安立峰

摘 要：文章在對(duì)信息安全體系結(jié)構(gòu)進(jìn)行分析的基礎(chǔ)上，對(duì)一種分層和面向服務(wù)的智能企業(yè)信息安全體系結(jié)構(gòu)進(jìn)行了研究，有助于構(gòu)建一個(gè)模型來(lái)系統(tǒng)和智能地對(duì)企業(yè)信息安全活動(dòng)進(jìn)行管理，并與整體信息管理活動(dòng)相結(jié)合。文章還著重對(duì)其中的相關(guān)領(lǐng)域（例如，信息安全中最關(guān)鍵的屬性以及信息安全管理等方面）進(jìn)行了研究，并探討了采用ISO/IEC 27001標(biāo)準(zhǔn)的信息安全和風(fēng)險(xiǎn)控制服務(wù)。

關(guān)鍵詞：信息安全；體系結(jié)構(gòu)；信息安全管理；可用性；風(fēng)險(xiǎn)控制

中圖分類(lèi)號(hào)：TG174.4 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：2095-2945（2018）06-0186-05

Abstract： Based on the analysis of information security architecture， this paper introduces a layered and service-oriented intelligent enterprise information security architecture； helping to build a model to manage the enterprise information security activities systematically and intelligently， and incorporate with the overall information management activities. Meanwhile， this paper emphasizes the researches on the relevant areas （e.g. the most critical attribute in information security， information security management and so on）， and discusses information security and risk control services based on ISO/IEC 27001 standard.

Keywords： information security； architecture； information security management； availability； risk control

1 簡(jiǎn)介

企業(yè)信息安全技術(shù)是當(dāng)前行業(yè)內(nèi)最熱門(mén)的話題之一。然而傳統(tǒng)上我們對(duì)信息安全研究的側(cè)重點(diǎn)往往都放在不同的分支學(xué)科，諸如網(wǎng)絡(luò)安全、應(yīng)用程序安全、柵格安全、web安全、防火墻、整體入侵檢測(cè)等，但在對(duì)綜合企業(yè)信息安全體系結(jié)構(gòu)、信息安全關(guān)鍵屬性以及信息安全管理等方面的研究相對(duì)較弱。

而隨著信息技術(shù)的普及，當(dāng)前信息安全體系結(jié)構(gòu)已經(jīng)成為了信息體系結(jié)構(gòu)的一個(gè)重要的分支學(xué)科，信息安全體系結(jié)構(gòu)在當(dāng)今的企業(yè)信息技術(shù)中起著越來(lái)越重要的作用。企業(yè)信息安全體系結(jié)構(gòu)是跨學(xué)科的信息安全技術(shù)與信息體系結(jié)構(gòu)，但在這方面的研究重心仍然只是局限于應(yīng)用研究。少數(shù)信息安全公司已經(jīng)開(kāi)始涉足對(duì)企業(yè)信息安全體系結(jié)構(gòu)的利用，但他們提出的解決方案只是強(qiáng)調(diào)在日志管理和/或事件管理的基礎(chǔ)上提供一種商用的綜合安全管理平臺(tái)，而不是考慮將信息全體系結(jié)構(gòu)與企業(yè)信息體系結(jié)構(gòu)相集成。

本文在分析了信息安全體系結(jié)構(gòu)的基礎(chǔ)上，對(duì)一種分層和面向服務(wù)的智能企業(yè)信息安全體系結(jié)構(gòu)進(jìn)行了研究，有助于構(gòu)建一個(gè)模型來(lái)系統(tǒng)和智能地對(duì)企業(yè)信息安全活動(dòng)進(jìn)行管理，并與整體信息管理活動(dòng)相結(jié)合。本文還著重對(duì)信息安全中最關(guān)鍵的屬性以及信息安全管理等方面進(jìn)行了研究，并探討了采用最新的國(guó)際ISO/IEC 27001標(biāo)準(zhǔn)的信息安全和風(fēng)險(xiǎn)控制服務(wù)。強(qiáng)調(diào)了必須“技術(shù)”與“管理”并重才能保障企業(yè)的信息安全，這些將有助于提升企業(yè)信息安全管理和風(fēng)險(xiǎn)控制活動(dòng)的效率。

2 相關(guān)研究

2.1 信息安全體系結(jié)構(gòu)

