信息安全保障体系

信息安全保障体系框架

信息安全保障是指在信息系统的整个生命周期中,通过分析信息系统的风险,制定并执行相应的安全保障策略,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的机密性、完整性、和可用性,降低安全风险到可接受的程度,保障信息系统能够实现组织机构的使命。

信息系统安全保障涵盖以下3个方面:

  1. 生命周期

信息系统安全保障应贯穿信息系统的整个周期,包括规划组织开发采购实施交付运行维护废弃等5个阶段,以获得信息系统安全保障能力的持续性。

  1. 保障要素

信息系统的保障要素主要涵盖4个方面:技术管理工程人员

  1. 安全特性

信息系统安全保障的安全特性主要包括3个方面:保密性完整性可用性

    • *

信息安全模型与技术框架

P2DR安全模型

P2DR模型是美国ISS公司提出的动态网络安全体系的代表模型,也是动态安全模型的雏形。它包括4个主要部分:策略(Policy)防护(Protection)检测(Detection)响应(Response)

策略:策略是模型的核心,所有的防护、检测和响应都是依据安全策略实施的。网络安全策略通常由总体安全策略具体安全策略组成。 防护:防护是根据系统可能出现的安全问题而采取的预防措施,这些措施通过传统的静态安全技术实现。 检测:当攻击者穿透防护系统时,检测系统就会发生作用,与防护系统形成互补。检测是动态响应的依据。 响应:系统一旦检测到入侵,响应系统就开始工作,进行事件处理。响应包括应急响应恢复处理,恢复处理包括系统恢复信息恢复P2DR模型的数学公式表达

P > D + R P:系统为了保护安全目标设置各种保护后的保护时间,或理解为在这样的保护模式下,黑客(入侵者)攻击安全目标所花的时间(防护时间)。 D:从入侵者开始发动入侵开始,到系统能够检测到入侵行为所花费的时间(检测时间)。

手机上阅读

本文由 giao创作, 采用 知识共享署名4.0 国际许可协议进行许可
本站文章除注明转载/出处外,均为本站原创或翻译,转载前请务必署名
原文地址:《信息安全保障体系》

 最后一次更新于2018-09-27

0 条评论

添加新评论

Markdown is supported.