18-网络安全框架及模型-信息系统安全保障模型

news2024/11/27 17:52:45

信息系统安全保障模型

1 基本概念

信息系统安全保障是针对信息系统在运行环境中所面临的各种风险,制定信息系统安全保障策略,设计并实现信息系统安全保障架构或模型,采取工程、技术、管理等安全保障要素,将风险减少至预定可接受的程度,从而保障其使命要求。

2 模型概述

信息系统安全保障模型包含安全保障要素、生存周期和能力成熟度三个维度。安全保障要素是将保障策略具化到技术、管理和工程等不同层面形成的保障要求。生存周期维度是强调安全保障要素的识别要贯穿信息系统从规划组织、开发采购、实施交付、运维维护和废弃等生存周期阶段。信息系统安全保障能力等级是在确保安全保障要素充分性的基础上,通过能力成熟度来评价信息系统安全保障能力。

3 模型特点

信息安全保障模型的主要特点为:

  1. 强调信息系统安全保障要素的概念,信息系统的安全保障是通过综合技术、管理、工程的安全保障要素来实施和实现信息系统的安全保障策略,通过对信息系统的技术、管理、工程要求的评估,提供了对信息系统安全保障的信心。

  2. 强调信息系统安全保障的持续发展的动态安全模型,即强调信息系统安全保障需要贯穿于整个信息系统生存周期的全过程。

  3. 通过能力成熟度等级来评价基于生存周期的过程安全保障要素的保障能力。

4 保障能力等级

信息系统安全保障能力等级包含两个维度的要素。

第一个维度是依据风险评估选择的信息系统安全保障要素(包含技术保障要求、管理保障要求和工程保障要求),这些安全保障要素的识别贯彻整个生存周期过程,能将风险降低到可接受的程度(即保障对策的充分性)。

第二个维度是安全保障要素被正确实现的能力成熟度(即保障对策的正确性),如安全保障要素被实现的有序性、主动性、规范性、可量化性、可持续性等方面的度量。两个维度相结合进行评估,能充分定义信息系统安全保障的信心程度,即信息系统安全保障能力等级。

信息系统安全保障能力等级划分为五个等级,从低到高依次为:

  1. 基本执行级:特征为随机、被动地实现基本实践,依赖个人经验,无法复制;

  2. 计划跟踪级:特征为主动地实现了基本实践的计划与执行,但没有形成体系化;

  3. 充分定义级:特征为基本实践的规范定义与执行;

  4. 量化控制级:特征为建立了量化目标,基本实践的实现能进行度量与预测;

  5. 持续优化级:特征为能根据组织的整体目标,不断改进和优化实现基本实践。

5 信息系统生存周期

信息系统的生命周期是指信息系统从规划、开发、实施、运维到废弃的整个过程。在每个阶段中,都存在着特定的任务和活动,这些任务和活动有助于确保信息系统的顺利运行和安全保障。

  1. 规划阶段:

在规划阶段,确定信息系统的目标、需求和约束条件。主要任务包括:

  • 确定信息系统的目标和需求,明确组织的业务需求以及对信息系统的期望。

  • 制定信息系统的战略规划,包括制定信息系统的发展方向、技术架构和安全策略等。

  • 进行风险评估和安全需求分析,识别潜在的安全风险和需求,为后续的安全保障工作提供依据。

     2.开发阶段:

 在开发阶段,根据规划阶段确定的目标和需求,进行信息系统的设计和开发。主要任务包括:

  • 进行系统需求分析和设计,明确系统功能和数据流程,制定详细的系统设计文档。

  • 进行系统编码和测试,根据设计文档实现系统功能,并进行单元测试和集成测试。

  • 进行系统集成和验收,将各个模块进行整合,并进行系统验收测试,确保系统符合规定的要求。

     3.实施阶段:

在实施阶段,将开发完成的信息系统部署到生产环境中,并进行系统运行和用户培训。主要任务包括:

  • 进行系统安装和配置,将开发完成的系统部署到目标环境中,并进行必要的配置。

  • 进行系统上线和切换,将系统从测试环境切换到生产环境,并确保系统正常运行。

  • 进行用户培训和支持,为系统的最终用户提供培训,使其能够熟练使用系统。

     4.运维阶段:

在运维阶段,对信息系统进行监控、维护和更新,以确保系统的稳定性和安全性。主要任务包括:

  • 进行系统监控和故障处理,监控系统的运行状态,及时发现并解决系统故障。

  • 进行系统维护和升级,定期对系统进行维护和更新,包括安全补丁的安装和性能优化等。

  • 进行数据备份和恢复,定期备份系统数据,并在发生数据丢失或损坏时进行恢复。

     5.废弃阶段:

在废弃阶段,对信息系统进行清除处理,包括数据清除和系统卸载。主要任务包括:

  • 进行数据清除和销毁,对系统中的敏感数据进行清除,确保数据不会被恶意获取。

  • 进行系统卸载和销毁,对系统进行彻底卸载,并销毁相关的硬件设备和存储介质。

通过完整的生命周期管理,信息系统能够在各个阶段得到规范和控制,从而提高系统的安全性和可靠性。

6 保障体系

这个模型的保障体系主要围绕技术、管理和工作三个方面展开,以确保信息系统的安全和可靠运行。

     1.技术保障: 技术保障是信息系统保障的基础,包括以下几个方面:

  • 安全设计与开发:在系统开发阶段,采用安全设计原则和最佳实践,确保系统具备强大的安全性。这包括对用户身份验证、数据加密、访问控制等关键功能的设计和实施。

  • 安全配置与漏洞修复:在系统实施阶段,进行必要的安全配置,如操作系统、网络设备等的安全设置,并及时修复系统中发现的漏洞,以防止潜在的安全威胁。

  • 安全监测与响应:通过实施完善的安全监测系统,对系统进行实时监测和异常检测,并建立相应的响应机制,能够及时发现和应对潜在的安全威胁。

  • 数据备份与恢复:建立定期的数据备份机制,并测试数据的可恢复性,以应对数据丢失或损坏的风险,确保信息系统的连续性和可靠性。

     2.管理保障: 管理保障主要涉及组织和流程层面的措施,包括以下几个方面:

  • 安全政策与标准:制定和实施适用的安全政策和标准,明确安全要求和责任,确保所有人员都理解和遵守相关的安全规定。

  • 安全培训与意识教育:对系统管理员和最终用户进行定期的安全培训与意识教育,提高他们的安全意识和能力,使其能够正确使用和保护信息系统。

  • 访问控制与权限管理:建立严格的访问控制机制,限制和监控对系统资源的访问,确保只有经过授权的用户才能获得相应的权限。

  • 审计与合规性检查:定期进行系统审计和安全漏洞扫描,确保系统符合法规和合规要求,并及时采取纠正措施。

     3.工作保障: 工作保障主要指在日常运维和管理过程中的具体工作措施,包括以下几个方面:

  • 系统运行监控:建立系统运行监控机制,对关键指标进行实时监测,如服务器负载、网络流量等,及时发现并解决系统运行异常。

  • 问题管理与故障处理:建立问题管理和故障处理流程,快速响应和解决系统问题和故障,以减少系统中断时间和业务影响。

  • 变更管理与配置控制:对系统的变更进行严格管理和控制,确保变更过程受控和可追溯,避免因变更引起的潜在风险。

  • 紧急响应与灾备计划:建立紧急响应和灾备计划,确保在发生紧急情况或灾难时能够及时响应并恢复系统功能,保障业务的连续性。

通过技术、管理和工作三个方面的综合保障体系,可以有效提升信息系统的安全性和可靠性,保护组织的信息资产和业务运行。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1341753.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

详解Vue3中的表单验证

本文主要介绍Vue3中的表单验证。 目录 普通语法setup语法注意事项 在Vue3中,表单验证可以使用Vue的内置指令v-model和自定义指令来实现。 普通语法 下面是一个详细介绍Vue3中表单验证的步骤: 创建Vue实例,并定义需要验证的表单数据。 imp…

网页在不同Android机表现有差异时需要排查页面样式是否针对主题模式作配置

前言 如题,这周有跟进一个BUG,后来分析出是跟手机主题模式有关。 bug情报:测试小年青那边提供的情报是我们的一个业务报告页面在某台华为手机上,页面列表项的文字颜色异常(正常是显示黑色)还有文字的背景显…

Springboot整合Elastic-job

一 概述 Elastic-Job 最开始只有一个 elastic-job-core 的项目,定位轻量级、无中心化,最核心的服务就是支持弹性扩容和数据分片!从 2.X 版本以后,主要分为 Elastic-Job-Lite 和 Elastic-Job-Cloud 两个子项目。esjbo官网地址 Ela…

gnu工程的编译 - 以libiconv为例

文章目录 gnu工程的编译 - 以libiconv为例概述gnu官方源码包的发布版从官方的代码库直接迁出的git版源码如果安装了360, 需要添加开发相关的目录到信任区生成 configrue 的方法备注END gnu工程的编译 - 以libiconv为例 概述 gnu工程的下载分2种: gnu官方源码包的发布版 这种…

java并发编程十四 Fork/Join

文章目录 Fork/Join Fork/Join 概念 Fork/Join 是 JDK 1.7 加入的新的线程池实现,它体现的是一种分治思想,适用于能够进行任务拆分的 cpu 密集型运算.所谓的任务拆分,是将一个大任务拆分为算法上相同的小任务,直至不能拆分可以直…

超详细深入理解YOLOv8配置参数:了解多种任务计算机视觉模型训练

目录 yolov8导航 YOLOv8(附带各种任务详细说明链接) ultralytics/ultralytics/cfg/default.yaml 训练模式和任务类型参数 训练参数 训练期间验证和测试参数 预测部分相关参数 可视化部分相关参数 模型导出部分相关参数 训练超参数相关参数 ult…

