SSE一CMM安全工程过程之工程过程PA10 确定安全需求三

◇BP.1 0.03  识别系统用途，以确定其安全关联性

本基本实施的目的是，识别出系统间的关系是如何影响安全的。它涉及了对系统（例如，情报、金融、医疗）用途的理解；对任务的处理和运行概要等作为安全因素加以评估； 深入理解系统遭受到的，或可能的威胁；评估性能和功能需求对安全可台邑产生的影响。就安全含意而言，运行的约束条件也要受到检查。

为定义的系统安全边界，环境可能也包括与其它组织或系统的接口。接口部件被确定为位于安全边界的内侧或外侧。

组织的许多外部因素也影响组织安全需求的变化程度。这些因素包括策略上的倾向性和策略重点的改变、技术开发、经济影响、全局性事件以及信息战。由于这些因素没有一个是静态的，它们需要监视和定期地评估这些变化潜在的影响。工作产品示例：

( 1)预期的威胁环境——对系统资产的已知或假定的威胁；包括威胁作用力（专门技术、可用资源、动机）；攻击（方法、可开发的脆弱性、机会）；资产。

(2)评估目标——描述被评估的系统或产品的安全特性(类型、预期的应用、通用特性、使用限制)。

系统的安全边界不必与系统边界等同。例如，安全边界可以包括系统驻留的设备和运行该系统的人，而系统边界则可能定在人机界面处。可以认为，就访问控制而言，这一扩展的安全边界可使物理方法成为除了纯技术方面以外的有效安全措施。

◇BP.10.04  捕捉系统运行的安全视图

该基本实施的目的是开发一个高层、面向安全的规划视图，包括任务、职责、信息流、 资产、资源、人员保护以及物理保护。这一描述应该包括规划如何在系统需求约束条件内实施的讨论。系统的这一视图在运行安全概念中被提取，而且应该包括一个有关系统体系结构、规程和环境的高层安全视图。与系统开发环境有关的需求也要在这一阶段进行捕捉。工作产品示例：

(1)运行安全概念——系统高层的、面向安全的视图（任务、职责、资产、信息流、 过程）。

(2)概念性安全体系结构——一个安全体系结构的概念性视图。