第1章 信息系統(tǒng)安全概述

21世紀(jì)是信息時代，信息系統(tǒng)已成為社會發(fā)展的重要戰(zhàn)略資源，社會信息化更是被公認(rèn)為當(dāng)今世界發(fā)展潮流的支柱和核心。而信息系統(tǒng)的安全在信息社會中將扮演極為重要的角色，它直接關(guān)系到國家機關(guān)的運作、企業(yè)經(jīng)營和人們的日常生活。一般而言，傳統(tǒng)觀點認(rèn)為，信息安全是計算機、通信、物理、數(shù)學(xué)等領(lǐng)域的交叉學(xué)科，但在今天的高度信息化的社會里，信息系統(tǒng)在各行各業(yè)及社會的不同層面的廣泛應(yīng)用使得信息安全已不再純粹是技術(shù)問題了。要有效地保障信息系統(tǒng)的安全，就需要用新的思維、從新的角度來重新看待、認(rèn)識、理解信息安全問題。

作為本書的第1章，將從信息系統(tǒng)和信息安全的發(fā)展歷程開始，介紹信息安全的相關(guān)概念、信息系統(tǒng)安全體系等內(nèi)容。通過學(xué)習(xí)和理解這些內(nèi)容，能夠整體地了解什么是信息系統(tǒng)，信息系統(tǒng)的安全問題從何而來，信息系統(tǒng)安全體系如何架構(gòu)等。

1.1 信息安全簡介

1.1.1 信息化與信息系統(tǒng)的發(fā)展情況

信息安全的目標(biāo)與計算機的發(fā)展密切相關(guān)，它并不是一個固定不變的概念，而是伴隨著計算機的發(fā)展而不斷變化的。因此，更多的了解計算機的發(fā)展歷史將有助于理解信息系統(tǒng)安全目標(biāo)的演變過程。

信息系統(tǒng)（Information System）是以提供特定信息處理功能、滿足特定業(yè)務(wù)需要為主要目標(biāo)的計算機應(yīng)用系統(tǒng)。現(xiàn)代化的大型信息系統(tǒng)都是建立在計算機操作系統(tǒng)和計算機網(wǎng)絡(luò)不斷發(fā)展的基礎(chǔ)上。因此，一直以來，信息安全的問題都受到操作系統(tǒng)和網(wǎng)絡(luò)安全特征的影響。下面先回顧一下過去數(shù)十年來，計算機與操作系統(tǒng)和網(wǎng)絡(luò)技術(shù)的發(fā)展，以及它們的安全特征。

計算機自20世紀(jì)40年代誕生以來，在不斷發(fā)展的過程中，經(jīng)歷了四個重要階段的飛躍，與此同時操作系統(tǒng)也經(jīng)歷了相應(yīng)的變化。

（1）第一階段（20世紀(jì)40年代中期至50年代中期）。計算機由大量的繼電器和真空管組成，機器的使用是通過在插接板上連線的方式，來控制其基本功能。50年代初出現(xiàn)了穿孔卡片，取代了插接板，程序員將程序?qū)懺诳ㄆ希僮x入計算機。在這一階段，計算機體積龐大，只能進(jìn)行基本的數(shù)值運算，沒有所謂的編程語言（包括匯編語言），更沒有操作系統(tǒng)的概念。此時的計算機無法存儲信息，功能極其有限，只用于科學(xué)計算，在某一時間段內(nèi)只能運行一個程序，自然不存在所謂的信息安全問題。

（2）第二階段（20世紀(jì)50年代中期至60年代中期）。計算機由晶體管組成，除了具備運算功能外，由于采用了磁鼓和磁盤作為輔助存儲器，才具有了一定的存儲能力。因此，計算機不僅繼續(xù)用于科學(xué)計算，在商業(yè)和工程中也開始得到應(yīng)用。此時的計算機體積變小但成本高，為了降低成本，采用了批處理系統(tǒng)方案。批處理系統(tǒng)是現(xiàn)代操作系統(tǒng)的前身。在這一階段人們開始批量生產(chǎn)中小型計算機，但這種機器的成本仍然很高；它具備一定的運算能力和存儲能力；在某一時間段內(nèi)，程序員輸入一批作業(yè)后機器開始處理。這時的計算機，只能采用單用戶處理模式，因此除了擔(dān)心物理安全外，只需考慮作業(yè)與作業(yè)之間出現(xiàn)數(shù)據(jù)錯寫的問題，因此計算機面臨的風(fēng)險和威脅都很有限。

（3）第三階段（20世紀(jì)60年代中期至70年代末）。計算機開始發(fā)展為由集成電路組成，出現(xiàn)了只讀存儲設(shè)備，計算機技術(shù)高速發(fā)展，由此計算機也進(jìn)入了產(chǎn)品大規(guī)模生產(chǎn)的發(fā)展時期，小型機開始崛起。為了降低成本，人們希望能將原來用于科學(xué)工程的數(shù)值運算功能和用于商業(yè)的存儲打印功能結(jié)合起來。這時，IBM公司推出了操作系統(tǒng)這一解決思路，希望實現(xiàn)所有的軟件都能在所有的計算機上運行。此時的操作系統(tǒng)所實現(xiàn)的關(guān)鍵功能就是“多道程序”和“分時系統(tǒng)”，“分時系統(tǒng)”晚于“多道程序”出現(xiàn)。這兩項功能就意味著在同一臺機器上，會有多個用戶運行著多個進(jìn)程，分別處理和存儲不同的數(shù)據(jù)。這時的計算機體積進(jìn)一步變小，成本也大為降低；運行速度和存儲能力不斷增強，能滿足多個用戶運行多個程序，處理大量數(shù)據(jù)。在這一階段，計算機用戶除了考慮物理安全之外，還面臨著數(shù)據(jù)被竊取、用戶身份被盜用、不同進(jìn)程之間的安全影響等問題。在20世紀(jì)70年代出現(xiàn)局域網(wǎng)后，安全問題就變得更為復(fù)雜了。

（4）第四階段（20世紀(jì)80年代中期至今）。20世紀(jì)70年代以后，計算機集成電路的集成度從中小規(guī)模迅速發(fā)展到大規(guī)模、超大規(guī)模的水平，微處理器和微型計算機應(yīng)運而生，各類計算機的性能迅速提高。操作系統(tǒng)也逐漸發(fā)展出命令行系統(tǒng)（如MS-DOS）、圖形操作界面系統(tǒng)（如 Windows 系統(tǒng)）、網(wǎng)絡(luò)操作系統(tǒng)和分布式操作系統(tǒng)。同時，計算機網(wǎng)絡(luò)也從相對封閉的局域網(wǎng)發(fā)展為萬維網(wǎng)。小型計算機、通用計算機和專用計算機的需求量急速增加，應(yīng)用范圍也相應(yīng)擴大。人們不僅可以在同一臺機器上多用戶執(zhí)行多進(jìn)程，還能通過網(wǎng)絡(luò)遠(yuǎn)程控制和訪問其他機器的文件與數(shù)據(jù)。通過網(wǎng)絡(luò)傳輸?shù)男畔⒘恳策_(dá)到驚人的程度。這時的信息系統(tǒng)所面臨的風(fēng)險和威脅是空前復(fù)雜的。信息系統(tǒng)安全這一概念也從最初簡單狹窄的物理安全、數(shù)據(jù)安全擴展到其他更廣泛的領(lǐng)域，成為當(dāng)前所理解的“信息安全”。

