1.4.3信息系统安全工程
信息系统安全工程( Information SystemSecurity Engineering,ISSE)是美国军方在20世纪90年代初发布的信息安全工程方法,反映ISSE成果的文献之一是1994年出版的《信息系统安全工程手册V1.0》。ISSE是系统工程在安全空间的映射,其重点是通过实施系统工程过程来满足信息保护的需求。ISSE有助于开发可满足用户安全需求的系统产品和过程解决方案。
系统生命周期就是系统从产生构思到不再使用的整个生命历程,而ISSE就是将系统工程
思想应用于信息安全领域,在系统生命周期的各阶段充分考虑和实施安全措施。
ISSE流程部分涵盖与通用SE流程相对应的六个活动:
◇发掘信息保护需求(发现需求)。
◇定义系统安全要求(定义系统要求)。
◇设计系统安全架构(设计系统架构)。
◇开发详细的安全设计(开发详细设计)。
◇实施系统安全(实施系统)。
◇评估信息保护效果(评估有效性)。
在ISSE流程的每个活动中,信息系统安全工程师将执行活动来支持系统的认证&认可(C&A)。
在将ISSE活动定制到具体项目时间表时,重要的是要考虑技术和资金里程碑,以确定项目的未来方向,并确保决策者具有与安全相关的信息来做出决策。信息系统安全工程师还必须考虑在应用ISSE流程之前可能发生的重要活动和里程碑,但是由于活动之间的依赖关系,所有ISSE活动必须在支持后续决策所需的程度上执行。例如,安全组件的规范和评估取决于系统安全架构和详细的系统设计,信息保护有效性的最终评估必须基于对信息保护需求的理解。