Android Studio实现课表

本文章主要展示课表的实现,里面包含很多控件的用法,比如吐司Toast、通知Notification、ListView,数值选择器NumberPicker,SeekBar同editText的关联。抽屉导航栏 还有一些其他的功能,比如InputFilter自定义的字符过滤器…

VSCode安装Go环境

VSCode安装Go 1.点击Go官网,根据自己环境下载go安装包,我这里为Windows 2.双击安装包,一直点击【Next】即可 VSCode配置Go基础环境 1.创建Go的工作目录: C:\Code\GoCode 2.创建Go的环境变量: GOPATH (1)右键【此电脑】,点击…

免费API-JSONPlaceholder使用手册

官方使用指南快速索引>>点这里 快速导览: 什么是JSONPlaceholder?有啥用?如何使用JSONPlaceholder? 关于“增”关于“改”关于“查”关于“删”关于“分页查”关于“根据ID查多个” 尝试自己搭一个?扩展的可能? 什么是JSONPlaceho…

【前端学习指南】开启 Vue 的学习之旅

🍭 Hello,我是爱吃糖的范同学 秋招终于结束了(拿到了比较满意的 offer🎉🎉🎉,后续也会有“面筋”系类给大家分享),目前我终于也有足够的时间和精力来完成我 23 年遗留下…

ubuntu 开机自报IP地址(用于无屏幕小车-远程连接)

目录 1.环境安装2.代码3.打包成可执行文件4.开启开机自启 1.环境安装 sudo apt-get install espeak #先安装这个库 pip install -i https://pypi.tuna.tsinghua.edu.cn/simple pyttsx32.90 #再安装pyttsx3 pyinstaller pip install -i https://pypi.tuna.tsinghua.edu.cn/si…

【PXIE301-208】基于PXIE总线架构的Serial RapidIO总线通讯协议仿真卡

板卡概述 PXIE301-208是一款基于3U PXIE总线架构的Serial RapidIO总线通讯协议仿真卡。该板卡采用Xilinx的高性能Kintex系列FPGA作为主处理器,实现各个接口之间的数据互联、处理以及实时信号处理。板卡支持4路SFP光纤接口,支持一个PCIe x8主机接口&…

机器学习三要素与拟合问题

1.如何构建机器学习模型? 机器学习工作流程总结 1.获取数据 2.数据基本处理 3.特征工程 4.机器学习(模型训练) 5.模型评估 结果达到要求,上线服务,没有达到要求,重新上面步骤 我们使用机器学习监督学习分类预测模型的工作流…

c语言:去除最高分最低分,求平均值|练习题

一、题目 有10个裁判评分,去除最高分和最低分,求运动员的平均分。 如图: 二、思路分析 1、设置一个数组变量,用冒泡排序法排序 2、数组的首位和最后一位,就是最低分和最高分 3、数组的第二到n-1个,就是符合…

Python实现张万森下雪了的效果

系列文章 序号文章目录直达链接表白系列1浪漫520表白代码https://want595.blog.csdn.net/article/details/1306668812满屏表白代码https://want595.blog.csdn.net/article/details/1297945183跳动的爱心https://want595.blog.csdn.net/article/details/1295031234漂浮爱心http…

nodejs+vue+微信小程序+python+PHP的艺术展览馆艺术品管理系统-计算机毕业设计推荐

选择轻量级的关系型MySQL数据库存储数据。接着进行系统的需求分析、功能设计、数据库设计,最后进行编码实现。具体如下: 1)网站首页:艺术品浏览展示,艺术品作者线下。供会员浏览查看。 2)注册登录&#xff…

边缘智能网关在智慧大棚上的应用突破物联网大关

边缘智能网关在智慧大棚上的应用,是现代农业技术的一大突破。通过与农作物生长模型的结合,边缘智能网关可以根据实时的环境数据和历史数据,预测农作物的生长趋势和产量,提供决策支持和优化方案。这对于农民来说,不仅可…

总结js中遍历对象属性的方法

方法介绍 1、 forin循环:遍历对象自身的和原型链上的可枚举属性。 2、Object.getOwnPropertySymbols()方法:返回一个数组,包含对象自身的所有Symbol类型的属性。 3、 Object.getOwnPropertyNames()方法:返回一个数组&#xff0…

PDF控件Spire.PDF for .NET【安全】演示:修改加密PDF的密码

修改PDF文件的密码确实是一个理性的选择,尤其是当密码被某人知道并且您的PDF文件不再安全时。Spire.PDF for .NET使您能够用 C#、VB.NET 修改加密 PDF 文件的密码。您可以修改所有者密码和用户密码,并设置访问 PDF 文件时的用户限制。现在请看修改加密PD…

将函数f转化为通用函数uf 实现多组数据本应多次调用函数f 现在可以一起一次调用通用函数uf np.frompyfunc(func,nin,nout)

【小白从小学Python、C、Java】 【计算机等考500强证书考研】 【Python-数据分析】 将函数f转化为通用函数uf 实现多组数据本应多次调用函数f 现在可以一起一次调用通用函数uf np.frompyfunc(func,nin,nout) [太阳]选择题 下列输出正确的是: import numpy as np f …