今天的計算機無論在體積、界面、計算能力方面都跟20世紀(jì)80年代的計算機有很大差別，但從計算機結(jié)構(gòu)、軟件結(jié)構(gòu)及計算模型等方面看來，今天的計算機系統(tǒng)跟 20多年前的計算機系統(tǒng)的差別并不大。然而，正當(dāng)計算機系統(tǒng)開始朝著商品化發(fā)展時，計算機網(wǎng)絡(luò)卻以更快的速度發(fā)展著。廉價的網(wǎng)絡(luò)設(shè)備與網(wǎng)絡(luò)服務(wù)使得網(wǎng)絡(luò)日益普及，網(wǎng)絡(luò)服務(wù)的滲透也悄然地為大型信息系統(tǒng)的廣泛應(yīng)用創(chuàng)造了前所未有的契機。

網(wǎng)絡(luò)的發(fā)展也對信息安全問題帶來很大的沖擊。要了解信息安全的內(nèi)涵，不能不先了解計算機網(wǎng)絡(luò)技術(shù)的發(fā)展歷程。相比于計算機及操作系統(tǒng)的發(fā)展，計算機網(wǎng)絡(luò)的發(fā)展并不完全同步，它也經(jīng)歷了四個階段。

（1）第一階段（20世紀(jì)60年代末期到70年代初期）。這一階段是計算機網(wǎng)絡(luò)的萌芽階段，計算機發(fā)展則處于第三階段前期，計算機世界被使用分時系統(tǒng)的巨型機所統(tǒng)治。人們通過只含顯示器和鍵盤的終端設(shè)備來使用主機。終端設(shè)備很像PC，但沒有它自己的CPU、內(nèi)存和硬盤。依靠終端設(shè)備，成百上千的用戶可以同時訪問主機。分時系統(tǒng)將主機時間分成片，給用戶分配時間片。因此，終端設(shè)備之間無法直接進(jìn)行通信，所謂的計算機網(wǎng)絡(luò)還算不上真正意義上的網(wǎng)絡(luò)。

（2）第二階段（20世紀(jì)70年代中期到70年代末期）。這一階段是計算機局域網(wǎng)形成階段，計算機發(fā)展則處于第三階段后期，分時系統(tǒng)從巨型機逐漸應(yīng)用于中小型計算機，由此計算機之間相互連接，開始形成一定的層次和組織體系，并慢慢地形成了計算機局域網(wǎng)。

（3）第三階段（20世紀(jì)80年代）。這一階段是計算機局部網(wǎng)絡(luò)發(fā)展的成熟階段，計算機局部網(wǎng)絡(luò)開始走向產(chǎn)品化、標(biāo)準(zhǔn)化，形成了開放系統(tǒng)的互聯(lián)網(wǎng)絡(luò)。為了使計算機之間的通信連接可靠，建立了分層通信體系和相應(yīng)的網(wǎng)絡(luò)通信協(xié)議，于是誕生了以資源共享為主要目標(biāo)的計算機網(wǎng)絡(luò)。由于網(wǎng)絡(luò)中的計算機之間具有數(shù)據(jù)交換的能力，使得在更大范圍內(nèi)，計算機之間能協(xié)同工作、實現(xiàn)分布處理甚至并行處理。聯(lián)網(wǎng)用戶之間直接通過計算機網(wǎng)絡(luò)，進(jìn)行信息交換的通信能力也大大增強。

20世紀(jì)80年代初，隨著個人計算機（Personal Computer，PC）應(yīng)用的推廣，PC聯(lián)網(wǎng)的需求也隨之增大，各種基于PC 互聯(lián)的微機局域網(wǎng)紛紛出現(xiàn)。這個時期的微機局域網(wǎng)系統(tǒng)的典型結(jié)構(gòu)，是在共享媒質(zhì)通信網(wǎng)平臺上的共享文件服務(wù)器，即為所有聯(lián)網(wǎng) PC設(shè)置一臺專用的可共享的網(wǎng)絡(luò)文件服務(wù)器。每個PC用戶的主要任務(wù)仍在自己的PC上運行，僅在需要訪問共享磁盤文件時才通過網(wǎng)絡(luò)訪問文件服務(wù)器，這體現(xiàn)了在計算機網(wǎng)絡(luò)中各計算機之間的協(xié)同工作。這種基于文件服務(wù)器的微機網(wǎng)絡(luò)對網(wǎng)內(nèi)計算機進(jìn)行了分工：PC面向用戶，微機服務(wù)器專用于提供共享文件資源。所以這種網(wǎng)絡(luò)實際上就是一種客戶機/服務(wù)器模式。

計算機網(wǎng)絡(luò)系統(tǒng)是非常復(fù)雜的系統(tǒng)，計算機之間相互通信涉及許多復(fù)雜的技術(shù)問題。為實現(xiàn)計算機網(wǎng)絡(luò)通信，計算機網(wǎng)絡(luò)采用的是分層解決網(wǎng)絡(luò)技術(shù)問題的方法。但是，由于存在不同的分層網(wǎng)絡(luò)系統(tǒng)體系結(jié)構(gòu)，基于這些體系結(jié)構(gòu)開發(fā)的產(chǎn)品之間很難實現(xiàn)互聯(lián)。為此，國際標(biāo)準(zhǔn)化組織（ISO）在1984年正式頒布了“開放系統(tǒng)互聯(lián)基本參考模型”O(jiān)SI國際標(biāo)準(zhǔn)，使計算機網(wǎng)絡(luò)體系結(jié)構(gòu)實現(xiàn)了標(biāo)準(zhǔn)化。

（4）第四階段（20世紀(jì)90年代至今）。這一階段是計算機萬維網(wǎng)的發(fā)展階段。進(jìn)入90年代，計算機技術(shù)、通信技術(shù)及計算機網(wǎng)絡(luò)技術(shù)得到了迅猛的發(fā)展。特別是 1993年美國宣布建立國家信息基礎(chǔ)設(shè)施后，全世界許多國家紛紛制定和建立本國的國家信息基礎(chǔ)設(shè)施，從而極大地推動了計算機網(wǎng)絡(luò)技術(shù)的發(fā)展，使計算機網(wǎng)絡(luò)發(fā)展進(jìn)入了一個嶄新的階段。在90年代，全球以美國為主導(dǎo)的高速計算機互聯(lián)網(wǎng)絡(luò)（即Internet）已經(jīng)成為人類最重要的、最大的通用計算機網(wǎng)絡(luò)。即使如此，Internet的發(fā)展并沒有停下來。美國政府又分別于1996年和1997年開始，研究發(fā)展更加快速可靠的互聯(lián)網(wǎng)2（Internet 2）和下一代互聯(lián)網(wǎng)（Next Generation Internet）。

時至今日，Internet技術(shù)的高度成熟與滲透使得Internet成為各種大型分布式信息系統(tǒng)的系統(tǒng)結(jié)構(gòu)的一部分。網(wǎng)絡(luò)互聯(lián)、高速計算機網(wǎng)絡(luò)及移動網(wǎng)絡(luò)正成為最新一代計算機網(wǎng)絡(luò)的發(fā)展方向。然而，網(wǎng)絡(luò)的高滲透與普及得益于Internet的開放特點，可是信息安全的問題也正因為Internet的開放特點而變得越來越嚴(yán)峻。

1.1.2 信息系統(tǒng)安全的發(fā)展

從上面的簡略介紹可知，隨著計算機操作系統(tǒng)和網(wǎng)絡(luò)的發(fā)展，人們所面臨的安全問題也在不斷變化，信息安全的內(nèi)涵也相應(yīng)產(chǎn)生變化。本節(jié)將具體地講述信息安全的發(fā)展過程。

