(1)全網動態安全體系模型
全網動態信息安全體系模型的提出者認為,網絡的安全是一個動態的概念。網絡的動態安全模型能夠提供給用戶更完整、更合理的安全機制,全網動態安全體系可用下 面的公式概括:網絡安全=風險分析+指定策略+系統防護+實時檢測+實時響應+恢復。即網絡安全是一個“APPDRR”的動態安全模型。
從信息安全體系的可實施、動態性角度,動態安全體系的設計充分考慮到風險評估、安全策略的制定、防御體系、監控與檢測、響應和恢復等各個方面,并且考慮到各部分之間的動態關系與依賴性。
提出“APPDRR”動態安全模型的學者認為,這一模型為網絡建立了四道防線:安全保護是第一道防線,能夠阻止對網絡的入侵和危害;安全檢測室網絡的第二道 防線,可以及時發現和入侵和破壞;實時響應是網絡的第三道防線,當攻擊發生時維持網絡“打不垮”;恢復是網絡的第四道防線,使得信息系統在遭受攻擊后能以 最快的速度恢復,最大程度上降低安全事件帶來的損失。
(2)P-D-C- A(Plan,Do,Check和Act,即戴明環)過程模式:計劃、實施、檢測和改進與評價。P-D-C-A模型是管理學中慣用的一個過程模型,該模型 最初應用于質量管理中。該模型在應用時,按照P-D-C-A的順序依次進行,一次完整的P-D-C-A可以看成組織在管理上的一個周期,每經過一次P- D-C-A循環,組織的管理體系都會得到一定程度的提高和完善,同時進入下一個更高級的管理周期,通過連續不斷的P-D-C-A循環,組織的管理體系能夠 得到持續的改進,管理水平將隨之不斷提升。
應用于信息安全管理的PDCA模型如圖5.2所示,圖5.2說明了如何把相關方的信息安全要求和期望作為輸入,并通過必要的行動和過程,產生滿足這些要求和期望的信息安全結果。我們可以認為ISO/IEC27001就是一個PDCA過程,那么這本身就是很多循環的嵌套。
(3)P3R2AME模型
P3R2AME 模型是由P2DRR發展而來,P2DRR模型是一種典型的信息安全控制模型,它是一種動態的、自適應的模型,可適應安全風險和安全需求的不斷變化,以提供 持續的安全保障。P2DRR模型包括策略(Policy)、防護(Protection)、檢測(Detection)、響應(Response)和恢復 (Recovery)5個環節,在該模型中,防護、檢測、響應和恢復構成一個完整的、動態的安全循環。
P3R2AME 模型在安全策略的指導下共同實現安全保障提出了較完整的企業信息安全防護模型。該模型以信息安全策略(Policy)為核心,依次進行風險分析 (Analyse)、制定方案(Plan)、安全防護(Protection)、實時監測(Monitor),直至實時響應(Response)和恢復 (Recover)環節。這是一個動態循環的過程,響應和恢復情況又為風險分析提供依據,并且在整個過程中都要注重在企業內部進行安全教育 (Education)。
(4)信息保障體系模型
信息安全的本質是風險管理,而風險管理密切相關的是企業的資產、資產面臨的威脅以及采取的安全防護措施。
安全防護措施又由管理和技術兩個方面組成。信息安全系統式一個復雜的系統,涉及方方面面,例如:人、管理和技術等。
信息保障體系模型稱為VISAF框架,它包括下面六個步驟:
第一、要分析現狀,評估當前安全狀態和各個措施的強度和效果。
第二、考慮加強現有防護體系,比如加強口令管理、操作系統安全加固和加強安全區域審計。
第三、馬上要考慮的就是加強審計和跟蹤體系,也就是加強檢測技術和產品及相關管理制度的制定和落實。
第四、要構建應急和響應體系,包括建立基本的冗余恢復設備,制定應急流程和應急預案,并進行應急演練等。
第五、要建立全面的信息安全管理體系,其中要特別強調高層領導的責任和全員的信息安全技能和意思教育。
第六、發展到從集中入侵檢測與管理系統起步的安全運營中心體系,達到技術和管理的融合。
(5)基于WSR方法的企業信息安全模型
WSR是一種方法論,它蘊含了東方“天人合一”哲學思想,把認識自然、改造自然的主體和客體作為一個整體來研究,從而系統、完整、分層次地來對復雜問題進行研 究,在系統科學研究方法中有其獨特性。張彩江博士認為,“物理”是指涉及某項系統項目、問題處理過程人們面對的客觀存在,是物質運動的規律總和。“事理” 是指涉及某項系統項目、問題處理過程中人們面對的客觀存在及其規律時介入的機理,它體現一種人——物界面。“人理”指涉及某項系統項目、問題處理過程中的 所有的人們之間的相互關系及其變化過程,通過研究和管理這種關系,促進人們能按照可接受的事理去實現項目、問題的預定目標。物理、事理、人理概念的界定, 有利于人們正確利用WSR方法來研究和分析復雜問題。
企業信息安全管理機制是一個復雜的系統工程,它既有物理、事理和人理的部分,而且人的部分是其中的重點,三個部分相互促進,相互制約。因此,WSR方法論可以用于建立完善的企業信息系統安全管理機制,依照WSR方法論構建企業信息安全管理機制。
上述信息安全管理模型從不同的角度對信息安全問題提出了不同的管理模型,他們的主要優點是管理模型完整而系統,對于信息安全的各個方面都考慮比較全面。主要 缺點是如果要完成上述的信息安全管理體系,企業要花費大量的時間、金錢和精力,當然因此帶來的收益也是客觀的,這就是一個信息安全的投資和收益的問題了。 因為中小企業的規模小,人員流動快等特點,上述信息安全模型并不合適。
中小企業依據ISO27001建立的信息安全管理的模型應該簡潔而適用,著重考慮企業重要的信息資產,注重企業內部的信息安全的管理,對于企業外部的威脅往往大規模的企業都沒有足夠的應對能力,更何況中小企業。中小企業對外部的威脅的抵御往往得不償失,因此中小企業的信息安全模型應該注重內部建立起良好的組織和管理措施,對于外部的入侵只能在企業人力和財力的范圍內購買信息安全產品或者外包給專門的機構來解決問題。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
