信息安全保障模型涉及三個層次,即信息系統的生命周期、信息安全的保障要素和信息安全的特征。更強調信息系統的運行環境、生命周期、安全等概念。生命周期分為計劃與組織、開發與采購、實施與交付、運行與維護和廢棄;保障要素分為技術、管理、工程、人員四個要素。安全特性是指機密性、完整性和保密性。
如果把這三個層次放在壹個立方體上,頂面是生命周期,正面是四大安全要素,評價是三大安全特性。
這種模式有四個主要特點:
1)把風險和策略作為信息安全的核心和基礎;
2)該模型強調可持續發展的動態安全特征。信息安全不是壹次性的過程。在信息系統的整個生命周期中,每個環節都離不開安全。信息系統從規劃與組織、開發與采購、實施與交付、運維、廢棄,安全始終貫穿其中。
3)模型強調綜合保障的概念。是通過四個安全要素實現安全目標,通過四個要素的安全評估為信息系統的安全提供信心;
4)基於風險和策略,在信息系統的生命周期中實施四個安全要素,以實現安全特性,達到保證組織執行其使命的根本目的。
信息安全怕本末倒置,把安全作為重點工作,忽視了組織的使命和任務。建設信息系統的根本目的是提高工作效率和效果,借助信息化手段幫助組織更快更好地實現既定的戰略和目標。所有的安全措施都應該並且只能服務於這個目標。
某機構搭建了壹個網站系統,宣傳費用不到3萬元。如果加上安全防護設施,費用在5萬元左右。安全防護是否必要,成為機構選擇的難題。
《網絡安全法》第二十壹條規定,“國家實行網絡安全等級報告制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,確保網絡不受幹擾、破壞或者未經授權的訪問,防止網絡數據被泄露、竊取或者篡改……”。壹旦網站被不法分子攻擊,張貼反動標語或其他影響社會穩定的言論,肯定會給網絡系統的運營者帶來麻煩。在成本和法律之間如何選擇?
根據信息系統的安全模型,運維問題出現在信息系統的規劃和組織階段,缺乏安全考慮。如果在網站系統生命周期的初始階段就考慮安全因素,並對項目的可行性進行論證,成本高就放棄項目;如果成本可以接受,繼續推進項目。
在這個階段,我們還可以繼續評估系統面臨的風險。如果風險可以接受,我們會繼續推進這個項目。如果他們不能接受,我們就直接放棄,接受前期項目投資的損失。同時,網絡安全法還提出了“三同步”的概念,即“同步規劃、同步實施、同步使用”,這也是安全意識貫穿信息系統生命周期的體現。
信息系統的構建者不僅要考慮信息系統對生產的促進作用,還要考慮信息系統構建後給組織帶來的新風險。只有引入信息系統安全模型,增強網絡安全意識,信息化才能為組織做出貢獻。