（1）單機單用戶時期（20世紀(jì)40年代至60年代中期）。這時還處于最簡單的情況，即一臺機器、一個用戶、一個進(jìn)程。這種情況下就不存在計算機的安全問題，而只有物理安全的問題。但即使是物理安全，在60年代出現(xiàn)中小型機之前，因為計算機體積巨大，用戶也不用考慮計算機會被偷走的問題。60年代初計算機出現(xiàn)了多進(jìn)程運行的情況，但仍不存在真正意義上的信息安全問題，主要還是物理安全問題。計算機安全只需考慮不同進(jìn)程的保護(hù)、防止進(jìn)程出錯、將一個進(jìn)程的數(shù)據(jù)錯寫到另一個進(jìn)程的地址空間里。因為只有一個用戶，即使一個進(jìn)程可能在另一個進(jìn)程里修改復(fù)制數(shù)據(jù)，但因為兩個進(jìn)程屬于一個用戶，沒有偷自己數(shù)據(jù)的必要，就并不用擔(dān)心數(shù)據(jù)泄露的問題。為了防止數(shù)據(jù)錯寫，操作系統(tǒng)設(shè)定一個進(jìn)程就只能在一個地址空間里寫讀，超出了規(guī)定地址的進(jìn)程時會被自動終止。因此這時的計算機安全考慮比較簡單。

（2）單機多用戶時期（20世紀(jì)60年代末至80年代末）。從60年代末開始，大型機和分時系統(tǒng)開始應(yīng)用。此時情況是在同一臺機器上多用戶運行多進(jìn)程，共用文件系統(tǒng)、CPU 等資源。因此，人們開始擔(dān)心這些文件系統(tǒng)、CPU的安全，除了仍然存在進(jìn)程干擾數(shù)據(jù)錯寫的問題之外，還擔(dān)心一個用戶會偷看、復(fù)制或篡改另一個用戶的數(shù)據(jù)。

在20世紀(jì)90年代初，大學(xué)里所有教師、學(xué)生都共用一個服務(wù)器，來做實驗、設(shè)計考試題目、交作業(yè)論文等，這就很容易產(chǎn)生安全問題。例如，一個學(xué)生可能會利用文件系統(tǒng)的漏洞到老師的文件夾里偷看考試題目。為了應(yīng)對這一情況，這一階段的安全保護(hù)措施主要是把所有數(shù)據(jù)的保護(hù)職責(zé)交給了機器，由操作系統(tǒng)來保護(hù)數(shù)據(jù)。操作系統(tǒng)進(jìn)行用戶身份認(rèn)證和訪問控制，它知道所有用戶的權(quán)限、能訪問的文件范圍及使用CPU的時限（以前由于CPU資源緊張，對每個用戶有使用CPU時間的限制）等。

此時的信息安全采取集中式管理，由操作系統(tǒng)來具體實現(xiàn)，因此，信息安全就相當(dāng)于是計算機安全。

（3）多機多用戶時期（20世紀(jì)80年代末至今）。在80年代出現(xiàn)計算機網(wǎng)絡(luò)后，一般情況變成了多臺機器上多用戶的多進(jìn)程之間的交互與訪問，還出現(xiàn)了由多臺機器構(gòu)建而成的分布式系統(tǒng)，此時安全問題就更加復(fù)雜。例如，在90年代的網(wǎng)上銀行系統(tǒng)里，銀行用戶利用便攜式計算機，通過 Internet 網(wǎng)絡(luò)連上銀行的業(yè)務(wù)服務(wù)器，進(jìn)行網(wǎng)上銀行轉(zhuǎn)賬查詢等操作。當(dāng)連上網(wǎng)上銀行業(yè)務(wù)服務(wù)器后，便攜式計算機成了整個網(wǎng)上銀行系統(tǒng)的一部分，也就變成網(wǎng)上銀行服務(wù)信息系統(tǒng)的一個外延模塊。但便攜式計算機和網(wǎng)上銀行服務(wù)軟件系統(tǒng)分屬于不同的主體（Subject），這就是新出現(xiàn)的安全問題。由于出現(xiàn)多臺機器分由不同的人員或組織管理，而這些管理人員或組織相互之間并不信任，所以就出現(xiàn)了新的安全問題。

在以上的網(wǎng)上銀行系統(tǒng)的案例中，服務(wù)器、數(shù)據(jù)庫及賬戶、金額、用戶密碼等關(guān)鍵數(shù)據(jù)由銀行進(jìn)行管理并負(fù)責(zé)，用戶密碼及安裝在個人計算機上的客戶端等由客戶自己管理并負(fù)責(zé)。在進(jìn)行網(wǎng)上銀行交易時，銀行要認(rèn)證用戶身份、確認(rèn)用戶權(quán)限，然后再執(zhí)行用戶要求；銀行還要對所有訪問網(wǎng)上銀行的用戶進(jìn)行訪問控制，不能讓用戶隨意訪問業(yè)務(wù)數(shù)據(jù)庫以修改關(guān)鍵數(shù)據(jù)，如賬戶金額等。同時，用戶也會擔(dān)心銀行的系統(tǒng)不安全，怕賬戶數(shù)據(jù)丟失或者被篡改，面臨著財務(wù)損失的風(fēng)險。

當(dāng)前，正是由于計算機網(wǎng)絡(luò)和分布式系統(tǒng)的發(fā)展，機器由不同的人員或組織進(jìn)行分布式管理，機器之間的交互、網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)量越來越龐大，對人們的影響也越來越巨大，因此信息安全的內(nèi)涵大為擴充，已經(jīng)不僅是計算機安全、信息技術(shù)的問題，而是擴展為組織安全、業(yè)務(wù)安全等管理問題。

1.1.3 安全需求的來源

如1.1.2節(jié)所說，由于計算機安全管理從集中式的OS（Operating System）處理，變成了多系統(tǒng)多組織的分布式管理；各組織所用的大型分布式信息系統(tǒng)的功能也不僅限于20 世紀(jì) 60年代的數(shù)值運算和存儲打印，因此，信息系統(tǒng)在實際應(yīng)用中就會面臨著千差萬別的情況。

同時，信息系統(tǒng)的存在的意義主要是為了支持機構(gòu)達(dá)到其管理目標(biāo)和業(yè)務(wù)運營，關(guān)鍵還在于為其業(yè)務(wù)運行和機構(gòu)目標(biāo)服務(wù)，在構(gòu)建信息系統(tǒng)過程中所考慮的各種因素也必須以此為核心。因此，在進(jìn)行實際的信息系統(tǒng)構(gòu)建時，技術(shù)人員都需進(jìn)行相應(yīng)的安全需求分析。信息系統(tǒng)的安全需求是根據(jù)信息系統(tǒng)要滿足的安全目標(biāo)而來的，而安全目標(biāo)又是由其機構(gòu)和業(yè)務(wù)的管理目標(biāo)而來的。

在進(jìn)行安全需求分析時，先根據(jù)數(shù)據(jù)自身性質(zhì)（Information Type）確定其安全需求。當(dāng)安全保護(hù)措施被破壞（如數(shù)據(jù)被篡改、非法獲取）時，信息系統(tǒng)和擁有該信息系統(tǒng)的機構(gòu)將遭受不同程度的負(fù)面影響。安全需求分類，就是根據(jù)數(shù)據(jù)安全保護(hù)被破壞時所造成的影響對數(shù)據(jù)進(jìn)行分類。這是安全需求分類的概念，但如何具體保障安全需求呢？

