《信息安全保障》一1.3 信息系统安全保障概念与模型

本节书摘来自华章出版社《信息安全保障》一书中的第1章，第1.3节，作者 吴世忠 江常青 孙成昊 李华 李静，更多章节内容可以访问云栖社区“华章计算机”公众号查看

1.3　信息系统安全保障概念与模型

满足不同需求具有各种功能的信息系统是信息化社会构成的基础，信息系统安全是确保信息系统结构与相关元素的安全，以及与此相关的各种安全技术、安全服务和安全管理的总和。与信息安全相比，信息系统安全更具有体系性、可设计性、可实现性和可操作性。

1.3.1　信息系统安全保障概念

信息系统安全保障是在信息系统的整个生命周期中，从技术、管理、工程和人员等方面提出安全保障要求，确保信息系统的保密性、完整性和可用性，降低安全风险到可接受的程度，从而保障系统实现组织机构的使命。

1.?信息系统
信息系统是具有集成性的系统，每一个组织中信息流动的总和都构成了一个信息系统。可以认为，信息系统是根据一定的需要来进行输入、系统控制、数据处理、数据存储与输出等活动所涉及的所有因素的综合体，如图1-5所示。现代信息系统是以计算机为基础，包括人员、硬件、软件、数据4种基本资源。
人员包括系统用户和系统专业人员。系统用户是信息系统的使用者，他们是利用信息系统或通过它产生信息的人；系统专业人员包括系统分析人员、程序编写人员与系统操作人员。系统分析人员根据用户的信息需求设计对应的信息系统；程序编写人员根据分析人员的说明书准备计算机程序；系统操作人员主要负责对信息系统的操作。
硬件资源包括计算机系统和载体。计算机系统包括中央处理器及其相关的外部设备，如图像监控、磁盘驱动器、打印机和扫描仪等；载体包括数据资源的存储介质材料，如硬盘、磁带和光盘等。
软件资源包括所有信息处理调用的指令，包括指示和控制计算机硬件的操作性指令（程序）和信息处理中使用的过程指令。程序包括操作系统程序、电子表格程序、文字处理程序等。过程包括数据输入流程、错误改正流程、数据传送流程等。
数据资源包括：由数字、字母以及其他字符组成，描述组织活动和其他事情的字母数字型数据；句子与段落组成的文本数据；图形和图表形式的图像数据；记录人与其他声音的音频数据。
满足不同需求的、具有各种功能的信息系统构成了信息化社会的基础，它提高了社会各个行业和部门的生产和管理效率，方便了人类的日常生活，推动了社会的发展前进。
2.?信息系统安全保障
信息系统处于不断变化的过程，在任何一个时间点上，系统安全状态与其过去的历史密切相关，过去决定现在。因此，信息系统安全保障是与信息系统的规划、设计、实现和运行等生命周期密切相关的。这些活动包括覆盖系统全生命周期的管理活动，系统从无到有的工程活动，系统从概念到设计的架构活动等。

图1-6说明信息系统安全保障中相关概念之间的关系。
（1）风险
信息安全风险产生的因素主要有信息系统自身存在的漏洞和来自系统外部的威胁。信息系统运行环境中存在具有特定威胁动机的威胁源，通过使用各种攻击方法，利用信息系统的各种脆弱性，对信息系统造成一定的不良影响，由此引发信息安全问题和事件。
（2）保障