2.安全需求分析的過程

信息系統(tǒng)安全需求的分析過程，由于具體實(shí)現(xiàn)存在區(qū)別，但是總的來說主要有以下幾個基本的步驟：

1)系統(tǒng)調(diào)查

了解信息系統(tǒng)所處的安全環(huán)境（存在于系統(tǒng)邊界之外并對系統(tǒng)的安全具有潛在的或直接影響的所有因素）及其它與安全相關(guān)的信息，例如用戶、組成部件、運(yùn)行機(jī)制及與其他系統(tǒng)的連接情況等等。在此基礎(chǔ)上確定需要保護(hù)的資產(chǎn)，其中可能包括硬件、軟件、數(shù)據(jù)、文檔和計(jì)算機(jī)服務(wù)等等，并評價各個資產(chǎn)的相對價值。

2)定性分析系統(tǒng)的脆弱點(diǎn)和可能遭受的安全威脅

這一步驟比第一步更加困難，因?yàn)樗枰欢ǔ潭鹊南胂螅灶A(yù)測資產(chǎn)可臺旨受到的損害及損害來自何方。系統(tǒng)脆弱點(diǎn)和安全威脅是兩個互相依存的概念：沒有威脅，就無所謂脆弱點(diǎn)；沒有脆弱點(diǎn)，威脅也就不稱其為“威脅”。所以當(dāng)系統(tǒng)的脆弱點(diǎn)被確定后，就需要針對每個脆弱點(diǎn)分析由此可能引發(fā)的安全威脅及其對資產(chǎn)可能造成損害的程度。