信息系统安全保障评估模型

3.信息系统安全保障评估模型

在国家标准GB/T 20274-.1-2006《信息安全技术信息系统安全保障评估框架第一部分： 简介和一般模型》中，信息系统安全保障模型包含保障要素、生命周期和安全特征三方面。 具体如下图所示。

信息安全保障模型的主要特点为：

1)将风险和策略作为信息系统安全保障的基础和核心；
　　2)强调信息系统安全保障持续发展的动态安全模型，即强调信息系统安全保障应贯穿于整个信息系统生命周期的全过程；
　　3)强调综合保障的观念。信息系统的安全保障是通过综合技术、管理、工程和人员的安全保障要求来实施和实现信息系统的安全保障国标，通过对信息系统的技术、管理、工程和人员要求的评估，提供了对信息系统安全保障的信心；
　　4)通过以风险和策略为基础，在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素。通过信息系统安全保障实现信息安全的安全特征：信息的保密性、完整性和可用性特征，从而达到保障组织机构执行其使命的根本目的。

在这个模型中，更强调信息系统所处的运行环境、信息系统的生命周期和信息系统安全保障的概念。信息系统生命周期有各种各样的模型，本书中的信息系统生命周期模型是基于这些模型的一个简单、抽象的概念性说明模型，它的主要用途在于对信息系统生命周期模型进行示例说明。在进行信息系统安全保障具体操作时可根据实际环境和要求，对信息系统生命周期进行改动和细化。信息系统生命周期的概念是如何在信息系统整个生命周期中通过对技术、管理、工程和人员建立的信息系统安全保障保证下的覆盖整个生命周期的动态持续性的长效安全。