信息安全体系三种不同的系统架构：MIS+S、S-MIS S2-MIS

信息安全体系三种不同的系统架构：MIS+S、S-MIS S2-MIS

一、MIS+S系统架构

初级信息系统安全保障系统或基本信息安全保障系统。这种体系具有如下特点：

业务应用系统基本不变

硬件和系统软件通用

安全设备基本不带密码

不使用PKI/CA技术

二、S-MIS

　　标准信息安全保障系统。这种系统具有如下特点

硬件和系统软件通用

PKI/CA安全保障系统必须带密码

业务应用系统必须根本改变

主要的通用硬件、软件也要通过PKI/CA论证

三、S2-MIS——Super Security-MIS

　　超安全的信息安全保障系统，特点如下：

　　1、硬件和系统软件都是专用系统

　　2、PKI/CA安全基础设施必须带密码

　　3、业务应用系统必须根本改变

　　4、主要硬件和软件需要PKI/CA论证



S-MIS=Security Management Information System为“标准信息安全保障系统”，建立在PKI/CA基础上的信息安全保障系统。
完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。

信息系统的安全威胁分成七类，从风险源的角度划分，可以将安全威胁划分为：自然事件风险、人为事件风险、软件风险、软件过程风险、项目管理风险、应用风险、用户使用风险。

信息系统安全四个层次:设备安全、数据安全、内容安全、行为安全。数据安全即是传统的信息安全。

设备考虑稳定性、可靠性和可用性，除了硬件设备外，软件系统也是一种设备，也要确保软件设备的安全。
数据安全考虑其秘密性、完整性和可用性。
内容安全是在政治、法律、道德层次上的要求，政治健康、合法、不违背道德；其次，广义上还包括内容保密、信息隐藏、隐私保护、知识产权保护等。
行为安全是一种动态安全，强调的是过程安全，当行为过程偏离时，可以及时发现、控制和纠正。行为安全主要包括以下方面：
（1）行为的秘密性：行为的过程和结果不能危害数据的秘密性，必要时，行为的过程和结果也应是秘密的。
（2）行为的完整性：行为的过程和结果不能危害数据的完整性，行为的过程和结果是预期的。
（3）行为的可控性：当行为的过程出现偏离预期时，能够发现、控制或纠正。行为安全强调的是过程安全，体现在组成信息系统的硬件设备、软件设备和应用系统协调工作的程序（执行序列）符合系统设计的预期，这样才能保证信息系统的“安全可控”。