今天要來介紹怎麼實現資訊安全和網絡安全。安全控制聽起來很饒口,但其實就是我們把實現前面提到兩項安全的辦法做一個分類:
安全控制類別
資訊和網絡安全保證通常被視為業務風險管理的一個整體過程。有許多不同的方式來思考如何治理IT服務以滿足整體業務需求。一些組織已經制定了IT服務框架,以提供實施IT和網絡安全的最佳實踐指南。
可以依照這些框架制定公司政策並提供程序、活動和技術的檢查清單,這些程序、活動和工具在理想情況下應該存在。總的來說,這些程序、活動和工具可以稱為安全控制。
安全控制是一種旨在賦予系統或數據資產保密性、完整性、可用性和不可否認性特性的設計。控制可以分為三個廣泛的類別,代表控制的實施方式:
技術性 Technical
運營性 Operational
管理性 Managerial
控制對信息系統進行監督。示例可以包括風險識別或允許評估和選擇其他安全控制的工具。
安全控制功能類型
安全控制也可以根據其實現的目標或功能來分類:
預防性 Preventive
控制作用是消除或減少攻擊成功的可能性。預防性控制在攻擊發生之前起作用。防火牆上配置的訪問控制列表(ACL)和文件系統對象是預防性控制。防惡意軟件軟件也作為預防性控制,通過阻止被識別為惡意的進程執行來防止攻擊。指令和標準作業程序(SOP)可以被認為是預防性控制的行政版本。
檢測性 Detective
糾正性 Corrective
控制作用是消除或減少入侵事件的影響。糾正性控制在攻擊發生後使用。一個很好的例子是可以在入侵期間恢復損壞的數據的備份系統。另一個例子是可以消除攻擊期間利用的漏洞的補丁管理系統。
儘管大多數控制在功能上可以分為預防、檢測或糾正,但還有一些其他類型可以用來定義其他情況:
物理性 Physical
常常單獨分類的控制,如警報、閘道、鎖、照明、安全攝像機和警衛,以阻止和檢測對場所和硬件的訪問。
威懾性 Deterrent
控制可能不會在物理上或邏輯上阻止訪問,但心理上會阻止攻擊者嘗試入侵。這可能包括警告或告知對侵入或入侵的法律懲罰的標誌和警告。
補償性 Compensating
控制作為主要控制的替代品,根據安全標準的建議,提供相同(或更好)的保護水平,但使用不同的方法或技術。