一般而言，信息安全的理論研究涉及如機密性、完整性、真實性、抗抵賴性等基本屬性。安全需求的目標(biāo)，就是要確保信息系統(tǒng)有足夠的保護(hù)措施以達(dá)到這些基本屬性，所以這些基本屬性也稱為“安全目標(biāo)”。但這些理論上的定義卻不一定能滿足實際需要。

機構(gòu)一般需要從自身的實際情況考慮，在安全風(fēng)險與系統(tǒng)成本之間做出平衡。因此，不同的組織機構(gòu)（甚至在同一組織機構(gòu)的不同部門）都會因為業(yè)務(wù)特點對某些安全屬性更為重視。所以，從屬于不同機構(gòu)的信息系統(tǒng)就很可能有不一樣的安全目標(biāo)。例如，一般企業(yè)的電子商務(wù)系統(tǒng)和國家部門的電子政務(wù)系統(tǒng)之間的安全需求就有很大的區(qū)別。信息系統(tǒng)的不同部分又有不一樣的安全目標(biāo)，例如，在信息系統(tǒng)中，業(yè)務(wù)處理子系統(tǒng)會更關(guān)注于業(yè)務(wù)連續(xù)性，而數(shù)據(jù)庫系統(tǒng)會關(guān)注于數(shù)據(jù)的機密性，子系統(tǒng)之間的數(shù)據(jù)傳輸部分又會關(guān)注于完整性和不可抵賴性。

因此，在構(gòu)建一個安全信息系統(tǒng)之前，首先，要分析機構(gòu)對于安全的理解是怎樣的，機構(gòu)的領(lǐng)導(dǎo)者和管理人員希望信息系統(tǒng)能滿足機構(gòu)的哪一方面的安全需求；然后，才能談安全標(biāo)準(zhǔn)、安全技術(shù)等概念的具體實現(xiàn)。

可是，機構(gòu)的管理人員一般不一定是安全專家或技術(shù)專家，那么，如何來獲取和分析他們對于安全的需求呢？如何讓來自不同領(lǐng)域的人員對信息系統(tǒng)所要實現(xiàn)的安全目標(biāo)達(dá)成共識呢？如何在構(gòu)建設(shè)計信息系統(tǒng)的過程中，對于每一個安全需求是否得到實現(xiàn)和評估效果進(jìn)行跟蹤呢？這些疑問促使信息系統(tǒng)研究者和設(shè)計者去尋求一種工具，這種工具將便于他們理解機構(gòu)的業(yè)務(wù)目標(biāo)、信息需求、技術(shù)環(huán)境現(xiàn)狀、解決方案等信息，以實現(xiàn)安全信息系統(tǒng)的建構(gòu)。

針對這需要，利用企業(yè)體系結(jié)構(gòu)（Enterprise Architecture，EA）這個信息管理領(lǐng)域的概念來解決管理人員與技術(shù)人員的溝通問題。作為一個信息管理的工具，EA 提供一個抽象描述企業(yè)信息體系的多視角的框架，能更有效地把信息安全的問題引入這個多視角的框架里，讓不同部門的人員溝通、了解并得到更符合實際需要的分析。本書利用了 EA這一方法來進(jìn)行安全需求的獲取和分析，EA的相關(guān)內(nèi)容將在第 3章中具體講述。

1.1.4 信息系統(tǒng)安全問題的困境

在了解信息系統(tǒng)的構(gòu)建過程之前，還需要了解當(dāng)前信息系統(tǒng)在安全方面所面臨的困境。當(dāng)前大部分的信息系統(tǒng)一般采用分布式的實現(xiàn)結(jié)構(gòu)，因此本節(jié)主要講述分布式系統(tǒng)的安全問題。分布式系統(tǒng)的安全問題至少包括以下四種情況。

（1）監(jiān)聽和篡改。分布式系統(tǒng)內(nèi)的數(shù)據(jù)易受監(jiān)聽和篡改，主要是因為現(xiàn)代網(wǎng)絡(luò)的開放性和缺少集中式的管理。網(wǎng)絡(luò)的開放性的原因包括網(wǎng)絡(luò)媒質(zhì)的物理開放和網(wǎng)絡(luò)傳輸協(xié)議標(biāo)準(zhǔn)的開放。這些開放性導(dǎo)致數(shù)據(jù)很容易被不懷好意的人員攔截、竊聽，或者被嵌入其他數(shù)據(jù)以破壞其完整性。

另外，非集中式管理是指在分布式系統(tǒng)中不同的機器通常從屬于不同的管理人員，并且常常應(yīng)用不同的身份認(rèn)證機制和安全策略，并且不同的服務(wù)器之間也無法保證絕對的信任關(guān)系。

（2）假冒身份和擅自泄露信息。由于采取非集中式管理，不同的機器有不同的管理人員、身份認(rèn)證機制和安全策略，因此，用戶在登錄分布式系統(tǒng)時，可以較輕易地假冒身份或者泄露信息。

（3）程序模塊運行在不同機器上，因此信息必須在開放網(wǎng)絡(luò)間傳輸。原因是分布式系統(tǒng)在概念上是軟件進(jìn)程的分布，其物理前提是構(gòu)成系統(tǒng)的大量機器的分布。以網(wǎng)上銀行為例，其用戶模塊在個人 PC 上，業(yè)務(wù)處理應(yīng)用模塊在銀行服務(wù)器中，數(shù)據(jù)庫在數(shù)據(jù)服務(wù)器上。因此，各項進(jìn)程分布在多臺機器上，信息通過網(wǎng)絡(luò)來傳輸，這就加劇了安全隱患。

（4）系統(tǒng)資源由特定的服務(wù)器（Dedicated Server）管理。數(shù)據(jù)資源、系統(tǒng)資源都由特定的服務(wù)器管理，如郵件、數(shù)據(jù)庫等，通過網(wǎng)絡(luò)使用這些數(shù)據(jù)也帶來很多安全問題。又如，身份認(rèn)證服務(wù)由特定的服務(wù)器通過開放的網(wǎng)絡(luò)提供，這樣就會身份認(rèn)證的機制在一臺機器上開始，但卻在另一臺機器上進(jìn)行驗證，跟身份認(rèn)證相關(guān)的敏感信息就不可避免地需要在開放的網(wǎng)絡(luò)上傳輸，從而帶來非常棘手的安全問題。同樣的問題也存在于數(shù)據(jù)存儲服務(wù)過程中，即數(shù)據(jù)存儲在一臺機器上，又由另一臺機器上的進(jìn)程來處理。

基于以上的問題和原因，便可知道，單純依靠操作系統(tǒng)的安全措施是不夠的。在理想情況下，分布式系統(tǒng)需要對所有的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行加密，每一個交易客戶端都需要與服務(wù)器端進(jìn)行雙向的身份認(rèn)證（Two-way Authentication）。分布式系統(tǒng)的安全問題需要強有力的安全保護(hù)策略，這與傳統(tǒng)的操作系統(tǒng)的保護(hù)很不一樣。

簡單來說，在開放式系統(tǒng)中，安全需求包括：信息不能被惡意篡改，不能向未經(jīng)授權(quán)方泄露信息，信息傳輸雙方的身份認(rèn)證可信。要滿足這些安全需求，信息系統(tǒng)所實行的安全措施仍基于“加密”和“簽名”。一般來說，這些密碼模塊在身份認(rèn)證、密鑰交換、安全數(shù)據(jù)交換中的使用，從而確保信息系統(tǒng)安全措施有效地提供基本的安全服務(wù)（機密性、身份認(rèn)證、完整性、不可抵賴性）。然而，必須再三強調(diào)的是，這四個方面并不等于安全本身，而僅僅是安全的服務(wù)。正如之前解釋的，很多現(xiàn)實的信息系統(tǒng)往往針對性地只滿足一部分的安全屬性。因為在實際情況下，信息系統(tǒng)的安全需求是一個管理與技術(shù)需求的平衡。這個平衡的判斷在很大程度上受到機構(gòu)的治理（Governance）、業(yè)務(wù)、成本與風(fēng)險等因素的影響。

