伴随着经济持续高速增长，信息安全在全球的需求不断扩大，而市场也在不断走向成熟。在很短的时间内，安全从一个可选问题上升成为一个我们在任何时候都无法回避的问题。正是因为安全威胁的无处不在，才使得安全这个字眼被越来越多的提及。由于网络规模的不断扩张以及各种应用类型的不断融合，我们的信息社会正处于一个极大繁荣而又不受控制的“喧嚣”阶段。

安氏公司是伴随我国信息安全行业不断发展而发展壮大起来的公司，从20世纪九十年代末期开始不断地引入、推广和总结不同发展阶段地信息安全模型，从P2DR、PADIMEE、IAARC模型到ISAF模型。

2003年9月，中办发[2003]27号文件《关于加强信息安全保障工作的意见》，提出建立国家信息安全的十大任务。建设国家信息安全保障体系，是为了适应信息化发展的需要而提出的。建设国家信息安全保障体系就是要落实“积极防御，综合防范”的方针，这一方针是我国信息安全建设的客观要求，体现了信息安全保障的特点，也是各国普遍经验的总结。

根据27号文件的精神，结合安氏多年来实施信息安全系统的经验，提出“信息安全保障框架模型”，即ISAF模型，希望能给正在建设或即将进行信息安全系统建设的企业提供帮助和指导，也是安氏公司进行安全系统建设顾问的指导方针。

ISAF模型介绍

ISAF模型用三维来描述信息安全保障体系结构，第一维是安全需求维，主要阐述信息安全需求的不断变化和演进，以及当前主要的安全需求；第二维 为安全对象描述，提供将安全对象按类型和层次划分方法论，达到能够更清晰和系统地描述客观安全对象地安全需求；第三维为能力来源维，主要描述能够提供满足安全对象相关安全需求的防护措施的种类和级别。

安全需求

    ·保密性
    谁能拥有信息
    保证秘密和敏感信息仅为授权者享有。
    ·完整性
    拥有的信息是否正确
    保证信息从真实的信源发往真实的信宿，传输、存储、处理中未被删改、增添、替换。
    ·可用性：
    信息和信息系统是否能够使用
    保证信息和信息系统随时可为授权者提供服务而不被非授权者滥用。
    ·可控性：
    是否能够监控管理信息和系统
    保证信息和信息系统的授权认证和监控管理。
     ·不可否认性：
    为信息行为承担责任
    保证信息行为人不能否认其信息行为。
    ·安全对象
     安全对象按照所处网络的具体位置和面临威胁的类型横向分成四个安全域：网络边界、网络基础设施、
     计算环境和支撑性基础设施。
    ·网络边界
    企业内不同安全域间的边界
    与Internet的边界
    与第三方合作伙伴的互连边界
    与电信专用网（DDN、FR等）的边界
    与传统电话网（拨号用户、ADSL用户等）的边界
    与无线网的边界
    ·网络基础设施
    网络的体系结构
    网络的容量和可用性
    网络与网络间的通信
    设备与设备间的通信
    设备的管理与维护
    用户数据接口
    网络管理中心（NMC）的远程管理
    设备到NMC的通信
    NMC的安全
    销售商的交货与维护
    厂商的设计与生产
    ·计算环境
   安全的应用系统
    安全的操作系统
    安全的终端系统
    补丁管理
    病毒防护
    完整性管理
    配置管理（软硬件清单）
    访问控制管理（应用级）
    入侵检测
    行为监控
    网络准入管理
    ·支撑性基础设施
    密钥管理基础设施/公钥基础设施（KMI/PKI）
    入侵检测系统（IDS）
    ·能力来源
     该维描述的是为了使特定的安全对象达到安全策略中要求的安全需求，可以在哪些方面选择控制措
     施，给大家在解决方案上提供思考空间。
     安氏公司使用以下PTM（People－Technology－Management）模型来描述：

人员
 安全组织  安全意识
 安全技能
 职责定义和区分
 第三方人员管理
 与执法机构的联系
 危机处理
技术

以安氏的IAARC技术框架为核心的安全体系架构。
管理
管理可以分成两个层次的管理，一个层次是以政府职能为主的宏观管理，包括信息安全政策、法规、规范、标准等；另一个层次就是以企业为核心的运营管理，也包括了策略、规范、标准、流程等内容，流程在这里显得尤为重要，因此安氏借鉴ITIL等标准提出安全运营的8大流程，如下图所示：