集成指的是,将一些孤立完整独立的事物或者元素通过某种方式集中在一起,产生联系,从而构成一个有机整体。安全集成指的是,按照信息系统建设的安全需求,采用信息系统安全工程的方法和理论,将安全单元、产品部件进行集成的行为或活动。
安全集成可分为两种模式:
1、安全的集成。指的是在现有信息系统基础上,增加信息安全子系统或者信息安全设备,以提高该信息安全系统的安全性。
2、集成的安全。指的是在新建信息系统的结构化设计中考虑信息安全的保证因素,确保建设完成后的信息系统满足建设初衷。
在现实生活中,两种模式是相互同时存在的,比如说一个工程既包含“集成的安全”的建设开发工作,同时也有“安全的集成”的系统加固过程。这主要是由于信息系统的复杂性和不同步性造成的。
一、安全的集成
该模式包含以下8个环节:符合性要求、风险分析、措施盘点、措施计划、措施实施、监视、评审、改进。
符合性要求:指集成活动的合法性、对行业规章制度、标准要求的遵守程度。
风险分析:明确信息资产,分析脆弱性以便在集成过程中优先解决高风险项。
措施盘点:清点解决方案、并对方法可行性进行研究。
措施计划:对措施进行盘点之后,编制措施实施方案。
监视:对实施后的安全措施进行态势分析。
评审:发现系统中存在的漏洞、错误。
改进:针对评审过程中出现的问题,重新审视,调整。
二、集成的安全
该模式下包含以下8个环节:符合性要求、风险分析、集成与安全设计、工程实施、安全评测、监视、评审、改进。
符合性要求、风险分析、监视、评审、改进,这5项与模式1重复,这里不再赘述。
集成与安全设计:新建一个安全系统,在新系统里考虑安全问题。
工程实施:新建系统的开发与实施,包括新系统的编码、测试等。
安全评测:对新建成的安全系统进行安全性测试与评估。
对于第三方信息安全企业来说,一般进行的集成业务都是安全的集成,也可以称作安全加固。安全加固对于每个企业及信息系统都十分重要。