信息安全保障系统一般简称为信息安全系统,它是“信息系统”的一个部分,用于 保证“业务应用信息系统”正常运营。现在人们已经明确,要建立一个“信息系统”,就 必须要建立一个或多个业务应用信息系统和一个信息安全系统。信息安全系统是客观的、 独立于业务应用信息系统而存在的信息系统。
我们用一个“宏观”三维空间图来反映信息安全系统的体系架构及其组成,如图22-3所示。
X 轴是“安全机制”。安全机制可以理解为提供某些安全服务,利用各种安全技术 和技巧,所形成的一个较为完善的结构体系。如“平台安全”机制,实际上就是指的安 全操作系统、安全数据库、应用开发运营的安全平台以及网络安全管理监控系统等。
Y 轴是 “OSI 网络参考模型”。信息安全系统的许多技术、技巧都是在网络的各个 层面上实施的,离开网络,信息系统的安全也就失去意义。
Z 轴是“安全服务”。安全服务就是从网络中的各个层次提供给信息应用系统所需 要的安全服务支持。如对等实体认证服务、访问控制服务、数据保密服务等。
由 X、Y、Z 三个轴形成的信息安全系统三维空间就是信息系统的“安全空间”。 随着网络逐层扩展,这个空间不仅范围逐步加大,安全的内涵也就更丰富,达到具有认 证、权限、完整、加密和不可否认五大要素,也叫作“安全空间”的五大属性。
1. 安全机制
第一层:基础设施实体安全
(1)机房安全,包括机房环境、包括机房环境、温度、湿度、电磁、噪声、防尘、 静电和振动等。
(2)场地安全,包括建筑安全、包括建筑安全、防火、防雷、围墙和门禁系统等。
(3)设施安全,包括设备可靠性、通信线路安全性和辐射控制与防泄露等。
(4)动力系统安全,包括电源安全和空调等。
(5)灾难预防与恢复。
第二层:平台安全
(1)操作系统漏洞检测与修复,包括 Unix 系统、 Windows 系统、 Linux 系统和网络 协议等。
(2)网络基础设施漏洞检测与修复,包括路由器、交换机和防火墙等。
(3)通用基础应用程序漏洞检测与修复,包括数据库、 Web、FTP、Email、DNS 以 及其他各种系统守护进程等。
(4)网络安全产品部署,平台安全的实施需要用到市场上常见的网络安全产品,主要包括防火墙、入侵检测、脆弱性扫描和防病毒产品。
第三层:数据安全
(1)介质与载体安全保护。
(2)数据访问控制,包括系统数据访问控制检查、标识与鉴别等。
(3)数据完整性。
(4)数据可用性。
(5)数据监控和审计。
(6)数据存储与备份安全。
