信息系统的保护是一项系统工程。需要各个环节各个阶段都进行部署。这非常类似于软件工程,所以说信息系统也有一个安全工程的过程。
最关键的是在信息设计阶段,根据信息系统的安全需求分析,同时涉及信息系统安全等级和功能将信息系统的安全功能作为信息系统不可分割的一部分,相互融合,形成一个完整的整体。
同时将设计的信息系统安全功能与信息系统的功能一并进行测试,达到应用以及安全的所有等级要求。
所有阶段完成以后非常类似于软件开发的成熟度模型cmm,卡内基梅隆大学软件工程研究所。同时开发了一安全工程的成熟度模型双sse-cmm,其中包含61种基本活动,被分成11个类,管理过程。根据通用实施分为5个能力级别:非正规实施级、规划和跟踪级,充分定义级、量化控制级别,持续改进级别。
这个模型用来检验安全工程的水准,且可以规范流程。
-------------------------------分割线------------------------------------------------
然而,就像软件工程的开发并不是一蹴而就的,包含迭代型等开发模式信息系统安全工程的实施也并不是一蹴而就的。而且新的黑客技术和其他安全威胁不断涌现出来。因此,信息安全只是相对的安全,但是这并不意味着人对信息安全的问题无能为力,听之任之。随着时间的推移,技术的完善认识和技术能力的不断提升,信息安全需要持续的加强,不断的完善。
基于这样的认识,为了提供信息安全的防护能力的不足。在休息室的安全运行过程阶段,需要采用基于时间维度的pdr信息安全保障。
这样以来,系统始终在保护、监测和响应三者之间循环。先用现有的策略提供保护,保护所有的客体不受侵犯,然后及时的监测新的漏洞,补充新的补丁,及时的发现各种异常的不安全因素,然后根据之前发现进行及时的响应。再次进入新的循环当中。
此外还有另外两种方式,分别是预警和主动出击。预警是一种宏观控制,对当前和未来发生的重大安全问题作出提前的预警,防范于未然,预警最好是通过国家层面的相关安全机构来组织实施。主动出击是对网络化的虚拟社会当中的一些与社会为敌的破坏组织尽可能先发制人地消灭他们,保护己方的信息安全。
然而安全是一个复杂的系统工程,需要多角度多层次多维度进行论证。空间维、层次维、等级维、时间唯。本文仅通过时间维进行分析,只有所有维度都进行统一分析才能立体化的看待网络安全问题。
