重视信息系统安全理论的研究与应用

摘要

本文针对国内在开发信息系统的过程中不重视信息安全理论应用的现状,提出了作者的应该在信息安全理论指导下开发安全信息系统的观点.文中首先介绍信息系统安全的基本原理和适用于安全信息系统的三大安全控制策略及其对应的安全模型的基本概念与功用,它们分别是访问控制策略和访问矩阵模型,信息流控制策略和军用安全模型、BLP模型与Biba模型,以及数据库的推理控制策略与推理泄漏控制模型.然后讨论了安全信息系统的开发方法与步骤,指出策略设计和建立安全模型与验证阶段是非常重要的两个阶段,这是自主建设安全可信的信息系统的关键.最后讨论了在安全信息系统开发过程中应该注意的几个问题,供开发者参考.