目录
一、信息安全保证体系的核心逻辑
信息安全保证体系是一套标准化、分层次的防护框架,旨在确保信息系统在面对威胁时保持机密性、完整性和可用性(CIA 三元组)。 GB17859-1999 将计算机系统的可信计算基(TCB)按防护能力划分为 五个等级,由低到高递进:
第一级:用户自主保护级
-
特点:实现用户自主的资源隔离。
-
访问控制机制:自主访问控制(DAC),用户可以决定谁访问自己的资源。
-
应用场景:普通企业办公网、个人电脑。
-
局限性:没有事件记录,一旦账号被盗,追责困难。
第二级:系统审计保护级
-
新增要点:
-
用户行为可审计,安全事件可追溯。
-
资源访问权限进一步细化,降低权限扩散风险。
-
-
案例:银行网银系统记录每次交易和登录行为。
-
价值:可以基于日志发现恶意操作,形成事后取证链。
第三级:安全标记保护级
-
核心升级:
-
在 DAC 基础上引入 强制访问控制(MAC) 和 安全标签(Security Labels)。
-
系统为每个对象和主体分配安全级别,实现“不能越权访问”。
-
-
典型场景:涉密政府网络、科研实验室系统。
-
优势:防止“高密级数据”被低权限用户访问,有效控制信息流向。
第四级:结构化保护级
-
技术特征:
-
构建在 形式化安全策略模型 之上;
-
全面实施强制访问控制,覆盖所有主体与客体;
-
防御 隐蔽通道攻击,防止利用非授权路径传输数据。
-
-
适用领域:国防、航空航天、金融结算核心系统。
-
安全深度:任何数据传递都必须经过策略验证,杜绝隐性泄露。
第五级:访问验证保护级
-
顶级防护:
-
引入 访问监控器(Reference Monitor),对每一次访问进行仲裁;
-
监控器特性:抗篡改、可验证、足够精简。
-
-
应用环境:国家安全、顶级科研机构系统。
-
最大优势:实现极致访问控制和最小权限原则,未经授权的访问几乎不可能成功。
五级安全防护对比表,基于 GB17859-1999 标准
| 等级 | 名称 | 主要防护特性 | 访问控制 | 典型应用场景 |
| 第一级 | 用户自主保护级 | 通过用户隔离和资源分配实现基本的安全防护,用户自主决定资源访问权限。 | 自主访问控制(DAC) | 个人电脑、普通办公网络 |
| 第二级 | 系统审计保护级 | 引入安全审计,记录和追踪用户行为;访问权限粒度更细,降低权限扩散风险。 | 细粒度 DAC + 安全审计 | 企业内部系统、银行网银 |
| 第三级 | 安全标记保护级 | 增加安全策略模型和安全标签;支持主体和客体的强制访问控制(MAC),确保信息流不可越权。 | DAC + MAC + 数据安全标记 | 政府涉密系统、科研实验室 |
| 第四级 | 结构化保护级 | 基于形式化安全策略模型;对所有主体和客体实施强制访问控制;能防御隐蔽通道攻击。 | 全面 MAC + 形式化安全策略 | 国防、航空航天、金融核心系统 |
| 第五级 | 访问验证保护级 | 引入抗篡改的访问监控器,对所有访问进行仲裁;实现最小权限原则和精细化用户级别访问控制。 | 用户级 DAC + MAC + 访问监控器 | 国家安全系统、顶级科研设施 |
二、风险管理体系:动态安全保障
1.风险管理核心目标
-
识别、评估和控制信息系统中的潜在威胁,将 残余风险 控制在可接受范围内。
-
风险管理是“静态等级防护”之外的 动态补充。
2.风险评估实施前的准备
-
范围:确定评估系统、业务流程和技术边界;
-
目标:明确要保护的资产和风险容忍度;
-
组织:组建跨部门评估团队;
-
方法:选择适合的评估框架(如 ISO/IEC 27005);
-
高层支持:确保管理层资源投入。
3.风险评估的基本要素
-
资产:数据、硬件、软件、人员、流程;
-
脆弱性:资产可能被利用的弱点;
-
威胁:可能对资产造成损害的事件或攻击;
-
风险:威胁成功利用脆弱性导致的潜在损失;
-
安全措施:降低威胁或修补漏洞的手段。
4.风险计算模型
风险值综合考虑资产价值、脆弱性和威胁发生可能性:
(1)识别资产 → 赋值(价值越高,风险越大)。
(2)分析威胁 → 评估发生概率。
(3)识别脆弱性 → 评估漏洞被利用的严重程度。
(4)计算安全事件概率 = 威胁概率 × 脆弱性严重度。
(5)计算风险值 = 资产价值 × 安全事件概率。
4.1 风险计算公式
风险值=资产价值×威胁发生概率×脆弱性严重程度风险值
也可以分两步计算:
-
安全事件发生可能性 = 威胁发生概率 × 脆弱性严重程度
-
风险值 = 资产价值 × 安全事件发生可能性
4.2 举例说明
场景: 某企业的客户数据库(资产)存储着大量用户隐私信息。
