溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
想初入職時,工作即為”體系“,可是工作了這么多年,感覺對體系的理解仍然淺嘗輒止。從CPU的RISC,計算機的馮.諾伊曼,網絡的分層模型,到林林總總的信息系統,無論是局部還是整體,都有自己的體系。而放眼萬事萬物,人體有自己生理體系,房屋有自己的建筑體系,社會也有自己的運轉體系。所謂體系,是某件東西內部組成、相互關系及運行機制的客觀規律。正如美國DoDAF(國防部體系框架)有關“體系”的定義,“體系就是系統的組成之間的相互關系,以及支配他們演進的指南。”建立體系,何其難也。這個DoDAF也只是建立起了一套用于描述信息系統體系的標準方法,有關信息系統的體系是什么,仍然需要設計人員自己去理解。
后來在工作中接觸到的所謂信息安全體系,也大多只是這種描述框架或方法。比較著名的包括美國NSA的IATF(信息保障技術框架),將信息系統的保護劃分為保護計算環境、保護邊界、保護網絡基礎設施、支撐性基礎設施和檢測響應基礎設施,這仍然是一種非常經典的劃分方法,在許多的信息安全解決方案中仍然可見IATF的影子,至今IATF的縱深防御思想仍然是各種安全機制疊加使用的依據。另外一個著名的體系是ITU-T X.805——提供端到端通信的系統安全體系,它將電信網絡分為基礎設施層、服務層和應用層三個層次,用戶、控制和管理平面三個平面,以及訪問控制、認證、數據機密性等八個安全維度的安全服務,IATF敘述了每個平面的每個層次需要用到哪些安全服務,去應對***。還有著名的PDR模型及其變種,這個模型描述了基于時間的安全觀,所謂安全,就是防護時間大于檢測時間+響應時間,換句話說,安全就是及時的檢測和響應。
基于上述信息安全體系的流行化描述框架,使信息安全系統更容易令人理解,也更有利與廠商去推銷自己的各種安全設備,有利于項目規劃者更好的組織自己的各個項目。然而,信息安全體系本身是什么,卻難以一言以蔽之。組成可能可以說清,可是組成之間的關系及運行機制,較之于網絡、計算機、軟件,難以理清。這是一個各種安全產品、管理措施、評估方法堆砌的領域,難能說具有體系。這也是一個見招拆招的世界,有漏洞就補、有毒就殺、有重要數據就加密......各種零散的工程化方法和技術充斥其中,也很難說有其客觀支配的一致規律。
因此,安全無一致、統一的體系。更多的時候,安全體系只是為了迎合規劃或決策者的需要,方便溝通理解的一種分類方法。關于安全體系背后的運行規律,除了密碼學有堅實的理論基礎外,我想每個人可能都有自己的觀點。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