計(jì)算機(jī)網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)是一個(gè)動(dòng)態(tài)化的概念，是在計(jì)算機(jī)技術(shù)、互聯(lián)網(wǎng)技術(shù)、信息通信技術(shù)、密碼技術(shù)、軟件技術(shù)、安全協(xié)議等多學(xué)科領(lǐng)域的基礎(chǔ)上建立起來(lái)的，其結(jié)構(gòu)要確保系統(tǒng)中的硬件、軟件受到雙重保護(hù)，不被更改、泄露和破壞，能夠使整個(gè)網(wǎng)絡(luò)系統(tǒng)持續(xù)穩(wěn)定的運(yùn)行，并且有必要實(shí)施控制戰(zhàn)略來(lái)保持信息的完整性、保密性和可用性。

所有的信息安全體系結(jié)構(gòu)都包括了以下組成部分：（1）組織和基礎(chǔ)設(shè)施安全；（2）策略、標(biāo)準(zhǔn)和程序安全；（3）基線和風(fēng)險(xiǎn)評(píng)價(jià)安全；（4）感知與訓(xùn)練項(xiàng)目安全。

目前常用的幾個(gè)計(jì)算機(jī)網(wǎng)絡(luò)信息安全基礎(chǔ)技術(shù)包括SNMP協(xié)議、VLAN虛擬局域網(wǎng)、邊界防火墻、網(wǎng)絡(luò)用戶身份認(rèn)證、路由訪問(wèn)控制、入侵檢測(cè)等技術(shù)。

隨著計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用及推廣，出現(xiàn)了越來(lái)越多的計(jì)算機(jī)病毒、網(wǎng)絡(luò)黑客的惡意襲擊、網(wǎng)絡(luò)軟件存在漏洞等方面的技術(shù)缺陷問(wèn)題，加上網(wǎng)絡(luò)本身具有的復(fù)雜性、開(kāi)放性和共享性，同時(shí)網(wǎng)絡(luò)信息本身具有較低的安全性，致使網(wǎng)絡(luò)信息安全的風(fēng)險(xiǎn)比較大，這是構(gòu)建網(wǎng)絡(luò)安全體系有待解決的問(wèn)題。

2.1.1 信息安全體系結(jié)構(gòu)的設(shè)計(jì)

構(gòu)建堅(jiān)固的信息安全體系結(jié)構(gòu)是企業(yè)自動(dòng)、系統(tǒng)和智能地管理信息安全活動(dòng)的基礎(chǔ)。研究人員已經(jīng)設(shè)計(jì)出了一種智能企業(yè)信息安全體系結(jié)構(gòu)，其中，它在底層基于數(shù)據(jù)倉(cāng)庫(kù)/數(shù)據(jù)集市，安全服務(wù)總線用作集線器。其設(shè)計(jì)的目的是要通過(guò)利用業(yè)務(wù)過(guò)程管理（BPM）、規(guī)則引擎和業(yè)務(wù)情報(bào)（BI）技術(shù)來(lái)為企業(yè)信息安全活動(dòng)提供綜合的前瞻性管理和有效控制。它還使企業(yè)公司能夠?qū)⑵湫畔踩芾硖嵘了麄冃枰乃?。還在相同層中建入了一個(gè)PDCA（規(guī)劃-實(shí)施-檢查-處置）適配器來(lái)確保信息安全管理與風(fēng)險(xiǎn)控制活動(dòng)能夠提高其自身優(yōu)化的能力。

（1）安全數(shù)據(jù)庫(kù)層。體系結(jié)構(gòu)的底層是整個(gè)體系結(jié)構(gòu)的基礎(chǔ)層。這是因?yàn)榘踩珨?shù)據(jù)更易用于其他應(yīng)用和服務(wù)。在該層的數(shù)據(jù)被分成兩個(gè)部分：操作數(shù)據(jù)和分析數(shù)據(jù)（決策支持）。操作數(shù)據(jù)不僅包括了戰(zhàn)略企業(yè)數(shù)據(jù)，諸如CMDB（配置管理數(shù)據(jù)庫(kù)）和EIF（企業(yè)信息文件），還包括了應(yīng)用操作數(shù)據(jù)庫(kù)。這兩部分之間的差異是，應(yīng)用數(shù)據(jù)庫(kù)僅由應(yīng)用來(lái)使用。建立了戰(zhàn)略企業(yè)數(shù)據(jù)在各應(yīng)用之間共享數(shù)據(jù)。分析數(shù)據(jù)包括了數(shù)據(jù)倉(cāng)庫(kù)、數(shù)據(jù)集市和維立方體。在定義好的規(guī)則的基礎(chǔ)上，由操作環(huán)境近乎實(shí)時(shí)地或以批處理模式通過(guò)ETL（提取、轉(zhuǎn)換和加載）過(guò)程來(lái)提供分析數(shù)據(jù)。

