《如何进行安全架构规划.pdf》由会员分享,可在线阅读,更多相关《如何进行安全架构规划.pdf(15页珍藏版)》请在三一文库上搜索。
1、如何进行安全架构规划 2014-09-04 NUKE 同学 NUKE 同学的手抄报 欢迎订阅 NUKE 同学的手抄报 争取每天一文,IT/安全安全方面的各种八卦、新趋势、新动向 - 今天发点手敲原创,多图杀手机流量,最好换无线看。 这个专题如果要讲全,半天都讲不完,这里就简单讲一些核心的,还有介绍推 荐一些参考框架和材料,更深层的自己领悟吧。 目前国内传统的安全规划,多是简单根据想买/想卖的产品堆砌一下方案,进而 形成一个项目或采购清单就作为规划。从严格意义上来讲,这也就是个安全方 案水平,而远远达不到规划水平。不从企业战略出发,不考虑企业业务需求, 空想的安全规划都是 YY,或者厂家挖坑。规
2、划必须有一定前瞻性,不然实际操 作时会发现开始做的规划都是无法操作的,每年都不会真按规划操作,项目也 会出现诸多冲突、重合、重复的,完全不能达到规划的目的。 信息安全并不是什么单独奇特的领域,其实质也是 IT 的一部分,其方法均可以 从 IT 中进行借鉴。而在 IT 领域,目前比较流行的是采用企业架构 EA 的方法来 进行架构设计和规划。 其实规划包含两部分工作,未来架构的设计和根据架构设计而展开的高阶方案 制定和项目清单梳理,其核心交付其实就是一个项目计划清单。其中架构设计 是目前安全行业规划普遍薄弱的地方。 IT 安全架构目前最流行的方法就是 TOGAF,如下图。 内容就不详说,资料网上可
3、以找到,其核心就是如何从企业战略开始、以需求 管理为核心,如何一步步制定业务架构、信息系统架构、技术架构、机会识别 和解决方案制定、计划制定、实施管控、架构变更管理。 安全架构规划需要重点进行参考的是其从战略到业务,再到应用,再到系统的 设计方法,以及其中的设计内容。还有一个值得参考的是,架构不是只设计一 个框架,后续的架构管控和架构变更也一定是架构设计的一部分重要内容。还 有一个安全人员需要重点学习的地方,就是架构中的标准术语和系统设计的方 法,什么数据流、业务流的诡异方法和词汇,其实被专业的人看都笑死了。就 跟大家都叫轿车,突然一个做轮胎的出来说这是一个四轮行驶物一样逗。 然后再多说一下,
4、架构又可以分为总体架构和系统架构两个层级,其中规划部 分主要对应的是总体架构,具体系统对应的是系统架构。架构不仅仅停留在规 划层面就结束。 对于安全架构设计,国际上还有一个比较流行的方法叫 SABSA,如下图。 SABSA 的六层模型,也是一个可以涵盖从规划到系统建设的模型,架构实际上 是一种认识、理解、沟通框架,利用一些好的成熟框架的好处就是可以跨域沟 通、保证考虑问题不会少。blablabla.这句略跑。SABSA 矩阵如下图。 SABSA 也有一系列的风险管理、保证及管控等框架,如下图。 关于 SABASA 融合至 TOGAF 也有参考框架如下图。 现有框架理论其实只是一个最佳实践参考,
5、实际操作过程中都需要根据需求、 客户情况、项目复杂程度,甚至自身能力进行定制,我自己的框架和方法就不 说了,推荐一些厂家合组织的安全框架和方法论。 第一个是 IBM 的,源文件自己搜, Using_the_IBM_Security_Framework_and_IBM_Security_Blueprint_to_Realiz e_Business-Driven_Security.pdf 其总体安全框架如下图,不详述了,自己看好了。 方法。 安全蓝图。 IBM 的这白皮书对很多刚开始进行安全架构设计的是个很好参考,基本东西也 都不缺了,照抄做一个完整项目也是基本够用的,但是需要注意的是,这也是 我
6、说的一个我说的“定制化”的框架。其主要的定制部分是把其中内容对应到其解 决方案和产品,你懂的。 另外一个比较推荐的材料是 Information Security Forum 的安全架构报告,简称 ISF。这报告也对什么是安全架构,其包含哪些层面,如何进行各层面设计进行 了详细描述。 其三层安全架构模型。 示例概念层安全架构。 示例逻辑层安全架构。 示例物理层安全架构。 业务安全需求和安全控制关系。 企业架构与安全架构关系模型。 重点都已点到,大家自行搜索材料学习吧。这里面提到的只是一个引子,阐述 了我的部分观点而已。关于方法,每个公司,甚至每个人都可以有自己不同的 理解,不同方法。从某种意义上来说,架构其实是一种认识世界的方法,一种 语言,英语、汉语、法语、俄语.没有哪种语言是错的,只有你熟悉的,喜欢 的,适用的。 点到即止,发完收工。