因素，平衡信息保障风险与其他的ISSE问题。 (8) 研究与其他的信息保障和系统工程原则如何进行权
衡。
(9) 将ISSE过程与系统工程和采购过程集成。 (10) 测试与评估系统，验证是否达到设计保护的要求
和信息保障的需求。
(11) 创建并保留标准化的文档。
8 (12) 为用户部署系统，并根据其需要，调整系统，继
需求。 (3) 确定信息保护的级别，以一个可接受的信息保障的
风险水准来满足要求。
(4) 根据需求，构建一个功能上的信息保障体系结构。 (5) 根据物理体系结构和逻辑体系结构分配信息保障的 具体功能。
7 (6) 设计信息系统，实现信息保障的功能构架。
(7) 考虑成本、规划、进度和操作的适宜性及有效性等
续进行生命周期内的安全支持。
为确保信息保障能顺利地被纳入到整个系统，应该从 设计系统工程之初便考虑ISSE，应当随着系统工程的每一
个步骤，考虑信息保护的对象、保护需求、功能、构架、
设计、实现以及测试等各方面技术和非技术的因素，使信 息保障能够在特定系统中得到最好的优化。
ISSE的体系结构是一个顺序结构，前一项的结果是后
用户确定信息的保护次序和等级；④ 制定信息保护策略； ⑤ 与用户协调、达成一致。
与用户进行交互是ISSE的必不可少的环节，在参考用
户意见的基础上，评估信息和系统对任务的重要性，并确 保任务需求中包含了信息保护的需求、系统功能中包含了
信息保护的功能。这个环节要达到的目标是：一份满足用
户在资金、安全、性能、时间等各方面要求的信息系统保 护框架，其中至少要包含以下几个方面：
程理论，是系统工程学、系统采购、风险管理、认证和鉴
定以及生命周期的支持过程的一部分，是系统工程过程的 一个自然扩展。
3 作为一种系统工程技术，ISSE不仅可以用来设计、实
现独立的软硬件系统，还可以为集成的计算机系统的设计
和重构提供服务。它可以与设计者和工程人员提供的设计 要素，以及面向开发者、管理者、用户的接口相结合，在
用户通常都明白他们所需要的任务信息的重要性，但
在确定这些信息需要何种保护，以及达到怎样的保护级别 时，可能会一筹莫展。为了科学地了解任务的信息保护需 求，需要帮助用户弄清楚什么信息在受到了何种破坏时会 对系统的任务造成危害。
12 在这种要求下，ISSE需要做的是：① 帮助用户对信息处理
的过程建模；② 帮助用户定义对信息的各种威胁。③ 帮助
投资额度和成本的限制下，使整体系统获得最大的安全性
能。这也反映了对待ISSE的实施方法，即总的指导思想是 将安全工程与信息系统开发集成起来。
ISSE是系统工程(SE)的一个子部分。
4 通常SE可以分为发掘需求、定义系统、设计系统和实施系
统4个阶段，以及贯穿于各阶段的评估有效性部分，如图110所示，而ISSE过程也分为发掘信息安全需求、定义信息 安全系统、设计信息安全系统、实施信息安全系统和评估
15 主动攻击是指以各种方式有选择性地破坏信息，例如修改、
删除、伪造、乱序等；被动攻击是指在不干扰系统正常工
作情况下，进行侦听、截获、窃取、破译等。 (2) 了解安全缺陷。指了解信息系统本身存在的一些安
全缺陷，包括网络硬件、通信链路、人员素质、安全标准
等原因引起的安全缺陷。 (3) 掌握软件漏洞。因为软件的复杂性和编程方法的多
13 (1) 被处理的信息是什么？属于何种类型(涉密信息、
金融信息、个人隐私信息等)？
(2) 谁有权处理(初始化、查看、修改、删除等)这些信 息？
(3) 授权用户如何履行其职责？
(4) 授权用户使用何种工具(硬件、软件、固件、文档 等)进行处理？
(5) 用户行为是否需要监督(不可否认)？
在这个环节，ISSE的工作需要用户的全程参与，共同 研究信息系统的角色，使信息系统更好地满足用户的任务 要求。
信息安全系统等阶段。ISSE与SE的关系如图2E的关系
6 ISSE贯穿于系统工程的全过程，这些过程都具有公共
的要素：发现需求、定义系统功能、设计系统元素、开发
和安装系统、评估系统有效性等。ISSE的主要活动包括： (1) 分析并描述信息保障的用户愿望。
(2) 在系统工程过程的早期，基于愿望产生信息保障的
用户的角度，并且不能对系统的设计和实施有过度的限制。
一般是通过了解任务的信息保护需求、掌握对信息系统的 威胁和考虑信息安全策略等过程来发掘信息安全的需求， 如图2-2所示。
10
图2-2 发掘信息安全需求
11
2.2.1
了解任务的信息保护需求
ISSE首先需要考虑系统任务可能受到的各方面的影响
(包括人的因素和系统的因素)，以及可能造成的各方面的 损失，例如泄密、数据被篡改、服务不可用、操作抵赖等。
一项的输入，具有严格的顺序性，是按照时间维的发展。 违背这种顺序性将导致系统建设的盲目性，最终会导致信 息系统安全工程建设的失败。
9
2.2
发掘信息安全需求
ISSE过程首先要了解用户的工作任务需求、相关政策、
法规、标准、惯例，以及在使用环境中受到的威胁，然后
确认系统的用户、他们的行为特点、在信息保护生命周期 各阶段的角色、责任和权力等。信息保护的需求应该来自
样性，导致软件中有意或无意留下的一些漏洞，例如操作
1
第2章 ISSE过程
2.1 概述 2.2 发掘信息安全需求 2.3 定义信息安全系统 2.4 设计信息安全系统 2.5 实施信息安全系统 2.6 评估信息安全系统 2.7 ISSE的基本功能 2.8 ISSE实施框架 2.9 ISSE实施的案例 本章小结
2
2.1
概
述
信息系统安全工程(ISSE)是对信息系统建设中涉及的 多种要素按照系统论的科学方法来进行操作的一种安全工
14
2.2.2
掌握对信息系统的威胁
对信息系统威胁，是指可以利用信息系统的脆弱性，
可能造成某个有害结果的事件或对信息系统造成危害的潜 在事实。ISSE需要在用户的帮助下，准确、详尽地定义出
在信息系统的设计、生产、使用、维护以及销毁的过程中
可能受到的威胁。 通过分析信息系统的安全需求，找到安全隐患，应该 从以下几个方面入手： (1) 检测恶意攻击。指检测人为的、有目的性地破坏行 为，这些破坏行为分为主动和被动两种。