【软件系统架构】系列九：系统安全—信息安全的保证体系与评估方法

目录

一、信息安全保证体系的核心逻辑

第一级：用户自主保护级

第二级：系统审计保护级

第三级：安全标记保护级

第四级：结构化保护级

第五级：访问验证保护级

二、风险管理体系：动态安全保障

1.风险管理核心目标

2.风险评估实施前的准备

3.风险评估的基本要素

4.风险计算模型

4.1 风险计算公式

4.2 举例说明

4.3 小结：

三、信息安全风险评估流程

1.准备阶段

2.资产识别与赋值

3.威胁分析

4.脆弱性分析

5.风险计算

6.风险处置

7.风险监控与再评估

四、体系与评估的协同作用

五、实践建议

---

一、信息安全保证体系的核心逻辑

信息安全保证体系是一套标准化、分层次的防护框架，旨在确保信息系统在面对威胁时保持机密性、完整性和可用性（CIA 三元组）。 GB17859-1999 将计算机系统的可信计算基（TCB）按防护能力划分为 五个等级，由低到高递进：

---