5.阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。
【说明】
设计源于需求,需求源于目标。要弄清安全的需求,就要首先明确安全的管理目标。一般而言,针对安全的管理目标包括政策需求和业务需求。获取和分析安全需求通常是从国家法律、组织政策、业务策略和责任追究等方西出发,而这些都是系统管理层需要考虑的内容。安全信息系统构建的最终目标,就是要求通过多层次手段最终所实现的信息系统完全满足管理层的要求。
在初始盼段和设计阶段,为了确保信息系统的安全属性真正达到设计时确定的安全目标,安全设计可以参照以下几个设计原则:
需要对应用系统进行风险分析;
确认安全风险并将安全需求具体化;
通过在应用中实现安全机制来满足安全需求;
安全机制被正确地设计。
在实施阶段至最终处理阶段,安全设计可以参照以下几个设计原则:
需要正确地实施安全机制;需要正确地配置安全属性;
需要正确地使用和管理安全属性;
针对信息系统的安全管理有清晰的安全目标;
安全管理包括对安全需求的管理,例如,要对风险和成本进行平衡,以确保满足管理目标。
在安全信息系统构建过程中,需要遵循这些原则采取具体的机制和措施,以求达到安全目标和安全需求。
信息系统安全体系(ISSA) ,其基本框架如下图所示。