信息安全服务新架构 信息安全系统架构体系

关于信息安全技术体系结构内容的研究

在网络逐渐向大型化和关键领域发展的同时，网络上的信息对所有用户来说是越来越重要，随之而来的信息安全问题存在着巨大的安全隐患。如何保障基础数据的应用能够安全，有效地运行在基于通信的信息网络中，则是每个企业时刻都要重视的问题。

我们已经探讨了信息安全技术体系相关标准。在这一期，我们主要讨论信息安全的具体内容实施方式，即信息安全技术体系建立的结构，根据山东省软件评测中心多年工作总结，我们将从信息安全技术概念，重要性，技术体系内容，以及体系制定的标准四个方面具体展开。希望能给大家带来帮助。

遵照复杂巨系统的一般原理以及信息安全的安全隔离、动态保护、深度保护等原则,信息安全技术体系结构可分为:1、层次维 (实施分层保护)，2、空间维(实施分域保护)，3、层次维(实施分层面保护),4、等级维(实施信息安全等级化保护),5、时间维(实施过程保护和动态保护)。下面分别对各维度的构成及内容进行阐述。

 

一、信息安全技术体系的分层保护

信息安全技术体系的构成是通过对计算机硬件的层层软件扩展而来的。信息安全技术体系的建构也一定遵循这一规律,通过相关的信息安全产品逐层构件。外面一层软件系统的安全依赖于内一层系统的安全,任何部分的不安全都必将影响到上一层的安全。如果底层的系统不安全,主体就会绕过高层系统,直接通过底层不安全的系统访问客体信息,就会形成旁路的信息安全威胁,从而影响到整个系统的安全性。

可见,不同层面的信息安全问题,要由不同层面的信息安全系统实施,不能相互代替。不仅如此,当这些分层的信息安全产品构成一个系统时,还需要考虑他们之间的依赖和互补关系,下层产品的安全要素能对上层产品实现的安全要素进行支持,他们之间的安全策略和实现的安全要素之间不能有矛盾、相互不兼容等现象。例如,数据库管理系统不允许其某个用户对某个记录进行访问,而操作系统却允许该用户对存放该记录的文件进行访问,这就产生了矛盾,不能形成一个完整的安全系统。

二、信息安全技术体系的分域保护

计算机系统通过网络连接成大大小小的分布式网络系统,网络中不同区域的安全性目标、策略和保护技术手段也不仅相同,需要对不同的区域采取不同的安全技术措施,形成分域保护。

局域计算环境域使用安全操作系统、安全数据库、***检测、恶意代码防护、安全认证等信息安全产品和技术,保障局域网的安全;边界防护使用防火墙、物理隔离、隔离网闸等安全技术和产品,防止来自局域网边界以外的***;网络传输需要使用安全路由器、安全协议等,保障数据在传输过程中的安全;安全基础设施为网络环境下的信息系统提供公共的安全服务和机制。其中最重要的基础设施包括PKI/PMI,容灾备份和应急相应等安全服务和机制用来应对各种灾难性故障和紧急事件。

三、信息安全技术体系的分级保护

信息安全所保护的信息,其所属的部门的业务应用的重要程度是不同的,对信息安全保护所付出的代价也会不同,需信息安全技术体系研究要采用分等级保护的方法,以体现信息安全等级保护的重点保护和适度保护的原则。

信息等级化保护的思路早已有之:美国的TCSEC将计算机系统安全分为4级7类,国际标准化组织发布的ISO/IEC 15408—1999也将信息安全保障评估分为7级。我国制定的强制性国家标准GB17859—1999计算机信息系统安全保护等级划分准则 ,将计算机信息系统的安全保护分为5个等级。 

四、信息安全技术体系的分时保护

信息安全是一个动态的过程,从时间维度看，不能只是针对某个安全威胁和问题采取对应的安全技术措施,这样不能从根本上解决信息安全的问题。信息系统的安全保护,需要从安全需求、设计、实施和运行维护等阶段,对信息系统的整个生命周期实施信息安全保护。另外,信息安全是人们在现有条件下对威胁的认识、对信息系统自身的脆弱性认识和对信息安全技术和管理能力认识,在此前提下,进行综合评价所采取的安全保护。而且,这些信息安全保护技术的能力是有限的,采取了安全措施并不意味着100%的安全,等级化的信息安全保护原则也不需要对保护的信息对象采取全部、最高级的安全保护措施,同时,新的***技术和其他的安全威胁也不断涌现。

基于此认识,为了提高信息安全的防御能力,补救安全技术的不足,借鉴现实生活中安全防范的理论,在信息安全系统运行过程阶段需要采用基于时间维度的保护、检测、反应(Protection Detectionand Response,PDR)的动态信息安全保障的思路,即通过现有的安全技术对信息系统实施安全保护,但这种保护不能做到100%的安全,可以通过信息系统在运行过程中动态地监测,及时发现安全问题,及时采取措施,将安全威胁的损失降到最低,从而提高整个系统的安全防护能力。

从系统科学的角度出发,梳理这些内容,对信息安全威胁和信息安全技术体系进行分析。在吸收国内外关于信息安全研究的最新成果的基础上,提出了信息安全技术体系的概念,并建立从分层维、分域维、分级维和分时维四个维度的信息安全技术体系结构,论述信息安全要素、信息安全产品与信息系统之间的内在关系,对正确认清信息安全的本质和规律,构建信息安全系统进行一些探索。本文仅进行了初步研究,进一步的工作还包括详细、深入研究各维度中子系统之间的关联、互补关系,研究对建立的信息安全系统安全性评估的方法、指标体系和相关内容等。

 

https://blog.51cto.com/ruanjianpingce/1283157