分析階段

分析階段將對調(diào)查階段的文檔進(jìn)行研究。在調(diào)查階段，開發(fā)小組對現(xiàn)存的系統(tǒng)安全策略或安全計劃方案進(jìn)行初步的分析，并記錄了當(dāng)前的威脅和相關(guān)的控制。該階段也對有關(guān)的法規(guī)進(jìn)行了分析，這些法規(guī)將影響安全解決方案的設(shè)計。 在決定是否采用那些用于管理公眾個人信息的系統(tǒng)時，隱私法越來越成為主要的考慮因素。最近，許多國家的立法機構(gòu)已把那些過去不受任何管制的某些計算機活動定為不合法，因此詳細(xì)地理解這些法規(guī)是至關(guān)重要的。

風(fēng)險管理也在該階段開始。風(fēng)險管理過程主要是識別、評定、估計機構(gòu)所面臨的風(fēng)險等級，特別是對機構(gòu)安全和他所存儲加工的信息的威脅。中國的兵法大師孫子的話值得我們深思：知己知彼，百戰(zhàn)不殆；不知彼而知己，一勝一負(fù)；不知彼不知己，每戰(zhàn)必敗。

把了解敵人作為分析過程的開始。在信息安全工作中，敵人就是系統(tǒng)面對的威脅和攻擊，特別是當(dāng)給機構(gòu)和用戶提供服務(wù)的時候。

為了更好地理解安全系統(tǒng)開發(fā)生命周期( SecSDLC)的分析階段，應(yīng)當(dāng)了解相互聯(lián)系的信息技術(shù)領(lǐng)域內(nèi)機構(gòu)所面對的各種威脅。在這種環(huán)境下，威脅可以是一 個對象、一個人或其他的實體，它們都帶給資產(chǎn)持續(xù)的危險。盡管每個企業(yè)對威脅的分類幾乎都不同，但他們都對其做了相對較好的研究和理解。為了更好地理解機構(gòu)所面對的大量威脅，需要對威脅的活動特點進(jìn)行分類。該模型由12個一 般分類組成，它們代表了現(xiàn)在對機構(gòu)信息和系統(tǒng)安全的各種威脅，下面分別列出了每一種風(fēng)險。

人為出錯或失敗。這類風(fēng)險并不是有人故意為之或懷有惡意。當(dāng)人們操作信息系統(tǒng)時，一些錯誤時有發(fā)生；缺乏經(jīng)驗，訓(xùn)練不當(dāng)，做出了錯誤的假設(shè)以及其他的情形都可能導(dǎo)致這些問題。

損害知識產(chǎn)權(quán)。知識產(chǎn)權(quán)所有者有權(quán)控制屬于他的知識，也有權(quán)控制它們的有形或無形的代表物。與一個機構(gòu)的知識產(chǎn)權(quán)有關(guān)的信息對于該機構(gòu)的競爭者來說具有很大的利益，因而這些信息有可能被意外地或故意地散布到機構(gòu)之外。

故意的偵探和入侵行為。這種威脅包括多種電子入侵活動和人為破壞，它們能破壞信息的機密性。當(dāng)未授權(quán)者獲得了一個機構(gòu)被保護(hù)信息的訪問權(quán)，這種行為就是故意的偵探和入侵行為。

故意的信息敲詐行為。信息敲詐一般發(fā)生在這樣一種情形，系統(tǒng)攻擊者或是以前受信任的內(nèi)部人員從計算機系統(tǒng)中偷竊信息，并要求補償以與之交換，或者， 威脅該機構(gòu)達(dá)成某種協(xié)議否則泄露此信息，這種事件在信用卡號碼被盜案中時有發(fā)生。

故意的惡意破壞行為。這種威脅來于_些個人或機構(gòu)的惡意破壞活動，這些人或者陰謀破壞計算機系統(tǒng)或業(yè)務(wù)的正常操作，或者故意毀壞企業(yè)資產(chǎn)，損害企業(yè)形象。這些威脅有的來自員工的小規(guī)模破壞，有的是機構(gòu)外的個人或機構(gòu)的Web網(wǎng)頁破壞活動。

蓄意的盜竊行為。盜竊是指非法獲取他人財產(chǎn)，不管是實物財產(chǎn)、電子財產(chǎn)還是知識產(chǎn)權(quán)。

故意的軟件攻擊。故意的軟件攻擊一般發(fā)生在當(dāng)某個人或機構(gòu)設(shè)計出一種軟件（通常叫做惡意代碼或惡意軟件）去攻擊有漏洞的系統(tǒng)。一些較為普通的惡意代碼有諸如病毒，蠕蟲，特洛伊木馬，邏輯炸彈和后門程序等。

服務(wù)供應(yīng)商的服務(wù)質(zhì)量偏差。此類威脅主要是產(chǎn)品或服務(wù)質(zhì)量未能達(dá)到預(yù)期要求。機構(gòu)的信息系統(tǒng)安全要依靠多個獨立支持系統(tǒng)的成功運作，他們主要包括電網(wǎng)、電信網(wǎng)絡(luò)、部件供應(yīng)商、服務(wù)供應(yīng)商甚至于門衛(wèi)和垃圾搬運工。