信息安全工程验证和证实安全包括哪些方面

信息安全工程验证和证实安全包括以下方面：

• 制定验证和证实目标和计划：验证证明了解决方案被正确实施，实现并满足了工程安全需求；而证实则证明了解决方案是有效的，是满足用户的运行安全需求的。此项活动涉及整个生命周期内与所有工程组的协调。需要验证和证实的工作产品包括需求、设计、体系结构、实现、硬件、软件和测试计划。与系统运行和维护相关的工作产品同样可被验证和证实，如系统配置、用户文档、培训资料和应急响应计划等。

• 制定验证和证实具体方法和严密等级：需要选择如何验证和证实每个需求的具体方法，以及指出验证和证实的审查到底需要有多严格，即严密等级。例如，某些项目只需要对需求进行简单的一致性审核，而另一些则可能要求非常严密的审核。

• 执行验证：此项活动通过由测试、分析、演示和观察得出的原始数据来验证解决方案是否满足工程安全要求，验证解决方案本身的正确性，并将在验证过程中发现的矛盾，编制成问题报告。此项活动要求对单项的工程安全需求和整体的、系统的工程安全需求都进行验证。

• 执行证实：此项活动通过展示系统能满足用户的运行安全需求，实现对解决方案有效性的证实。有许多种方法可以用来证实这些需求已被满足，包括在一个运行着的或有代表性的测试环境中测试解决方案。

• 提供验证和证实的结果：应以某种易被理解和使用的方式提供验证和证实的结果，比如测试结论文档。另外，所有结果应具有可追溯性，即能够找到源头，从用户的运行安全需求到工程安全需求，到解决方案，再到测试结果，均应具有一致性。