10.1 安全工程流程

10.1　安全工程流程

信息系統安全工程的全部流程可被劃分為5個階段，即：起始、設計、建設、運行和維護、廢棄。安全保護的各級安全工程要求體現在安全過程的部分或全部階段中。需求方可以選擇某些關鍵節點對安全工程要求實現與否進行審核，這些審核的結果一般會對整個安全工程的品質產生較為重要的影響。審核通常可以安排在設計階段末，以及建設階段的驗收期。

10.1.1　起始階段

10.1.1.1　中長期規劃

信息系統的需求方應根據市場要求，結合自身的應用目標、需求程度以及建設規劃的具體要求，以市場發展總體規劃為主要依據，編制信息系統安全工程的中長期規劃。
中長期規劃應作為具體建設項目立項的主要依據。

10.1.1.2　項目立項

需求方應根據系統構建情況，對信息系統安全風險進行分析，得出清晰明確的安全需求。需求方應根據安全需求，結合工程建設總投資和資金來源、質量、人力資源和對業務成功起重要作用的問題的考慮，經過可行性研究之后，向主管部門或者投資者申報信息系統安全工程的立項。
投資者可委托專家組對項目立項報告進行評審。
立項項目應作為將來系統建設流程生成的要求文檔和規范的出發點。

10.1.1.3　方案的初步確立

在方案的初步確立中，需求方應該確定安全保證目標，并為所有保證目標定義一個安全保證策略；識別并控制安全保證證據，和對安全保證證據進行分析；確定的草案必須能提供證明顧客安全需求得到滿足的安全保證性論據。
具體操作上，投資方可利用招投標的形式，借助應標者和開發者的方案，來豐富備選方案，進而初步確定建設方案。
初步方案應調研與系統工程有關的所有問題，如系統開發、生產、運行、支持、認證，如果有問題間的沖突，都需要解決。

10.1.1.4　需求分析

在需求分析中，各方應進一步發展上一階段得出的系統需求和概念，總結出一份正式的系統需求報告，為系統的設計和測試做好準備。該報告應包括系統所有的需求指標，包括針對信息系統的風險威脅進行相應的安全防護措施需求列表。
風險分析是確定信息系統具體安全需求的重要手段，在需求分析中應突出對信息系統的安全風險評估。
需求分析應由需求方和開發者共同完成，各方應就系統的安全要求形成一致的理解，對系統需求達到共識。需求分析通常在信息系統建設中出現，也有可能在重大的系統修改中出現。
需求分析中應周全地考慮法律、策略、標準、外部影響和約束的因素，識別系統的用途以確定其安全的關聯性，明確系統運行的面向安全的總體指導思想，獲取安全的高層目標定義和與系統安全相關的需求，并保證需求的完備性和一致性，最終達成滿足顧客要求的安全協議。
需求分析中，各方應對所選中的系統方案繼續論證，得到更為具體的系統建設方案。系統工程有關的所有問題都應考慮到，且各問題間的關系也應理順。

10.1.2　設計階段

在設計階段中，應針對本信息系統的安全需求設計安全防護解決方案，建立全新信息系統安全機制。本階段的目的是：完成系統的頂層設計、初步設計和詳細設計，決定組成系統的配置項，定下系統指標。本階段應由開發者委托設計者，或由開發者自己完成。設計方案應經過投資方以及專家組的評審。
設計方案應能深刻理解網絡現狀并能提供直接的解決方案，應從技術和管理兩個方面進行考慮，應是管理制度和網絡解決方案的結合。按照業務系統構建和信息流動的特點，可從五個層次對信息系統進行安全工程設計：物理安全、網絡安全、系統安全、應用安全和管理安全。
設計者、開發者和需求方應一起確保相應部門對安全輸入有一個共同的理解，做出有科學依據的工程決策所需的所有安全約束和考慮，標識出與安全相關的工程問題替換解決方法，利用安全約束和考慮因素對工程的比較方案進行分析并區分優先級，并提供安全工程指南和安全運行指南供建設及其后階段其他工程組參考。
本階段的任務還包括挑選合適的供貨商。首先，需求方和設計者應先確定應由其它外部組織提供的系統組件或服務；然后標識在特定領域中具有專門技術的供應商，在考慮供應商的能力時應該包括具備資質條件、勝任開發過程、制造過程、驗證責任、及時交付、生命期支持過程，以及遠程有效通信能力，上述能力應符合本組織的各項要求；最后以合乎邏輯和公平的方式選擇供應商以滿足產品的目標。
面對眾多的硬件商、系統軟件商、數據庫廠商、應用軟件商，其產品和服務的開放性、兼容性、可擴展性和可維護性是考察的一個重要標準。安全產品和供應商的正確選擇需要考慮技術方案的正常實施，安全功能的正確實現，安全目標的如期達到。在安全產品選擇和采購等方面要采取資質保證的方法，選擇時要求其產品必須符合國家各方面的相關規定，擁有相應的證書。同時安全產品的后期服務與升級也應是考慮安全產品的一個重要因素。

