|
|
信息安全系统的三维空间中,X轴是“安全机制”,Y轴是“OSI网络参考模型”,Z轴是“安全服务”。
|
|
|
安全空间的5大属性,即安全五要素为认证、权限、完整、加密和不可否认。
|
|
|
|
|
|
.表示层:为不同的用户端提供数据和信息的语法转换内码。
|
|
|
|
|
|
|
.物理层:定义了所有电子及物理设备的规范,传输透明比特流。
|
|
|
|
|
|
.基础设施实体安全:机房、场地、设施、动力系统等的安全,灾难预防与恢复。
|
|
|
.平台安全:操作系统、网络基础设施、通用基础应用程序的漏洞检测与修复以及网络安全产品部署。
|
|
|
.数据安全:介质与载体安全保护、数据访问控制、数据完整性和可用性、数据监控和审计以及数据存储与备份安全。
|
|
|
.通信安全:通信线路和网络基础设施的安全、网络协议安全、通信加密软件等。
|
|
|
.应用安全:业务软件的安全性,业务资源的访问,业务数据的保密性、一致性,业务系统的可靠性、可用性等。
|
|
|
.运行安全:应急处理机制、网络安全产品运行监测等。
|
|
|
.管理安全:人员管理、培训管理、应用系统管理、软件管理、设备管理等。
|
|
|
.授权和审计安全:向用户和应用程序提供权限管理和授权服务以及进行安全方面的审计。
|
|
|
.安全防范体系:可发挥预警、保护、检测、反应、恢复和反击6项能力。
|
|
|
|
|
.对等实体认证服务:用于两个开放系统同等层中的实体建立链接或数据传输时,对对方实体的合法性、真实性进行确认,以防假冒。
|
|
|
.数据保密服务:可提供链接方式和无链接方式两种数据保密,同时也可对用户可选字段的数据进行保护。
|
|
|
.数据完整性服务:用以防止非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失。
|
|
|
.数据源点认证服务:用于确保数据发自真正的源点,防止假冒。
|
|
|
.禁止否认服务:防止发送方在发送数据后否认自己发送过此数据,接收方在收到数据后否认自己收到过此数据或伪造接收数据,由不得否认发送和不得否认接收两种服务组成。
|
|
|
.犯罪证据提供服务:审计及使用历史数据进行取证、分析。
|
|
|
|
|
|
.数字签名技术:确保数据真实性的基本方法,数字签名具有解决收发双方纠纷的能力。
|
|
|
.访问控制技术:按事先确定的规则决定主体对客体的访问是否合法。
|
|
|
.数据完整性技术:通过纠错编码和差错控制来应对信道干扰,通过报文认证来应对非法入侵者的主动攻击,通过病毒实时监测来应对计算机病毒。
|
|
|
.认证技术:计算机网络中的认证主要有站点认证、报文认证、用户和进程认证等。多数认证过程采用密码技术和数字签名技术。
|
|
|
.数据挖掘技术:是及早发现隐患、将犯罪扼杀在萌芽阶段并及时修补不健全的安全防范体系的重要技术。
|
|
|
|
信息安全保障系统有3种不同的架构:MIS+S系统、S-MIS系统和S2-MIS系统。
|
|
|
|
MIS+S系统也称为“初级信息安全保障系统”或“基本信息安全保障系统”。这种系统的特点如下:
|
|
|
|
|
|
|
S-MIS系统也称为“标准信息安全保障系统”,它是建立在世界公认的PKI/CA标准的信息安全基础设施上的。这种系统的特点如下:
|
|
|
|
|
.业务应用系统必须根本改变。业务应用系统是必须按照PKI/CA的标准重新编制的“全新”的安全业务应用信息系统。
|
|
|
|
|
S2-MIS系统也称为“超安全的信息安全保障系统”,它是建立在“绝对”安全的信息安全基础设施上的,不仅使用世界公认的PKI/CA标准,同时硬件和系统软件都使用专有的安全产品。这种系统的特点如下:
|
|
|
|
|
|
|
|
信息安全保障系统是一个在网络上集成各种硬件、软件和密码设备,以保障其他业务应用系统正常运行的专用的信息应用系统,以及与之相关的岗位、人员、策略、制度和规程的总和。
|
|
|
信息安全保障系统是业务应用信息系统成熟发展到一定阶段的必然结果。信息安全保障系统的核心就是保证信息、数据的安全。
|
|
|
按照信息安全保障的定义,对MIS+S、S-MIS和S2-MIS体系结构的理解有:
|
|
|
.MIS+S是一个初步的、低级的信息安全保障系统,它是在已有的业务应用信息系统基础不变的情况下,为防止病毒、黑客等增加一些安全措施和安全防范设备,如防火墙、防病毒、物力隔离卡、网闸、漏洞扫描、黑客防范、动态口令卡和VPN等。这些只能在局部或某个方面提高业务应用信息系统的安全强度,但不能从根本上解决业务应用信息系统的安全问题,尤其不能胜任电子商务、电子政务等实际需要解决的安全问题。
|
|
|
.S-MIS将业务应用信息系统直接建立在PKI/CA的安全基础设施上,并且主要的硬件和系统软件需要PKI/CA认证。借助PKI/CA安全基础设施,业务应用信息系统能真正“以我为主”、“以安全为主”掌控计算机的硬件、系统软件、人员、数据和应用系统的方方面面。再加上与MIS+S同样的外围安全措施和安全防范设备,获得从里到外的安全保护,因此成为标准的业务应用信息系统的信息安全保障系统。
|
|
|
.S2-MIS基本与S-MIS相同,只是系统硬件和系统软件都是专用的,从而增加了整个系统的安全强度。
|
|
|