【正文】 應(yīng)的目標(biāo)模型，稱為WP2DRR安全模型，該模型是基于時間的，由預(yù)警（Warning）、策略（Policy）、保護(hù)（Protection）、檢測（Detection）、響應(yīng)（Response）、恢復(fù)（Recovery）六個要素環(huán)節(jié)構(gòu)成了一個完整的、動態(tài)的信息安全體系。 167。在WP2DRR安全模型中，策略處于核心地位，所有的防護(hù)、檢測、響應(yīng)、恢復(fù)都依據(jù)安全策略展開實(shí)施，安全策略為安全管理提供管理方向和支持手段。 Warining（預(yù)警）：根據(jù)以前所掌握的系統(tǒng)的弱點(diǎn)和當(dāng)前了解的犯罪趨勢預(yù)測未來可能受到的攻擊和及危害。167。167。167。恰當(dāng)?shù)捻憫?yīng)動作和響應(yīng)流程可以降低安全事件的不良影響，加強(qiáng)對重要資源的保護(hù)。 Recovery（恢復(fù)）：災(zāi)難恢復(fù)能力直接決定了業(yè)務(wù)應(yīng)用的持續(xù)可用性，任何意外的突發(fā)事件都可能造成服務(wù)中斷和數(shù)據(jù)受損，優(yōu)秀的災(zāi)難恢復(fù)計(jì)劃能夠針對災(zāi)難事件做到未雨綢繆，即使系統(tǒng)和數(shù)據(jù)遭受破壞，也能夠在最短的時間內(nèi)，完成恢復(fù)操作。它闡述了這樣一個結(jié)論：安全的目標(biāo)實(shí)際上就是盡可能地增大保護(hù)時間，盡量減少檢測時間和響應(yīng)時間。安全目標(biāo)模型是信息安全體系框架的基礎(chǔ)，XXX單位的信息安全體系框架緊密圍繞這個安全模型的6個要素環(huán)節(jié)進(jìn)行設(shè)計(jì)，每個要素環(huán)節(jié)的功能都在安全技術(shù)體系、安全組織和管理體系以及運(yùn)行保障體系中體現(xiàn)出來。該框架由一組相互關(guān)聯(lián)、相互作用、相互彌補(bǔ)、相互推動、相互依賴、不可分割的信息安全保障要素組成。XXX單位信息安全體系框架的總體結(jié)構(gòu)如下圖所示：167。安全策略與安全技術(shù)體系、安全組織和管理體系以及運(yùn)行保障體系這三大體系之間的關(guān)系也是相互作用的。167。安全基礎(chǔ)設(shè)施平臺是以安全策略為指導(dǎo)，從物理和通信安全防護(hù)，網(wǎng)絡(luò)安全防護(hù)，主機(jī)系統(tǒng)安全防護(hù)，應(yīng)用安全防護(hù)等多個層次出發(fā)，立足于現(xiàn)有的成熟安全技術(shù)和安全機(jī)制，建立起的一個各個部分相互協(xié)同的完整的安全技術(shù)防護(hù)體系。安全綜合管理平臺的管理范圍盡可能地涵蓋安全技術(shù)體系中涉及的各種安全機(jī)制與安全設(shè)備，對這些安全機(jī)制和安全設(shè)備進(jìn)行統(tǒng)一的管理和控制，負(fù)責(zé)管理和維護(hù)安全策略，配置管理相應(yīng)的安全機(jī)制，確保這些安全技術(shù)與設(shè)施能夠按照設(shè)計(jì)的要求協(xié)同運(yùn)作，可靠運(yùn)行。統(tǒng)一的安全管理平臺有助于各種安全管理技術(shù)手段的相互補(bǔ)充和有效發(fā)揮，也便于從系統(tǒng)整體的角度來進(jìn)行安全的監(jiān)控和管理，從而提高安全管理工作的效率，使人為的安全管理活動參與量大幅下降。 安全管理體系安全組織和管理體系是安全技術(shù)體系真正有效發(fā)揮保護(hù)作用的重要保障，安全管理體系的設(shè)計(jì)立足于總體安全策略，并與安全技術(shù)體系相互配合，增強(qiáng)技術(shù)防護(hù)體系的效率和效果，同時也彌補(bǔ)當(dāng)前技術(shù)無法完全解決的安全缺陷。在XXX單位信息安全體系框架中，安全管理體系的設(shè)計(jì)充分參考和借鑒了國際信息安全管理標(biāo)準(zhǔn)《BS7799（ISO17799）》的建議要求。每個安全目標(biāo)都有若干安全控制與其相對應(yīng)，這些安全控制是為了達(dá)成相應(yīng)安全目標(biāo)的管理工作和要求。 安全策略與制度，確保XXX單位擁有明確的信息安全方針以及配套的策略和制度，以實(shí)現(xiàn)對信息安全工作的支持和承諾，保證信息安全的資金投入。 