8.7 提供安全輸入（PEN_PSI）

8.7.1　安全保障工程目的

提供安全輸入的目的在于為系統的規劃者、設計者、實施者或用戶提供他們所需的安全信息。這些信息包括安全體系結構、設計或實施選擇以及安全指南。輸入是被開發、分析并加以提供的。同時與基于PEN_ISR“確定安全要求”中定義的安全需求中的適當組織機構成員協調一致。
安全保障工程的目標是：
a) 所有具有安全意義的系統問題都受到評審，并按照安全目標的要求予以解決。
b) 所有項目組成員都要理解安全問題，以使他們各司其職。
c) 解決方法反映出所提供的安全輸入。

8.7.2　PEN_PSI.1 理解安全輸入要求

8.7.2.1　安全工程保障控制組件控制

同設計者、開發者和用戶一起，確保相應部門對安全輸入具有一個共同的理解。
安全工程與其它科目相協調，才能確定安全輸入的類型有助于那些科目。安全輸入包括任何種類的、應被其它科目所考慮的、與安全相關的指南、設計、文檔或思想。輸入可以為多種形式包括文檔、備忘錄、電子郵件、培訓和咨詢。
這樣的輸入基于PEN_ISR“確定安全要求”中確定的需求。例如，一套安全規則可能需要由軟件工程師來開發。同系統相比，某些輸入與環境則更有關系。

8.7.2.2　安全工程保障控制組件注解

保證目標會對特殊安全需求產生影響，尤其是相關性方面的影響。它們也會為安全需求提供附加的調整。在這種情況下，安全工程需要為其它科目提供有關如何提出合適證據的指南。
工作產品示例：
a) 安全工程和其它科目間的協議――定義安全工程將如何把輸入提供給其它科目（例如，文檔、備忘錄、培訓、咨詢）
b) 所需輸入描述――對提供安全輸入的每種機制的標準化定義

8.7.3　PEN_PSI.2 確定安全約束和考慮

8.7.3.1　安全工程保障控制組件控制

確定作出有科學依據的工程選擇所需的安全約束和考慮。
本基本實踐的目的在于確定作出有科學依據的工程選擇所需的所有安全約束和考慮。安全工程組進行分析以決定在需求、設計、實現、配置和文檔方面的任何安全限制和考慮。約束可在系統生命期內的所有時間進行標識。它們也可在許多不同的抽象層上進行標識。注意這些約束或是肯定（總是如此）或是否定（絕不如此）。

8.7.3.2　安全工程保障控制組件注解

這些約束和考慮被用于確定安全選項（PRM_AIM.3）和提供安全工程指南（PRM_AIM.5）。約束和考慮主要來源是PEN_ISR“確定安全要求”中標識的與安全相關的需求。
工作產品示例：
a) 安全設計標準――對整個系統或產品設計作決定時所需的安全約束和考慮。
b) 安全實施原則――用于系統或產品實現（例如，使用特定機制、編碼標準）的安全限制和考慮。
c) 文檔要求――對支持安全要求所需的特定文檔（例如，管理員手冊、用戶手冊、特定設計文件）的標識。

8.7.4　PEN_PSI.3 標識安全選項

8.7.4.1　安全工程保障控制組件控制

標識與安全相關的工程問題的解決辦法。
本基本實踐的目的在于標識出與安全相關的工程問題的解決辦法選項。這一過程是反復進行的，把與安全相關的要求轉化到實現中。這些解決辦法可以多種形式提供，如體系結構、模型和原型。本基本實踐涉及與安全相關的需要進行分解、分析和重組，直到標識出有效的具有比較性的解決辦法。

