信息安全原理与技术（归纳整理的信息安全构建之技术框架）

信息安全体系建设，七分管理、三分技术。关于信息安全的管理，之前有篇幅做了小部分介绍：

• 1、抛开技术要求，金融行业信息安全的管理要求有哪些？

• 2、运作机制，才是信息安全治理的灵魂

信息安全的管理体系构建，可以iso27001的标准要求为基础，实施体系化导入、实施、运作。ISO27001标准包含了14个域，非常全面也非常丰富。关于导入指导，这里不再展开，可参看另一篇文章：

• 信息安全ISO27001体系建设指导——方法论&框架&步骤

今天，重点放在信息安全的技术体系，介绍的也是干货——技术框架。本人从业信息安全多年，但仍然会时不时的拿出管理框架和技术框架，对组织当前信息安全的体系构建，做复盘和检验。OK，直接技术框架图例：

信息安全技术框架

此技术框架图，从信息安全管理的六个维度，全方位给出技术方案：

办公PC、办公虚拟机、办公笔记本电脑、移动终端、打印机、传真机等。

信息系统（OA、ERP、SRM、……），公司官方网站、网上商城、移动APP、业务信息系统、运维管理系统、代码管理系统等。

主机、存储、备份设备，操作系统、中间件系统、备份系统等。

骨干网、城域网、局域网、虚拟网等等。

数据库数据、文件数据、影像数据等

IDC机房、配线间、办公区域、文印区域、监控室、弱电间等。

结束语：信息安全技术体系框架，虽然按照模块划分，有不同的解决方案，但相互之间有着千丝万缕的关系，且相互影响相互作用。技术为管理服务，脱离管理的技术，如空中楼阁，借此也再次强调：信息安全七分管理、三分技术！

信息安全不容忽视