正是由于當(dāng)前的分布式系統(tǒng)存在這樣的安全問題，有效的安全措施需要由機構(gòu)多方面獲取和分析安全需求，并基于風(fēng)險考慮來建構(gòu)和實施能夠滿足組織和系統(tǒng)安全需求的信息系統(tǒng)。

1.2 信息系統(tǒng)安全基本概念

可以預(yù)見將來會有越來越多的信息系統(tǒng)被應(yīng)用于各種單位、機構(gòu)中。無論是電子政務(wù)、電子商務(wù)或者其他業(yè)務(wù)信息系統(tǒng)，一般都會通過互聯(lián)網(wǎng)進(jìn)行分布式的信息交換。可以說，基于網(wǎng)絡(luò)的新一代大型信息系統(tǒng)必將得到越來越廣泛的應(yīng)用。1.1節(jié)從信息系統(tǒng)及信息安全的發(fā)展歷史、安全需求的來源，以及當(dāng)前所面臨的安全問題等方面，對信息系統(tǒng)和信息安全做了概括性描述。為了能更清晰有序地理解信息安全的概念，本節(jié)將進(jìn)一步介紹安全、信息安全、信息系統(tǒng)、分布式系統(tǒng)、信息系統(tǒng)安全等幾個基本概念。

1.2.1 信息安全的相關(guān)概念

本節(jié)主要探討信息系統(tǒng)安全所涉及的三個概念：安全、信息安全、信息系統(tǒng)安全。

（1）安全。首先，我們探討什么是安全？國家標(biāo)準(zhǔn)（GB/T 28001）對“安全”給出的定義是“免除了不可接受的損害風(fēng)險的狀態(tài)”，也就是防備危害和其他損害。例如，國家安全是指保護(hù)主權(quán)、資產(chǎn)、資源和人民安全的多層次系統(tǒng)。這只是廣義上的概念性的安全，與安全相對應(yīng)的，是風(fēng)險、威脅這兩個定義。不同的機構(gòu)會面臨不同的風(fēng)險和威脅，因此，安全具有不同的具體含義。

（2）信息安全。相對于安全而言，信息安全是一個更為具體的概念，也是在計算機出現(xiàn)之后才特別受到廣泛重視的一個概念。由于信息安全在政府和企業(yè)系統(tǒng)的普遍重視，眾多國內(nèi)外的標(biāo)準(zhǔn)化組織都把信息安全納入其標(biāo)準(zhǔn)體系中。然而在不同的標(biāo)準(zhǔn)體系中，信息安全卻有不盡相同的定義。這在某程度上也印證了之前提到的問題，就是“安全”沒有絕對的定義，而且受環(huán)境與業(yè)務(wù)等因素的影響。

例如，根據(jù)美國國家安全系統(tǒng)委員會（Committee on National Security Systems，CNSS）所發(fā)布的標(biāo)準(zhǔn)，定義：“信息安全（Information Security）就是保護(hù)信息及其關(guān)鍵要素，包括使用、存儲以及傳輸信息的系統(tǒng)和硬件”。CNSS信息安全概念的基礎(chǔ)是CIA，即機密性（Confidentiality）、完整性（Integrity）、可用性（Availability）。

再如，根據(jù)ISO/IEC 27000:2005《信息安全管理體系原理與術(shù)語》中對“信息安全”（Information Security）定義為“保護(hù)、維持信息的機密性、完整性和可用性，也可包括真實性、可核查性、抗抵賴性、可靠性等性質(zhì)”。

從具體的需求分析，信息安全則可以涉及物理安全、操作安全、通信安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、安全管理等多個方面的概念。

（3）信息系統(tǒng)安全。然而，以上所提及的信息安全的幾個概念等都是理論上的定義，在現(xiàn)實的工程應(yīng)用中這些理論上的概念與機構(gòu)的實際需求還可能存在較大的差距。信息系統(tǒng)安全是一個更為具體的實際概念，因為信息系統(tǒng)是為實現(xiàn)不同業(yè)務(wù)目標(biāo)的應(yīng)用系統(tǒng)。因此，在理解信息系統(tǒng)安全時，必須從機構(gòu)的組織層面、從應(yīng)用角度來理解。信息系統(tǒng)安全的最終目標(biāo)還是為了支持、促進(jìn)所屬機構(gòu)的長遠(yuǎn)發(fā)展，因此在評價信息系統(tǒng)是否安全時，需要考慮以下幾個問題：信息系統(tǒng)是否滿足機構(gòu)自身的發(fā)展目的或使命要求？信息系統(tǒng)是否能為機構(gòu)的長遠(yuǎn)發(fā)展提供安全方面的保障？機構(gòu)在信息安全方面所投入的成本與所保護(hù)的信息價值是否平衡？什么程度的信息系統(tǒng)安全保障在給定的系統(tǒng)環(huán)境下能保護(hù)的最大價值是多少？信息系統(tǒng)如何達(dá)到有效地實現(xiàn)安全保障？等等。

機構(gòu)的安全目標(biāo)一般是指：信息系統(tǒng)遵守了國家的相關(guān)安全法律法規(guī)，遵循了行業(yè)內(nèi)的相關(guān)標(biāo)準(zhǔn)，能確保機構(gòu)運轉(zhuǎn)正常，能持續(xù)性地提供給支撐業(yè)務(wù)所需的服務(wù)功能。也就是說，信息系統(tǒng)所提供的功能提高了業(yè)務(wù)的競爭力，能為機構(gòu)的長遠(yuǎn)發(fā)展提供安全保障和支持，同時，從成本效益角度分析來看，在安全方面所投入的成本與所防范的風(fēng)險威脅上是平衡的。

為了深入理解信息系統(tǒng)安全與信息安全的差異，下面將對信息系統(tǒng)進(jìn)行更具體的介紹，信息系統(tǒng)的特征決定了信息系統(tǒng)安全需要考慮的主要內(nèi)容。

1.2.2 信息系統(tǒng)概述

信息系統(tǒng)是以提供特定信息處理功能、滿足特定業(yè)務(wù)需要為主要目標(biāo)的計算機應(yīng)用系統(tǒng)。現(xiàn)代化的大型信息系統(tǒng)都是建立在計算機操作系統(tǒng)和計算機網(wǎng)絡(luò)不斷發(fā)展的基礎(chǔ)上的，典型的信息系統(tǒng)都屬于分布式系統(tǒng)中的一種。一般而言，分布式系統(tǒng)的定義是“一個硬件或軟件組件分布在網(wǎng)絡(luò)計算機上，通過消息傳遞進(jìn)行業(yè)務(wù)處理和操作協(xié)調(diào)的系統(tǒng)”。這個簡單的定義基本覆蓋了所有網(wǎng)絡(luò)化的信息系統(tǒng)。同一個網(wǎng)絡(luò)中的計算機可能在空間上存在一定距離，可能在同一棟樓或同一個房間，但也有可能位于不同的五大洲上。一般而言，分布式系統(tǒng)具有以下幾個典型特征。

（1）物理分布。同一個信息系統(tǒng)內(nèi)，不同的硬件、軟件和固件會被布置在不同的計算機上，大型的信息系統(tǒng)的這些計算機會被部署在不同的物理地點。這是分布式系統(tǒng)的一個最基本的特征。

