第03篇 控制措施类型

正确的运用安全控制措施可降低组织面临的风险，安全控制措施有三种类型：管理性控制措施、技术性控制措施和物理性控制措施。例如：

物理性控制措施

• 围墙

• 锁

• 监控摄像头

• 照明设施

• 警卫人员

技术性控制措施

• 防火墙

• 入侵检测系统IDS

• 入侵防御系统IPS

• 防病毒软件

• 身份识别和验证机制

• 加密技术

管理性控制措施

• 数据分级和标签

• 风险管理

• 背景调查

• 安全意识宣导

实际上采用的控制类型与面临的威胁相对应，保护层数量必须与资产的敏感程度相匹配。即信息资产越敏感，需要部署的保护层数越多。正确使用这些控制措施才能为公司提供深度防御体系（如下图），才能将入侵者的渗透成功率和威胁降至最低。

这些控制措施如何发挥作用呢？我们在寻求合适的控制措施时，首先需要了解每类控制措施的不同功能和作用。下面是六种不同的安全控制措施功能。

• 预防性控制措施：避免意外事件的发生。

• 检测性控制措施：帮助识别意外活动和潜在的入侵者。

• 纠正性控制措施：意外事件发生后修正组件或系统。

• 威慑性控制措施：威慑潜在的攻击者。

• 恢复性控制措施：使环境恢复到正常的运行状态。

• 补偿性控制措施：提供可替代的控制措施方法。

在深入理解这些安全控制措施的不同功能后，在应对特定风险时，就可以运用自如了。

几种安全控制类型并存且需要协同工作，由于控制措施自身的复杂度和其所部署的环境没有经过全面审慎的安全架构规划而机械式地部署了多种控制措施，也会引发控制措施彼此冲突而产生了新的、组织无法洞悉的脆弱性。

另外，一个组织也许部署了十分严谨的技术性控制措施和所有必要的管理性控制措施，但允许未授权人员随意访问物理基础设施内的任何系统，环境中将存在明显的安全风险。

总之，控制措施只有协同工作、默契配合，才能提供平稳、安全和高效的业务运营环境。