8.7.4.2　安全工程保障控制組件注解

解決辦法選項包括體系結構、設計和實現方法。在確定安全約束和考慮后這些安全選項應與所標識的約束和考慮協調一致（PRM_AIM.2（標識系統資產））。這些選項也作為折衷比較的一部分（PRM_AIM.4）。這一活動是與提供安全工程指南（PRM_AIM.5（標識和特征化影響））有關系的，一旦擇優選定了選項，對其它工程科目的指南也是必需的。
工作產品示例：
a) 系統體系結構的安全思想――以能滿足安全要求的方式，從理論層次上描述系統體系結構中各關鍵元素間的關系
b) 安全設計文件――包括系統資產和信息流的細節，以及具有強制性安全或與安全相關的系統功能的描述
c) 安全模型――對系統強制性安全策略的一個形式上的說明文獻，必須標識控制一個系統如何管理、保護和發布信息的一套規則和實施；這些規則有時也以精確的數學術語來表示[NCSC88]
d) 安全體系結構――集中于系統體系結構的安全方面，描述與系統安全有關的規則、基本概念、功能和服務
e) 信任分析（防護關系和依賴性）――描述安全服務和機制間如何相互關聯，并如何相互協調，以產生對整個系統行之有效的安全保證；確定補充防護措施所需的區域。

8.7.5　PEN_PSI.4 分析工程選項的安全性

8.7.5.1　安全工程保障控制組件控制

利用安全制約和考慮來分析和區分工程選項的優先級。
本基本實踐的目的在于分析和區分工程選項的優先級。當決定安全約束和考慮后（PRM_AIM.2（標識系統資產）），利用標識的安全約束和考慮，設計組可以評估每個工程選項并提出對工程組的建議。安全工程組同樣應考慮其它工程組的工程指南。
這些工程選項不受所標識的安全選項的限制（PRM_AIM.3（選擇影響的度量）），但也可以包括來自其它科目的選項。

8.7.5.2　安全工程保障控制組件注解

無。
工作產品示例：
a) 比較研究結果和建議——包括考慮了對PRM_AIM.2中提供的安全約束和考慮因素的所有工程選項的分析
b) 端端比較研究結果——整個產品、系統或過程的生命期中各種選擇的結果，集中于安全要求已被降低以滿足其它目標（例如，成本、功能性）的區域。

8.7.6　PEN_PSI.5 提供安全工程指南

8.7.6.1　安全工程保障控制組件控制

向其它工程組提供與安全相關的指南。
本基本實踐的目的在于，開發出與安全相關的指南，并把它提供給工程組。安全工程指南被工程組用于作出有關體系結構、設計和實現選擇決定。

8.7.6.2　安全工程保障控制組件注解

所需指南的數量和具體內容取決于安全知識、經驗和對其它工程科目的熟悉程度。在很多情況下，大量的指南都與開發環境而不是與開發中的系統有關。
工作產品示例：
a) 體系結構建議――包括能支持可滿足安全要求的系統體系結構的約束和開發規則。
b) 設計建議――包括指導系統設計的規則或約束
c) 實現建議――包括指導系統實現的規則或約束
d) 安全體系結構建議――包括定義系統安全特性的規則或約束
e) 保護的哲學――對如何強化安全，包括自動的、物理的、個人的以及管理機制的高層次描述
f) 設計標準、哲學、規則――關于系統如何設計的約束（例如，最少的特權、隔離安全控制）
g) 編碼標準――關于系統如何實現的約束

8.7.7　PEN_PSI.6 提供運行安全指南

8.7.7.1　安全工程保障控制組件控制

為運行系統的用戶和管理員提供與安全相關的指南。
本基本實踐的目的在于，開發與安全相關的指南并提供給系統用戶和管理員。本運行指南告訴用戶和管理員在以安全模式進行安裝、配置、運行和淘汰系統時必須做些什么。為確保這一可能性，運行安全指南的開發應在生命期內提早開始。

8.7.7.2　安全工程保障控制組件注解

開發環境被考慮為進行系統開發的一個運行環境。
工作產品示例：
a) 管理員手冊――描述系統管理員以安全模式安裝、配置、運行和淘汰系統的功能和特權
b) 用戶手冊――描述使用戶使用的指南以及系統提供的安全機制
c) 安全輪廓――安全環境（威脅、組織策略）；安全目標（例如：被對抗的威脅）；安全功能和保證需求；開發能滿足目標需求的系統合理性
d) 系統配置指令――確保運行能滿足安全目標的系統配置指令