1.3 信息安全体系框架
根据OSI安全体系结构ISO 7498-2,提出安全服务(即安全功能)和安全机制(如图1-2所示),在此基础上给出信息安全体系框架(如图1-3所示),由技术体系、组织机构体系和管理体系共同构建,确保信息的保密性、完整性、可用性、可控性和不可否认性(可审查性和可认证性)。
图1-2 OSI安全体系结构及安全服务和安全机制
图1-3 信息安全体系框架
技术体系是由相互联系、相互作用的安全要素组成,以保障信息系统安全为目的,具有一定结构和功能的多种安全技术手段的集合。例如,密码技术、安全审计等。
组织机构体系是信息系统安全的组织保障系统,由机构、岗位和人事三个模块构成一个体系。机构的设置分为三个层次,即决策层、管理层和执行层;岗位是信息系统安全管理机关根据系统安全需要设定的负责某一个或某几个安全事务的职位;人事是根据管理机构设定的岗位,对岗位上在职、待职和离职的雇员进行素质教育、业绩考核和安全监管的机构。
管理体系是组织机构单位按照信息安全管理体系相关标准[如国际信息安全管理标准体系BS 7799(ISO/IEC17799)和中华人民共和国国家标准GB/T 22080—2016/ISO/IEC 27001:2013]的要求,制定信息安全管理方针和策略。“三分技术,七分管理”,管理是信息系统安全的灵魂,信息系统安全的管理体系由相关安全法律、管理制度体系和人员培训管理三个部分组成。法律管理是根据相关的国家法律、法规对信息系统主体及其与外界关联行为的规范和约束,制度管理是信息系统内部依据必要的国家、团体的安全需求制定的一系列内部规章制度,培训管理是确保信息系统安全的前提。
OSI安全体系结构如图1-4所示,其数据链路层包括点到点通道协议(PPTP)以及第二层通道协议(L2TP),网络层包括IP安全协议(IPSec),传输层包括安全套接字层(SSL)和传输层安全协议(TLS),会话层包括SOCKS代理技术,应用层包括应用程序代理。
图1-4 OSI安全体系结构