信息安全工程师知识点：信息系统生命周期中安全保障和评估

信息系统安全保障和评估的安全需求通常是主要检测其期望的行为，但并不总是能证明不存在不期望的行为。信息系统的安全评估对那些显形的安全容易察觉，而对那隐形的安全较难察觉。信息系统的安全评估系统靠成型后的最终评估是非常重要的，但在系统生命周期全过程的安全保障和评估中也是必要的，这就需要对信息系统进仔全生命周期的安全评估。

如图7-41所示，系统生命周期内的安全保障和评估应该贯穿下列各阶段：

①策划与组织阶段确定系统使命、系统安全目标；

②开发与设计阶段确定系统结构、威胁分析、脆弱性分析、风险分析、安全要求、安全策略；

③采购与实施阶殷物理环境安全、系统安全实施、采购安全控制、网络安全、应用安全、数据安全、管理安全；

④交付与运行系统运转的可用性、系统安全评估的可信性；

⑤维护、更新或废弃维护安全、升级安全、废弃安全(残余信息保护)。

综上所述，信息系统安全评估规范将具有以下特点:

①以信息系统面临的安全风险为出发点，以安全策略为核心;

②强调信息系统安全保障是一个动态的持续发展过程，即信崽系统安全应贯穿信息系统全生命周期；

③强调信息系统安全的要求和保证概念，信息系统的安全是通过综合技术、管理、过程和人员的要求等措施实施和实现信息系统的安全目标，通过对信息系统的技术、管理、过程和人员等方面的安全评估结果及安全认证来提供对信息系统安全的保证和信心；

④通过风险和策略基础以及生命周期和保证层面，从而使信息系统安全实现信息技术安全根本原则，保障组织机构执行其使命的根本目标。