安全(Security)设计原则（3）

Life Cycle Security /生命周期安全

生命周期安全涵盖的安全原则是：从系统生命周期的视角，覆盖了从初始实现系统安全到持续维护系统安全所需要的一些原则，这些原则有助于系统的可理解性、可维护性、完整性。

1. Repeatable and Documented Procedures /可重复的文档化流程

可重复的文档化流程原则是指：系统组件（或某个工作产品，如：测试结果）被安全构建之后，可以在需要的时候，根据流程（包括相应的技术、方法）再次被重新构建。

可重复的文档化流程应用在系统生命周期的各个阶段，可以提高对工作产品及系统组件的检查能力、可以帮助评价安全声明的合适性。

可重复的文档化流程，例如包括：代码开发及评审流程；配置管理流程；产品交付流程等。

汽车功能安全标准ISO26262 “Part 8-7 配置管理”中，定义了配置管理流程的目标之一是：to ensure that the work products, items, elements and the principles and general conditions of their creation can be uniquely identified and reproduced in a controlled manner at any time. 这里的reproduce，与本原则相似。

2. Procedural Rigor /流程严格性

流程严格性原则是指：系统安全生命周期内所采用的流程严格性程度需要与其可信度匹配。

完善和严格流程可以确保系统在多个方面的正确性，如：

系统设计开发和修改流程，可以确保系统未引入非预期功能。

工程活动产生的需求、设计等规范，可以帮助理解系统。（而不是依靠可能会产生误导的、复杂的代码来理解系统）

清晰全面的需求及设计规范，为系统维护和修改提供了更好支持。

3. Secure System Modification /安全系统的修改

安全系统的修改原则是指：安全系统在修改时，仍然需要维持其安全性。

系统的升级和修改，可能会把”安全系统”转化为”不安全系统”。

系统修改时需要确保系统维持了其可信性，为此：系统变更应遵循与该系统初始开发时所采用的一样严格性级别的流程；系统修改前，需要仔细地安全分析。

注：该原则与【安全设计原则(1)】中的”演化性”原则类似。

4. Sufficient Documentation /充分文档化

充分文档化原则是指：应向与系统交互的人员提供充分的文档化信息，以便这些角色能有助于而不是降低系统的安全性。

设计系统时，尽管考虑了”人为因素”和”用户可接受”等设计原则（注：这两个原则的说明，参照【安全(Security)设计原则（2）】），但很多时候系统本身是复杂的，如何安全地使用系统并不那么直观。使用系统时由于疏忽或执行错误，可能引入新的漏洞。

因此：为操作系统的人员提供随时文档指导和及时培训，可以有助于持续地保护&维护系统的安全性。