信息安全体系结构是什么?
信息安全体系结构主要分为技术体系和管理体系两大部分。
1.技术体系
包括物理安全、网络安全、操作系统安全、数据库安全、应用系统安全和终端安全。
(1)物理安全
物理安全即对系统的物理设施、设备或者区域进行保护,防止其受到未授权的访问和误用,物理安全包括设备安全和辐射安全。设备安全是指保护系统所用的设备以防止其受到安全威胁的侵害。对物理设备的安全威胁主要有:地震、火灾、水灾等不可抗拒的环境事故,电源故障造成设备断电以至于操作系统引导失败、数据库信息丢失等意外事故。辐射安全是由电子系统产生的电磁辐射带来的问题。
(2) 网络安全
网络安全是指保护网络系统的硬件、软件及其系统中的数据不受偶然的或恶意的原因而遭受更改、破坏、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全又包括协议安全、通信安全、路由安全等方面。
协议安全是通信双方事先约定好的、必须遵守的规则,是计算机网络通信的基础。协议安全非常重要,黑客可以利用协议本身的缺陷进行入侵攻击。如在TCP/IP的传输层中的用户数据报协议UDP,它是一个无连接协议,虽然具有执行代码少、系统开销小和处理速度快等优点,但却没有严格的认证过程,极易受到拒绝服务型攻击。
网络通信是由通信协议栈实现的,Zui简单的网络通信由通信实体和通信链路组成,通信实体包括信源和信宿。为了完成一次安全的网络通信,必须提供对通信实体与通信链路的完整性、保密性和可用性保护服务,以及对通信行为的审计与追踪服务。这些安全服务需要由各层通信协议进行分工,相互配合才能够得以实现。
路由协议负责接受和传送网络的路由信息,并对这些信息进行处理,从而确定网络中报文到达目的地的地址和zuijia路径。路由协议有可能在传输系统、链路状态、数据库维护三个层次受到威胁。
(3)操作系统安全
操作系统负责对计算机系统的各种资源、运行操作以及使用系统的用户进行管理与控制,是计算机系统功能的执行者和管理者,是所有数据库、中间件、应用程序运行的基础。操作系统的安全是保证信息系统安全的基础,其任何安全的脆弱性和漏洞都有可能会导致信息系统整体的安全脆弱性。
(4)数据库安全
我国《计算机信息系统安全保护等级划分准则》(GB17895-1999)的《中华人民共和国公共安全行业标准》中对数据库安全的定义是:数据库安全就是保证数据库信息的保密性、完整性、一致性和可用性。保密性指保护数据库中的数据不被泄漏和未授权的获取;完整性指保护数据库中的数据不被破坏和删除;一致性指保护数据库中的数据满足实体完整性、参照完整性和用户定义完整性要求;可用性指保证授权用户不因人为或自然因素无法使用数据库中的数据。
(5)应用系统安全
应用系统安全包含两方面的含义,一是防止对应用系统本身的非法访问或使用;二是防止应用系统对支持其运行的计算机系统的安全产生破坏。
(6)终端安全
计算机终端作为信息存储、传输、应用处理的基础设施,其自身的安全性涉及系统安全、数据安全、网络安全等各个方面。由木桶原理可知,网络中任何一个节点的安全防护都有可能影响整个网络的安全。计算机终端由于其分散性、安全手段缺乏且不被重视等原因,已成为信息安全体系中的薄弱环节。
2.管理体系
管理安全分为信息安全技术管理和信息安全行政管理。
(1)信息安全技术管理
包括三个方面:生命周期管理、风险管理和级别管理。
生命周期管理指的是针对信息系统生命周期的各个阶段可能出现的安全问题所进行的必要的安全管理。信息系统生命周期主要包括五个基本阶段,分别为:起始阶段、开发/采购阶段、实施阶段、运行/维护阶段和废弃阶段,其安全管理也分为五个阶段进行。
风险管理是通过对风险的评估,采取适当的步骤将风险消减到可接受水平并且维持这一风险级别的管理。风险管理包括风险评估管理、风险消减管理以及不确定分析管理,其中风险评估管理和风险削减管理是风险管理的重心,而不确定分析管理贯穿于风险管理的整个过程。
级别管理是对信息系统中不同级别的计算机的安全管理。包括核心级计算机安全管理和系统级计算机安全管理两个方面。
(2)信息安全行政管理
由国家相关行政管理部门执行的安全管理。行政管理的具体内容包括:涉密信息系统的安全保密管理、互联网的安全保密管理、移动通信的安全保密管理、对国家秘密载体的安全保密管理、涉密人员的安全保密管理、涉密场所的安全保密管理和安全保密技术研发和应用等方面。
