3.3 等级化安全保障体系及其设计

安全保障体系的深度防御战略模型将防御体系分为保护对象框架和保护对策两部分组成[4]，其中保护对策框架包括策略体系、组织体系、技术体系和运作体系，保护对象框架包括计算环境、网络基础设施、区域边界和安全基础设施等几个部分。信息安全管理就是通过一系列的策略、制度和机制来协调这几部分的关系，明确技术实施和安全操作中相关人员的安全职责，从而达到安全风险的及时发现和有效控制，提高安全问题发生时反应速度和恢复能力，增强网络的整体安全保障能力[5]，总体结构如图3-2所示。

3.3.1 安全保护对象框架

安全保护对象框架是安全保护对象，即信息系统的抽象模型，是深度防御的目标和对象，由计算环境、网络基础设施、区域边界和安全基础设施组成。由于大多数信息系统规模大，各单位的信息系统之间存在差异，因此必须对信息系统进行抽象，形成统一的保护对象框架[6]；安全保护对象框架模型的设计，应准确地进行大系统的分解和描述，以反映实际特性和差异性安全要求[7]，具体设计参见第4章。

3.3.2 安全保护对策框架

安全保护对策框架是根据信息系统所面临的威胁而制定的安全要求，为确保信息的机密性、完整性、可用性，将风险降低到可接受的水平，通过从技术、运作、组织和策略等方面提出的安全对策的集合。通过威胁分析和风险评估工作，根据部门/行业的特点，设计和定制等级化安全对策框架，并针对部门/行业现状选择安全对策及其等级[6]，如图3-3所示。

（1）安全框架层次结构和分类

信息系统安全对策框架体系包括安全策略、安全组织、安全运作和安全技术4个子安全对策框架，分别包括一系列对策类，对策类可进一步细分对策子类，甚至对策子类也可以再次细分为对策子类。细分到最后的对策类和对策子类由对策构成。对策中则是一些较为具体的安全控制。通过对不同强度和数量安全控制的组合，将对策分级[8]。

（2）安全对策框架等级划分

每个安全对策可分为3个等级，每一等级由若干条安全控制细则组成。一般通过安全控制细则的增强、增加来提高对策的等级。当安全对策某一等级中的所有安全控制细则均已实现时，可认为已达到该等级的对策。安全对策的等级划分，可参考GB 17859、GB/T 18336、TCSEC、SP800-53等国内外信息安全标准。

信息系统安全体系是以保护对象为经，以安全等级框架为纬，对保护对象逐个进行威胁和风险分析，从而形成信息系统安全体系，见表3-1。

（3）安全策略体系

安全策略体系[9]指的是从信息资产安全管理的角度出发[10]，为了保护信息资产，消除或降低风险而制订的各种纲领、制度、规范、标准和操作流程的总和[11]，详细设计参见第5章。

（4）安全组织体系

安全组织体系作为安全工作的管理和实施体系，主要负责安全策略、制度、规划的制订和实施，确定各种安全管理岗位和相应的安全职责[12]，并负责选用合适的人员来完成相应岗位的安全管理工作，监督各种安全工作的开展，协调各种不同部门在安全实施中的分工和合作，保证安全目标的实现[13]，详细设计参见3.5节。

（5）安全技术体系

安全技术体系包含鉴别和认证、访问控制、内容安全、冗余和恢复以及审计响应5个部分内容[14]，详细设计参见第6章。

（6）安全运作体系

安全运作体系，包括安全生命周期中各个安全环节的要求[15]，包括安全工程管理机制、安全预警机制、定期的安全风险识别和控制机制、应急响应机制和定期的安全培训机制等[16]，详细设计参见第7章。

3.3.3 等级化安全保障体系

在保护对象框架和安全对策框架形成后，根据等级化安全体系设计方法，进行威胁分析后，形成最终的等级化安全保障体系，主要包括将用户信息系统抽象模型生成的等级化保护对象框架[17]，针对保护对象的安全组织体系、策略体系、技术体系、运作体系以及实现整个体系的安全管理运行中心[18]，如图3-4所示。