當(dāng)不同計算機面臨物理分布的情況時，進(jìn)程間進(jìn)行必需的通信交互、數(shù)據(jù)傳輸、信息管理、時間同步時，就會面臨諸多安全問題。

（2）環(huán)境多變。大型的信息系統(tǒng)會由于機構(gòu)的業(yè)務(wù)不同而被部署在不同的位置和環(huán)境下，因此，分布式信息系統(tǒng)會面臨應(yīng)用環(huán)境不同的現(xiàn)狀。例如，信息系統(tǒng)或者其中的某一部分，在應(yīng)用于稅務(wù)電子政務(wù)時，作為網(wǎng)上辦稅的客戶終端可能被布置在公眾辦稅大廳中；當(dāng)被用做存儲公眾的稅務(wù)信息的數(shù)據(jù)中心時，可能被放在實現(xiàn)物理保護(hù)的安全機房里。分布式信息系統(tǒng)由于機構(gòu)業(yè)務(wù)和要實現(xiàn)的功能不同，應(yīng)用于不同的環(huán)境，則會面臨不同的安全問題。

比如，嘗試考慮輸入信息的完整性問題。當(dāng)信息系統(tǒng)位于公眾辦稅大廳時，理論上在辦稅大廳的任何人都有可能利用客戶終端輸入一些數(shù)據(jù)。如果對于數(shù)據(jù)輸入功能沒有進(jìn)行授權(quán)和限制，那么這種情況下的數(shù)據(jù)完整性問題就要比位于安全機房并實現(xiàn)了門禁管理的信息系統(tǒng)的情況要更多地加以關(guān)注。

由此可見，即使是同一套信息系統(tǒng)，當(dāng)部署在不同的環(huán)境中時，就會面臨不同的風(fēng)險威脅。因此，機構(gòu)需要針對信息系統(tǒng)的具體情況分析其安全需求，并做出相應(yīng)的安全策略和保護(hù)措施。

（3）分布式管理。一般而言，信息系統(tǒng)的不同機器都有可能由不同的組織或人員管理。由于是分布式管理，因此無法確保每個機器上的輸入都受到同樣適當(dāng)?shù)氖跈?quán)和限制的保護(hù)。

具體來說，如果分布式信息系統(tǒng)內(nèi)的不同機器是由不同的組織或人員管理，這些管理者都會在他們所管理的計算機內(nèi)采取不同的具體安全策略與機制來限制和約束數(shù)據(jù)輸入功能。例如，對于由部門 A 負(fù)責(zé)的計算機，相應(yīng)的安全管理制度要求是：“必須要經(jīng)過部門負(fù)責(zé)人批準(zhǔn)后，才能由專門負(fù)責(zé)信息數(shù)據(jù)輸入的工作人員進(jìn)行相關(guān)操作；在輸入的同時，需要有兩名以上的人員進(jìn)行監(jiān)督；輸入和修改的數(shù)據(jù)要有具體的日志記錄以便事后進(jìn)行責(zé)任追究。”與此同時，部門B所負(fù)責(zé)的計算機沒有實行與部門A相同的安全策略，并且部門內(nèi)部共用一個公開的計算機用戶名和用戶密碼，也沒有安排專人負(fù)責(zé)輸入，也沒有監(jiān)督和事后追究的措施。很明顯部門B的管理缺乏適當(dāng)?shù)氖跈?quán)、限制和監(jiān)督。因此，如果部門A的機器需要依靠部門B的人員在部門B的機器上做數(shù)據(jù)輸入，即使部門A采用了更強的安全保護(hù)也是于事無補的。

可見，信息系統(tǒng)的分布式部署就可能產(chǎn)生相應(yīng)的分布式管理的問題，而不同的管理就有可能會有寬嚴(yán)程度不一的管理措施，在管理要求不高的部門內(nèi)，就會存在對信息輸入的授權(quán)、監(jiān)督和追究所缺乏的安全漏洞。

與此相應(yīng)的是，分布式管理也存在責(zé)任追究的問題。正是由于不同的管理可能會有寬嚴(yán)程度不一的管理要求，在有些管理要求不高的部門，由于缺乏對于信息輸入的授權(quán)和監(jiān)督，缺少相關(guān)的日志文檔記錄，自然就很難實現(xiàn)對事后的責(zé)任追究。

1.2.3 大型網(wǎng)絡(luò)信息系統(tǒng)的安全挑戰(zhàn)

以上簡要介紹了信息系統(tǒng)由于自身的分布式特征所面臨的安全挑戰(zhàn)。然而，信息系統(tǒng)安全又不僅限于此。當(dāng)前的信息系統(tǒng)多為大型信息系統(tǒng)，也多用于支撐和促進(jìn)大型機構(gòu)的業(yè)務(wù)運作與長遠(yuǎn)發(fā)展。例如，政府部門、學(xué)校、大型企業(yè)等，這種應(yīng)用也就意味著大型信息系統(tǒng)所面臨的安全挑戰(zhàn)并非僅僅是信息系統(tǒng)本身的安全挑戰(zhàn)和風(fēng)險，它也可以影響到整個機構(gòu)的管理與運作。

因此，信息系統(tǒng)安全的構(gòu)建和管理應(yīng)從業(yè)務(wù)運營乃至機構(gòu)管理的角度來看待這一問題。從這些角度看安全問題的本質(zhì)，除了之前提到的業(yè)務(wù)風(fēng)險外，還需要考慮以下幾個主要的風(fēng)險因素：法律風(fēng)險、財務(wù)風(fēng)險和商譽風(fēng)險。

（1）法律風(fēng)險。試用電子銀行系統(tǒng)或電子政務(wù)等現(xiàn)實例子來理解法律風(fēng)險的問題。當(dāng)信息系統(tǒng)用于支持電子銀行或電子政務(wù)時，信息系統(tǒng)必定會在業(yè)務(wù)處理過程中收集一些必要的用戶或客戶信息。一般來說，用戶都不會太擔(dān)心這些信息會被泄露或者濫用，因為一般的銀行服務(wù)或政務(wù)服務(wù)都有相關(guān)的法律保護(hù)用戶的權(quán)益。通常法律條文會要求服務(wù)機構(gòu)的信息系統(tǒng)妥當(dāng)?shù)乇Ｗo(hù)用戶信息，以確保用戶的隱私不會泄露。一旦這些信息被泄露后，用戶或客戶就可以依據(jù)相關(guān)的法律追究擁有信息系統(tǒng)的機構(gòu)的責(zé)任。可見機構(gòu)所面臨的風(fēng)險并非是信息系統(tǒng)本身的安全風(fēng)險，也不是純粹技術(shù)上的風(fēng)險，而是機構(gòu)需要承擔(dān)的法律責(zé)任。因此，在當(dāng)前這個越來越重視個人隱私的環(huán)境下，威脅會導(dǎo)致機構(gòu)遭受損失，甚至?xí)捎谙到y(tǒng)漏洞而面臨法律風(fēng)險。在作者曾經(jīng)參與過的多個電子銀行和電子政務(wù)安全信息系統(tǒng)項目里，從其實踐的經(jīng)驗便明確地告訴我們，絕大部分的機構(gòu)領(lǐng)導(dǎo)對系統(tǒng)安全的首要目標(biāo)就是確保信息系統(tǒng)提供的電子服務(wù)能依從相關(guān)的法律法規(guī)要求，避免承擔(dān)日后可能面對的法律責(zé)任。

