信息化社会中,确保信息系统安全己成为广泛的社会需求。信息系统安全不仅关系到维护国家主权,而且关系到广大人民群众的社会生活的正常进行,所以,信息系统建设与使用中要把信息系统安全管理放在主要位置。
我国信息系统安全体系构成如图2.1所示。
信息系统安全等级管理执法 |
信息系统安全等级测评 |
信息系统及其产品的研发和生产 |
信息系统安全等级保护标准体系 |
信息系统安全保护条例等法律依据 |
图2.1我国信息系统安全体系构成示意图
国务院1994年2月18日发布的《中华人民共和国计算机信息系统安全保护条例》是我国计算机信息系统安全体系建设的基本法律依据,也对信息系统安全体系的建设提出了明确要求。
国家标准GB 17859-1999《计算机信息系统安全等级保护划分准则》是我国信息安全标准体系的基础性标准。
为建成安全的信息系统,须开发生产和采用具有我国自主版权的信息安全产品。采用我国尚不能自主生产的信息安全产品,须经过政府有关主管部门的认证许可。
信息安全等级测评评估中心和相应的检测评估工具,是实行信息系统安全等级管理的主要环节。
从国家公安部到省、市公安厅和市、县公安局的公共信息网络安全系统,是我国信息系统安全等级管理的执法机构。
按信息系统构成,可将信息系统安全划分为五个层面。它们分别是:物理层面安全、网络层面安全、系统层面安全、应用层面安全和管理层面安全。
信息系统安全技术要求分为四个方面。
(1)物理安全:包括设备、设施、环境和介质;
(2)运行安全:包括风险分析、检测监控、审计、防病毒、备份与故障恢复等;
(3)信息安全:包括标识与鉴别、标识与访问控制、保密性、完整性和密码支持等;
(4)安全管理、操作管理与行政管理等。
从安全保护的程度和等级的角度,信息系统安全划分为五个等级。
(1)用户自主保护级;
(2)系统审计保护级;
(3)安全标记保护级;
(4)结构化保护级;
(5)访问验证保护级。
TCB是“计算机系统内保护装置的总体,包括硬件、软件,固件和负责执行安全策略的组合体。它建立了一个基本的保护环境,并提供一个可信计算机信息系统所要求的附加用户服务”。简单地说,TCB描述的是安全保障,包括:
(1) TCB自身安全保护。保护安全机制自身的安全;
( 2) TCB安全设计和实现。从设计及其实现过程确保安全机制达到安全要求;
(3) TCB安全管理。从管理角度确保安全机制达到安全要求。
各省软考办 | ||||||||||