軟件系統如何評估安全性

1. 確定敏感資源：首先要確定要確保哪些資源的安全。系統所有的安全性都需要由關鍵的關注點來驅動。

2. 定義安全策略：通過安全策略定義誰應該被信任、對哪些系統資源做出什么樣的訪問（以及所有在這種訪問上的約束，如限制在特定的時間段或者每周特定的幾天）、系統需要確保的完整性，以及訪問敏感資源時所需要的可說明性。策略一般應該根據資源和用戶的分組來定義（通常基于組織的單元和角色），而不是列舉大量特定的情況。并且注意策略不是設計，因此它需要定義哪種訪問會提供給誰，而不是定義如何到達這種訪問方式。

3. 識別對系統的威脅：識別出對安全策略可能存在的威脅。識別威脅清晰地定義了需要保護什么，以及需要針對什么威脅來保護。

4. 設計安全實現：設計系統范圍的安全性基礎架構，從而可以在面臨威脅模型中的風險時執行系統安全策略。這個步驟中，要考慮使用特定的安全技術，像單點登錄系統、網絡防火墻、SSL通信鏈接安全性、加密技術、策略管理系統等。

5. 評估安全風險：為系統設計好安全性基礎架構之后，需要重新評估風險，考慮安全性基礎架構是否達到了可接受的成本和風險之間的平衡。

回答所涉及的環境：聯想天逸510S、Windows 10。