安全需求是测定和实现安全策略的依据。对一个完整体系的信息系统安全来说.由于风险和安全策略是矛盾的双方.因此风险和安全策略应该是对立统一的。风险是安全裔求的催化剂,安全策路是风险的制约者或终结者。由于风险具有时间动态性和空间分布性.因此安全要求也必须是时间动态的和空间分布的。 一般来说,由于人们对风险有一个认识过程.因面安全需求总是落后于风险的发生和发展。但信息系统安全体系的研究者和设计者的最高目标,则是从研究信息系统风险的一般规律入手,认识和拿握信息系统风险状态和分布情况的变化规律.提出安全需求,建立起其有自适应能力的信息安全模型。从而驾驭风险,使信息系统风险被控制在可接受的.小限度内,并渐近于零风险。实际上.零风险水远是一个可期不可达的目标.因此信息系统安全的成功标志是风险的最小化、收敛性和可控性,而不是零风险.
一般认为.信息系统风险是系统脆弱性或漏洞。以及以系统为目标的威胁和威胁的总称。系统脆弱性和/或漏洞是风险产生的原因,威胁或攻击是风险的结果。从另一个角度看.风险的客体是系统脆弱性或漏洞.风险的主体是针对客体的威胁或攻击。可见.当风险的因果或主客体在时空上一致时.风险就危及或破坏了系统安全,或者说信息系统处于不绝定、不安全状态中。这种情况正是信息系统安全必须规避的。
阅读(1155) | 评论(0) | 转发(0) |
