这个专题如果要讲全,半天都讲不完,这里就简单讲一些核心的,还有介绍推荐一些参考框架和材料,更深层的自己领悟吧。
目前国内传统的安全规划,多是简单根据想买/想卖的产品堆砌一下方案,进而形成一个项目或采购清单就作为规划。从严格意义上来讲,这也就是个安全方案水平,而远远达不到规划水平。不从企业战略出发,不考虑企业业务需求,空想的安全规划都是YY,或者厂家挖坑。规划必须有一定前瞻性,不然实际操作时会发现开始做的规划都是无法操作的,每年都不会真按规划操作,项目也会出现诸多冲突、重合、重复的,完全不能达到规划的目的。
信息安全并不是什么单独奇特的领域,其实质也是IT的一部分,其方法均可以从IT中进行借鉴。而在IT领域,目前比较流行的是采用企业架构EA的方法来进行架构设计和规划。
其实规划包含两部分工作,未来架构的设计和根据架构设计而展开的高阶方案制定和项目清单梳理,其核心交付其实就是一个项目计划清单。其中架构设计是目前安全行业规划普遍薄弱的地方。
IT安全架构目前最流行的方法就是TOGAF,如下图。
内容就不详说,资料网上可以找到,其核心就是如何从企业战略开始、以需求管理为核心,如何一步步制定业务架构、信息系统架构、技术架构、机会识别和解决方案制定、计划制定、实施管控、架构变更管理。
安全架构规划需要重点进行参考的是其从战略到业务,再到应用,再到系统的设计方法,以及其中的设计内容。还有一个值得参考的是,架构不是只设计一个框架,后续的架构管控和架构变更也一定是架构设计的一部分重要内容。还有一个安全人员需要重点学习的地方,就是架构中的标准术语和系统设计的方法,什么数据流、业务流的诡异方法和词汇,其实被专业的人看都笑死了。就跟大家都叫轿车,突然一个做轮胎的出来说这是一个四轮行驶物一样逗。
然后再多说一下,架构又可以分为总体架构和系统架构两个层级,其中规划部分主要对应的是总体架构,具体系统对应的是系统架构。架构不仅仅停留在规划层面就结束。
安全架构设计:SABSA
对于安全架构设计,国际上还有一个比较流行的方法叫SABSA,如下图。
SABSA的六层模型,也是一个可以涵盖从规划到系统建设的模型,架构实际上是一种认识、理解、沟通框架,利用一些好的成熟框架的好处就是可以跨域沟通、保证考虑问题不会少。blablabla...这句略跑。SABSA矩阵如下图。
SABSA也有一系列的风险管理、保证及管控等框架,如下图。
关于SABASA融合至TOGAF也有参考框架如下图。
现有框架理论其实只是一个最佳实践参考,实际操作过程中都需要根据需求、客户情况、项目复杂程度,甚至自身能力进行定制,我自己的框架和方法就不说了。
推荐一些厂家和组织的安全框架和方法论。
(一)IBM的安全架构
源文件网上可以搜到,Using_the_IBM_Security_Framework_and_IBM_Security_Blueprint_to_Realize_Business-Driven_Security.pdf
其总体安全框架如下图,不详述了,自己看好了。
方法。
安全蓝图。
IBM的这白皮书对很多刚开始进行安全架构设计的是个很好参考,基本东西也都不缺了,照抄做一个完整项目也是基本够用的,但是需要注意的是,这也是我说的一个我说的“定制化”的框架。其主要的定制部分是把其中内容对应到其解决方案和产品,你懂的。
(二)Information Security Forum的安全架构报告,简称ISF。
这报告也对什么是安全架构,其包含哪些层面,如何进行各层面设计进行了详细描述。
其三层安全架构模型。
示例概念层安全架构。
示例逻辑层安全架构。
示例物理层安全架构。
业务安全需求和安全控制关系。
企业架构与安全架构关系模型。
重点都已点到,大家自行搜索材料学习吧。这里面提到的只是一个引子,阐述了我的部分观点而已。关于方法,每个公司,甚至每个人都可以有自己不同的理解,不同方法。从某种意义上来说,架构其实是一种认识世界的方法,一种语言,英语、汉语、法语、俄语...没有哪种语言是错的,只有你熟悉的,喜欢的,适用的。
点到即止,发完收工。
原文发布时间为:2014-10-23