从信息安全五大要素谈安全架构建设

核心提示： 在统一的身份管理的基础上，实现统一的认证机制和认证系统，从信息安全五大要素谈安全架构建设(3)，认证系统负责对所有来访对象进行认证以确认来访者的合法身份，一旦来访者的身份获得认证之后，对规章制度落实情况的检查是必须的，例如，来访者取得合法的身份证并获得对资源访问的通行证，然而

在统一的身份管理的基础上，实现统一的认证机制和认证系统。认证系统负责对所有来访对象进行认证以确认来访者的合法身份。一旦来访者的身份获得认证之后，来访者取得合法的身份证并获得对资源访问的通行证。

然而，有了通行证并不能够对信息资源进行无限制的访问和使用。对某一个具体资源的使用权则需要相应的授权管理机制和系统。因此，建立一个统一的授权管理机制和系统也是非常重要的。而且，认证机制和授权机制之间的匹配问题也是必须要考虑的，例如，是按组织机构还是按照角色进行授权就决定了“身份证”或“通行证”所必须提供的不同身份信息。

统一的信息保密技术和完整性保护技术也是在安全架构体系下必须考虑的问题。PKI技术的广泛使用已经为信息保密技术和完整性保护提供了标准化的技术。另外，针对安全问题的日志和审计系统也是非常重要的。

有了统一的身份管理、认证管理、授权管理，以及统一的信息保密技术和完整性保护技术，信息化的安全架构雏形就基本形成。接下来的问题就是怎样与各个具体的资源管理和使用系统相结合，从而形成完整严密的信息安全体系。例如，企业内的认证需针对桌面系统用户，业务应用系统(基于Web或传统的)用户以及网络上直接的来访者，统一的认证体系一方面要利用统一的方式给合法用户“最大的方便”，另一方面要将统一认证的技术与具体的资源环境相结合。

企业的安全架构就是要制定出这些统一的安全机制和系统体系，同时考虑在信息化的各个环节的具体实施方法。

安全架构的形成也是制定企业安全标准体系的一个不可缺少的途径。在安全架构之下，结合国家和国际的安全标准建立起一套完整的企业安全规范。

安全涉及到人/技术/操作三个方面

无论什么样的安全技术都不可能十全十美，更何况，在安全技术的利用上也不可能尽善尽美。因此，仅仅靠技术手段建立起来的安全体系过于单薄，真正的安全必须是技术与管理并重。

安全管理的首先第一条就是安全管理的组织保障。安全管理的组织机构要保证安全政策的制定和执行，以及对安全问题的应急响应和支援处理。一支强有力的安全应急处理队伍是非常重要的，安全应急处理队伍由技术和管理人员组成。当信息系统受到攻击或出现安全隐患时，安全应急处理队伍能快速反应，在出现真正危机时排除安全隐患，或尽量减少因安全问题带来的损失。

很多安全问题的出现并不一定是技术上的漏洞，更多的是人为的原因。因此，安全规章制度的建立和安全意识的培养是信息化安全的重要组成部分。有了安全规章制度和安全意识的培养机制之后，对规章制度落实情况的检查是必须的。例如，有些企业对系统进行定期的模拟攻击就是一种很好的办法。