2.3 控制类型
正确运用控制措施能降低组织面临的风险,控制包含3种类型:
- 管理控制(面向管理,又被称为“软控制”。安全文档、风险管理、人员安全和培训都属于管理控制)
- 技术控制(也称逻辑控制由软件或硬件组成,如:防火墙、入侵检测系统、加密、身份识别和认证机制)
- 物理控制(用来保护设备、人员和资源)
安全控制措施的不同功能有:预防性、检测性、纠正性、威慑性、恢复性和补偿性。 下面是6种不同的安全控制功能:
- 威慑性:威慑潜在的攻击者。
- 预防性:避免意外事件的发生。
- 纠正性:意外事件发生后修补组件或系统。
- 恢复性:使环境恢复到正常的操作状态。
- 检测性:帮助识别意外活动和潜在入侵者。
- 补偿性:能提供可替代的控制方法。
预防性措施、检测性措施和纠正性措施应该一起使用。
预防——管理性措施
- 策略和规程
- 高效的雇用实践
- 聘用前的背景调查
- 受控解聘流程
- 数据分类和标签
- 安全意识
预防——物理性措施
- 证件、磁卡
- 警卫
- 围墙、锁
预防——技术性措施
- 密码、生物识别、智能卡
- 加密、安全协议、回拨系统
- 访问控制列表、防火墙