12.5 Modelo de seguridad
El modelo de aseguramiento de la seguridad de la información involucra tres niveles, a saber, el ciclo de vida del sistema de información, los elementos de aseguramiento de la seguridad de la información y las características de la seguridad de la información. Se pone más énfasis en conceptos como el entorno operativo, el ciclo de vida y la seguridad de los sistemas de información. El ciclo de vida se divide en planificación y organización, desarrollo y adquisición, implementación y entrega, operación y mantenimiento, y los elementos de soporte se dividen en cuatro elementos: tecnología, gestión, ingeniería y personal; Las propiedades de seguridad se refieren a confidencialidad, integridad y confidencialidad.
Si colocas estos tres niveles en un cubo, la superficie superior es el ciclo de vida, la superficie frontal son los cuatro factores de seguridad principales y la evaluación son las tres características de seguridad principales.
Este modelo tiene cuatro características principales:
1) Tomar los riesgos y las estrategias como núcleo y fundamento de la seguridad de la información;
2) Este modelo enfatiza que Continuamente características de seguridad dinámicas en evolución. La seguridad de la información no es un proceso único. A lo largo de todo el ciclo de vida de un sistema de información, cada vínculo es inseparable de la seguridad. La seguridad pasa por los sistemas de información desde la planificación y organización, el desarrollo y la adquisición, la implementación y entrega, la operación y el mantenimiento hasta la eliminación.
3) El modelo enfatiza el concepto de protección integral. Es lograr objetivos de seguridad a través de cuatro elementos de seguridad y brindar confianza en la seguridad de los sistemas de información a través de la evaluación de seguridad de los cuatro elementos.
4) Con base en los riesgos y estrategias, implementar los cuatro aspectos de seguridad en la vida; ciclo de los elementos del sistema de información para lograr características de seguridad y lograr el propósito fundamental de garantizar que la organización cumpla con su misión.
La seguridad de la información tiene miedo de poner el carro delante del caballo, centrarse en la seguridad e ignorar la misión y tareas de la organización. El propósito fundamental de construir un sistema de información es mejorar la eficiencia y efectividad del trabajo y utilizar la tecnología de la información para ayudar a las organizaciones a lograr estrategias y objetivos establecidos más rápido y mejor. Todas las medidas de seguridad deben y sólo pueden servir a este objetivo.
Una organización creó un sistema de sitio web con un coste publicitario de menos de 30.000 yuanes. Si se añaden instalaciones de protección de seguridad, el coste rondará los 50.000 yuanes. La necesidad de proteger la seguridad se ha convertido en una elección difícil para las organizaciones.
El artículo 21 de la "Ley de Ciberseguridad" estipula: "El Estado implementa un sistema de notificación del nivel de seguridad de la red. Los operadores de red deberán, de acuerdo con los requisitos del sistema de protección del nivel de seguridad de la red, realizar la siguiente protección de seguridad obligaciones para garantizar que la red no esté sujeta a interferencias, destrucción o acceso no autorizado, y evitar que los datos de la red sean filtrados, robados o manipulados...". Una vez que un sitio web es atacado por delincuentes y publica lemas reaccionarios u otros comentarios que afectan la estabilidad social, definitivamente causará problemas a los operadores del sistema de red. ¿Cómo elegir entre coste y ley?
Según el modelo de seguridad de los sistemas de información, los problemas de operación y mantenimiento ocurren en las etapas de planificación y organización de los sistemas de información, careciendo de consideraciones de seguridad. Si se consideran los factores de seguridad en la etapa inicial del ciclo de vida del sistema del sitio web y se demuestra la viabilidad del proyecto, el proyecto se abandonará si el costo es alto, si el costo es aceptable, el proyecto continuará promoviéndose;
En esta etapa, también podemos continuar evaluando los riesgos para el sistema. Si los riesgos son aceptables, seguiremos adelante con el proyecto. Si no pueden aceptarlo, simplemente nos rendiremos y aceptaremos la pérdida de la inversión inicial del proyecto. Al mismo tiempo, la Ley de Ciberseguridad también propone el concepto de "tres sincronizaciones", a saber, "planificación sincrónica, implementación sincronizada y uso sincronizado", que también es la encarnación de la conciencia de seguridad a lo largo del ciclo de vida de los sistemas de información.
Los constructores de sistemas de información no sólo deben considerar el papel del sistema de información en la promoción de la producción, sino también considerar los nuevos riesgos que trae a la organización después de la construcción del sistema de información. Sólo mediante la introducción de modelos de seguridad de los sistemas de información y la mejora de la conciencia sobre la seguridad de la red la informatización puede contribuir a la organización.