1.信息安全的安全層次結構(層次維L)。從信息安全的作用層面來看,信息安全可以分為物理安全、系統安全、數據安全和信息內容安全四層。(1)物理安全:主要體現在通信線路的可靠性、防災害能力、防干擾能力、設備的運行環境(溫度、濕度、煙塵)、不間斷電源保障等等。(2)系統安全:指的是計算機與網路設備運行過程中的穩定性運行狀態,因而又可稱之為“運行安全”,包括作業系統的安全、網路方面的安全。(3)數據安全:是指對信息在數據處理、存儲、檢索、傳輸、顯示等過程中的保護,不被非法冒充、竊取、篡改、抵賴。(4)信息內容安全:是指對信息在網路內流動中的選擇性阻斷,以保證信息流動的可控能力。在此,被阻斷的對象主要是各種不良的、有害的信息。
2.PPDRR模型(時間維T)。PPDRR模型是典型的、動態的、自適應的安全模型,包括策略(Policy)、防護(Protection)、檢測(Detection)、回響(Response)和恢復(Recovery)5個主要部分。
信息安全策略是一個組織解決信息安全問題最重要的步驟,也是這個組織整個信息安全體系的基礎,反映出這個組織對現實安全威脅和未來安全風險的預期,反映出組織內部業務人員和技術人員安全風險的認識與應對。防護是安全的第一步;但採取豐富的安全防護措施並不意味著安全性就得到了可靠保障,因此要採取有效的手段對網路進行實時檢測,使安全防護從單純的被動防護演進到積極的主動防禦;回響指在遭遇攻擊和緊急事件時及時採取措施;恢復指系統受到安全危害與損失後,能迅速恢復系統功能和數據。這個模型中,防護、檢測、回響和恢復在安全策略的指導下構成一個完整的、動態的安全循環,是基於時間關係的。
3.三大保障(保障維S)。信息安全保障體系由人員保障、管理制度保障、技術手段保障三個要素組成。安全領導小組、安全工作小組和安全工作執行人員分別從決策、監督和具體執行三個層面為網路信息安全工作提供了完整的人員保障, 良好的網路信息安全保障離不開規範嚴謹的管理制度,同時還需要使用一系列先進的技術工具和手段。
4.信息安全三維模型。上述分別從作用層次L、時間關係T及保障體系S這三個層面構成了信息安全的三維模型,這三維是相互關聯、互相作用、不可分割的。如果將商務網站信息安全的各項措施明確在這個三維模型中的位置,就能夠做到有的放矢,增強針對性和邏輯性。
