1.2. 安全控制

计算机安全通常可分为三个主要类型,通常指的是 controls
  • 物理控制
  • 技术控制
  • 管理控制
这三个主要类型定义了正确安全部署的主要任务。在这些控制中有一些子分类可进一步细化这些控制以及如何部署它们。

1.2.1. 物理控制

物理控制是在定义的结构内实施保证安全的方法,用来阻止或者防止对敏感资料的未授权访问。物理控制示例包括:
  • 闭路监控摄像机
  • 动作或者热量报警系统
  • 警卫
  • 照片 ID
  • 上锁并有固定锁的钢制门
  • 生物识别(包括指纹、声音、面部、笔迹及其它用来识别个体的自动方法)

1.2.2. 技术控制

技术控制使用技术作为基础来控制对整个物理构架和网络中名敏感数据的访问和使用。技术控制影响范围很大,包括以下技术方面:
  • 加密
  • 智能卡
  • 网络认证
  • 访问控制(ACL)
  • 文件完整审核软件

1.2.3. 管理控制

管理控制定义安全性中人的因素。它们涉及机构中所有级别的个人,并决定哪些用户可以访问哪些资源和信息:
  • 培训和认知
  • 灾难准备及恢复计划
  • 人员招聘和分离策略
  • 人员注册及使用