29、构建系统级整体安全需求规范的模块化防护措施

构建系统级整体安全需求规范的模块化防护措施

1. 引言

安全需求作为一般系统需求的特殊类型，是表达（电信）服务或产品（即系统的系统）预期安全水平的既定方式。这些安全需求是满足市场需求的安全产品的重要基石。虽然大家都认同安全需求的必要性，但实际情况中，安全需求往往是安全专家在或多或少进行风险分析等准备工作后“灵光一现”的结果，最终依赖专家的“创造力”来确定。

从实际角度看，这种方式存在诸多问题：
- 假设项目中有安全专家参与，但安全专家资源稀缺，只有安全关键项目才能得到足够关注。而且即使有专家，他们也可能时间紧迫，难以制定出可靠的需求规范。
- 假定最终的安全需求足够详细、明确，且易于开发者理解，同时希望安全需求足够统一以促进通用和可复用的安全解决方案。但实际并非如此。

因此，我们开发了一种方法，将一组特定且相对原子化的模块化安全防护措施组合成整体的安全需求配置文件。这些配置文件考虑了模块化防护措施之间的相互依赖和协同作用，并辅以更高级别的组织安全机制。

2. 当今安全需求工程

描述信息系统的良好安全需求有时被认为介于工程和艺术之间，因为通常需要大量的创造力。不过，将创造力封装在明确定义的领域并采用结构化的工程流程是很有必要的。以下是几种常见的方法及其实践问题：
|方法类型|具体方法|优点|缺点|
| ---- | ---- | ---- | ---- |
|Common Criteria (CC)|提供模块化的需求集，覆盖范围广，编写良好且易于理解|时间和专业知识稀缺，难以组合防护措施，需大量安全架构技能解决类间依赖，无明确接口与早期安全需求评估对接|
|“整体方法”|如NIS