2.2.9安全管理

    信息化社会中，确保信息系统安全己成为广泛的社会需求。信息系统安全不仅关系到维护国家主权，而且关系到广大人民群众的社会生活的正常进行，所以，信息系统建设与使用中要把信息系统安全管理放在主要位置。

    1.我国信息系统安全体系简介

    我国信息系统安全体系构成如图2.1所示。

图2.1我国信息系统安全体系构成示意图

    1)法律依据

    国务院1994年2月18日发布的《中华人民共和国计算机信息系统安全保护条例》是我国计算机信息系统安全体系建设的基本法律依据，也对信息系统安全体系的建设提出了明确要求。

    2)标准体系

    国家标准GB 17859-1999《计算机信息系统安全等级保护划分准则》是我国信息安全标准体系的基础性标准。

    3)自主产品

    为建成安全的信息系统，须开发生产和采用具有我国自主版权的信息安全产品。采用我国尚不能自主生产的信息安全产品，须经过政府有关主管部门的认证许可。

    4)检测与评估

    信息安全等级测评评估中心和相应的检测评估工具，是实行信息系统安全等级管理的主要环节。

    5)执法机构

    从国家公安部到省、市公安厅和市、县公安局的公共信息网络安全系统，是我国信息系统安全等级管理的执法机构。

    2.信息系统安全内容、技术要求和保护等级简介

    1)信息系统安全的五个层面

    按信息系统构成，可将信息系统安全划分为五个层面。它们分别是:物理层面安全、网络层面安全、系统层面安全、应用层面安全和管理层面安全。

    2)信息系统安全技术要求的四个方面

    信息系统安全技术要求分为四个方面。

    (1)物理安全:包括设备、设施、环境和介质;

    (2)运行安全:包括风险分析、检测监控、审计、防病毒、备份与故障恢复等;

    (3)信息安全:包括标识与鉴别、标识与访问控制、保密性、完整性和密码支持等;

    (4)安全管理、操作管理与行政管理等。

    3)信息系统安全保护的五个等级

    从安全保护的程度和等级的角度，信息系统安全划分为五个等级。

    (1)用户自主保护级;

    (2)系统审计保护级;

    (3)安全标记保护级;

    (4)结构化保护级;

(5)访问验证保护级。

    4 ) TCB概念

    TCB是“计算机系统内保护装置的总体，包括硬件、软件，固件和负责执行安全策略的组合体。它建立了一个基本的保护环境，并提供一个可信计算机信息系统所要求的附加用户服务”。简单地说，TCB描述的是安全保障，包括:

    (1) TCB自身安全保护。保护安全机制自身的安全;

    ( 2) TCB安全设计和实现。从设计及其实现过程确保安全机制达到安全要求;

    (3) TCB安全管理。从管理角度确保安全机制达到安全要求。