（1）全網(wǎng)動態(tài)安全體系模型

全網(wǎng)動態(tài)信息安全體系模型的提出者認為，網(wǎng)絡的安全是一個動態(tài)的概念。網(wǎng)絡的動態(tài)安全模型能夠提供給用戶更完整、更合理的安全機制，全網(wǎng)動態(tài)安全體系可用下 面的公式概括：網(wǎng)絡安全=風險分析+指定策略+系統(tǒng)防護+實時檢測+實時響應+恢復。即網(wǎng)絡安全是一個“APPDRR”的動態(tài)安全模型。

從信息安全體系的可實施、動態(tài)性角度，動態(tài)安全體系的設計充分考慮到風險評估、安全策略的制定、防御體系、監(jiān)控與檢測、響應和恢復等各個方面，并且考慮到各部分之間的動態(tài)關(guān)系與依賴性。

提出“APPDRR”動態(tài)安全模型的學者認為，這一模型為網(wǎng)絡建立了四道防線：安全保護是第一道防線，能夠阻止對網(wǎng)絡的入侵和危害；安全檢測室網(wǎng)絡的第二道 防線，可以及時發(fā)現(xiàn)和入侵和破壞；實時響應是網(wǎng)絡的第三道防線，當攻擊發(fā)生時維持網(wǎng)絡“打不垮”；恢復是網(wǎng)絡的第四道防線，使得信息系統(tǒng)在遭受攻擊后能以 最快的速度恢復，最大程度上降低安全事件帶來的損失。

（2）P-D-C- A(Plan,Do,Check和Act，即戴明環(huán))過程模式：計劃、實施、檢測和改進與評價。P-D-C-A模型是管理學中慣用的一個過程模型，該模型 最初應用于質(zhì)量管理中。該模型在應用時，按照P-D-C-A的順序依次進行，一次完整的P-D-C-A可以看成組織在管理上的一個周期，每經(jīng)過一次P- D-C-A循環(huán)，組織的管理體系都會得到一定程度的提高和完善，同時進入下一個更高級的管理周期，通過連續(xù)不斷的P-D-C-A循環(huán)，組織的管理體系能夠 得到持續(xù)的改進，管理水平將隨之不斷提升。

應用于信息安全管理的PDCA模型如圖5.2所示，圖5.2說明了如何把相關(guān)方的信息安全要求和期望作為輸入，并通過必要的行動和過程，產(chǎn)生滿足這些要求和期望的信息安全結(jié)果。我們可以認為ISO/IEC27001就是一個PDCA過程，那么這本身就是很多循環(huán)的嵌套。

（3）P3R2AME模型

P3R2AME 模型是由P2DRR發(fā)展而來，P2DRR模型是一種典型的信息安全控制模型，它是一種動態(tài)的、自適應的模型，可適應安全風險和安全需求的不斷變化，以提供 持續(xù)的安全保障。P2DRR模型包括策略(Policy)、防護(Protection)、檢測(Detection)、響應(Response)和恢復 (Recovery)5個環(huán)節(jié)，在該模型中，防護、檢測、響應和恢復構(gòu)成一個完整的、動態(tài)的安全循環(huán)。

P3R2AME 模型在安全策略的指導下共同實現(xiàn)安全保障提出了較完整的企業(yè)信息安全防護模型。該模型以信息安全策略(Policy)為核心,依次進行風險分析 (Analyse)、制定方案(Plan)、安全防護(Protection)、實時監(jiān)測(Monitor),直至實時響應(Response)和恢復 (Recover)環(huán)節(jié)。這是一個動態(tài)循環(huán)的過程,響應和恢復情況又為風險分析提供依據(jù),并且在整個過程中都要注重在企業(yè)內(nèi)部進行安全教育 （Education）。

