今天要來介紹怎麼實現資訊安全和網絡安全。安全控制聽起來很饒口，但其實就是我們把實現前面提到兩項安全的辦法做一個分類：

安全控制類別

資訊和網絡安全保證通常被視為業務風險管理的一個整體過程。有許多不同的方式來思考如何治理IT服務以滿足整體業務需求。一些組織已經制定了IT服務框架，以提供實施IT和網絡安全的最佳實踐指南。

可以依照這些框架制定公司政策並提供程序、活動和技術的檢查清單，這些程序、活動和工具在理想情況下應該存在。總的來說，這些程序、活動和工具可以稱為安全控制。

安全控制是一種旨在賦予系統或數據資產保密性、完整性、可用性和不可否認性特性的設計。控制可以分為三個廣泛的類別，代表控制的實施方式：

• 技術性 Technical

  • 以系統（硬件、軟件或固件）的形式實施控制。例如，防火牆、防病毒軟件和操作系統訪問控制模型都是技術性控制。技術性控制也可以被描述為邏輯性控制。

• 運營性 Operational

  • 控制主要由人員而不是系統實施。例如，安全警衛和培訓計劃是運營性控制而不是技術性控制。

• 管理性 Managerial

• 控制對信息系統進行監督。示例可以包括風險識別或允許評估和選擇其他安全控制的工具。

安全控制功能類型

安全控制也可以根據其實現的目標或功能來分類：

• 預防性 Preventive

• 控制作用是消除或減少攻擊成功的可能性。預防性控制在攻擊發生之前起作用。防火牆上配置的訪問控制列表（ACL）和文件系統對象是預防性控制。防惡意軟件軟件也作為預防性控制，通過阻止被識別為惡意的進程執行來防止攻擊。指令和標準作業程序（SOP）可以被認為是預防性控制的行政版本。

• 檢測性 Detective

  • 控制可能不會阻止或阻止訪問，但它將識別並記錄任何嘗試的或成功的入侵。檢測性控制在攻擊進行中起作用。日誌提供了檢測性控制的最佳示例。

• 糾正性 Corrective

• 控制作用是消除或減少入侵事件的影響。糾正性控制在攻擊發生後使用。一個很好的例子是可以在入侵期間恢復損壞的數據的備份系統。另一個例子是可以消除攻擊期間利用的漏洞的補丁管理系統。

儘管大多數控制在功能上可以分為預防、檢測或糾正，但還有一些其他類型可以用來定義其他情況：

• 物理性 Physical
  常常單獨分類的控制，如警報、閘道、鎖、照明、安全攝像機和警衛，以阻止和檢測對場所和硬件的訪問。

• 威懾性 Deterrent
  控制可能不會在物理上或邏輯上阻止訪問，但心理上會阻止攻擊者嘗試入侵。這可能包括警告或告知對侵入或入侵的法律懲罰的標誌和警告。

• 補償性 Compensating
  控制作為主要控制的替代品，根據安全標準的建議，提供相同（或更好）的保護水平，但使用不同的方法或技術。