安全風(fēng)險(xiǎn)管理，信息安全建設(shè)不是避免風(fēng)險(xiǎn)的過程，而是管理風(fēng)險(xiǎn)的過程。信息安全體系建設(shè)的目標(biāo)就是要把風(fēng)險(xiǎn)控制在可以接受的范圍之內(nèi)。167。167。管理內(nèi)容包括物理環(huán)境安全、設(shè)備安全、介質(zhì)安全等。 網(wǎng)絡(luò)和通信安全管理，控制和保護(hù)網(wǎng)絡(luò)和通信系統(tǒng)，防止其受到破壞和濫用，避免和降低由于網(wǎng)絡(luò)和通信系統(tǒng)的問題對XXX單位業(yè)務(wù)系統(tǒng)的損害。 主機(jī)和系統(tǒng)安全管理，控制和保護(hù)XXX單位的計(jì)算機(jī)主機(jī)及其系統(tǒng)，防止其受到破壞和濫用，避免和降低由此對業(yè)務(wù)系統(tǒng)的損害。 應(yīng)用和業(yè)務(wù)安全管理，對各類應(yīng)用和業(yè)務(wù)系統(tǒng)進(jìn)行安全管理，防止其收到破壞和濫用。 數(shù)據(jù)安全和加密管理，采用數(shù)據(jù)加密和完整性保護(hù)機(jī)制，防止數(shù)據(jù)被竊取和篡改，保護(hù)業(yè)務(wù)數(shù)據(jù)的安全。 項(xiàng)目工程安全管理，保護(hù)信息系統(tǒng)項(xiàng)目工程過程的安全，確保項(xiàng)目的成果是可靠的安全系統(tǒng)。 運(yùn)行和維護(hù)安全管理，保護(hù)信息系統(tǒng)在運(yùn)行期間的安全，并確保系統(tǒng)維護(hù)工作的安全。 業(yè)務(wù)連續(xù)性管理管理，通過設(shè)計(jì)和執(zhí)行業(yè)務(wù)連續(xù)性計(jì)劃，確保信息系統(tǒng)在任何災(zāi)難和攻擊下，都能夠保證業(yè)務(wù)的連續(xù)性。 合規(guī)性（符合性）管理，確保XXX單位的信息安全保障工作符合國家法律、法規(guī)的要求；且XXX單位的信息安全方針、規(guī)定和標(biāo)準(zhǔn)得到了遵循。 12項(xiàng)信息安全管理類的作用關(guān)系為：167。167。167。特別是對于國家法律法規(guī)、方針政策和標(biāo)準(zhǔn)符合程度的檢驗(yàn)。 根據(jù)“方針和策略”，由“人員和組織”實(shí)施信息安全管理工作。167。這兩個信息安全管理類體現(xiàn)了信息系統(tǒng)和信息安全工作的生命周期特性。 最終所有的信息安全管理工作都作用在信息系統(tǒng)之上。這5個信息安全管理類體現(xiàn)了信息系統(tǒng)和信息安全工作的層次性。 運(yùn)行保障體系運(yùn)行與保障體系由安全技術(shù)和安全管理緊密結(jié)合的內(nèi)容所組成，包括了系統(tǒng)可靠性設(shè)計(jì)、系統(tǒng)數(shù)據(jù)的備份計(jì)劃、安全事件的應(yīng)急響應(yīng)計(jì)劃、安全審計(jì)、災(zāi)難恢復(fù)計(jì)劃等，運(yùn)行和保障體系對于XXX單位網(wǎng)絡(luò)和信息系統(tǒng)的可持續(xù)性運(yùn)營提供了重要的保障手段。 建設(shè)實(shí)施規(guī)劃建設(shè)實(shí)施規(guī)劃是在安全管理體系、安全技術(shù)體系、運(yùn)行保障體系設(shè)計(jì)的基礎(chǔ)上進(jìn)一步制定的建設(shè)步驟和實(shí)施方案。 任何信息安全建設(shè)都需要人員負(fù)責(zé)管理和實(shí)施，因此，首先應(yīng)該建立信息安全工作監(jiān)管組織機(jī)構(gòu)，明確各級管理機(jī)構(gòu)的人員配備，職能和責(zé)任。然后，對所有員工進(jìn)行基本安全教育，為信息安全系統(tǒng)相關(guān)技術(shù)人員提供專門的安全理論和安全技能培訓(xùn)，提高全員的安全意識，打造一支高素質(zhì)的專業(yè)技術(shù)和管理隊(duì)伍。 接下來應(yīng)該進(jìn)行網(wǎng)絡(luò)安全建設(shè)，應(yīng)該對計(jì)算機(jī)網(wǎng)絡(luò)的安全域進(jìn)行劃分，對網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行調(diào)整，確保內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)邊界清晰；在各安全域的邊