4.3　信息安全系统的组成框架

信息系统安全系统框架通常由技术体系、组织机构体系和管理体系共同构建。

4.3.1　技术体系

从实现技术上来看，信息安全系统涉及基础安全设备、计算机网络安全、操作系统安全、数据库安全、终端设备安全等多方面技术。

4.3.1.1 基础安全设备

• 包括密码芯片、加密卡、身份识别卡等
• 此外还涵盖运用到物理安全的物理环境保障技术，建筑物、机房条件及硬件设备条件满足信息系统的机械防护安全
• 通过对电力供应设备以及信息系统组件的抗电磁干扰和电磁泄漏性能的选择性措施达到相应的安全目的。

4.3.1.2 计算机网络安全

• 指信息在网络传输过程中的安全防范，用于防止和监控未经授权破坏、更改和盗取数据的行为
• 通常涉及：
• • 物理隔离，防火墙及访问控制
• • 加密传输、认证、数字签名、摘要
• • 隧道及VPN 技术
• • 病毒防范及上网行为管理，安全审计等实现技术。

4.3.1.3 操作系统安全

• 指操作系统的无错误配置、无漏洞、无后门、无特洛伊木马等，能防止非法用户对计算机资源的非法存取，一般用来表达对操作系统的安全需求
• 操作系统的安全机制包括：
• • 标识与鉴别机制
• • 访问控制机制
• • 最小特权管理
• • 可信通路机制
• • 运行保障机制
• • 存储保护机制
• • 文件保护机制
• • 安全审计机制，等等。

4.3.1.4 数据库安全

• 可粗略划分为：
• • 数据库管理系统安全
• • 数据库应用系统安全两个部分
• 主要涉及：
• • 物理数据库的完整性
• • 逻辑数据库的完整性
• • 元素安全性、可审计性
• • 访问控制、身份认证、可用性
• • 推理控制、多级保护以及消除隐通道等相关技术。

4.3.1.5 终端安全设备

• 从电信网终端设备的角度分为：
• • 电话密码机
• • 传真密码机
• • 异步数据密码机

4.3.2 组织机构体系

• 组织机构体系是信息系统安全的组织保障系统
• 三个模块：
• • 机构：机构的设置分为3个层次：决策层、管理层和执行层。
• • 岗位：是信息系统安全管理机关根据系统安全需要设定的负责某一个或某几个安全事务的职位。
• • 人事机构：是根据管理机构设定的岗位，对岗位上在职、待职和离职的雇员进行素质教育、业绩考核和安全监管的机构。

4.3.3 管理体系

• 管理是信息系统安全的灵魂。所谓“三分技术，七分管理”
• 信息系统安全的管理体系：
• • 法律管理：是根据相关的国家法律、法规对信息系统主体及其与外界关联行为的规范和约束
• • 制度管理：是信息系统内部依据系统必要的国家、团体的安全需求制定的一系列内部规章制度
• • 培训管理：确保信息系统安全的前提