國家認(rèn)證認(rèn)可監(jiān)督委員會批準(zhǔn)認(rèn)證咨詢機(jī)構(gòu)
批準(zhǔn)號:CNCA-Z-01Q-2006-038
聯(lián)系電話
全國:010-56542716
天津:022-27810977
國家認(rèn)證認(rèn)可監(jiān)督委員會批準(zhǔn)認(rèn)證咨詢機(jī)構(gòu)
批準(zhǔn)號:CNCA-Z-01Q-2006-038
全國:010-56542716
天津:022-27810977
常見問題&知識園地
信息安全管理模型是對信息安全管理的一個抽象化描述。它是組織建立信息安全管理體系的基礎(chǔ),。目前,,在對安全理論、安全技術(shù)和安全標(biāo)準(zhǔn)研究的基礎(chǔ)上,,不同的組織都提出了相應(yīng)的信息安全管理模型,。這些模型的側(cè)重點(diǎn)不同,對信息安全的管理方式也不同,。
OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的研究始于1982年,,到1989年又制定了一系列特定安全服務(wù)的標(biāo)準(zhǔn),其成果標(biāo)志是ISO發(fā)布的ISO7498-2標(biāo)準(zhǔn),。OSI安全體系模型主要包括3方面的內(nèi)容:
1)安全服務(wù):包括認(rèn)證服務(wù),、訪問控制服務(wù)、數(shù)據(jù)保密服務(wù),、數(shù)據(jù)完整性服務(wù)和抗抵賴服務(wù),。
2)安全機(jī)制:包括加密機(jī)制、數(shù)字簽名機(jī)制,、訪問控制機(jī)制,、數(shù)據(jù)完整性機(jī)制、鑒別交換機(jī)制,、業(yè)務(wù)流填 充機(jī)制,、路由控制機(jī)制、公正機(jī)制等,。
3)安全管理:通過實施一系列安全政策,,對系統(tǒng)和網(wǎng)絡(luò)上的操作進(jìn)行管理,包括系統(tǒng)安全管理,、安全服務(wù) 管理和安全機(jī)制管理,。
PDRR模型 PDRR(Protection Detection Response Recovery,如下圖所示)是一個比較成熟的網(wǎng)絡(luò)安全 模型,可以用于信息安全管理,。該模型由防御,、檢測、響應(yīng),、恢復(fù)組成了一個動態(tài)的信息安全周期,。安全政策的 每一部分包括一組安全單元來實現(xiàn)一定的安全功能。安全策略的第一部分是防御,。根據(jù)系統(tǒng)已知的所有的安全問 題做出防御措施,,如打補(bǔ)丁、訪問控制,、數(shù)據(jù)加密等等,。安全策略的第二部分就是檢測。攻擊者如果穿過了防御 系統(tǒng),,檢測系統(tǒng)就會檢測出來,。這個安全戰(zhàn)線的功能就是檢測出入侵者的身份,包括攻擊源,、系統(tǒng)損失等,。一旦 檢測出入侵, 響應(yīng)系統(tǒng)開始響應(yīng),,包括事件處理和其他業(yè)務(wù),。安全策略的最后一個戰(zhàn)線是系統(tǒng)恢復(fù)。在入侵事件發(fā)生后,,把系統(tǒng)恢復(fù)到原來的狀態(tài),。
信息安全管理 PDCA 持續(xù)改進(jìn)模式該模型的結(jié)構(gòu)如下圖所示。
信息安全管理PDCA持續(xù)改進(jìn)模式
P——策劃:根據(jù)組織的商務(wù)運(yùn)作需求(包括顧客的信息安全要求)及有關(guān)法律法規(guī)要求,,確定安全管理范圍與策略,,通過風(fēng)險評估建立控制目標(biāo)與方式,包括必要的過程與商務(wù)持續(xù)性計劃,。
D——實施:實施過程,,即組織要按照組織的策略、程序,、規(guī)章等規(guī)定的要求,也就是按照所選定的控制目 標(biāo)與方式進(jìn)行信息安全控制,。
C——檢查:根據(jù)策略,、目標(biāo)、安全標(biāo)準(zhǔn)即法律法規(guī)要求,,對安全管理過程和信息系統(tǒng)的安全進(jìn)行監(jiān)視與驗證,,并報告結(jié)果。
A——行動:對策略適宜性評審與評估,評價ISMS 的有效性,,采取措施,,持續(xù)改進(jìn)。
HTP信息安全模型該模型(如下圖所示)由三部分組成:人員與管理(Human and management),、技 術(shù)與產(chǎn)品(Technology and products),、流程與體系(Process and Framework)。
HTP信息安全模型
人員與管理:從國家的角度考慮有法律,、法規(guī),、政策問題;從組織角度考慮有安全方針政策程序,、安全管理,、安全教育與培訓(xùn)、組織文化,、應(yīng)急計劃和業(yè)務(wù)持續(xù)性管理等問題,。人是信息安全最活躍的因素,人的行為是 信息安全保障最主要的方面,;從個人角度來看有職業(yè)要求,、個人隱私、行為學(xué),、心理學(xué)等問題,。
技術(shù)與產(chǎn)品:組織可以依據(jù)“適度防范”原則綜合采用商用密碼、防火墻,、防病毒,、身份識別、網(wǎng)絡(luò)隔離,、 可信服務(wù),、安全服務(wù)、備份恢復(fù),、PKI 服務(wù),、取證、網(wǎng)絡(luò)入侵陷阱,、主動反擊等多種技術(shù)與產(chǎn)品來保護(hù)信息系統(tǒng)安全,。
流程與體系:組織應(yīng)當(dāng)遵循國內(nèi)外相關(guān)信息安全標(biāo)準(zhǔn)與最佳實踐過程,考慮到組織對信息安全的各個層面的 實際需求,,在風(fēng)險分析的基礎(chǔ)上引入恰當(dāng)控制,,建立合理的安全管理體系,從而保證組織賴以生存的信息資產(chǎn)的安全性,、完整性和可用性,。
其他模型
著名的美國互聯(lián)網(wǎng)安全系統(tǒng)公司( ISS) 基于P2DR,,提出了自適應(yīng)性網(wǎng)絡(luò)安全模型(ANSM:adaptive network security model)。具體模型可以用 PADIMEE來描述,。安氏公司通過對技術(shù)和業(yè)務(wù)需求分析及對客戶 信息安全的“生命周期”考慮,,在 7 個方面體現(xiàn)信息系統(tǒng)安全的持續(xù)循環(huán):策略(policy) 、評估 (assessment) ,、 設(shè)計 (design) ,、 執(zhí)行 (implementation) 、 管理(management) ,、緊急響應(yīng)(emergency response) 和教 育(education) ,。
中國科學(xué)院信息安全國家重點(diǎn)實驗室的趙戰(zhàn)生教授在一次信息安全會議報告中,給出了一個信息安全保障框 架模型,,在PDRR模型的基礎(chǔ)上前加上一個 W(warning),,后加上一個 C(counterattack),反映了6大能力,,分別是預(yù)警能力,、保護(hù)能力、檢測能力,、反應(yīng)能力,、恢復(fù)能力和反擊能力。
關(guān)注卓越空間
關(guān)注卓越微博
關(guān)注卓越微信