需求和系统设计阶段的安全设计支持

3.4.4　需求和系统设计阶段的安全设计支持

在这些阶段期间，系统小组完成系统的高层设计并按技术规范形成文档。这些活动随SFR（系统功能评审）而告终，此时系统设计的基线已完成并被批准。应该审核可选择的与提炼的概念级策略相一致的体系方案。例如，如果概念阶段在评估后选择了广域网策略，那么，在其后续的工程设计阶段将涉及多个WAN技术的选择和体系结构的取舍。

前段所描述的活动在这些阶段还要继续下去。物理和功能的体系结构将继续被分解。信息安全工程小组需要保证安全服务强度，不能因为支持这些安全服务的功能被配置而受到削弱。功能分解将一直继续到每个重要的组成单元，以便作出“制造”还是“购买”的决定。

系统集成在过程的早期已经（至少在纸面上）开始。当需求的功能配置给CI时，就要引申出接口控制规范。信息安全工程小组应保证并且在规范下应指出通过这些接口如何实现安全服务，包括扩展到更宽范围的基础设施或业务环境的安全服务。例如，指定必要的标签体系结构，定义协议的标准等。如果系统与网络基础设施相连接，那么这些选择可以完全被确定下来，或者至少部分地被该网络环境中所用的体系结构所约束。通过指定内部和外部接口的安全需求，使得整个系统和互联的各系统之间在实现上保持一致，从而使集成业务变得更加容易。信息安全工程小组还要对系统组件进行验证，这些组件是根据它与安全相关接口的约束条件进行集成和使用的（例如，约束条件是保留可信产品的“密封”，或在与基础设施有关的标准描述的环境假设条件下，使用某一种产品、产品安全轮廓和/或供应商的文献等）。

通常，关于配置项目（CI）是制造还是购买的系统级决策，要基于可推荐产品的层次体系，其范围从优先推荐使用商业销售和得到支持的硬件、软件和固件产品起，不断降低为使用政府指定的现货（COTS）项目、修改的项目直到定制开发的项目。但很少有工程项目可以不做任何针对应用的开发。

制造/购买的决策，需要进行折中分析。信息安全工程小组必须保证总体分析中包括了所有的安全因素，保证基于运行功能和特性、费用、进度表和风险之间平衡的最全面的体系结构。例如，陈述的功能保证等级是由不成熟的CI所提供的，那么就应该考虑购买而不是定制开发。要考虑的因素可能包括制造环境和装运过程，以保证不降低预期的保证等级，或者根据正被开发的CI的敏感性能，保证制造者是经过审查的。

在这些阶段期间，将产生制造/购买的建议。但是，最终决定通常在过程之后作出。如果可能，信息安全工程小组将提供解决方案（或对策），以解决在折中分析期间未包含的负面因素。例如，如果折中分析倾向于买商用软件，但其消极的因素是可能包含潜在的病毒，信息安全工程小组可建议在软件被购进后进行病毒扫描和清除，这样将减少由购买产生的某些安全风险。

为了支持作出制造/购买的折中分析的决定，信息安全工程小组将调查现有产品目录，以确定产品是否满足CI或组件的需求。只要可能，都应该指明一组潜在可行的选择方案而不仅仅是一个候选方案。调查的对象包括可信产品评估目录、信息系统安全产品目录、信息系统安全知识库、供应商产品目录等。在适当的时候，信息安全工程小组也要考虑由工业界或政府先期开发的新技术和新产品，条件是它们的时间表和技术风险是系统开发可接受的。

对产品安全勾画出轮廓，是工程师作出制造/购买决策所必需的。对某些产品，安全评估报告描述了产品的功能、正确使用产品的信息以及产品已知的脆弱点。对现有产品的了解，是形成准确的信息安全工程制造/购买决策必不可少的。对某些产品，有关部门的安全评估报告可以帮助作出决策。在不能得到当前的或现代技术现货设备的安全评估时，由系统项目办事机构（SPO）将新设备或软件与估计的安全特性和风险相关值进行权衡比较后，作出是购买还是定制的决策。