第二部分是授权,这主要为特许用户提供合适的访问权限,并监控用户的活动,使其不越权使用。该部分与访问控制(常说的隔离功能)是相对立的。隔离不是管理的最终目的,管理的最终目的是要加强信息有效、安全的使用,同时对不同用户实施不同访问许可。

　　第三部分是加密。在上述的安全体系结构中,加密主要满足以下几个需求。

　　1.认证——识别用户身份,提供访问许可;

　　2.一致性——保证数据不被非法篡改;

　　3.隐密性——保护数据不被非法用户查看;

　　4.不可抵赖——使信息接收者无法否认曾经收到的信息。

　　加密是信息安全应用中最早开展的有效手段之一,数据通过加密可以保证在存取与传送的过程中不被非法查看、篡改、窃取等。在实际的网络与信息安全建设中,利用加密技术至少应能解决以下问题:

　　1.钥匙的管理,包括数据加密钥匙、私人证书、私密等的保证分发措施;

　　2.建立权威钥匙分发机构;

　　3.保证数据完整性技术;

　　4.数据加密传输;

　　5.数据存储加密

　　第四部分为审计和监控,确切说,还应包括数据备份,这是系统安全的最后一道防线。系统一旦出了问题,这部分可以提供问题的再现、责任追查、重要数据复原等保障。

　　在网络和信息安全模型中,这五个部分是相辅相成、缺一不可的。其中底层是上层保障的基础,如果缺少下面各层次的安全保障,上一层的安全措施则无从说起。如果一个企业没有对授权用户的操作规范、安全政策和教育等方面制定有效的管理标准,那么对用户授权的控制过程以及事后的审计等的工作就会变得非常困难。

　　网络安全之管理的安全

　　网络安全体系的建立和维护需要有良好的管理制度和很高的安全意识来保障。安全意识可以通过安全常识培训来提高，行为的约束只能通过严格的管理体制，并利用法律手段来实现，因国这些必须在电信部门系统内根据自身的应用与安全需求，制定安全管理制度并严格按执行，并通过安全知识及法律常识的培训，加强整体员工的自身安全意识及防范外部入侵的安全技术。