有關(guān)信息安全體系
責編:admin |2015-02-10 15:09:01想初入職時,工作即為”體系“,可是工作了這么多年,感覺對體系的理解仍然淺嘗輒止。從CPU的RISC,計算機的馮.諾伊曼,網(wǎng)絡(luò)的分層模型,到林林總總的信息系統(tǒng),無論是局部還是整體,都有自己的體系。而放眼萬事萬物,人體有自己生理體系,房屋有自己的建筑體系,社會也有自己的運轉(zhuǎn)體系。所謂體系,是某件東西內(nèi)部組成、相互關(guān)系及運行機制的客觀規(guī)律。正如美國DoDAF(國防部體系框架)有關(guān)“體系”的定義,“體系就是系統(tǒng)的組成之間的相互關(guān)系,以及支配他們演進的指南。”建立體系,何其難也。這個DoDAF也只是建立起了一套用于描述信息系統(tǒng)體系的標準方法,有關(guān)信息系統(tǒng)的體系是什么,仍然需要設(shè)計人員自己去理解。
后來在工作中接觸到的所謂信息安全體系,也大多只是這種描述框架或方法。比較著名的包括美國NSA的IATF(信息保障技術(shù)框架),將信息系統(tǒng)的保護劃分為保護計算環(huán)境、保護邊界、保護網(wǎng)絡(luò)基礎(chǔ)設(shè)施、支撐性基礎(chǔ)設(shè)施和檢測響應(yīng)基礎(chǔ)設(shè)施,這仍然是一種非常經(jīng)典的劃分方法,在許多的信息安全解決方案中仍然可見IATF的影子,至今IATF的縱深防御思想仍然是各種安全機制疊加使用的依據(jù)。另外一個著名的體系是ITU-T X.805——提供端到端通信的系統(tǒng)安全體系,它將電信網(wǎng)絡(luò)分為基礎(chǔ)設(shè)施層、服務(wù)層和應(yīng)用層三個層次,用戶、控制和管理平面三個平面,以及訪問控制、認證、數(shù)據(jù)機密性等八個安全維度的安全服務(wù),IATF敘述了每個平面的每個層次需要用到哪些安全服務(wù),去應(yīng)對攻擊。還有著名的PDR模型及其變種,這個模型描述了基于時間的安全觀,所謂安全,就是防護時間大于檢測時間+響應(yīng)時間,換句話說,安全就是及時的檢測和響應(yīng)。
基于上述信息安全體系的流行化描述框架,使信息安全系統(tǒng)更容易令人理解,也更有利與廠商去推銷自己的各種安全設(shè)備,有利于項目規(guī)劃者更好的組織自己的各個項目。然而,信息安全體系本身是什么,卻難以一言以蔽之。組成可能可以說清,可是組成之間的關(guān)系及運行機制,較之于網(wǎng)絡(luò)、計算機、軟件,難以理清。這是一個各種安全產(chǎn)品、管理措施、評估方法堆砌的領(lǐng)域,難能說具有體系。這也是一個見招拆招的世界,有漏洞就補、有毒就殺、有重要數(shù)據(jù)就加密……各種零散的工程化方法和技術(shù)充斥其中,也很難說有其客觀支配的一致規(guī)律。
因此,安全無一致、統(tǒng)一的體系。更多的時候,安全體系只是為了迎合規(guī)劃或決策者的需要,方便溝通理解的一種分類方法。關(guān)于安全體系背后的運行規(guī)律,除了密碼學有堅實的理論基礎(chǔ)外,我想每個人可能都有自己的觀點。
下一篇:DDoS攻擊防御和分析
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