10.1.3　建設階段

10.1.3.1　工程建設和系統開發

在本階段中，應根據詳細設計方案對信息系統進行工程建設實施和系統開發。
在開始工程實施前后，實施方應向需求方提交相應文檔資料，直到工程移交。這些文檔主要包括：工程實施計劃、工程進度安排、工程進展狀況、工程問題報告、工程解決方案等工程資料。

10.1.3.2　測試

信息系統安全工程在建設中和建成之后都應通過各種相關測試和質量測量。
a) 建設中的測試
系統工程建設中，實施者應對工程進展中安裝的設備或產品“邊建設邊測試”，以評估產品是否能符合需求方或工程的要求；項目所使用的系統工程過程的質量同樣也應進行測量。測試和測量的內容應作詳細的工作文檔記錄，這些文檔包括工程測試方法、測試結果、測試指標結果等。
應對產品、過程和項目執行所獲得的測試和測量數據進行仔細檢查進而找到問題的原因，并將這些信息用于改進產品和過程的質量；應分析質量測量結果，以對質量改進或操作改進方面提出適當的開發性建議；在確定和報告質量問題時應得到所有相關人員的參與，發起指出已確定的質量問題或質量改進機會的有關活動，并建立一種或一套機制來檢測過程或產品中的修正行為。產品測試過程可由供貨商和承建者共同完成，對于產品質量上的問題，應由承建者和設備銷售人員雙方全面負責，及時加以解決。
b) 移交測試
在系統建設完成之后，在開通和交付需求方驗收、使用之前，應進行總體測試。
承建者應作好各項準備工作，包括用戶設置、網絡配置、操作注意事項等；需求方則應提供行政上的支持，包括召集相關單位技術人員配合工作，傳輸通道管理技術人員協同實施問題。
在移交測試中，應由開發者和承建者共同擬定測試內容、測試指標、測試結果說明、測試儀器及方法等內容，并報告給需求方和投資者審查通過。
移交測試的結果應經過需求方方審查，若其中有未達到要求之項目，應按相關合同條款檢查，按雙方商定的結果執行下一步解決辦法。
c) 試運轉測試
試運轉測試期間，承建者應觀察記錄產品的各項功能實施情況，并主要對以下問題進行測試及觀察，包括：
1) 交換機等核心設備各項功能在運轉時情況；
2) 服務器各項功能在運轉時狀況；

10.1.3.3　驗收

系統驗收前應先進行系統的測試和試運行，并且有詳細的文檔記錄。
驗收應該根據詳細設計書及相關部門頒發的有關文件、各專業的設計規范、建設規范和驗收規范。
信息系統安全工程的驗收應在主管部門的主持下，按照以下程序完成：
a) 需求方向相應的主管部門提出驗收申請；
b) 主管部門委托國家授權的信息安全測評機構對申請驗收的信息系統實施系統安全性測評并提出測評結論；
c) 在主管部門主持下，召開系統驗收會議，參加單位一般包括需求方、投資者、承建者、安全工程監理方等。

10.1.4　運行和維護階段

在運行和維護階段，信息系統開始投入使用，直到信息系統被最終廢棄。
在本階段中，應保持安全工程照常發揮作用，確保系統安全得到維護，包括處理系統在現場運行時的安全問題，以及采取措施保證系統的安全水平在系統運行期間不會下降。
轉入運行和維護階段的系統應在安全運行維護、安全管理執行、應急響應體系、專業安全服務等主要方面保證信息系統的安全功能正確實現。
建立配置的管理方法是安全運行維護的主要內容。首先應確定構成基線的配置單元，并建立和維護一個關于工作產品配置的信息庫，對已建立的配置項的變化進行控制，包括跟蹤每個配置項的配置（如需要批準新的配置，應更新系統的基線）；配置管理中應為開發者、需求方和其它受影響的團體提供配置數據和狀況的訪問權利，在狀況發生變化時，應將配置數據狀況告訴相關的部門或人員。
應通過預防措施和恢復控制相結合的方式，建立信息系統安全應急響應體系，使由意外事故（如：自然災害、事故、設備故障和故意行為）引起的破壞減少至可接受的水平。

10.1.5　廢棄階段

計算機系統生命周期的廢棄階段涉及到信息、硬件和軟件的處置。信息可轉移到其它系統、存檔、丟棄或銷毀。當存檔信息時應考慮未來取回信息的方法。用于創建記錄的技術在未來可能無法隨時獲得。
硬件和軟件可被出售，贈送或丟棄。除了一些包含保密信息的存儲介質只有用銷毀的方式清除以外，很少有硬件需要被銷毀。如果有必要的話，軟件的處置應遵循許可證和其它與開發商的協議。一些許可證是針對站點的或包含防止軟件被轉移的其它協議。也可能要采取措施對數據進行加密以便將來使用，如采取適當的步驟確保對密鑰的長期和安全存儲。