信息安全管理模型是對信息安全管理的一個抽象化描述。它是組織建立信息安全管理體系的基礎。目前，在對安全理論、安全技術和安全標準研究的基礎上，不同的組織都提出了相應的信息安全管理模型。這些模型的側重點不同，對信息安全的管理方式也不同。

OSI安全體系結構OSI安全體系結構的研究始于1982年，到1989年又制定了一系列特定安全服務的標準，其成果標志是ISO發(fā)布的 ISO 7498-2 標準。OSI安全體系模型主要包括3方面的內(nèi)容：

1）安全服務：包括認證服務、訪問控制服務、數(shù)據(jù)保密服務、數(shù)據(jù)完整性服務和抗抵賴服務。

2）安全機制：包括加密機制、數(shù)字簽名機制、訪問控制機制、數(shù)據(jù)完整性機制、鑒別交換機制、業(yè)務流填充機制、路由控制機制、公正機制等。

3）安全管理：通過實施一系列安全政策，對系統(tǒng)和網(wǎng)絡上的操作進行管理，包括系統(tǒng)安全管理、安全服務管理和安全機制管理。

PDRR 模型 PDRR(Protection Detection Response Recovery，如下圖所 示)是一個比較成熟的網(wǎng)絡安全模型，可以用于信息安全管理。該模型由防御、檢測、響應、恢復組成了一個動態(tài)的信息安全周期。安全政策的每一部分包括一組安 全單元來實現(xiàn)一定的安全功能。安全策略的第一部分是防御。根據(jù)系統(tǒng)已知的所有的安全問題做出防御措施，如打補丁、訪問控制、數(shù)據(jù)加密等等。安全策略的第二 部分就是檢測。攻擊者如果穿過了防御系統(tǒng)，檢測系統(tǒng)就會檢測出來。這個安全戰(zhàn)線的功能就是檢測出入侵者的身份，包括攻擊源、系統(tǒng)損失等。一旦檢測出入侵， 響應系統(tǒng)開始響應，包括事件處理和其他業(yè)務。安全策略的最后一個戰(zhàn)線是系統(tǒng)恢復。在入侵事件發(fā)生后，把系統(tǒng)恢復到原來的狀態(tài)。

PDRR模型

信息安全管理 PDCA 持續(xù)改進模式該模型的結構如下圖所示。

信息安全管理PDCA持續(xù)改進模式

P——策劃：根據(jù)組織的商務運作需求（包括顧客的信息安全要求）及有關法律法規(guī)要求，確定安全管理范圍與策略，通過風險評估建立控制目標與方式，包括必要的過程與商務持續(xù)性計劃。

D——實施：實施過程，即組織要按照組織的策略、程序、規(guī)章等規(guī)定的要求，也就是按照所選定的控制目標與方式進行信息安全控制。

C——檢查：根據(jù)策略、目標、安全標準即法律法規(guī)要求，對安全管理過程和信息系統(tǒng)的安全進行監(jiān)視與驗證，并報告結果。

A——行動：對策略適宜性評審與評估，評價ISMS 的有效性，采取措施，持續(xù)改進。

HTP信息安全模型該模型（如下圖所示）由三部分組成：人員與管理（Human and management）、技術與產(chǎn)品（Technology and products）、流程與體系（Process and framework）。

HTP信息安全模型

人員與管理：從國家的角度考慮有法律、法規(guī)、政策問題；從組織角度考慮有安全方針政策程序、安全管理、安全教育與培訓、組織文化、應急計劃和業(yè)務持續(xù)性管理 等問題。人是信息安全最活躍的因素，人的行為是信息安全保障最主要的方面；從個人角度來看有職業(yè)要求、個人隱私、行為學、心理學等問題。

技術與產(chǎn)品：組織可以依據(jù)“適度防范”原則綜合采用商用密碼、防火墻、防病毒、身份識別、網(wǎng)絡隔離、可信服務、安全服務、備份恢復、PKI 服務、取證、網(wǎng)絡入侵陷阱、主動反擊等多種技術與產(chǎn)品來保護信息系統(tǒng)安全。

流程與體系：組織應當遵循國內(nèi)外相關信息安全標準與最佳實踐過程，考慮到組織對信息安全的各個層面的實際需求，在風險分析的基礎上引入恰當控制，建立合理的安全管理體系，從而保證組織賴以生存的信息資產(chǎn)的安全性、完整性和可用性。

其他模型

著名的美國互聯(lián)網(wǎng)安全系統(tǒng)公司( ISS) 基于P2DR，提 出了自適應性網(wǎng)絡安全模型(ANSM:adaptive network security model)。具體模型可以用 PADIMEE 來描述。安氏公司通過對技術和業(yè)務需求分析及對客戶信息安全的“生命周期”考慮，在 7 個方面體現(xiàn)信息系統(tǒng)安全的持續(xù)循環(huán)：策略(policy) 、評估 (assessment) 、 設計 (design) 、 執(zhí)行 (implementation) 、 管理(management) 、緊急響應(emergency response) 和教育(education) 。

中國科學院信息安全國家重點實驗室的趙戰(zhàn)生教授在一次信息安全會議報告中，給出了一個信息安全保障框架模型，在PDRR模型的基礎上前加上一個 W(warning)，后加上一個 C(counterattack)，反映了6大能力，分別是預警能力、保護能力、檢測能力、反應能力、恢復能力和反擊能力。

中企檢測認證網(wǎng)提供iso體系認證機構查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構，儀器設備、耗材、配件、試劑、標準品供應商，法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權、版權法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構、網(wǎng)絡信息技術檢測、環(huán)境檢測、管理體系認證、服務體系認證、產(chǎn)品認證、版權登記、專利申請、知識產(chǎn)權、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權、版權、商標、專利的轉讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心

免責聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡信息整理，文章版權歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/zs/202008/ccaa_5488.html