2.安全需求分析的过程
信息系统安全需求的分析过程,由于具体实现存在区别,但是总的来说主要有以下几个基本的步骤:
1)系统调查
了解信息系统所处的安全环境(存在于系统边界之外并对系统的安全具有潜在的或直接影响的所有因素)及其它与安全相关的信息,例如用户、组成部件、运行机制及与其他系统的连接情况等等。在此基础上确定需要保护的资产,其中可能包括硬件、软件、数据、文档和计算机服务等等,并评价各个资产的相对价值。
2)定性分析系统的脆弱点和可能遭受的安全威胁
这一步骤比第一步更加困难,因为它需要一定程度的想象,以预测资产可台旨受到的损害及损害来自何方。系统脆弱点和安全威胁是两个互相依存的概念:没有威胁,就无所谓脆弱点;没有脆弱点,威胁也就不称其为“威胁”。所以当系统的脆弱点被确定后,就需要针对每个脆弱点分析由此可能引发的安全威胁及其对资产可能造成损害的程度。