（2）財務(wù)風(fēng)險。財務(wù)風(fēng)險仍然是從機構(gòu)的管理角度來看待這一問題的。以上市公司的信息系統(tǒng)為例，上市公司的年度或季度財務(wù)報表在正式公布之前，在公司內(nèi)都屬于機密數(shù)據(jù)，因為一旦在正式公布之前泄露給外界，便很可能造成公司股價極大的波動，可能使得公司遭受極大的財務(wù)風(fēng)險。

（3）商譽風(fēng)險。商譽風(fēng)險是指，如果機構(gòu)的信息系統(tǒng)存在一些風(fēng)險或面臨挑戰(zhàn)，會對機構(gòu)本身的業(yè)務(wù)信譽或名聲造成一定的影響。仍以網(wǎng)上銀行為例，假設(shè)某一銀行的網(wǎng)上銀行系統(tǒng)存在漏洞被黑客攻擊，造成了客戶賬上的金額被盜竊或者轉(zhuǎn)移。這時銀行一般有兩種處理辦法可以選擇：一是承認(rèn)網(wǎng)上銀行系統(tǒng)本身存在漏洞，銀行需要為客戶的損失承擔(dān)責(zé)任，并由銀行來賠償客戶財產(chǎn)上的損失。如果信息系統(tǒng)面臨這樣的黑客威脅，銀行就必然面臨著財務(wù)風(fēng)險。二是銀行會選擇盡可能證明網(wǎng)上銀行系統(tǒng)不存在安全漏洞的問題，堅持是客戶自己對銀行賬號管理不善或者錯誤操作等原因?qū)е伦约旱呢敭a(chǎn)損失。如果銀行長期這么做，這家銀行的商譽就必定受到很大的影響。因此，特別是對用于電子商務(wù)系統(tǒng)的機構(gòu)而言，信息系統(tǒng)的安全挑戰(zhàn)中也面臨著商譽風(fēng)險。

由此可見，從機構(gòu)層面來看，信息系統(tǒng)所面臨的安全風(fēng)險，并不是單純幾個抽象理論的安全屬性，而是實實在在的與機構(gòu)目標(biāo)相關(guān)、為機構(gòu)業(yè)務(wù)服務(wù)、實現(xiàn)機構(gòu)利益的過程中所面臨的風(fēng)險。工程人員在構(gòu)建信息系統(tǒng)的過程中，切不可忘了這一前提。

1.3 信息系統(tǒng)安全體系概述

以上內(nèi)容概述性地介紹了信息系統(tǒng)和信息安全的相關(guān)歷史和概念及現(xiàn)狀。為了更深入系統(tǒng)地了解信息系統(tǒng)安全的基本概念，本節(jié)主要介紹信息系統(tǒng)安全體系的概念及組成，這將有助于從技術(shù)、管理、標(biāo)準(zhǔn)、法規(guī)等方面來理解信息系統(tǒng)安全。

1.3.1 信息系統(tǒng)安全體系

機構(gòu)為了實現(xiàn)其管理目標(biāo)，需要構(gòu)建和部署符合機構(gòu)發(fā)展需要的信息系統(tǒng)。信息系統(tǒng)需要符合機構(gòu)在業(yè)務(wù)、信息、解決方案及技術(shù)等方面多個維度的目標(biāo)。其中，安全目標(biāo)是技術(shù)方面的目標(biāo)之一。為了實現(xiàn)安全目標(biāo)，信息系統(tǒng)需要部署與安全相關(guān)的物理組件和邏輯組件。而這些與安全相關(guān)的組件便構(gòu)成了常見的信息系統(tǒng)安全體系（Information Systems Security Architecture， ISSA）。

一般而言，ISSA主要包括四個方面：

· 信息系統(tǒng)安全技術(shù)體系；

· 信息系統(tǒng)安全管理體系；

· 信息系統(tǒng)安全標(biāo)準(zhǔn)體系；

· 信息系統(tǒng)安全法律法規(guī)。

圖 1-1所示的信息系統(tǒng)安全體系框架顯示了這幾個方面的關(guān)系。這一框架將有助于信息系統(tǒng)安全的全面實現(xiàn)，完整的信息系統(tǒng)安全體系應(yīng)圍繞著以上四個方面展開。具體而言，即以法律法規(guī)作為安全目標(biāo)和安全需求的依據(jù)；以標(biāo)準(zhǔn)規(guī)范體系作為檢查、評估和測評的依據(jù)；以管理體系作為風(fēng)險分析與控制的理論基礎(chǔ)與處理框架；以技術(shù)體系作為風(fēng)險控制的手段與安全管理的工具。

在接下來的幾節(jié)中將逐一介紹這幾個與安全相關(guān)的體系，以及它們在構(gòu)建安全信息系統(tǒng)時的相互關(guān)系。

1.3.2 信息系統(tǒng)安全技術(shù)體系

信息系統(tǒng)安全技術(shù)體系是對實現(xiàn)安全信息系統(tǒng)所采用的安全技術(shù)的構(gòu)建框架，包括：信息系統(tǒng)安全的基本屬性，信息系統(tǒng)安全的組成與相互關(guān)系，信息系統(tǒng)安全等級劃分，信息系統(tǒng)安全保障的基本框架，信息系統(tǒng)風(fēng)險控制手段及其技術(shù)支持等。

從具體的應(yīng)用軟件構(gòu)建劃分，信息系統(tǒng)安全技術(shù)體系分為傳輸安全、系統(tǒng)安全、應(yīng)用程序安全和軟件安全。一個常見的理解是信息系統(tǒng)安全技術(shù)體系的角度。根據(jù)所涉及技術(shù)的不同，可將信息系統(tǒng)安全技術(shù)體系粗略地分為以下幾項技術(shù)：

· 信息系統(tǒng)硬件安全；

· 操作系統(tǒng)安全；

· 密碼算法技術(shù)；

· 安全協(xié)議技術(shù)；

· 訪問控制管理；

· 安全通信技術(shù)；

· 應(yīng)用程序安全；

· 身份識別和認(rèn)證管理技術(shù)；

· 入侵監(jiān)測技術(shù)；

· 防火墻技術(shù)等安全信息系統(tǒng)的構(gòu)建技術(shù)。

這些技術(shù)都是構(gòu)建安全信息系統(tǒng)的必要模塊，而且必須合理有序地連接起來，形成一個支撐安全信息系統(tǒng)的技術(shù)平臺。

圖1-2所示的信息系統(tǒng)安全技術(shù)體系框架，可以幫助了解這些安全模塊在實際構(gòu)建安全信息系統(tǒng)時它們之間的相互關(guān)系。

1.3.3 信息系統(tǒng)安全管理體系

一個機構(gòu)的信息系統(tǒng)安全管理體系，是從機構(gòu)的安全目標(biāo)出發(fā)，利用機構(gòu)體系結(jié)構(gòu)這一工具分析并理解機構(gòu)自身的管理運行架構(gòu)，并納入安全管理理念，對實現(xiàn)信息系統(tǒng)安全所采用的安全管理措施進(jìn)行描述，包括信息系統(tǒng)的安全目標(biāo)、安全需求、風(fēng)險評估、工程管理、運行控制和管理、系統(tǒng)監(jiān)督檢查和管理等方面，以期在整個信息系統(tǒng)開發(fā)生命周期內(nèi)實現(xiàn)機構(gòu)的全面可持續(xù)的安全目標(biāo)。其中，機構(gòu)體系結(jié)構(gòu)將在第3章詳細(xì)介紹，信息系統(tǒng)開發(fā)生命周期將在第16章詳細(xì)介紹。

