分析階段

分析階段將對調查階段的文檔進行研究。在調查階段，開發小組對現存的系統安全策略或安全計劃方案進行初步的分析，并記錄了當前的威脅和相關的控制。該階段也對有關的法規進行了分析，這些法規將影響安全解決方案的設計。 在決定是否采用那些用于管理公眾個人信息的系統時，隱私法越來越成為主要的考慮因素。最近，許多國家的立法機構已把那些過去不受任何管制的某些計算機活動定為不合法，因此詳細地理解這些法規是至關重要的。

風險管理也在該階段開始。風險管理過程主要是識別、評定、估計機構所面臨的風險等級，特別是對機構安全和他所存儲加工的信息的威脅。中國的兵法大師孫子的話值得我們深思：知己知彼，百戰不殆；不知彼而知己，一勝一負；不知彼不知己，每戰必敗。

把了解敵人作為分析過程的開始。在信息安全工作中，敵人就是系統面對的威脅和攻擊，特別是當給機構和用戶提供服務的時候。

為了更好地理解安全系統開發生命周期( SecSDLC)的分析階段，應當了解相互聯系的信息技術領域內機構所面對的各種威脅。在這種環境下，威脅可以是一 個對象、一個人或其他的實體，它們都帶給資產持續的危險。盡管每個企業對威脅的分類幾乎都不同，但他們都對其做了相對較好的研究和理解。為了更好地理解機構所面對的大量威脅，需要對威脅的活動特點進行分類。該模型由12個一 般分類組成，它們代表了現在對機構信息和系統安全的各種威脅，下面分別列出了每一種風險。

人為出錯或失敗。這類風險并不是有人故意為之或懷有惡意。當人們操作信息系統時，一些錯誤時有發生；缺乏經驗，訓練不當，做出了錯誤的假設以及其他的情形都可能導致這些問題。

損害知識產權。知識產權所有者有權控制屬于他的知識，也有權控制它們的有形或無形的代表物。與一個機構的知識產權有關的信息對于該機構的競爭者來說具有很大的利益，因而這些信息有可能被意外地或故意地散布到機構之外。

故意的偵探和入侵行為。這種威脅包括多種電子入侵活動和人為破壞，它們能破壞信息的機密性。當未授權者獲得了一個機構被保護信息的訪問權，這種行為就是故意的偵探和入侵行為。

故意的信息敲詐行為。信息敲詐一般發生在這樣一種情形，系統攻擊者或是以前受信任的內部人員從計算機系統中偷竊信息，并要求補償以與之交換，或者， 威脅該機構達成某種協議否則泄露此信息，這種事件在信用卡號碼被盜案中時有發生。

故意的惡意破壞行為。這種威脅來于_些個人或機構的惡意破壞活動，這些人或者陰謀破壞計算機系統或業務的正常操作，或者故意毀壞企業資產，損害企業形象。這些威脅有的來自員工的小規模破壞，有的是機構外的個人或機構的Web網頁破壞活動。

蓄意的盜竊行為。盜竊是指非法獲取他人財產，不管是實物財產、電子財產還是知識產權。

故意的軟件攻擊。故意的軟件攻擊一般發生在當某個人或機構設計出一種軟件（通常叫做惡意代碼或惡意軟件）去攻擊有漏洞的系統。一些較為普通的惡意代碼有諸如病毒，蠕蟲，特洛伊木馬，邏輯炸彈和后門程序等。

服務供應商的服務質量偏差。此類威脅主要是產品或服務質量未能達到預期要求。機構的信息系統安全要依靠多個獨立支持系統的成功運作，他們主要包括電網、電信網絡、部件供應商、服務供應商甚至于門衛和垃圾搬運工。