（2）安全應(yīng)用層。應(yīng)用層包含了各種應(yīng)用的混合，并且該層包括了所有信息安全系統(tǒng)，像防火墻、IPS（入侵防護(hù)系統(tǒng)）、反病毒系統(tǒng)以及受保護(hù)的設(shè)備，諸如網(wǎng)絡(luò)設(shè)備、服務(wù)器和桌面設(shè)備。它還包括了通過(guò)這些設(shè)備建立的不同操作系統(tǒng)。

（3）安全服務(wù)總線。在該層定義了SOA服務(wù)總線結(jié)構(gòu)和所需不同信息安全服務(wù)。在面向服務(wù)的信息安全體系結(jié)構(gòu)中，我們可以將當(dāng)前和未來(lái)的安全需求作為安全服務(wù)來(lái)定義，但這些服務(wù)的實(shí)施是隱藏的，對(duì)新的安全服務(wù)來(lái)說(shuō)易于重用當(dāng)前的服務(wù)。由于“通過(guò)提出一種全新的解決方案來(lái)解決信息安全有關(guān)的所有問(wèn)題”是不可行的，因此研究人員已經(jīng)嘗試對(duì)企業(yè)信息技術(shù)與安全技術(shù)進(jìn)行集成。至于SOA體系結(jié)構(gòu)的嵌入的安全性，可以通過(guò)正確的訪問(wèn)控制和授權(quán)來(lái)實(shí)現(xiàn)某種控制。因此可以用一種能保證所傳輸信息完整性的方式來(lái)完成各項(xiàng)服務(wù)之間信息的加密傳輸，確保在此交互活動(dòng)中僅有發(fā)送方和接收方參與。

（4）集成與智能層。該層是體系結(jié)構(gòu)區(qū)域，其中數(shù)據(jù)、過(guò)程和應(yīng)用被維系在一起用來(lái)解決業(yè)務(wù)問(wèn)題，以適應(yīng)快速變化的環(huán)境。設(shè)計(jì)了四個(gè)模型：BPM（用來(lái)完成不同安全過(guò)程之間的管理和配置）；業(yè)務(wù)情報(bào)模型（提供了各種服務(wù)，諸如報(bào)告、查詢、數(shù)據(jù)挖掘和多維分析）；規(guī)則引擎（屬于工作流的一部分，可以整合進(jìn)BPM模型中）；PDCA適配器（采用人工智能（AI）的一種特殊工具，可以有助于企業(yè)在信息安全管理中實(shí)現(xiàn)持續(xù)進(jìn)步與自我優(yōu)化目標(biāo)）。

（5）信息安全門(mén)戶。信息安全門(mén)戶層提供了與安全人員、風(fēng)險(xiǎn)分析員以及管理團(tuán)隊(duì)的交互。它包括了交互設(shè)備、交互機(jī)制、交互接口（諸如SMS（短報(bào)文服務(wù)）接口）、電郵連接器等。它還提供了一個(gè)門(mén)戶，提供了關(guān)鍵風(fēng)險(xiǎn)指示器和IT風(fēng)險(xiǎn)與控制的控制面板，必要時(shí)，它可以提供在線平衡記分卡用于管理審查。

概括地講，這種智能企業(yè)信息安全體系結(jié)構(gòu)具有集成、可重用性、面向服務(wù)、集成數(shù)據(jù)環(huán)境、業(yè)務(wù)情報(bào)、開(kāi)放式體系結(jié)構(gòu)等特征。

2.2 信息可用性

信息可用性是信息安全的重要支柱之一，也是信息安全中最關(guān)鍵的屬性。信息可用性指的是經(jīng)過(guò)授權(quán)的用戶擁有享受網(wǎng)絡(luò)信息服務(wù)的權(quán)力。

