信息安全管理模型是對(duì)信息安全管理的一個(gè)抽象化描述。它是組織建立信息安全管理體系的基礎(chǔ)。目前，在對(duì)安全理論、安全技術(shù)和安全標(biāo)準(zhǔn)研究的基礎(chǔ)上，不同的組織都提出了相應(yīng)的信息安全管理模型。這些模型的側(cè)重點(diǎn)不同，對(duì)信息安全的管理方式也不同。

OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的研究始于1982年，到1989年又制定了一系列特定安全服務(wù)的標(biāo)準(zhǔn)，其成果標(biāo)志是ISO發(fā)布的ISO7498-2標(biāo)準(zhǔn)。OSI安全體系模型主要包括3方面的內(nèi)容：

1）安全服務(wù)：包括認(rèn)證服務(wù)、訪問控制服務(wù)、數(shù)據(jù)保密服務(wù)、數(shù)據(jù)完整性服務(wù)和抗抵賴服務(wù)。

2）安全機(jī)制：包括加密機(jī)制、數(shù)字簽名機(jī)制、訪問控制機(jī)制、數(shù)據(jù)完整性機(jī)制、鑒別交換機(jī)制、業(yè)務(wù)流填 充機(jī)制、路由控制機(jī)制、公正機(jī)制等。

3）安全管理：通過實(shí)施一系列安全政策，對(duì)系統(tǒng)和網(wǎng)絡(luò)上的操作進(jìn)行管理，包括系統(tǒng)安全管理、安全服務(wù) 管理和安全機(jī)制管理。

PDRR模型 PDRR(Protection Detection Response Recovery，如下圖所示)是一個(gè)比較成熟的網(wǎng)絡(luò)安全 模型，可以用于信息安全管理。該模型由防御、檢測(cè)、響應(yīng)、恢復(fù)組成了一個(gè)動(dòng)態(tài)的信息安全周期。安全政策的 每一部分包括一組安全單元來實(shí)現(xiàn)一定的安全功能。安全策略的第一部分是防御。根據(jù)系統(tǒng)已知的所有的安全問 題做出防御措施，如打補(bǔ)丁、訪問控制、數(shù)據(jù)加密等等。安全策略的第二部分就是檢測(cè)。攻擊者如果穿過了防御 系統(tǒng)，檢測(cè)系統(tǒng)就會(huì)檢測(cè)出來。這個(gè)安全戰(zhàn)線的功能就是檢測(cè)出入侵者的身份，包括攻擊源、系統(tǒng)損失等。一旦 檢測(cè)出入侵， 響應(yīng)系統(tǒng)開始響應(yīng)，包括事件處理和其他業(yè)務(wù)。安全策略的最后一個(gè)戰(zhàn)線是系統(tǒng)恢復(fù)。在入侵事件發(fā)生后，把系統(tǒng)恢復(fù)到原來的狀態(tài)。

信息安全管理 PDCA 持續(xù)改進(jìn)模式該模型的結(jié)構(gòu)如下圖所示。

信息安全管理PDCA持續(xù)改進(jìn)模式

P——策劃：根據(jù)組織的商務(wù)運(yùn)作需求（包括顧客的信息安全要求）及有關(guān)法律法規(guī)要求，確定安全管理范圍與策略，通過風(fēng)險(xiǎn)評(píng)估建立控制目標(biāo)與方式，包括必要的過程與商務(wù)持續(xù)性計(jì)劃。

D——實(shí)施：實(shí)施過程，即組織要按照組織的策略、程序、規(guī)章等規(guī)定的要求，也就是按照所選定的控制目 標(biāo)與方式進(jìn)行信息安全控制。

C——檢查：根據(jù)策略、目標(biāo)、安全標(biāo)準(zhǔn)即法律法規(guī)要求，對(duì)安全管理過程和信息系統(tǒng)的安全進(jìn)行監(jiān)視與驗(yàn)證，并報(bào)告結(jié)果。

A——行動(dòng)：對(duì)策略適宜性評(píng)審與評(píng)估，評(píng)價(jià)ISMS 的有效性，采取措施，持續(xù)改進(jìn)。

HTP信息安全模型該模型（如下圖所示）由三部分組成：人員與管理（Human and management）、技 術(shù)與產(chǎn)品（Technology and products）、流程與體系（Process and Framework）。

HTP信息安全模型

人員與管理：從國(guó)家的角度考慮有法律、法規(guī)、政策問題；從組織角度考慮有安全方針政策程序、安全管理、安全教育與培訓(xùn)、組織文化、應(yīng)急計(jì)劃和業(yè)務(wù)持續(xù)性管理等問題。人是信息安全最活躍的因素，人的行為是 信息安全保障最主要的方面；從個(gè)人角度來看有職業(yè)要求、個(gè)人隱私、行為學(xué)、心理學(xué)等問題。

技術(shù)與產(chǎn)品：組織可以依據(jù)“適度防范”原則綜合采用商用密碼、防火墻、防病毒、身份識(shí)別、網(wǎng)絡(luò)隔離、 可信服務(wù)、安全服務(wù)、備份恢復(fù)、PKI 服務(wù)、取證、網(wǎng)絡(luò)入侵陷阱、主動(dòng)反擊等多種技術(shù)與產(chǎn)品來保護(hù)信息系統(tǒng)安全。

流程與體系：組織應(yīng)當(dāng)遵循國(guó)內(nèi)外相關(guān)信息安全標(biāo)準(zhǔn)與最佳實(shí)踐過程，考慮到組織對(duì)信息安全的各個(gè)層面的 實(shí)際需求，在風(fēng)險(xiǎn)分析的基礎(chǔ)上引入恰當(dāng)控制，建立合理的安全管理體系，從而保證組織賴以生存的信息資產(chǎn)的安全性、完整性和可用性。

其他模型

著名的美國(guó)互聯(lián)網(wǎng)安全系統(tǒng)公司( ISS) 基于P2DR，提出了自適應(yīng)性網(wǎng)絡(luò)安全模型(ANSM:adaptive network security model)。具體模型可以用 PADIMEE來描述。安氏公司通過對(duì)技術(shù)和業(yè)務(wù)需求分析及對(duì)客戶 信息安全的“生命周期”考慮，在 7 個(gè)方面體現(xiàn)信息系統(tǒng)安全的持續(xù)循環(huán)：策略(policy) 、評(píng)估 (assessment) 、 設(shè)計(jì) (design) 、 執(zhí)行 (implementation) 、 管理(management) 、緊急響應(yīng)(emergency response) 和教 育(education) 。

中國(guó)科學(xué)院信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室的趙戰(zhàn)生教授在一次信息安全會(huì)議報(bào)告中，給出了一個(gè)信息安全保障框 架模型，在PDRR模型的基礎(chǔ)上前加上一個(gè) W(warning)，后加上一個(gè) C(counterattack)，反映了6大能力，分別是預(yù)警能力、保護(hù)能力、檢測(cè)能力、反應(yīng)能力、恢復(fù)能力和反擊能力。