@ner
2年前 提问
1个回答

信息安全工程中确定安全需求内容包括哪些

房乐
2年前

信息安全工程中确定安全需求内容包括以下这些:

  • 理解用户安全需求:这项活动的目标是收集所有必要的信息,以全面理解用户的安全需求。这些需求受安全风险的严重程度以及系统将来运行的目标环境的影响。通常需要识别和区分不同用户群体的不同安全需求。这项活动的输出通常是《用户安全需求说明书》之类的文件,用以对用户的安全需求进行高层次的描述。

  • 识别适用的法律、政策、标准和约束:此项活动的目的是收集所有影响系统安全需求的外部因素。应识别支配系统目标环境的外部因素,包括法律、法规、政策和业务标准,并应决定这些外部因素间的优先顺序。

  • 识别系统用途,确定系统安全关联性:此项活动的目的是识别并理解系统(例如,电子政务、电子商务、金融和医疗等系统)的用途;深入理解系统各要素和外部因素对系统安全性的影响。系统的用途反映了组织的业务目标,同时也影响着安全风险处置的优先级排序,最终影响风险处置的方式。

  • 描绘系统运行的安全视图:此项活动的目的是开发一个高层的、面向安全的规划视图,视图应包括任务、角色、职责、信息流、资产、资源、人员保护以及物理保护等要素。同时,识别与系统开发环境有关的需求。

  • 定义高层的安全目标:此项活动的目的是识别出系统应该满足的安全目标,用于在运行环境中为系统提供足够的安全保护。目标应该不依赖于具体的实现。安全目标至少应该涉及系统和信息的可用性、保密性、完整性、可核查性、真实性和可靠性。

  • 定义安全需求:此项活动的目的是确定系统的安全需求。应全面识别并定义系统的安全需求,包括非技术性需求,并确保每个需求与适用的政策、法律、标准、安全要求以及系统约束条件相一致,并与系统目标建立映射关系。通常有必要定义或确定目标系统的逻辑和物理边界,以确保能够识别所有方面的需求。