现行建筑工程施工质量验收规范,现有的信息安全管理模型

现行建筑工程施工质量验收规范

现行建筑工程施工质量验收规范

建筑工程施工质量检查与验收规范和标准。建筑工程施工质量检查与验收要执行现行国家标准《建筑工程施工质量验收统一标准》（GB50300——2001，以下简称“统一标准”）和与之配套的各专业验收规范，检查和验收时强调“统一标准”和各专业验收规范配套使用。

建筑工程涉及的专业众多，工种和施工工序相差很大，为了解决实际运用中的问题，结合我国施工管理的传统和技术发展的趋势，形成了以“统一标准”和各专业验收规范组成的标准、规范体系，在使用中他们必须配套使用。建筑工程质量检查与验收现象使用规范主要如下。

《建筑工程施工质量验收统一标准》（GB50300——2001）

《建筑地基基础工程施工质量验收规范》（GB50202——2002）

《砌体工程施工质量验收规范》（GB50203——2002）

《混凝土结构工程施工质量验收规范》（GB50204——2002）

《钢结构工程施工质量验收规范》（GB50205——2002）

《木结构工程施工质量验收规范》（GB50206——2002）

《屋面工程质量验收规范》（GB50207——2002）

《地下防水工程质量验收规范》（GB50208——2002）

《建筑地面工程施工质量验收规范》（GB50209——2002）

《建筑装饰装修工质量验收规范》（GB50210——2002）

《建筑给水排水及采暖工程施工质量验收规范》（GB50242——2002）

《通风与空调工程施工质量验收规范》（GB50243——2002）

《建筑电气工程施工质量验收规范》（GB50303——2002）

《智能建筑工程施工质量验收规范》（GB50339——2003）

《电梯工程施工质量验收规范》（GB50310——2002）

《建筑节能工程施工质量验收规范》（GB50411——2007）

在以上的9个涉及土建工程的专业规范、6个涉及建筑设备安装工程的专业规范中，凡是规范名称中没有“施工”二字的，主要内容除了施工质量方面的以外，还含有设计质量的内容。“统一标准”作为整个验收规范体系的指导标准，是统一和指导其余各专业施工质量验收规范的总纲。

现有的信息安全管理模型

信息安全管理模型是对信息安全管理的1个抽象化描述。它是组织建立信息安全管理体系的基础。目前，在对安全理论、安全技术和安全标准研究的基础上，不同的组织都提出了相应的信息安全管理模型。这些模型的侧重点不同，对信息安全的管理方式也不同。

OSI安全体系结构OSI安全体系结构的研究始于1982年，到1989年又制定了一系列特定安全服务的标准，其成果标志是ISO发布的 ISO 7498-2 标准。OSI安全体系模型主要包含3方面的内容：

1）安全服务：包含认证服务、访问控制服务、数据保密服务、数据完整性服务和抗抵赖服务。

2）安全机制：包含加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、业务流填充机制、路由控制机制、公正机制等。

3）安全管理：通过实施一系列安全政策，对系统和网络上的操作进行管理，包含系统安全管理、安全服务管理和安全机制管理。

PDRR 模型 PDRR(Protection Detection Response Recovery，如下图所 示)是1个比较成熟的网络安全模型，能够用于信息安全管理。该模型由防御、检测、响应、恢复组成了1个动态的信息安全周期。安全政策的每一部分包含一组安 全单元来实现一定的安全功能。安全策略的第一部分是防御。根据系统已知的所有的安全问题做出防御措施，如打补丁、访问控制、数据加密等等。安全策略的第二 部分就是检测。攻击者假如穿过了防御系统，检测系统就会检测出来。这个安全战线的功能就是检测出入侵者的身份，包含攻击源、系统损失等。一旦检测出入侵， 响应系统开始响应，包含事件处理和其他业务。安全策略的最后1个战线是系统恢复。在入侵事件发生后，把系统恢复到原来的状态。

PDRR模型

信息安全管理 PDCA 持续改进模式该模型的结构如下图所示。

信息安全管理PDCA持续改进模式

P——策划：根据组织的商务运作需求（包含顾客的信息安全要求）及有关法律法规要求，明确安全管理范围与策略，通过风险评估建立控制目标与方式，包含必要的过程与商务持续性计划。

D——实施：实施过程，即组织要按照组织的策略、程序、规章等规定的要求，也就是按照所选定的控制目标与方式进行信息安全控制。

C——检查：根据策略、目标、安全标准即法律法规要求，对安全管理过程和信息系统的安全进行监视与验证，并报告结果。

A——行动：对策略适宜性评审与评估，评价ISMS 的有效性，采取措施，持续改进。

HTP信息安全模型该模型（如下图所示）由三部分组成：人员与管理（Human and management）、技术与产品（Technology and products）、流程与体系（ProCEss and framework）。

HTP信息安全模型

人员与管理：从国家的角度考虑有法律、法规、政策问题；从组织角度考虑有安全方针政策程序、安全管理、安全教育与培训、组织文化、应急计划和业务持续性管理 等问题。人是信息安全最活跃的因素，人的行为是信息安全保障最主要的方面；从个人角度来看有职业要求、个人隐私、行为学、心理学等问题。

技术与产品：组织能够依据“适度防范原则综合采用商用密码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备份恢复、PKI 服务、取证、网络入侵陷阱、主动反击等多种技术与产品来保护信息系统安全。

流程与体系：组织应当遵循国内外相关信息安全标准与最佳实践过程，考虑到组织对信息安全的各个层面的实际需求，在风险分析的基础上引入恰当控制，建立合理的安全管理体系，从而保证组织赖以生存的信息资产的安全性、完整性和可用性。

其他模型

著名的美国互联网安全系统公司( ISS) 基于P2DR，提 出了自适应性网络安全模型(ANSM:adaptive network security model)。具体模型能够用 PADIMEE 来描述。安氏公司通过对技术和业务需求分析及对顾客信息安全的“生命周期考虑，在 7 个方面体现信息系统安全的持续循环：策略(policy) 、评估 (assessment) 、 设计 (design) 、 执行 (implementation) 、 管理(management) 、紧急响应(emergency response) 和教育(education) 。

中国科学院信息安全国家重点实验室的赵战生教授在一次信息安全会议报告中，给出了1个信息安全保障框架模型，在PDRR模型的基础上前加上1个 W(warning)，后加上1个 C(counterattack)，反映了6大能力，分别是预警能力、保护能力、检测能力、反应能力、恢复能力和反击能力。