在計(jì)算機(jī)科學(xué)、信息技術(shù)和應(yīng)用中的可用性含義是各不相同的。在過(guò)去幾十年里，研究人員已經(jīng)在其功能性和性能方面（即，計(jì)算機(jī)網(wǎng)絡(luò)、信息處理系統(tǒng)、數(shù)據(jù)庫(kù)、文件系統(tǒng)和數(shù)據(jù)存儲(chǔ)等）做了大量研究，而最終確認(rèn)了一個(gè)事實(shí)就是，可用性是提供信息安全的一個(gè)關(guān)鍵支柱，并且都認(rèn)同了以下共同目標(biāo)：（1）允許那些需要的人對(duì)授權(quán)信息或資源的訪問(wèn)；（2） 授權(quán)用戶及時(shí)、可靠地訪問(wèn)數(shù)據(jù)和信息服務(wù)；（3）不應(yīng)阻止一個(gè)授權(quán)方對(duì)他/她可以合法訪問(wèn)的對(duì)象進(jìn)行訪問(wèn)；（4）需要保證系統(tǒng)能夠立即工作并且不會(huì)對(duì)授權(quán)用戶拒絕服務(wù)。

但人們?cè)谔接懶畔⑾到y(tǒng)安全的時(shí)候并未對(duì)信息可用性引起足夠的重視。當(dāng)今的拒絕服務(wù)（DoS）攻擊通過(guò)對(duì)信息安全造成威脅來(lái)持續(xù)以更大和更具破壞性的DoS形式來(lái)構(gòu)成威脅。DoS攻擊的主要目標(biāo)是要致使一個(gè)信息資源變得不可用，或用更簡(jiǎn)明的術(shù)語(yǔ)來(lái)描述其主要的威脅目標(biāo)就是“信息可用性”。由于DoS威脅的存在，需要對(duì)信息可用性進(jìn)行研究與分析，以便更好地將“可用性”作為一個(gè)安全屬性來(lái)加以理解。

事實(shí)上，信息可用性在確定信息安全的其他屬性（保密性和完整性）的過(guò)程中起著重要的作用，因?yàn)檫@兩個(gè)屬性直接是由可用性來(lái)決定的。

由保密性、完整性和可用性組成的CIA三元組是信息安全的心臟。信息安全中的每個(gè)領(lǐng)域都是圍繞著這三個(gè)安全屬性來(lái)解決的，但保密性和完整性都取決于可用性。可用性構(gòu)成了其他兩個(gè)安全屬性的基礎(chǔ)，沒(méi)有它就無(wú)法應(yīng)用安全屬性。

信息可用性所依賴的各種因素

圖5中告訴我們一個(gè)事實(shí)就是，從信息（和有關(guān)資源）的角度來(lái)看，一個(gè)組織中信息可用性相比所有其他資源來(lái)說(shuō)有多么的重要。我們重點(diǎn)關(guān)注的是資源在4級(jí)和2級(jí)發(fā)生了什么，而對(duì)其他資源的關(guān)注點(diǎn)是“這些資源可以對(duì)4級(jí)和2級(jí)資源的可用性產(chǎn)生影響”（圖6）。這兩個(gè)級(jí)別在一個(gè)組織推動(dòng)勞動(dòng)力向前發(fā)展的過(guò)程中起到了骨干作用。

在保障信息安全時(shí)，安全利益相關(guān)者應(yīng)根據(jù)三個(gè)安全屬性各自適用的領(lǐng)域來(lái)對(duì)這三個(gè)安全屬性（即，保密性、完整性和可用性）進(jìn)行平等處理?？捎眯允侨齻€(gè)屬性中最為關(guān)鍵的屬性，其他兩個(gè)屬性直接依賴于可用性。沒(méi)有信息系統(tǒng)/資源可用性的話，就好比我們?nèi)绻麤](méi)有可用信息的話，就無(wú)法應(yīng)用保密性和完整性方法。由于可用性依賴軟件、硬件和網(wǎng)絡(luò)，可以在所有這三種情況中完成有關(guān)系統(tǒng)可用性的系統(tǒng)級(jí)和獨(dú)立部件級(jí)測(cè)量。關(guān)鍵信息處理系統(tǒng)往往會(huì)嘗試實(shí)現(xiàn)持續(xù)可用性，這是非常難以維持的，基礎(chǔ)可用性是可實(shí)現(xiàn)可用性的最低級(jí)別的形式。

2.3 信息安全管理系統(tǒng)（ISMS）

信息安全管理尋求建立控制與措施來(lái)最大程度地降低丟失信息和系統(tǒng)資源、數(shù)據(jù)崩潰；破壞數(shù)據(jù)訪問(wèn)以及未經(jīng)授權(quán)的信息泄露等風(fēng)險(xiǎn)。通過(guò)有效的策略、標(biāo)準(zhǔn)和步驟來(lái)實(shí)現(xiàn)安全管理，確保授權(quán)用戶的信息、應(yīng)用、系統(tǒng)和網(wǎng)絡(luò)的保密性、完整性和可用性。

