网络信息安全系统的安全模型包括三个方面:安全要素、生命周期和安全特性。
网络信息安全系统安全模型的主要思想是基于风险和策略,在信息系统的整个生命周期中实施技术、管理、工程和人员安全要素。通过信息系统的安全性,实现了信息安全的安全特征:信息的保密性、实现完整性和可用性,实现组织履行使命的基本目的。
型号特点:
1、将风险和策略作为信息系统安全的基础和核心。
2、强调必须在信息系统的整个生命周期中维护信息系统的安全。
3、集成技术、管理、工程和人员要素,以确保信息系统的安全。
网络信息安全系统的生命周期和安全级别不是相互独立的,而是相互关联、不可分割的。
网络信息安全系统的生命周期模型包括规划和组织、开发和采购、实施和交付、运营和维护。将信息系统的整个生命周期(包括老化)抽象为五个阶段。随着操作和维护阶段的变化,反馈将创建信息系统生命周期的完整封闭结构。在信息系统生命周期的每个阶段,都需要技术、管理、集成工程和人员支持。
1、规划和组织阶段:组织业务需求、法律法规需求基于系统风险和其他因素生成信息系统的安全需求。现阶段,应将信息安全战略纳入信息系统的设计和使用决策中。从信息系统建设入手,充分考虑系统安全需求,实现信息系统建设与信息系统安全建设同步规划;确保同步实施,也就是说,我们通常说信息系统和安全应该“三同步”,而不是计划同步、构建同步、使用同步。
2、开发和采购阶段:该阶段是规划和组织阶段的细化和具体化,包括系统需求分析、系统安全系统设计和相关预算申请。开展项目准备等活动。现阶段,需要克服一些技术约束的传统片面性,充分考虑系统风险和安全策略,系统地设计整个信息系统的安全性,制定信息系统安全的总体规划和愿景。组织需要一个信息系统的总体规划。为了确保局域网满足组织的建设要求以及相关国家和行业的要求,可以根据具体要求对总体技术和管理安全计划或系统设计进行评估。
3、实施和交付阶段:在这个阶段,组织可以通过实施信息安全服务的资格要求和承包商员工的职业资格要求来确保施工组织的可用性。组织还可以通过信息系统安全工程支持对施工过程的实施进行监控和评估,最终确保交付系统的安全。当然
4、运营层面:信息系统进入运营阶段后,为信息系统的管理、运营和用户能力提供全面保障,是信息系统安全正常运行的基本保障。
5、更改:信息系统在调试后不会更改。如果业务和需求发生变化或外部环境发生变化,将产生新的需求或扩展现有的需求,使信息系统重新进入组织规划阶段(即规划阶段)。
6、结束阶段:进入淘汰阶段,如果信息系统不再满足业务需求,则必须考虑信息安全受损等因素。
通过将信息系统安全的概念融入信息系统生命周期的各个阶段,可以确保信息系统的持续动态安全。
