3.信息系統(tǒng)安全保障評估模型

在國家標(biāo)準(zhǔn)GB/T 20274-.1-2006《信息安全技術(shù)信息系統(tǒng)安全保障評估框架第一部分： 簡介和一般模型》中，信息系統(tǒng)安全保障模型包含保障要素、生命周期和安全特征三方面。 具體如下圖所示。

信息安全保障模型的主要特點為：

1)將風(fēng)險和策略作為信息系統(tǒng)安全保障的基礎(chǔ)和核心；2)強調(diào)信息系統(tǒng)安全保障持續(xù)發(fā)展的動態(tài)安全模型，即強調(diào)信息系統(tǒng)安全保障應(yīng)貫穿于整個信息系統(tǒng)生命周期的全過程；3)強調(diào)綜合保障的觀念。信息系統(tǒng)的安全保障是通過綜合技術(shù)、管理、工程和人員的安全保障要求來實施和實現(xiàn)信息系統(tǒng)的安全保障國標(biāo)，通過對信息系統(tǒng)的技術(shù)、管理、工程和人員要求的評估，提供了對信息系統(tǒng)安全保障的信心；4)通過以風(fēng)險和策略為基礎(chǔ)，在整個信息系統(tǒng)的生命周期中實施技術(shù)、管理、工程和人員保障要素。通過信息系統(tǒng)安全保障實現(xiàn)信息安全的安全特征：信息的保密性、完整性和可用性特征，從而達(dá)到保障組織機構(gòu)執(zhí)行其使命的根本目的。

在這個模型中，更強調(diào)信息系統(tǒng)所處的運行環(huán)境、信息系統(tǒng)的生命周期和信息系統(tǒng)安全保障的概念。信息系統(tǒng)生命周期有各種各樣的模型，本書中的信息系統(tǒng)生命周期模型是基于這些模型的一個簡單、抽象的概念性說明模型，它的主要用途在于對信息系統(tǒng)生命周期模型進(jìn)行示例說明。在進(jìn)行信息系統(tǒng)安全保障具體操作時可根據(jù)實際環(huán)境和要求，對信息系統(tǒng)生命周期進(jìn)行改動和細(xì)化。信息系統(tǒng)生命周期的概念是如何在信息系統(tǒng)整個生命周期中通過對技術(shù)、管理、工程和人員建立的信息系統(tǒng)安全保障保證下的覆蓋整個生命周期的動態(tài)持續(xù)性的長效安全。