写点什么

再谈安全架构《一》

用户头像
I
关注
发布于: 1 小时前

1. 前言

早在 5 月份的时候就已经决定去新开几篇安全架构的文章,不过后来却只写一小部分。因为长进有限,外加上沉淀不足,思路受阻至今。直到最近,感觉七七八八学习了不少,翻翻《Enterprise Security Architecture》发现已经看了几个月了。遂将笔记整理成文。

之前的《什么是安全架构》三篇中主要是以经验出发,属于自下而上的套路,总结的是由实战经验中得来的可行方法。这次将以《Enterprise Security Architecture》为参考,自顶向下的看一下从方法论到实际建设的过程。其实越看书,越发现两者是互相印证的。

2. 企业安全架构方法论

2.1 概念



任何普适性的方法大都也需要因地制宜。总之,读完此书之后很好的帮助了我总结了之前总结……

因为每个阶段又有许多需要单独考虑的地方,我根据书中内容整理了一份表格,同时在 gist 上贴了份文字版摘要在此:



注:下文所有截图均来自原书

总的来说是三个阶段(Phase),六个层级(Layer)。三个阶段是策略/计划->设计->运营。 六个阶段分别为:

  • 上下文安全架构

  • 概念安全架构

  • 逻辑安全架构

  • 实际安全架构

  • 组件安全架构

  • 运营安全架构

不过在处理顺序上一般在制定 Operational Security Architecture 的同时应该是已经考虑到了 Logical,Physical 的 Security Architecture,以及可能遇到的 Component 上的问题。



也就是说涉及到任何要输出的东西时,Mange & Measure 是潜在发生的。可能来自自己,可能来自别人/团队。

下图以 Directory Services 为例展示了 6 Layer 是如何形成的。



2.2 0-1

这里有两张图,分别展示了这套框架的运行逻辑。第一张是指整个三个阶段(可抽象一下)商业策略是是怎么从受到不同影响的输入(Input),来自期望目标(Goals),市场,财务,产品原材料等反馈到安全策略上,以及从 Logical -> Physical 过程中的考虑的一些案例(case)和因素,直至形成可信的运营。



至于有的地方是否是过时的,我们可以暂时不用细究。方法论迁移的套路里细节一般影响不大。例如我们甚至也可以套用阴阳学说在安全建设里面(以下是胡说的),但是这些东西能扯能说,能用来分析问题,开拓思维。但却不是一个好的方法去落地实际的设计。需要落地解决方案的同时需要考虑现实情况中的负责度,一一去解决,评估管理成本、预算等等。以相对严谨的形式去实施,而不是以混的方式。

3. 总结

其实并不难发现,在之前来自实践的总结,和书本的企业安全体系建设方法论有着共通之处。虽然这本书是 05 年出版,但是放到今天仍不失作为一本案头书。尤其是对刚从事甲方安全建设的工友(哈哈,从事信息传输、软件和信息技术服务业的新生代农民工应该具有乐天、知命、不忧的能力) 而言,着实能够帮助自身提升。这本书并不一定需要全部看完,对于一些专家而言,甚至通过浏览目录就能知道个大概了。他最大的作用是能够帮助你构建大图,知道什么东西在什么地方什么时候该做什么。

参考

发布于: 1 小时前阅读数: 4
用户头像

I

关注

https://iami.xyz 2018.08.12 加入

一名求真务实的安全行业从业者,持续关注企业信息安全。

评论

发布
暂无评论
再谈安全架构《一》