信息安全管理系統(tǒng)包括：（1）風(fēng)險(xiǎn)管理：基于保密性、完整性和可用性度量。（2）應(yīng)用的總體質(zhì)量管理（TQM）：基于效率和有效性度量。（3）一個(gè)監(jiān)控與報(bào)告模型：基于抽象層。（4）一種架構(gòu)的方法：包含了人、過(guò)程和技術(shù)。（5）一種擴(kuò)展的框架，通過(guò)該框架來(lái)對(duì)信息安全依從性進(jìn)行管理。

信息安全被確定為保護(hù)信息和信息資源的過(guò)程，目的是要保持信息的保密性、完整性和可用性。

2.3.1 信息安全管理系統(tǒng)（ISMS）組成部分

ISMS包括了以下基本的組成部分（見(jiàn)圖7）：（1）管理原則；（2）資源；（3）人員；（4）信息安全過(guò)程。

2.3.2 信息安全管理系統(tǒng)領(lǐng)域

信息安全管理系統(tǒng)標(biāo)準(zhǔn)包含了11個(gè)安全領(lǐng)域、39個(gè)控制目標(biāo)和133個(gè)控制。表2列出了這些領(lǐng)域和控制目標(biāo)。

2.3.3 風(fēng)險(xiǎn)管理

風(fēng)險(xiǎn)管理被定義“在組織框架內(nèi)對(duì)脆弱性和威脅進(jìn)行確認(rèn)的過(guò)程以及生成某些對(duì)策來(lái)最大程度減少對(duì)信息資源產(chǎn)生影響的過(guò)程”。風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理過(guò)程的一部分，風(fēng)險(xiǎn)管理是一項(xiàng)復(fù)發(fā)性活動(dòng)，對(duì)實(shí)施的測(cè)量和執(zhí)行的安全策略的分析、規(guī)劃、實(shí)施、控制與監(jiān)控進(jìn)行處理。相反，風(fēng)險(xiǎn)評(píng)估是在離散時(shí)間點(diǎn)上執(zhí)行的（例如，按需一年一次等），并且在下一次評(píng)估實(shí)施之前提供已評(píng)估的風(fēng)險(xiǎn)的臨時(shí)視圖，同時(shí)用參數(shù)來(lái)表示整個(gè)風(fēng)險(xiǎn)管理過(guò)程。圖8介紹了風(fēng)險(xiǎn)管理與風(fēng)險(xiǎn)評(píng)估之間的關(guān)系。

風(fēng)險(xiǎn)管理包含了兩個(gè)過(guò)程：

（1）風(fēng)險(xiǎn)分析：確認(rèn)對(duì)信息安全產(chǎn)生的影響因素的過(guò)程。

（2）風(fēng)險(xiǎn)評(píng)估包含了四種結(jié)果：a.確定威脅；b.根據(jù)風(fēng)險(xiǎn)級(jí)別對(duì)這些威脅進(jìn)行優(yōu)先化；c.定義控制與防護(hù)措施；d.這些措施實(shí)施的開(kāi)發(fā)計(jì)劃。

企業(yè)通過(guò)信息安全風(fēng)險(xiǎn)管理的實(shí)施，能夠確定長(zhǎng)時(shí)間的安全風(fēng)險(xiǎn)管理計(jì)劃，并且可以有效緩解企業(yè)信息系統(tǒng)中的安全風(fēng)險(xiǎn)，提高工作人員對(duì)信息安全風(fēng)險(xiǎn)的認(rèn)識(shí)。建議企業(yè)在實(shí)施風(fēng)險(xiǎn)管理的同時(shí)，及時(shí)建立信息安全風(fēng)險(xiǎn)預(yù)警系統(tǒng)，特別要加強(qiáng)網(wǎng)絡(luò)與信息系統(tǒng)安全管理，充分發(fā)揮技術(shù)支撐、機(jī)制保障等，有效預(yù)防和減少信息系統(tǒng)安全事故的發(fā)生。

2.3.4 ISO/IEC 27001

SO27001是一個(gè)信息安全管理系統(tǒng)（ISMS），它有助于各組織對(duì)資源的安全性進(jìn)行管理。ISO27001是為信息安全管理系統(tǒng)（ISMS）提供需求的最著名的標(biāo)準(zhǔn)。