(1)资产价值:该数据库被认为是企业最核心资产,估值 100 万元(包括法律风险和品牌损失)。
(2)威胁:黑客SQL注入攻击。根据以往行业案例,发生概率评估为 0.2(中等概率)。
(3)脆弱性:系统存在已知但未修复的漏洞,一旦被利用将导致数据泄露,影响严重度评为 0.8(高)。
计算:
-
安全事件发生可能性 = 0.2 × 0.8 = 0.16
-
风险值 = 100 万元 × 0.16 = 16 万元
解读:
-
该数据库存在 16 万元的预期损失风险。
-
通过修复漏洞,将脆弱性严重度从 0.8 降低到 0.2,风险值降至: 100 万 × (0.2 × 0.2) = 4 万元,风险降低了 75%。
4.3 小结:
-
风险高低受 资产价值、威胁概率、脆弱性严重程度 三个因素共同影响。
-
管理的重点通常是 降低威胁发生概率(如加强防御)和 降低脆弱性严重程度(如修补漏洞)。
-
风险评估是一个 动态过程,需要根据资产价值、威胁环境和漏洞状况的变化不断更新。
三、信息安全风险评估流程
1.准备阶段
-
确定评估范围:明确评估的系统、业务流程和技术边界。
-
确定评估目标:确定是为了安全合规、资产保护还是风险优先级排序。
-
建立评估团队:跨部门小组(安全、运维、业务、管理)。
2.资产识别与赋值
-
识别信息资产:数据、硬件、软件、人员、流程。
-
确定资产价值:从业务战略、法律责任、替代成本等角度评估。
3.威胁分析
-
识别潜在威胁:自然灾害、技术故障、恶意攻击、内部违规。
-
评估发生概率:历史记录、行业数据、专家评估。
4.脆弱性分析
-
发现资产弱点:系统漏洞、配置缺陷、人员操作不当。
-
确定严重程度:如果被利用,对资产造成的损害级别。
5.风险计算
-
安全事件发生可能性 = 威胁发生概率 × 脆弱性严重程度。
-
风险值 = 资产价值 × 安全事件发生可能性。
6.风险处置
-
风险接受:在可承受范围内的风险无需额外措施。
-
风险降低:通过技术加固、流程优化等手段降低风险。
-
风险转移:通过保险、外包分担风险。
-
风险规避:停止高风险活动。
7.风险监控与再评估
-
持续跟踪威胁和资产变化,定期重新评估风险。
四、体系与评估的协同作用
-
五级安全等级 提供“静态防护”,确保系统设计和运行符合安全规范。
-
风险管理 提供“动态调优”,应对环境变化和新型威胁。
-
两者结合形成闭环: (风险识别 → 防护等级匹配 → 评估反馈 → 防护升级)
五、实践建议
-
企业应根据自身业务价值和威胁环境,选择合适的安全等级;
-
定期进行风险评估,优先修复高风险资产;
-
建立纵深防御体系,结合访问控制、监控和事件响应。
扩展阅读:
| 【软件系统架构】系列八:信息系统深度解析 | 【软件系统架构】系列八:信息系统深度解析 |
| 【软件系统架构】系列八:信息系统—事务处理系统(TPS)深入解析 | 【软件系统架构】系列八:信息系统—事务处理系统(TPS)深入解析 |
| 【软件系统架构】系列八:信息系统—管理信息系统(MIS)深入解析 | 【软件系统架构】系列八:信息系统—管理信息系统(MIS)深入解析 |
| 【软件系统架构】系列八:信息系统—决策支持系统(DSS)深入解析 | 【软件系统架构】系列八:信息系统—决策支持系统(DSS)深入解析 |
| 【软件系统架构】系列八:信息系统—专家系统(ES)深入解析 | 【软件系统架构】系列八:信息系统—专家系统(ES)深入解析 |
| 【软件系统架构】系列八:信息系统—办公自动化系统(OAS)深入解析 | 【软件系统架构】系列八:信息系统—办公自动化系统(OAS)深入解析 |
| 【软件系统架构】系列八:信息系统—企业资源规划系统(ERP)深入解析 | 【软件系统架构】系列八:信息系统—企业资源规划系统(ERP)深入解析 |
| 【软件系统架构】系列八:信息系统—典型信息系统架构模型深入解析 | 【软件系统架构】系列八:信息系统—典型信息系统架构模型深入解析 |
| 软件系统架构模型的深入解析 | 软件系统架构模型的深入解析 |
| 【软件系统架构】系列九:系统安全—信息安全基础知识 | 【软件系统架构】系列九:系统安全—信息安全基础知识 |
| 【软件系统架构】系列九:系统安全—信息安全系统组成框架 | 【软件系统架构】系列九:系统安全—信息安全系统组成框架 |
| 【软件系统架构】系列九:系统安全—信息安全技术 | 【软件系统架构】系列九:系统安全—信息安全技术 |
| 【软件系统架构】系列九:系统安全—信息安全的抗攻击技术 | 【软件系统架构】系列九:系统安全—信息安全的抗攻击技术 |
扫一扫
8758
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