信息系統(tǒng)安全管理體系范圍廣闊，主要包括以下內(nèi)容：

· 安全目標(biāo)確定；

· 安全需求獲取與分類；

· 風(fēng)險分析與評估；

· 風(fēng)險管理與控制；

· 安全計劃制定；

· 安全策略與機制實現(xiàn)；

· 安全措施實施。

信息系統(tǒng)安全管理體系框架圖如圖1-3所示。

信息系統(tǒng)的構(gòu)建主要基于安全目標(biāo)和風(fēng)險。因為作為一套為機構(gòu)業(yè)務(wù)提供服務(wù)的信息系統(tǒng)，在它的構(gòu)建過程中，工程人員首先要考慮信息系統(tǒng)在安全方面需要滿足哪些安全目標(biāo)，然后再分析評估所面臨的風(fēng)險。因此，信息系統(tǒng)安全管理體系要建構(gòu)在安全目標(biāo)和風(fēng)險管理的基礎(chǔ)之上。

信息系統(tǒng)安全管理體系各組成部分的關(guān)系具體如下：

（1）信息系統(tǒng)的安全目標(biāo)由與國家安全相關(guān)的法律法規(guī)、機構(gòu)組織結(jié)構(gòu)、機構(gòu)的業(yè)務(wù)需求等因素確定；

（2）將安全目標(biāo)細(xì)化、規(guī)范化為安全需求，安全需求再按照信息資產(chǎn)（如業(yè)務(wù)功能、數(shù)據(jù)）的不同安全屬性和重要性進(jìn)行分類；

（3）安全需求分類后，要分析系統(tǒng)可能受到的安全威脅和面臨的各種風(fēng)險，并對風(fēng)險的影響和可能性進(jìn)行評估，得出風(fēng)險評估結(jié)果；

（4）根據(jù)風(fēng)險評估結(jié)果，選擇不同的應(yīng)對措施和策略，以便管理和控制風(fēng)險；

（5）制定安全計劃；

（6）設(shè)定安全策略和相應(yīng)的實現(xiàn)策略的機制；

（7）實施安全措施。

很明顯，在信息系統(tǒng)安全管理體系的組成部分里，有很多的管理概念與管理過程并不屬于技術(shù)的范疇，但同時卻是選擇技術(shù)手段的依據(jù)。例如，信息資產(chǎn)的重要性、風(fēng)險影響的評估、應(yīng)對措施的選擇等問題，都需要機構(gòu)的最高管理層對機構(gòu)的治理、業(yè)務(wù)的需要、信息化的成本效益、開發(fā)過程管理等問題上做出管理決策。所以，從機構(gòu)目標(biāo)的角度看，信息安全管理并不是單純的技術(shù)管理，它也涉及整個機構(gòu)長遠(yuǎn)發(fā)展的管理（Administration）。

在本書中，由于篇幅所限，安全管理主要圍繞著安全需求和風(fēng)險兩個關(guān)鍵概念進(jìn)行闡述，分別在第2～7章中介紹相關(guān)的信息系統(tǒng)安全管理的內(nèi)容。

1.3.4 信息系統(tǒng)安全標(biāo)準(zhǔn)體系

標(biāo)準(zhǔn)是技術(shù)發(fā)展的產(chǎn)物，它又進(jìn)一步推進(jìn)技術(shù)的發(fā)展。完整的信息系統(tǒng)安全標(biāo)準(zhǔn)體系，是建立信息系統(tǒng)安全體系的重要組成部分，也是信息系統(tǒng)安全體系實現(xiàn)規(guī)范化管理的重要保證。

信息系統(tǒng)安全標(biāo)準(zhǔn)體系是對信息系統(tǒng)安全技術(shù)和安全管理的機制、操作和界面的規(guī)范，是從技術(shù)和管理方面以標(biāo)準(zhǔn)的形式對有關(guān)信息安全的技術(shù)、管理、實施等具體操作進(jìn)行的規(guī)范化描述。

除了安全標(biāo)準(zhǔn)體系能對信息安全的技術(shù)、管理、實施進(jìn)行規(guī)范之外，國家及行業(yè)的相關(guān)安全標(biāo)準(zhǔn)規(guī)范也明確地規(guī)定了安全的根本目標(biāo)和安全需求。因此，機構(gòu)在構(gòu)建信息系統(tǒng)之前，必須先明確機構(gòu)的安全目標(biāo)和安全需求，確保將要實現(xiàn)的信息系統(tǒng)安全特性真正地符合機構(gòu)的目標(biāo)，此時，國家法律法規(guī)和標(biāo)準(zhǔn)規(guī)范就將作為制定目標(biāo)和需求的依據(jù)。信息系統(tǒng)安全標(biāo)準(zhǔn)體系框架如圖1-4所示。

1.3.5 信息系統(tǒng)安全法律法規(guī)

信息系統(tǒng)安全法律法規(guī)是信息系統(tǒng)安全體系中極為重要的組成部分，也是信息系統(tǒng)安全必須遵循的基線。

為了控制機構(gòu)保密和安全風(fēng)險，了解一個機構(gòu)的法律責(zé)任和道德義務(wù)至關(guān)重要。現(xiàn)代社會中，法律訴訟案件極為常見，為了避免刑事懲罰，降低民事責(zé)任所帶來的財務(wù)損失，機構(gòu)所構(gòu)建的信息系統(tǒng)在設(shè)計、實施和管理上必須遵守機構(gòu)所在國家的信息安全相關(guān)的法律法規(guī)，以及相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。

因此，信息安全從業(yè)人員必須理解當(dāng)前的法律環(huán)境，及時了解出臺的相關(guān)法律、規(guī)則。只有符合法律規(guī)定和標(biāo)準(zhǔn)要求，適當(dāng)?shù)厥褂眯畔⒓夹g(shù)和信息安全技術(shù)，才能使信息系統(tǒng)為實現(xiàn)機構(gòu)的首要目標(biāo)起到積極作用。

信息系統(tǒng)安全法律法規(guī)的具體內(nèi)容將在第5部分“信息系統(tǒng)安全標(biāo)準(zhǔn)規(guī)范與法律法規(guī)”中的第13、14章詳細(xì)介紹。

1.4 小結(jié)

前面從技術(shù)、管理、標(biāo)準(zhǔn)、法律法規(guī)等四個體系介紹了信息系統(tǒng)安全體系的各組成部分和作用。至此，信息系統(tǒng)安全體系可以通過一個包含以上四個體系的整體框架來描述、理解。

圖 1-1所示的是信息系統(tǒng)安全體系框架，深入理解這一框架，將有助于信息系統(tǒng)安全的全面實現(xiàn)。完整的信息系統(tǒng)安全體系應(yīng)圍繞著以上四個方面展開。具體而言，即以法律法規(guī)作為安全目標(biāo)和安全需求的依據(jù)；以標(biāo)準(zhǔn)規(guī)范體系作為檢查、評估和測評的依據(jù)；以管理體系作為風(fēng)險分析與控制的理論基礎(chǔ)與處理框架；以技術(shù)體系作為風(fēng)險控制的手段與安全管理的工具。

作為本書的第1章，本章從信息系統(tǒng)和信息安全的發(fā)展歷程開始，讓讀者了解信息安全的相關(guān)概念、信息系統(tǒng)安全體系等內(nèi)容。通過學(xué)習(xí)和理解這些內(nèi)容，我們能夠整體地了解什么是信息系統(tǒng)，信息系統(tǒng)的安全問題從何而來，信息系統(tǒng)安全體系大致如何。本章也簡要介紹了本書的目標(biāo)、范圍和閱讀對象，這也便于讀者能對本書有全面的認(rèn)識。