信息系统安全方案模版.doc

信息系统安全解决方案 1．1什么是安全保障体系 我们在本书讨论安全保障体系是因为安全保障体系是解决信息系统安全方案的基础。若想构造一个安全的信息系统需要做许多工作，信息系统安全保障体系必须从安全的各个方面进行综合考虑。 构建安全保障体系已经成为非常重要的一项工作。 安全保障体系目前对一个信息系统而言变得越来越重要，引起了人们的广泛关注，只有有了的安全保障体系才能指导人们进行安全设计。对于不同的信息系统其安全保障体系有所不同，我们这里所讨论的是一般情况下的信息系统的安全保障体系。 目前，对安全保障体系的研究很多，也有许多不同看法。这里我们讨论的安全保障体系仅供参考。 信息系统安全保障体系一般来讲应由三大部分构成： 安全保障体系的核心是人，人在安全保障中是第一位的，也是最脆弱的环节。克服人的脆弱性最主要的方法是安全意识的教育和安全技能的培训以及组织安全、人员安全管理和技术安全管理。在我国信息安全技术还比较落后的情况下，加强安全管理、安全培训、安全教育是一个十分迫切需要解决的问题。安全法律法规的建设和教育也是非常重要的方面。当然，在新的形式下如何搞好人员安全也是我们面临的新的课题。 物理安全是最容易被人们接受的一项安全措施，但是也是最不容易解决的问题。 安全是一个复杂的系统工程，它是多学科的综合工程，人是其中的重要因素之一，特别对信息系统的信息保障而言，人是那些重要因素中的关键因素。鉴于上述情况，安全管理也是安全保障体系中不可缺少的一个重要组成部分。随着信息系统的飞速发展和广泛应用，安全管理变得越来越重要，国际标准化组织（ISO）已经制定了相应的国际标准——ISO-17799。该标准详细规定了安全管理得各个方面，我们将在后面进行详细介绍。 安全保障体系是一个多层次、纵深的防御体系，它不仅要解决人的问题，也要解决信息安全的技术问题和运行的安全问题。因此，安全保障体系的第二个因素就是技术。信息安全技术不仅要体现主动防御和被动防御相结合的原则，还要体现安全技术和安全管理相结合的原则。 安全技术包括：信息保障技术框架、安全标准、法律法规、评估和认证、风险分析和评估、认证和鉴别等。我们在以后的讨论中将会更深入论述信息保障技术框架。 还要综合采用各种信息安全技术以防止一种技术被攻破不会危及全系统使全系统崩溃。 在安全保障体系中采用先进有效的安全技术是十分必要的，随着信息安全技术的不断发展，防御技术的不断提高，安全技术在安全保障体系中的重要性将会越来越明显。 由于安全的特点是对抗性非常强，使得安全的相对性和多变性特别突出。因此，加速开发信息安全技术在安全保障体系的建设中是不可忽视的重要问题。 在安全保障体系中采用的安全技术一般情况下包括： ·加解密技术 ·防火墙与访问控制技术 ·识别与鉴别技术 ·防病毒技术 ·入侵检测与防范技术 ·安全性测试与评估技术 ·内容监控与侦控技术 ·安全管理 ·安全审计 ·物理安全 上述所列的安全技术将会随着技术的不断发展会有新的内容出现。 安全保障体系的另一个人们关注的因素是系统运行安全。 系统运行安全体现了全生命期的安全风险管理。 它包括：安全评估、安全监测、安全报警、入侵检测、病毒防范、响应和恢复等。 安全保障体系目前对一个信息系统而言变得越来越重要，引起了人们的广泛关注，只有有了信息系统的安全保障体系才能指导人们对系统进行安全设计。 1．2安全保障体系的内容 正如前面已经提到的安全保障体系是一个复杂的系统工程，它综合了多种学科，它是系统工程的具体体现。 系统工程有一个过程，如下图所示。 图1系统工程 系统工程有其方法论，安全工程也有自己的方法论和工程原理，那就是我们经常说的信息系统安全工程（ISSE）。由于信息系统安全工程已经在第二篇有了专门的论述，在这里就不在论述。 通过一系列的标准和控制、安全管理、人的知识和经验，通过培训和沟通，利用相应的开发工具使要求或问题变成产品输出。 图2系统工程关键项 图二给出了系统工程的关键项。这些项明显的体现了以用户为中心，以人为本的的精神。 我们反复介绍系统工程的目的是使读者不要忘记以系统工程的思想来指导信息系统安全的各项工作。 21世纪信息系统安全已经从信息安全发展成为信息保障这一新的概念，这一概念是由美国国家安全局提出的一种新的概念并提出了信息保障技术框架，目前该框架已经发展到V2.0版本。 我们知道，以往我们所说的信息安全一般包括四大部分：IT安全、物理安全、人员安全和程序安全。 其中： IT安全中包括： 计算机安全、电磁辐射安全、密码安全、网络安全和传输安全。 物理安全包括： 安全区的划分、设备的物理安全、出入口的控制、安全问题的检测方法、安全标记等。 人员安全包括： 设置人员安全屏障、人员的安全定位、人员的应知程序、安全责任的划