摘要
信息安全产品标准的开发涉及到确定威胁、确定组织安全策略和假设、确定安全目的、标识安全功能要求、选择评估保证级别(evaluationassurancelevel,EAL)、验证一致性和完备性等方面,需要对产品进行复杂性分析,熟悉产品使用环境以及产品可能面临的威胁,因此开发信息安全产品标准的过程可视为一个系统安全工程。提出采用系统工程的思想,依据系统安全工程能力成熟模型(systemssecurityengineeringcapabilitymaturitymodel,SSE CMM)提出的一套成熟的工程过程来指导信息安全产品标准的开发,以提高产品标准开发过程的可预见性,提高所开发的产品标准的质量,确保目标与实际结果的一致性。
The development of information security product standards is a complex system engineering, requiring difficult engineering decisions, complex analyses, and detailed knowledge about the intended environment and use for a product or system. In order to improve the quality of product standard, a new method to develop information security product standard according to a set of maturity engineering process in the SSE-CMM is introduced.
出处
《系统工程与电子技术》
EI
CSCD
北大核心
2004年第3期345-347,共3页
Systems Engineering and Electronics
基金
国家"863"高技术计划基金资助课题(2002AA143040)
关键词
系统工程
信息安全
标准
安全评估
system engineering
information security
standard
security evaluation