（4）信息保障體系模型

信息安全的本質(zhì)是風險管理，而風險管理密切相關(guān)的是企業(yè)的資產(chǎn)、資產(chǎn)面臨的威脅以及采取的安全防護措施。

安全防護措施又由管理和技術(shù)兩個方面組成。信息安全系統(tǒng)式一個復雜的系統(tǒng)，涉及方方面面，例如：人、管理和技術(shù)等。

信息保障體系模型稱為VISAF框架，它包括下面六個步驟：

第一、要分析現(xiàn)狀，評估當前安全狀態(tài)和各個措施的強度和效果。

第二、考慮加強現(xiàn)有防護體系，比如加強口令管理、操作系統(tǒng)安全加固和加強安全區(qū)域?qū)徲嫛?/p>

第三、馬上要考慮的就是加強審計和跟蹤體系，也就是加強檢測技術(shù)和產(chǎn)品及相關(guān)管理制度的制定和落實。

第四、要構(gòu)建應急和響應體系，包括建立基本的冗余恢復設備，制定應急流程和應急預案，并進行應急演練等。

第五、要建立全面的信息安全管理體系，其中要特別強調(diào)高層領(lǐng)導的責任和全員的信息安全技能和意思教育。

第六、發(fā)展到從集中入侵檢測與管理系統(tǒng)起步的安全運營中心體系，達到技術(shù)和管理的融合。

（5）基于WSR方法的企業(yè)信息安全模型

WSR是一種方法論，它蘊含了東方“天人合一”哲學思想，把認識自然、改造自然的主體和客體作為一個整體來研究,從而系統(tǒng)、完整、分層次地來對復雜問題進行研 究，在系統(tǒng)科學研究方法中有其獨特性。張彩江博士認為，“物理”是指涉及某項系統(tǒng)項目、問題處理過程人們面對的客觀存在，是物質(zhì)運動的規(guī)律總和。“事理” 是指涉及某項系統(tǒng)項目、問題處理過程中人們面對的客觀存在及其規(guī)律時介入的機理，它體現(xiàn)一種人——物界面。“人理”指涉及某項系統(tǒng)項目、問題處理過程中的 所有的人們之間的相互關(guān)系及其變化過程，通過研究和管理這種關(guān)系，促進人們能按照可接受的事理去實現(xiàn)項目、問題的預定目標。物理、事理、人理概念的界定， 有利于人們正確利用WSR方法來研究和分析復雜問題。

企業(yè)信息安全管理機制是一個復雜的系統(tǒng)工程，它既有物理、事理和人理的部分，而且人的部分是其中的重點，三個部分相互促進，相互制約。因此，WSR方法論可以用于建立完善的企業(yè)信息系統(tǒng)安全管理機制，依照WSR方法論構(gòu)建企業(yè)信息安全管理機制。

上述信息安全管理模型從不同的角度對信息安全問題提出了不同的管理模型，他們的主要優(yōu)點是管理模型完整而系統(tǒng)，對于信息安全的各個方面都考慮比較全面。主要 缺點是如果要完成上述的信息安全管理體系，企業(yè)要花費大量的時間、金錢和精力，當然因此帶來的收益也是客觀的，這就是一個信息安全的投資和收益的問題了。 因為中小企業(yè)的規(guī)模小，人員流動快等特點，上述信息安全模型并不合適。

中小企業(yè)依據(jù)ISO27001建立的信息安全管理的模型應該簡潔而適用，著重考慮企業(yè)重要的信息資產(chǎn)，注重企業(yè)內(nèi)部的信息安全的管理，對于企業(yè)外部的威脅往往大規(guī)模的企業(yè)都沒有足夠的應對能力，更何況中小企業(yè)。中小企業(yè)對外部的威脅的抵御往往得不償失，因此中小企業(yè)的信息安全模型應該注重內(nèi)部建立起良好的組織和管理措施，對于外部的入侵只能在企業(yè)人力和財力的范圍內(nèi)購買信息安全產(chǎn)品或者外包給專門的機構(gòu)來解決問題。

中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認證、計量、校準機構(gòu)，儀器設備、耗材、配件、試劑、標準品供應商，法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心

免責聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202008/ccaa_5542.html