬件或固件是否应根据设计规范进行验证，验证必须正式记录在案。必须评估任和对实现设计和任务或业务目标（包括安全性）的影响的任何偏差。