ISO/IEC 27001引入了“規(guī)劃-實(shí)施-檢查-處置”（PDCA）模型，旨在建立、實(shí)現(xiàn)、監(jiān)控并提高組織的ISMS的效率。PDCA分四個(gè)階段，如圖9所示。

實(shí)際上，信息安全管理體系建設(shè)最核心和最關(guān)鍵的部分，就是把建立（P規(guī)劃）、實(shí)施和運(yùn)行（D實(shí)施）、監(jiān)視和評(píng)審（C檢查）以及保持和改進(jìn)（A處置）四個(gè)重要環(huán)節(jié)形成PDCA的動(dòng)態(tài)閉環(huán)的管理流程，這種管理方法就是PDCA循環(huán)。只有按照P-D-C-A的順序持續(xù)循環(huán)，體系才能高效運(yùn)轉(zhuǎn)和不斷完善。

3 結(jié)束語(yǔ)

計(jì)算機(jī)網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)的建設(shè)是一項(xiàng)復(fù)雜而系統(tǒng)的工程，不僅涉及較多的學(xué)科，而且知識(shí)的延伸較強(qiáng)。對(duì)比傳統(tǒng)的信息安全體系結(jié)構(gòu)設(shè)計(jì)，我們所介紹的體系結(jié)構(gòu)設(shè)計(jì)具備多個(gè)優(yōu)勢(shì)，包括開(kāi)放、集成、可重用性、面向服務(wù)、集成數(shù)據(jù)平臺(tái)和業(yè)務(wù)情報(bào)等。這些都有益于企業(yè)通過(guò)建立有效的智能信息安全體系結(jié)構(gòu)；集成眾多安全應(yīng)用；消除人工操作等來(lái)簡(jiǎn)化安全管理并提供更為有效的風(fēng)險(xiǎn)控制。與此同時(shí)，我們注重對(duì)相關(guān)領(lǐng)域（信息安全中最重要的屬性以及信息安全管理系統(tǒng)等）的研究。我們相信這些將有助于企業(yè)信息安全管理和風(fēng)險(xiǎn)控制的實(shí)施。

參考文獻(xiàn)：

[1]Jan Killmeyer.Information Security Architecture-An Integrated Apporach to Security in the Organization（Second Edition）[M]. Auerbach Publications.

[2]Jianguang Sun， Yan Chen.Intelligent Enterprise Information Security Architecture based on Service Oriented Architecture[J].International Seminar on Future Information Technology and Management Engineering，2008.

[3]Georg Dister.ISO/IEC 2700， 27001 and 27002 for Information Security Management[J]. Journal of Information Security， 2013，4：92-100.

[4]Aizhan Pernebekovna Pernebekova， Beisenkulov Ayazbi ahbergenovich. Information Security and the Theory of Unfaithful Information[J].Journal of Information Security， 2015，6：265-272.

[5]Suhail Qadir， S.M.K. Quadri. Information Availability： An Insight into the Most Important Attribute of Information Security[J].Journal of Information Security，2016，7：185-194.

[6]宋艷梅.計(jì)算機(jī)網(wǎng)絡(luò)信息安全和應(yīng)對(duì)策略研究[J].電腦知識(shí)與技術(shù)，2017，3.

[7]徐勇.計(jì)算機(jī)網(wǎng)絡(luò)的信息安全體系結(jié)構(gòu)探析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013，10.

[8]劉萬(wàn)國(guó)，周秀霞，霍明月.基于ISO/IEC 27001：2013的高校圖書(shū)館信息安全管理體系構(gòu)建研究[J].現(xiàn)代情報(bào)，2017，4.

[9]李祺.計(jì)算機(jī)網(wǎng)絡(luò)的信息安全體系結(jié)構(gòu)研究[J].電腦知識(shí)與技術(shù)，2015，12.

[10]陳瑜.企業(yè)信息安全風(fēng)險(xiǎn)管理的框架研究[J].價(jià)值工程，2017.

[11]陳曉飛.企業(yè)信息安全管理體系建設(shè)[J].信息與電腦，2017，3.

[12]陳婧，趙國(guó)星，劉陽(yáng).計(jì)算機(jī)網(wǎng)絡(luò)的信息安全體系結(jié)構(gòu)[J].信息與電腦，2013，7.